Publicada D.O. 18 ago/008 - Nº
27549
Ley Nº 18.331
PROTECCIÓN DE DATOS PERSONALES Y
ACCIÓN DE "HABEAS DATA"
NORMAS
El Senado y la Cámara de
Representantes de la República Oriental del Uruguay, reunidos en
Asamblea General,
DECRETAN:
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1º. Derecho
humano.- El derecho a la protección de datos personales es
inherente a la persona humana, por lo que está comprendido en el
artículo 72 de la
Constitución de la República.
Artículo 2º. Ámbito
subjetivo.- El derecho a la protección de los datos personales se
aplicará por extensión a las personas jurídicas, en cuanto
corresponda.
Artículo 3º. Ámbito
objetivo.- El régimen de la presente ley será de aplicación a los
datos personales registrados en cualquier soporte que los haga
susceptibles de tratamiento, y a toda modalidad de uso posterior de
estos datos por los ámbitos público o privado.
No será de aplicación a las siguientes bases de datos:
A)
A las
mantenidas por personas físicas en el ejercicio de actividades
exclusivamente personales o domésticas.
B)
Las que
tengan por objeto la seguridad pública, la defensa, la seguridad
del Estado y sus actividades en materia penal, investigación y
represión del delito.
C)
A las
bases de datos creadas y reguladas por leyes especiales.
Artículo 4º. Definiciones.-
A los efectos de la presente ley se entiende por:
A)
Base de
datos: indistintamente, designan al conjunto organizado de datos
personales que sean objeto de tratamiento o procesamiento,
electrónico o no, cualquiera que fuere la modalidad de su
formación, almacenamiento, organización o acceso.
B)
Comunicación de datos: toda revelación de datos realizada a una
persona distinta del titular de los datos.
C)
Consentimiento del titular: toda manifestación de voluntad, libre,
inequívoca, específica e informada, mediante la cual el titular
consienta el tratamiento de datos personales que le
concierne.
D)
Dato
personal: información de cualquier tipo referida a personas físicas
o jurídicas determinadas o determinables.
E)
Dato
sensible: datos personales que revelen origen racial y étnico,
preferencias políticas, convicciones religiosas o morales,
afiliación sindical e informaciones referentes a la salud o a la
vida sexual.
F)
Destinatario: persona física o jurídica, pública o privada, que
recibiere comunicación de datos, se trate o no de un tercero.
G)
Disociación de datos: todo tratamiento de datos personales de
manera que la información obtenida no pueda vincularse a persona
determinada o determinable.
H)
Encargado
del tratamiento: persona física o jurídica, pública o privada, que
sola o en conjunto con otros trate datos personales por cuenta del
responsable de la base de datos o del tratamiento.
I)
Fuentes
accesibles al público: aquellas bases de datos cuya consulta puede
ser realizada por cualquier persona, no impedida por una norma
limitativa o sin más exigencia que, en su caso, el abono de una
contraprestación.
J)
Tercero:
la persona física o jurídica, pública o privada, distinta del
titular del dato, del responsable de la base de datos o
tratamiento, del encargado y de las personas autorizadas para
tratar los datos bajo la autoridad directa del responsable o del
encargado del tratamiento.
K)
Responsable de la base de datos o del tratamiento: persona física o
jurídica, pública o privada, propietaria de la base de datos o que
decida sobre la finalidad, contenido y uso del tratamiento.
L)
Titular de
los datos: persona cuyos datos sean objeto de un tratamiento
incluido dentro del ámbito de acción de la presente ley.
M)
Tratamiento de datos: operaciones y procedimientos sistemáticos, de
carácter automatizado o no, que permitan el procesamiento de datos
personales, así como también su cesión a terceros a través de
comunicaciones, consultas, interconexiones o transferencias.
N)
Usuario de
datos: toda persona, pública o privada, que realice a su arbitrio
el tratamiento de datos, ya sea en una base de datos propia o a
través de conexión con los mismos.
CAPÍTULO II
PRINCIPIOS GENERALES
Artículo 5º. Valor y
fuerza.- La actuación de los responsables de las bases de datos,
tanto públicos como privados, y, en general, de todos quienes
actúen en relación a datos personales de terceros, deberá ajustarse
a los siguientes principios generales:
A)
Legalidad.
B)
Veracidad.
C)
Finalidad.
D)
Previo
consentimiento informado.
E)
Seguridad
de los datos.
F)
Reserva.
G)
Responsabilidad.
Dichos principios generales servirán también de criterio
interpretativo para resolver las cuestiones que puedan suscitarse
en la aplicación de las disposiciones pertinentes.
Artículo 6º. Principio de
legalidad.- La formación de bases de datos será lícita cuando se
encuentren debidamente inscriptas, observando en su operación los
principios que establecen la presente ley y las reglamentaciones
que se dicten en consecuencia.
Las bases de datos no pueden tener finalidades violatorias de
derechos humanos o contrarias a las leyes o a la moral pública.
Artículo 7º. Principio de
veracidad.- Los datos personales que se recogieren a los efectos de
su tratamiento deberán ser veraces, adecuados, ecuánimes y no
excesivos en relación con la finalidad para la cual se hubieren
obtenido. La recolección de datos no podrá hacerse por medios
desleales, fraudulentos, abusivos, extorsivos o en forma contraria
a las disposiciones a la presente ley.
Los datos deberán ser exactos y actualizarse en el caso en que
ello fuere necesario.
Cuando se constate la inexactitud o falsedad de los datos, el
responsable del tratamiento, en cuanto tenga conocimiento de dichas
circunstancias, deberá suprimirlos, sustituirlos o completarlos por
datos exactos, veraces y actualizados. Asimismo, deberán ser
eliminados aquellos datos que hayan caducado de acuerdo a lo
previsto en la presente ley.
