Warning: getimagesize(img/banntop7.jpg) [function.getimagesize]: failed to open stream: No such file or directory in /home/diegocan/public_html/bibliotecas/manejoimagenes.php on line 13

Warning: getimagesize(img/NuevoEspacio.gif) [function.getimagesize]: failed to open stream: No such file or directory in /home/diegocan/public_html/bibliotecas/manejoimagenes.php on line 13

Warning: getimagesize(img/FrenteAmplio.gif) [function.getimagesize]: failed to open stream: No such file or directory in /home/diegocan/public_html/bibliotecas/manejoimagenes.php on line 13

Warning: getimagesize(img/InternacionalSocialista.gif) [function.getimagesize]: failed to open stream: No such file or directory in /home/diegocan/public_html/bibliotecas/manejoimagenes.php on line 13
Diego Cánepa

NOTICIA DE URUGUAY

Informe del diputado Cánepa en la Comisión

Nueva ley para garantizar el derecho a la protección de los datos personales

viernes, 25 de Julio de 2008

La ley aprobada, cuya iniciativa fue del Poder Ejecutivo, establece un nuevo marco jurídico para la protección de los datos personales y de la intimidad de las personas. Con esta iniciativa, nuestro país adopta los más altos estandares en la materia.

En su tratamiento por parte de la comisión de "Constitución, Códigos, Legislación general y Administración" de la Cámara, el diputado Cánepa efectuó el informe que transcribimos a continuación.

(Texto aprobado)

 


PROTECCIÓN DE DATOS PERSONALES Y ACCIÓN DE "HABEAS DATA"

INFORME

Vuestra Comisión de Constitución, Códigos, Legislación General y Administración ha estudiado el proyecto de ley sobre protección de datos personales y acción de "habeas data", que tiene su origen en la iniciativa del Poder Ejecutivo de setiembre de 2007 y cuenta con la aprobación de la Cámara de Senadores.

En su trámite parlamentario fue considerado por la Comisión de Educación y Cultura del Senado, donde se efectuaron algunas modificaciones al proyecto original, aprobándose por la unanimidad de la Comisión.

Esas modificaciones efectuadas durante el trabajo de la Comisión en el Senado, incorporan algunos elementos resultado de las consultas efectuadas al Instituto de Derecho Informático de la Facultad de Derecho de la Universidad de la República, a la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información (AGESIC) y consideraciones que hizo llegar la Cámara de Telecomunicaciones del Uruguay.

El Mensaje del Poder Ejecutivo señala la situación de tensión en que se encuentra el tratamiento de datos personales. Dicha situación surge del valor asociado a las bases de datos personales y la potencialidad de su tratamiento, y del derecho a conocer dicho tratamiento y a preservar la privacidad que tienen las personas titulares de los datos.

Por lo tanto, el objetivo de este proyecto de ley es establecer un marco jurídico claro que garantice y haga efectivo el derecho a la protección de los datos de carácter personal y la intimidad de las personas. El presente proyecto incorpora y amplía lo dispuesto en la Ley vigente Nº 17.838, de 24 de setiembre de 2004, que solo hace referencia a bases de datos personales comerciales.

Una vez aprobado este proyecto y según lo que establece el Mensaje del Poder Ejecutivo, Uruguay estará encuadrado dentro de los requerimientos de la Unión Europea como país seguro para el envío de datos, ya que contaremos con una ley de protección de datos, un órgano de control y un régimen sancionatorio.

El proyecto de ley que recibimos proveniente del Senado consta de nueve capítulos y cuarenta y nueve artículos.

El Capítulo I, titulado "Disposiciones Generales", tiene cuatro artículos. En el artículo 1º se desarrolla la definición del derecho a la protección de datos personales como un derecho humano, que está comprendido en el artículo 72 de la Constitución de la República. El artículo 2º establece que ese derecho no solo esta limitado a las personas físicas, sino que se aplica por extensión a las personas jurídicas cuando corresponda.

El artículo 3º define el ámbito objetivo de aplicación, estableciendo que hace referencia a los datos personales y a su posterior uso en cualquier soporte y tanto en el ámbito público como privado. Asimismo en este artículo se exceptúan algunos casos para la aplicación de la presente ley que son: las bases de datos de personas físicas para uso exclusivamente personal, las que tengan por objeto la seguridad pública y las creadas y reguladas por leyes especiales.

