CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1º. Derecho humano.- El derecho a
la protección
de datos personales es inherente a la persona humana, por lo que está
comprendido en el
artículo
72 de la Constitución de la
República.
Artículo 2º. Ámbito subjetivo.- El derecho a
la
protección de los datos personales se aplicará por extensión a las
personas jurídicas,
en cuanto corresponda.
Artículo 3º. Ámbito objetivo.- El régimen
de la presente
ley será de aplicación a los datos personales registrados en cualquier
soporte que los
haga susceptibles de tratamiento, y a toda modalidad de uso posterior de
estos datos por
los ámbitos público o privado.
No será de aplicación a las siguientes bases de datos:
| A) |
A las
mantenidas por personas
físicas en el ejercicio de actividades exclusivamente personales o
domésticas.
|
| B) |
Las que
tengan por objeto la
seguridad pública, la defensa, la seguridad del Estado y sus
actividades en materia
penal, investigación y represión del delito.
|
| C) |
A las
bases de datos creadas y
reguladas por leyes especiales. |
Artículo 4º. Definiciones.- A los efectos
de la presente
ley se entiende por:
| A) |
Base de
datos: indistintamente,
designan al conjunto organizado de datos personales que sean objeto
de tratamiento o
procesamiento, electrónico o no, cualquiera que fuere la modalidad
de su formación,
almacenamiento, organización o acceso.
|
| B) |
Comunicación
de datos: toda
revelación de datos realizada a una persona distinta del titular de
los datos.
|
| C) |
Consentimiento
del titular: toda
manifestación de voluntad, libre, inequívoca, específica e
informada, mediante la cual
el titular consienta el tratamiento de datos personales que le
concierne.
|
| D) |
Dato
personal: información de
cualquier tipo referida a personas físicas o jurídicas determinadas o
determinables.
|
| E) |
Dato
sensible: datos personales
que revelen origen racial y étnico, preferencias políticas,
convicciones religiosas o
morales, afiliación sindical e informaciones referentes a la salud o
a la vida sexual.
|
| F) |
Destinatario:
persona física o
jurídica, pública o privada, que recibiere comunicación de datos, se
trate o no de un
tercero.
|
| G) |
Disociación
de datos: todo
tratamiento de datos personales de manera que la información
obtenida no pueda vincularse
a persona determinada o determinable.
|
| H) |
Encargado
del tratamiento:
persona física o jurídica, pública o privada, que sola o en conjunto
con otros trate
datos personales por cuenta del responsable de la base de datos o
del tratamiento.
|
| I) |
Fuentes
accesibles al público:
aquellas bases de datos cuya consulta puede ser realizada por
cualquier persona, no
impedida por una norma limitativa o sin más exigencia que, en su
caso, el abono de una
contraprestación.
|
| J) |
Tercero:
la persona física o
jurídica, pública o privada, distinta del titular del dato, del
responsable de la base
de datos o tratamiento, del encargado y de las personas autorizadas
para tratar los datos
bajo la autoridad directa del responsable o del encargado del
tratamiento.
|
| K) |
Responsable
de la base de datos o
del tratamiento: persona física o jurídica, pública o privada,
propietaria de la base
de datos o que decida sobre la finalidad, contenido y uso del
tratamiento.
|
| L) |
Titular de
los datos: persona
cuyos datos sean objeto de un tratamiento incluido dentro del ámbito
de acción de la
presente ley.
|
| M) |
Tratamiento
de datos: operaciones
y procedimientos sistemáticos, de carácter automatizado o no, que
permitan el
procesamiento de datos personales, así como también su cesión a
terceros a través de
comunicaciones, consultas, interconexiones o transferencias.
|
| N) |
Usuario de
datos: toda persona,
pública o privada, que realice a su arbitrio el tratamiento de
datos, ya sea en una base
de datos propia o a través de conexión con los mismos. |
CAPÍTULO II
PRINCIPIOS GENERALES
Artículo 5º. Valor y fuerza.- La actuación
de los
responsables de las bases de datos, tanto públicos como privados, y, en
general, de todos
quienes actúen en relación a datos personales de terceros, deberá
ajustarse a los
siguientes principios generales:
| A) |
Legalidad.
|
| B) |
Veracidad.
|
| C) |
Finalidad.
|
| D) |
Previo
consentimiento informado.
|
| E) |
Seguridad
de los datos.
|
| F) |
Reserva.
|
| G) |
Responsabilidad. |
Dichos principios generales servirán también de criterio
interpretativo para resolver
las cuestiones que puedan suscitarse en la aplicación de las
disposiciones pertinentes.
Artículo 6º. Principio de legalidad.- La
formación de
bases de datos será lícita cuando se encuentren debidamente inscriptas,
observando en su
operación los principios que establecen la presente ley y las
reglamentaciones que se
dicten en consecuencia.
Las bases de datos no pueden tener finalidades violatorias de
derechos humanos o
contrarias a las leyes o a la moral pública.
Artículo 7º. Principio de veracidad.- Los
datos personales
que se recogieren a los efectos de su tratamiento deberán ser veraces,
adecuados,
ecuánimes y no excesivos en relación con la finalidad para la cual se
hubieren obtenido.
La recolección de datos no podrá hacerse por medios desleales,
fraudulentos, abusivos,
extorsivos o en forma contraria a las disposiciones a la presente ley.
Los datos deberán ser exactos y actualizarse en el caso en que ello
fuere necesario.
Cuando se constate la inexactitud o falsedad de los datos, el
responsable del
tratamiento, en cuanto tenga conocimiento de dichas circunstancias,
deberá suprimirlos,
sustituirlos o completarlos por datos exactos, veraces y actualizados.
Asimismo, deberán
ser eliminados aquellos datos que hayan caducado de acuerdo a lo
previsto en la presente
ley.
Artículo 8º. Principio de finalidad.- Los
datos objeto de
tratamiento no podrán ser utilizados para finalidades distintas o
incompatibles con
aquellas que motivaron su obtención.