Artículo 8º. Principio de
finalidad.- Los datos objeto de tratamiento no podrán ser
utilizados para finalidades distintas o incompatibles con aquellas
que motivaron su obtención.
Los datos deberán ser eliminados cuando hayan dejado de ser
necesarios o pertinentes a los fines para los cuales hubieren sido
recolectados.
La reglamentación determinará los casos y procedimientos en los
que, por excepción, y atendidos los valores históricos,
estadísticos o científicos, y de acuerdo con la legislación
específica, se conserven datos personales aun cuando haya perimido
tal necesidad o pertinencia.
Tampoco podrán comunicarse datos entre bases de datos, sin que
medie ley o previo consentimiento informado del titular.
Artículo 9º. Principio del
previo consentimiento informado.- El tratamiento de datos
personales es lícito cuando el titular hubiere prestado su
consentimiento libre, previo, expreso e informado, el que deberá
documentarse.
El referido consentimiento prestado con otras declaraciones,
deberá figurar en forma expresa y destacada, previa notificación al
requerido de datos, de la información descrita en el artículo 12 de
la presente ley.
No será necesario el previo consentimiento cuando:
A)
Los datos
provengan de fuentes públicas de información, tales como registros
o publicaciones en medios masivos de comunicación.
B)
Se recaben
para el ejercicio de funciones propias de los poderes del Estado o
en virtud de una obligación legal.
C)
Se trate
de listados cuyos datos se limiten en el caso de personas físicas a
nombres y apellidos, documento de identidad, nacionalidad,
domicilio y fecha de nacimiento. En el caso de personas jurídicas,
razón social, nombre de fantasía, registro único de contribuyentes,
domicilio, teléfono e identidad de las personas a cargo de la
misma.
D)
Deriven de
una relación contractual, científica o profesional del titular de
los datos, y sean necesarios para su desarrollo o
cumplimiento.
E)
Se realice
por personas físicas o jurídicas, privadas o públicas, para su uso
exclusivo personal o doméstico.
Artículo 10. Principio de
seguridad de los datos.- El responsable o usuario de la base de
datos debe adoptar las medidas que resultaren necesarias para
garantizar la seguridad y confidencialidad de los datos personales.
Dichas medidas tendrán por objeto evitar su adulteración, pérdida,
consulta o tratamiento no autorizado, así como detectar
desviaciones de información, intencionales o no, ya sea que los
riesgos provengan de la acción humana o del medio técnico
utilizado.
Los datos deberán ser almacenados de modo que permitan el
ejercicio del derecho de acceso de su titular.
Queda prohibido registrar datos personales en bases de datos que
no reúnan condiciones técnicas de integridad y seguridad.
Artículo 11. Principio de
reserva.- Aquellas personas físicas o jurídicas que obtuvieren
legítimamente información proveniente de una base de datos que les
brinde tratamiento, están obligadas a utilizarla en forma reservada
y exclusivamente para las operaciones habituales de su giro o
actividad, estando prohibida toda difusión de la misma a
terceros.
Las personas que, por su situación laboral u otra forma de
relación con el responsable de una base de datos, tuvieren acceso o
intervengan en cualquier fase del tratamiento de datos personales,
están obligadas a guardar estricto secreto profesional sobre los
mismos (artículo 302 del Código Penal), cuando hayan sido recogidos
de fuentes no accesibles al público. Lo previsto no será de
aplicación en los casos de orden de la Justicia competente, de
acuerdo con las normas vigentes en esta materia o si mediare
consentimiento del titular.
Esta obligación subsistirá aun después de finalizada la relación
con el responsable de la base de datos.
Artículo 12. Principio de
responsabilidad.- El responsable de la base de datos es responsable
de la violación de las disposiciones de la presente ley.
CAPÍTULO III
DERECHOS DE LOS TITULARES DE LOS
DATOS
Artículo 13. Derecho de
información frente a la recolección de datos.- Cuando se recaben
datos personales se deberá informar previamente a sus titulares en
forma expresa, precisa e inequívoca:
A)
La
finalidad para la que serán tratados y quiénes pueden ser sus
destinatarios o clase de destinatarios.
B)
La
existencia de la base de datos, electrónico o de cualquier otro
tipo, de que se trate y la identidad y domicilio de su
responsable.
C)
El
carácter obligatorio o facultativo de las respuestas al
cuestionario que se le proponga, en especial en cuanto a los datos
sensibles.
D)
Las
consecuencias de proporcionar los datos y de la negativa a hacerlo
o su inexactitud.
E)
La
posibilidad del titular de ejercer los derechos de acceso,
rectificación y supresión de los datos.
Artículo 14. Derecho de
acceso.- Todo titular de datos personales que previamente acredite
su identificación con el documento de identidad o poder respectivo,
tendrá derecho a obtener toda la información que sobre sí mismo se
halle en bases de datos públicas o privadas. Este derecho de acceso
sólo podrá ser ejercido en forma gratuita a intervalos de seis
meses, salvo que se hubiere suscitado nuevamente un interés
legítimo de acuerdo con el ordenamiento jurídico.
Cuando se trate de datos de personas fallecidas, el ejercicio
del derecho al cual refiere este artículo, corresponderá a
cualesquiera de sus sucesores universales, cuyo carácter se
acreditará por la sentencia de declaratoria de herederos.
La información debe ser proporcionada dentro de los cinco días
hábiles de haber sido solicitada. Vencido el plazo sin que el
pedido sea satisfecho o si fuera denegado por razones no
justificadas de acuerdo con esta ley, quedará habilitada la acción
de habeas data.
La información debe ser suministrada en forma clara, exenta de
codificaciones y en su caso acompañada de una explicación, en
lenguaje accesible al conocimiento medio de la población, de los
términos que se utilicen.
