Ley No.787 Ley de Datos Personales-La Gaceta

5/17/2018 Ley No.787 Ley de Datos Personales-La Gaceta

1/9

29-03-12 61A GACET A - DIARIO OFICIAL

ASAMBLEA NACIONALLey No. 787

EI Presidente de la Republica de NicaraguaA sus habitantes, Sabed:Que,

LA ASAMBLEA NACIONALCONSIDERANDO

EI Estado nicaraguense tiene la obligacion de prom over y garantizarel bien cornun, asumiendo la tarea de promover el desarrollo humanoprotegiendolo de todo tipo de explotacion, discrirninacion y exclusion.

nQue son principios de la nacion nicaragiiense: la libertad, lajusticia yel respeto a la dignidad de la persona humana.

mQue los nicaraguenses tienen derecho, a su vida privada y la de sufamilia, a la inviolabilidad de su domicilio, su correspondencia y suscomunicaciones de todo tipo, al respeto de su honra y reputacion, asicomo a saber por que y con que finalidad se tiene informacion personal.

IVQue todas las disposiciones senaladas en esta ley, encuentran asideroen los estandares intemacionales existentes en materia de proteccionde datos, y en un marco doctrinal y explicativo que ya cuenta con gransolidez en el marco latinoamericano.

vQue es necesario un equilibrio con otras leyes aprobadas por laAsamblea Nacional, como es la Ley No. 621, "Ley de Acceso a laInformacion Publica", preparando el camino para una adecuadacalificacion de los avances nicaraguenses, mediante la implementacionde las garantias que se establece en el articulo 26 de la ConstitucionPolitica de la Republica de Nicaragua.

VIQue se necesita mantener la competitividad del pais en actividadescomerciales donde la tutela de los datos personales es preocupacioncentral.

POR TANTOEn uso de sus facultades,

HA DlCTADOLa siguiente:

LEY DE PROTECCJ()N DE DATOS PERSONALESCapitulo I

Definlciones generalesArticulo 1 ObjetoLa presentc ley tiene por objeto la proteccion de la persona naturalo juridica frente al tratamiento, automatizado 0 no, de sus datospersonales en ficheros de datos publicos y privados, a efecto degarantizar el derecho a la privacidad personal y familiar y el derechoa la autodeterrninacion informativa.

Art. 2. Ambito de apllcacilmLas disposiciones de la presente ley seran aplicables al tratamientolos datos personales que se encuentran en los ficheros de datopublicos y privados.Art. 3. DefinicionesPara la presente ley se entiende por:a) Autodetermlnaci6n Informativa: Es el derecho que tiene todpersona a saber quien, cuando, con que fines y en que circunstanciastoman contacto con sus datos person ales.b) Bloqueo: Es la identificacion y conservacion de datos personaleuna vez cumpJida la finalidad para la cual fueron recabados, conunico proposito de determinar posibles responsabilidades en relaciocon su tratamiento, hasta el plazo de prescripcion legal 0 contractuade estas, Durante dicho periodo, los datos personales no podran sobjcto de tratamiento y transcurrido este, se procedera a su cancelaci6nen el fichero de datos en el que se encuentran.c) Cesl6n 0 transferencia: Es la trasrnision de los datos personalea una persona distinta de su titular.

d) Consentlmlento del titular: Es toda manifestaci6n de voluntadlibre, inequivoca, especffica e informada, mediante la cual el titularlos datos consiente el tratamiento de sus datos personales.e) Datos personales: Es toda la informacion sobre una personnatural 0jurfdica que la identifica 0 la hace identificable.f) Datos personates Informatlcos: Son los datos personales tratadoa traves de medios electronicos 0 automatizados.g) Datos personales senslbles: Es toda informacion que reveleorigen racial, etnico, fi liacion polit ica, credo religioso, filcsoficomoral. sindical, relativo a su salud 0vida sexual, antecedentes penaleo faltas administrativas, econornicos financieros; as! como informacioncrediticia y financiera y cualquier otra informacion que pueda smotivo de discriminaci6n.h) Disociaci6n de datos: Es todo tratamiento de datos personalesmanera que la informaci6n obtenida no pueda asociarse a persondeterminada.i) Ficheros de datos: Son los archivos, registros, bases 0bancos de datopublicos y privados, que contienen de manera organizada los datopersonalcs, automatizados 0 no.j) Fuentes de aceeso publico: Son aquellos ficheros cuya consulta puedserrealizada porcualquier persona, sin mas exigencia que, el abono de ucontraprestacion. Tienen la consideraci6n de fuentes de acceso publicoLa Gaceta, Diario Oficial, los medios decomunicacion, el censo, las guitelefonicas cn los terminos previstos por su normativa especffica y ldirectorios de personas pertenecicntes a grupos de profesionales qcontengan unicamente los datos de nombre, titulo, profesion, actividadgrado academico, direccion e indicaci6n de su pertenencia al grupo.k) Responsable de ficberos de datos: Es toda persona natural 0jurldicapublica 0privada, que con forme Ley decidesobre lafinalidad yconteniddel tratamiento de los datos personales.I) Tercero: Es toda persona, publica 0 privada que rcalice a su arbitreI tratamiento de datos personales, ya sea en ficheros de datos propioo a traves de conexion con los mismos.