Los datos deberán ser eliminados cuando hayan dejado de ser
necesarios o pertinentes a
los fines para los cuales hubieren sido recolectados.
La reglamentación determinará los casos y procedimientos en los que,
por excepción,
y atendidos los valores históricos, estadísticos o científicos, y de
acuerdo con la
legislación específica, se conserven datos personales aun cuando haya
perimido tal
necesidad o pertinencia.
Tampoco podrán comunicarse datos entre bases de datos, sin que medie
ley o previo
consentimiento informado del titular.
Artículo 9º. Principio del previo
consentimiento
informado.- El tratamiento de datos personales es lícito cuando el
titular hubiere
prestado su consentimiento libre, previo, expreso e informado, el que
deberá
documentarse.
El referido consentimiento prestado con otras declaraciones, deberá
figurar en forma
expresa y destacada, previa notificación al requerido de datos, de la
información
descrita en el artículo 12 de la presente ley.
No será necesario el previo consentimiento cuando:
| A) |
Los datos
provengan de fuentes
públicas de información, tales como registros o publicaciones en
medios masivos de
comunicación.
|
| B) |
Se recaben
para el ejercicio de
funciones propias de los poderes del Estado o en virtud de una
obligación legal.
|
| C) |
Se trate
de listados cuyos datos
se limiten en el caso de personas físicas a nombres y apellidos,
documento de identidad,
nacionalidad, domicilio y fecha de nacimiento. En el caso de
personas jurídicas, razón
social, nombre de fantasía, registro único de contribuyentes,
domicilio, teléfono e
identidad de las personas a cargo de la misma.
|
| D) |
Deriven de
una relación
contractual, científica o profesional del titular de los datos, y
sean necesarios para su
desarrollo o cumplimiento.
|
| E) |
Se realice
por personas físicas
o jurídicas, privadas o públicas, para su uso exclusivo personal o
doméstico. |
Artículo 10. Principio de seguridad de los
datos.- El
responsable o usuario de la base de datos debe adoptar las medidas que
resultaren
necesarias para garantizar la seguridad y confidencialidad de los datos
personales. Dichas
medidas tendrán por objeto evitar su adulteración, pérdida, consulta o
tratamiento no
autorizado, así como detectar desviaciones de información, intencionales
o no, ya sea
que los riesgos provengan de la acción humana o del medio técnico
utilizado.
Los datos deberán ser almacenados de modo que permitan el ejercicio
del derecho de
acceso de su titular.
Queda prohibido registrar datos personales en bases de datos que no
reúnan condiciones
técnicas de integridad y seguridad.
Artículo 11. Principio de reserva.-
Aquellas personas
físicas o jurídicas que obtuvieren legítimamente información proveniente
de una base
de datos que les brinde tratamiento, están obligadas a utilizarla en
forma reservada y
exclusivamente para las operaciones habituales de su giro o actividad,
estando prohibida
toda difusión de la misma a terceros.
Las personas que, por su situación laboral u otra forma de relación
con el
responsable de una base de datos, tuvieren acceso o intervengan en
cualquier fase del
tratamiento de datos personales, están obligadas a guardar estricto
secreto profesional
sobre los mismos (artículo 302 del Código Penal), cuando hayan sido
recogidos de fuentes
no accesibles al público. Lo previsto no será de aplicación en los casos
de orden de la
Justicia competente, de acuerdo con las normas vigentes en esta materia o
si mediare
consentimiento del titular.
Esta obligación subsistirá aun después de finalizada la relación con
el responsable
de la base de datos.
Artículo 12. Principio de
responsabilidad.- El responsable
de la base de datos es responsable de la violación de las disposiciones
de la presente
ley.
CAPÍTULO III
DERECHOS DE LOS TITULARES DE LOS DATOS
Artículo 13. Derecho de información frente
a la
recolección de datos.- Cuando se recaben datos personales se deberá
informar previamente
a sus titulares en forma expresa, precisa e inequívoca:
| A) |
La
finalidad para la que serán
tratados y quiénes pueden ser sus destinatarios o clase de
destinatarios.
|
| B) |
La
existencia de la base de
datos, electrónico o de cualquier otro tipo, de que se trate y la
identidad y domicilio
de su responsable.
|
| C) |
El
carácter obligatorio o
facultativo de las respuestas al cuestionario que se le proponga, en
especial en cuanto a
los datos sensibles.
|
| D) |
Las
consecuencias de proporcionar
los datos y de la negativa a hacerlo o su inexactitud.
|
| E) |
La
posibilidad del titular de
ejercer los derechos de acceso, rectificación y supresión de los
datos. |
Artículo 14. Derecho de acceso.- Todo
titular de datos
personales que previamente acredite su identificación con el documento
de identidad o
poder respectivo, tendrá derecho a obtener toda la información que sobre
sí mismo se
halle en bases de datos públicas o privadas. Este derecho de acceso sólo
podrá ser
ejercido en forma gratuita a intervalos de seis meses, salvo que se
hubiere suscitado
nuevamente un interés legítimo de acuerdo con el ordenamiento jurídico.
Cuando se trate de datos de personas fallecidas, el ejercicio del
derecho al cual
refiere este artículo, corresponderá a cualesquiera de sus sucesores
universales, cuyo
carácter se acreditará por la sentencia de declaratoria de herederos.
La información debe ser proporcionada dentro de los cinco días
hábiles de haber sido
solicitada. Vencido el plazo sin que el pedido sea satisfecho o si fuera
denegado por
razones no justificadas de acuerdo con esta ley, quedará habilitada la
acción de habeas
data.
La información debe ser suministrada en forma clara, exenta de
codificaciones y en su
caso acompañada de una explicación, en lenguaje accesible al
conocimiento medio de la
población, de los términos que se utilicen.