La información debe ser amplia y versar sobre la totalidad del
registro perteneciente al titular, aun cuando el requerimiento sólo
comprenda un aspecto de los datos personales. En ningún caso el
informe podrá revelar datos pertenecientes a terceros, aun cuando
se vinculen con el interesado.
La información, a opción del titular, podrá suministrarse por
escrito, por medios electrónicos, telefónicos, de imagen, u otro
idóneo a tal fin.
Artículo 15. Derecho de
rectificación, actualización, inclusión o supresión.- Toda persona
física o jurídica tendrá derecho a solicitar la rectificación,
actualización, inclusión o supresión de los datos personales que le
corresponda incluidos en una base de datos, al constatarse error o
falsedad o exclusión en la información de la que es titular.
El responsable de la base de datos o del tratamiento deberá
proceder a realizar la rectificación, actualización, inclusión o
supresión, mediante las operaciones necesarias a tal fin en un
plazo máximo de cinco días hábiles de recibida la solicitud por el
titular del dato o, en su caso, informar de las razones por las que
estime no corresponde.
El incumplimiento de esta obligación por parte del responsable
de la base de datos o del tratamiento o el vencimiento del plazo,
habilitará al titular del dato a promover la acción de habeas data
prevista en esta ley.
No procede la eliminación o supresión de datos personales salvo
en aquellos casos de:
A)
Perjuicios
a los derechos e intereses legítimos de terceros.
B)
Notorio
error o falsedad.
C)
Contravención a lo establecido por una obligación legal.
Durante el proceso de verificación, rectificación o inclusión de
datos personales, el responsable de la base de datos o tratamiento,
ante el requerimiento de terceros por acceder a informes sobre los
mismos, deberá dejar constancia que dicha información se encuentra
sometida a revisión.
En el supuesto de comunicación o transferencia de datos, el
responsable de la base de datos o del tratamiento debe notificar la
rectificación, inclusión o supresión al destinatario dentro del
quinto día hábil de efectuado el tratamiento del dato.
La rectificación, actualización, inclusión, eliminación o
supresión de datos personales cuando corresponda, se efectuará sin
cargo alguno para el titular.
Artículo 16. Derecho a la
impugnación de valoraciones personales.- Las personas tienen
derecho a no verse sometidas a una decisión con efectos jurídicos
que les afecte de manera significativa, que se base en un
tratamiento automatizado o no de datos destinado a evaluar
determinados aspectos de su personalidad, como su rendimiento
laboral, crédito, fiabilidad, conducta, entre otros.
El afectado podrá impugnar los actos administrativos o
decisiones privadas que impliquen una valoración de su
comportamiento, cuyo único fundamento sea un tratamiento de datos
personales que ofrezca una definición de sus características o
personalidad.
En este caso, el afectado tendrá derecho a obtener información
del responsable de la base de datos tanto sobre los criterios de
valoración como sobre el programa utilizado en el tratamiento que
sirvió para adoptar la decisión manifestada en el acto.
La valoración sobre el comportamiento de las personas, basada en
un tratamiento de datos, únicamente podrá tener valor probatorio a
petición del afectado.
Artículo 17. Derechos
referentes a la comunicación de datos.- Los datos personales objeto
de tratamiento sólo podrán ser comunicados para el cumplimiento de
los fines directamente relacionados con el interés legítimo del
emisor y del destinatario y con el previo consentimiento del
titular de los datos, al que se le debe informar sobre la finalidad
de la comunicación e identificar al destinatario o los elementos
que permitan hacerlo.
El previo consentimiento para la comunicación es revocable.
El previo consentimiento no será necesario cuando:
A)
Así lo
disponga una ley de interés general.
B)
En los
supuestos del artículo 9º de la presente ley.
C)
Se trate
de datos personales relativos a la salud y sea necesario por
razones de salud e higiene públicas, de emergencia o para la
realización de estudios epidemiológicos, en tanto se preserve la
identidad de los titulares de los datos mediante mecanismos de
disociación adecuados.
D)
Se hubiera
aplicado un procedimiento de disociación de la información, de modo
que los titulares de los datos no sean identificables.
El destinatario quedará sujeto a las mismas obligaciones legales
y reglamentarias del emisor y éste responderá solidaria y
conjuntamente por la observancia de las mismas ante el organismo de
control y el titular de los datos de que se trate.
CAPÍTULO IV
DATOS ESPECIALMENTE PROTEGIDOS
Artículo 18. Datos
sensibles.- Ninguna persona puede ser obligada a proporcionar datos
sensibles. Éstos sólo podrán ser objeto de tratamiento con el
consentimiento expreso y escrito del titular.
Los datos sensibles sólo pueden ser recolectados y objeto de
tratamiento cuando medien razones de interés general autorizadas
por ley, o cuando el organismo solicitante tenga mandato legal para
hacerlo. También podrán ser tratados con finalidades estadísticas o
científicas cuando se disocien de sus titulares.
Queda prohibida la formación de bases de datos que almacenen
información que directa o indirectamente revele datos sensibles. Se
exceptúan aquellos que posean los partidos políticos, sindicatos,
iglesias, confesiones religiosas, asociaciones, fundaciones y otras
entidades sin fines de lucro, cuya finalidad sea política,
religiosa, filosófica, sindical, que hagan referencia al origen
racial o étnico, a la salud y a la vida sexual, en cuanto a los
datos relativos a sus asociados o miembros, sin perjuicio que la
comunicación de dichos datos precisará siempre el previo
consentimiento del titular del dato.