2402


2/9

29-03-12 61A GACETA - DIARIO OFICIALm) Titular de los datos: Es toda persona natural 0 juridica a la queconciemen los datos personales.n) Tratamiento de datos: Son las operaciones y procedimientossisternaticos, automatizados 0 no, que permiten la recopilacion,registro, grabacion, conservacion, ordenacion, almacenamiento,modificacion, actualizacion, evaluacion, bloqueo, destruccion,supresion, utilizacion y cancelacion, asi como la cesion de datospersonales que resulten de cornunicaciones, consultas, interconexionesy transferencias.Art. 4. Creaelon de ficheros de datosLa crcacion de ficheros de datos personales sera licita cuando seencuentren debidamente autorizados y registrados, medianteconsentimiento del titular, salvo excepciones de ley. Los ficheros dedatos no pueden tener fines distintos a los permitidos por esta ley.Art. 5. Requisltos para la ebtenclon de datos personalesPara obtener los datos personales, se requiere 10siguiente:a) Que sean adecuados, proporcionales y necesarios en relacion alambito y fin para el que se colectan; yb) Que se haga por medios licitos que garanticen el derecho de todapersona a la autodeterminacion informativa.Art. 6. ConsentlmientoEl titular de los datos debera dar por si 0 por su representante legalo apoderado el consentimiento para laentrega de los datos, salvo quela ley disponga otra cosa dentro de los Iimites razonables.Larazonabilidad debera serconsiderada por laDireccion deProtecci6nde Datos Personales, si se Ie planteare alguna controversia. Loanterior, tiene tanto para los ficheros de datos de titularidad publicacomo privada.El consentimiento debera ser otorgado por escrito 0 por otro medioid6neo, flsico 0clectr6nico. Dicho consentimiento podra ser revocadosin efecto retroactivo, por cualquiera de los medios permitidos por laley.No sent necesario el consentimiento cuando:a) Exista orden motivada, dictada por autoridadjudicial competente;b) Los datos personales se sometan a un procedimiento previo dedisociacion;c) Tenga el proposito de cumplir obligaciones derivadas de unarelacion juridica entre el titular y el responsable; yd) Los datos se obtengan de fuentes de acceso publico irrestricto y setrate de listados cuyos datos se limiten a nornbre, documento nacionalde idcntidad, y fecha de nacimiento.

Capitulo IIDe los responsables de los ficheros de datosArt. 7. Obllgacion de informar al obtener los datos personatesEI responsable de los ficheros de datos personales, debera informarpreviamente a los titulares de los mismos de forma expresa y clara 10siguiente:a) La finalidad para la que seran utilizados y quienes pueden ser susdestinatarios 0 clase de dcstinatarios;

b) La existencia del fichero de datos electronicos 0de cualquier otrtipo, de que se trate y la identidad y domicilio de su responsable;c) EIcaracter obligatorio 0facultativo de lasrespuestas al cuestiona rque se Ie proponga, en especial en cuanto a los datos referidos enarticulo siguiente;d) Las consecuencias de proporcionar los datos personales, denegativa a hacerlo 0 de la inexactitud de los mismos;e) La garantia de ejercer por parte del titular el derecho de accesrectificacion, modificacion, supresion, complernentacion, inclusionactualizacion y cancelacion de los datos personales;f) Cuando los datos procedan de fuentes accesibles al publico y sutilicen para hacer envies publicitarios 0 promocionales, en cadcomunicaci6n que se dirija al titular de los mismos se Ie informara dorigen de los datos y de la identidad del responsable del tratamientas! como de los derechos que Ieasisten;g) Los datos solo pueden ser utilizados para los fines que motivarosu tratamiento; y no podran ser utilizados para otros fines;

h) Los datos inexactos, incomplctos, 0 que esten en desacuerdo colarealidad de los que Iecorresponden a lapersona, seran rectificadosmodificados, suprimidos, completados, incluidos, actualizadoscancelados segun corresponda;i) Los datos personales deben ser almacenados de modo que permitael derecho de acceso del titular a los mismos;j) Los datos personales deben ser cancelados cuando hayan dejado dser necesarios a los fines para los cuales hubiesen sido tratados;k) Estan prohibidos los ficheros de datos personales que no reunacondiciones tecnicas de integridad, confidencialidad y seguridad; yI) Queda prohibida la creaci6n de ficheros de datos personalcs qualmacenen informacion dedatos sensibles, salvo 10dispuesto en laleSin pcrjuicio de ello, las difercntes sociedades mercantilesasociaciones sin fines de lucro, pueden almacenar datos de sumicmbros.Art. 8. Categorlas de los datos personatesLos datos personales comprenden la informaci6n concemientepersonas naturales 0juridicas identificadas 0 idenlificablcs y tendralas categorias siguientes:a) Datos personales scnsibles: solo pueden ser obtenidos y tratadopor razones de interes general en la Ley, 0 con el consentimiento dtitular de datos, u ordenados por mandato judicial. Tambien podraser tratados can finalidades estadisticas 0 cicntificas cuando npuedan ser idcntificados sus titulares. Los datos personales relativoa los antecedentes penales 0 faltas administrativas solo pueden stratados por las autoridades publicas competentes, en la esfcra de sucompetencias;b) Los datos personales relativos a lasalud, en los hospitales, clinicacentros y puestos de salud, publicos y privados, y los profesionalevinculados a las ciencias de la salud: solo pueden ser los relativos asalud flsica 0 mental de los pacientes que acudan a los mismos 0 questen 0 hubieren estado bajo tratamiento de aquellos, respetandosecreta profesional;

2403


3/9

29-03-12 61A GACET A - DlARIO OFICIALc) Datos personales informaticos: Son los datos personales tratadosa traves de medios electronicos 0 automatizados;d) Datos personales comerciales: son datos sensibles de las Empresaslas bases de datos de clientes, proveedores y recursos humanos, parafines de pubLicidad y cuaLquier otros datos que se consideren informacioncomercial 0 empresarial reservada fundamentalmente para el libreejercicio de sus actividades economicas,

