LEY DE PROTECCION DE DATOS PERSONALES




Promulgación: 11/08/2008
Publicación: 18/08/2008
  • Registro Nacional de Leyes y Decretos:
  •    Tomo: 1
  •    Semestre: 2
  •    Año: 2008
  •    Página: 378
Reglamentada por: Decreto Nº 414/009 de 31/08/2009.
Ver: Ley Nº 19.438 de 14/10/2016 artículo 189 (declara que se exceptua a 
UTE, ANTEL y OSE, de las limitaciones para brindar información a los 
Gobiernos Departamentales).
Referencias a toda la norma

CAPITULO I - DISPOSICIONES GENERALES

Artículo 1

 Derecho Humano.- El derecho a la protección de datos personales es
inherente a la persona humana, por lo que está comprendido en el artículo
72 de la Constitución de la República.
Referencias al artículo

Artículo 2

 Ambito subjetivo.- El derecho a la protección de los datos personales se
aplicará por extensión a las personas jurídicas, en cuanto corresponda.
Referencias al artículo

Artículo 3

 Ambito objetivo.- El régimen de la presente ley será de aplicación a los
datos personales registrados en cualquier soporte que los haga
susceptibles de tratamiento, y a toda modalidad de uso posterior de estos
datos por los ámbitos público o privado.
No será de aplicación a las siguientes bases de datos:
A) A las mantenidas por personas físicas en el ejercicio de
   actividades exclusivamente personales o domésticas.
B) Las que tengan por objeto la seguridad pública, la defensa, la
   seguridad del Estado y sus actividades en materia penal, investigación
   y represión del delito.
C) A las bases de datos creadas y reguladas por leyes especiales.

(*)Notas:
Literal C) reglamentado por: Decreto Nº 437/009 de 28/09/2009.
Referencias al artículo

Artículo 4

 Definiciones.- A los efectos de la presente ley se entiende por:
A) Base de datos: indistintamente, designan al conjunto organizado de
   datos personales que sean objeto de tratamiento o procesamiento,
   electrónico o no, cualquiera que fuere la modalidad de su formación,
   almacenamiento, organización o acceso.
B) Comunicación de datos: toda revelación de datos realizada a una
   persona distinta del titular de los datos.
C) Consentimiento del titular: toda manifestación de voluntad, libre,
   inequívoca, específica e informada, mediante la cual el titular
   consienta el tratamiento de datos personales que le concierne.
D) Dato personal: información de cualquier tipo referida a personas
   físicas o jurídicas determinadas o determinables.
E) Dato sensible: datos personales que revelen origen racial y étnico,
   preferencias políticas, convicciones religiosas o morales, afiliación
   sindical e informaciones referentes a la salud o a la vida sexual.
F) Destinatario: persona física o jurídica, pública o privada, que
   recibiere comunicación de datos, se trate o no de un tercero.
G) Disociación de datos: todo tratamiento de datos personales de
   manera que la información obtenida no pueda vincularse a persona
   determinada o determinable.
H) Encargado del tratamiento: persona física o jurídica, pública o
   privada, que sola o en conjunto con otros trate datos personales por
   cuenta del responsable de la base de datos o del tratamiento.
I) Fuentes accesibles al público: aquellas bases de datos cuya
   consulta puede ser realizada por cualquier persona, no impedida por una
   norma limitativa o sin más exigencia que, en su caso, el abono de una
   contraprestación.
J) Tercero: la persona física o jurídica, pública o privada, distinta
   del titular del dato, del responsable de la base de datos o
   tratamiento, del encargado y de las personas autorizadas para tratar
   los datos bajo la autoridad directa del responsable o del encargado del
   tratamiento.
K) Responsable de la base de datos o del tratamiento: persona física o
   jurídica, pública o privada, propietaria de la base de datos o que
   decida sobre la finalidad, contenido y uso del tratamiento.
L) Titular de los datos: persona cuyos datos sean objeto de un
   tratamiento incluido dentro del ámbito de acción de la presente ley.
M) Tratamiento de datos: operaciones y procedimientos sistemáticos, de
   carácter automatizado o no, que permitan el procesamiento de datos
   personales, así como también su cesión a terceros a través de
   comunicaciones, consultas, interconexiones o transferencias.
N) Usuario de datos: toda persona, pública o privada, que realice a su
   arbitrio el tratamiento de datos, ya sea en una base de datos propia o
   a través de conexión con los mismos.
Ñ) Datos biométricos: datos personales obtenidos a partir de un
   tratamiento técnico específico, relativos a las características
   físicas, fisiológicas o conductuales de una persona física que
   permitan o confirmen la identificación única de dicha persona tales
   como datos dactiloscópicos, reconocimiento de imagen o voz. (*)


(*)Notas:
Literal Ñ) ver vigencia: Ley Nº 19.924 de 18/12/2020 artículo 3.
Literal Ñ) agregado/s por: Ley Nº 19.924 de 18/12/2020 artículo 86.
Referencias al artículo

CAPITULO II - PRINCIPIOS GENERALES

Artículo 5

 Valor y fuerza.- La actuación de los responsables de las bases de datos,
tanto públicos como privados, y, en general, de todos quienes actúen en
relación a datos personales de terceros, deberá ajustarse a los siguientes
principios generales:
A)     Legalidad.
B)     Veracidad.
C)     Finalidad.
D)     Previo consentimiento informado.
E)     Seguridad de los datos.
F)     Reserva.
G)     Responsabilidad.
Dichos principios generales servirán también de criterio interpretativo
para resolver las cuestiones que puedan suscitarse en la aplicación de las
disposiciones pertinentes.
Referencias al artículo

Artículo 6

 Principio de legalidad.- La formación de bases de datos será lícita
cuando se encuentren debidamente inscriptas, observando en su operación
los principios que establecen la presente ley y las reglamentaciones que
se dicten en consecuencia.
Las bases de datos no pueden tener finalidades violatorias de derechos
humanos o contrarias a las leyes o a la moral pública.
Referencias al artículo

Artículo 7

 Principio de veracidad.- Los datos personales que se recogieren a los
efectos de su tratamiento deberán ser veraces, adecuados, ecuánimes y no
excesivos en relación con la finalidad para la cual se hubieren obtenido.
La recolección de datos no podrá hacerse por medios desleales,
fraudulentos, abusivos, extorsivos o en forma contraria a las
disposiciones a la presente ley.
Los datos deberán ser exactos y actualizarse en el caso en que ello fuere
necesario.
Cuando se constate la inexactitud o falsedad de los datos, el responsable
del tratamiento, en cuanto tenga conocimiento de dichas circunstancias,
deberá suprimirlos, sustituirlos o completarlos por datos exactos, veraces
y actualizados. Asimismo, deberán ser eliminados aquellos datos que hayan
caducado de acuerdo a lo previsto en la presente ley.
Referencias al artículo