Los datos personales relativos a la comisión de infracciones
penales, civiles o administrativas sólo pueden ser objeto de
tratamiento por parte de las autoridades públicas competentes, en
el marco de las leyes y reglamentaciones respectivas, sin perjuicio
de las autorizaciones que la ley otorga u otorgare. Nada de lo
establecido en esta ley impedirá a las autoridades públicas
comunicar o hacer pública la identidad de las personas físicas o
jurídicas que estén siendo investigadas por, o hayan cometido,
infracciones a la normativa vigente, en los casos en que otras
normas lo impongan o en los que lo consideren conveniente.
Artículo 19. Datos
relativos a la salud.- Los establecimientos sanitarios públicos o
privados y los profesionales vinculados a las ciencias de la salud
pueden recolectar y tratar los datos personales relativos a la
salud física o mental de los pacientes que acudan a los mismos o
que estén o hubieren estado bajo tratamiento de aquéllos,
respetando los principios del secreto profesional, la normativa
específica y lo establecido en la presente ley.
Artículo 20. Datos
relativos a las telecomunicaciones.- Los operadores que exploten
redes públicas o que presten servicios de comunicaciones
electrónicas disponibles al público deberán garantizar, en el
ejercicio de su actividad, la protección de los datos personales
conforme a la presente ley.
Asimismo, deberán adoptar las medidas técnicas y de gestiones
adecuadas para preservar la seguridad en la explotación de su red o
en la prestación de sus servicios, con el fin de garantizar sus
niveles de protección de los datos personales que sean exigidos por
la normativa de desarrollo de esta ley en esta materia. En caso de
que exista un riesgo particular de violación de la seguridad de la
red pública de comunicaciones electrónicas, el operador que explote
dicha red o preste el servicio de comunicaciones electrónicas
informará a los abonados sobre dicho riesgo y sobre las medidas a
adoptar.
La regulación contenida en esta ley se entiende sin perjuicio de
lo previsto en la normativa específica sobre telecomunicaciones
relacionadas con la seguridad pública y la defensa nacional.
Artículo 21. Datos
relativos a bases de datos con fines de publicidad.- En la
recopilación de domicilios, reparto de documentos, publicidad,
venta u otras actividades análogas, se podrán tratar datos que sean
aptos para establecer perfiles determinados con fines
promocionales, comerciales o publicitarios; o permitan establecer
hábitos de consumo, cuando éstos figuren en documentos accesibles
al público o hayan sido facilitados por los propios titulares u
obtenidos con su consentimiento.
En los supuestos contemplados en el presente artículo, el
titular de los datos podrá ejercer el derecho de acceso sin cargo
alguno.
El titular podrá en cualquier momento solicitar el retiro o
bloqueo de sus datos de los bancos de datos a los que se refiere el
presente artículo.
Artículo 22. Datos
relativos a la actividad comercial o crediticia.- Queda
expresamente autorizado el tratamiento de datos personales
destinados a brindar informes objetivos de carácter comercial,
incluyendo aquellos relativos al cumplimiento o incumplimiento de
obligaciones de carácter comercial o crediticia que permitan
evaluar la concertación de negocios en general, la conducta
comercial o la capacidad de pago del titular de los datos, en
aquellos casos en que los mismos sean obtenidos de fuentes de
acceso público o procedentes de informaciones facilitadas por el
acreedor o en las circunstancias previstas en la presente ley. Para
el caso de las personas jurídicas, además de las circunstancias
previstas en la presente ley, se permite el tratamiento de toda
información autorizada por la normativa vigente.
Los datos personales relativos a obligaciones de carácter
comercial de personas físicas sólo podrán estar registrados por un
plazo de cinco años contados desde su incorporación. En caso que al
vencimiento de dicho plazo la obligación permanezca incumplida, el
acreedor podrá solicitar al responsable de la base de datos, por
única vez, su nuevo registro por otros cinco años. Este nuevo
registro deberá ser solicitado en el plazo de treinta días
anteriores al vencimiento original. Las obligaciones canceladas o
extinguidas por cualquier medio, permanecerán registradas, con
expresa mención de este hecho, por un plazo máximo de cinco años,
no renovable, a contar de la fecha de la cancelación o
extinción.
Los responsables de las bases de datos se limitarán a realizar
el tratamiento objetivo de la información registrada tal cual ésta
le fuera suministrada, debiendo abstenerse de efectuar valoraciones
subjetivas sobre la misma.
Cuando se haga efectiva la cancelación de cualquier obligación
incumplida registrada en una base de datos, el acreedor deberá en
un plazo máximo de cinco días hábiles de acontecido el hecho,
comunicarlo al responsable de la base de datos o tratamiento
correspondiente. Una vez recibida la comunicación por el
responsable de la base de datos o tratamiento, éste dispondrá de un
plazo máximo de tres días hábiles para proceder a la actualización
del dato, asentando su nueva situación.
Artículo 23. Datos
transferidos internacionalmente.- Se prohíbe la transferencia de
datos personales de cualquier tipo con países u organismos
internacionales que no proporcionen niveles de protección adecuados
de acuerdo a los estándares del Derecho Internacional o Regional en
la materia.
La prohibición no regirá cuando se trate de:
1)
Cooperación judicial internacional, de acuerdo al respectivo
instrumento internacional, ya sea Tratado o Convención, atendidas
las circunstancias del caso.
2)
Intercambio de datos de carácter médico, cuando así lo exija el
tratamiento del afectado por razones de salud o higiene
públicas.
3)
Transferencias bancarias o bursátiles, en lo relativo a las
transacciones respectivas y conforme la legislación que les resulte
aplicable.
4)
Acuerdos
en el marco de tratados internacionales en los cuales la República
Oriental del Uruguay sea parte.
5)
Cooperación internacional entre organismos de inteligencia para la
lucha contra el crimen organizado, el terrorismo y el
narcotráfico.