Todos los datos personales solo podran scr rcvelados porconsentimiento del Titular de los datos, por ley expresa de interessocial 0por mandato judicial.Art. 9. Sobre el tratamiento de datos person alesTodo tratamiento de datos person ales estara sujeto al consentimiento desu titular, salvo Lasexcepciones previstas en la prcsente Ley.Los datos personales solo podran ser tratados, cuando sean adecuados,proporcionales y necesarios en relacion con el ambito y las finalidadesdeterminadas, explicitas y legitimas para las que se hayan solicitado. Losdereehosde oposicion, acceso, modificaci6n, supresion, bloqueo, inclusion,complementacion, rcctificacion 0 cancelacion de los datos tratados seejerceran mediante comunicacion por escrito.Ninguna persona que solicite la prestacion 0 adquisicion de bienes yservicios esta obligada a brindar a las instituciones publicas y privadas,mayor informaci6n 0datos personales que aquellos que sean adecuados,proporcionales y necesarios para Laprestacion de los misrnos.EItratamiento de los datos personales del usuario 0comprador debe tcnercomo finalidad facilitar lamejora, ampliacion, venta, facturacion, gesti6n,prestacion del servicios y adquisici6n de bienes.EI responsable del fichero y en su caso, cl encargado del tratamientodeberan adoptar las medidas de Indole tecnicas y organizativas necesariaspara garantizar laseguridad de los datos person ales y evitarsu acceso, uso,alteracion, perdida, revelacion, transferencia 0divulgaci6n no autorizada.Art. 10. Derecho al olvido digitalEI titular de los datos tiene derecho a solicitar a las redes sociales,navegadores y servidores que sesupriman y cancelen los datos personalesque se encuentren en sus ficheros.En los casos de ficheros de datos de instituciones publicas y privadas queofrecen bienes y servicios y que porrazones contractuales recopilan datospersonales una vez terminada la relaci6n contractual, el titular de losmismos puede solicitar que se suprima y cancelc toda la informacionpersonal que se registro micntras era usuario de un servicio 0compradorde un bien.Art. 11. Medidas de seguridadEI responsable deLfichero de datos debe adoptar las medidas tecnicas yorganizativas que resulten necesarias para garantizar la integridad,confidencialidad y seguridad de los datos personales, para evitar suadulteracion, perdida, consulta, tratamiento, revelacion, transfercncia 0divulgacion no autorizada, y que pcrrnitan detectar desviaciones,intencionales 0 no, de informacion privada, ya sea que los riesgosprovengan de la accion humana 0 del medio tecnico utilizado.Cuando los datos personales se rcfieran a los miembros de la PoliciaNacional 0 del Ejercito de Nicaragua y fallaren 0 se inobservaren lasmedidas de seguridad a las que serefiere el parrafo anterior, el responsablede fichero de datos debcra informar inmediatamente a la Instituci6nafectada para 1 0 de su cargo.

Art. 12. Confidenclalidad en el tratamlento de los datosEI rcsponsable del fichero de datos y las personas que intervengancualquier fase del tratamiento de datos personales estan obligadossecreto profesional respecto de los mismos, TaLobligaci6n subsistiaun despues de finalizada su relacion con el responsable del fichede datos.EI titular de los datos personales tratados en ficheros de datos, tiederecho a ser informado sobre las politicas de privacidad que adopel responsable del fichcro, y que se Ienotifique cualquier modificaci6de las mismas.EI obligado podra ser relevado del deber de secreto por resoluci6judicial y cuando medicn razones fundadas relativas a la scguridanacional, defensa nacional, seguridad publica 0 la salud publica.Art. 13. Cesion y transferencia de datos personalesLos datos personales se podran ceder y transferir cuando, los fincsten directamente relaeionados con el interes legitimo del cedentedel cesionario y con el previo consentimiento del titular de los datoal que se Ie debera informar sobre Lafinalidad de la cesi6n e identifical cesionario.

EI eonsentimiento para la cesi6n es revocable, mediante notificaci6por escrito 0 pOI cualquier otra via que se Ie equipare, seguneircunstancias, al responsable del fichero de datos. Este no podraexigi do cuando 10 disponga una ley, se realiee entre institucionesEstado en el ejercicio de sus atribuciones, se trate de razones de salpublica, de interes social, de seguridad naeionaL 0 se hubiere aplicadun procedimiento de disociaci6n de datos, de modo que no se pueatribuir a una persona determinada,Art. 14. Prohibiciones y excepclones de cesien y transferenciade datosSe prohibe Lacesion y transferencia de datos personales de cualquitipo con paises u organismos internacionales, que no proporcioneniveles de seguridad y protecci6n adecuados.La prohibici6n no reg ira en los supuestos de colaboracion judiciinternacional, intercambio de datos personales en materia de salucuando sea necesaria para una investigacion epidemiol6gica,transferencias bancarias 0 bursatiles, conforrne la legislacion demateria, cuando Latransferencia se hubierc acordado en el marcotratados intemacionales ratificados por el Estado de Nicaraguacuando la transfercncia tenga por objeto la coopcraci6n intemacionaentre organismos de intel igencia, en los delitos regulados en la Ley N735, "Ley de Prcvencion, Investigacion y Persecucion del CrimOrganizado y de la Administracion de los Bienes IncautadosDecomisados y Abandonados", publicada en La Gaceta, Diario OficNo. 199 y 200 del 19 y 20 de octubre de 20 I 0 respectivamente, enDelitos Relacionados con Estupefacientes, Psicotropicos y otrSustancias Controladas, Delitos Contra la Seguridad del EstadoDelitos Contra el Orden Internacional tipificados en la Ley No. 64"C6digoPenal", publicado en La Gaceta, Diario OficialNo. 83, 84,86 y 87 correspondientes a los dias 5, 6, 7. 8 y 9 de mayo de 200Art. 15. Procedimlento para la cesl6n y transferencia de datPara la cesi6n y transferencia de datos personales y que se encuentreen ficheros de datos publicos oprivados, se debera cumplir el siguienprocedimiento:a) La cesion y transferencia de datos personales sc realizara a solici tude una persona legalmente autorizada;

2404


4/9

29-03-12 61A GACET A - D lARIO OFICIALb) La solicitud debera contener el objeto y la finalidad que se persiguecon dicha informaci6n;c) EI responsable del fichero de datos debera cumplir con las medidasde seguridad y confidencial idad de los datos personales, verificandoque el solicitante cumpla de igual manera con estas medidas;d) EI responsable del fichero de datos personates debera informar a lapersona titular de los datos, la solicitud de transferencia y el propositoque sepersigue, para su consentimiento; con las excepciones contenidasen el articulo anterior;e) EI solicitante y el responsable del fichero dc datos, deberan evitarque la informacion suministrada sea enviada a terceras personas; yt) El responsable del fichero de datos debera informar a la Direcci6nde Proteccion de Datos Personales.Ia transfercncia de datos realizada,

