Normas Jurídicas
de Nicaragua
Materia: Constitucional y Otras Normas
Fundamentales
Rango: Leyes
-
LEY DE PROTECCIÓN DE DATOS
PERSONALES
LEY No. 787, Aprobada el 21 de Marzo del 2012
Publicada en La Gaceta No. 61 del 29 de Marzo del 2012
ASAMBLEA NACIONAL
Ley No. 787
El Presidente de la República de Nicaragua A sus habitantes,
Sabed:
Que,
LA ASAMBLEA NACIONAL
CONSIDERANDO
I
El Estado nicaragüense tiene la obligación de promover y garantizar
el bien común, asumiendo la tarea de promover el desarrollo humano
protegiéndolo de todo tipo de explotación, discriminación y
exclusión.
II
Que son principios de la nación nicaragüense: la libertad, la
justicia y el respeto a la dignidad de la persona humana.
III
Que los nicaragüenses tienen derecho, a su vida privada y la de su
familia, a la inviolabilidad de su domicilio, su correspondencia y
sus comunicaciones de todo tipo, al respeto de su honra y
reputación, así como a saber por qué y con qué finalidad se tiene
información personal.
IV
Que todas las disposiciones señaladas en esta ley, encuentran
asidero en los estándares internacionales existentes en materia de
protección de datos, y en un marco doctrinal y explicativo que ya
cuenta con gran solidez en el marco latinoamericano.
V
Que es necesario un equilibrio con otras leyes aprobadas por la
Asamblea Nacional, como es la Ley No. 621, Ley de Acceso a la
Información Pública , preparando el camino para una adecuada
calificación de los avances nicaragüenses, mediante la
implementación de las garantías que se establece en el artículo 26
de la Constitución Política de la República de Nicaragua.
VI
Que se necesita mantener la competitividad del país en actividades
comerciales donde la tutela de los datos personales es preocupación
central.
POR TANTO
En uso de sus facultades,
HA DICTADO
La siguiente:
LEY DE PROTECCIÓN DE DATOS
PERSONALES
Capítulo I
Definiciones generales
Artículo 1 Objeto
La presente ley tiene por objeto la protección de la persona
natural o jurídica frente al tratamiento, automatizado o no, de sus
datos personales en ficheros de datos públicos y privados, a efecto
de garantizar el derecho a la privacidad personal y familiar y el
derecho a la autodeterminación informativa.
Art. 2. Ámbito de aplicación
Las disposiciones de la presente ley serán aplicables al
tratamiento de los datos personales que se encuentran en los
ficheros de datos públicos y privados.
Art. 3. Definiciones
Para la presente ley se entiende por:
a) Autodeterminación Informativa: Es el derecho que tiene
toda persona a saber quién, cuándo, con qué fines y en qué
circunstancias toman contacto con sus datos personales.
b) Bloqueo: Es la identificación y conservación de datos
personales una vez cumplida la finalidad para la cual fueron
recabados, con el único propósito de determinar posibles
responsabilidades en relación con su tratamiento, hasta el plazo de
prescripción legal o contractual de éstas. Durante dicho periodo,
los datos personales no podrán ser objeto de tratamiento y
transcurrido éste, se procederá a su cancelación en el fichero de
datos en el que se encuentran.
c) Cesión o transferencia: Es la trasmisión de los datos
personales a una persona distinta de su titular.
d) Consentimiento del titular: Es toda manifestación de
voluntad, \ libre, inequívoca, específica e informada,
mediante la cual el titular de los datos consiente el tratamiento
de sus datos personales.
e) Datos personales: Es toda la información sobre una
persona natural o jurídica que la identifica o la hace
identificable.
f) Datos personales informáticos: Son los datos personales
tratados a través de medios electrónicos o automatizados.
g) Datos personales sensibles: Es toda información que
revele el origen racial, étnico, filiación política, credo
religioso, filosófico o moral, sindical, relativo a su salud o vida
sexual, antecedentes penales o faltas administrativas, económicos
financieros; así como información crediticia y financiera y
cualquier otra información que pueda ser motivo de
discriminación.
h) Disociación de datos: Es todo tratamiento de datos
personales de manera que la información obtenida no pueda asociarse
a persona determinada.
i) Ficheros de datos: Son los archivos, registros, bases o
bancos de datos, públicos y privados, que contienen de manera
organizada los datos personales, automatizados o no.
j) Fuentes de acceso público: Son aquellos ficheros cuya
consulta puede ser realizada por cualquier persona, sin más
exigencia que, el abono de una contraprestación. Tienen la
consideración de fuentes de acceso público: La Gaceta, Diario
Oficial, los medios de comunicación, el censo, las guías
telefónicas en los términos previstos por su normativa específica y
los directorios de personas pertenecientes a grupos de
profesionales que contengan únicamente los datos de nombre, título,
profesión, actividad, grado académico, dirección e indicación de su
pertenencia al grupo.
k) Responsable de ficheros de datos: Es toda persona natural
o jurídica, pública o privada, que conforme Ley decide sobre la
finalidad y contenido del tratamiento de los datos
personales.
l) Tercero: Es toda persona, pública o privada que realice a
su arbitrio el tratamiento de datos personales, ya sea en ficheros
de datos propios o a través de conexión con los
mismos.
m) Titular de los datos: Es toda persona natural o jurídica
a la que conciernen los datos personales.
n) Tratamiento de datos: Son las operaciones y
procedimientos sistemáticos, automatizados o no, que permiten la
recopilación, registro, grabación, conservación, ordenación,
almacenamiento, modificación, actualización, evaluación, bloqueo,
destrucción, supresión, utilización y cancelación, así como la
cesión de datos personales que resulten de comunicaciones,
consultas, interconexiones y transferencias.
Art. 4. Creación de ficheros de datos
La creación de ficheros de datos personales será lícita cuando se
encuentren debidamente autorizados y registrados, mediante
consentimiento del titular, salvo excepciones de ley. Los ficheros
de datos no pueden tener fines distintos a los permitidos por esta
ley.
