Decreto 36-2012, REGLAMENTO DE LA LEY NO. 787 “LEY DE PROTECCIÓN DE DATOS PERSONALES”

REGLAMENTO DE LA LEY NO. 787 “LEY DE PROTECCIÓN DE DATOS PERSONALES”

DECRETO No. 36-2012, Aprobado el 17 de Octubre de 2012

Publicado en La Gaceta No. 200 del 19 de Octubre de 2012

El Presidente de la República de Nicaragua

Comandante Daniel Ortega Saavedra

En uso de las facultades

que le confiere la Constitución Política

HA DICTADO

El siguiente:

DECRETO

REGLAMENTO DE LA LEY NO. 787 “LEY DE PROTECCIÓN DE DATOS PERSONALES”

CAPÍTULO I Artículos 1 a 3

OBJETO, ALCANCE Y DEFINICIONES

Artículo 1 Objeto

El presente Reglamento tiene por objeto establecer las disposiciones relativas al desarrollo y aplicación de la Ley No. 787, Ley de Protección de Datos Personales, publicada en La Gaceta, Diario Oficial, No. 61 del 29 de marzo de 2012.

Artículo 2 Alcance

El presente Reglamento será de aplicación y de observancia obligatoria al tratamiento de datos personales que obren en soportes físicos o electrónicos que hagan posible el acceso a los datos personales con arreglo a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización.

Artículo 3 Definiciones

Para efectos del presente Reglamento, se entiende por:

1. Aviso Informativo: Documento físico, electrónico o en cualquier otro formato generado por el responsable del fichero de datos que es puesto a disposición del titular de los datos, previo al tratamiento de sus datos personales, de conformidad con lo previsto en el presente Reglamento.

2. Derechos del titular: Se refiere a los derechos de acceso, rectificación, oposición y cancelación de datos personales.

3. DIPRODAP: Dirección de Protección de Datos Personales a que se refiere la Ley 787.

4. Ley: Ley No. 787, Ley de Protección de Datos Personales, publicada en La Gaceta, Diario Oficial, No. 61 del 29 de marzo de 2012.

5. Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para: a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información; b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones; c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y d) Garantizar la eliminación de datos de forma segura.

6. Medidas de seguridad organizativas: Conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como, la concientización, formación y capacitación del personal, en materia de protección de datos personales. Estas incluyen medidas de seguridad físicas.

7. Medidas de seguridad técnicas: Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que: a) El acceso a las bases de datos de los responsables de ficheros de datos sea por usuarios identificados y autorizados; b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones; c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros, y d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales.

CAPÍTULO II Artículos 4 a 13

CONSENTIMIENTO DEL TITULAR DE LOS DATOS

Artículo 4 Características del Consentimiento

De conformidad a lo establecido en los artículos 4 y 6 de la Ley, el consentimiento que otorgue el titular de los datos deberá ser:

1. Libre: sin que medie error, mala fe, violencia o dolo, que puedan afectar la manifestación de voluntad del titular;

2. Específico: referido a una o varias finalidades determinadas que justifiquen el tratamiento, y

3. Informado: que el titular tenga conocimiento del aviso informativo previo al tratamiento a que serán sometidos sus datos personales y las consecuencias de otorgar su consentimiento.

Artículo 5 Consentimiento Tácito

Salvo que la Ley exija el consentimiento expreso del titular de datos, será válido el consentimiento tácito como regla general, conforme a lo dispuesto en el artículo 4 del presente Reglamento.

Artículo 6 Solicitud del Consentimiento Tácito

Cuando el responsable pretenda recabar los datos personales directa o personalmente de su titular, deberá previamente poner a disposición de éste el aviso informativo, el cual debe contener un mecanismo para que, en su caso, el titular pueda manifestar su negativa al tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular.

