Normas Jurídicas
de Nicaragua
Materia: Constitucional y Otras Normas
Fundamentales
Rango: Decretos Ejecutivos
-
REGLAMENTO DE LA LEY NO. 787
LEY DE PROTECCIÓN DE DATOS PERSONALES
DECRETO No. 36-2012, Aprobado el 17 de Octubre de 2012
Publicado en La Gaceta No. 200 del 19 de Octubre de 2012
El Presidente de la República de Nicaragua
Comandante Daniel Ortega Saavedra
En uso de las facultades
que le confiere la Constitución Política
HA DICTADO
El siguiente:
DECRETO
REGLAMENTO DE LA LEY NO. 787 LEY DE PROTECCIÓN DE DATOS
PERSONALES
CAPÍTULO I
OBJETO, ALCANCE Y DEFINICIONES
Artículo 1. Objeto. El presente Reglamento tiene por objeto
establecer las disposiciones relativas al desarrollo y aplicación
de la Ley No. 787, Ley de Protección de Datos Personales, publicada
en La Gaceta, Diario Oficial, No. 61 del 29 de marzo de 2012.
Artículo 2. Alcance. El presente Reglamento será de
aplicación y de observancia obligatoria al tratamiento de datos
personales que obren en soportes físicos o electrónicos que hagan
posible el acceso a los datos personales con arreglo a criterios
determinados, con independencia de la forma o modalidad de su
creación, tipo de soporte, procesamiento, almacenamiento y
organización.
Artículo 3. Definiciones. Para efectos del presente
Reglamento, se entiende por:
a) Aviso Informativo: Documento físico, electrónico o en
cualquier otro formato generado por el responsable del fichero de
datos que es puesto a disposición del titular de los datos, previo
al tratamiento de sus datos personales, de conformidad con lo
previsto en el presente Reglamento.
b) Derechos del titular: Se refiere a los derechos de
acceso, rectificación, oposición y cancelación de datos
personales.
c) DIPRODAP: Dirección de Protección de Datos Personales a
que se refiere la Ley 787.
d) Ley: Ley No. 787, Ley de Protección de Datos Personales,
publicada en La Gaceta, Diario Oficial, No. 61 del 29 de marzo de
2012.
e) Medidas de seguridad físicas: Conjunto de acciones y
mecanismos, ya sea que empleen o no la tecnología, destinados para:
a) Prevenir el acceso no autorizado, el daño o interferencia a las
instalaciones físicas, áreas críticas de la organización, equipo e
información; b) Proteger los equipos móviles, portátiles o de fácil
remoción, situados dentro o fuera de las instalaciones; c) Proveer
a los equipos que contienen o almacenan datos personales de un
mantenimiento que asegure su disponibilidad, funcionalidad e
integridad, y d) Garantizar la eliminación de datos de forma
segura.
f) Medidas de seguridad organizativas: Conjunto de acciones
y mecanismos para establecer la gestión, soporte y revisión de la
seguridad de la información a nivel organizacional, la
identificación y clasificación de la información, así como, la
concientización, formación y capacitación del personal, en materia
de protección de datos personales. Estas incluyen medidas de
seguridad físicas.
g) Medidas de seguridad técnicas: Conjunto de actividades,
controles o mecanismos con resultado medible, que se valen de la
tecnología para asegurar que: a) El acceso a las bases de datos de
los responsables de ficheros de datos sea por usuarios
identificados y autorizados; b) El acceso referido en el inciso
anterior sea únicamente para que el usuario lleve a cabo las
actividades que requiere con motivo de sus funciones; c) Se
incluyan acciones para la adquisición¸ operación, desarrollo y
mantenimiento de sistemas seguros, y d) Se lleve a cabo la gestión
de comunicaciones y operaciones de los recursos informáticos que se
utilicen en el tratamiento de datos personales.
CAPÍTULO II
CONSENTIMIENTO DEL TITULAR DE LOS DATOS
Artículo 4. Características del Consentimiento. De
conformidad a lo establecido en los artículos 4 y 6 de la Ley, el
consentimiento que otorgue el titular de los datos deberá
ser:
a) Libre: sin que medie error, mala fe, violencia o dolo, que
puedan afectar la manifestación de voluntad del titular;
b) Específico: referido a una o varias finalidades determinadas que
justifiquen el tratamiento, y
c) Informado: que el titular tenga conocimiento del aviso
informativo previo al tratamiento a que serán sometidos sus datos
personales y las consecuencias de otorgar su consentimiento.
Artículo 5. Consentimiento Tácito. Salvo que la Ley exija el
consentimiento expreso del titular de datos, será válido el
consentimiento tácito como regla general, conforme a lo dispuesto
en el artículo 4 del presente Reglamento.