Art. 5. Requisitos para la obtención de datos
personales
Para obtener los datos personales, se requiere lo siguiente:
a) Que sean adecuados, proporcionales y necesarios en relación al
ámbito y fin para el que se colectan; y
b) Que se haga por medios lícitos que garanticen el derecho de toda
persona a la autodeterminación informativa.
Art. 6. Consentimiento
El titular de los datos deberá dar por sí o por su representante
legal o apoderado el consentimiento para la entrega de los datos,
salvo que la ley disponga otra cosa dentro de los límites
razonables.
La razonabilidad deberá ser considerada por la Dirección de
Protección de Datos Personales, si se le planteare alguna
controversia. Lo anterior, tiene tanto para los ficheros de datos
de titularidad pública como privada.
El consentimiento deberá ser otorgado por escrito o por otro medio
idóneo, físico o electrónico. Dicho consentimiento podrá ser
revocado sin efecto retroactivo, por cualquiera de los medios
permitidos por la ley.
No será necesario el consentimiento cuando:
a) Exista orden motivada, dictada por autoridad judicial
competente;
b) Los datos personales se sometan a un procedimiento previo de
disociación;
c) Tenga el propósito de cumplir obligaciones derivadas de una
relación jurídica entre el titular y el responsable; y
d) Los datos se obtengan de fuentes de acceso público irrestricto y
se trate de listados cuyos datos se limiten a nombre, documento
nacional de identidad, y fecha de nacimiento.
Capítulo II
De los responsables de los ficheros de datos
Art. 7. Obligación de informar al obtener los datos
personales
El responsable de los ficheros de datos personales, deberá informar
previamente a los titulares de los mismos de forma expresa y clara
lo siguiente:
a) La finalidad para la que serán utilizados y quiénes pueden ser
sus destinatarios o clase de destinatarios;
b) La existencia del fichero de datos electrónicos o de cualquier
otro tipo, de que se trate y la identidad y domicilio de su
responsable;
c) El carácter obligatorio o facultativo de las respuestas al
cuestionario que se le proponga, en especial en cuanto a los datos
referidos en el artículo siguiente;
d) Las consecuencias de proporcionar los datos personales, de la
negativa a hacerlo o de la inexactitud de los mismos;
e) La garantía de ejercer por parte del titular el derecho de
acceso, rectificación, modificación, supresión, complementación,
inclusión, actualización y cancelación de los datos
personales;
f) Cuando los datos procedan de fuentes accesibles al público y se
utilicen para hacer envíos publicitarios o promocionales, en cada
comunicación que se dirija al titular de los mismos se le informará
del origen de los datos y de la identidad del responsable del
tratamiento así como de los derechos que le asisten;
g) Los datos sólo pueden ser utilizados para los fines que
motivaron su tratamiento; y no podrán ser utilizados para otros
fines;
h) Los datos inexactos, incompletos, o que estén en desacuerdo con
la realidad de los que le corresponden a la persona, serán
rectificados, modificados, suprimidos, completados, incluidos,
actualizados o cancelados según corresponda;
i) Los datos personales deben ser almacenados de modo que permitan
el derecho de acceso del titular a los mismos;
j) Los datos personales deben ser cancelados cuando hayan dejado de
ser necesarios a los fines para los cuales hubiesen sido
tratados;
k) Están prohibidos los ficheros de datos personales que no reúnan
condiciones técnicas de integridad, confidencialidad y seguridad;
y
l) Queda prohibida la creación de ficheros de datos personales que
almacenen información de datos sensibles, salvo lo dispuesto en la
ley. Sin perjuicio de ello, las diferentes sociedades mercantiles y
asociaciones sin fines de lucro, pueden almacenar datos de sus
miembros.
Art. 8. Categorías de los datos personales
Los datos personales comprenden la información concerniente a
personas naturales o jurídicas identificadas o identificables y
tendrán las categorías siguientes:
a) Datos personales sensibles: sólo pueden ser obtenidos y tratados
por razones de interés general en la Ley, o con el consentimiento
del titular de datos, u ordenados por mandato judicial. También
podrán ser tratados con finalidades estadísticas o científicas
cuando no puedan ser identificados sus titulares. Los datos
personales relativos a los antecedentes penales o faltas
administrativas sólo pueden ser tratados por las autoridades
públicas competentes, en la esfera de sus competencias;
b) Los datos personales relativos a la salud, en los hospitales,
clínicas, centros y puestos de salud, públicos y privados, y los
profesionales vinculados a las ciencias de la salud: sólo pueden
ser los relativos a la salud física o mental de los pacientes que
acudan a los mismos o que estén o hubieren estado bajo tratamiento
de aquellos, respetando el secreto profesional;
c) Datos personales informáticos: Son los datos personales tratados
a través de medios electrónicos o automatizados;
d) Datos personales comerciales: son datos sensibles de las
Empresas las bases de datos de clientes, proveedores y recursos
humanos, para fines de publicidad y cualquier otros datos que se
consideren información comercial o empresarial reservada
fundamentalmente para el libre ejercicio de sus actividades
económicas.
Todos los datos personales sólo podrán ser revelados por
consentimiento del Titular de los datos, por ley expresa de interés
social o por mandato judicial.
Art. 9. Sobre el tratamiento de datos personales
Todo tratamiento de datos personales estará sujeto al
consentimiento de su titular, salvo las excepciones previstas en la
presente Ley.
Los datos personales sólo podrán ser tratados, cuando sean
adecuados, proporcionales y necesarios en relación con el ámbito y
las finalidades determinadas, explícitas y legítimas para las que
se hayan solicitado. Los derechos de oposición, acceso,
modificación, supresión, bloqueo, inclusión, complementación,
rectificación o cancelación de los datos tratados se ejercerán
mediante comunicación por escrito.
