Chile: Se Aprobó En General El Proyecto De Ley Que Modifica La Ley De Protección De Datos: Éste Es Su Contenido.

Last Updated: 21 May 2018
Article by Guillermo Carey and Paulina Silva

En el Senado actualmente se tramita un proyecto de ley que modifica sustancialmente la Ley de Protección de Datos N° 19,628.

La Comisión de Constitución del Senado refundió en un solo texto dos proyectos de ley de modificación a la Ley de Protección de datos: la Moción de los Senadores Harboe, Araya, De Urresti, Espina y Larraín, con el Mensaje de la ex Presidenta, cuyo contenido comentamos profundamente hace un año.

El martes 3 de abril el Senado aprobó en general el texto del proyecto refundido, por 42 votos a favor y una abstención. Para que se transforme en ley falta aún la discusión en particular en el Senado, y su discusión en la Cámara de Diputados.

El siguiente es un resumen de los aspectos principales de la actual versión del proyecto de ley.

1.- NOVEDADES DEL PROYECTO

  • Establece expresamente principios que regulan e informan el uso de los datos personales y nuevos derechos de los titulares de los datos.
  • Modifica el alcance de dato personal: "cualquier información vinculada o referida a una persona natural, identificada o identificable", calificando esa identificabilidad cuando la identidad de la persona pueda determinarse mediante información combinada con otros datos, en particular mediante un identificador; excluyendo aquellos casos en que el esfuerzo de identificación sea desproporcionado.
  • Regula en mayor detalle los requisitos del consentimiento, definiéndolo como una manifestación de voluntad libre, específica, inequívoca e informada; y eliminando el requisito de consentimiento escrito.
  • Establece nuevas fuentes de licitud para el tratamiento, distintas del tratamiento binario "autorización legal o consentimiento" de la ley actual. Es decir, se establecen escenarios donde el tratamiento es autorizado aun sin requerir el consentimiento del titular.
  • Diferencia conceptualmente la cesión de la comunicación (o transmisión) de datos personales. La cesión es el traspaso de responsable a responsable y exige el cumplimiento de requisitos especiales. La comunicación, en cambio, involucra el dar a conocer los datos "sin llegar a cederlos".
  • Establece categorías especiales de datos personales sujetos a regulación especial: Los de niños y adolescentes; los que se utilizan con fines históricos, estadísticos o científicos; y datos de geolocalización.
  • Establece y regula en forma clara los derechos de los titulares de datos: Acceso, rectificación, cancelación, oposición y portabilidad.
  • Establece un nuevo derecho de oposición a valoraciones personales automatizadas del titular de datos a oponerse a que el responsable adopte decisiones que le afecten significativamente en forma negativa o le produzcan efectos jurídicos adversos, basadas únicamente en el tratamiento automatizado de sus datos personales, incluida la elaboración de perfiles.
  • Crea una Agencia de Protección de Datos Personales con la capacidad de fiscalizar y sancionar los incumplimientos de la ley mediante la aplicación de multas de hasta 5.000 UTM (CLP 236.500.000, a abril de 2018).
  • Crea un Registro Nacional de Cumplimiento y Sanciones.
  • Establece nuevos procedimientos para perseguir responsabilidades.
  • Regula por primera vez la transferencia internacional de datos personales.
  • Establece por primera vez deberes asociados a la seguridad de los datos: El deber de adoptar medidas de seguridad, y obligaciones de reporte de violación de medidas de seguridad.
  • Establece la posibilidad de adopción de modelos de prevención de infracciones, asociado a atenuantes de responsabilidad, los que deben ser certificados por la autoridad.

2.- ALCANCE

El proyecto regula el tratamiento de datos personales que efectúen personas naturales y jurídicas, públicas o privadas, que no se encuentren regidos por una ley especial.

La ley no se aplica al tratamiento que se realicen los medios de comunicación social en el ejercicio de las libertades de emitir opinión e informar, y al tratamiento que efectúan las personas naturales en relación con sus actividades personales.