Artículo 8

 Principio de finalidad.- Los datos objeto de tratamiento no podrán ser
utilizados para finalidades distintas o incompatibles con aquellas que
motivaron su obtención.
Los datos deberán ser eliminados cuando hayan dejado de ser necesarios o
pertinentes a los fines para los cuales hubieren sido recolectados.
La reglamentación determinará los casos y procedimientos en los que, por
excepción, y atendidos los valores históricos, estadísticos o científicos,
y de acuerdo con la legislación específica, se conserven datos personales
aún cuando haya perimido tal necesidad o pertinencia.
Tampoco podrán comunicarse datos entre bases de datos, sin que medie ley o
previo consentimiento informado del titular.
Referencias al artículo

Artículo 9

 Principio del previo consentimiento informado.- El tratamiento de datos
personales es lícito cuando el titular hubiere prestado su consentimiento
libre, previo, expreso e informado, el que deberá documentarse.
 El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 13 de la presente
ley. (*)
 No será necesario el previo consentimiento cuando:
A) Los datos provengan de fuentes públicas de información, tales como
   registros o publicaciones en medios masivos de comunicación.
B) Se recaben para el ejercicio de funciones propias de los poderes
   del Estado o en virtud de una obligación legal.
C) Se trate de listados cuyos datos se limiten en el caso de personas
   físicas a nombres y apellidos, documento de identidad, nacionalidad,
   domicilio y fecha de nacimiento. En el caso de personas jurídicas,
   razón social, nombre de fantasía, registro único de contribuyentes,
   domicilio, teléfono e identidad de las personas a cargo de la misma.
D) Deriven de una relación contractual, científica o profesional del
   titular de los datos, y sean necesarios para su desarrollo o
   cumplimiento.
E) Se realice por personas físicas para su uso exclusivo personal,
   individual o doméstico. (*)

(*)Notas:
Inciso 2º) redacción dada por: Ley Nº 18.719 de 27/12/2010 artículo 152.
Inciso 3º) literal E) redacción dada por: Ley Nº 18.719 de 27/12/2010 
artículo 156.
Ver en esta norma, artículos: 17 y 18 - BIS.
Ver: Ley Nº 19.355 de 19/12/2015 artículo 84 (interpretativo).

TEXTO ORIGINAL: Ley Nº 18.331 de 11/08/2008 artículo 9.
Referencias al artículo

Artículo 9-BIS

   A los efectos de lo dispuesto por el literal I) del artículo 4°, por
el literal A) del inciso tercero del artículo 9° y por los artículos 11,
21 y 22 de la presente ley, se consideran como públicas o accesibles al
público, las siguientes fuentes o documentos:
    A) El Diario Oficial y las publicaciones oficiales, cualquiera sea su
       soporte de registro o canal de comunicación.
    B) Las publicaciones en medios masivos de comunicación, entendiendo
       por tales los provenientes de la prensa, cualquiera sea el soporte
       en el que figuren o el canal a través del cual se practique la
       comunicación.
    C) Las guías, anuarios, directorios y similares en los que figuren
       nombres y domicilios, u otros datos personales que hayan sido
       incluidos con el consentimiento del titular.
    D) Todo otro registro o publicación en el que prevalezca el interés
       general en cuanto a que los datos personales en ellos contenidos
       puedan ser consultados, difundidos o utilizados por parte de
       terceros. En caso contrario, se podrá hacer uso del registro o
       publicación mediante técnicas de disociación u ocultamiento de los
       datos personales.
  La Unidad Reguladora de Control de Datos Personales, de oficio o a
solicitud de cualquier interesado, se expedirá sobre el derecho a la protección de datos personales, en situaciones relacionadas con los apartados precedentes literales A) y B) del inciso primero del artículo 34 de la presente ley. (*)

(*)Notas:
Ver vigencia: Ley Nº 18.996 de 07/11/2012 artículo 2.
Agregado/s por: Ley Nº 18.996 de 07/11/2012 artículo 43.

Artículo 10

 Principio de seguridad de los datos.- El responsable o usuario de la base
de datos debe adoptar las medidas que resultaren necesarias para
garantizar la seguridad y confidencialidad de los datos personales. Dichas
medidas tendrán por objeto evitar su adulteración, pérdida, consulta o
tratamiento no autorizado, así como detectar desviaciones de información,
intencionales o no, ya sea que los riesgos provengan de la acción humana o
del medio técnico utilizado.
Los datos deberán ser almacenados de modo que permitan el ejercicio del
derecho de acceso de su titular.
Queda prohibido registrar datos personales en bases de datos que no reúnan
condiciones técnicas de integridad y seguridad.
Referencias al artículo

Artículo 11

 Principio de reserva.- Aquellas personas físicas o jurídicas que
obtuvieren legítimamente información proveniente de una base de datos que
les brinde tratamiento, están obligadas a utilizarla en forma reservada y
exclusivamente para las operaciones habituales de su giro o actividad,
estando prohibida toda difusión de la misma a terceros.
Las personas que, por su situación laboral u otra forma de relación con el
responsable de una base de datos, tuvieren acceso o intervengan en
cualquier fase del tratamiento de datos personales, están obligadas a
guardar estricto secreto profesional sobre los mismos (artículo 302 del
Código Penal), cuando hayan sido recogidos de fuentes no accesibles al
público. Lo previsto no será de aplicación en los casos de orden de la
Justicia competente, de acuerdo con las normas vigentes en esta materia o
si mediare consentimiento del titular.
Esta obligación subsistirá aún después de finalizada la relación con el
responsable de la base de datos.
Referencias al artículo

Artículo 12

   (Principio de responsabilidad).- El responsable de la base de datos o tratamiento y el encargado, en su caso, serán responsables de la violación
de las disposiciones de la presente ley.

   En ejercicio de una responsabilidad proactiva, deberán adoptar las
medidas técnicas y organizativas apropiadas: privacidad desde el diseño,
privacidad por defecto, evaluación de impacto a la protección de datos,
entre otras, a fin de garantizar un tratamiento adecuado de los datos
personales y demostrar su efectiva implementación.

   La reglamentación determinará las medidas que correspondan según los
tipos de datos, tratamientos y responsables, así como la oportunidad para
su revisión y actualización. (*)

(*)Notas:
Redacción dada por: Ley Nº 19.670 de 15/10/2018 artículo 39.
Ver vigencia: Ley Nº 19.670 de 15/10/2018 artículo 2.
Reglamentado por: Decreto Nº 64/020 de 17/02/2020.

TEXTO ORIGINAL: Ley Nº 18.331 de 11/08/2008 artículo 12.
Referencias al artículo

CAPITULO III - DERECHOS DE LOS TITULARES DE LOS DATOS

Artículo 13

   Derecho de información frente al tratamiento y recolección de datos. Cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa, precisa e inequívoca:

     A) La finalidad para la que serán tratados y quiénes pueden ser sus
        destinatarios o clase de destinatarios.