Ninguna persona que solicite la prestación o adquisición de bienes
y servicios está obligada a brindar a las instituciones públicas y
privadas, mayor información o datos personales que aquellos que
sean adecuados, proporcionales y necesarios para la prestación de
los mismos.
El tratamiento de los datos personales del usuario o comprador debe
tener como finalidad facilitar la mejora, ampliación, venta,
facturación, gestión, prestación del servicios y adquisición de
bienes.
El responsable del fichero y en su caso, el encargado del
tratamiento deberán adoptar las medidas de índole técnicas y
organizativas necesarias para garantizar la seguridad de los datos
personales y evitar su acceso, uso, alteración, pérdida,
revelación, transferencia o divulgación no autorizada.
Art. 10. Derecho al olvido digital
El titular de los datos tiene derecho a solicitar a las redes
sociales, navegadores y servidores que se supriman y cancelen los
datos personales que se encuentren en sus ficheros.
En los casos de ficheros de datos de instituciones públicas y
privadas que ofrecen bienes y servicios y que por razones
contractuales recopilan datos personales una vez terminada la
relación contractual, el titular de los mismos puede solicitar que
se suprima y cancele toda la información personal que se registró
mientras era usuario de un servicio o comprador de un bien.
Art. 11. Medidas de seguridad
El responsable del fichero de datos debe adoptar las medidas
técnicas y organizativas que resulten necesarias para garantizar la
integridad, confidencialidad y seguridad de los datos personales,
para evitar su adulteración, pérdida, consulta, tratamiento,
revelación, transferencia o divulgación no autorizada, y que
permitan detectar desviaciones, intencionales o no, de información
privada, ya sea que los riesgos provengan de la acción humana o del
medio técnico utilizado.
Cuando los datos personales se refieran a los miembros de la
Policía Nacional o del Ejército de Nicaragua y fallaren o se
inobservaren las medidas de seguridad a las que se refiere el
párrafo anterior, el responsable de fichero de datos deberá
informar inmediatamente a la Institución afectada para lo de su
cargo.
Art. 12. Confidencialidad en el tratamiento de los
datos
El responsable del fichero de datos y las personas que intervengan
en cualquier fase del tratamiento de datos personales están
obligados al secreto profesional respecto de los mismos. Tal
obligación subsistirá aun después de finalizada su relación con el
responsable del fichero de datos.
El titular de los datos personales tratados en ficheros de datos,
tiene derecho a ser informado sobre las políticas de privacidad que
adopta el responsable del fichero, y que se le notifique cualquier
modificación de las mismas.
El obligado podrá ser relevado del deber de secreto por resolución
judicial y cuando medien razones fundadas relativas a la seguridad
nacional, defensa nacional, seguridad pública o la salud
pública.
Art. 13. Cesión y transferencia de datos personales
Los datos personales se podrán ceder y transferir cuando, los fines
estén directamente relacionados con el interés legítimo del cedente
y del cesionario y con el previo consentimiento del titular de los
datos, al que se le deberá informar sobre la finalidad de la cesión
e identificar al cesionario.
El consentimiento para la cesión es revocable, mediante
notificación por escrito o por cualquier otra vía que se le
equipare, según las circunstancias, al responsable del fichero de
datos. Este no podrá ser exigido cuando lo disponga una ley, se
realice entre instituciones del Estado en el ejercicio de sus
atribuciones, se trate de razones de salud pública, de interés
social, de seguridad nacional o se hubiere aplicado un
procedimiento de disociación de datos, de modo que no se pueda
atribuir a una persona determinada.
Art. 14. Prohibiciones y excepciones de cesión y transferencia
de datos
Se prohíbe la cesión y transferencia de datos personales de
cualquier tipo con países u organismos internacionales, que no
proporcionen niveles de seguridad y protección adecuados.
La prohibición no regirá en los supuestos de colaboración judicial
internacional, intercambio de datos personales en materia de salud,
cuando sea necesaria para una investigación epidemiológica,
transferencias bancarias o bursátiles, conforme la legislación de
la materia, cuando la transferencia se hubiere acordado en el marco
de tratados internacionales ratificados por el Estado de Nicaragua
y cuando la transferencia tenga por objeto la cooperación
internacional entre organismos de inteligencia, en los delitos
regulados en la Ley No. 735, Ley de Prevención, Investigación y
Persecución del Crimen Organizado y de la Administración de los
Bienes Incautados, Decomisados y Abandonados , publicada en La
Gaceta, Diario Oficial No. 199 y 200 del 19 y 20 de octubre de 2010
respectivamente, en los Delitos Relacionados con Estupefacientes,
Psicotrópicos y otras Sustancias Controladas, Delitos Contra la
Seguridad del Estado y Delitos Contra el Orden Internacional
tipificados en la Ley No. 641, Código Penal , publicado en La
Gaceta, Diario Oficial No. 83, 84, 85, 86 y 87 correspondientes a
los días 5, 6, 7, 8 y 9 de mayo de 2008.
Art. 15. Procedimiento para la cesión y transferencia de
datos
Para la cesión y transferencia de datos personales y que se
encuentren en ficheros de datos públicos o privados, se deberá
cumplir el siguiente procedimiento:
a) La cesión y transferencia de datos personales se realizará a
solicitud de una persona legalmente autorizada;
b) La solicitud deberá contener el objeto y la finalidad que se
persigue con dicha información;
c) El responsable del fichero de datos deberá cumplir con las
medidas de seguridad y confidencialidad de los datos personales,
verificando que el solicitante cumpla de igual manera con éstas
medidas;
d) El responsable del fichero de datos personales deberá informar a
la persona titular de los datos, la solicitud de transferencia y el
propósito que se persigue, para su consentimiento; con las
excepciones contenidas en el artículo anterior;
e) El solicitante y el responsable del fichero de datos, deberán
evitar que la información suministrada sea enviada a terceras
personas; y
f) El responsable del fichero de datos deberá informar a la
Dirección de Protección de Datos Personales, la transferencia de
datos realizada.