Artículo 6. Solicitud del Consentimiento Tácito. Cuando el
responsable pretenda recabar los datos personales directa o
personalmente de su titular, deberá previamente poner a disposición
de éste el aviso informativo, el cual debe contener un mecanismo
para que, en su caso, el titular pueda manifestar su negativa al
tratamiento de sus datos personales para las finalidades que sean
distintas a aquéllas que son necesarias y den origen a la relación
jurídica entre el responsable y el titular.
En los casos en que los datos personales se obtengan de manera
indirecta del titular y tenga lugar un cambio de las finalidades
que fueron consentidas en la transferencia, el responsable de
fichero de datos deberá poner a disposición del titular el aviso
informativo previo al aprovechamiento de los datos personales.
Cuando el aviso informativo no se haga del conocimiento del titular
de manera directa o personal, el titular tendrá un plazo de cinco
días hábiles para que, de ser el caso, manifieste su negativa para
el tratamiento de sus datos personales para las finalidades que
sean distintas a aquéllas que son necesarias y den origen a la
relación jurídica entre el responsable del fichero de datos y el
titular de los datos. Si el titular no manifiesta su negativa para
el tratamiento de sus datos de conformidad con lo anterior, se
entenderá que ha otorgado su consentimiento para el tratamiento de
los mismos, salvo prueba en contrario.
Cuando el responsable del fichero de datos utilice mecanismos en
medios remotos o locales de comunicación electrónica, óptica u otra
tecnología, que le permitan recabar datos personales de manera
automática y simultánea al tiempo que el titular de datos hace
contacto con los mismos, en ese momento se deberá informar al
titular sobre el uso de esas tecnologías, que a través de las
mismas se obtienen datos personales y la forma en que se podrán
deshabilitar.
Artículo 7. Consentimiento Expreso. El responsable del
fichero de datos deberá obtener el consentimiento expreso del
titular de datos cuando:
a) Lo exija una ley o reglamento;
b) Se trate de datos financieros o patrimoniales;
c) Se trate de datos sensibles;
d) Lo solicite el responsable para acreditar el mismo, o
e) Lo acuerden así el titular de datos y el responsable del fichero
de datos.
Artículo 8. Solicitud del Consentimiento Expreso. Cuando el
consentimiento expreso sea exigido por ley, el responsable del
fichero de datos deberá facilitar al titular de datos un medio
sencillo y gratuito para que, en su caso, lo pueda
manifestar.
Artículo 9. Consentimiento Verbal. Se considera que el
consentimiento expreso se otorgó verbalmente cuando el titular lo
externa oralmente de manera presencial o mediante el uso de
cualquier tecnología que permita la interlocución oral.
Artículo 10. Consentimiento Escrito. Se considerará que el
consentimiento expreso se otorgó por escrito cuando el titular lo
externe mediante un documento con su firma autógrafa, huella
dactilar o cualquier otro mecanismo autorizado por ley. Tratándose
del entorno digital, podrán utilizarse firma electrónica o
cualquier mecanismo o procedimiento que al efecto se establezca y
permita identificar al titular y recabar su consentimiento.
Artículo 11. Prueba para demostrar la obtención del
consentimiento. Para efectos de demostrar la obtención del
consentimiento, la carga de la prueba recaerá en todos los casos,
en el responsable del fichero de datos.
Artículo 12. Revocación del Consentimiento. En cualquier
momento, el titular de datos podrá revocar su consentimiento para
el tratamiento de sus datos personales, para lo cual el responsable
del fichero de datos deberá establecer mecanismos sencillos y
gratuitos que permitan al titular revocar su consentimiento al
menos por el mismo medio por el que lo otorgó.
Cuando el titular solicite la confirmación del cese del tratamiento
de sus datos personales, el responsable del fichero de datos deberá
responder por escrito a dicha solicitud.
En caso de que los datos personales hubiesen sido remitidos con
anterioridad a la fecha de revocación del consentimiento y sigan
siendo tratados por terceros, el responsable deberá hacer de su
conocimiento dicha revocación, para que procedan a efectuar lo
conducente.
Artículo 13. Procedimiento ante la negativa al cese en el
tratamiento de datos. En caso de negativa por parte del
responsable del fichero de datos al cese en el tratamiento de estos
ante la revocación del consentimiento, el titular de datos podrá
presentar ante la DIPRODAP la denuncia correspondiente.
CAPÍTULO III
OBLIGACIÓN DE INFORMAR AL TITULAR DE LOS DATOS
Artículo 14. Obligación de informar al Titular de los Datos.