También será posible realizar la transferencia internacional de
datos en los siguientes supuestos:
A)
Que el
interesado haya dado su consentimiento inequívocamente a la
transferencia prevista.
B)
Que la
transferencia sea necesaria para la ejecución de un contrato entre
el interesado y el responsable del tratamiento o para la ejecución
de medidas precontractuales tomadas a petición del
interesado.
C)
Que la
transferencia sea necesaria para la celebración o ejecución de un
contrato celebrado o por celebrar en interés del interesado, entre
el responsable del tratamiento y un tercero.
D)
Que la
transferencia sea necesaria o legalmente exigida para la
salvaguardia de un interés público importante, o para el
reconocimiento, ejercicio o defensa de un derecho en un
procedimiento judicial.
E)
Que la
transferencia sea necesaria para la salvaguardia del interés vital
del interesado.
F)
Que la
transferencia tenga lugar desde un registro que, en virtud de
disposiciones legales o reglamentarias, esté concebido para
facilitar información al público y esté abierto a la consulta por
el público en general o por cualquier persona que pueda demostrar
un interés legítimo, siempre que se cumplan, en cada caso
particular, las condiciones que establece la ley para su
consulta.
Sin perjuicio de lo dispuesto en el primer inciso de este
artículo, la Unidad Reguladora y de Control de Protección de Datos
Personales podrá autorizar una transferencia o una serie de
transferencias de datos personales a un tercer país que no
garantice un nivel adecuado de protección, cuando el responsable
del tratamiento ofrezca garantías suficientes respecto a la
protección de la vida privada, de los derechos y libertades
fundamentales de las personas, así como respecto al ejercicio de
los respectivos derechos.
Dichas garantías podrán derivarse de cláusulas contractuales
apropiadas.
CAPÍTULO V
BASES DE DATOS DE TITULARIDAD
PÚBLICA
Artículo 24. Creación,
modificación o supresión.- La creación, modificación o supresión de
bases de datos pertenecientes a organismos públicos deberán
registrarse conforme lo previsto en el capítulo siguiente.
Artículo 25. Base de datos
correspondientes a las Fuerzas Armadas, Organismos Policiales o de
Inteligencia.- Quedarán sujetos al régimen de la presente ley, los
datos personales que por haberse almacenado para fines
administrativos, deban ser objeto de registro permanente en las
bases de datos de las fuerzas armadas, organismos policiales o de
inteligencia; y aquellos sobre antecedentes personales que
proporcionen dichas bases de datos a las autoridades
administrativas o judiciales que los requieran en virtud de
disposiciones legales.
El tratamiento de datos personales con fines de defensa nacional
o seguridad pública por parte de las fuerzas armadas, organismos
policiales o inteligencia, sin previo consentimiento de los
titulares, queda limitado a aquellos supuestos y categoría de datos
que resulten necesarios para el estricto cumplimiento de las
misiones legalmente asignadas a aquéllos para la defensa nacional,
la seguridad pública o para la represión de los delitos. Las bases
de datos, en tales casos, deberán ser específicas y establecidas al
efecto, debiendo clasificarse por categorías, en función de su
grado de fiabilidad.
Los datos personales registrados con fines policiales se
cancelarán cuando no sean necesarios para las averiguaciones que
motivaron su almacenamiento.
Artículo 26. Excepciones a
los derechos de acceso, rectificación y cancelación.- Los
responsables de las bases de datos que contengan los datos a que se
refieren los incisos segundo y tercero del artículo anterior podrán
denegar el acceso, la rectificación o cancelación en función de los
peligros que pudieran derivarse para la defensa del Estado o la
seguridad pública, la protección de los derechos y libertades de
terceros o las necesidades de las investigaciones que se estén
realizando.
Los responsables de las bases de datos de la Hacienda Pública
podrán, igualmente, denegar el ejercicio de los derechos a que se
refiere el inciso anterior cuando el mismo obstaculice las
actuaciones administrativas tendientes a asegurar el cumplimiento
de las obligaciones tributarias y, en todo caso, cuando el titular
del dato esté siendo objeto de actuaciones inspectivas.
El titular del dato al que se deniegue total o parcialmente el
ejercicio de los derechos mencionados en los incisos anteriores
podrá ponerlo en conocimiento del Órgano de Control, quien deberá
asegurarse de la procedencia o improcedencia de la denegación.
Artículo 27. Excepciones
al derecho a la información.- Lo dispuesto en la presente ley no
será aplicable a la recolección de datos, cuando la información del
titular afecte a la defensa nacional, a la seguridad pública o a la
persecución de infracciones penales.
CAPÍTULO VI
BASES DE DATOS DE TITULARIDAD
PRIVADA
Artículo 28. Creación,
modificación o supresión.- Las personas físicas o jurídicas
privadas que creen, modifiquen o supriman bases de datos de
carácter personal, que no sean para un uso exclusivamente
individual o doméstico, deberán registrarse conforme lo previsto en
el artículo siguiente.
Artículo 29. Inscripción
registral.- Toda base de datos pública o privada debe inscribirse
en el Registro que al efecto habilite el Órgano de Control, de
acuerdo a los criterios reglamentarios que se establezcan.
Por vía reglamentaria se procederá a la regulación detallada de
los distintos extremos que deberá contener la inscripción, entre
los cuales figurarán necesariamente los siguientes:
A)
Identificación de la base de datos y el responsable de la
misma.
B)
Naturaleza
de los datos personales que contiene.
C)
Procedimientos de obtención y tratamiento de los datos.
D)
Medidas de
seguridad y descripción técnica de la base de datos.
E)
Protección
de datos personales y ejercicio de derechos.
F)
Destino de
los datos y personas físicas o jurídicas a las que pueden ser
transmitidos.