Capítulo III
Derechos del titular de los datos
Art. 16. Derecho a solicitar información
El titular de los datos puede solicitar información a la Dirección
de Protección de Datos Personales, relativa a la existencia de
ficheros de datos personales, sus finalidades y la identidad de sus
responsables. El registro que se lleve al efecto será de consulta
pública y gratuita.
Art. 17. Derechos del titular de los datos
El titular de los datos personales tiene derecho a lo
siguiente:
a) A solicitar y obtener información de sus datos personales
tratados en los ficheros de datos públicos y privados;
El informe que se rinda en atención a la solicitud del titular de
los datos personales, debe garantizar el acceso a la información
personal objeto de tratamiento por un fichero de datos público o
privado, la forma en que sus datos fueron recopilados y las razones
que motivaron su recopilación, y las transferencias o cesiones que
se realizaron. Debe conservarse la constancia de su envío y
recepción;
b) A que se le permita rectificar, modificar, suprimir,
complementar, incluir, actualizar o cancelar sus datos
personales;
c) El informe se debe proporcionar dentro de los diez días hábiles
siguientes a la recepción de la solicitud; vencido el plazo sin que
se haya rendido el informe, el interesado puede promover la acción
de protección de datos personales prevista en esta Ley;
d) El ejercicio del derecho al cual se refiere este artículo en el
caso de datos de personas fallecidas le corresponderá a sus
sucesores universales, previa acreditación; y
b) A no ser obligada a proporcionar datos personales de carácter
sensible, salvo las excepciones establecidas en la presente
Ley.
Art. 18. Requisitos de la información
La información debe llenar los requisitos siguientes:
a) Ser clara y sencilla, accesible al conocimiento de la población
y titular de los datos personales
b) Ser amplia y pertenecer al titular, aun cuando lo solicitado
sólo comprenda un aspecto de los datos personales. No se podrá
revelar datos relacionados a terceros, aún cuando se vinculen con
aquel; y
c) Podrá suministrarse por escrito, medios electrónicos,
telefónicos, de imagen, o por cualquier otro que determine el
interesado, a opción del titular, y de acuerdo a la capacidad
técnica del responsable de fichero de datos.
Art. 19. Derechos de modificación de los datos
Toda persona tiene derecho a:
a) A Solicitar la rectificación, modificación, supresión,
complementación, inclusión, actualización y cancelación de los
datos personales de los que sea titular, que estén incluidos en un
fichero de datos.
Los datos de carácter personal serán cancelados cuando hayan dejado
de ser necesarios o pertinentes para la finalidad que dio lugar a
su tratamiento. La cancelación de los datos no procede por razones
de interés social, de seguridad nacional, de salud pública o por
afectarse derechos de terceros, en los términos que lo disponga la
Ley;
b) A que el responsable del fichero de datos, proceda a rectificar,
modificar, suprimir, complementar, incluir, actualizar o cancelar
los datos personales del titular, dentro de los cinco días hábiles
de recibido la solicitud del titular de los mismos, informándole
por escrito, o por cualquier otro medio que se le equipare según
las circunstancias, de manera completa, clara y sencilla el
tratamiento realizado;
c) A que si el responsable del fichero de datos no cumple con la
obligación que le impone el inciso anterior, el titular puede
ejercitar la acción de protección de datos prevista en esta
Ley;
d) En el caso que la información se haya cedido, el responsable del
fichero de datos debe comunicar la rectificación, modificación,
supresión, complementación, inclusión, actualización y cancelación
de los datos personales al cesionario, dentro de los cinco días
hábiles siguientes en que se haya resuelto el tratamiento
correspondiente;
e) Durante el procedimiento que se siga de verificación y
rectificación del error o falsedad de los datos personales que
conciernen al titular, el responsable del fichero de datos debe
bloquear los datos materia de la solicitud o consignar al proveer
la información relativa que se tramita un procedimiento con
determinado objeto; y
f) A que los datos personales se conserven durante cinco años o por
el término que las disposiciones contractuales entre las partes
acuerden, así como cuando éstos hayan dejado de ser adecuados,
proporcionales y necesarios para el ámbito y las finalidades que
fueron solicitados.
Art. 20. Excepcionalidad para la modificación de los
datos
Los responsables de ficheros de datos, pueden negar la
rectificación, modificación, supresión, complementación, inclusión,
actualización y cancelación de los datos personales solicitada,
cuando exista una resolución judicial que determine la no
modificación. Los responsables de ficheros de datos deben poner en
conocimiento al titular de los datos personales sobre dicha
resolución. Se deberá garantizar acceso al titular de los datos
personales que les conciernen en los ficheros de datos, en el
momento en que tenga que ejercer su derecho de defensa.
Art. 21. Gratuidad de modificación de los datos
La rectificación, modificación, supresión, complementación,
inclusión, actualización y cancelación de los datos personales
inexactos o incompletos que se encuentren en ficheros de datos se
llevará a cabo de manera gratuita para el titular.
Capítulo IV
Ficheros y responsables de ficheros de datos
personales
Art. 22. Obligatoriedad de inscripción en el registro de
ficheros de datos
Todo responsable de fichero de datos deberá inscribirse en el
Registro de ficheros de datos que al efecto habilite la Dirección
de Protección de Datos Personales y esperar en el término de
treinta días la resolución de su inscripción.
El registro de ficheros de datos debe recabar la siguiente
información:
a) Nombre y domicilio del responsable, ya sea persona natural o
jurídica con toda la descripción de la razón social, fecha de
constitución, objeto y representante legal;
b) Naturaleza de los datos personales contenidos en cada fichero de
datos;
c) Forma, tiempo y lugar de recolección y actualización de
datos;
d) Destino de los datos y personas naturales o jurídicas a las que
pueden ser transmitidos;
e) Modo de interrelacionar la información registrada;
f) Medios utilizados para garantizar la seguridad de los datos,
debiendo detallar nombre y domicilio de las personas que
intervienen en la colecta y tratamiento de los datos;
g) Tiempo de conservación de los datos; y
h) Forma y procedimientos en que las personas pueden acceder a los
ficheros de datos personales para realizar la rectificación,
modificación, supresión, complementación, inclusión, actualización
y cancelación de los mismos según concierna.