La información debe ser amplia y versar sobre la totalidad del
registro perteneciente
al titular, aun cuando el requerimiento sólo comprenda un aspecto de los
datos
personales. En ningún caso el informe podrá revelar datos pertenecientes
a terceros, aun
cuando se vinculen con el interesado.
La información, a opción del titular, podrá suministrarse por
escrito, por medios
electrónicos, telefónicos, de imagen, u otro idóneo a tal fin.
Artículo 15. Derecho de rectificación,
actualización,
inclusión o supresión.- Toda persona física o jurídica tendrá derecho a
solicitar la
rectificación, actualización, inclusión o supresión de los datos
personales que le
corresponda incluidos en una base de datos, al constatarse error o
falsedad o exclusión
en la información de la que es titular.
El responsable de la base de datos o del tratamiento deberá proceder a
realizar la
rectificación, actualización, inclusión o supresión, mediante las
operaciones
necesarias a tal fin en un plazo máximo de cinco días hábiles de
recibida la solicitud
por el titular del dato o, en su caso, informar de las razones por las
que estime no
corresponde.
El incumplimiento de esta obligación por parte del responsable de la
base de datos o
del tratamiento o el vencimiento del plazo, habilitará al titular del
dato a promover la
acción de habeas data prevista en esta ley.
No procede la eliminación o supresión de datos personales salvo en
aquellos casos de:
| A) |
Perjuicios
a los derechos e
intereses legítimos de terceros.
|
| B) |
Notorio
error o falsedad.
|
| C) |
Contravención
a lo establecido
por una obligación legal. |
Durante el proceso de verificación, rectificación o inclusión de
datos personales,
el responsable de la base de datos o tratamiento, ante el requerimiento
de terceros por
acceder a informes sobre los mismos, deberá dejar constancia que dicha
información se
encuentra sometida a revisión.
En el supuesto de comunicación o transferencia de datos, el
responsable de la base de
datos o del tratamiento debe notificar la rectificación, inclusión o
supresión al
destinatario dentro del quinto día hábil de efectuado el tratamiento del
dato.
La rectificación, actualización, inclusión, eliminación o supresión
de datos
personales cuando corresponda, se efectuará sin cargo alguno para el
titular.
Artículo 16. Derecho a la impugnación de
valoraciones
personales.- Las personas tienen derecho a no verse sometidas a una
decisión con efectos
jurídicos que les afecte de manera significativa, que se base en un
tratamiento
automatizado o no de datos destinado a evaluar determinados aspectos de
su personalidad,
como su rendimiento laboral, crédito, fiabilidad, conducta, entre otros.
El afectado podrá impugnar los actos administrativos o decisiones
privadas que
impliquen una valoración de su comportamiento, cuyo único fundamento sea
un tratamiento
de datos personales que ofrezca una definición de sus características o
personalidad.
En este caso, el afectado tendrá derecho a obtener información del
responsable de la
base de datos tanto sobre los criterios de valoración como sobre el
programa utilizado en
el tratamiento que sirvió para adoptar la decisión manifestada en el
acto.
La valoración sobre el comportamiento de las personas, basada en un
tratamiento de
datos, únicamente podrá tener valor probatorio a petición del afectado.
Artículo 17. Derechos referentes a la
comunicación de
datos.- Los datos personales objeto de tratamiento sólo podrán ser
comunicados para el
cumplimiento de los fines directamente relacionados con el interés
legítimo del emisor y
del destinatario y con el previo consentimiento del titular de los
datos, al que se le
debe informar sobre la finalidad de la comunicación e identificar al
destinatario o los
elementos que permitan hacerlo.
El previo consentimiento para la comunicación es revocable.
El previo consentimiento no será necesario cuando:
| A) |
Así lo
disponga una ley de
interés general.
|
| B) |
En los
supuestos del artículo
9º de la presente ley.
|
| C) |
Se trate
de datos personales
relativos a la salud y sea necesario por razones de salud e higiene
públicas, de
emergencia o para la realización de estudios epidemiológicos, en
tanto se preserve la
identidad de los titulares de los datos mediante mecanismos de
disociación adecuados.
|
| D) |
Se hubiera
aplicado un
procedimiento de disociación de la información, de modo que los
titulares de los datos
no sean identificables. |
El destinatario quedará sujeto a las mismas obligaciones legales y
reglamentarias del
emisor y éste responderá solidaria y conjuntamente por la observancia de
las mismas ante
el organismo de control y el titular de los datos de que se trate.
CAPÍTULO IV
DATOS ESPECIALMENTE PROTEGIDOS
Artículo 18. Datos sensibles.- Ninguna
persona puede ser
obligada a proporcionar datos sensibles. Éstos sólo podrán ser objeto de
tratamiento
con el consentimiento expreso y escrito del titular.
Los datos sensibles sólo pueden ser recolectados y objeto de
tratamiento cuando medien
razones de interés general autorizadas por ley, o cuando el organismo
solicitante tenga
mandato legal para hacerlo. También podrán ser tratados con finalidades
estadísticas o
científicas cuando se disocien de sus titulares.
Queda prohibida la formación de bases de datos que almacenen
información que directa
o indirectamente revele datos sensibles. Se exceptúan aquellos que
posean los partidos
políticos, sindicatos, iglesias, confesiones religiosas, asociaciones,
fundaciones y
otras entidades sin fines de lucro, cuya finalidad sea política,
religiosa, filosófica,
sindical, que hagan referencia al origen racial o étnico, a la salud y a
la vida sexual,
en cuanto a los datos relativos a sus asociados o miembros, sin
perjuicio que la
comunicación de dichos datos precisará siempre el previo consentimiento
del titular del
dato.
Los datos personales relativos a la comisión de infracciones penales,
civiles o
administrativas sólo pueden ser objeto de tratamiento por parte de las
autoridades
públicas competentes, en el marco de las leyes y reglamentaciones
respectivas, sin
perjuicio de las autorizaciones que la ley otorga u otorgare. Nada de lo
establecido en
esta ley impedirá a las autoridades públicas comunicar o hacer pública
la identidad de
las personas físicas o jurídicas que estén siendo investigadas por, o
hayan cometido,
infracciones a la normativa vigente, en los casos en que otras normas lo
impongan o en los
que lo consideren conveniente.