El responsable del fichero de datos deberá dar a conocer de previo
al titular de los datos la información prevista en el artículo 7 de
la Ley a través de un aviso informativo de conformidad con lo
previsto en el presente Capítulo.
Artículo 15. Características del Aviso Informativo. El aviso
informativo deberá caracterizarse por ser sencillo, con información
necesaria, expresado en lenguaje claro y comprensible, y con una
estructura y diseño que facilite su entendimiento.
Artículo 16. Medios de Difusión. Para la difusión del aviso
informativo, el responsable del fichero de datos podrá valerse de
formatos físicos, electrónicos o de cualquier otra naturaleza,
siempre y cuando logre comprobar que cumplió con el deber de
informar al titular de los datos. En todos los casos, la carga de
la prueba recaerá en el responsable del fichero de datos.
La DIPRODAP podrá dictar norma de carácter general que regule otros
aspectos relacionados con lo establecido en este Capítulo.
CAPÍTULO IV
MEDIDAS DE SEGURIDAD PARA LA PROTECCIÓN DE DATOS
PERSONALES
Artículo 17. Desarrollo e Implementación de Medidas de
Seguridad. Para efectos de lo establecido en el artículo 11 de
la Ley, los responsables de ficheros de datos deberán desarrollar e
implementar medidas de seguridad técnica y organizativas que
resulten necesarias para garantizar la integridad, confidencialidad
y seguridad de los datos personales que traten. Dichas medidas
deberán ser proporcionales a sus operaciones, a los riesgos
inherentes a éstas y al tamaño de los ficheros de datos que
administren, y estarán sujetas a la aprobación de la DIPRODAP, la
cual podrá establecer estándares mínimos de seguridad mediante
normativa de carácter general que dicte al efecto.
CAPÍTULO V
DERECHOS DEL TITULAR DE LOS DATOS
Sección I
Disposiciones Generales
Artículo 18. Personas facultadas para el ejercicio de los
derechos. Los derechos a que se refiere la Ley y el presente
Reglamento podrán ser ejercidos por:
a) El titular de los datos, previa presentación del documento de
identidad requerido conforme la ley de la materia.
También podrán ser admisibles los instrumentos electrónicos por
medio de los cuales sea posible identificar al titular de los
datos, u otros mecanismos de autenticación permitidos por otras
disposiciones legales, o aquéllos previamente establecidos por el
responsable de ficheros de datos. La utilización del instrumento
electrónico que lo sustituya eximirá de la presentación del
documento de identificación a que se refiere este inciso, y
b) El representante del titular de los datos, previa presentación
del poder de representación suficiente y documento de identidad
requerido conforme la ley de la materia.
c) Los padres o tutores del titular de los datos, en el caso de
menores de edad, previa presentación de partida de nacimiento del
menor y cédula de identidad de los padres. En el caso del tutor, el
documento legal que lo acredite como tal.
d) Los sucesores universales del titular de los datos, en el caso
de personas fallecidas, previa presentación del documento legal que
lo acredite como tal y el certificado de defunción.
Artículo 19. Medios para el ejercicio de los derechos. El
titular de datos personales, para el ejercicio de sus derechos,
podrá presentar la solicitud respectiva ante el responsable del
fichero de datos conforme a los medios establecidos en la
Ley.
El responsable del fichero de datos podrá establecer formularios,
sistemas y otros métodos simplificados para facilitar a los
titulares de datos el ejercicio de sus derechos, lo cual deberá
darlo a conocer a través del aviso informativo a que se refiere
este Reglamento.
Artículo 20. Servicios de Atención al Público. El
responsable del fichero de datos deberá contar con servicios de
atención al público para atender las solicitudes de los titulares
de datos.
Artículo 21. Gratuidad del Ejercicio del Derecho de Modificación
de Datos. Conforme al artículo 21 de la Ley, el ejercicio de
los derechos de modificación de datos será gratuito.
El responsable del fichero de datos no podrá establecer como única
vía para la presentación de las solicitudes del ejercicio de los
derechos del titular algún servicio o medio que implique
costos.
Artículo 22. Registro de Solicitudes. El responsable de
ficheros de datos deberá tramitar toda solicitud que realice el
titular de datos personales en el ejercicio de sus derechos. El
plazo para que se atienda la solicitud según lo establecido en el
literal b) del artículo 19 de la Ley, empezará a computarse a
partir del día en que la misma haya sido recibida por el
responsable del fichero de datos, en cuyo caso, éste anotará en el
acuse de recibo que entregue al titular la correspondiente fecha de
recepción.
El plazo señalado se interrumpirá en caso de que el responsable
requiera información al titular, en términos de lo dispuesto por el
artículo siguiente.