3.- PRINCIPIOS

  • Principio de licitud: Sólo puede hacerse tratamiento de datos personales con sujeción a la ley.
  • Principio de finalidad: los datos se deben recolectar con fines específicos, explícitos y lícitos; y el tratamiento debe limitarse al cumplimiento de esos fines. Ciertas excepciones permiten tratar los datos con fines distintos a los informados, como la existencia de una relación contractual que lo justifique, o la proveniencia de los datos de una fuente de acceso público.
  • Principio de proporcionalidad: Los datos que se traten deben limitarse a los necesarios en relación con los fines del tratamiento, y deben conservarse sólo por el tiempo que sea necesario para cumplir con esos fines. Un período de tiempo mayor requiere obtener una nueva autorización legal o consentimiento del titular.
  • Principio de calidad: los datos personales deben ser exactos, completos y actuales, en relación con los fines del tratamiento.
  • Principio de responsabilidad:quienes realicen tratamiento de datos personales serán legalmente responsables de cumplir con los principios y obligaciones legales.
  • Principio de seguridad: se deben garantizar estándares adecuados de seguridad, protegiendo los datos contra el tratamiento no autorizado, pérdida, filtración, daño o destrucción, aplicando medidas técnicas u organizativas apropiadas.
  • Principio de transparencia e información: Las políticas de tratamiento de datos deben estar permanentemente accesibles, de manera precisa, clara, inequívoca y gratuita.
  • Principio de confidencialidad: El responsable y quienes tengan acceso a los datos deben guardar secreto acerca de aquellos. El responsable debe establecer controles adecuados para preservar el secreto. Este deber subsiste aún después de concluida la relación con el titular.

4.- DERECHOS DE LOS TITULARES, LOS "DERECHOS ARCOP"

Derechos personales, intransferibles e irrenunciables, pero transmisibles: Pueden ser ejercidos por los herederos del titular.

  • Derecho de acceso: Solicitar y obtener confirmación acerca de si sus datos personales están siendo tratados, accediendo a: (i) los datos tratados y su origen; (ii) la finalidad del tratamiento; (iii) los destinatarios a quienes se han comunicado o cedido o se prevé comunicar o ceder y (iv) el periodo de tiempo durante el cual serán tratados. El proyecto contempla ciertas excepciones a este derecho.
  • Derecho de rectificación: Derecho a solicitarla cuando los datos son inexactos, desactualizados o incompletos.
  • Derecho de cancelación: Derecho a pedir la destrucción de los datos, en escenarios tales como (i) cuando no son necesarios en relación con los fines para el cual fueron recogidos; (ii) cuando se haya revocado el consentimiento; (iii) cuando hayan sido obtenidos o tratadas ilícitamente por el responsable; entre otros.
  • Derecho de oposición: Derecho solicitar que no se lleve a cabo un tratamiento determinado, si (i) afecta sus derechos y libertades fundamentales; (ii) se realiza exclusivamente con fines de marketing directo, salvo que exista un contrato entre titular y el responsable; (iii) el titular de datos ha fallecido; o (iv) se realiza respecto de datos obtenidos de una fuente de acceso público.
  • Derecho de portabilidad: Derecho a obtener una copia de los datos personales de manera estructurada, en un formato genérico y de uso común, que permita ser operado por distintos sistemas y comunicarlos a otro responsable, cuando (i) el titular haya entregado sus datos directamente al responsable; (ii) sea un volumen relevante de datos, tratados de forma automatizada; y (iii) la base el titular haya dado su consentimiento para el tratamiento o se requiera para la ejecución o el cumplimiento de un contrato.

Plazo para pronunciarse: El responsable debe pronunciarse en quince días hábiles desde la fecha de ingreso de la solicitud.

5.- CONSENTIMIENTO Y OTRAS FUENTES DE LICITUD

El consentimiento es tratado como la regla general: El tratamiento es lícito si el titular otorga su consentimiento.