Por último, en el artículo 4º se establecen una serie de definiciones de gran importancia para dotar de mayor precisión a la presente ley y adecuar el lenguaje a nuevos términos referidos al tratamiento informatizado de datos.

El Capítulo II, titulado "Principios Generales", consta de ocho artículos donde se establecen las siguientes disposiciones de carácter general. En el artículo 5º se definen los principios generales de actuación para los responsables de las bases de datos, que serán, la legalidad, veracidad, finalidad, previo consentimiento informado, seguridad de los datos, reserva y responsabilidad. En este artículo también se establece que estos principios tendrán carácter interpretativo para resolver cuestiones que puedan surgir de la aplicación de la misma.

El resto de los artículos de este Capítulo II define y determina la forma de actuar dentro de estos principios. Así el artículo 6º hace referencia al principio de legalidad y establece la obligación de inscripción de las bases de datos de acuerdo a lo establecido en la presente ley y su reglamentación y por otra parte a que no pueden tener fines violatorios de los derechos humanos.

El artículo 7º define el principio de veracidad, destacando que los datos personales contenidos en una base de datos deben ser veraces, adecuados, ecuánimes y no excesivos en relación con la finalidad para la que se hubieran obtenido. Asimismo se establece la obligatoriedad de adecuarlos cuando se constate inexactitud o falsedad.

El artículo 8º establece el principio de finalidad, determinando que los datos solo podrán ser usados para el fin que fueron recolectados y que es obligatorio destruirlos cuando hayan dejado de ser necesarios para ese fin. A continuación se establecen los mecanismos por los cuales los datos están exceptuados de su eliminación atendiendo al valor histórico, estadístico o científico. Por último se establece la imposibilidad de comunicar datos entre bases de datos.

En el artículo 9º se define el principio del previo consentimiento informado, destacándose la necesidad de documentar el consentimiento del titular de los datos, que autoriza su tratamiento. Asimismo se detallan algunas excepciones como en el caso de datos de fuentes públicas de información, los que se recaben para el ejercicio de funciones públicas de los Poderes del Estado, para listados limitados a ciertos datos, claramente establecidos, los que sean resultado de una relación contractual y necesarios para el cumplimiento del contrato y los realizados por personas físicas o jurídicas para uso exclusivamente personal.

El artículo 10 desarrolla el principio de seguridad de los datos estableciendo que es el responsable o usuario de la base de datos quien debe tomar todas las medidas necesarias para garantizar esa seguridad.

El artículo 11 establece el principio de reserva al que están obligadas todas las personas físicas o jurídicas relacionadas al tratamiento de datos. De esta forma estas personas están obligadas a guardar estricto secreto profesional sobre los datos. La única excepción a este principio se da cuando, de acuerdo a las normas vigentes, se determine mediante una orden de la Justicia competente.

Por último en el artículo 12 define el principio de responsabilidad, siendo el responsable de la base de datos quien asume toda la responsabilidad de la violación de las disposiciones de la presente ley.

El Capítulo III titulado "Derechos de los titulares de datos" tiene cinco artículos. El artículo 13 define cuál es la información que se debe proporcionar en forma obligatoria al titular por parte de quienes recaban datos personales.

El artículo 14 define el derecho que los titulares de datos personales tienen a obtener toda la información que sobre sí se encuentre en las bases de datos públicas y privadas. Establece asimismo las condiciones en que se da este acceso, los tiempos, el soporte y la forma, estableciendo que en ningún caso el informe podrá revelar datos pertenecientes a terceros, aun cuando estuvieran vinculados al interesado. Se define también que, en caso de personas fallecidas, este derecho corresponde a sus sucesores universales.

El artículo 15 define el derecho de los titulares de datos a rectificar, actualizar, incluir o quitar sus datos personales de una base de datos cuando constaten falsedad, error o no estén incluidos. Se establece un plazo de cinco días para realizar por parte del responsable de la base de datos las modificaciones solicitadas y el incumplimiento habilita al titular del dato a promover la acción de habeas data. También se definen los casos específicos en que corresponde la eliminación de datos.