Artículo 19. Datos relativos a la salud.-
Los
establecimientos sanitarios públicos o privados y los profesionales
vinculados a las
ciencias de la salud pueden recolectar y tratar los datos personales
relativos a la salud
física o mental de los pacientes que acudan a los mismos o que estén o
hubieren estado
bajo tratamiento de aquéllos, respetando los principios del secreto
profesional, la
normativa específica y lo establecido en la presente ley.
Artículo 20. Datos relativos a las
telecomunicaciones.- Los
operadores que exploten redes públicas o que presten servicios de
comunicaciones
electrónicas disponibles al público deberán garantizar, en el ejercicio
de su
actividad, la protección de los datos personales conforme a la presente
ley.
Asimismo, deberán adoptar las medidas técnicas y de gestiones
adecuadas para
preservar la seguridad en la explotación de su red o en la prestación de
sus servicios,
con el fin de garantizar sus niveles de protección de los datos
personales que sean
exigidos por la normativa de desarrollo de esta ley en esta materia. En
caso de que exista
un riesgo particular de violación de la seguridad de la red pública de
comunicaciones
electrónicas, el operador que explote dicha red o preste el servicio de
comunicaciones
electrónicas informará a los abonados sobre dicho riesgo y sobre las
medidas a adoptar.
La regulación contenida en esta ley se entiende sin perjuicio de lo
previsto en la
normativa específica sobre telecomunicaciones relacionadas con la
seguridad pública y la
defensa nacional.
Artículo 21. Datos relativos a bases de
datos con fines de
publicidad.- En la recopilación de domicilios, reparto de documentos,
publicidad, venta u
otras actividades análogas, se podrán tratar datos que sean aptos para
establecer
perfiles determinados con fines promocionales, comerciales o
publicitarios; o permitan
establecer hábitos de consumo, cuando éstos figuren en documentos
accesibles al público
o hayan sido facilitados por los propios titulares u obtenidos con su
consentimiento.
En los supuestos contemplados en el presente artículo, el titular de
los datos podrá
ejercer el derecho de acceso sin cargo alguno.
El titular podrá en cualquier momento solicitar el retiro o bloqueo
de sus datos de
los bancos de datos a los que se refiere el presente artículo.
Artículo 22. Datos relativos a la
actividad comercial o
crediticia.- Queda expresamente autorizado el tratamiento de datos
personales destinados a
brindar informes objetivos de carácter comercial, incluyendo aquellos
relativos al
cumplimiento o incumplimiento de obligaciones de carácter comercial o
crediticia que
permitan evaluar la concertación de negocios en general, la conducta
comercial o la
capacidad de pago del titular de los datos, en aquellos casos en que los
mismos sean
obtenidos de fuentes de acceso público o procedentes de informaciones
facilitadas por el
acreedor o en las circunstancias previstas en la presente ley. Para el
caso de las
personas jurídicas, además de las circunstancias previstas en la
presente ley, se
permite el tratamiento de toda información autorizada por la normativa
vigente.
Los datos personales relativos a obligaciones de carácter comercial
de personas
físicas sólo podrán estar registrados por un plazo de cinco años
contados desde su
incorporación. En caso que al vencimiento de dicho plazo la obligación
permanezca
incumplida, el acreedor podrá solicitar al responsable de la base de
datos, por única
vez, su nuevo registro por otros cinco años. Este nuevo registro deberá
ser solicitado
en el plazo de treinta días anteriores al vencimiento original. Las
obligaciones
canceladas o extinguidas por cualquier medio, permanecerán registradas,
con expresa
mención de este hecho, por un plazo máximo de cinco años, no renovable, a
contar de la
fecha de la cancelación o extinción.
Los responsables de las bases de datos se limitarán a realizar el
tratamiento objetivo
de la información registrada tal cual ésta le fuera suministrada,
debiendo abstenerse de
efectuar valoraciones subjetivas sobre la misma.
Cuando se haga efectiva la cancelación de cualquier obligación
incumplida registrada
en una base de datos, el acreedor deberá en un plazo máximo de cinco
días hábiles de
acontecido el hecho, comunicarlo al responsable de la base de datos o
tratamiento
correspondiente. Una vez recibida la comunicación por el responsable de
la base de datos
o tratamiento, éste dispondrá de un plazo máximo de tres días hábiles
para proceder a
la actualización del dato, asentando su nueva situación.
Artículo 23. Datos transferidos
internacionalmente.- Se
prohíbe la transferencia de datos personales de cualquier tipo con
países u organismos
internacionales que no proporcionen niveles de protección adecuados de
acuerdo a los
estándares del Derecho Internacional o Regional en la materia.
La prohibición no regirá cuando se trate de:
| 1) |
Cooperación
judicial
internacional, de acuerdo al respectivo instrumento internacional,
ya sea Tratado o
Convención, atendidas las circunstancias del caso.
|
| 2) |
Intercambio
de datos de carácter
médico, cuando así lo exija el tratamiento del afectado por razones
de salud o higiene
públicas.
|
| 3) |
Transferencias
bancarias o
bursátiles, en lo relativo a las transacciones respectivas y
conforme la legislación que
les resulte aplicable.
|
| 4) |
Acuerdos
en el marco de tratados
internacionales en los cuales la República Oriental del Uruguay sea
parte.
|
| 5) |
Cooperación
internacional entre
organismos de inteligencia para la lucha contra el crimen
organizado, el terrorismo y el
narcotráfico. |
También será posible realizar la transferencia internacional de datos
en los
siguientes supuestos:
| A) |
Que el
interesado haya dado su
consentimiento inequívocamente a la transferencia prevista.
