Ley 18.331
Díctanse normas sobre protección de datos personales y derógase la Ley
17.838.
(1.635*R)
PODER LEGISLATIVO
El Senado y la Cámara de Representantes de la República Oriental del
Uruguay, reunidos en Asamblea General,
DECRETAN
CAPITULO I - DISPOSICIONES GENERALES
Derecho Humano.- El derecho a la protección de datos personales es
inherente a la persona humana, por lo que está comprendido en el artículo
72 de la Constitución de la República.
Ambito objetivo.- El régimen de la presente ley será de aplicación a los
datos personales registrados en cualquier soporte que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos
datos por los ámbitos público o privado.
No será de aplicación a las siguientes bases de datos:
A) A las mantenidas por personas físicas en el ejercicio de
actividades exclusivamente personales o domésticas.
B) Las que tengan por objeto la seguridad pública, la defensa, la
seguridad del Estado y sus actividades en materia penal, investigación
y represión del delito.
C) A las bases de datos creadas y reguladas por leyes especiales.
Definiciones.- A los efectos de la presente ley se entiende por:
A) Base de datos: indistintamente, designan al conjunto organizado de
datos personales que sean objeto de tratamiento o procesamiento,
electrónico o no, cualquiera que fuere la modalidad de su formación,
almacenamiento, organización o acceso.
B) Comunicación de datos: toda revelación de datos realizada a una
persona distinta del titular de los datos.
C) Consentimiento del titular: toda manifestación de voluntad, libre,
inequívoca, específica e informada, mediante la cual el titular
consienta el tratamiento de datos personales que le concierne.
D) Dato personal: información de cualquier tipo referida a personas
físicas o jurídicas determinadas o determinables.
E) Dato sensible: datos personales que revelen origen racial y étnico,
preferencias políticas, convicciones religiosas o morales, afiliación
sindical e informaciones referentes a la salud o a la vida sexual.
F) Destinatario: persona física o jurídica, pública o privada, que
recibiere comunicación de datos, se trate o no de un tercero.
G) Disociación de datos: todo tratamiento de datos personales de
manera que la información obtenida no pueda vincularse a persona
determinada o determinable.
H) Encargado del tratamiento: persona física o jurídica, pública o
privada, que sola o en conjunto con otros trate datos personales por
cuenta del responsable de la base de datos o del tratamiento.
I) Fuentes accesibles al público: aquellas bases de datos cuya
consulta puede ser realizada por cualquier persona, no impedida por una
norma limitativa o sin más exigencia que, en su caso, el abono de una
contraprestación.
J) Tercero: la persona física o jurídica, pública o privada, distinta
del titular del dato, del responsable de la base de datos o
tratamiento, del encargado y de las personas autorizadas para tratar
los datos bajo la autoridad directa del responsable o del encargado del
tratamiento.
K) Responsable de la base de datos o del tratamiento: persona física o
jurídica, pública o privada, propietaria de la base de datos o que
decida sobre la finalidad, contenido y uso del tratamiento.
L) Titular de los datos: persona cuyos datos sean objeto de un
tratamiento incluido dentro del ámbito de acción de la presente ley.
M) Tratamiento de datos: operaciones y procedimientos sistemáticos, de
carácter automatizado o no, que permitan el procesamiento de datos
personales, así como también su cesión a terceros a través de
comunicaciones, consultas, interconexiones o transferencias.
N) Usuario de datos: toda persona, pública o privada, que realice a su
arbitrio el tratamiento de datos, ya sea en una base de datos propia o
a través de conexión con los mismos.
CAPITULO II - PRINCIPIOS GENERALES
Valor y fuerza.- La actuación de los responsables de las bases de datos,
tanto públicos como privados, y, en general, de todos quienes actúen en
relación a datos personales de terceros, deberá ajustarse a los siguientes
principios generales:
A) Legalidad.
B) Veracidad.
C) Finalidad.
D) Previo consentimiento informado.
E) Seguridad de los datos.
F) Reserva.
G) Responsabilidad.
Dichos principios generales servirán también de criterio interpretativo
para resolver las cuestiones que puedan suscitarse en la aplicación de las
disposiciones pertinentes.
Principio de legalidad.- La formación de bases de datos será lícita
cuando se encuentren debidamente inscriptas, observando en su operación
los principios que establecen la presente ley y las reglamentaciones que
se dicten en consecuencia.
Las bases de datos no pueden tener finalidades violatorias de derechos
humanos o contrarias a las leyes o a la moral pública.
Principio de veracidad.- Los datos personales que se recogieren a los
efectos de su tratamiento deberán ser veraces, adecuados, ecuánimes y no
excesivos en relación con la finalidad para la cual se hubieren obtenido.
La recolección de datos no podrá hacerse por medios desleales,
fraudulentos, abusivos, extorsivos o en forma contraria a las
disposiciones a la presente ley.
Los datos deberán ser exactos y actualizarse en el caso en que ello fuere
necesario.
Cuando se constate la inexactitud o falsedad de los datos, el responsable
del tratamiento, en cuanto tenga conocimiento de dichas circunstancias,
deberá suprimirlos, sustituirlos o completarlos por datos exactos, veraces
y actualizados. Asimismo, deberán ser eliminados aquellos datos que hayan
caducado de acuerdo a lo previsto en la presente ley.
Principio de finalidad.- Los datos objeto de tratamiento no podrán ser
utilizados para finalidades distintas o incompatibles con aquellas que
motivaron su obtención.