El consentimiento debe ser libre, informado, específico en cuanto a su finalidad e inequívoco. Con esto, se elimina el anacrónico requisito del consentimiento puramente escrito.

El consentimiento es revocable sin expresión de causa, pero sin efectos retroactivos.

No podrá ser el consentimiento fuente de licitud si existe un desequilibrio ostensible entre la posición del titular y el responsable. En estos casos, el responsable deberá acudir a otra fuente de licitud para justificar su tratamiento.

  • OTRAS FUENTES DE LICITUD. Es lícito el tratamiento de datos personales, aún sin consentimiento:

    1. Si los datos han sido recolectados de una fuente de acceso público y su tratamiento está relacionado con los fines para los cuales fueron entregados;
    2. Cuando el dato es relativo a obligaciones de carácter económico, financiero, bancario o comercial;
    3. Si el tratamiento es necesario para la ejecución o cumplimiento de una obligación legal;
    4. Si el tratamiento es necesario para la celebración o ejecución de un contrato entre el titular y el responsable.
    5. Si el tratamiento es necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que no se afecten los derechos y libertades del titular.
    6. Si es necesario para la defensa de un derecho en juicio.

6.- CESIÓN DE DATOS

El proyecto no define la cesión, pero entendemos que existe cuando los datos se transfieran de un responsable a otro.

La cesión es permitida cuando (i) el titular consienta en ella y para el cumplimiento de los fines del tratamiento; (ii) sea necesaria para la ejecución de un contrato en que es parte el titular; (iii) exista un interés legítimo del cedente o del cesionario y (iv) lo disponga la ley.

La cesión debe constar por escrito o a través de cualquier medio electrónico idóneo, y debe cumplir ciertos requisitos y menciones. El cesionario adquiere la calidad de responsable respecto de los datos cedidos, y su tratamiento debe ceñirse a las finalidades del contrato cesión. El cedente mantiene la calidad de responsable respecto de las operaciones que continúe realizando.

Si se verifica una cesión de datos sin el consentimiento del titular, siendo éste necesario, la cesión será nula.

7.- TRATAMIENTO POR PARTE DE UN MANDATARIO O ENCARGADO

Se puede efectuar el tratamiento a través de un mandatario, quien sólo puede hacerlo conforme a las instrucciones del responsable. Si el mandatario se extralimita en el tratamiento, se le considerará responsable de datos para todos los efectos, debiendo responder por las infracciones y solidariamente por los daños que ocasione, sin perjuicio de las responsabilidades contractuales que le correspondan frente al mandante.

El tratamiento que realice el mandatario se regirá por el contrato que celebre con el responsable, que deberá tener menciones especiales. La Agencia en su página web publicará modelos tipo de contratos.

El mandatario debe cumplir con las obligaciones de confidencialidad, seguridad de los datos y notificación de brechas, de la misma forma que el responsable.

8.- OBLIGACIONES DEL RESPONSABLE DE DATOS

Entre las obligaciones del responsable de los datos, destacamos:

  • Deber de confidencialidadrespecto de los datos personales, salvo que provengan de acceso público o que el titular los haya hecho manifiestamente públicos. El responsable debe adoptar las medidas necesarias para que los dependientes bajo su responsabilidad cumplan el mismo deber.
  • Deber de información y transparencia, manteniendo permanentemente a disposición del público información relativa a:

    1. su política de tratamiento de datos, la fecha y versión;
    2. la individualización del responsable, su representante legal y su encargado de prevención, si lo hubiera;
    3. el medio tecnológico por el cual los titulares pueden notificarle sus solicitudes;
    4. los tipos de datos que trata y sus características, los destinatarios a los que se prevé comunicarlos o cederlos, las finalidades de los tratamientos que realiza y los tratamientos que se basan en la satisfacción de intereses legítimos;
    5. las políticas y las medidas de seguridad para proteger los datos que administra;
    6. el derecho del titular para solicitar sus derechos ARCOP.
  • Deber de adoptar medidas de seguridad necesarias, considerando el estado de la técnica, los costos de su aplicación, la naturaleza y los fines del tratamiento, la probabilidad de los riesgos y la gravedad de sus efectos en relación con el tipo de datos. Las medidas deben asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos. El responsable tiene la carga de la prueba respecto de la existencia y funcionamiento de las medidas de seguridad.
  • Deber de reportar las vulneraciones a las medidas de seguridad a la Agencia de Protección de Datos Personales, "sin dilaciones indebidas", cuando:

    1. la vulneración ocasione la destrucción, filtración, pérdida, alteración, comunicación o acceso no autorizado de los datos personales que trate.
    2. exista un riesgo razonable que con ocasión de estos incidentes se genere un perjuicio para los titulares.

Si los datos objeto de la brecha son sensibles, o relativos a obligaciones económicas, financieras, bancarias o comerciales, el responsable debe comunicar la vulneración a los titulares, junto con las medidas para gestionarlos y precaver incidentes futuros.

9.- DATOS SENSIBLES Y CATEGORÍAS ESPECIALES DE DATOS

9.1 DATOS SENSIBLES

El proyecto los define como aquellos que revelen el origen étnico o racial, la afiliación política, sindical o gremial, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género.

Los datos sensibles sólo pueden tratarse con el consentimiento expreso otorgado a través de una declaración escrita, verbal o por un medio tecnológico equivalente.

Otras bases de licitud diferentes del consentimiento para el tratamiento de datos sensibles:

  • Si los datos sensibles han sido hechos manifiestamente públicos por el titular y su tratamiento esté relacionado con los fines para los cuales fueron publicados.
  • El tratamiento basado en interés legítimo, realizado por una persona jurídica sin fines de lucro, bajo ciertas condiciones.
  • Si el tratamiento es indispensable para resguardar la vida, salud o integridad del titular o de otra persona o el titular se encuentra física o jurídicamente impedido de otorgar su consentimiento.
  • Si el tratamiento es necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia.
  • Si el tratamiento es necesario para el ejercicio de derechos y el cumplimiento de obligaciones del responsable o del titular de datos, en el ámbito laboral o de seguridad social.
  • Autorización legal expresa.

Otros datos sensibles con regulación especial:

  • Los datos sensibles relativos a la salud sólo pueden ser tratados cuando sean necesarios para el diagnóstico o tratamiento médico; exista una urgencia médica; se deba calificar el grado de dependencia o discapacidad de una persona; el tratamiento sea indispensable para el cumplimiento de un contrato que exija tratar este tipo de datos; para fines históricos, estadísticos o científicos (en ciertas circunstancias); para el ejercicio o defensa de un derecho en tribunales; o cuando la finalidad del tratamiento quede establecida en la ley.
  • Los datos relativos al perfil biológico humano, como los datos genéticos, proteómicos o metabólicos solo pueden ser tratados para realizar diagnósticos médicos, prestar asistencia en caso de urgencia, efectuar estudios o investigaciones científicas, médicas o epidemiológicas que vayan en beneficio de la salud humana o investigaciones antropológicas, arqueológicas o de medicina forense, o ejercer un derecho en tribunales.
  • Quien trate datos personales biométricos como la huella digital, el iris, los rasgos de la mano o faciales y la voz; deberá proporcionar al titular información sobre el sistema biométrico usado, la finalidad específica de recolección, el período por el que los datos serán utilizados, y deberá cumplir con un reglamento que regulará la implementación de los sistemas biométricos.