Capitulo IIIDerechos del titular de los datos

Art.16. Derecho a solicitar informacionEI titular de los datos pucde solicitar informacion a la Direcci6n deProtecci6n de Datos Personales, relativa ala existencia de ficheros dedatos personales, sus finalidades y la identidad de sus responsables.EI registro que se lIeve al efecto sera de consulta publica y gratuita.Art. 17. Derechos del titular de los datosEI titular de los datos personales tiene derecho a 10 siguiente:a) A solicitar y obtener informacion de sus datos personales tratadosen los ficheros de datos publicos y privados;El informe que se rinda en atencion ala solici tud del ti tular de los datospersonales, debe garantizar el acceso a la informaci6n personal objetode tratamiento por un fichero de datos publico 0 privado, la forma enque sus datos fueron recopilados y las razones que motivaron surccopilacion, y las transferencias 0 cesiones que se realizaron. Debeconservarse la constancia de su envio y rccepcion;b) A que se le permita rectificar, modificar, suprimir, eomplementar,ineluir, actualizar 0 cancelar sus datos personales;c) EI informe se debe proporcionar dentro de los diez dias habilessiguienles a la recepcion de la solicitud; vcncido cl plaza sin que sehaya rendido el informe, el interesado puede promover la accion deproteccion de datos personales prevista en esta Ley;d) EI ejercicio del derecho al cual se refierc estc articulo en el caso dedatos de personas fallecidas le correspondera a sus sucesoresuniversales, previa acreditacion: ye) A no ser obligada a proporcionar datos personales de caractcrsensible-salvo las exccpcioncs establecidas en la presente Ley.Art. 18. Requisitos de la informacionLa informacion debe lIenar los requisitos siguientes:a) Ser clara y sencilla, accesiblc al conocimiento de la poblacion ytitular de los datos pcrsonales;b) Ser amplia y pertenecer al titular, aun cuando 1 0 solicitado 5610comprenda un aspecto de los datos personales. No sc podra rcvclardatos rclacionados a terceros, aun cuando se vinculen con aquel; y

c) Podra suministrarse por cscri to, medios electronicos, tclefonicosde imagen, 0 por cualquier otro que determine el interesado, a opciodel titular, y de acuerdo a la capacidad tecnica del responsablefichero de datos.Art. 19. Derecbos de modificacion de los datosToda persona tiene derecho a:a) A Solicitar la rcctificaci6n, modificaei6n, supres ioncomplementacion, inclusion, actualizacion y cancelacion de los datopersonales de los que sea titular, que csten incluidos en un ficherodatos.Los datos de caracter personal seran cancelados cuando hayan dejadde ser necesarios 0 pertinentes para la finalidad que dio lugar atratamicnto. La cancelaci6n de los datos no procede por razonesinteres social , de seguridad nacional , de salud publica 0 por afectarsderechos de terceros, en los terrninos que 10d isponga la Ley;b) A que el responsable del fichero de datos, proceda a rectificarmodificar, suprimir, complementar, ineluir, actualizar 0 cancelar ldatos personales del ti tular, dentro de los cinco dias habiles de recibidla solici tud del t itular de los mismos, inforrnandole por escri to, 0 pcualquier otro medio que se Ie equipare segun las circunstancias,manera completa, clara y sencilla el tratamiento realizado;c) A que si el responsable del fichero de datos no cumple conobligacion que Ie impone e1 inciso anterior, el t itular puede ejercitala acci6n de proteccion de datos prevista en esta Ley;d) En el casu que la informacion se haya cedido, el responsable dfichero de datos debe cornunicar la rectificacion, modificacion,supresi6n, complementacion, inclusion, actualizacion y cancelaci6nde los datos personales al cesionario, dentro de los cinco dias habilesiguientes en que se haya resuelto el tratamiento correspondiente;e) Durante el procedimiento que se siga de verificacion y rectificaciondel error 0 falsedad de los datos personales que conciemen al t itularel responsable del fichero de datos debe bloquear los datos materiaIasolicitud 0 consignar al proveer la informacion relativa que se tramun procedimiento con determinado objeto; yt) A que los datos personaies se conserven durante cinco aflos 0 pcl termino que las disposiciones contractuales entre las partes acuerdenasf como cuando estes hayan dejado de ser adecuados, proporcionalesy ncccsarios para el ambito y las finalidades que fueron solicitadosArt. 20. Excepcionalidad para Ia modlflcaclon de los datosLos responsables de ficheros de datos, pucdcn negar la rectificacion,m o d ific ac io n , su pr esio n , c or np le m e n ta cio n, in clu sio n , a ctu aliz ac io ny cancelacion de los datos personales solicitada, cuando exista unresolucionjudicial que determine la no modificacion. Los responsablesde ficheros de datos deben poneren conocimiento al t itular de los datopersonales sabre dieha rcsolucion, Se debera garantizar accesotitular de los datos personates que les conciemen en los ficherosdatos, en el momento en quc tenga que ejercer su derecho de defensaArt.21. Gratuidad de modlflcaclen de los datosLa recti ficacion, modificaci6n, supresion, complementaci6n, inclusionactualizacion y cancelacion de los datos personales inexactosincompletos que se encuentren en fieheros de datos se llevara a cabde manera gratuita para el ti tular.

2405


5/9

29-03-12 61A GACET A - DIARIO OFlCIALCapitulo IV

Ficheros y responsables de flcheros de datos person alesArt. 22. Obligatoriedad de inscripci6n en el registro de ficherosde datosTodo rcsponsable de fichero de datos debera inscribirse en el Registrode ficheros de datos que al efccto habilite la Direccion de Protecci6nde Datos Personales y esperar en el termino de treinta dias laresolucion de su inscripcion.EI registro de ficheros de datos debe recabar la siguiente informacion:a) Nombre y dornicilio del responsable, ya sea persona natural 0juridica con toda la descripci6n de la raz6n social, fecha de constitucion,objeto y representante legal;b) Naturaleza de los datos personales contenidos en cada fichero dedatos;c) Forma, tiempo y lugar de recolecci6n y actualizacion de datos;d) Destino de los datos y personas naturales 0 juridicas a las quepueden ser transrnitidos:e) Modo de interrelacionar la informaci6n registrada;f) Medios utilizados para garantizar la seguridad de los datos, debiendodetallar nombre y domicilio de las personas que intervienen en lacolecta y tratamicnto de los datos;g) Tiempo de conservaci6n de los datos; yh) Forma y procedimientos en que las personas pueden acceder a losficheros de datos personales para realizar la rectificaci6n, modificaci6n,supresi6n, complementaci6n, inclusion, actualizaci6n y cancelaci6nde los mismos segun concierna.En los fieheros ninguna persona podra po seer datos personales denaturaleza distinta a los declarados, cualquier modificacion a lainformaci6n contenida en los ficheros de datos personales debe sercomunicada por el responsable a la Direcci6n de Datos Personalesdentro de los cinco dias habiles siguientes en que haya tenido Jugar.EI incumplimiento de estos requisitos dara lugar a las sancionesprevistas en la presente Ley.Art.23. Ficheros de datos publico y privadoLos ficheros de datos publico y privado, s610 se pueden, crear,modificar 0 extinguir por medio de disposiciones establecidas en lapresente Ley.Las disposiciones del parrafo anterior, deben indicar: caracteristicasy finalidad del fichero de datos; personas respecto de las cuales sepretenda obtener datos y el caracter facultativo u obligatorio de susuministro por parte de aquellas,En las disposiciones que se dicten para la supresion de los ficheros dedatos pcrsonales se establecera el destino de los mismos 0 las medidasque se adopten para su destruccion,Art. 24. Excepcionalidad en el uso de los datos personalesLos ficheros de datos personales que por ser colectados y tratadospara fines administrativos, deben permanecer cinco anos y estaransujetos al regimen general de esta ley.