Los datos deberán ser eliminados cuando hayan dejado de ser necesarios o
pertinentes a los fines para los cuales hubieren sido recolectados.
La reglamentación determinará los casos y procedimientos en los que, por
excepción, y atendidos los valores históricos, estadísticos o científicos,
y de acuerdo con la legislación específica, se conserven datos personales
aún cuando haya perimido tal necesidad o pertinencia.
Tampoco podrán comunicarse datos entre bases de datos, sin que medie ley o
previo consentimiento informado del titular.
Principio del previo consentimiento informado.- El tratamiento de datos
personales es lícito cuando el titular hubiere prestado su consentimiento
libre, previo, expreso e informado, el que deberá documentarse.
El referido consentimiento prestado con otras declaraciones, deberá
figurar en forma expresa y destacada, previa notificación al requerido de
datos, de la información descrita en el artículo 12 de la presente ley.
No será necesario el previo consentimiento cuando:
A) Los datos provengan de fuentes públicas de información, tales como
registros o publicaciones en medios masivos de comunicación.
B) Se recaben para el ejercicio de funciones propias de los poderes
del Estado o en virtud de una obligación legal.
C) Se trate de listados cuyos datos se limiten en el caso de personas
físicas a nombres y apellidos, documento de identidad, nacionalidad,
domicilio y fecha de nacimiento. En el caso de personas jurídicas,
razón social, nombre de fantasía, registro único de contribuyentes,
domicilio, teléfono e identidad de las personas a cargo de la misma.
D) Deriven de una relación contractual, científica o profesional del
titular de los datos, y sean necesarios para su desarrollo o
cumplimiento.
E) Se realice por personas físicas o jurídicas, privadas o públicas,
para su uso exclusivo personal o doméstico.
Principio de seguridad de los datos.- El responsable o usuario de la base
de datos debe adoptar las medidas que resultaren necesarias para
garantizar la seguridad y confidencialidad de los datos personales. Dichas
medidas tendrán por objeto evitar su adulteración, pérdida, consulta o
tratamiento no autorizado, así como detectar desviaciones de información,
intencionales o no, ya sea que los riesgos provengan de la acción humana o
del medio técnico utilizado.
Los datos deberán ser almacenados de modo que permitan el ejercicio del
derecho de acceso de su titular.
Queda prohibido registrar datos personales en bases de datos que no reúnan
condiciones técnicas de integridad y seguridad.
Principio de reserva.- Aquellas personas físicas o jurídicas que
obtuvieren legítimamente información proveniente de una base de datos que
les brinde tratamiento, están obligadas a utilizarla en forma reservada y
exclusivamente para las operaciones habituales de su giro o actividad,
estando prohibida toda difusión de la misma a terceros.
Las personas que, por su situación laboral u otra forma de relación con el
responsable de una base de datos, tuvieren acceso o intervengan en
cualquier fase del tratamiento de datos personales, están obligadas a
guardar estricto secreto profesional sobre los mismos (artículo 302 del
Código Penal), cuando hayan sido recogidos de fuentes no accesibles al
público. Lo previsto no será de aplicación en los casos de orden de la
Justicia competente, de acuerdo con las normas vigentes en esta materia o
si mediare consentimiento del titular.
Esta obligación subsistirá aún después de finalizada la relación con el
responsable de la base de datos.
Principio de responsabilidad.- El responsable de la base de datos es
responsable de la violación de las disposiciones de la presente ley.
CAPITULO III - DERECHOS DE LOS TITULARES DE LOS DATOS
Derecho de información frente a la recolección de datos.- Cuando se
recaben datos personales se deberá informar previamente a sus titulares en
forma expresa, precisa e inequívoca:
A) La finalidad para la que serán tratados y quiénes pueden ser sus
destinatarios o clase de destinatarios.
B) La existencia de la base de datos, electrónico o de cualquier otro
tipo, de que se trate y la identidad y domicilio de su responsable.
C) El carácter obligatorio o facultativo de las respuestas al
cuestionario que se le proponga, en especial en cuanto a los datos
sensibles.
D) Las consecuencias de proporcionar los datos y de la negativa a
hacerlo o su inexactitud.
E) La posibilidad del titular de ejercer los derechos de acceso,
rectificación y supresión de los datos.
Derecho de acceso.- Todo titular de datos personales que previamente
acredite su identificación con el documento de identidad o poder
respectivo, tendrá derecho a obtener toda la información que sobre sí
mismo se halle en bases de datos públicas o privadas. Este derecho de
acceso sólo podrá ser ejercido en forma gratuita a intervalos de seis
meses, salvo que se hubiere suscitado nuevamente un interés legítimo de
acuerdo con el ordenamiento jurídico.
Cuando se trate de datos de personas fallecidas, el ejercicio del derecho
al cual refiere este artículo, corresponderá a cualesquiera de sus
sucesores universales, cuyo carácter se acreditará por la sentencia de
declaratoria de herederos.
La información debe ser proporcionada dentro de los cinco días hábiles de
haber sido solicitada. Vencido el plazo sin que el pedido sea satisfecho o
si fuera denegado por razones no justificadas de acuerdo con esta ley,
quedará habilitada la acción de habeas data.
La información debe ser suministrada en forma clara, exenta de
codificaciones y en su caso acompañada de una explicación, en lenguaje
accesible al conocimiento medio de la población, de los términos que se
utilicen.