9.2 DATOS ESPECIALES

  • Datos personales relativos a niños y adolescentes. Por regla general, los datos de niños (hombres y mujeres menores de 14 años) sólo pueden tratarse atendiendo a su interés superior y respetando su autonomía progresiva, previa autorización de sus padres o representantes. Los datos de adolescentes (hombres y mujeres mayores de 14 y menores de 18 años) tendrán el tratamiento de los de los adultos, a excepción de sus datos sensibles, los que deberán ser objeto de autorización de sus padres o representantes.
  • Datos tratados con fines históricos, estadísticos, científicos y de estudios o investigaciones con fines de interés público. Existe un interés legítimo –como fuente de licitud del tratamiento distinta del consentimiento– para este tipo de tratamiento.
  • Los responsables deberán adoptar y acreditar que han cumplido con todas las medidas de calidad y seguridad necesarias para resguardar que los datos se utilicen exclusivamente para tales fines, adoptando las medidas de calidad y seguridad necesarias para resguardar que se utilicen solo para esos fines; en cuyo caso el responsable podrá tratar los datos por un período indeterminado de tiempo.
  • Datos de geolocalización. Siguen las reglas generales de bases de licitud de todo tratamiento de datos. Debe además informarse claramente al titular del tipo de datos de geolocalización que serán tratados y de la duración del tratamiento, entre otras materias.

10.- TRATAMIENTO POR ORGANISMOS PÚBLICOS

Es lícito el tratamiento de los datos personales que efectúan los órganos públicos cuando se realiza para el cumplimiento de sus funciones legales, dentro del ámbito de sus competencias, en cuyo caso no requieren de consentimiento.

Además de los principios generales del tratamiento de datos personales, el Proyecto señala como principios orientadores del tratamiento de datos por organismos públicos los de coordinación, eficiencia, transparencia y publicidad.

El titular de datos podrá ejercer ante los organismos públicos los derechos de acceso, rectificación, oposición y cancelación. Estas solicitudes no serán acogidas si con ello se impide o entorpece el cumplimiento de las funciones fiscalizadoras, investigativas o sancionatorias del organismo público, o si se afecta un deber legal de secreto o reserva.

El titular podrá reclamar ante la Agencia de Protección de Datos Personales cuando el organismo público le haya denegado, en forma expresa o tácita, una solicitud en que ejerza cualquiera de los derechos que le reconoce esta ley.

El Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral, y los demás tribunales especiales creados por ley quedan excluidos de la regulación, fiscalización o supervigilancia de la Agencia de Protección de Datos Personales.

11.- AGENCIA DE PROTECCIÓN DE DATOS PERSONALES

Se crea una Agencia de Protección de Datos Personales, un organismo público, autónomo, descentralizado, de carácter técnico, con personalidad jurídica y patrimonio propio, sometido a la supervigilancia del Presidente de la República a través del Ministerio de Hacienda y encargado de velar por el cumplimiento de la normativa relativa al tratamiento de datos personales y su protección. La Agencia estará afecta al Sistema de Alta Dirección Pública.

Con domicilio en Santiago, su dirección y administración superior estarán a cargo de un Director, que será el jefe superior del servicio, y que será designado por el Presidente de la República, con acuerdo del Senado, adoptado por la mayoría absoluta de sus miembros en ejercicio.

La Agencia será un órgano con amplias facultades, incluyendo:

  • Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias cuyo cumplimiento le corresponda vigilar.
  • Impartir instrucciones generales.
  • Fiscalizar el cumplimiento de los principios, derechos y obligaciones de la ley.
  • Resolver las solicitudes y reclamaciones de los titulares de datos.
  • Investigar y determinar las infracciones de los responsables de datos y ejercer la potestad sancionatoria de acuerdo a la ley.
  • Adoptar las medidas preventivas o correctivas que disponga la ley.
  • Proponer al Presidente normas legales y reglamentarias para asegurar la protección de los datos personales y perfeccionar la regulación.
  • Desarrollar programas de difusión y educación en relación al respeto y protección del derecho a la vida privada.
  • Administrar el Registro Nacional de Cumplimiento y Sanciones.