La colecta y el tratamiento de datos personales con fines de seguridaddefensa nacional 0seguridad publica porparte de losorganos deinteligencde la Policia Nacional y el Ejerci to de Nicaragua, sin consentimientolos titulares, queda limitado a 1 0 necesario para el estricto cumplimientde las misiones legal mente asignadas para la seguridad nacional, defennacional, seguridad publica 0para lainvestigaci6n de los delitos con for10establecido en la Constitucion Politic a de la Republica de Nicaragualeyes de la materia.

Los ficheros dedatos, en tales casos, deberan serespecificos y establecidoal efecto, debiendo clasificarse por categorias, en funcion de su gradofiabilidad, Los datos personales obtenidos para fines policiales secancelarcuando no sean necesarios para las averiguaciones que motivaronregistro,Art. 25. Delos flcherosdedatos destinadosal enviodepublicidpromociones,ofertas y ventadirecta deproductos, blenesy servicLos ficheros de datos destinados al envio de publicidad, promocioneofertas y venta directa de productos, bienes y servicios u otras actividadanalogas solo pueden incorporar datos personales con el consentimientdel titular de los mismos, cuando esta los ha facilitado, 0 cuando los daobren en fuentes accesibles al publico.

Eltitular de los datos podra ejercer el derecho de acceso sin cargo alguny en cualquier momento podra solici tar su supresi6n de los ficherosdatos a los que se refiere el presente articulo.Art. 26. Del envio de publicidadEl envio de publicidad y promociones, a traves de medios electronicodebe ofrccer la posibilidad al destinatario titular de datos personalesexpresar su negativa a seguir recibiendo envies publicitariospromocionales debienes y servicios 0,en su caso, revocar su consentimiende una forma clara y gratuita.Las empresas 0 instituciones que se dedican a actividades de marketinenvies publicitarios y promocionales electronicos deberan protegermediante un contrato que establezca que los datos personales que figuren unfichero dedatos han sido obtenidoscon elconsentimiento inequivoce informado de los titulares 0 que estos han sido obtenidos de fuentesacceso publico.Art. 27. Datos relativos a las encuestasLas normas de la presente Ley no se aplicaran a las encuestasopini6n; investigaciones cientificas 0medicas, ya las actividadesanalogas,Lo anterior es aplicable cuando los datos personales hayan siobtenidos con el consentimiento expreso ya sea por escrito, pmedios electronic os, opticos 0 por cualquier otra tecnologia, 0 psignos inequivocos del titular y destinados exclusivamentecumplimiento de la finalidad para 1 0 que fueron solicitados. Estdatos solo pueden cederse previo consentimiento del titular.

Capitulo VDe la Direcci6n de Proteccien de Datos Personales

Art. 28. Creaclan de la Dlrecclen de protecci6n de datpersonalesCrease la Direccion de Proteccion de Datos Personales adscritaMinisterio de Hacienda y Credito Publico, que contara con un Directdesignado por la maxima autoridad administrativa de dicho ministeriy que tiene por objeto el control, supervisi6n y protecci6n dtratamiento de los datos personales contenidos en ficheros de datde naturaleza publica y privada.

2406


6/9

29-03-12 61A GACET A - DIARIO OFICIALArt. 29. Funciones de la Direcci6n de Protecci6n de DatosPersonalesCorresponde a la Direcci6n de Protecci6n de Datos Personales lassiguientes funciones:a) Asesorar a las personas naturales yjuridicas que 10 requieran acercadel contenido y alcance de la presente Ley;b) Dictar las normas y disposiciones administrat ivas necesarias parala realizaci6n de su objeto en el ambito de su competencia;c) Dictar y vigilar que las normas sobre confidencialidad, integridady seguridad de los datos personales se respeten y apliquen por losti tulares de los ficheros de datos correspondientes;d) Solicitar la informaci6n que requiera para el cumplimiento de suobjeto a las entidades publicas y privadas titulares de los ficheros dedatos, garantizando en todo caso Ia seguridad, la integridad yconfidencialidad de la informacion;e) Imponer las sanciones administrativas que correspondan a losinfractores de esta Ley;t) Formular y presentar las denuncias por violaciones a 10 dispuestoen esta Ley ante la autoridad correspondiente;g) Verificar que los ficheros de datos personales tengan los requisi tosnecesarios para que proceda su inscripci6n en el registro de ficherosde datos;h) Acreditar a los inspectores para la supervisi6n y vigilancia de losresponsables de los ficheros de datos personales;i) Promover modelos de autorregulacion, cuando esto sea posible, ycomo mecanismo adicional para garantizar el derecho a laautodeterminaci6n informativa de toda persona, siempre y cuandoestos modelos representen un valor ai'ladido en su contenido conrespecto a la dispuesto en la presente Ley y su Reglamento, contengano esten acompai'lados de elementos que permitan medir su nivel deeficacia en cuanto al cumplimiento y nivel de protecci6n de lapersonafrente al tratamiento de sus datos personales y se prevean medidas encaso de incumplimiento de los modelos autorregulatorios;j) Dar su opini6n en todos los proyectos de ley y reglamentos quepudieran tener incidencia en la validez y garantia del derecho a laautodeterminaci6n informativa;k) Divulgarel contenido y extensi6n del derecho a la autodeterminaci6ninformativa a la poblaci6n y al resto de los Poderes e instituciones delEstado; yI) Cooperar con otras autoridades de proteccion de datos a nivelintemacional para el cumplimiento de sus competencias y generar losmecanismos de cooperaci6n bilateral y multilateral para asistirse entresl y prestarse el debido auxilio mutuo cuando se requiera;Art. 30. Sobre el registro de ficheros de datosLa Direcci6n de Protecci6n de Datos Personales, habili tara el registrode ficheros de datos personales con el objeto de contar de maneraactualizada y completa los ficheros de datos personales publicos yprivados. Los responsables de ficheros de datos personales deberanbrindar la informaci6n establecida en la presente Ley.Art.31. De los inspectores