La información debe ser amplia y versar sobre la totalidad del registro
perteneciente al titular, aún cuando el requerimiento sólo comprenda un
aspecto de los datos personales. En ningún caso el informe podrá revelar
datos pertenecientes a terceros, aún cuando se vinculen con el interesado.
La información, a opción del titular, podrá suministrarse por escrito, por
medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin.
Derecho de rectificación, actualización, inclusión o supresión.- Toda
persona física o jurídica tendrá derecho a solicitar la rectificación,
actualización, inclusión o supresión de los datos personales que le
corresponda incluidos en una base de datos, al constatarse error o
falsedad o exclusión en la información de la que es titular.
El responsable de la base de datos o del tratamiento deberá proceder a
realizar la rectificación, actualización, inclusión o supresión, mediante
las operaciones necesarias a tal fin en un plazo máximo de cinco días
hábiles de recibida la solicitud por el titular del dato o, en su caso,
informar de las razones por las que estime no corresponde.
El incumplimiento de esta obligación por parte del responsable de la base
de datos o del tratamiento o el vencimiento del plazo, habilitará al
titular del dato a promover la acción de habeas data prevista en esta ley.
No procede la eliminación o supresión de datos personales salvo en
aquellos casos de:
A) perjuicios a los derechos e intereses legítimos de terceros.
B) notorio error o falsedad.
C) contravención a lo establecido por una obligación legal.
Durante el proceso de verificación, rectificación o inclusión de datos
personales, el responsable de la base de datos o tratamiento, ante el
requerimiento de terceros por acceder a informes sobre los mismos, deberá
dejar constancia que dicha información se encuentra sometida a revisión.
En el supuesto de comunicación o transferencia de datos, el responsable de
la base de datos o del tratamiento debe notificar la rectificación,
inclusión o supresión al destinatario dentro del quinto día hábil de
efectuado el tratamiento del dato.
La rectificación, actualización, inclusión, eliminación o supresión de
datos personales cuando corresponda, se efectuará sin cargo alguno para el
titular.
Derecho a la impugnación de valoraciones personales.- Las personas tienen
derecho a no verse sometidas a una decisión con efectos jurídicos que les
afecte de manera significativa, que se base en un tratamiento automatizado
o no de datos destinado a evaluar determinados aspectos de su
personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta,
entre otros.
El afectado podrá impugnar los actos administrativos o decisiones privadas
que impliquen una valoración de su comportamiento, cuyo único fundamento
sea un tratamiento de datos personales que ofrezca una definición de sus
características o personalidad.
En este caso, el afectado tendrá derecho a obtener información del
responsable de la base de datos tanto sobre los criterios de valoración
como sobre el programa utilizado en el tratamiento que sirvió para adoptar
la decisión manifestada en el acto.
La valoración sobre el comportamiento de las personas, basada en un
tratamiento de datos, únicamente podrá tener valor probatorio a petición
del afectado.
Derechos referentes a la comunicación de datos.- Los datos personales
objeto de tratamiento sólo podrán ser comunicados para el cumplimiento de
los fines directamente relacionados con el interés legítimo del emisor y
del destinatario y con el previo consentimiento del titular de los datos,
al que se le debe informar sobre la finalidad de la comunicación e
identificar al destinatario o los elementos que permitan hacerlo.
El previo consentimiento para la comunicación es revocable.
El previo consentimiento no será necesario cuando:
A) así lo disponga una ley de interés general.
B) en los supuestos del artículo 9° de la presente ley.
C) se trate de datos personales relativos a la salud y sea necesario
por razones de salud e higiene públicas, de emergencia o para la
realización de estudios epidemiológicos, en tanto se preserve la
identidad de los titulares de los datos mediante mecanismos de
disociación adecuados.
D) se hubiera aplicado un procedimiento de disociación de la
información, de modo que los titulares de los datos no sean
identificables.
El destinatario quedará sujeto a las mismas obligaciones legales y
reglamentarias del emisor y éste responderá solidaria y conjuntamente por
la observancia de las mismas ante el organismo de control y el titular de
los datos de que se trate.
CAPITULO IV - DATOS ESPECIALMENTE PROTEGIDOS
Datos sensibles.- Ninguna persona puede ser obligada a proporcionar datos
sensibles. Estos sólo podrán ser objeto de tratamiento con el
consentimiento expreso y escrito del titular.
Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento
cuando medien razones de interés general autorizadas por ley, o cuando el
organismo solicitante tenga mandato legal para hacerlo. También podrán ser
tratados con finalidades estadísticas o científicas cuando se disocien de
sus titulares.
Queda prohibida la formación de bases de datos que almacenen información
que directa o indirectamente revele datos sensibles. Se exceptúan aquellos
que posean los partidos políticos, sindicatos, iglesias, confesiones
religiosas, asociaciones, fundaciones y otras entidades sin fines de
lucro, cuya finalidad sea política, religiosa, filosófica, sindical, que
hagan referencia al origen racial o étnico, a la salud y a la vida sexual,
en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio
que la comunicación de dichos datos precisará siempre el previo
consentimiento del titular del dato.
Los datos personales relativos a la comisión de infracciones penales,
civiles o administrativas sólo pueden ser objeto de tratamiento por parte
de las autoridades públicas competentes, en el marco de las leyes y
reglamentaciones respectivas, sin perjuicio de las autorizaciones que la
ley otorga u otorgare. Nada de lo establecido en esta ley impedirá a las
autoridades públicas comunicar o hacer pública la identidad de las
personas físicas o jurídicas que estén siendo investigadas por, o hayan
cometido, infracciones a la normativa vigente, en los casos en que otras
normas lo impongan o en los que lo consideren conveniente.