|
| B) |
Que la
transferencia sea
necesaria para la ejecución de un contrato entre el interesado y el
responsable del
tratamiento o para la ejecución de medidas precontractuales tomadas a
petición del
interesado.
|
| C) |
Que la
transferencia sea
necesaria para la celebración o ejecución de un contrato celebrado o
por celebrar en
interés del interesado, entre el responsable del tratamiento y un
tercero.
|
| D) |
Que la
transferencia sea
necesaria o legalmente exigida para la salvaguardia de un interés
público importante, o
para el reconocimiento, ejercicio o defensa de un derecho en un
procedimiento judicial.
|
| E) |
Que la
transferencia sea
necesaria para la salvaguardia del interés vital del interesado.
|
| F) |
Que la
transferencia tenga lugar
desde un registro que, en virtud de disposiciones legales o
reglamentarias, esté
concebido para facilitar información al público y esté abierto a la
consulta por el
público en general o por cualquier persona que pueda demostrar un
interés legítimo,
siempre que se cumplan, en cada caso particular, las condiciones que
establece la ley para
su consulta. |
Sin perjuicio de lo dispuesto en el primer inciso de este artículo,
la Unidad
Reguladora y de Control de Protección de Datos Personales podrá
autorizar una
transferencia o una serie de transferencias de datos personales a un
tercer país que no
garantice un nivel adecuado de protección, cuando el responsable del
tratamiento ofrezca
garantías suficientes respecto a la protección de la vida privada, de
los derechos y
libertades fundamentales de las personas, así como respecto al ejercicio
de los
respectivos derechos.
Dichas garantías podrán derivarse de cláusulas contractuales
apropiadas.
CAPÍTULO V
BASES DE DATOS DE TITULARIDAD PÚBLICA
Artículo 24. Creación, modificación o
supresión.- La
creación, modificación o supresión de bases de datos pertenecientes a
organismos
públicos deberán registrarse conforme lo previsto en el capítulo
siguiente.
Artículo 25. Base de datos
correspondientes a las Fuerzas
Armadas, Organismos Policiales o de Inteligencia.- Quedarán sujetos al
régimen de la
presente ley, los datos personales que por haberse almacenado para fines
administrativos,
deban ser objeto de registro permanente en las bases de datos de las
fuerzas armadas,
organismos policiales o de inteligencia; y aquellos sobre antecedentes
personales que
proporcionen dichas bases de datos a las autoridades administrativas o
judiciales que los
requieran en virtud de disposiciones legales.
El tratamiento de datos personales con fines de defensa nacional o
seguridad pública
por parte de las fuerzas armadas, organismos policiales o inteligencia,
sin previo
consentimiento de los titulares, queda limitado a aquellos supuestos y
categoría de datos
que resulten necesarios para el estricto cumplimiento de las misiones
legalmente asignadas
a aquéllos para la defensa nacional, la seguridad pública o para la
represión de los
delitos. Las bases de datos, en tales casos, deberán ser específicas y
establecidas al
efecto, debiendo clasificarse por categorías, en función de su grado de
fiabilidad.
Los datos personales registrados con fines policiales se cancelarán
cuando no sean
necesarios para las averiguaciones que motivaron su almacenamiento.
Artículo 26. Excepciones a los derechos de
acceso,
rectificación y cancelación.- Los responsables de las bases de datos que
contengan los
datos a que se refieren los incisos segundo y tercero del artículo
anterior podrán
denegar el acceso, la rectificación o cancelación en función de los
peligros que
pudieran derivarse para la defensa del Estado o la seguridad pública, la
protección de
los derechos y libertades de terceros o las necesidades de las
investigaciones que se
estén realizando.
Los responsables de las bases de datos de la Hacienda Pública podrán,
igualmente,
denegar el ejercicio de los derechos a que se refiere el inciso anterior
cuando el mismo
obstaculice las actuaciones administrativas tendientes a asegurar el
cumplimiento de las
obligaciones tributarias y, en todo caso, cuando el titular del dato
esté siendo objeto
de actuaciones inspectivas.
El titular del dato al que se deniegue total o parcialmente el
ejercicio de los
derechos mencionados en los incisos anteriores podrá ponerlo en
conocimiento del Órgano
de Control, quien deberá asegurarse de la procedencia o improcedencia de
la denegación.
Artículo 27. Excepciones al derecho a la
información.- Lo
dispuesto en la presente ley no será aplicable a la recolección de
datos, cuando la
información del titular afecte a la defensa nacional, a la seguridad
pública o a la
persecución de infracciones penales.
CAPÍTULO VI
BASES DE DATOS DE TITULARIDAD PRIVADA
Artículo 28. Creación, modificación o
supresión.- Las
personas físicas o jurídicas privadas que creen, modifiquen o supriman
bases de datos de
carácter personal, que no sean para un uso exclusivamente individual o
doméstico,
deberán registrarse conforme lo previsto en el artículo siguiente.
Artículo 29. Inscripción registral.- Toda
base de datos
pública o privada debe inscribirse en el Registro que al efecto habilite
el Órgano de
Control, de acuerdo a los criterios reglamentarios que se establezcan.
Por vía reglamentaria se procederá a la regulación detallada de los
distintos
extremos que deberá contener la inscripción, entre los cuales figurarán
necesariamente
los siguientes:
| A) |
Identificación
de la base de
datos y el responsable de la misma.
|
| B) |
Naturaleza
de los datos
personales que contiene.
|
| C) |
Procedimientos
de obtención y
tratamiento de los datos.
|
| D) |
Medidas de
seguridad y
descripción técnica de la base de datos.
|
| E) |
Protección
de datos personales y
ejercicio de derechos.
|
| F) |
Destino de
los datos y personas
físicas o jurídicas a las que pueden ser transmitidos.
|
| G) |
Tiempo de
conservación de los
datos.
|
| H) |
Forma y
condiciones en que las
personas pueden acceder a los datos referidos a ellas y los
procedimientos a realizar para
la rectificación o actualización de los datos.
|
| I) |
Cantidad
de acreedores personas
físicas que hayan cumplido los 5 años previstos en el artículo 22 de
la presente ley.
|
| J) |
Cantidad
de cancelaciones por
incumplimiento de la obligación de pago si correspondiera, de
acuerdo a lo previsto en el
artículo 22 de la presente ley. |
Ningún usuario de datos podrá poseer datos personales de naturaleza
distinta a los
declarados en el registro.