Se crea un Registro Nacional de Cumplimiento y Sanciones, de carácter público y administrado por la Agencia, que consignará las sanciones impuestas a los responsables de datos, los modelos de prevención de infracciones y los programas de cumplimiento debidamente certificados. Este registro se llevará y consultará en forma electrónica y su acceso será gratuito.

12.- TRANSFERENCIA INTERNACIONAL DE DATOS

El Proyecto regula por primera vez la transferencia internacional de datos personales, estableciendo los casos en que ella se considerará lícita.

  • Cuando la trasferencia se realice a una persona sujeta al ordenamiento jurídico de un país que proporcione niveles adecuados de protección, entendiendo por tal a aquel que cumple con estándares similares o superiores a los de la ley de protección de datos. La Agencia determinará los países con niveles adecuados de protección de datos, considerando los elementos que establece la ley.
  • Cuando quede amparada por cláusulas contractuales u otros instrumentos jurídicos suscritos entre el responsable que efectúa la transferencia y el que la recibe, estableciendo en ellos los derechos y garantías de los titulares, las obligaciones de los responsables y los medios de control.
  • Cuando el responsable que efectúa la transferencia y el que la recibe, adopten un modelo de cumplimiento o autorregulación vinculante y certificado de acuerdo a la legislación de cada uno de ellos.
  • Cuando exista consentimiento expreso del titular de datos para realizar una transferencia internacional de datos específica y determinada.
  • Cuando se refiera a transferencias bancarias, financieras o bursátiles específicas.
  • Cuando se efectúe entre sociedades o entidades que pertenezcan a un mismo grupo empresarial, empresas relacionadas o sujetas a un mismo controlador en los términos previstos en la Ley de Mercado de Valores, siempre que todas ellas operen bajo los mismos estándares y políticas en materia de tratamiento de datos personales. En estos casos, el responsable que efectúe la transferencia asumirá la responsabilidad por cualquier infracción a los estándares y políticas corporativas vinculantes en que incurra alguno de los miembros de su grupo empresarial.
  • Cuando sea necesaria para la celebración o ejecución de un contrato entre titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.

La Agencia fiscalizará las operaciones de transferencia internacional, pudiendo formular recomendaciones, adoptar medidas conservativas y en casos calificados, suspender temporalmente el envío de los datos.

13.- INFRACCIONES Y SANCIONES

El proyecto clasifica las infracciones de los responsables que sean personas jurídicas privadas en leves, graves y gravísimas, y contempla penas de multas que van desde 1 a 5000 UTM (aproximadamente de CLP 47.300 a CLP 236.500.000, a abril de 2018).

Se establecen criterios para la determinación de la cuantía de la multa, dentro de los cuales se contemplan circunstancias atenuantes de responsabilidad:

  • Las acciones unilaterales de reparación y los acuerdos reparatorios convenidos entre el responsable y el titular afectado.
  • La colaboración del infractor en la investigación administrativa.
  • La ausencia de sanciones previas.
  • La autodenuncia ante la Agencia, debiendo comunicar las medidas adoptadas para el cese de la infracción.
  • El haber cumplido diligentemente sus deberes de dirección y supervisión para la protección de datos personales sujetos a tratamiento, lo que se verificará con la certificación de la Agencia para los modelos de prevención y programas de cumplimiento que reúnen los requisitos legales.

El Proyecto también establece circunstancias agravantes de responsabilidad:

  • La reincidencia: Cuando el responsable ha sido sancionado en dos o más ocasiones en los últimos treinta meses.
  • El carácter continuado de la infracción.
  • El haber puesto en riesgo la seguridad de los titulares de datos personales.

Sanción de suspensión de las actividades de tratamiento de datos. Si se imponen multas por infracciones gravísimas reiteradas en un período de 24 meses, la Agencia podrá disponer la suspensión de las operaciones de tratamiento de datos que realiza el responsable hasta por 30 días, prorrogables indefinidamente por períodos de 30 días si el responsable no cumple lo dispuesto en la resolución de suspensión.