Datos relativos a la salud.- Los establecimientos sanitarios públicos o
privados y los profesionales vinculados a las ciencias de la salud pueden
recolectar y tratar los datos personales relativos a la salud física o
mental de los pacientes que acudan a los mismos o que estén o hubieren
estado bajo tratamiento de aquéllos, respetando los principios del secreto
profesional, la normativa específica y lo establecido en la presente ley.
Datos relativos a las telecomunicaciones.- Los operadores que exploten
redes públicas o que presten servicios de comunicaciones electrónicas
disponibles al público deberán garantizar, en el ejercicio de su
actividad, la protección de los datos personales conforme a la presente
ley.
Asimismo, deberán adoptar las medidas técnicas y de gestiones adecuadas
para preservar la seguridad en la explotación de su red o en la prestación
de sus servicios, con el fin de garantizar sus niveles de protección de
los datos personales que sean exigidos por la normativa de desarrollo de
esta ley en esta materia. En caso de que exista un riesgo particular de
violación de la seguridad de la red pública de comunicaciones
electrónicas, el operador que explote dicha red o preste el servicio de
comunicaciones electrónicas informará a los abonados sobre dicho riesgo y
sobre las medidas a adoptar.
La regulación contenida en esta ley se entiende sin perjuicio de lo
previsto en la normativa específica sobre telecomunicaciones relacionadas
con la seguridad pública y la defensa nacional.
Datos relativos a bases de datos con fines de publicidad.- En la
recopilación de domicilios, reparto de documentos, publicidad, venta u
otras actividades análogas, se podrán tratar datos que sean aptos para
establecer perfiles determinados con fines promocionales, comerciales o
publicitarios; o permitan establecer hábitos de consumo, cuando éstos
figuren en documentos accesibles al público o hayan sido facilitados por
los propios titulares u obtenidos con su consentimiento.
En los supuestos contemplados en el presente artículo, el titular de los
datos podrá ejercer el derecho de acceso sin cargo alguno.
El titular podrá en cualquier momento solicitar el retiro o bloqueo de sus
datos de los bancos de datos a los que se refiere el presente artículo.
Datos relativos a la actividad comercial o crediticia.- Queda
expresamente autorizado el tratamiento de datos personales destinados a
brindar informes objetivos de carácter comercial, incluyendo aquellos
relativos al cumplimiento o incumplimiento de obligaciones de carácter
comercial o crediticia que permitan evaluar la concertación de negocios en
general, la conducta comercial o la capacidad de pago del titular de los
datos, en aquellos casos en que los mismos sean obtenidos de fuentes de
acceso público o procedentes de informaciones facilitadas por el acreedor
o en las circunstancias previstas en la presente ley. Para el caso de las
personas jurídicas, además de las circunstancias previstas en la presente
ley, se permite el tratamiento de toda información autorizada por la
normativa vigente.
Los datos personales relativos a obligaciones de carácter comercial de
personas físicas sólo podrán estar registrados por un plazo de cinco años
contados desde su incorporación. En caso que al vencimiento de dicho plazo
la obligación permanezca incumplida, el acreedor podrá solicitar al
responsable de la base de datos, por única vez, su nuevo registro por
otros cinco años. Este nuevo registro deberá ser solicitado en el plazo de
treinta días anteriores al vencimiento original. Las obligaciones
canceladas o extinguidas por cualquier medio, permanecerán registradas,
con expresa mención de este hecho, por un plazo máximo de cinco años, no
renovable, a contar de la fecha de la cancelación o extinción.
Los responsables de las bases de datos se limitarán a realizar el
tratamiento objetivo de la información registrada tal cual ésta le fuera
suministrada, debiendo abstenerse de efectuar valoraciones subjetivas
sobre la misma.
Cuando se haga efectiva la cancelación de cualquier obligación incumplida
registrada en una base de datos, el acreedor deberá en un plazo máximo de
cinco días hábiles de acontecido el hecho, comunicarlo al responsable de
la base de datos o tratamiento correspondiente. Una vez recibida la
comunicación por el responsable de la base de datos o tratamiento, éste
dispondrá de un plazo máximo de tres días hábiles para proceder a la
actualización del dato, asentando su nueva situación.
Datos transferidos internacionalmente.- Se prohíbe la transferencia de
datos personales de cualquier tipo con países u organismos internacionales
que no proporcionen niveles de protección adecuados de acuerdo a los
estándares del Derecho Internacional o Regional en la materia.
La prohibición no regirá cuando se trate de:
1) Cooperación judicial internacional, de acuerdo al respectivo
instrumento internacional, ya sea Tratado o Convención, atendidas las
circunstancias del caso.
2) Intercambio de datos de carácter médico, cuando así lo exija el
tratamiento del afectado por razones de salud o higiene públicas.
3) Transferencias bancarias o bursátiles, en lo relativo a las
transacciones respectivas y conforme la legislación que les resulte
aplicable.
4) Acuerdos en el marco de tratados internacionales en los cuales la
República Oriental del Uruguay sea parte.
5) Cooperación internacional entre organismos de inteligencia para la
lucha contra el crimen organizado, el terrorismo y el narcotráfico.