El incumplimiento de estos requisitos dará lugar a las sanciones
administrativas
previstas en la presente ley.
Respecto a las bases de datos de carácter comercial ya inscriptos en
el Órgano
Regulador, se estará a lo previsto en la presente ley respecto del plazo
de adecuación.
Artículo 30. Prestación de servicios
informatizados de
datos personales.- Cuando por cuenta de terceros se presten servicios de
tratamiento de
datos personales, éstos no podrán aplicarse o utilizarse con un fin
distinto al que
figure en el contrato de servicios, ni cederlos a otras personas, ni aun
para su
conservación.
Una vez cumplida la prestación contractual los datos personales
tratados deberán ser
destruidos, salvo que medie autorización expresa de aquel por cuenta de
quien se prestan
tales servicios cuando razonablemente se presuma la posibilidad de
ulteriores encargos, en
cuyo caso se podrá almacenar con las debidas condiciones de seguridad
por un período de
hasta dos años.
CAPÍTULO VII
ÓRGANO DE CONTROL
Artículo 31. Órgano de Control.- Créase
como órgano
desconcentrado de la Agencia para el Desarrollo del Gobierno de Gestión
Electrónica y la
Sociedad de la Información y del Conocimiento (AGESIC), dotado de la más
amplia
autonomía técnica, la Unidad Reguladora y de Control de Datos
Personales. Estará
dirigida por un Consejo integrado por tres miembros: el Director
Ejecutivo de AGESIC y dos
miembros designados por el Poder Ejecutivo entre personas que por sus
antecedentes
personales, profesionales y de conocimiento en la materia aseguren
independencia de
criterio, eficiencia, objetividad e imparcialidad en el desempeño de sus
cargos.
A excepción del Director Ejecutivo de la AGESIC, los miembros durarán
cuatro años en
sus cargos, pudiendo ser designados nuevamente. Sólo cesarán por la
expiración de su
mandato y designación de sus sucesores, o por su remoción dispuesta por
el Poder
Ejecutivo en los casos de ineptitud, omisión o delito, conforme a las
garantías del
debido proceso.
Durante su mandato no recibirán órdenes ni instrucciones en el plano
técnico.
Artículo 32. Consejo Consultivo.- El
Consejo Ejecutivo de
la Unidad Reguladora y de Control de Datos Personales funcionará
asistido por un Consejo
Consultivo, que estará integrado por cinco miembros:
| - |
Una
persona con reconocida
trayectoria en la promoción y defensa de los derechos humanos,
designado por el Poder
Legislativo, el que no podrá ser un Legislador en actividad.
|
| - |
Un
representante del Poder
Judicial.
|
| - |
Un
representante del Ministerio
Público.
|
| - |
Un
representante del área
académica.
|
| - |
Un
representante del sector
privado, que se elegirá en la forma establecida reglamentariamente. |
Sesionará presidido por el Presidente de la Unidad Reguladora y de
Control de
protección de Datos Personales.
Sus integrantes durarán cuatro años en sus cargos y sesionarán a
convocatoria del
Presidente de la Unidad Reguladora y de Control de Datos Personales o de
la mayoría de
sus miembros.
Podrá ser consultado por el Consejo Ejecutivo sobre cualquier aspecto
de su
competencia y deberá ser consultado por éste cuando ejerza potestades de
reglamentación.
Artículo 33. Recursos.- La Unidad
Reguladora y de Control
de Datos Personales formulará su propuesta de presupuesto de acuerdo a
lo previsto en el
artículo 214 de la
Constitución
de al República.
Artículo 34. Cometidos.- El órgano de
control deberá
realizar todas las acciones necesarias para el cumplimiento de los
objetivos y demás
disposiciones de la presente ley. A tales efectos tendrá las siguientes
funciones y
atribuciones:
| A) |
Asistir y
asesorar a las personas
que lo requieran acerca de los alcances de la presente ley y de los
medios legales de que
disponen para la defensa de los derechos que ésta garantiza.
|
| B) |
Dictar las
normas y
reglamentaciones que se deben observar en el desarrollo de las
actividades comprendidas
por esta ley.
|
| C) |
Realizar
un censo de las bases de
datos alcanzados por la ley y mantener el registro permanente de los
mismos.
|
| D) |
Controlar
la observancia de las
normas sobre integridad, veracidad y seguridad de datos por parte de
los responsables de
las bases de datos, pudiendo a tales efectos realizar las
actuaciones de inspección
pertinentes.
|
| E) |
Solicitar
información a las
entidades públicas y privadas, las que deberán proporcionar los
antecedentes,
documentos, programas u otros elementos relativos al tratamiento de
los datos personales
que se le requieran. En estos casos, la autoridad deberá garantizar
la seguridad y
confidencialidad de la información y elementos suministrados.
|
| F) |
Emitir
opinión toda vez que le
sea requerida por las autoridades competentes, incluyendo
solicitudes relacionadas con el
dictado de sanciones administrativas que correspondan por la
violación a las
disposiciones de esta ley, de los reglamentos o de las resoluciones
que regulan el
tratamiento de datos personales comprendidos en ésta.
|
| G) |
Asesorar
en forma necesaria al
Poder Ejecutivo en la consideración de los proyectos de ley que
refieran total o
parcialmente a protección de datos personales.