En los ficheros ninguna persona podrá poseer datos personales de
naturaleza distinta a los declarados, cualquier modificación a la
información contenida en los ficheros de datos personales debe ser
comunicada por el responsable a la Dirección de Datos Personales
dentro de los cinco días hábiles siguientes en que haya tenido
lugar. El incumplimiento de estos requisitos dará lugar a las
sanciones previstas en la presente Ley.
Art. 23. Ficheros de datos público y privado
Los ficheros de datos público y privado, sólo se pueden, crear,
modificar o extinguir por medio de disposiciones establecidas en la
presente Ley.
Las disposiciones del párrafo anterior, deben indicar:
características y finalidad del fichero de datos; personas respecto
de las cuales se pretenda obtener datos y el carácter facultativo u
obligatorio de su suministro por parte de aquéllas.
En las disposiciones que se dicten para la supresión de los
ficheros de datos personales se establecerá el destino de los
mismos o las medidas que se adopten para su destrucción.
Art. 24. Excepcionalidad en el uso de los datos
personales
Los ficheros de datos personales que por ser colectados y tratados
para fines administrativos, deben permanecer cinco años y estarán
sujetos al régimen general de esta ley.
La colecta y el tratamiento de datos personales con fines de
seguridad y defensa nacional o seguridad pública por parte de los
órganos de inteligencia de la Policía Nacional y el Ejército de
Nicaragua, sin consentimiento de los titulares, queda limitado a lo
necesario para el estricto cumplimiento de las misiones legalmente
asignadas para la seguridad nacional, defensa nacional, seguridad
pública o para la investigación de los delitos conforme lo
establecido en la Constitución Política de la República de
Nicaragua y leyes de la materia.
Los ficheros de datos, en tales casos, deberán ser específicos y
establecidos al efecto, debiendo clasificarse por categorías, en
función de su grado de fiabilidad Los datos personales obtenidos
para fines policiales se cancelarán cuando no sean necesarios para
las averiguaciones que motivaron su registro.
Art. 25. De los ficheros de datos destinados al envío de
publicidad, promociones, ofertas y venta directa de productos,
bienes y servicios
Los ficheros de datos destinados al envío de publicidad,
promociones, ofertas y venta directa de productos, bienes y
servicios u otras actividades análogas sólo pueden incorporar datos
personales con el consentimiento del titular de los mismos, cuando
ésta los ha facilitado, o cuando los datos obren en fuentes
accesibles al público.
El titular de los datos podrá ejercer el derecho de acceso sin
cargo alguno, y en cualquier momento podrá solicitar su supresión
de los ficheros de datos a los que se refiere el presente
artículo.
Art. 26. Del envío de publicidad
El envió de publicidad y promociones, a través de medios
electrónicos debe ofrecer la posibilidad al destinatario titular de
datos personales de expresar su negativa a seguir recibiendo envíos
publicitarios y promocionales devienes y servicios o, en su caso,
revocar su consentimiento de una forma clara y gratuita.
Las empresas o instituciones que se dedican a actividades de
marketing, envíos publicitarios y promocionales electrónicos
deberán protegerse mediante un contrato que establezca que los
datos personales que figuran en un fichero de datos han sido
obtenidos con el consentimiento inequívoco e informado de los
titulares o que estos han sido obtenidos de fuentes de acceso
público.
Art. 27. Datos relativos a las encuestas
Las normas de la presente Ley no se aplicarán a las encuestas de
opinión; investigaciones científicas o médicas, y a las actividades
análogas.
Lo anterior es aplicable cuando los datos personales hayan sido
obtenidos con el consentimiento expreso ya sea por escrito, por
medios electrónicos, ópticos o por cualquier otra tecnología, o por
signos inequívocos del titular y destinados exclusivamente al
cumplimiento de la finalidad para lo que fueron solicitados. Estos
datos sólo pueden cederse previo consentimiento del titular.
Capítulo V
De la Dirección de Protección de Datos
Personales
Art. 28. Creación de la Dirección de protección de datos
personales
Créase la Dirección de Protección de Datos Personales adscrita al
Ministerio de Hacienda y Crédito Público, que contará con un
Director designado por la máxima autoridad administrativa de dicho
ministerio y que tiene por objeto el control, supervisión y
protección del tratamiento de los datos personales contenidos en
ficheros de datos de naturaleza pública y privada.
Art. 29. Funciones de la Dirección de Protección de Datos
Personales
Corresponde a la Dirección de Protección de Datos Personales las
siguientes funciones:
a) Asesorar a las personas naturales y jurídicas que lo requieran
acerca del contenido y alcance de la presente Ley;
b) Dictar las normas y disposiciones administrativas necesarias
para la realización de su objeto en el ámbito de su
competencia;
c) Dictar y vigilar que las normas sobre confidencialidad,
integridad y seguridad de los datos personales se respeten y
apliquen por los titulares de los ficheros de datos
correspondientes;
d) Solicitar la información que requiera para el cumplimiento de su
objeto a las entidades públicas y privadas titulares de los
ficheros de datos, garantizando en todo caso la seguridad, la
integridad y confidencialidad de la información;
e) Imponer las sanciones administrativas que correspondan a los
infractores de esta Ley;
f) Formular y presentar las denuncias por violaciones a lo
dispuesto en esta Ley ante la autoridad correspondiente;
g) Verificar que los ficheros de datos personales tengan los
requisitos necesarios para que proceda su inscripción en el
registro de ficheros de datos;
h) Acreditar a los inspectores para la supervisión y vigilancia de
los responsables de los ficheros de datos personales;
i) Promover modelos de autorregulación, cuando esto sea posible, y
como mecanismo adicional para garantizar el derecho a la
autodeterminación informativa de toda persona, siempre y cuando
estos modelos representen un valor añadido en su contenido con
respecto a la dispuesto en la presente Ley y su Reglamento,
contengan o estén acompañados de elementos que permitan medir su
nivel de eficacia en cuanto al cumplimiento y nivel de protección
de la persona frente al tratamiento de sus datos personales y se
prevean medidas en caso de incumplimiento de los modelos
autorregulatorios;
j) Dar su opinión en todos los proyectos de ley y reglamentos que
pudieran tener incidencia en la validez y garantía del derecho a la
autodeterminación informativa;
k) Divulgar el contenido y extensión del derecho a la
autodeterminación informativa a la población y al resto de los
Poderes e instituciones del Estado; y
l) Cooperar con otras autoridades de protección de datos a nivel
internacional para el cumplimiento de sus competencias y generar
los mecanismos de cooperación bilateral y multilateral para
asistirse entre sí y prestarse el debido auxilio mutuo cuando se
requiera;
Art. 30. Sobre el registro de ficheros de datos
La Dirección de Protección de Datos Personales, habilitará el
registro de ficheros de datos personales con el objeto de contar de
manera actualizada y completa los ficheros de datos personales
públicos y privados. Los responsables de ficheros de datos
personales deberán brindar la información establecida en la
presente Ley.