También será posible realizar la transferencia internacional de datos en
los siguientes supuestos:
A) Que el interesado haya dado su consentimiento inequívocamente a la
transferencia prevista.
B) Que la transferencia sea necesaria para la ejecución de un contrato
entre el interesado y el responsable del tratamiento o para la
ejecución de medidas precontractuales tomadas a petición del
interesado.
C) Que la transferencia sea necesaria para la celebración o ejecución
de un contrato celebrado o por celebrar en interés del interesado,
entre el responsable del tratamiento y un tercero.
D) Que la transferencia sea necesaria o legalmente exigida para la
salvaguardia de un interés público importante, o para el
reconocimiento, ejercicio o defensa de un derecho en un procedimiento
judicial.
E) Que la transferencia sea necesaria para la salvaguardia del interés
vital del interesado.
F) Que la transferencia tenga lugar desde un registro que, en virtud
de disposiciones legales o reglamentarias, esté concebido para
facilitar información al público y esté abierto a la consulta por el
público en general o por cualquier persona que pueda demostrar un
interés legítimo, siempre que se cumplan, en cada caso particular, las
condiciones que establece la ley para su consulta.
Sin perjuicio de lo dispuesto en el primer inciso de este artículo, la
Unidad Reguladora y de Control de Protección de Datos Personales podrá
autorizar una transferencia o una serie de transferencias de datos
personales a un tercer país que no garantice un nivel adecuado de
protección, cuando el responsable del tratamiento ofrezca garantías
suficientes respecto a la protección de la vida privada, de los derechos y
libertades fundamentales de las personas, así como respecto al ejercicio
de los respectivos derechos.
Dichas garantías podrán derivarse de cláusulas contractuales apropiadas.
CAPITULO V - BASES DE DATOS DE TITULARIDAD PUBLICA
Creación, modificación o supresión.- La creación, modificación o
supresión de bases de datos pertenecientes a organismos públicos deberán
registrarse conforme lo previsto en el capítulo siguiente.
Base de datos correspondientes a las Fuerzas Armadas, Organismos
Policiales o de Inteligencia.- Quedarán sujetos al régimen de la presente
ley, los datos personales que por haberse almacenado para fines
administrativos, deban ser objeto de registro permanente en las bases de
datos de las fuerzas armadas, organismos policiales o de inteligencia; y
aquellos sobre antecedentes personales que proporcionen dichas bases de
datos a las autoridades administrativas o judiciales que los requieran en
virtud de disposiciones legales.
El tratamiento de datos personales con fines de defensa nacional o
seguridad pública por parte de las fuerzas armadas, organismos policiales
o inteligencia, sin previo consentimiento de los titulares, queda limitado
a aquellos supuestos y categoría de datos que resulten necesarios para el
estricto cumplimiento de las misiones legalmente asignadas a aquéllos para
la defensa nacional, la seguridad pública o para la represión de los
delitos. Las bases de datos, en tales casos, deberán ser específicas y
establecidas al efecto, debiendo clasificarse por categorías, en función
de su grado de fiabilidad.
Los datos personales registrados con fines policiales se cancelarán cuando
no sean necesarios para las averiguaciones que motivaron su
almacenamiento.
Excepciones a los derechos de acceso, rectificación y cancelación.- Los
responsables de las bases de datos que contengan los datos a que se
refieren los incisos segundo y tercero del artículo anterior podrán
denegar el acceso, la rectificación o cancelación en función de los
peligros que pudieran derivarse para la defensa del Estado o la seguridad
pública, la protección de los derechos y libertades de terceros o las
necesidades de las investigaciones que se estén realizando.
Los responsables de las bases de datos de la Hacienda Pública podrán,
igualmente, denegar el ejercicio de los derechos a que se refiere el
inciso anterior cuando el mismo obstaculice las actuaciones
administrativas tendientes a asegurar el cumplimiento de las obligaciones
tributarias y, en todo caso, cuando el titular del dato esté siendo objeto
de actuaciones inspectivas.
El titular del dato al que se deniegue total o parcialmente el ejercicio
de los derechos mencionados en los incisos anteriores podrá ponerlo en
conocimiento del Organo de Control, quien deberá asegurarse de la
procedencia o improcedencia de la denegación.
Excepciones al derecho a la información.- Lo dispuesto en la presente ley
no será aplicable a la recolección de datos, cuando la información del
titular afecte a la defensa nacional, a la seguridad pública o a la
persecución de infracciones penales.
CAPITULO VI - BASES DE DATOS DE TITULARIDAD PRIVADA
Creación, modificación o supresión.- Las personas físicas o jurídicas
privadas que creen, modifiquen o supriman bases de datos de carácter
personal, que no sean para un uso exclusivamente individual o doméstico,
deberán registrarse conforme lo previsto en el artículo siguiente.
Inscripción registral.- Toda base de datos pública o privada debe
inscribirse en el Registro que al efecto habilite el Organo de Control, de
acuerdo a los criterios reglamentarios que se establezcan.
Por vía reglamentaria se procederá a la regulación detallada de los
distintos extremos que deberá contener la inscripción, entre los cuales
figurarán necesariamente los siguientes:
A) Identificación de la base de datos y el responsable de la misma.
B) Naturaleza de los datos personales que contiene.
C) Procedimientos de obtención y tratamiento de los datos.
D) Medidas de seguridad y descripción técnica de la base de datos.
E) Protección de datos personales y ejercicio de derechos.