Prescripción de las acciones para sancionar las infracciones: Tres años desde la ocurrencia del hecho.

Acción por daños. Como regla general, el responsable de datos debe indemnizar el daño patrimonial y extrapatrimonial que cause al titular por infracción de la ley. Esta acción se tramita en conformidad al procedimiento sumario, y se interpone sólo una vez ejecutoriada la resolución que resolvió favorablemente el reclamo interpuesto ante la Agencia. Las acciones civiles prescriben en tres años desde que se encuentre ejecutoriada la resolución administrativa o la sentencia judicial, según sea el caso.

14.- NUEVOS PROCEDIMIENTOS

  • Procedimiento administrativo de tutela de derechos: Se ejerce por el titular ante la Agencia, y procede cuando el responsable haya denegado al titular una solicitud para ejercer cualquiera de los derechos que le reconoce la ley.
  • Procedimiento administrativo por infracción de ley: Es instruido por la Agencia como resultado de un proceso de fiscalización o a consecuencia de una reclamación presentada por un titular, para la determinación de infracciones por incumplimiento de los principios, derechos y obligaciones establecidas en la ley.
  • Procedimiento de reclamación judicial: Las personas agraviadas por una resolución de la Agencia podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones competente, en 15 días desde la notificación de la resolución impugnada.

15.- MODELO DE PREVENCIÓN DE INFRACCIONES

El proyecto establece la obligación de que los responsables de datos (públicos y privados) adopten mecanismos para prevenir la comisión de infracciones; y la posibilidad de adoptar un modelo de prevención de infracciones, que deben contener elementos como la designación de un encargado de prevención; y el establecimiento de un programa de cumplimiento que identifique ciertos elementos como los tipos de datos tratados, protocolos de operación y mecanismos de reporte.

La Agencia deberá certificar que el modelo de prevención de infracciones y el programa de cumplimiento reúnen los requisitos establecidos en la ley y su reglamento, y deberá supervisar su cumplimiento.

Los responsables de datos podrán atenuar su responsabilidad si acreditan haber cumplido fehacientemente sus deberes de dirección y supervisión para la protección de los datos personales bajo su responsabilidad y se considerará que esto ha sucedido si hubieren adoptado e implementado un modelo prevención de infracciones, certificado por la Agencia de Protección de Datos Personales. Estos certificados tendrán una vigencia de tres años, y bajo ciertas circunstancias podrán quedar sin efecto.

El proyecto ordena la dictación de un reglamento que establezca los requisitos, modalidades y procedimientos para la implementación, certificación, registro y supervisión de los modelos de prevención de infracciones y los programas de cumplimiento.

16.- VIGENCIA Y ARTÍCULOS TRANSITORIOS

El proyecto de ley entrará en vigencia en un año desde la publicación en el Diario Oficial.

Las bases de datos constituidas antes de la entrada en vigencia de la ley deberán adecuarse en dos años; sin perjuicio de que los titulares de datos puedan ejercer sus derechos ante el responsable de datos, desde la entrada en vigencia de la ley.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

To print this article, all you need is to be registered on Mondaq.com.

Click to Login as an existing user or Register so you can print this article.

Authors
Similar Articles
Relevancy Powered by MondaqAI
 
Some comments from our readers…
“The articles are extremely timely and highly applicable”
“I often find critical information not available elsewhere”
“As in-house counsel, Mondaq’s service is of great value”

Related Topics
 
Similar Articles
Relevancy Powered by MondaqAI
Related Articles
 
Up-coming Events Search
Tools
Print
Font Size:
Translation
Channels
Mondaq on Twitter
 
Mondaq Free Registration
Gain access to Mondaq global archive of over 375,000 articles covering 200 countries with a personalised News Alert and automatic login on this device.
Mondaq News Alert (some suggested topics and region)
Select Topics
Registration (please scroll down to set your data preferences)

Mondaq Ltd requires you to register and provide information that personally identifies you, including your content preferences, for three primary purposes (full details of Mondaq’s use of your personal data can be found in our Privacy and Cookies Notice):

  • To allow you to personalize the Mondaq websites you are visiting to show content ("Content") relevant to your interests.
  • To enable features such as password reminder, news alerts, email a colleague, and linking from Mondaq (and its affiliate sites) to your website.
  • To produce demographic feedback for our content providers ("Contributors") who contribute Content for free for your use.