El artículo 16 define el derecho a la impugnación de valoraciones personales que sean resultado de un tratamiento de datos, automatizado o no, que haga referencia a su conducta, rendimiento laboral, de crédito o fiabilidad, se basen únicamente en una definición de sus características o personalidad.

Por último el artículo 17 define los derechos referentes a la comunicación de datos estableciendo que solo podrán ser comunicados para el cumplimiento de los fines directamente relacionados con el interés del emisor y del destinatario y en la medida que se dé el consentimiento previo del titular de los datos, el que deberá ser informado sobre la finalidad de la comunicación y sobre el destinatario. También se establecen algunos casos donde no es necesario el consentimiento previo antes mencionado.

El Capítulo IV consta de seis artículos y hace referencia a los "Datos especialmente protegidos". Estos tipos de datos son los definidos como dato sensible en el inciso e) del artículo 4º. En este Capítulo se incorporan elementos relativos a la Ley Nº 17.838, referida a datos comerciales y otros que recogen los compromisos ratificados por el país en el ámbito internacional.

El artículo 18 determina que ninguna persona puede ser obligada a proporcionar datos sensibles y que su tratamiento solo puede darse con el expreso consentimiento escrito del titular. Se definen además las condiciones en que pueden ser recolectados datos sensibles, prohibiéndose la formación de bases de datos con este tipo de información, salvo en algunas excepciones que se establecen.

El artículo 19 establece los procedimientos para el tratamiento de datos relativos a la salud, el artículo 20 el de los datos relativos a las telecomunicaciones, el artículo 21 el de los datos relativos a bases de datos con fines de publicidad, en el artículo 22 el de los datos relativos a la actividad comercial o crediticia y el artículo 23 a los datos transferidos internacionalmente.

El Capítulo V consta de cuatro artículos y se refiere a las bases de datos de titularidad pública, estableciendo en el artículo 24, que estas bases de datos se registrarán de acuerdo al mismo procedimiento definido para las bases de datos de titularidad privada. (Capítulo VI).

En el artículo 25, relativo a las bases de datos de las Fuerzas Armadas y de organismos policiales o de inteligencia, se establece que en forma general estarán sujetos al régimen de la presente ley los datos almacenados en estas reparticiones del Estado con fines administrativos. Se exceptúan del previo consentimiento para la obtención de datos, en los casos de misiones legalmente asignadas, cuyo objeto sea la defensa nacional, seguridad pública o represión del delito. Asimismo, se establece que los datos registrados con fines policiales, deberán ser cancelados cuando no sean necesarios para la averiguación que motivó su almacenamiento.

El artículo 26 establece algunas excepciones en el derecho de acceso, rectificación y cancelación de datos en algunos de los casos establecidos en el artículo anterior. Se establece que estas excepciones también corresponden a las bases de datos de la hacienda pública, cuando el ejercicio del derecho obstaculice las actuaciones administrativas relacionadas al cumplimiento de obligaciones tributarias.

Por último el artículo 27 marca la excepción del derecho al acceso a la información en los casos en que afecte a la defensa nacional, la seguridad pública o en la persecución de infracciones penales.

El Capítulo VI consta de tres artículos y se refiere a las bases de datos de titularidad privada, estableciendo en el artículo 28 que toda base de datos que no sea de carácter personal o para uso exclusivamente individual se debe registrar tal como se establece en los artículos siguientes.

El artículo 29 indica los criterios que deberá tener la reglamentación que regule el registro que habilite el órgano de control para la inscripción de las bases de datos públicas o privadas.

El artículo 30 se refiere al tratamiento de datos personales por parte de terceros, estableciendo las condiciones de tratamiento y plazos en los que pueden ser almacenados.

El Capítulo VII consta de seis artículos y se refiere al órgano de control. El artículo 31 crea la Unidad Reguladora y de Control de Datos Personales, como un órgano desconcentrado de la AGESIC. Esta Unidad Reguladora será dirigida por un Consejo de tres miembros, el Director Ejecutivo de la AGESIC y dos miembros designados por el Poder Ejecutivo.