     B) La existencia de la base de datos, electrónico o de cualquier otro
        tipo, de que se trate, la identidad y domicilio de su responsable.

     C) El carácter obligatorio o facultativo de las respuestas al
        cuestionario que se le proponga, en especial en cuanto a los datos
        sensibles.

     D) Las consecuencias de proporcionar los datos y de la negativa a 
        hacerlo o su inexactitud.

     E) La posibilidad del titular de ejercer los derechos previstos en 
        los artículos 14 a 16 de la presente ley.

     F)  La existencia o no de transferencias internacionales de datos.

     G) En el caso de tratamientos automatizados de datos regulados por el
        artículo 16 de la presente ley, los criterios de valoración, los
        procesos aplicados y la solución tecnológica o el programa 
        utilizado.

   Cuando los datos personales no sean recolectados directamente de sus
   titulares, la información referida en el presente artículo les deberá
   ser proporcionada a estos en un plazo de cinco días hábiles de
   recibida la solicitud por parte de los responsables. El incumplimiento
   habilitará al titular a realizar las acciones que correspondan.

   El órgano de control podrá establecer condiciones específicas para la
   publicidad permanente de la información indicada en el presente
   artículo, cuando las condiciones técnicas y el tipo de tratamiento
   realizado así lo permitan. (*)

(*)Notas:
Redacción dada por: Ley Nº 20.075 de 20/10/2022 artículo 62.
Ver vigencia: Ley Nº 20.075 de 20/10/2022 artículo 5.

TEXTO ORIGINAL: Ley Nº 18.331 de 11/08/2008 artículo 13.
Referencias al artículo

Artículo 14

 Derecho de acceso.- Todo titular de datos personales que previamente
acredite su identificación con el documento de identidad o poder
respectivo, tendrá derecho a obtener toda la información que sobre sí
mismo se halle en bases de datos públicas o privadas. Este derecho de
acceso sólo podrá ser ejercido en forma gratuita a intervalos de seis
meses, salvo que se hubiere suscitado nuevamente un interés legítimo de
acuerdo con el ordenamiento jurídico.
 Cuando se trate de datos de personas fallecidas, el ejercicio del derecho al cual refiere este artículo, corresponderá a cualesquiera de sus sucesores universales, cuyo carácter se acreditará debidamente. (*)
 La información debe ser proporcionada dentro de los cinco días hábiles de
haber sido solicitada. Vencido el plazo sin que el pedido sea satisfecho o
si fuera denegado por razones no justificadas de acuerdo con esta ley,
quedará habilitada la acción de habeas data.
 La información debe ser suministrada en forma clara, exenta de
codificaciones y en su caso acompañada de una explicación, en lenguaje
accesible al conocimiento medio de la población, de los términos que se
utilicen.
 La información debe ser amplia y versar sobre la totalidad del registro
perteneciente al titular, aún cuando el requerimiento sólo comprenda un
aspecto de los datos personales. En ningún caso el informe podrá revelar
datos pertenecientes a terceros, aún cuando se vinculen con el interesado.
 La información, a opción del titular, podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin.

(*)Notas:
Inciso 2º) redacción dada por: Ley Nº 18.719 de 27/12/2010 artículo 152.

TEXTO ORIGINAL: Ley Nº 18.331 de 11/08/2008 artículo 14.
Referencias al artículo

Artículo 15

 Derecho de rectificación, actualización, inclusión o supresión.- Toda
persona física o jurídica tendrá derecho a solicitar la rectificación,
actualización, inclusión o supresión de los datos personales que le
corresponda incluidos en una base de datos, al constatarse error o
falsedad o exclusión en la información de la que es titular.
 El responsable de la base de datos o del tratamiento deberá proceder a
realizar la rectificación, actualización, inclusión o supresión, mediante
las operaciones necesarias a tal fin en un plazo máximo de cinco días
hábiles de recibida la solicitud por el titular del dato o, en su caso,
informar de las razones por las que estime no corresponde.
 El incumplimiento de esta obligación por parte del responsable de la base
de datos o del tratamiento o el vencimiento del plazo, habilitará al
titular del dato a promover la acción de habeas data prevista en esta ley.
 Procede la eliminación o supresión de datos personales en los siguientes casos:

A)     Perjuicios a los derechos e intereses legítimos de terceros.
B)     Notorio error.
C)     Contravención a lo establecido por una obligación legal. (*)

 Durante el proceso de verificación, rectificación o inclusión de datos
personales, el responsable de la base de datos o tratamiento, ante el
requerimiento de terceros por acceder a informes sobre los mismos, deberá
dejar constancia que dicha información se encuentra sometida a revisión.
 En el supuesto de comunicación o transferencia de datos, el responsable de la base de datos o del tratamiento debe notificar la rectificación,
inclusión o supresión al destinatario dentro del quinto día hábil de
efectuado el tratamiento del dato.
 La rectificación, actualización, inclusión, eliminación o supresión de
datos personales cuando corresponda, se efectuará sin cargo alguno para el
titular.

(*)Notas:
Inciso 4º) redacción dada por: Ley Nº 18.719 de 27/12/2010 artículo 152.

TEXTO ORIGINAL: Ley Nº 18.331 de 11/08/2008 artículo 15.
Referencias al artículo

Artículo 16

  (Derecho a la impugnación de valoraciones personales).- Las personas tienen derecho a no verse sometidas a una decisión con efectos jurídicos que les afecte de manera significativa, que se base en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, entre otros.

     El afectado podrá impugnar los actos administrativos o decisiones
privadas que impliquen una valoración de su comportamiento, cuyo único
fundamento sea un tratamiento de datos personales que ofrezca una
definición de sus características o personalidad.

     En este caso, el afectado tendrá derecho a obtener información del
responsable de la base de datos tanto sobre los criterios de valoración
como sobre el programa utilizado en el tratamiento que sirvió para adoptar
la decisión manifestada en el acto. (*)


(*)Notas:
Redacción dada por: Ley Nº 18.719 de 27/12/2010 artículo 152.
Ver en esta norma, artículo: 34.