La Direccion de Protecci6n de Datos Personales, debera tener personacalificado que realice la funci6n de inspectores.Art. 32. De los procedimientos de inspecci6nLos procedimientos de inspeccion para los ficheros de datos tanpublicos como privados, son actividades de visita, verificaci6n y contromediante las cuales los inspectores debidamente identificados, estafacultados para revisar los ficheros de datos de acuerdo al programavisitas, y que se encuentren operando enel almacenamiento de datos, seaestos publicos y privados dentro del terri torio nacional con el objetivde establecer el grado de cumpl imiento de las normas regulatorias de esactividad 0 de brindar a las autoridades de la Direccion de ProteccionDatos Personales mayores elementos de juicio para la adopcion de uresoluci6n con afectacion a terceros 0 no.Art. 33. Requisitos de acreditaclon del inspector de ficherosPara larealizacion de su labor. todo inspector, debera portae el documentooficial emitido por la Direccion de Protecci6n de Datos Personales, qu10 acredita como tal. Los requisitos de la identificaci6n seran sei'laladoen el Reglamento de la presente Ley.Art. 34. De las responsabilidades y atribuciones del inspectorLas responsabil idades y atribuciones del inspector en el ejercicio defunci6n seran:a) Estar debidamente acreditado por la Direccion de Proteccion de DatoPersonales;b) Realizar inspecciones pordenuncia 0poroficio, mediante autorizacionjudicial competente;c) Atender debida y oportunamente el 0 los asuntos que Ie seaencomendados;d) Informar a sus superiores cualquier anomalia 0 circunstancia qudificulte la realizacion de su trabajo;e) No excederse de las atribuciones que le son encomendadas parainspecci6n de identificarse de previo y debidamente ante el inspeccionadof) Dirigir las inspecciones cuando estas sean realizadas en coordinacioncon otras instituciones;g) Aclarar al inspeccionado el motivo de la inspecci6n;h) Realizar los recorridos necesarios y levantar el acta de inspecci6n;i) Presentar en un plazo de tres dias habiles, despues de finalizadainspeccion, el acta respectiva con el informe completo de sus hallazgoa la Direcci6n de Proteccion de Datos Personales para que este conozcy resuelva conforme a derecho, con el apoyo de la fuerza publica 0demaautoridades competentes, si fuere el caso; yj) Solicitara laautoridadjudicial competente autorizaci6n para inspeccionalos inmuebles, equipos, herrarnientas, program as de captura y tratamientode datos personales. Asi como acceder a la informacion y lugareutilizados para el tratamiento de los datos personales y la exhibicionenvio de documentos y datos, para su correspondiente verificaci6n enlugar en que se encuentren depositados.Art. 35. De las obligaclones frente al requerimlento de inspeccl6Las personas naturales 0 juridicas cuyas actividades sean objeto dinspecci6n, tendran frente alrequerimiento de los inspectores, las siguienteobligaciones:

2407


7/9

29-03-12 61A GACET A - DIARIO OFICIALa) Permitir el acceso a sus ficheros de datos la presencia de losinspectores debidamente acreditados y con autorizaci6n judicialcornpetente;b) Facilitar y prestar la colaboracion necesaria en la inspecci6n;c) Brindar la informacion solicitada y los documentos, tales como:certificado de registro y autorizacion para operar como fichero dedatos, nombre y generales de ley del responsable del fichero de datos,documentos legales actualizados de la persona juridica, medidas deseguridad adoptada y demas que Iesean solicitados para comprobacionde su legalidad;d) Permitir la revision de los equipos en su caso; ye) Cualquier otra actividad requerida por el inspector para cumplir conlos objetivos de la inspecci6n de conformidad con la presente Ley ysu Reglamento.Art. 36. Del contenido del acta de inspeccilmUna vez realizada la inspecci6n, el inspector levantara el actacorrespondiente de inspecci6n en el Formato disei'lado para tal fin yconsignando al menos, 10 siguiente:a) Indicaci6n del lugar, fecha y hora en que se realiza la inspecci6n;b) Breve referencia de la orden de inspecci6n en caso de denunciaexpedida por la autoridad cornpetente y que motiva la realizaci6n deesta actividad, haciendo constar que copia de la misma Ie fue entregadaal inspeccionado;c) Datos generales con quien se coordin6 la inspecci6n, ya sea elresponsable, administrador, gerente, representante legal de la compai'lia,o simi lares; yd) EI detalle de los hallazgos de la inspeccion en materia de acciones,u omisiones, que constituyan cumplimiento de. las normas ydisposiciones regulatorias de la actividad 0 por el contrario quepresuman infracciones y faltas flagrantes 0 simuladas a las mismas,describiendolas con el mayor detalle y precisi6n posible.Art. 37. De la cemprebaclen de infraccionesSi al momento de la inspeccion se detectara y comprobara la existenciade infracciones graves 0 hechos que puedan constituir delitos, elinspector debera tomar las medidas preventivas necesarias en presenciade lapersona con quien se presento para hacer la inspeccion, debiendoasentarse 10 anterior en el acta de inspecci6n correspondiente ycomuniearlo de inmediato a su superior inmediato para que procedade conformidad a la Ley.Art. 38. Del tiempo de du raclon de la InspecclenEn el caso que la inspeccion tenga que prorrogarse por mas de un dia,o tenga que realizarse en dos 0mas lugares, se deberan levantar aetasparciales las que se deberan agregar al acta final de la inspeccion.Art. 39. De Ia pruebaLas aetas de los inspectores salvo impugnaci6n comprobada porfalsedad, constituye prueba para todos los efectos del procesoadministrat ivo. La negativa de los agentes de permitir 0 colaborar conla inspeccion de conformidad con estas disposiciones, se constituiraen presuncion de responsabil idad ante las imputaciones formuladasen su contra, de oficio 0 por denuncia.Art. 40. De la lnlelaclen de la lnspeccion