Artículo 23. Requerimiento de Información Adicional. En caso
de que la información proporcionada en la solicitud sea
insuficiente o errónea para atenderla, el responsable de ficheros
de datos podrá requerir al titular, por una vez y dentro de los
cinco (5) días hábiles siguientes a la recepción de la solicitud,
que aporte los elementos o documentos necesarios para dar trámite a
la misma.
El titular contará con diez (10) días hábiles para atender el
requerimiento, contados a partir del día siguiente en que lo haya
recibido. De no dar respuesta en dicho plazo, se tendrá por no
presentada la solicitud correspondiente.
En caso de que el titular de los datos atienda el requerimiento de
información, el plazo para que el responsable del fichero de datos
dé respuesta a la solicitud empezará a correr al día siguiente
hábil de que el titular haya atendido el requerimiento.
Artículo 24. Respuesta por parte del Responsable. En todos
los casos, el responsable del fichero de datos deberá dar respuesta
a las solicitudes que reciba de parte del titular de los datos, con
independencia de que figuren o no datos personales del solicitante
en sus bases de datos.
La respuesta al solicitante deberá referirse exclusivamente a los
datos personales que específicamente se hayan indicado en la
solicitud correspondiente, y deberá presentarse en un formato
legible, comprensible y de fácil acceso. En caso de uso de códigos,
siglas o claves se deberán proporcionar los significados
correspondientes.
Sección II
Derecho de Acceso
Artículo 25. Derecho de Acceso. Conforme a lo dispuesto en
el artículo 17 de la Ley, el titular de datos personales tiene
derecho a solicitar y obtener del responsable de ficheros de datos
sus datos personales, así como información relativa a las
condiciones y generalidades del tratamiento de estos.
Artículo 26. Medios para el cumplimiento del Derecho de
Acceso. La obligación de dar acceso a datos personales se dará
por cumplida cuando el responsable del fichero de datos ponga a
disposición del titular los datos personales en sus oficinas, o
bien, los suministre a través de los medios previstos en el
artículo 18, inciso c) de la Ley, debiendo el remitente conservar
la constancia de envío y recepción correspondiente. En todos los
casos, el acceso deberá ser en formatos legibles o comprensibles
para el titular.
Artículo 27. Gratuidad del ejercicio del Derecho de Acceso a
Datos.
Los titulares de datos tendrán derecho al acceso de los mismos de
la manera siguiente:
a) Cuando solicite información a la DIPRODAP relativa a la
existencia de ficheros de datos personales, sus finalidades y la
identidad de sus responsables, de manera gratuita; y
b) Cuando solicite información al responsable del fichero de datos
relativa a sus datos personales y al tratamiento dado a los mismos,
de manera gratuita una vez al año, y pagando un cargo que cubra el
costo de procesamiento, las veces que lo desee.
Sección III
Derecho de Rectificación
Artículo 28. Derecho de Rectificación. De conformidad con lo
dispuesto por el artículo 19 de la Ley, el titular podrá solicitar
en todo momento al responsable del fichero de datos que rectifique
sus datos personales que resulten ser inexactos o
incompletos.
Artículo 29. Requisitos para el ejercicio del Derecho de
Rectificación. La solicitud de rectificación deberá indicar a
qué datos personales se refiere, así como, la corrección que haya
de realizarse y deberá ir acompañada de la documentación que
sustente la procedencia de lo solicitado. El responsable del
fichero de datos podrá ofrecer mecanismos que faciliten el
ejercicio de este derecho en beneficio del titular.
Sección IV
Derecho de Cancelación
Artículo 30. Derecho de Cancelación. La cancelación implica
el cese en el tratamiento por parte del responsable del fichero de
datos, a partir de un bloqueo de los mismos y su posterior
supresión.
Artículo 31. Ejercicio del Derecho de Cancelación. Salvo en
los casos previstos en el artículo 19, literal a), párrafo segundo,
de la Ley, el titular de los datos podrá solicitar en todo momento
al responsable del fichero de datos la cancelación de los datos
personales cuando hayan dejado de ser necesarios o pertinentes para
la finalidad que dio lugar a su tratamiento o cuando considere que
los mismos no están siendo tratados conforme a dicha Ley y el
presente Reglamento.
La cancelación procederá respecto de la totalidad de los datos
personales del titular, contenidos en una base de datos, o sólo
parte de ellos, según lo haya solicitado.