F) Destino de los datos y personas físicas o jurídicas a las que
pueden ser transmitidos.
G) Tiempo de conservación de los datos.
H) Forma y condiciones en que las personas pueden acceder a los datos
referidos a ellas y los procedimientos a realizar para la rectificación
o actualización de los datos.
I) Cantidad de acreedores personas físicas que hayan cumplido los 5
años previstos en el artículo 22 de la presente ley.
J) Cantidad de cancelaciones por incumplimiento de la obligación de
pago si correspondiera, de acuerdo a lo previsto en el artículo 22 de
la presente ley.
Ningún usuario de datos podrán poseer datos personales de naturaleza
distinta a los declarados en el registro.
El incumplimiento de estos requisitos dará lugar a las sanciones
administrativas previstas en la presente ley.
Respecto a las bases de datos de carácter comercial ya inscriptos en el
Organo Regulador, se estará a lo previsto en la presente ley respecto del
plazo de adecuación.
Prestación de servicios informatizados de datos personales.- Cuando por
cuenta de terceros se presten servicios de tratamiento de datos
personales, éstos no podrán aplicarse o utilizarse con un fin distinto al
que figure en el contrato de servicios, ni cederlos a otras personas, ni
aún para su conservación.
Una vez cumplida la prestación contractual los datos personales tratados
deberán ser destruidos, salvo que medie autorización expresa de aquél por
cuenta de quien se prestan tales servicios cuando razonablemente se
presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá
almacenar con las debidas condiciones de seguridad por un período de hasta
dos años.
CAPITULO VII - ORGANO DE CONTROL
Organo de Control.- Créase como órgano desconcentrado de la Agencia para
el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la
Información y del Conocimiento (AGESIC), dotado de la más amplia autonomía
técnica, la Unidad Reguladora y de Control de Datos Personales. Estará
dirigida por un Consejo integrado por tres miembros: el Director Ejecutivo
de AGESIC y dos miembros designados por el Poder Ejecutivo entre personas
que por sus antecedentes personales, profesionales y de conocimiento en la
materia aseguren independencia de criterio, eficiencia, objetividad e
imparcialidad en el desempeño de sus cargos.
A excepción del Director Ejecutivo de la AGESIC, los miembros durarán
cuatro años en sus cargos, pudiendo ser designados nuevamente. Sólo
cesarán por la expiración de su mandato y designación de sus sucesores, o
por su remoción dispuesta por el Poder Ejecutivo en los casos de
ineptitud, omisión o delito, conforme a las garantías del debido proceso.
Durante su mandato no recibirán órdenes ni instrucciones en el plano
técnico.
Consejo Consultivo.- El Consejo Ejecutivo de la Unidad Reguladora y de
Control de Datos Personales funcionará asistido por un Consejo Consultivo,
que estará integrado por 5 miembros:
* Una persona con reconocida trayectoria en la promoción y defensa de
los derechos humanos, designado por el Poder Legislativo, el que no
podrá ser un Legislador en actividad.
* Un representante del Poder Judicial.
* Un representante del Ministerio Público.
* Un representante del área académica.
* Un representante del sector privado, que se elegirá en la forma
establecida reglamentariamente.
Sesionará presidido por el Presidente de la Unidad Reguladora y de Control
de protección de Datos Personales.
Sus integrantes durarán 4 años en sus cargos y sesionarán a convocatoria
del Presidente de la Unidad Reguladora y de Control de Datos Personales o
de la mayoría de sus miembros.
Podrá ser consultado por el Consejo Ejecutivo sobre cualquier aspecto de
su competencia y deberá ser consultado por éste cuando ejerza potestades
de reglamentación.
Recursos.- La Unidad Reguladora y de Control de Datos Personales
formulará su propuesta de presupuesto de acuerdo a lo previsto en el
artículo 214 de la Constitución de la República.
Cometidos.- El órgano de control deberá realizar todas las acciones
necesarias para el cumplimiento de los objetivos y demás disposiciones de
la presente ley. A tales efectos tendrá las siguientes funciones y
atribuciones:
A) Asistir y asesorar a las personas que lo requieran acerca de los
alcances de la presente ley y de los medios legales de que disponen
para la defensa de los derechos que ésta garantiza.
B) Dictar las normas y reglamentaciones que se deben observar en el
desarrollo de las actividades comprendidas por esta ley.
C) Realizar un censo de las bases de datos alcanzados por la ley y
mantener el registro permanente de los mismos.
D) Controlar la observancia de las normas sobre integridad, veracidad
y seguridad de datos por parte de los responsables de las bases de
datos, pudiendo a tales efectos realizar las actuaciones de inspección
pertinentes.
E) Solicitar información a las entidades públicas y privadas, las que
deberán proporcionar los antecedentes, documentos, programas u otros
elementos relativos al tratamiento de los datos personales que se le
requieran. En estos casos, la autoridad deberá garantizar la seguridad
y confidencialidad de la información y elementos suministrados.
F) Emitir opinión toda vez que le sea requerida por las autoridades
competentes, incluyendo solicitudes relacionadas con el dictado de
sanciones administrativas que correspondan por la violación a las
disposiciones de esta ley, de los reglamentos o de las resoluciones que
regulan el tratamiento de datos personales comprendidos en ésta.
G) Asesorar en forma necesaria al Poder Ejecutivo en la consideración
de los proyectos de ley que refieran total o parcialmente a protección
de datos personales.