La inspeccion podra iniciarse de oficio para la verificaci6n preventiven el cumplimiento de las disposiciones regulatorias de la actividadtratamientos de datos personales 0 cuando existan indiciosincumplimiento de la presente Ley y su Reglamento.Art.41. De la inspeceien per denunciaLa inspeeci6n por denuncia podra iniciarse cuando un tercerodirectamente 0 a traves de la entidad que reciba la denuncia, seaMinisterio Publico 0 la Policia Nacional, ha dado noticia fundada aDireccion de Protecci6n de Datos Personales, 0 autoridades delegadapara la regulaci6n de esta actividad de proteccion de datos personalesde un hecho que puede constituir violacion 0 infraccion a las normaregulatorias establecidas en la presente Ley y su Reglamento.Art. 42. Contenldo de la den unciaPara los efectos, del articulo precedente, la denuncia debera efectuarspor escrito, eonteniendo al menos los siguientes datos:a) Nombres y apellidos, con las generales de ley del denunciante;b) Nombres y apellidos, con las generales de ley del denunciadocuando sea una personal natural ;

c) Raz6n social de la entidad y ubicacion, cuando el denunciado sea upersona juridica;d) La relacion de los hechos que constituyen lainfraccion 0 infraccionese) EI sefta lam iento de una direcci6n del denunciante para notificacioneen el proceso administrativo, segun el caso; yI) Lugar y fecha en donde se efectua la denuncia y la firma ddenunciante.Art. 43. Del contenido de Ia orden de inspeccl6nAdmitida ladenuncia, la Direccion de Protecci6n de Datos Personaleo la autoridad dele gada dictara una orden de inspecci6n, la que debecontener:a) EI nombre del propietario 0de la empresa, apoderado 0 representantlegal;b) Direccion 0 ubicacion;c) Fundamento y motivacion de la inspecci6n;d) Objetivos y alcanees de Lainspeccion;e) Solieitud de apoyo y facil idades a los inspeccionados;f) Nornbre completo del inspector 0 inspectores comisionados;g) Nombre y firma de la autoridad que ordena la inspeccion; yh) Lugar y fecha.Los detalles de procedimientos, diligencias y tramites de actadministrativos e inspecciones. relacionados con el tratamientodatos personales seran establecidos mediante Reglamento a lapresenLey.

Capitulo VIInfracclones y sanclones

Art. 44. Infracciones leves2408


8/9

61A GACETA - DlARIO OFICIALSon infracciones leves a esta ley, las siguientes:a) Tratar datos personales sin el consentimiento expreso ya sea porescrito, por medios clectronicos, opticos 0por cualquier otra tecnologia,IIpor signos inequivocos de su titular, cuanto la Icy asi 1 0 exija;b) Omitir la inclusion, complernentacion, rcctificacion, actualizacion,supresion 0 bloqueo, cancelacion, de oficio 0 a peticion del titular, delos datos personales que se encuentran en ficheros de datos publicosy privados;c) Incumplir las instrucciones dictadas por la Direccion de Protecci6nde Datos Personales;d) Obtener datos personales a traves de formularios u otros impresos,sin que figure en los mismos, en forma claramente legible, lasadvertencias que se utilizaran para crear ficheros; ye) Remitir publicidad a traves de medics electronicos, a titulares quehan manifcstado expresamcnte su negativa a recibirla .Art. 45. Infracciones gravesSon infracciones graves a esta Ley, las siguientes :a) EI tratamiento de d at os p e rs ona le s por rnedios fraudulentos 0 queinfrinjan las disposiciones contempladas en la prescntc Ley;b) Impedir uobstaculizar elejercicio del derecho a la autodetcrrninacioninformativa al titular de los datos personales, asi como negarinjustificadamentc la informacion solicitada;c) Violentar el secreto profesional que debe guardarse por disposicionde esta Ley;d) Reincidir en las infracciones leves;e) Mantencr fichcros de datos, i n rnu c bl cs , c qui po s 0 herramientas sinlas condiciones min i rna s de seguridad, integridad y confidencialidadrequeridas por las disposiciones aplicables; yf) Obstruir las inspecciones que real ice la Dircccion de Protcccion deDatos Personales,Art. 46. Sanciones admlnistratlvasSin perjuicio de las responsabilidades adm in istrativas de losresponsables 0 usuarios de los ficheros de datos publicos; de larcsponsabilidad por dafios y pcrjuicios derivados de la inobscrvanciade la presente Ley, y de las sanciones penales, a la Direccion deProteccion de Datos Pcrsonales corresponde aplicar las sancionesadministrativas de:a) Apercibirniento;b) Suspension de opcracioncs relacionadas con el tratamiento de losdatos personales; yc)Clausurao cancclacion de los fichcros de datos personalcs de maneratemporal 0 definitiva.En el casu de infracciones leves a esta ley, se aplicara al infractor,dcpendiendo de las circunstancias del caso, del dano causado y de lascondiciones del propio infractor, la sanci6n quc corrcsponda conformca los litcrales a) y b), de este articulo.En elcasu de infracciones graves, se impondra al infractor dependiendodc las circunstancias dcl caso, del dafto causado y dc las condiciones

del propio infractor, 1asancion que corresponda conforme alli tcralde este articulo.El Reglamento establecera cl procedimicnto para la aplicacion desanciones previstas.