Art. 31. De los inspectores
La Dirección de Protección de Datos Personales, deberá tener
personal calificado que realice la función de inspectores.
Art. 32. De los procedimientos de inspección
Los procedimientos de inspección para los ficheros de datos tanto
públicos como privados, son actividades de visita, verificación y
control, mediante las cuales los inspectores debidamente
identificados, están facultados para revisar los ficheros de datos
de acuerdo al programa de visitas, y que se encuentren operando en
el almacenamiento de datos, sean estos públicos y privados dentro
del territorio nacional con el objetivo de establecer el grado de
cumplimiento de las normas regulatorias de esta actividad o de
brindar a las autoridades de la Dirección de Protección de Datos
Personales mayores elementos de juicio para la adopción de una
resolución con afectación a terceros o no.
Art. 33. Requisitos de acreditación del inspector de
ficheros
Para la realización de su labor, todo inspector, deberá portar el
documento oficial emitido por la Dirección de Protección de Datos
Personales, que lo acredita como tal. Los requisitos de la
identificación serán señalados en el Reglamento de la presente
Ley.
Art. 34. De las responsabilidades y atribuciones del
inspector
Las responsabilidades y atribuciones del inspector en el ejercicio
de su función serán:
a) Estar debidamente acreditado por la Dirección de Protección de
Datos Personales;
b) Realizar inspecciones por denuncia o por oficio, mediante
autorización judicial competente;
c) Atender debida y oportunamente el o los asuntos que le sean
encomendados;
d) Informar a sus superiores cualquier anomalía o circunstancia que
dificulte la realización de su trabajo;
e) No excederse de las atribuciones que le son encomendadas para la
inspección de identificarse de previo y debidamente ante el
inspeccionado;
f) Dirigir las inspecciones cuando éstas sean realizadas en
coordinación con otras instituciones;
g) Aclarar al inspeccionado el motivo de la inspección;
h) Realizar los recorridos necesarios y levantar el acta de
inspección;
i) Presentar en un plazo de tres días hábiles, después de
finalizada la inspección, el acta respectiva con el informe
completo de sus hallazgos a la Dirección de Protección de Datos
Personales para que este conozca y resuelva conforme a derecho, con
el apoyo de la fuerza pública o demás autoridades competentes, si
fuere el caso; y
j) Solicitar a la autoridad judicial competente autorización para
inspeccionar los inmuebles, equipos, herramientas, programas de
captura y tratamiento de datos personales. Así como acceder a la
información y lugares utilizados para el tratamiento de los datos
personales y la exhibición y envío de documentos y datos, para su
correspondiente verificación en el lugar en que se encuentren
depositados.
Art. 35. De las obligaciones frente al requerimiento de
inspección
Las personas naturales o jurídicas cuyas actividades sean objeto de
inspección, tendrán frente al requerimiento de los inspectores, las
siguientes obligaciones:
a) Permitir el acceso a sus ficheros de datos la presencia de los
inspectores debidamente acreditados y con autorización judicial
competente;
b) Facilitar y prestar la colaboración necesaria en la
inspección;
c) Brindar la información solicitada y los documentos, tales como:
certificado de registro y autorización para operar como fichero de
datos, nombre y generales de ley del responsable del fichero de
datos, documentos legales actualizados de la persona jurídica,
medidas de seguridad adoptada y demás que le sean solicitados para
comprobación de su legalidad;
d) Permitir la revisión de los equipos en su caso; y
e) Cualquier otra actividad requerida por el inspector para cumplir
con los objetivos de la inspección de conformidad con la presente
Ley y su Reglamento.
Art. 36. Del contenido del acta de inspección
Una vez realizada la inspección, el inspector levantará el acta
correspondiente de inspección en el formato diseñado para tal fin y
consignando al menos, lo siguiente:
a) Indicación del lugar, fecha y hora en que se realiza la
inspección;
b) Breve referencia de la orden de inspección en caso de denuncia
expedida por la autoridad competente y que motiva la realización de
esta actividad, haciendo constar que copia de la misma le fue
entregada al inspeccionado;
c) Datos generales con quien se coordinó la inspección, ya sea el
responsable, administrador, gerente, representante legal de la
compañía, o similares; y
d) El detalle de los hallazgos de la inspección en materia de
acciones, u omisiones, que constituyan cumplimiento de las normas y
disposiciones regulatorias de la actividad o por el contrario que
presuman infracciones y faltas flagrantes o simuladas a las mismas,
describiéndolas con el mayor detalle y precisión posible.