Artículo 32. Bloqueo. De resultar procedente la cancelación,
el responsable del fichero de datos deberá:
a) Establecer un período de bloqueo con el único propósito de
determinar posibles responsabilidades en relación con su
tratamiento hasta el plazo de prescripción legal o contractual de
éstas, y notificarlo al titular de los datos o a su representante
en la respuesta a la solicitud de cancelación;
b) Atender las medidas de seguridad adecuadas para el
bloqueo;
c) Transcurrido el período de bloqueo, llevar acabo la supresión
correspondiente, bajo las medidas de seguridad previamente
establecidas por el responsable del fichero de datos.
Artículo 33. Propósitos del Bloqueo. En términos del
artículo 3, literal b) de la Ley, el bloqueo tiene como propósito
impedir el tratamiento, a excepción del almacenamiento, o posible
acceso por persona alguna, salvo que alguna disposición legal
prevea lo contrario.
El periodo de bloqueo será hasta el plazo de prescripción legal o
contractual correspondiente y transcurrido éste, se procederá a la
cancelación de los datos personales en el fichero de datos en el
que se encuentran.
Sección V
Derecho de Oposición
Artículo 34. Derecho de Oposición. Para efectos de lo
establecido en el artículo 9, párrafo segundo de la Ley, el titular
de los datos tiene derecho a que no se lleve a cabo el tratamiento
de sus datos personales o se cese en el mismo, cuando no hubiere
prestado su consentimiento para su recopilación por haber sido
tomados de fuentes de acceso público.
Aún cuando hubiere prestado su consentimiento, el titular de los
datos tiene derecho a oponerse al tratamiento de sus datos, si
acredita la existencia de motivos fundados y legítimos relativos a
una concreta situación personal que justifiquen el ejercicio de
este derecho.
En caso que la oposición resulte justificada el responsable del
fichero de datos deberá proceder al cese del tratamiento que ha
dado lugar a la oposición.
No procederá el ejercicio del derecho de oposición en aquellos
casos en los que el tratamiento sea requerido por ley.
CAPÍTULO VI
PROCEDIMIENTO PARA INTERPONER LA ACCIÓN DE PROTECCIÓN DE DATOS
PERSONALES
Sección I
Disposiciones Generales
Artículo 35. De la investigación e instrucción del
expediente. Cuando la DIPRODAP tenga conocimiento de cualquier
infracción a la Ley, su Reglamento y demás disposiciones conexas,
iniciará la investigación e instrucción del expediente de
conformidad al procedimiento administrativo establecido en el
presente Reglamento.
Artículo 36. Inicio del procedimiento de protección de datos a
través de la vía administrativa. Para efectos de lo establecido
en el artículo 47 de la Ley, el procedimiento se iniciará a
instancia del titular de los datos o de su representante legal,
expresando con claridad el contenido de su reclamo y de los
preceptos de la Ley que se consideran vulnerados. La acción de
protección de datos personales deberá presentarse ante la
DIPRODAP.
Recibida la solicitud de acción de protección de datos personales
por la DIPRODAP, se dará traslado de la misma al responsable del
fichero de datos, para que, en el plazo de quince días hábiles,
emita respuesta, ofrezca las pruebas que estime pertinentes y
manifieste por escrito lo que tenga a bien.
La DIPRODAP admitirá las pruebas que estime pertinentes. Asimismo,
podrá solicitar del responsable del fichero de datos las demás
pruebas que estime necesarias. Concluido el proceso de análisis de
las pruebas, la DIPRODAP notificará al responsable el derecho que
le asiste para que, de considerarlo necesario, presente sus
alegatos dentro de los cinco días hábiles siguientes a su
notificación.
La DIPRODAP resolverá sobre la solicitud de acción de protección de
datos formulada, una vez analizadas las pruebas y demás elementos
de convicción que estime pertinentes, como pueden serlo aquéllos
que deriven de la o las audiencias que se celebren con las
partes.
Artículo 37. Plazo para resolver. El plazo máximo que tiene
la DIPRODAP para dictar la resolución en el procedimiento de
solicitudes de acción de protección de datos personales será de
cincuenta (50) días hábiles, contados a partir de la fecha de
presentación de la solicitud de acción correspondiente. Cuando haya
causa justificada, la DIPRODAP podrá ampliar por una vez y hasta
por un período igual este plazo.
Artículo 38. Presentación de solicitudes incompletas. En
caso de que la solicitud de acción de protección de datos
personales no satisfaga alguno de los requisitos de información a
que se refiere el artículo 42 de este Reglamento, y la DIPRODAP no
cuente con elementos para subsanarlo, se prevendrá al titular de
los datos, por una sola ocasión, para que subsane las omisiones
dentro de un plazo de cinco (5) días hábiles contados a partir de
la respectiva notificación. Transcurrido el plazo sin que se
completen o subsanen las omisiones notificadas, se tendrá por no
presentada la solicitud de acción de protección de datos
personales. La prevención tendrá el efecto de interrumpir el plazo
que tiene la DIPRODAP para resolver la solicitud de acción de
protección de datos.