TEXTO ORIGINAL: Ley Nº 18.331 de 11/08/2008 artículo 16.
Referencias al artículo

Artículo 17

 Derechos referentes a la comunicación de datos.- Los datos personales
objeto de tratamiento sólo podrán ser comunicados para el cumplimiento de
los fines directamente relacionados con el interés legítimo del emisor y
del destinatario y con el previo consentimiento del titular de los datos,
al que se le debe informar sobre la finalidad de la comunicación e
identificar al destinatario o los elementos que permitan hacerlo.
El previo consentimiento para la comunicación es revocable.
El previo consentimiento no será necesario cuando:
A) así lo disponga una ley de interés general.
B) en los supuestos del artículo 9° de la presente ley.
C) se trate de datos personales relativos a la salud y sea necesaria
su comunicación por razones sanitarias, de emergencia o para la realización de estudios epidemiológicos, preservando la identidad de los
titulares de los datos mediante mecanismos de disociación adecuados cuando
ello sea pertinente. (*)
D) se hubiera aplicado un procedimiento de disociación de la
   información, de modo que los titulares de los datos no sean
   identificables.

El destinatario quedará sujeto a las mismas obligaciones legales y
reglamentarias del emisor y éste responderá solidaria y conjuntamente por
la observancia de las mismas ante el organismo de control y el titular de
los datos de que se trate.

               

(*)Notas:
Literal C) del inciso 3º) redacción dada por: Ley Nº 18.719 de 27/12/2010 
artículo 153.
Ver: Ley Nº 19.355 de 19/12/2015 artículo 84 (interpretativo).

TEXTO ORIGINAL: Ley Nº 18.331 de 11/08/2008 artículo 17.
Referencias al artículo

CAPITULO IV - DATOS ESPECIALMENTE PROTEGIDOS

Artículo 18

 Datos sensibles.- Ninguna persona puede ser obligada a proporcionar datos
sensibles. Estos sólo podrán ser objeto de tratamiento con el
consentimiento expreso y escrito del titular.
Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento
cuando medien razones de interés general autorizadas por ley, o cuando el
organismo solicitante tenga mandato legal para hacerlo. También podrán ser
tratados con finalidades estadísticas o científicas cuando se disocien de
sus titulares.
Queda prohibida la formación de bases de datos que almacenen información
que directa o indirectamente revele datos sensibles. Se exceptúan aquellos
que posean los partidos políticos, sindicatos, iglesias, confesiones
religiosas, asociaciones, fundaciones y otras entidades sin fines de
lucro, cuya finalidad sea política, religiosa, filosófica, sindical, que
hagan referencia al origen racial o étnico, a la salud y a la vida sexual,
en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio
que la comunicación de dichos datos precisará siempre el previo
consentimiento del titular del dato.
Los datos personales relativos a la comisión de infracciones penales,
civiles o administrativas sólo pueden ser objeto de tratamiento por parte
de las autoridades públicas competentes, en el marco de las leyes y
reglamentaciones respectivas, sin perjuicio de las autorizaciones que la
ley otorga u otorgare. Nada de lo establecido en esta ley impedirá a las
autoridades públicas comunicar o hacer pública la identidad de las
personas físicas o jurídicas que estén siendo investigadas por, o hayan
cometido, infracciones a la normativa vigente, en los casos en que otras
normas lo impongan o en los que lo consideren conveniente.
Referencias al artículo

Artículo 18-BIS

   (Datos biométricos).- Los datos biométricos regulados en la presente ley podrán ser objeto de tratamiento en el marco de lo dispuesto en el artículo 9° de la presente ley, previa realización de una evaluación de impacto en la protección de datos personales. (*)

(*)Notas:
Ver vigencia: Ley Nº 19.924 de 18/12/2020 artículo 3.
Agregado/s por: Ley Nº 19.924 de 18/12/2020 artículo 87.

CAPITULO IV - DATOS ESPECIALMENTE PROTEGIDOS

Artículo 19

 Datos relativos a la salud.- Los establecimientos sanitarios públicos o
privados y los profesionales vinculados a las ciencias de la salud pueden
recolectar y tratar los datos personales relativos a la salud física o
mental de los pacientes que acudan a los mismos o que estén o hubieren
estado bajo tratamiento de aquéllos, respetando los principios del secreto
profesional, la normativa específica y lo establecido en la presente ley.
Referencias al artículo

Artículo 20

 Datos relativos a las telecomunicaciones.- Los operadores que exploten
redes públicas o que presten servicios de comunicaciones electrónicas
disponibles al público deberán garantizar, en el ejercicio de su
actividad, la protección de los datos personales conforme a la presente
ley.
Asimismo, deberán adoptar las medidas técnicas y de gestiones adecuadas
para preservar la seguridad en la explotación de su red o en la prestación
de sus servicios, con el fin de garantizar sus niveles de protección de
los datos personales que sean exigidos por la normativa de desarrollo de
esta ley en esta materia. En caso de que exista un riesgo particular de
violación de la seguridad de la red pública de comunicaciones
electrónicas, el operador que explote dicha red o preste el servicio de
comunicaciones electrónicas informará a los abonados sobre dicho riesgo y
sobre las medidas a adoptar.
La regulación contenida en esta ley se entiende sin perjuicio de lo
previsto en la normativa específica sobre telecomunicaciones relacionadas
con la seguridad pública y la defensa nacional.
Referencias al artículo

Artículo 21

  (Datos relativos a bases de datos con fines de publicidad).- En la recopilación de domicilios, reparto de documentos, publicidad, prospección comercial, venta u otras actividades análogas, se podrán tratar datos que sean aptos para establecer perfiles determinados con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo, cuando éstos figuren en documentos accesibles al público o hayan sido facilitados por los propios titulares u obtenidos con su consentimiento. (*)
 En los supuestos contemplados en el presente artículo, el titular de los
datos podrá ejercer el derecho de acceso sin cargo alguno.
 El titular podrá en cualquier momento solicitar el retiro o bloqueo de sus datos de los bancos de datos a los que se refiere el presente artículo.

(*)Notas:
Inciso 1º) redacción dada por: Ley Nº 18.719 de 27/12/2010 artículo 152.