G)
Tiempo de
conservación de los datos.
H)
Forma y
condiciones en que las personas pueden acceder a los datos
referidos a ellas y los procedimientos a realizar para la
rectificación o actualización de los datos.
I)
Cantidad
de acreedores personas físicas que hayan cumplido los 5 años
previstos en el artículo 22 de la presente ley.
J)
Cantidad
de cancelaciones por incumplimiento de la obligación de pago si
correspondiera, de acuerdo a lo previsto en el artículo 22 de la
presente ley.
Ningún usuario de datos podrá poseer datos personales de
naturaleza distinta a los declarados en el registro.
El incumplimiento de estos requisitos dará lugar a las sanciones
administrativas previstas en la presente ley.
Respecto a las bases de datos de carácter comercial ya
inscriptos en el Órgano Regulador, se estará a lo previsto en la
presente ley respecto del plazo de adecuación.
Artículo 30. Prestación de
servicios informatizados de datos personales.- Cuando por cuenta de
terceros se presten servicios de tratamiento de datos personales,
éstos no podrán aplicarse o utilizarse con un fin distinto al que
figure en el contrato de servicios, ni cederlos a otras personas,
ni aun para su conservación.
Una vez cumplida la prestación contractual los datos personales
tratados deberán ser destruidos, salvo que medie autorización
expresa de aquel por cuenta de quien se prestan tales servicios
cuando razonablemente se presuma la posibilidad de ulteriores
encargos, en cuyo caso se podrá almacenar con las debidas
condiciones de seguridad por un período de hasta dos años.
CAPÍTULO VII
ÓRGANO DE CONTROL
Artículo 31. Órgano de
Control.- Créase como órgano desconcentrado de la Agencia para el
Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la
Información y del Conocimiento (AGESIC), dotado de la más amplia
autonomía técnica, la Unidad Reguladora y de Control de Datos
Personales. Estará dirigida por un Consejo integrado por tres
miembros: el Director Ejecutivo de AGESIC y dos miembros designados
por el Poder Ejecutivo entre personas que por sus antecedentes
personales, profesionales y de conocimiento en la materia aseguren
independencia de criterio, eficiencia, objetividad e imparcialidad
en el desempeño de sus cargos.
A excepción del Director Ejecutivo de la AGESIC, los miembros
durarán cuatro años en sus cargos, pudiendo ser designados
nuevamente. Sólo cesarán por la expiración de su mandato y
designación de sus sucesores, o por su remoción dispuesta por el
Poder Ejecutivo en los casos de ineptitud, omisión o delito,
conforme a las garantías del debido proceso.
Durante su mandato no recibirán órdenes ni instrucciones en el
plano técnico.
Artículo 32. Consejo
Consultivo.- El Consejo Ejecutivo de la Unidad Reguladora y de
Control de Datos Personales funcionará asistido por un Consejo
Consultivo, que estará integrado por cinco miembros:
-
Una
persona con reconocida trayectoria en la promoción y defensa de los
derechos humanos, designado por el Poder Legislativo, el que no
podrá ser un Legislador en actividad.
-
Un
representante del Poder Judicial.
-
Un
representante del Ministerio Público.
-
Un
representante del área académica.
-
Un
representante del sector privado, que se elegirá en la forma
establecida reglamentariamente.
Sesionará presidido por el Presidente de la Unidad Reguladora y
de Control de protección de Datos Personales.
Sus integrantes durarán cuatro años en sus cargos y sesionarán a
convocatoria del Presidente de la Unidad Reguladora y de Control de
Datos Personales o de la mayoría de sus miembros.
Podrá ser consultado por el Consejo Ejecutivo sobre cualquier
aspecto de su competencia y deberá ser consultado por éste cuando
ejerza potestades de reglamentación.
Artículo 33. Recursos.- La
Unidad Reguladora y de Control de Datos Personales formulará su
propuesta de presupuesto de acuerdo a lo previsto en el artículo
214 de la Constitución de al
República.
Artículo 34. Cometidos.-
El órgano de control deberá realizar todas las acciones necesarias
para el cumplimiento de los objetivos y demás disposiciones de la
presente ley. A tales efectos tendrá las siguientes funciones y
atribuciones:
A)
Asistir y
asesorar a las personas que lo requieran acerca de los alcances de
la presente ley y de los medios legales de que disponen para la
defensa de los derechos que ésta garantiza.
B)
Dictar las
normas y reglamentaciones que se deben observar en el desarrollo de
las actividades comprendidas por esta ley.
C)
Realizar
un censo de las bases de datos alcanzados por la ley y mantener el
registro permanente de los mismos.
D)
Controlar
la observancia de las normas sobre integridad, veracidad y
seguridad de datos por parte de los responsables de las bases de
datos, pudiendo a tales efectos realizar las actuaciones de
inspección pertinentes.
E)
Solicitar
información a las entidades públicas y privadas, las que deberán
proporcionar los antecedentes, documentos, programas u otros
elementos relativos al tratamiento de los datos personales que se
le requieran. En estos casos, la autoridad deberá garantizar la
seguridad y confidencialidad de la información y elementos
suministrados.
F)
Emitir
opinión toda vez que le sea requerida por las autoridades
competentes, incluyendo solicitudes relacionadas con el dictado de
sanciones administrativas que correspondan por la violación a las
disposiciones de esta ley, de los reglamentos o de las resoluciones
que regulan el tratamiento de datos personales comprendidos en
ésta.
G)
Asesorar
en forma necesaria al Poder Ejecutivo en la consideración de los
proyectos de ley que refieran total o parcialmente a protección de
datos personales.
H)
Informar a
cualquier persona sobre la existencia de bases de datos personales,
sus finalidades y la identidad de sus responsables, en forma
gratuita.