Artículo 39. Causales de denegación de solicitudes de
acción. La solicitud de acción de protección de datos
personales será denegada por improcedente en los siguientes
casos:
a) Cuando la DIPRODAP no sea competente;
b) Cuando la DIPRODAP haya conocido anteriormente de la solicitud
de acción de protección de datos personales contra el mismo acto y
resuelto en definitiva respecto del mismo recurrente;
c) Cuando se esté tramitando ante los tribunales competentes algún
recurso o medio de defensa interpuesto por el titular de los datos
que pueda tener por efecto modificar o revocar el acto respectivo;
o
Artículo 40. Conciliación. Una vez admitida la solicitud de
acción de protección de datos, la DIPRODAP citará a las partes a un
proceso de conciliación entre el titular de los datos y el
responsable del fichero de datos.
Artículo 41. Procedimiento de conciliación. Admitida la
solicitud, la DIPRODAP promoverá la conciliación entre las partes,
la cual se llevará a cabo siguiéndose el procedimiento que para tal
efecto establezca la DIPRODAP mediante normativa de carácter
general.
De llegarse a un acuerdo de conciliación entre las partes, éste se
hará constar por escrito y tendrá efectos vinculantes. La solicitud
de acción de protección de datos personales quedará sin efectos y
la DIPRODAP verificará el cumplimiento del acuerdo
respectivo.
Artículo 42. Resoluciones favorables al solicitante. En caso
que la acción de protección de datos personales resulte favorable
al solicitante, la DIPRODAP requerirá al responsable del fichero de
datos que dentro de los diez (10) días hábiles siguientes a la
notificación de la resolución respectiva, haga efectivo el
ejercicio del derecho a la acción de protección de datos
personales, debiendo dar cuenta por escrito de dicho cumplimiento a
la DIPRODAP dentro de los siguientes diez (10) días hábiles.
El responsable del fichero de datos procederá al cumplimiento de la
resolución que dicte la DIPRODAP sin costo alguno para el
solicitante.
Sección II
Disposiciones Particulares
Artículo 43. Requisitos de información de la solicitud. La
solicitud de acción de protección de datos personales será
presentada ante la DIPRODAP, por escrito, y deberá contener la
siguiente información:
a) El nombre del titular de los datos o, en su caso, el de su
representante legal;
b) El nombre del responsable del fichero de datos que motivó la
presentación de la acción de protección de datos personales;
c) Los actos que motivan su solicitud de acción de protección de
datos personales;
d) Las pruebas que ofrece para demostrar sus afirmaciones;
e) El domicilio para oír y recibir notificaciones; y
f) Los demás elementos que se considere procedente hacer del
conocimiento de la DIPRODAP.
Artículo 44. Plazo para admitir la solicitud. La DIPRODAP
deberá admitir o rechazar la solicitud de acción de protección de
datos personales en un plazo no mayor a diez (10) días hábiles a
partir de su recepción.
Admitida la solicitud, la DIPRODAP notificará la misma al
solicitante y correrá traslado al responsable del fichero de datos,
en un plazo no mayor a diez (10) días hábiles, anexando copia de
todos los documentos que el solicitante hubiere aportado, a efecto
de que manifieste lo que a su derecho convenga en un plazo de
quince (15) días hábiles a partir de la notificación, debiendo
ofrecer las pruebas que considere pertinentes.
Artículo 45. Admisión o rechazo de pruebas. La DIPRODAP
resolverá sobre la admisión o rechazo de las pruebas presentadas
por el responsable del fichero de datos, y de ser necesario, éstas
serán evacuadas en una audiencia, de la cual se notificará el
lugar, la fecha y hora a las partes.
Artículo 46. Presentación de alegatos finales. Dictada la
resolución que tenga por evacuadas todas las pruebas, se pondrán
las actuaciones a disposición de las partes para que éstos, en caso
de quererlo, formulen alegatos en un plazo de cinco (5) días
hábiles, contados a partir de la notificación de la resolución a
que se refiere este artículo. Al término de dicho plazo, se cerrará
la instrucción y la DIPRODAP emitirá su resolución
definitiva.
Artículo 47. Tercero interesado. En caso de que no se haya
señalado tercero interesado, éste podrá a personarse en el
procedimiento mediante escrito en el que acredite interés jurídico
para intervenir en el asunto, hasta antes del cierre de
instrucción. Deberá adjuntar a su escrito el documento en el que se
acredite su personalidad cuando no actúe en nombre propio y las
pruebas documentales que ofrezca.