TEXTO ORIGINAL: Ley Nº 18.331 de 11/08/2008 artículo 21.
Referencias al artículo

Artículo 22

 (Datos relativos a la actividad comercial o crediticia).- Queda expresamente autorizado el tratamiento de datos destinado a informar sobre la solvencia patrimonial o crediticia, incluyendo aquellos relativos al cumplimiento o incumplimiento de obligaciones de carácter comercial o crediticia que permitan evaluar la concertación de negocios en general, la conducta comercial o la capacidad de pago del titular de los datos, en aquellos casos en que los mismos sean obtenidos de fuentes de acceso público o procedentes de informaciones facilitadas por el acreedor o en las circunstancias previstas en la presente ley. Para el caso de las personas jurídicas, además de las circunstancias previstas en la presente ley, se permite el tratamiento de toda información autorizada por la normativa vigente. (*)
 Los datos personales relativos a obligaciones de carácter comercial de
personas físicas sólo podrán estar registrados por un plazo de cinco años
contados desde su incorporación. En caso que al vencimiento de dicho plazo
la obligación permanezca incumplida, el acreedor podrá solicitar al
responsable de la base de datos, por única vez, su nuevo registro por
otros cinco años. Este nuevo registro deberá ser solicitado en el plazo de
treinta días anteriores al vencimiento original. Las obligaciones
canceladas o extinguidas por cualquier medio, permanecerán registradas,
con expresa mención de este hecho, por un plazo máximo de cinco años, no
renovable, a contar de la fecha de la cancelación o extinción.
 Los responsables de las bases de datos se limitarán a realizar el
tratamiento objetivo de la información registrada tal cual ésta le fuera
suministrada, debiendo abstenerse de efectuar valoraciones subjetivas
sobre la misma.
 Cuando se haga efectiva la cancelación de cualquier obligación incumplida
registrada en una base de datos, el acreedor deberá en un plazo máximo de
cinco días hábiles de acontecido el hecho, comunicarlo al responsable de
la base de datos o tratamiento correspondiente. Una vez recibida la
comunicación por el responsable de la base de datos o tratamiento, éste
dispondrá de un plazo máximo de tres días hábiles para proceder a la
actualización del dato, asentando su nueva situación.

(*)Notas:
Inciso 1º) redacción dada por: Ley Nº 18.719 de 27/12/2010 artículo 152.
Ver en esta norma, artículo: 29.

TEXTO ORIGINAL: Ley Nº 18.331 de 11/08/2008 artículo 22.
Referencias al artículo

Artículo 23

 Datos transferidos internacionalmente.- Se prohíbe la transferencia de
datos personales de cualquier tipo con países u organismos internacionales
que no proporcionen niveles de protección adecuados de acuerdo a los
estándares del Derecho Internacional o Regional en la materia.
La prohibición no regirá cuando se trate de:
1) Cooperación judicial internacional, de acuerdo al respectivo
   instrumento internacional, ya sea Tratado o Convención, atendidas las
   circunstancias del caso.
2) Intercambio de datos de carácter médico, cuando así lo exija el
   tratamiento del afectado por razones de salud o higiene públicas.
3) Transferencias bancarias o bursátiles, en lo relativo a las
   transacciones respectivas y conforme la legislación que les resulte
   aplicable.
4) Acuerdos en el marco de tratados internacionales en los cuales la
   República Oriental del Uruguay sea parte.
5) Cooperación internacional entre organismos de inteligencia para la
   lucha contra el crimen organizado, el terrorismo y el narcotráfico.

También será posible realizar la transferencia internacional de datos en
los siguientes supuestos:
A) Que el interesado haya dado su consentimiento inequívocamente a la
   transferencia prevista.
B) Que la transferencia sea necesaria para la ejecución de un contrato
   entre el interesado y el responsable del tratamiento o para la
   ejecución de medidas precontractuales tomadas a petición del
   interesado.
C) Que la transferencia sea necesaria para la celebración o ejecución
   de un contrato celebrado o por celebrar en interés del interesado,
   entre el responsable del tratamiento y un tercero.
D) Que la transferencia sea necesaria o legalmente exigida para la
   salvaguardia de un interés público importante, o para el
   reconocimiento, ejercicio o defensa de un derecho en un procedimiento
   judicial.
E) Que la transferencia sea necesaria para la salvaguardia del interés
   vital del interesado.
F) Que la transferencia tenga lugar desde un registro que, en virtud
   de disposiciones legales o reglamentarias, esté concebido para
   facilitar información al público y esté abierto a la consulta por el
   público en general o por cualquier persona que pueda demostrar un
   interés legítimo, siempre que se cumplan, en cada caso particular, las
   condiciones que establece la ley para su consulta.
Sin perjuicio de lo dispuesto en el primer inciso de este artículo, la
Unidad Reguladora y de Control de Protección de Datos Personales podrá
autorizar una transferencia o una serie de transferencias de datos
personales a un tercer país que no garantice un nivel adecuado de
protección, cuando el responsable del tratamiento ofrezca garantías
suficientes respecto a la protección de la vida privada, de los derechos y
libertades fundamentales de las personas, así como respecto al ejercicio
de los respectivos derechos.
Dichas garantías podrán derivarse de cláusulas contractuales apropiadas.

           
Referencias al artículo

CAPITULO V - BASES DE DATOS DE TITULARIDAD PUBLICA

Artículo 24

 Creación, modificación o supresión.- La creación, modificación o
supresión de bases de datos pertenecientes a organismos públicos deberán
registrarse conforme lo previsto en el capítulo siguiente.

Artículo 25

 Base de datos correspondientes a las Fuerzas Armadas, Organismos
Policiales o de Inteligencia.- Quedarán sujetos al régimen de la presente
ley, los datos personales que por haberse almacenado para fines
administrativos, deban ser objeto de registro permanente en las bases de
datos de las fuerzas armadas, organismos policiales o de inteligencia; y
aquellos sobre antecedentes personales que proporcionen dichas bases de
datos a las autoridades administrativas o judiciales que los requieran en
virtud de disposiciones legales.
El tratamiento de datos personales con fines de defensa nacional o
seguridad pública por parte de las fuerzas armadas, organismos policiales
o inteligencia, sin previo consentimiento de los titulares, queda limitado
a aquellos supuestos y categoría de datos que resulten necesarios para el
estricto cumplimiento de las misiones legalmente asignadas a aquéllos para
la defensa nacional, la seguridad pública o para la represión de los
delitos. Las bases de datos, en tales casos, deberán ser específicas y
establecidas al efecto, debiendo clasificarse por categorías, en función
de su grado de fiabilidad.
Los datos personales registrados con fines policiales se cancelarán cuando
no sean necesarios para las averiguaciones que motivaron su
almacenamiento.

(*)Notas:
Ver en esta norma, artículo: 26.

Artículo 26

 Excepciones a los derechos de acceso, rectificación y cancelación.- Los
responsables de las bases de datos que contengan los datos a que se
refieren los incisos segundo y tercero del artículo anterior podrán
denegar el acceso, la rectificación o cancelación en función de los
peligros que pudieran derivarse para la defensa del Estado o la seguridad
pública, la protección de los derechos y libertades de terceros o las
necesidades de las investigaciones que se estén realizando.
Los responsables de las bases de datos de la Hacienda Pública podrán,
igualmente, denegar el ejercicio de los derechos a que se refiere el
inciso anterior cuando el mismo obstaculice las actuaciones
administrativas tendientes a asegurar el cumplimiento de las obligaciones
tributarias y, en todo caso, cuando el titular del dato esté siendo objeto
de actuaciones inspectivas.
El titular del dato al que se deniegue total o parcialmente el ejercicio
de los derechos mencionados en los incisos anteriores podrá ponerlo en
conocimiento del Organo de Control, quien deberá asegurarse de la
procedencia o improcedencia de la denegación.