H) Informar a cualquier persona sobre la existencia de bases de datos
personales, sus finalidades y la identidad de sus responsables, en
forma gratuita.
Potestades sancionatorias.- El órgano de control podrá aplicar las
siguientes medidas sancionatorias a los responsables de las bases de datos
o encargados del tratamiento de datos personales en caso que se violen las
normas de la presente ley:
1) Apercibimiento.
2) Multa de hasta quinientas mil unidades indexadas.
3) Suspensión de la base de datos respectiva. A tal efecto se faculta
a la AGESIC a promover ante los órganos jurisdiccionales competentes,
la suspensión de las bases de datos, hasta por un lapso de seis días
hábiles, respecto de los cuales se comprobare que infringieren o
transgredieren la presente ley.
Los hechos constitutivos de la infracción serán documentados de acuerdo a
las formalidades legales y la suspensión deberá decretarse dentro de los
tres días siguientes a aquel en que la hubiere solicitado la AGESIC, la
cual quedará habilitada a disponer por sí la suspensión si el Juez no se
pronunciare dentro de dicho término.
En este último caso, si el Juez denegare posteriormente la suspensión,
ésta deberá levantarse de inmediato por la AGESIC.
Los recursos que se interpongan contra la resolución judicial que hiciere
lugar a la suspensión, no tendrán efecto suspensivo.
Para hacer cumplir dicha resolución, la AGESIC podrá requerir el auxilio
de la fuerza pública.
La competencia de los Tribunales actuantes se determinará por las normas
de la Ley Orgánica de la Judicatura, Nº 15.750, de 24 de junio de 1985,
sus modificativas y concordantes.
Códigos de conducta.- Las asociaciones o entidades representativas de
responsables o usuarios de bancos de datos de titularidad privada podrán
elaborar códigos de conducta de práctica profesional, que establezcan
normas para el tratamiento de datos personales que tiendan a asegurar y
mejorar las condiciones de operación de los sistemas de información en
función de los principios establecidos en la presente ley.
Dichos códigos deberán ser inscriptos en el registro que al efecto lleve
el organismo de control, quien podrá denegar la inscripción cuando
considere que no se ajustan a las disposiciones legales y reglamentarias
sobre la materia.
CAPITULO VIII - ACCION DE PROTECCION
DE DATOS PERSONALES
Habeas Data.- Toda persona tendrá derecho a entablar una acción judicial
efectiva para tomar conocimiento de los datos referidos a su persona y de
su finalidad y uso, que consten en bases de datos públicos o privados; y
-en caso de error, falsedad, prohibición de tratamiento, discriminación o
desactualización- a exigir su rectificación, inclusión, supresión o lo que
entienda corresponder.
Cuando se trate de datos personales cuyo registro esté amparado por una
norma legal que consagre el secreto a su respecto, el Juez apreciará el
levantamiento del mismo en atención a las circunstancias del caso.
Procedencia y competencia.- El titular de datos personales podrá entablar
la acción de protección de datos personales o habeas data, contra todo
responsable de una base de datos pública o privada, en los siguientes
supuestos:
A) Cuando quiera conocer sus datos personales que se encuentran
registrados en una base de datos o similar y dicha información le haya
sido denegada, o no le hubiese sido proporcionada por el responsable de
la base de datos, en las oportunidades y plazos previstos por la ley.
B) Cuando haya solicitado al responsable de la base de datos o
tratamiento su rectificación, actualización, eliminación, inclusión o
supresión y éste no hubiese procedido a ello o dado razones suficientes
por las que no corresponde lo solicitado, en el plazo previsto al
efecto en la ley.
Serán competentes para conocer en las acciones de protección de datos
personales o habeas data:
1) En la Capital, los Juzgados Letrados de Primera Instancia en lo
Contencioso Administrativo, cuando la acción se dirija contra una
persona pública estatal, y los Juzgados Letrados de Primera Instancia
en lo Civil en los restantes casos.
2) Los Juzgados Letrados de Primera Instancia del Interior a quienes
se haya asignado competencia en dichas materias.
Legitimación.- La acción de habeas data podrá ser ejercida por el propio
afectado titular de los datos o sus representantes, ya sean tutores o
curadores y, en caso de personas fallecidas, por sus sucesores
universales, en línea directa o colateral hasta el segundo grado, por sí o
por medio de apoderado.
En el caso de personas jurídicas, la acción deberá ser interpuesta por sus
representantes legales o los apoderados designados a tales efectos.
Procedimiento.- Las acciones que se promuevan por violación a los
derechos contemplados en la presente ley se regirán por las normas
contenidas en los artículos que siguen al presente. Serán aplicables en lo
pertinente los artículos 14 y 15 del Código General del Proceso.
Trámite de primera instancia.- Salvo que la acción fuera manifiestamente
improcedente, en cuyo caso el tribunal la rechazará sin sustanciarla y
dispondrá el archivo de las actuaciones, se convocará a las partes a una
audiencia pública dentro del plazo de tres días de la fecha de la
presentación de la demanda.
En dicha audiencia se oirán las explicaciones del demandado, se recibirán
las pruebas y se producirán los alegatos. El tribunal, que podrá rechazar
las pruebas manifiestamente impertinentes o innecesarias, presidirá la
audiencia so pena de nulidad, e interrogará a los testigos y a las partes,
sin perjuicio de que aquéllos sean, a su vez, repreguntados por los
abogados. Gozará de los más amplios poderes de policía y de dirección de
la audiencia.