En los casos en que los datos personales se obtengan de manera indirecta del titular y tenga lugar un cambio de las finalidades que fueron consentidas en la transferencia, el responsable de fichero de datos deberá poner a disposición del titular el aviso informativo previo al aprovechamiento de los datos personales. Cuando el aviso informativo no se haga del conocimiento del titular de manera directa o personal, el titular tendrá un plazo de cinco días hábiles para que, de ser el caso, manifieste su negativa para el tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable del fichero de datos y el titular de los datos. Si el titular no manifiesta su negativa para el tratamiento de sus datos de conformidad con lo anterior, se entenderá que ha otorgado su consentimiento para el tratamiento de los mismos, salvo prueba en contrario.

Cuando el responsable del fichero de datos utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular de datos hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar.

Artículo 7 Consentimiento Expreso

El responsable del fichero de datos deberá obtener el consentimiento expreso del titular de datos cuando:

1. Lo exija una ley o reglamento;

2. Se trate de datos financieros o patrimoniales;

3. Se trate de datos sensibles;

4. Lo solicite el responsable para acreditar el mismo, o

5. Lo acuerden así el titular de datos y el responsable del fichero de datos.

Artículo 8 Solicitud del Consentimiento Expreso

Cuando el consentimiento expreso sea exigido por ley, el responsable del fichero de datos deberá facilitar al titular de datos un medio sencillo y gratuito para que, en su caso, lo pueda manifestar.

Artículo 9 Consentimiento Verbal

Se considera que el consentimiento expreso se otorgó verbalmente cuando el titular lo externa oralmente de manera presencial o mediante el uso de cualquier tecnología que permita la interlocución oral.

Artículo 10 Consentimiento Escrito

Se considerará que el consentimiento expreso se otorgó por escrito cuando el titular lo externe mediante un documento con su firma autógrafa, huella dactilar o cualquier otro mecanismo autorizado por ley. Tratándose del entorno digital, podrán utilizarse firma electrónica o cualquier mecanismo o procedimiento que al efecto se establezca y permita identificar al titular y recabar su consentimiento.

Artículo 11 Prueba para demostrar la obtención del consentimiento

Para efectos de demostrar la obtención del consentimiento, la carga de la prueba recaerá en todos los casos, en el responsable del fichero de datos.

Artículo 12 Revocación del Consentimiento

En cualquier momento, el titular de datos podrá revocar su consentimiento para el tratamiento de sus datos personales, para lo cual el responsable del fichero de datos deberá establecer mecanismos sencillos y gratuitos que permitan al titular revocar su consentimiento al menos por el mismo medio por el que lo otorgó.

Cuando el titular solicite la confirmación del cese del tratamiento de sus datos personales, el responsable del fichero de datos deberá responder por escrito a dicha solicitud.

En caso de que los datos personales hubiesen sido remitidos con anterioridad a la fecha de revocación del consentimiento y sigan siendo tratados por terceros, el responsable deberá hacer de su conocimiento dicha revocación, para que procedan a efectuar lo conducente.

Artículo 13 Procedimiento ante la negativa al cese en el tratamiento de datos

En caso de negativa por parte del responsable del fichero de datos al cese en el tratamiento de estos ante la revocación del consentimiento, el titular de datos podrá presentar ante la DIPRODAP la denuncia correspondiente.

CAPÍTULO III Artículos 14 a 16

OBLIGACIÓN DE INFORMAR AL TITULAR DE LOS DATOS

Artículo 14 Obligación de informar al Titular de los Datos

El responsable del fichero de datos deberá dar a conocer de previo al titular de los datos la información prevista en el artículo 7 de la Ley a través de un aviso informativo de conformidad con lo previsto en el presente Capítulo.

Artículo 15 Características del Aviso Informativo

El aviso informativo deberá caracterizarse por ser sencillo, con información necesaria, expresado en lenguaje claro y comprensible, y con una estructura y diseño que facilite su entendimiento.

Artículo 16 Medios de Difusión

Para la difusión del aviso informativo, el responsable del fichero de datos...