(*)Notas:
Reglamentado por: Decreto Nº 664/008 de 22/12/2008.
Referencias al artículo

Artículo 27

 Excepciones al derecho a la información.- Lo dispuesto en la presente ley
no será aplicable a la recolección de datos, cuando la información del
titular afecte a la defensa nacional, a la seguridad pública o a la
persecución de infracciones penales.

          

CAPITULO VI - BASES DE DATOS DE TITULARIDAD PRIVADA

Artículo 28

  (Creación, modificación o supresión).- Las personas físicas o jurídicas privadas que creen, modifiquen o supriman bases de datos de carácter personal, deberán registrarse conforme lo previsto en el artículo siguiente. (*)

(*)Notas:
Redacción dada por: Ley Nº 18.719 de 27/12/2010 artículo 152.

TEXTO ORIGINAL: Ley Nº 18.331 de 11/08/2008 artículo 28.

Artículo 29

 Inscripción registral.- Toda base de datos pública o privada debe
inscribirse en el Registro que al efecto habilite el Organo de Control, de
acuerdo a los criterios reglamentarios que se establezcan.
 Por vía reglamentaria se procederá a la regulación detallada de los
distintos extremos que deberá contener la inscripción, entre los cuales
figurarán necesariamente los siguientes:
A) Identificación de la base de datos y el responsable de la misma.
B) Naturaleza de los datos personales que contiene.
C) Procedimientos de obtención y tratamiento de los datos.
D) Medidas de seguridad y descripción técnica de la base de datos.
E) Protección de datos personales y ejercicio de derechos.
F) Destino de los datos y personas físicas o jurídicas a las que
   pueden ser transmitidos.
G) Tiempo de conservación de los datos.
H) Forma y condiciones en que las personas pueden acceder a los datos
   referidos a ellas y los procedimientos a realizar para la rectificación
   o actualización de los datos.
I) Cantidad de acreedores personas físicas que hayan cumplido los 5
   años previstos en el artículo 22 de la presente ley.
J) Cantidad de cancelaciones por cumplimiento de la obligación de
   pago si correspondiera, de acuerdo con lo previsto en el artículo 22 de
   la presente ley. (*)
 Ningún usuario de datos podrán poseer datos personales de naturaleza
distinta a los declarados en el registro.
 El incumplimiento de estos requisitos dará lugar a las sanciones
administrativas previstas en la presente ley.
 Respecto a las bases de datos de carácter comercial ya inscriptos en el
Organo Regulador, se estará a lo previsto en la presente ley respecto del
plazo de adecuación.

(*)Notas:
Literal J) redacción dada por: Ley Nº 18.719 de 27/12/2010 artículo 154.

TEXTO ORIGINAL: Ley Nº 18.331 de 11/08/2008 artículo 29.

Artículo 30

 Prestación de servicios informatizados de datos personales.- Cuando por
cuenta de terceros se presten servicios de tratamiento de datos
personales, éstos no podrán aplicarse o utilizarse con un fin distinto al
que figure en el contrato de servicios, ni cederlos a otras personas, ni
aún para su conservación.
Una vez cumplida la prestación contractual los datos personales tratados
deberán ser destruidos, salvo que medie autorización expresa de aquél por
cuenta de quien se prestan tales servicios cuando razonablemente se
presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá
almacenar con las debidas condiciones de seguridad por un período de hasta
dos años.

                     

CAPITULO VII - ORGANO DE CONTROL

Artículo 31

 Organo de Control.- Créase como órgano desconcentrado de la Agencia para
el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la
Información y del Conocimiento (AGESIC), dotado de la más amplia autonomía
técnica, la Unidad Reguladora y de Control de Datos Personales. Estará
dirigida por un Consejo integrado por tres miembros: el Director Ejecutivo
de AGESIC y dos miembros designados por el Poder Ejecutivo entre personas
que por sus antecedentes personales, profesionales y de conocimiento en la
materia aseguren independencia de criterio, eficiencia, objetividad e
imparcialidad en el desempeño de sus cargos.
A excepción del Director Ejecutivo de la AGESIC, los miembros durarán
cuatro años en sus cargos, pudiendo ser designados nuevamente. Sólo
cesarán por la expiración de su mandato y designación de sus sucesores, o
por su remoción dispuesta por el Poder Ejecutivo en los casos de
ineptitud, omisión o delito, conforme a las garantías del debido proceso.
Durante su mandato no recibirán órdenes ni instrucciones en el plano
técnico.
Referencias al artículo

Artículo 32

 Consejo Consultivo.- El Consejo Ejecutivo de la Unidad Reguladora y de
Control de Datos Personales funcionará asistido por un Consejo Consultivo,
que estará integrado por 5 miembros:
* Una persona con reconocida trayectoria en la promoción y defensa de
  los derechos humanos, designado por el Poder Legislativo, el que no
  podrá ser un Legislador en actividad.
* Un representante del Poder Judicial.
* Un representante del Ministerio Público.
* Un representante del área académica.
* Un representante del sector privado, que se elegirá en la forma
  establecida reglamentariamente.
Sesionará presidido por el Presidente de la Unidad Reguladora y de Control
de protección de Datos Personales.
Sus integrantes durarán 4 años en sus cargos y sesionarán a convocatoria
del Presidente de la Unidad Reguladora y de Control de Datos Personales o
de la mayoría de sus miembros.
Podrá ser consultado por el Consejo Ejecutivo sobre cualquier aspecto de
su competencia y deberá ser consultado por éste cuando ejerza potestades
de reglamentación.
Referencias al artículo

Artículo 33

 Recursos.- La Unidad Reguladora y de Control de Datos Personales
formulará su propuesta de presupuesto de acuerdo a lo previsto en el
artículo 214 de la Constitución de la República.

Artículo 34

 Cometidos.- El órgano de control deberá realizar todas las acciones
necesarias para el cumplimiento de los objetivos y demás disposiciones de
la presente ley. A tales efectos tendrá las siguientes funciones y
atribuciones:
A) Asistir y asesorar a las personas que lo requieran acerca de los
   alcances de la presente ley y de los medios legales de que disponen
   para la defensa de los derechos que ésta garantiza.

B) Dictar las normas y reglamentaciones que se deben observar en el
   desarrollo de las actividades comprendidas por esta ley.

C) Realizar un censo de las bases de datos alcanzados por la ley y
   mantener el registro permanente de los mismos.

D) Controlar la observancia del régimen legal, en particular las normas
   sobre legalidad, integridad, veracidad, proporcionalidad y seguridad de 
   datos, por parte de los sujetos alcanzados, pudiendo a tales efectos 
   realizar las actuaciones de fiscalización e inspección pertinentes.

   A tales efectos la Unidad Reguladora y de Control de Datos Personales
   tendrá las siguientes potestades:

1)     Exigir a los responsables y encargados de tratamientos la
       exhibición de los libros, documentos y archivos, informáticos o
       convencionales, propios y ajenos, y requerir su comparecencia ante
       la Unidad para proporcionar informaciones.