Artículo 35. Potestades
sancionatorias.- El órgano de control podrá aplicar las siguientes
medidas sancionatorias a los responsables de las bases de datos o
encargados del tratamiento de datos personales en caso que se
violen las normas de la presente ley:
1)
Apercibimiento.
2)
Multa de
hasta quinientas mil unidades indexadas.
3)
Suspensión
de la base de datos respectiva. A tal efecto se faculta a la AGESIC
a promover ante los órganos jurisdiccionales competentes, la
suspensión de las bases de datos, hasta por un lapso de seis días
hábiles, respecto de los cuales se comprobare que infringieren o
transgredieren la presente ley.
Los hechos constitutivos de la infracción serán documentados de
acuerdo a las formalidades legales y la suspensión deberá
decretarse dentro de los tres días siguientes a aquel en que la
hubiere solicitado la AGESIC, la cual quedará habilitada a disponer
por sí la suspensión si el Juez no se pronunciare dentro de dicho
término.
En este último caso, si el Juez denegare posteriormente la
suspensión, ésta deberá levantarse de inmediato por la AGESIC.
Los recursos que se interpongan contra la resolución judicial
que hiciere lugar a la suspensión, no tendrán efecto
suspensivo.
Para hacer cumplir dicha resolución, la AGESIC podrá requerir el
auxilio de la fuerza pública.
La competencia de los Tribunales actuantes se determinará por
las normas de la Ley Orgánica de la Judicatura, Nº 15.750, de 24 de junio
de 1985, sus modificativas y concordantes.
Artículo 36. Códigos de
conducta.- Las asociaciones o entidades representativas de
responsables o usuarios de bancos de datos de titularidad privada
podrán elaborar códigos de conducta de práctica profesional, que
establezcan normas para el tratamiento de datos personales que
tiendan a asegurar y mejorar las condiciones de operación de los
sistemas de información en función de los principios establecidos
en la presente ley.
Dichos códigos deberán ser inscriptos en el registro que al
efecto lleve el organismo de control, quien podrá denegar la
inscripción cuando considere que no se ajustan a las disposiciones
legales y reglamentarias sobre la materia.
CAPÍTULO VIII
ACCIÓN DE PROTECCIÓN DE DATOS
PERSONALES
Artículo 37. Habeas data.-
Toda persona tendrá derecho a entablar una acción judicial efectiva
para tomar conocimiento de los datos referidos a su persona y de su
finalidad y uso, que consten en bases de datos públicos o privados;
y -en caso de error, falsedad, prohibición de tratamiento,
discriminación o desactualización- a exigir su rectificación,
inclusión, supresión o lo que entienda corresponder.
Cuando se trate de datos personales cuyo registro esté amparado
por una norma legal que consagre el secreto a su respecto, el Juez
apreciará el levantamiento del mismo en atención a las
circunstancias del caso.
Artículo 38. Procedencia y
competencia.- El titular de datos personales podrá entablar la
acción de protección de datos personales o habeas data, contra todo
responsable de una base de datos pública o privada, en los
siguientes supuestos:
A)
Cuando
quiera conocer sus datos personales que se encuentran registrados
en una base de datos o similar y dicha información le haya sido
denegada, o no le hubiese sido proporcionada por el responsable de
la base de datos, en las oportunidades y plazos previstos por la
ley.
B)
Cuando
haya solicitado al responsable de la base de datos o tratamiento su
rectificación, actualización, eliminación, inclusión o supresión y
éste no hubiese procedido a ello o dado razones suficientes por las
que no corresponde lo solicitado, en el plazo previsto al efecto en
la ley.
Serán competentes para conocer en las acciones de protección de
datos personales o habeas data:
1)
En la
capital, los Juzgados Letrados de Primera Instancia en lo
Contencioso Administrativo, cuando la acción se dirija contra una
persona pública estatal, y los Juzgados Letrados de Primera
Instancia en lo Civil en los restantes casos.
2)
Los
Juzgados Letrados de Primera Instancia del Interior a quienes se
haya asignado competencia en dichas materias.
Artículo 39.
Legitimación.- La acción de habeas data podrá ser ejercida por el
propio afectado titular de los datos o sus representantes, ya sean
tutores o curadores y, en caso de personas fallecidas, por sus
sucesores universales, en línea directa o colateral hasta el
segundo grado, por sí o por medio de apoderado.
En el caso de personas jurídicas, la acción deberá ser
interpuesta por sus representantes legales o los apoderados
designados a tales efectos.
Artículo 40.
Procedimiento.- Las acciones que se promuevan por violación a los
derechos contemplados en la presente ley se regirán por las normas
contenidas en los artículos que siguen al presente. Serán
aplicables en lo pertinente los artículos 14 y 15 del Código
General del Proceso.
Artículo 41. Trámite de
primera instancia.- Salvo que la acción fuera manifiestamente
improcedente, en cuyo caso el tribunal la rechazará sin
sustanciarla y dispondrá el archivo de las actuaciones, se
convocará a las partes a una audiencia pública dentro del plazo de
tres días de la fecha de la presentación de la demanda.
En dicha audiencia se oirán las explicaciones del demandado, se
recibirán las pruebas y se producirán los alegatos. El tribunal,
que podrá rechazar las pruebas manifiestamente impertinentes o
innecesarias, presidirá la audiencia so pena de nulidad, e
interrogará a los testigos y a las partes, sin perjuicio de que
aquéllos sean, a su vez, repreguntados por los abogados. Gozará de
los más amplios poderes de policía y de dirección de la
audiencia.
En cualquier momento podrá ordenar diligencias para mejor
proveer.
La sentencia se dictará en la audiencia o a más tardar, dentro
de las veinticuatro horas de su celebración. Sólo en casos
excepcionales podrá prorrogarse la audiencia por hasta tres
días.