El artículo 32 crea un Consejo Consultivo integrado por cinco miembros que asistirá al Consejo Ejecutivo creado en el artículo anterior. Los miembros de este Consejo Consultivo serán: uno designado por el Poder Legislativo, que no puede ser Legislador, un representante del Poder Judicial, un representante del Ministerio Público, un representante del área académica y un representante del sector privado.

En el artículo 33, referente a los recursos, se establece que la Unidad Reguladora elaborará su presupuesto, el que será considerado por el Poder Ejecutivo.

En el artículo 34 se determinan las funciones y atribuciones de esta Unidad Reguladora, las que en forma general se relacionan al cumplimiento de la presente ley.

El artículo 35 define las potestades sancionatorias que tendrá la Unidad Reguladora en los casos en que se violen las normas establecidas en la presente ley. Se determinan distintos grados de sanción, los plazos y procedimientos, la posibilidad de requerir el auxilio de la fuerza pública para hacer cumplir las resoluciones y la forma en que se determinará la competencia de los Tribunales actuantes.

En el artículo 36 se determina la posibilidad de que las entidades representativas de responsables o usuarios de bancos de datos puedan elaborar códigos de conducta de la práctica profesional. En esos códigos se establecerán normas que aseguren el cumplimiento de los principios establecidos en esta ley. Los códigos de conducta deberán ser inscriptos en el registro que elaborará la Unidad Reguladora.

El Capítulo VIII consta de nueve artículos y se refiere a la acción de protección de datos personales. En el artículo 37 se define el derecho de todas las personas a establecer una acción judicial para conocer sus datos personales que consten en una determinada base de datos. El artículo 38 establece los supuestos en que el titular de datos podrá entablar una acción de habeas data y determina cuales serán los Tribunales competentes.

El artículo 39 establece las condiciones de legitimación para efectuar una acción de habeas data y los artículos 40 y 41 determinan el procedimiento y trámite en primera instancia de dicha acción.

El artículo 42 define la posibilidad de que, en el transcurso del proceso, el Tribunal actuante pueda disponer algún tipo de medida provisional en amparo del derecho presuntamente violado.

El artículo 43 define los elementos que deben constar en la sentencia que haga lugar al habeas data y en el artículo 44 se determina la posibilidad y condiciones de apelación a la sentencia.

Por último, el artículo 45 se refiere a la potestad del Tribunal actuante para subsanar, a petición de parte o de oficio, los vicios de procedimiento, asegurando la vigencia del principio de contradictorio. Asimismo establece que, de plantearse la inconstitucionalidad del proceso, solo se suspenderá el procedimiento luego de que el Magistrado haya dispuesto las medidas provisorias establecidas en esta ley o en su defecto que deje constancia de las razones por las que las considere innecesarias.

Finalmente, el Capítulo IX, que consta de cuatro artículos, establece una serie de disposiciones transitorias. En el artículo 46 se determina el plazo de un año para adecuar las bases de datos a la presente ley. El artículo 47 dispone el traslado en un plazo de ciento veinte días del órgano de control relativo a datos comerciales que actualmente funciona en el Ministerio de Economía y Finanzas a la AGESIC. El artículo 48 dispone la derogación de la Ley Nº 17.838, que refiere a la protección de datos personales para ser utilizados en informes comerciales, y que ha sido incorporada en la presente ley. Y el artículo 49 establece un plazo de ciento ochenta días posteriores a su promulgación para que el Poder Ejecutivo reglamente la presente ley.

Por las razones anteriormente expuestas, aconsejamos al Cuerpo la aprobación de este proyecto de ley.


Sala de la Comisión, 25 de junio de 2008.

DIEGO CÁNEPA
Miembro Informante

ÁLVARO ALONSO
GUSTAVO BERNINI
GUSTAVO BORSARI BRENNA
JORGE MACHIÑENA
ORLANDO LERETE
JORGE ORRICO
EDGARDO ORTUÑO

 

 

Palacio Legislativo - Av. de las Leyes s/n
Edificio Artigas (anexo) - Desp. 232
11800 - Montevideo - Uruguay
Contacto
Nuevo Epsacio Frente Amplio Internacional Socialista
Diputado Diego Cánepa