En cualquier momento podrá ordenar diligencias para mejor proveer.
La sentencia se dictará en la audiencia o a más tardar, dentro de las
veinticuatro horas de su celebración. Sólo en casos excepcionales podrá
prorrogarse la audiencia por hasta tres días.
Las notificaciones podrán realizarse por intermedio de la autoridad
policial. A los efectos del cómputo de los plazos de cumplimiento de lo
ordenado por la sentencia, se dejará constancia de la hora en que se
efectuó la notificación.
Medidas provisionales.- Si de la demanda o en cualquier otro momento del
proceso resultare, a juicio del tribunal, la necesidad de su inmediata
actuación, éste dispondrá, con carácter provisional, las medidas que
correspondieren en amparo del derecho o libertad presuntamente violados.
Contenido de la sentencia.- La sentencia que haga lugar al habeas data
deberá contener:
A) La identificación concreta de la autoridad o el particular a quien
se dirija y contra cuya acción, hecho u omisión se conceda el habeas
data.
B) La determinación precisa de lo que deba o no deba hacerse y el
plazo por el cual dicha resolución regirá, si es que corresponde
fijarlo.
C) El plazo para el cumplimiento de lo dispuesto, que será fijado por
el tribunal conforme las circunstancias de cada caso, y no será mayor
de quince días corridos e ininterrumpidos, computados a partir de la
notificación.
Recurso de apelación y segunda instancia.- En el proceso de habeas data
sólo serán apelables la sentencia definitiva y la que rechaza la acción
por ser manifiestamente improcedente.
El recurso de apelación deberá interponerse en escrito fundado, dentro del
plazo perentorio de tres días. El tribunal elevará sin más trámite los
autos al superior cuando hubiere desestimado la acción por improcedencia
manifiesta, y lo sustanciará con un traslado a la contraparte, por tres
días perentorios, cuando la sentencia apelada fuese la definitiva.
El tribunal de alzada resolverá en acuerdo, dentro de los cuatro días
siguientes a la recepción de los autos. La interposición del recurso no
suspenderá las medidas de amparo decretadas, las cuales serán cumplidas
inmediatamente después de notificada la sentencia, sin necesidad de tener
que esperar el transcurso del plazo para su impugnación.
Sumariedad. Otros aspectos.-
En los procesos de habeas data no podrán deducirse cuestiones previas,
reconvenciones ni incidentes. El tribunal, a petición de parte o de
oficio, subsanará los vicios de procedimiento, asegurando, dentro de la
naturaleza sumaria del proceso, la vigencia del principio de
contradictorio.
Cuando se planteare la inconstitucionalidad por vía de excepción o de
oficio (artículos 509 numeral 2 y 510 numeral 2 del Código General del
Proceso) se procederá a la suspensión del procedimiento sólo después que
el Magistrado actuante haya dispuesto la adopción de las medidas
provisorias referidas en la presente ley o, en su caso, dejando constancia
circunstanciada de las razones de considerarlas innecesarias.
CAPITULO IX - DISPOSICIONES TRANSITORIAS
Traslado del órgano de control referente a datos comerciales.- Se
establece el plazo de ciento veinte días corridos para que el actual
órgano de control en materia de protección de datos comerciales, a cargo
del Ministerio de Economía y Finanzas, realice el traslado de la
información y documentación a la AGESIC.
Reglamentación.- El Poder Ejecutivo deberá reglamentar la presente ley
dentro de los ciento ochenta días de su promulgación.
Sala de Sesiones de la Asamblea General, en Montevideo, a 6 de agosto de
2008.
RODOLFO NIN NOVOA, Presidente; HUGO RODRIGUEZ FILIPPINI, Secretario; MARTI
DALGALARRONDO AÑON, Secretario.
MINISTERIO DEL INTERIOR
MINISTERIO DE RELACIONES EXTERIORES
MINISTERIO DE ECONOMIA Y FINANZAS
MINISTERIO DE DEFENSA NACIONAL
MINISTERIO DE EDUCACION Y CULTURA
MINISTERIO DE TRANSPORTE Y OBRAS PUBLICAS
MINISTERIO DE INDUSTRIA, ENERGIA Y MINERIA
MINISTERIO DE TRABAJO Y SEGURIDAD SOCIAL
MINISTERIO DE SALUD PUBLICA
MINISTERIO DE GANADERIA, AGRICULTURA Y PESCA
MINISTERIO DE TURISMO Y DEPORTE
MINISTERIO DE VIVIENDA, ORDENAMIENTO TERRITORIAL Y MEDIO
AMBIENTE
MINISTERIO DE DESARROLLO SOCIAL
Montevideo, 11 de Agosto de 2008
De acuerdo a lo dispuesto por el artículo 145 de la Constitución de la
República, cúmplase, acúsese recibo, comuníquese, publíquese e insértese
en el Registro Nacional de Leyes y Decretos, la Ley por la que se
establecen normas de protección de datos personales.
Dr. TABARE VAZQUEZ, Presidente de la República; DAISY TOURNE; GONZALO
FERNANDEZ; DANILO ASTORI; JOSE BAYARDI; MARIA SIMON; VICTOR ROSSI; DANIEL
MARTINEZ; EDUARDO BONOMI; MARIA JULIA MUÑOZ; ERNESTO AGAZZI; HECTOR
LESCANO; CARLOS COLACCE; MARINA ARISMENDI.