Las notificaciones podrán realizarse por intermedio de la
autoridad policial. A los efectos del cómputo de los plazos de
cumplimiento de lo ordenado por la sentencia, se dejará constancia
de la hora en que se efectuó la notificación.
Artículo 42. Medidas
provisionales.- Si de la demanda o en cualquier otro momento del
proceso resultare, a juicio del tribunal, la necesidad de su
inmediata actuación, éste dispondrá, con carácter provisional, las
medidas que correspondieren en amparo del derecho o libertad
presuntamente violados.
Artículo 43. Contenido de
la sentencia.- La sentencia que haga lugar al habeas data deberá
contener:
A)
La
identificación concreta de la autoridad o el particular a quien se
dirija y contra cuya acción, hecho u omisión se conceda el habeas
data.
B)
La
determinación precisa de lo que deba o no deba hacerse y el plazo
por el cual dicha resolución regirá, si es que corresponde
fijarlo.
C)
El plazo
para el cumplimiento de lo dispuesto, que será fijado por el
tribunal conforme las circunstancias de cada caso, y no será mayor
de quince días corridos e ininterrumpidos, computados a partir de
la notificación.
Artículo 44. Recurso de
apelación y segunda instancia.- En el proceso de habeas data sólo
serán apelables la sentencia definitiva y la que rechaza la acción
por ser manifiestamente improcedente.
El recurso de apelación deberá interponerse en escrito fundado,
dentro del plazo perentorio de tres días. El tribunal elevará sin
más trámite los autos al superior cuando hubiere desestimado la
acción por improcedencia manifiesta, y lo sustanciará con un
traslado a la contraparte, por tres días perentorios, cuando la
sentencia apelada fuese la definitiva.
El tribunal de alzada resolverá en acuerdo, dentro de los cuatro
días siguientes a la recepción de los autos. La interposición del
recurso no suspenderá las medidas de amparo decretadas, las cuales
serán cumplidas inmediatamente después de notificada la sentencia,
sin necesidad de tener que esperar el transcurso del plazo para su
impugnación.
Artículo 45. Sumariedad.
Otros aspectos.- En los procesos de habeas data no podrán deducirse
cuestiones previas, reconvenciones ni incidentes. El tribunal, a
petición de parte o de oficio, subsanará los vicios de
procedimiento, asegurando, dentro de la naturaleza sumaria del
proceso, la vigencia del principio de contradictorio.
Cuando se planteare la inconstitucionalidad por vía de excepción
o de oficio (artículos 509 numeral 2 y 510 numeral 2 del Código
General del Proceso) se procederá a la suspensión del procedimiento
sólo después que el Magistrado actuante haya dispuesto la adopción
de las medidas provisorias referidas en la presente ley o, en su
caso, dejando constancia circunstanciada de las razones de
considerarlas innecesarias.
CAPÍTULO IX
DISPOSICIONES TRANSITORIAS
Artículo 46. Adecuación de
las bases de datos.- Las bases de datos deberán adecuarse a la
presente ley dentro del plazo de un año de su entrada en vigor.
Artículo 47. Traslado del
órgano de control referente a datos comerciales.- Se establece el
plazo de ciento veinte días corridos para que el actual órgano de
control en materia de protección de datos comerciales, a cargo del
Ministerio de Economía y Finanzas, realice el traslado de la
información y documentación a la AGESIC.
Artículo 48. Derogación.-
Se deroga la Ley Nº
17.838, de 24 de setiembre de 2004.
Artículo 49.
Reglamentación.- El Poder Ejecutivo deberá reglamentar la presente
ley dentro de los ciento ochenta días de su promulgación.
Sala de Sesiones de la Asamblea General, en Montevideo, a 6
de agosto de 2008.
RODOLFO NIN NOVOA,
Presidente.
Hugo Rodríguez Filippini,
Secretario.
Marti Dalgalarrondo Añón,
Secretario.
MINISTERIO DEL INTERIOR
MINISTERIO DE RELACIONES EXTERIORES
MINISTERIO DE ECONOMÍA Y FINANZAS
MINISTERIO DE DEFENSA NACIONAL
MINISTERIO DE EDUCACIÓN Y CULTURA
MINISTERIO DE TRANSPORTE Y OBRAS PÚBLICAS
MINISTERIO DE INDUSTRIA, ENERGÍA Y MINERÍA
MINISTERIO DE TRABAJO Y SEGURIDAD SOCIAL
MINISTERIO DE SALUD PÚBLICA
MINISTERIO DE GANADERÍA, AGRICULTURA Y PESCA
MINISTERIO DE TURISMO Y DEPORTE
MINISTERIO DE VIVIENDA, ORDENAMIENTO TERRITORIAL Y MEDIO
AMBIENTE
MINISTERIO DE DESARROLLO SOCIAL
Montevideo, 11 de agosto de
2008.
De acuerdo a lo dispuesto por el artículo 145 de la Constitución de la
República, cúmplase, acúsese recibo, comuníquese, publíquese e
insértese en el Registro Nacional de Leyes y Decretos, la Ley por
la que se establecen normas de protección de datos personales.
TABARÉ VÁZQUEZ.
DAISY TOURNÉ.
GONZALO FERNÁNDEZ.
DANILO ASTORI.
JOSÉ BAYARDI.
MARÍA SIMON.
VÍCTOR ROSSI.
DANIEL MARTÍNEZ.
EDUARDO BONOMI.
MARÍA JULIA MUÑOZ.
ERNESTO AGAZZI.
HÉCTOR LESCANO.
CARLOS COLACCE.
MARINA ARISMENDI.
Montevideo, Uruguay. Poder Legislativo.
© 2024 Justia