Capitulo VIIDe las acciones de proteccien de datos person ales

Art. 47. Protecclen a traves de la via administrativaEl titular de los datos p ue d e im e r po n e r la accion de proteccion de datpersonales, en la via administrativa de conformidad a 1 0 cstablccido enpresente capitulo.Art. 48. Accion de protecelen de los datos personatesLa Direccion de Proteccion de Datos P e rs on a le s , e s cl6rgano cncargaddeconocery resolver laaccion de proteccion de datos personales mediandenuncia presentada por el titular en relacion al tratamiento de datpersonales que lesion en alguno de los derechos con te rnp lados en esta LeLa accion de proteccion de datos personales, procede:a) Para conocer de los datos personales que han sido objeto de tratamicnten ficheros de datos;b)Cuando schayan violentado las garantiasde conf id enc ial idad, i n t egridy seguridad en el tratamiento de los datos personates ;c)En los casos enque sepresuma la fa lsedad, inexacti tud , desactualizacioomision, total 0 parcial, 0 i lic itud de la informacion de que se trata, pacxigir su rcctificacion, actualizacion, rnodificacion, inclusion, supresioo cancelacion:d) Cuando sean lesionados algunos de los principios que rigen la caliddel tratamiento de datos person ales, en el ambito publico y privado;e) Para acceder a informacion que se encuen t r e en poder de cualquicntidad publica y privada de la que g e n e re n , p ro du zc an , proeescnposean, informacion personal, en expedientes, estudios, dictamcncopiniones, datos cstadisticos, informcs tecnicos y cualquier documentque laadministracion publicae las cntidades privadas tengan en supodyt) Para cxigir la rcctificacion, actualizacion, modificacion, inclusiocornplernentacion, supresion, bloqueo 0cancelacion de datos personaletratados cn fichcros dc datos de entidades publicas o de institucioneprivadas que brinden servicio 0acceso a terceros, ya sea de forma manuamccanica 0 informatica, cuando sc presuma la falscdad, inexactituddesactualizacion, omision total 0parcial 0lailicitud de la informacionque se trate.Art, 49. Legitimation activaLa accion de proteccion de los datos personales podra ser ejercida portitular, sus tutores y los sucesores de las personas naturales, p or s i 0 pintermedio de un apoderado. Cuando la accion sea ejercida por personj uridicas, debera scr interpuesta por sus reprcscntantcs legales o apoderadoque estas designen al efecto,Art. 50. Legitimation pasivaLa accion procede respecto de los responsables y usuaries de los ficherdc datos pcrsonalcs publicos y privados.Art.51. De las excepcionesLos responsables de los ficheros de datos nopueden alegarconfidencialidadde la informacion que se lcs requicra, salvo en el casu de que se afect

2409


9/9

29-03-12 61A GACETA - DlARIO OFICIALfuentcs de informacion periodlstica 0 sc trate de excepciones prcvistasen esta Ley.Art. 52. Proteccilm a traves de la via jurisdiccionalAgotada la viaadm inistrativa, mediante resolucion cmitida por laDireccionde Protccci6n de Datos Personales, cl titular de los datos puede hacer usode laviajurisdiccional, a traves de Recurso de Amparo, establecido cn laLey No. 49, "Ley de Amparo" texto refundido publicado en La Gaceta,Diario Oficial No. 212 del4 de noviembre de 2008. EIRecurso deAmparose u t il iz a ra m ien t ra s no exista una regulacion especifica que desarrolle laproteccion de los datos person ales en la via jurisdiccional.Los responsables de los ficheros de datos, podran impugnar todos losactos administrativos derivados de la presente ley, conforme losprocedimientos establecidos en la Ley No. 290, "Ley de Organizacion,Competencia y Proeedimientos del Poder Ejeeutivo" publieada en LaGaeeta, Diario Oficial No. 102 del 3 de junio de 1998, sus reformas y suReglamento. Agotada la via administrativa podran hacer uso de la viajurisdiccional correspondiente,

Capitulo VIIIDisposiciones transitorias

Art. 53. Obhgacien de inscripcion en el registroLos responsables de los ficheros de datos, existentes al momento de lapublicacion de la presente Ley y su Reglamento, deberan inscribirse encIRcgistro de Ficheros de Datos de la Direccion de Proteccion de DatosPersonales dentro del plazo de seis meses.Art. 54. Limitaciones del ambito de aplieacionQueda cxcluida de la aplicaci6n de la presente Ley, la informacionobtenida, mancj ada y rcguladapor laComisi6nNacional deMicro finanzas(CONAMI), por la Superintendencia de Baneos y de Otras lnstitucionesFinancieras (SIBOIF) y lasentidades autorizadas, supcrvisadas y reguladaspor estas lnst ituciones, asi como, la informacion sujeta a convenios deintcrcambio rccfproca para objeto de supervision entre entes nacionalessupervisores nacionales 0 extranjeros y las Ccntrales de Ricsgo Privadasque mancjan informacion crediticia, conforme 1 0 reguladoen sus respectivasLeyes y norrnas prudenciales dictadas por los Consejos Directivos de lasInstituciones seilaJadas. Todo 1 0 anterior es sin perjuicio de los principiosgenerales, los derechos de los titulares de datos, asi como las limitaeionescstablecidas en la prescnte Ley.

Capitulo IXDisposiciones finales

Art. 55. ReglamentaclonLa presente Ley sera reglamentada de conformidad a 1 0 previsto en elnumeral I()del articulo 150de la Constituci6n Politica de la Republica deNicaragua, dentro de los sesenta dias posteriores a su vigencia.Art. 56. VigenciaLapresente Ley entrara envigencia apartir de supublicacion en LaGaceta,Diario Oficial.Dada en la ciudad de Managua, en la Sala de Sesiones de la AsambleaNacional de laRepublica deNicaragua, a los veintiun diasdel mes demarzodel afio dos mil doce.Ing. Rene NuftezTellez, Presidente dc laAsamblcaNaeional. Lie. Alba Palacios Benavidez, Secretaria de IaAsambleaNacional.Por tanto. Tengase como Ley de la Republica. Publiquese y Ejecutese.Managua, vcintisiete deMarzo del ano dos mil once. DANIEL ORTEGASAAVEDRA, PRESIDENTE DE LA REPUALICA DE NICARAGUA.

2410

Ley No.787 Ley de Datos Personales-La Gaceta

Documents

Transcript of Ley No.787 Ley de Datos Personales-La Gaceta