Art. 37. De la comprobación de infracciones
Si al momento de la inspección se detectara y comprobara la
existencia de infracciones graves o hechos que puedan constituir
delitos, el inspector deberá tomar las medidas preventivas
necesarias en presencia de la persona con quien se presentó para
hacer la inspección, debiendo asentarse lo anterior en el acta de
inspección correspondiente y comunicarlo de inmediato a su superior
inmediato para que proceda de conformidad a la Ley.
Art. 38. Del tiempo de duración de la inspección
En el caso que la inspección tenga que prorrogarse por más de un
día, o tenga que realizarse en dos o más lugares, se deberán
levantar actas parciales las que se deberán agregar al acta final
de la inspección.
Art. 39. De la prueba
Las actas de los inspectores salvo impugnación comprobada por
falsedad, constituye prueba para todos los efectos del proceso
administrativo. La negativa de los agentes de permitir o colaborar
con la inspección de conformidad con estas disposiciones, se
constituirá en presunción de responsabilidad ante las imputaciones
formuladas en su contra, de oficio o por denuncia.
Art. 40 De la iniciación de la inspección
La inspección podrá iniciarse de oficio para la verificación
preventiva en el cumplimiento de las disposiciones regulatorias de
la actividad de tratamientos de datos personales o cuando existan
indicios de incumplimiento de la presente Ley y su
Reglamento.
Art. 41. De la inspección por denuncia
La inspección por denuncia podrá iniciarse cuando un tercero,
directamente o a través de la entidad que reciba la denuncia, sea
el Ministerio Público o la Policía Nacional, ha dado noticia
fundada a la Dirección de Protección de Datos Personales, o
autoridades delegadas para la regulación de esta actividad de
protección de datos personales, de un hecho que puede constituir
violación o infracción a las normas regulatorias establecidas en la
presente Ley y su Reglamento.
Art. 42. Contenido de la denuncia
Para los efectos, del artículo precedente, la denuncia deberá
efectuarse por escrito, conteniendo al menos los siguientes
datos:
a) Nombres y apellidos, con las generales de ley del
denunciante;
b) Nombres y apellidos, con las generales de ley del denunciado,
cuando sea una personal natural;
c) Razón social de la entidad y ubicación, cuando el denunciado sea
una persona jurídica;
d) La relación de los hechos que constituyen la infracción o
infracciones;
e) El señalamiento de una dirección del denunciante para
notificaciones en el proceso administrativo, según el caso; y
f) Lugar y fecha en donde se efectúa la denuncia y la firma del
denunciante.
Art. 43. Del contenido de la orden de inspección
Admitida la denuncia, la Dirección de Protección de Datos
Personales o la autoridad delegada dictará una orden de inspección,
la que deberá contener:
a) El nombre del propietario o de la empresa, apoderado o
representante legal;
b) Dirección o ubicación;
c) Fundamento y motivación de la inspección;
d) Objetivos y alcances de la inspección;
e) Solicitud de apoyo y facilidades a los inspeccionados;
f) Nombre completo del inspector o inspectores comisionados;
g) Nombre y firma de la autoridad que ordena la inspección; y
h) Lugar y fecha.
Los detalles de procedimientos, diligencias y trámites de actos
administrativos e inspecciones, relacionados con el tratamiento de
datos personales serán establecidos mediante Reglamento a la
presente Ley.
Capítulo VI
Infracciones y sanciones
Art. 44. Infracciones leves
Son infracciones leves a esta ley, las siguientes:
a) Tratar datos personales sin el consentimiento expreso ya sea por
escrito, por medios electrónicos, ópticos o por cualquier otra
tecnología, o por signos inequívocos de su titular, cuanto la ley
así lo exija;
b) Omitir la inclusión, complementación, rectificación,
actualización, supresión o bloqueo, cancelación, de oficio o a
petición del titular, de los datos personales que se encuentran en
ficheros de datos públicos y privados;
c) Incumplir las instrucciones dictadas por la Dirección de
Protección de Datos Personales;
d) Obtener datos personales a través de formularios u otros
impresos, sin que figure en los mismos, en forma claramente
legible, las advertencias que se utilizarán para crear ficheros;
y
e) Remitir publicidad a través de medios electrónicos, a titulares
que han manifestado expresamente su negativa a recibirla.
Art. 45. Infracciones graves
Son infracciones graves a esta Ley, las siguientes:
a) El tratamiento de datos personales por medios fraudulentos o que
infrinjan las disposiciones contempladas en la presente Ley;
b) Impedir u obstaculizar el ejercicio del derecho a la
autodeterminación informativa al titular de los datos personales,
así como negar injustificadamente la información solicitada;
c) Violentar el secreto profesional que debe guardarse por
disposición de esta Ley;
d) Reincidir en las infracciones leves;
e) Mantener ficheros de datos, inmuebles, equipos o herramientas
sin las condiciones mínimas de seguridad, integridad y
confidencialidad requeridas por las disposiciones aplicables;
y
f) Obstruir las inspecciones que realice la Dirección de Protección
de Datos Personales.
Art. 46. Sanciones administrativas
Sin perjuicio de las responsabilidades administrativas de los
responsables o usuarios de los ficheros de datos públicos; de la
responsabilidad por daños y perjuicios derivados de la
inobservancia de la presente Ley, y de las sanciones penales, a la
Dirección de Protección de Datos Personales corresponde aplicar las
sanciones administrativas de:
a) Apercibimiento;
b) Suspensión de operaciones relacionadas con el tratamiento de los
datos personales; y
c) Clausura o cancelación de los ficheros de datos personales de
manera temporal o definitiva.
En el caso de infracciones leves a esta ley, se aplicará al
infractor, dependiendo de las circunstancias del caso, del daño
causado y de las condiciones del propio infractor, la sanción que
corresponda conforme a los literales a) y b), de este
artículo.
En el caso de infracciones graves, se impondrá al infractor
dependiendo de las circunstancias del caso, del daño causado y de
las condiciones del propio infractor, la sanción que corresponda
conforme al literal c) de este artículo.
El Reglamento establecerá el procedimiento para la aplicación de
las sanciones previstas.