Artículo 48. Recursos contra las Resoluciones de la
DIPRODAP. Contra las resoluciones que dicte la DIPRODAP, se
podrán interponer los recursos previstos en el artículo 52 de la
Ley.
CAPÍTULO VII
PROCEDIMIENTO DE INSPECCIÓN
Artículo 49. Inicio del procedimiento. Con el objeto de
comprobar el cumplimiento de las disposiciones previstas en la Ley
o en la regulación que de ella derive, la DIPRODAP podrá, de oficio
o a petición de parte, iniciar el procedimiento de inspección,
requiriendo al responsable del fichero de datos la documentación
necesaria o realizando las visitas en el establecimiento en donde
se encuentren las bases de datos respectivas.
Cualquier persona podrá denunciar ante la DIPRODAP las presuntas
violaciones a las disposiciones previstas en la Ley o en la
regulación que de ella derive. En este caso, la DIPRODAP acusará
recibo de la misma y podrá solicitar al denunciante la
documentación que estime pertinente para determinar la procedencia
o no de la denuncia presentada.
Artículo 50. Visitas de Inspección. Los inspectores de
fichero de datos que lleven a cabo visitas de inspección deberán
estar provistos de la orden de inspección firmada por la autoridad
competente de la DIPRODAP, en la que deberá precisarse la
información establecida en el artículo 43 de la Ley.
Artículo 51. Identificación de los Inspectores de Ficheros de
Datos. Para efectos de lo establecido en el artículo 33 de la
Ley, al iniciar la visita, los inspectores de ficheros de datos
deberán exhibir credencial vigente con fotografía, que contenga su
nombre completo y apellidos, y número de empleado, expedida por la
DIPRODAP que lo acredite para desempeñar dicha función, así como la
orden escrita fundada y motivada a la que se refiere el artículo
anterior, de la que deberá dejar copia con quien se entendió la
visita.
Artículo 52. Acta de Inspección. Las visitas de inspección
concluirán con el levantamiento del acta correspondiente, en la que
quedará constancia de las actuaciones practicadas durante la visita
o visitas de inspección. Dicha acta se levantará en presencia de
dos testigos propuestos por la persona con quien se hubiera
entendido la diligencia o por quien la practique si aquélla se
hubiera negado a proponerlos.
El acta que se emita por duplicado será firmada por el inspector
respectivo y por el responsable del fichero de datos, encargado o
con quien se haya entendido la actuación, quien podrá manifestar lo
que a su derecho convenga.
En caso de que el responsable del fichero de datos o encargado se
niegue a firmar el acta, se hará constar expresamente esta
circunstancia en la misma. Dicha negativa no afectará la validez de
las actuaciones o de la propia acta. La firma del responsable o
encargado no supondrá su conformidad, sino tan sólo la recepción de
la misma.
El inspector deberá entregar al responsable del fichero de datos
uno de los originales del acta de inspección, incorporando el otro
a las actuaciones.
Artículo 53. Contenido de las Actas de Inspección. En las
actas de inspección se hará constar lo siguiente:
a) Nombre, denominación o razón social del responsable del fichero
de datos;
b) Hora, día, mes y año en que se inicie y concluya la
inspección;
c) La dirección de las oficinas del responsable del fichero de
datos donde se practique la inspección, así como, número
telefónico, fax, correo electrónico
u otra forma de comunicación disponible;
d) Número y fecha de la orden que la motivó;
e) Nombre y cargo de la persona con quien se entendió la
inspección;
f) Nombre y domicilio de las personas que fungieron como
testigos;
g) Datos relativos a la actuación;
h) Declaración del responsable del fichero de datos o encargado, si
quisiera hacerla, y
i) Nombre y firma de quienes intervinieron en la inspección,
incluyendo los de quienes la hubieran llevado a cabo. Si se negara
a firmar el inspeccionado, su representante legal o la persona con
quien se entendió la inspección, ello no afectará la validez del
acta, debiendo el personal inspector asentar la razón
relativa.
Los responsables de ficheros de datos a quienes se haya levantado
acta de inspección, podrán formular observaciones en el acto de la
inspección y manifestar lo que a su derecho convenga en relación a
los hechos contenidos en ella, o bien, por escrito dentro del
término de los cinco (5) días hábiles siguientes a la fecha en que
se hubiere levantado.
Artículo 54. Resolución. El procedimiento de inspección
concluirá con la resolución que emita la DIPRODAP, en la cual, en
su caso, se establecerán las medidas que deberá adoptar el
responsable del fichero de datos en el plazo que la misma
establezca.