|
| H) |
Informar a
cualquier persona
sobre la existencia de bases de datos personales, sus finalidades y
la identidad de sus
responsables, en forma gratuita. |
Artículo 35. Potestades sancionatorias.-
El órgano de
control podrá aplicar las siguientes medidas sancionatorias a los
responsables de las
bases de datos o encargados del tratamiento de datos personales en caso
que se violen las
normas de la presente ley:
| 1) |
Apercibimiento.
|
| 2) |
Multa de
hasta quinientas mil
unidades indexadas.
|
| 3) |
Suspensión
de la base de datos
respectiva. A tal efecto se faculta a la AGESIC a promover ante los
órganos
jurisdiccionales competentes, la suspensión de las bases de datos,
hasta por un lapso de
seis días hábiles, respecto de los cuales se comprobare que
infringieren o
transgredieren la presente ley. |
Los hechos constitutivos de la infracción serán documentados de
acuerdo a las
formalidades legales y la suspensión deberá decretarse dentro de los
tres días
siguientes a aquel en que la hubiere solicitado la AGESIC, la cual
quedará habilitada a
disponer por sí la suspensión si el Juez no se pronunciare dentro de
dicho término.
En este último caso, si el Juez denegare posteriormente la
suspensión, ésta deberá
levantarse de inmediato por la AGESIC.
Los recursos que se interpongan contra la resolución judicial que
hiciere lugar a la
suspensión, no tendrán efecto suspensivo.
Para hacer cumplir dicha resolución, la AGESIC podrá requerir el
auxilio de la fuerza
pública.
La competencia de los Tribunales actuantes se determinará por las
normas de la Ley
Orgánica de la Judicatura,
Nº
15.750,
de 24 de junio de 1985, sus modificativas y concordantes.
Artículo 36. Códigos de conducta.- Las
asociaciones o
entidades representativas de responsables o usuarios de bancos de datos
de titularidad
privada podrán elaborar códigos de conducta de práctica profesional, que
establezcan
normas para el tratamiento de datos personales que tiendan a asegurar y
mejorar las
condiciones de operación de los sistemas de información en función de
los principios
establecidos en la presente ley.
Dichos códigos deberán ser inscriptos en el registro que al efecto
lleve el organismo
de control, quien podrá denegar la inscripción cuando considere que no
se ajustan a las
disposiciones legales y reglamentarias sobre la materia.
CAPÍTULO VIII
ACCIÓN DE PROTECCIÓN DE DATOS PERSONALES
Artículo 37. Habeas data.- Toda persona
tendrá derecho a
entablar una acción judicial efectiva para tomar conocimiento de los
datos referidos a su
persona y de su finalidad y uso, que consten en bases de datos públicos o
privados; y -en
caso de error, falsedad, prohibición de tratamiento, discriminación o
desactualización-
a exigir su rectificación, inclusión, supresión o lo que entienda
corresponder.
Cuando se trate de datos personales cuyo registro esté amparado por
una norma legal
que consagre el secreto a su respecto, el Juez apreciará el
levantamiento del mismo en
atención a las circunstancias del caso.
Artículo 38. Procedencia y competencia.-
El titular de
datos personales podrá entablar la acción de protección de datos
personales o habeas
data, contra todo responsable de una base de datos pública o privada, en
los siguientes
supuestos:
| A) |
Cuando
quiera conocer sus datos
personales que se encuentran registrados en una base de datos o
similar y dicha
información le haya sido denegada, o no le hubiese sido
proporcionada por el responsable
de la base de datos, en las oportunidades y plazos previstos por la
ley.
|
| B) |
Cuando
haya solicitado al
responsable de la base de datos o tratamiento su rectificación,
actualización,
eliminación, inclusión o supresión y éste no hubiese procedido a
ello o dado razones
suficientes por las que no corresponde lo solicitado, en el plazo
previsto al efecto en la
ley. |
Serán competentes para conocer en las acciones de protección de datos
personales o
habeas data:
| 1) |
En la
capital, los Juzgados
Letrados de Primera Instancia en lo Contencioso Administrativo,
cuando la acción se
dirija contra una persona pública estatal, y los Juzgados Letrados
de Primera Instancia
en lo Civil en los restantes casos.
|
| 2) |
Los
Juzgados Letrados de Primera
Instancia del Interior a quienes se haya asignado competencia en
dichas materias. |
Artículo 39. Legitimación.- La acción de
habeas data
podrá ser ejercida por el propio afectado titular de los datos o sus
representantes, ya
sean tutores o curadores y, en caso de personas fallecidas, por sus
sucesores universales,
en línea directa o colateral hasta el segundo grado, por sí o por medio
de apoderado.
En el caso de personas jurídicas, la acción deberá ser interpuesta
por sus
representantes legales o los apoderados designados a tales efectos.
Artículo 40. Procedimiento.- Las acciones
que se promuevan
por violación a los derechos contemplados en la presente ley se regirán
por las normas
contenidas en los artículos que siguen al presente. Serán aplicables en
lo pertinente
los artículos 14 y 15 del Código General del Proceso.
Artículo 41. Trámite de primera
instancia.- Salvo que la
acción fuera manifiestamente improcedente, en cuyo caso el tribunal la
rechazará sin
sustanciarla y dispondrá el archivo de las actuaciones, se convocará a
las partes a una
audiencia pública dentro del plazo de tres días de la fecha de la
presentación de la
demanda.
En dicha audiencia se oirán las explicaciones del demandado, se
recibirán las pruebas
y se producirán los alegatos. El tribunal, que podrá rechazar las
pruebas
manifiestamente impertinentes o innecesarias, presidirá la audiencia so
pena de nulidad,
e interrogará a los testigos y a las partes, sin perjuicio de que
aquéllos sean, a su
vez, repreguntados por los abogados. Gozará de los más amplios poderes
de policía y de
dirección de la audiencia.
En cualquier momento podrá ordenar diligencias para mejor proveer.