2)     Intervenir los documentos y archivos inspeccionados, así como tomar
       medidas de seguridad para su conservación, pudiendo copiarlos.

3)     Incautarse de dichos elementos cuando la gravedad del caso lo
       requiera hasta por un lapso de seis días hábiles; la medida será
       debidamente documentada y sólo podrá prorrogarse por los órganos
       jurisdiccionales competentes, cuando sea imprescindible.

4)     Practicar inspecciones en bienes muebles o inmuebles ocupados a
       cualquier título por los responsables, encargados de tratamiento y
       demás sujetos alcanzados por el régimen legal. Sólo podrán
       inspeccionarse domicilios particulares con previa orden judicial de
       allanamiento.

5)     Requerir informaciones a terceros, pudiendo intimarles su
       comparecencia ante la autoridad administrativa cuando ésta lo
       considere conveniente o cuando aquéllas no sean presentadas en
       tiempo y forma.

       La Unidad Reguladora y de Control de Datos Personales podrá 
       solicitar el auxilio de la fuerza pública para el desarrollo de sus 
       cometidos.

       Cuando sea necesario para el debido cumplimiento de las diligencias
       precedentes, requerirá orden judicial de allanamiento. (*)

E) Solicitar información a las entidades públicas y privadas, las que
   deberán proporcionar los antecedentes, documentos, programas u otros
   elementos relativos al tratamiento de los datos personales que se le
   requieran. En estos casos, la autoridad deberá garantizar la seguridad
   y confidencialidad de la información y elementos suministrados.
F) Emitir opinión toda vez que le sea requerida por las autoridades
   competentes, incluyendo solicitudes relacionadas con el dictado de
   sanciones administrativas que correspondan por la violación a las
   disposiciones de esta ley, de los reglamentos o de las resoluciones que
   regulan el tratamiento de datos personales comprendidos en ésta.
G) Asesorar en forma necesaria al Poder Ejecutivo en la consideración
   de los proyectos de ley que refieran total o parcialmente a protección
   de datos personales.
H) Informar a cualquier persona sobre la existencia de bases de datos
   personales, sus finalidades y la identidad de sus responsables, en
   forma gratuita.
I) Establecer los criterios y procedimientos que deban observar los 
   responsables y encargados, en el tratamiento automatizado de datos 
   personales indicados en el artículo 16 de la presente ley. (*)

(*)Notas:
Literal D) redacción dada por: Ley Nº 18.719 de 27/12/2010 artículo 155.
Literal I) ver vigencia: Ley Nº 20.075 de 20/10/2022 artículo 5.
Literal I) agregado/s por: Ley Nº 20.075 de 20/10/2022 artículo 63.

TEXTO ORIGINAL: Ley Nº 18.331 de 11/08/2008 artículo 34.

Artículo 35

 (Potestades sancionatorias).- El órgano de control podrá aplicar las siguientes sanciones a los responsables de las bases de datos, encargados de tratamiento de datos personales y demás sujetos alcanzados por el régimen legal, en caso que se violen las normas de la presente ley, las que se graduarán en atención a la gravedad, reiteración o reincidencia de la infracción cometida:

1)     Observación.

2)     Apercibimiento.

3)     Multa de hasta 500.000 UI (quinientas mil unidades indexadas).

4)     Suspensión de la base de datos respectiva por el plazo de cinco
       días.

5)     Clausura de la base de datos respectiva. A tal efecto se podrá   
       promover ante los órganos jurisdiccionales competentes la clausura 
       de las bases de datos que se comprobare infringieren o 
       transgredieren la presente ley.(*)

     Los hechos constitutivos de la infracción serán documentados de
acuerdo a las formalidades legales. La clausura deberá decretarse dentro
de los tres días siguientes a aquél en que la hubiere solicitado la Unidad
Reguladora y Control de Datos Personales, la cual quedará habilitada a
disponerla por sí en caso que el Juez no se pronunciare dentro de dicho
término.

     En este último caso, si el Juez denegare posteriormente la clausura,
ésta deberá levantarse de inmediato por la Unidad Reguladora y Control de
Datos Personales.

     Los recursos que se interpongan contra la resolución judicial que
hiciere lugar a la clausura, no tendrán efecto suspensivo.

     Para hacer cumplir dicha resolución, la Unidad Reguladora y Control
de Datos Personales podrá requerir el auxilio de la fuerza pública.

     La competencia de los Tribunales actuantes se determinará por las
normas de la Ley Orgánica de la Judicatura N° 15.750, de 24 de junio de
1985, sus modificativas y concordantes.

     Las resoluciones firmes de la Unidad Reguladora y Control de Datos
Personales que impongan sanciones pecuniarias, constituyen título
ejecutivo a sus efectos. (*)

(*)Notas:
Redacción dada por: Ley Nº 18.719 de 27/12/2010 artículo 152.
Numeral 5) redacción dada por: Ley Nº 19.355 de 19/12/2015 artículo 83.
Numeral 5) ver vigencia: Ley Nº 19.355 de 19/12/2015 artículo 3.

TEXTO ORIGINAL: Ley Nº 18.719 de 27/12/2010 artículo 152, Ley Nº 18.331 de 11/08/2008 artículo 35.
Referencias al artículo

Artículo 36

 Códigos de conducta.- Las asociaciones o entidades representativas de
responsables o usuarios de bancos de datos de titularidad privada podrán
elaborar códigos de conducta de práctica profesional, que establezcan
normas para el tratamiento de datos personales que tiendan a asegurar y
mejorar las condiciones de operación de los sistemas de información en
función de los principios establecidos en la presente ley.
Dichos códigos deberán ser inscriptos en el registro que al efecto lleve
el organismo de control, quien podrá denegar la inscripción cuando
considere que no se ajustan a las disposiciones legales y reglamentarias
sobre la materia.

CAPITULO VIII - ACCION DE PROTECCION DE DATOS PERSONALES

Artículo 37

 Habeas Data.- Toda persona tendrá derecho a entablar una acción judicial
efectiva para tomar conocimiento de los datos referidos a su persona y de
su finalidad y uso, que consten en bases de datos públicos o privados; y
-en caso de error, falsedad, prohibición de tratamiento, discriminación o
desactualización- a exigir su rectificación, inclusión, supresión o lo que
entienda corresponder.
Cuando se trate de datos personales cuyo registro esté amparado por una
norma legal que consagre el secreto a su respecto, el Juez apreciará el
levantamiento del mismo en atención a las circunstancias del caso.

