Decreto 36-2012, REGLAMENTO DE LA LEY NO. 787 “LEY DE PROTECCIÓN DE DATOS PERSONALES”
REGLAMENTO DE LA LEY NO. 787 “LEY DE PROTECCIÓN DE DATOS PERSONALES”
DECRETO No. 36-2012, Aprobado el 17 de Octubre de 2012
Publicado en La Gaceta No. 200 del 19 de Octubre de 2012
El Presidente de la República de Nicaragua
Comandante Daniel Ortega Saavedra
En uso de las facultades
que le confiere la Constitución Política
HA DICTADO
El siguiente:
DECRETO
REGLAMENTO DE LA LEY NO. 787 “LEY DE PROTECCIÓN DE DATOS PERSONALES”
OBJETO, ALCANCE Y DEFINICIONES
El presente Reglamento tiene por objeto establecer las disposiciones relativas al desarrollo y aplicación de la Ley No. 787, Ley de Protección de Datos Personales, publicada en La Gaceta, Diario Oficial, No. 61 del 29 de marzo de 2012.
El presente Reglamento será de aplicación y de observancia obligatoria al tratamiento de datos personales que obren en soportes físicos o electrónicos que hagan posible el acceso a los datos personales con arreglo a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización.
Para efectos del presente Reglamento, se entiende por:
-
Aviso Informativo: Documento físico, electrónico o en cualquier otro formato generado por el responsable del fichero de datos que es puesto a disposición del titular de los datos, previo al tratamiento de sus datos personales, de conformidad con lo previsto en el presente Reglamento.
-
Derechos del titular: Se refiere a los derechos de acceso, rectificación, oposición y cancelación de datos personales.
-
DIPRODAP: Dirección de Protección de Datos Personales a que se refiere la Ley 787.
-
Ley: Ley No. 787, Ley de Protección de Datos Personales, publicada en La Gaceta, Diario Oficial, No. 61 del 29 de marzo de 2012.
-
Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para: a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información; b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones; c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y d) Garantizar la eliminación de datos de forma segura.
-
Medidas de seguridad organizativas: Conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como, la concientización, formación y capacitación del personal, en materia de protección de datos personales. Estas incluyen medidas de seguridad físicas.
-
Medidas de seguridad técnicas: Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que: a) El acceso a las bases de datos de los responsables de ficheros de datos sea por usuarios identificados y autorizados; b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones; c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros, y d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales.
CONSENTIMIENTO DEL TITULAR DE LOS DATOS
De conformidad a lo establecido en los artículos 4 y 6 de la Ley, el consentimiento que otorgue el titular de los datos deberá ser:
-
Libre: sin que medie error, mala fe, violencia o dolo, que puedan afectar la manifestación de voluntad del titular;
-
Específico: referido a una o varias finalidades determinadas que justifiquen el tratamiento, y
-
Informado: que el titular tenga conocimiento del aviso informativo previo al tratamiento a que serán sometidos sus datos personales y las consecuencias de otorgar su consentimiento.
Salvo que la Ley exija el consentimiento expreso del titular de datos, será válido el consentimiento tácito como regla general, conforme a lo dispuesto en el artículo 4 del presente Reglamento.
Cuando el responsable pretenda recabar los datos personales directa o personalmente de su titular, deberá previamente poner a disposición de éste el aviso informativo, el cual debe contener un mecanismo para que, en su caso, el titular pueda manifestar su negativa al tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular.
En los casos en que los datos personales se obtengan de manera indirecta del titular y tenga lugar un cambio de las finalidades que fueron consentidas en la transferencia, el responsable de fichero de datos deberá poner a disposición del titular el aviso informativo previo al aprovechamiento de los datos personales. Cuando el aviso informativo no se haga del conocimiento del titular de manera directa o personal, el titular tendrá un plazo de cinco días hábiles para que, de ser el caso, manifieste su negativa para el tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable del fichero de datos y el titular de los datos. Si el titular no manifiesta su negativa para el tratamiento de sus datos de conformidad con lo anterior, se entenderá que ha otorgado su consentimiento para el tratamiento de los mismos, salvo prueba en contrario.
Cuando el responsable del fichero de datos utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular de datos hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar.
El responsable del fichero de datos deberá obtener el consentimiento expreso del titular de datos cuando:
-
Lo exija una ley o reglamento;
-
Se trate de datos financieros o patrimoniales;
-
Se trate de datos sensibles;
-
Lo solicite el responsable para acreditar el mismo, o
-
Lo acuerden así el titular de datos y el responsable del fichero de datos.
Cuando el consentimiento expreso sea exigido por ley, el responsable del fichero de datos deberá facilitar al titular de datos un medio sencillo y gratuito para que, en su caso, lo pueda manifestar.
Se considera que el consentimiento expreso se otorgó verbalmente cuando el titular lo externa oralmente de manera presencial o mediante el uso de cualquier tecnología que permita la interlocución oral.
Se considerará que el consentimiento expreso se otorgó por escrito cuando el titular lo externe mediante un documento con su firma autógrafa, huella dactilar o cualquier otro mecanismo autorizado por ley. Tratándose del entorno digital, podrán utilizarse firma electrónica o cualquier mecanismo o procedimiento que al efecto se establezca y permita identificar al titular y recabar su consentimiento.
Para efectos de demostrar la obtención del consentimiento, la carga de la prueba recaerá en todos los casos, en el responsable del fichero de datos.
En cualquier momento, el titular de datos podrá revocar su consentimiento para el tratamiento de sus datos personales, para lo cual el responsable del fichero de datos deberá establecer mecanismos sencillos y gratuitos que permitan al titular revocar su consentimiento al menos por el mismo medio por el que lo otorgó.
Cuando el titular solicite la confirmación del cese del tratamiento de sus datos personales, el responsable del fichero de datos deberá responder por escrito a dicha solicitud.
En caso de que los datos personales hubiesen sido remitidos con anterioridad a la fecha de revocación del consentimiento y sigan siendo tratados por terceros, el responsable deberá hacer de su conocimiento dicha revocación, para que procedan a efectuar lo conducente.
En caso de negativa por parte del responsable del fichero de datos al cese en el tratamiento de estos ante la revocación del consentimiento, el titular de datos podrá presentar ante la DIPRODAP la denuncia correspondiente.
OBLIGACIÓN DE INFORMAR AL TITULAR DE LOS DATOS
El responsable del fichero de datos deberá dar a conocer de previo al titular de los datos la información prevista en el artículo 7 de la Ley a través de un aviso informativo de conformidad con lo previsto en el presente Capítulo.
El aviso informativo deberá caracterizarse por ser sencillo, con información necesaria, expresado en lenguaje claro y comprensible, y con una estructura y diseño que facilite su entendimiento.
Para la difusión del aviso informativo, el responsable del fichero de datos...
Para continuar leyendo
Solicita tu prueba