La sentencia se dictará en la audiencia o a más tardar, dentro de las
veinticuatro
horas de su celebración. Sólo en casos excepcionales podrá prorrogarse
la audiencia por
hasta tres días.
Las notificaciones podrán realizarse por intermedio de la autoridad
policial. A los
efectos del cómputo de los plazos de cumplimiento de lo ordenado por la
sentencia, se
dejará constancia de la hora en que se efectuó la notificación.
Artículo 42. Medidas provisionales.- Si de
la demanda o en
cualquier otro momento del proceso resultare, a juicio del tribunal, la
necesidad de su
inmediata actuación, éste dispondrá, con carácter provisional, las
medidas que
correspondieren en amparo del derecho o libertad presuntamente violados.
Artículo 43. Contenido de la sentencia.-
La sentencia que
haga lugar al habeas data deberá contener:
| A) |
La
identificación concreta de la
autoridad o el particular a quien se dirija y contra cuya acción,
hecho u omisión se
conceda el habeas data.
|
| B) |
La
determinación precisa de lo
que deba o no deba hacerse y el plazo por el cual dicha resolución
regirá, si es que
corresponde fijarlo.
|
| C) |
El plazo
para el cumplimiento de
lo dispuesto, que será fijado por el tribunal conforme las
circunstancias de cada caso, y
no será mayor de quince días corridos e ininterrumpidos, computados a
partir de la
notificación. |
Artículo 44. Recurso de apelación y
segunda instancia.- En
el proceso de habeas data sólo serán apelables la sentencia definitiva y
la que rechaza
la acción por ser manifiestamente improcedente.
El recurso de apelación deberá interponerse en escrito fundado,
dentro del plazo
perentorio de tres días. El tribunal elevará sin más trámite los autos
al superior
cuando hubiere desestimado la acción por improcedencia manifiesta, y lo
sustanciará con
un traslado a la contraparte, por tres días perentorios, cuando la
sentencia apelada
fuese la definitiva.
El tribunal de alzada resolverá en acuerdo, dentro de los cuatro días
siguientes a la
recepción de los autos. La interposición del recurso no suspenderá las
medidas de
amparo decretadas, las cuales serán cumplidas inmediatamente después de
notificada la
sentencia, sin necesidad de tener que esperar el transcurso del plazo
para su
impugnación.
Artículo 45. Sumariedad. Otros aspectos.-
En los procesos
de habeas data no podrán deducirse cuestiones previas, reconvenciones ni
incidentes. El
tribunal, a petición de parte o de oficio, subsanará los vicios de
procedimiento,
asegurando, dentro de la naturaleza sumaria del proceso, la vigencia del
principio de
contradictorio.
Cuando se planteare la inconstitucionalidad por vía de excepción o de
oficio
(artículos 509 numeral 2 y 510 numeral 2 del Código General del Proceso)
se procederá a
la suspensión del procedimiento sólo después que el Magistrado actuante
haya dispuesto
la adopción de las medidas provisorias referidas en la presente ley o,
en su caso,
dejando constancia circunstanciada de las razones de considerarlas
innecesarias.
CAPÍTULO IX
DISPOSICIONES TRANSITORIAS
Artículo 46. Adecuación de las bases de
datos.- Las bases
de datos deberán adecuarse a la presente ley dentro del plazo de un año
de su entrada en
vigor.
Artículo 47. Traslado del órgano de
control referente a
datos comerciales.- Se establece el plazo de ciento veinte días corridos
para que el
actual órgano de control en materia de protección de datos comerciales, a
cargo del
Ministerio de Economía y Finanzas, realice el traslado de la información
y
documentación a la AGESIC.
Artículo 48. Derogación.- Se deroga la
Ley Nº
17.838, de 24 de setiembre de 2004.
Artículo 49. Reglamentación.- El Poder
Ejecutivo deberá
reglamentar la presente ley dentro de los ciento ochenta días de su
promulgación.
Sala de Sesiones de la Asamblea General, en
Montevideo, a 6 de
agosto de 2008.
RODOLFO NIN NOVOA,
Presidente.
Hugo Rodríguez Filippini,
Secretario.
Marti Dalgalarrondo Añón,
Secretario.
MINISTERIO DEL INTERIOR
MINISTERIO DE RELACIONES EXTERIORES
MINISTERIO DE ECONOMÍA Y FINANZAS
MINISTERIO DE DEFENSA NACIONAL
MINISTERIO DE EDUCACIÓN Y CULTURA
MINISTERIO DE TRANSPORTE Y OBRAS PÚBLICAS
MINISTERIO DE INDUSTRIA, ENERGÍA Y
MINERÍA
MINISTERIO DE TRABAJO Y
SEGURIDAD SOCIAL
MINISTERIO DE SALUD
PÚBLICA
MINISTERIO DE
GANADERÍA,
AGRICULTURA Y PESCA
MINISTERIO
DE TURISMO Y
DEPORTE
MINISTERIO
DE VIVIENDA,
ORDENAMIENTO TERRITORIAL Y MEDIO AMBIENTE
MINISTERIO
DE
DESARROLLO SOCIAL
Montevideo, 11 de agosto de 2008.
De acuerdo a lo dispuesto por el artículo 145 de la
Constitución
de la República,
cúmplase, acúsese recibo, comuníquese, publíquese e insértese en el
Registro Nacional
de Leyes y Decretos, la Ley por la que se establecen normas de
protección de datos
personales.
TABARÉ VÁZQUEZ.
DAISY TOURNÉ.
GONZALO FERNÁNDEZ.
DANILO ASTORI.
JOSÉ BAYARDI.
MARÍA SIMON.
VÍCTOR ROSSI.
DANIEL MARTÍNEZ.
EDUARDO BONOMI.
MARÍA JULIA MUÑOZ.
ERNESTO AGAZZI.
HÉCTOR LESCANO.
CARLOS COLACCE.
MARINA ARISMENDI.
 |
Montevideo,
Uruguay. Poder
Legislativo. |