Artículo 38

 Procedencia y competencia.- El titular de datos personales podrá entablar
la acción de protección de datos personales o habeas data, contra todo
responsable de una base de datos pública o privada, en los siguientes
supuestos:
A) Cuando quiera conocer sus datos personales que se encuentran
   registrados en una base de datos o similar y dicha información le haya
   sido denegada, o no le hubiese sido proporcionada por el responsable de
   la base de datos, en las oportunidades y plazos previstos por la ley.
B) Cuando haya solicitado al responsable de la base de datos o
   tratamiento su rectificación, actualización, eliminación, inclusión o
   supresión y éste no hubiese procedido a ello o dado razones suficientes
   por las que no corresponde lo solicitado, en el plazo previsto al
   efecto en la ley.
Serán competentes para conocer en las acciones de protección de datos
personales o habeas data:
1) En la Capital, los Juzgados Letrados de Primera Instancia en lo
   Contencioso Administrativo, cuando la acción se dirija contra una
   persona pública estatal, y los Juzgados Letrados de Primera Instancia
   en lo Civil en los restantes casos.
2) Los Juzgados Letrados de Primera Instancia del Interior a quienes
   se haya asignado competencia en dichas materias.

Artículo 39

 Legitimación.- La acción de habeas data podrá ser ejercida por el propio
afectado titular de los datos o sus representantes, ya sean tutores o
curadores y, en caso de personas fallecidas, por sus sucesores
universales, en línea directa o colateral hasta el segundo grado, por sí o
por medio de apoderado.
En el caso de personas jurídicas, la acción deberá ser interpuesta por sus
representantes legales o los apoderados designados a tales efectos.

Artículo 40

 Procedimiento.- Las acciones que se promuevan por violación a los
derechos contemplados en la presente ley se regirán por las normas
contenidas en los artículos que siguen al presente. Serán aplicables en lo
pertinente los artículos 14 y 15 del Código General del Proceso.

Artículo 41

 Trámite de primera instancia.- Salvo que la acción fuera manifiestamente
improcedente, en cuyo caso el tribunal la rechazará sin sustanciarla y
dispondrá el archivo de las actuaciones, se convocará a las partes a una
audiencia pública dentro del plazo de tres días de la fecha de la
presentación de la demanda.
En dicha audiencia se oirán las explicaciones del demandado, se recibirán
las pruebas y se producirán los alegatos. El tribunal, que podrá rechazar
las pruebas manifiestamente impertinentes o innecesarias, presidirá la
audiencia so pena de nulidad, e interrogará a los testigos y a las partes,
sin perjuicio de que aquéllos sean, a su vez, repreguntados por los
abogados. Gozará de los más amplios poderes de policía y de dirección de
la audiencia.
En cualquier momento podrá ordenar diligencias para mejor proveer.
La sentencia se dictará en la audiencia o a más tardar, dentro de las
veinticuatro horas de su celebración. Sólo en casos excepcionales podrá
prorrogarse la audiencia por hasta tres días.
Las notificaciones podrán realizarse por intermedio de la autoridad
policial. A los efectos del cómputo de los plazos de cumplimiento de lo
ordenado por la sentencia, se dejará constancia de la hora en que se
efectuó la notificación.

Artículo 42

 Medidas provisionales.- Si de la demanda o en cualquier otro momento del
proceso resultare, a juicio del tribunal, la necesidad de su inmediata
actuación, éste dispondrá, con carácter provisional, las medidas que
correspondieren en amparo del derecho o libertad presuntamente violados.

Artículo 43

 Contenido de la sentencia.- La sentencia que haga lugar al habeas data
deberá contener:
A) La identificación concreta de la autoridad o el particular a quien
   se dirija y contra cuya acción, hecho u omisión se conceda el habeas
   data.
B) La determinación precisa de lo que deba o no deba hacerse y el
   plazo por el cual dicha resolución regirá, si es que corresponde
   fijarlo.
C) El plazo para el cumplimiento de lo dispuesto, que será fijado por
   el tribunal conforme las circunstancias de cada caso, y no será mayor
   de quince días corridos e ininterrumpidos, computados a partir de la
   notificación.

Artículo 44

 Recurso de apelación y segunda instancia.- En el proceso de habeas data
sólo serán apelables la sentencia definitiva y la que rechaza la acción
por ser manifiestamente improcedente.
El recurso de apelación deberá interponerse en escrito fundado, dentro del
plazo perentorio de tres días. El tribunal elevará sin más trámite los
autos al superior cuando hubiere desestimado la acción por improcedencia
manifiesta, y lo sustanciará con un traslado a la contraparte, por tres
días perentorios, cuando la sentencia apelada fuese la definitiva.
El tribunal de alzada resolverá en acuerdo, dentro de los cuatro días
siguientes a la recepción de los autos. La interposición del recurso no
suspenderá las medidas de amparo decretadas, las cuales serán cumplidas
inmediatamente después de notificada la sentencia, sin necesidad de tener
que esperar el transcurso del plazo para su impugnación.

Artículo 45

 Sumariedad. Otros aspectos.-
En los procesos de habeas data no podrán deducirse cuestiones previas,
reconvenciones ni incidentes. El tribunal, a petición de parte o de
oficio, subsanará los vicios de procedimiento, asegurando, dentro de la
naturaleza sumaria del proceso, la vigencia del principio de
contradictorio.
Cuando se planteare la inconstitucionalidad por vía de excepción o de
oficio (artículos 509 numeral 2 y 510 numeral 2 del Código General del
Proceso) se procederá a la suspensión del procedimiento sólo después que
el Magistrado actuante haya dispuesto la adopción de las medidas
provisorias referidas en la presente ley o, en su caso, dejando constancia
circunstanciada de las razones de considerarlas innecesarias.

                 

CAPITULO IX - DISPOSICIONES TRANSITORIAS

Artículo 46

 Adecuación de las bases de datos.- Las bases de datos deberán adecuarse a
la presente ley dentro del plazo de un año de su entrada en vigor.

Artículo 47

 Traslado del órgano de control referente a datos comerciales.- Se
establece el plazo de ciento veinte días corridos para que el actual
órgano de control en materia de protección de datos comerciales, a cargo
del Ministerio de Economía y Finanzas, realice el traslado de la
información y documentación a la AGESIC.

Artículo 48

 Derogación.- Se deroga la Ley Nº 17.838, de 24 de setiembre de 2004.

Artículo 49

 Reglamentación.- El Poder Ejecutivo deberá reglamentar la presente ley
dentro de los ciento ochenta días de su promulgación.


TABARE VAZQUEZ - DAISY TOURNE - GONZALO FERNANDEZ - DANILO ASTORI - JOSE BAYARDI - MARIA SIMON - VICTOR ROSSI - DANIEL MARTINEZ - EDUARDO BONOMI - MARIA JULIA MUÑOZ - ERNESTO AGAZZI - HECTOR LESCANO - CARLOS COLACCE - MARINA ARISMENDI
Ayuda