Capítulo VII
De las acciones de protección de datos
personales
Art. 47. Protección a través de la vía administrativa
El titular de los datos puede interponer la acción de protección de
datos personales, en la vía administrativa de conformidad a lo
establecido en el presente capítulo.
Art. 48. Acción de protección de los datos personales
La Dirección de Protección de Datos Personales, es el órgano
encargado de conocer y resolver la acción de protección de datos
personales mediante denuncia presentada por el titular en relación
al tratamiento de datos personales que lesionen alguno de los
derechos contemplados en esta Ley.
La acción de protección de datos personales, procede:
a) Para conocer de los datos personales que han sido objeto de
tratamiento en ficheros de datos;
b) Cuando se hayan violentado las garantías de confidencialidad,
integridad y seguridad en el tratamiento de los datos
personales;
c) En los casos en que se presuma la falsedad, inexactitud,
desactualización, omisión, total o parcial, o ilicitud de la
información de que se trata, para exigir su rectificación,
actualización, modificación, inclusión, supresión o
cancelación;
d) Cuando sean lesionados algunos de los principios que rigen la
calidad del tratamiento de datos personales, en el ámbito público y
privado;
e) Para acceder a información que se encuentre en poder de
cualquier entidad pública y privada de la que generen, produzcan,
procesen o posean, información personal, en expedientes, estudios,
dictámenes, opiniones, datos estadísticos, informes técnicos y
cualquier documento que la administración pública o las entidades
privadas tengan en su poder; y
f) Para exigir la rectificación, actualización, modificación,
inclusión, complementación, supresión, bloqueo o cancelación de
datos personales tratados en ficheros de datos de entidades
públicas o de instituciones privadas que brinden servicio o acceso
a terceros, ya sea de forma manual, mecánica o informática, cuando
se presuma la falsedad, inexactitud, desactualización, omisión
total o parcial o la ilicitud de la información de que se
trate.
Art. 49. Legitimación activa
La acción de protección de los datos personales podrá ser ejercida
por el titular, sus tutores y los sucesores de las personas
naturales, por sí o por intermedio de un apoderado. Cuando la
acción sea ejercida por personas jurídicas, deberá ser interpuesta
por sus representantes legales o apoderados que éstas designen al
efecto.
Art. 50. Legitimación pasiva
La acción procede respecto de los responsables y usuarios de los
ficheros de datos personales públicos y privados.
Art. 51. De las excepciones
Los responsables de los ficheros de datos no pueden alegar
confidencialidad de la información que se les requiera, salvo en el
caso de que se afecten fuentes de información periodística o se
trate de excepciones previstas en esta Ley.
Art. 52. Protección a través de la vía jurisdiccional
Agotada la vía administrativa, mediante resolución emitida por la
Dirección de Protección de Datos Personales, el titular de los
datos puede hacer uso de la vía jurisdiccional, a través de Recurso
de Amparo, establecido en la Ley No. 49, Ley de Amparo texto
refundido publicado en La Gaceta, Diario Oficial No. 212 del 4 de
noviembre de 2008. El Recurso de Amparo se utilizará mientras no
exista una regulación específica que desarrolle la protección de
los datos personales en la vía jurisdiccional.
Los responsables de los ficheros de datos, podrán impugnar todos
los actos administrativos derivados de la presente ley, conforme
los procedimientos establecidos en la Ley No. 290, Ley de
Organización, Competencia y Procedimientos del Poder Ejecutivo
publicada en La Gaceta, Diario Oficial No. 102 del 3 de junio de
1998, sus reformas y su Reglamento. Agotada la vía administrativa
podrán hacer uso de la vía jurisdiccional correspondiente.
Capítulo VIII
Disposiciones transitorias
Art. 53. Obligación de inscripción en el registro
Los responsables de los ficheros de datos, existentes al momento de
la publicación de la presente Ley y su Reglamento, deberán
inscribirse en el Registro de Ficheros de Datos de la Dirección de
Protección de Datos Personales dentro del plazo de seis
meses.
Art. 54. Limitaciones del ámbito de aplicación
Queda excluida de la aplicación de la presente Ley, la información
obtenida,manejada y regulada por la Comisión Nacional de
Microfinanzas (CONAMI), por la Superintendencia de Bancos y de
Otras Instituciones Financieras (SIBOIF) y las entidades
autorizadas, supervisadas y reguladas por estas Instituciones, así
como, la información sujeta a convenios de intercambio recíproca
para objeto de supervisión entre entes nacionales supervisores
nacionales o extranjeros y las Centrales de Riesgo Privadas que
manejan información crediticia, conforme lo regulado en sus
respectivas Leyes y normas prudenciales dictadas por los Consejos
Directivos de las Instituciones señaladas. Todo lo anterior es sin
perjuicio de los principios generales, los derechos de los
titulares de datos, así como las limitaciones establecidas en la
presente Ley.
Capítulo IX
Disposiciones finales
Art. 55. Reglamentación
La presente Ley será reglamentada de conformidad a lo previsto en
el numeral 10 del artículo 150 de la Constitución Política de la
República de Nicaragua, dentro de los sesenta días posteriores a su
vigencia.
Art. 56. Vigencia La presente Ley entrará en vigencia a
partir de su publicación en La Gaceta, Diario Oficial.
Dada en la ciudad de Managua, en la Sala de Sesiones de la Asamblea
Nacional de la República de Nicaragua, a los veintiún días del mes
de marzo del año dos mil doce. Ing. René Núñez Téllez,
Presidente de la Asamblea Nacional. Lic. Alba Palacios
Benavidez, Secretaria de la Asamblea Nacional.
Por tanto. Téngase como Ley de la República. Publíquese y
Ejecútese. Managua, veintisiete de Marzo del año dos mil once.
DANIEL ORTEGA SAAVEDRA, PRESIDENTE DE LA REPÚBLICA DE
NICARAGUA.
-
© 2024 Justia