La resolución de la DIPRODAP podrá instruir el inicio del
procedimiento de imposición de sanciones o establecer un plazo para
su inicio, el cual se llevará a cabo conforme a lo dispuesto por la
Ley y el presente Reglamento.
La resolución de la DIPRODAP será notificada al responsable del
fichero de datos inspeccionado y al denunciante.
Artículo 55. Medios de Impugnación. En contra de la
resolución que dicte la DIPRODAP, se podrán interponer los recursos
previstos en el artículo 52 de la Ley.
CAPÍTULO VIII
PROCEDIMIENTO SANCIONADOR
Artículo 56. Inicio. La DIPRODAP iniciará el procedimiento
de imposición de sanciones cuando determine presuntas infracciones
a la Ley y a las regulaciones que de ella se deriven, susceptibles
de ser sancionadas conforme al artículo 46 de la misma. Finalizado
el procedimiento respectivo, se emitirá la resolución
correspondiente.
El procedimiento iniciará con la notificación que se haga al
presunto infractor, en el domicilio que la DIPRODAP tenga
registrado.
La notificación irá acompañada de un informe que describa los
hechos constitutivos de la presunta infracción, emplazando al
presunto infractor para que en un término de quince (15) días
hábiles, contados a partir de la notificación, manifieste lo que
tenga a bien y rinda las pruebas que estime convenientes.
Artículo 57. Ofrecimiento y Evacuación de Pruebas. El
presunto infractor en su contestación se manifestará concretamente
respecto de cada uno de los hechos que se le imputen de manera
expresa, afirmándolos, negándolos, señalando que los ignora por no
ser propios o exponiendo cómo ocurrieron, según sea el caso; y
presentará los argumentos por medio de los cuales desvirtúe la
infracción que se presume y las pruebas correspondientes.
En caso de que se ofrezca prueba pericial o testimonial, se
precisarán los hechos sobre los que deban versar y se señalarán los
nombres y domicilios del perito o de los testigos, exhibiéndose el
cuestionario o el interrogatorio respectivo en preparación de las
mismas. Sin estos señalamientos se tendrán por no ofrecidas dichas
pruebas.
Artículo 58. Admisión o Rechazo de las Pruebas. Una vez
presentadas las pruebas por el presunto infractor, la DIPRODAP
deberá resolver si las admite o rechaza, y se procederá a su
evacuación.
De ser necesario, se determinará lugar, fecha y hora para la
evacuación de pruebas, que por su naturaleza así lo requieran. Se
levantará un acta de la celebración de la audiencia y de la
evacuación de las pruebas.
Artículo 59. Cierre de Instrucción y Resolución. Evacuadas,
en su caso, las pruebas, se notificará al presunto infractor que
cuenta con cinco (5) días hábiles para presentar alegatos, contados
a partir del día siguiente de que surta efectos la notificación. Al
término de dicho plazo se cerrará la instrucción y la resolución de
la DIPRODAP deberá emitirse en un plazo no mayor de cincuenta (50)
días hábiles, siguientes a los que inició el procedimiento.
Cuando haya causa justificada, la DIPRODAP podrá ampliar por una
vez y hasta por un período igual el plazo de cincuenta días al que
refiere el párrafo anterior.
Artículo 60. Medios de Impugnación. En contra de la
resolución que dicte la DIPRODAP, se podrán interponer los recursos
previstos en el artículo 52 de la Ley.
CAPÍTULO IX
DISPOSICIONES FINALES
Artículo 61. Excepciones. Para efectos de lo establecido en
el artículo 24 de la Ley, la Policía Nacional y el Ejército de
Nicaragua podrán emitir las disposiciones administrativas
correspondientes al tratamiento de datos personales contenidos en
sus ficheros de datos, sin detrimento de lo establecido en la Ley y
el presente Reglamento.
Artículo 62. Potestad Normativa. De conformidad con las
facultades establecidas en el artículo 29, inciso b) de la Ley,
corresponderá a la DIPRODAP regular mediante normas de carácter
general y disposiciones administrativas aspectos que resulten
necesarios para dar cumplimiento a los preceptos establecidos en la
Ley y en el presente reglamento.
Artículo 63. Vigencia. El presente reglamento entrará en
vigencia a partir de su publicación en La Gaceta, Diario
Oficial.
Dado en la Ciudad de Managua, Casa de Gobierno, República de
Nicaragua, el día diecisiete de Octubre del año dos mil doce.
Daniel Ortega Saavedra, Presidente de la República de
Nicaragua. Iván Acosta Montalván, Ministro de Hacienda y
Crédito Público.
-
© 2024 Justia