Mondaq hopes that our registered users will support us in maintaining our free to view business model by consenting to our use of your personal data as described below.

Mondaq has a "free to view" business model. Our services are paid for by Contributors in exchange for Mondaq providing them with access to information about who accesses their content. Once personal data is transferred to our Contributors they become a data controller of this personal data. They use it to measure the response that their articles are receiving, as a form of market research. They may also use it to provide Mondaq users with information about their products and services.

Details of each Contributor to which your personal data will be transferred is clearly stated within the Content that you access. For full details of how this Contributor will use your personal data, you should review the Contributor’s own Privacy Notice.

Please indicate your preference below:

Yes, I am happy to support Mondaq in maintaining its free to view business model by agreeing to allow Mondaq to share my personal data with Contributors whose Content I access
No, I do not want Mondaq to share my personal data with Contributors

Also please let us know whether you are happy to receive communications promoting products and services offered by Mondaq:

Yes, I am happy to received promotional communications from Mondaq
No, please do not send me promotional communications from Mondaq
Terms & Conditions

Mondaq.com (the Website) is owned and managed by Mondaq Ltd (Mondaq). Mondaq grants you a non-exclusive, revocable licence to access the Website and associated services, such as the Mondaq News Alerts (Services), subject to and in consideration of your compliance with the following terms and conditions of use (Terms). Your use of the Website and/or Services constitutes your agreement to the Terms. Mondaq may terminate your use of the Website and Services if you are in breach of these Terms or if Mondaq decides to terminate the licence granted hereunder for any reason whatsoever.

Use of www.mondaq.com

To Use Mondaq.com you must be: eighteen (18) years old or over; legally capable of entering into binding contracts; and not in any way prohibited by the applicable law to enter into these Terms in the jurisdiction which you are currently located.

You may use the Website as an unregistered user, however, you are required to register as a user if you wish to read the full text of the Content or to receive the Services.

You may not modify, publish, transmit, transfer or sell, reproduce, create derivative works from, distribute, perform, link, display, or in any way exploit any of the Content, in whole or in part, except as expressly permitted in these Terms or with the prior written consent of Mondaq. You may not use electronic or other means to extract details or information from the Content. Nor shall you extract information about users or Contributors in order to offer them any services or products.

In your use of the Website and/or Services you shall: comply with all applicable laws, regulations, directives and legislations which apply to your Use of the Website and/or Services in whatever country you are physically located including without limitation any and all consumer law, export control laws and regulations; provide to us true, correct and accurate information and promptly inform us in the event that any information that you have provided to us changes or becomes inaccurate; notify Mondaq immediately of any circumstances where you have reason to believe that any Intellectual Property Rights or any other rights of any third party may have been infringed; co-operate with reasonable security or other checks or requests for information made by Mondaq from time to time; and at all times be fully liable for the breach of any of these Terms by a third party using your login details to access the Website and/or Services

however, you shall not: do anything likely to impair, interfere with or damage or cause harm or distress to any persons, or the network; do anything that will infringe any Intellectual Property Rights or other rights of Mondaq or any third party; or use the Website, Services and/or Content otherwise than in accordance with these Terms; use any trade marks or service marks of Mondaq or the Contributors, or do anything which may be seen to take unfair advantage of the reputation and goodwill of Mondaq or the Contributors, or the Website, Services and/or Content.

Mondaq reserves the right, in its sole discretion, to take any action that it deems necessary and appropriate in the event it considers that there is a breach or threatened breach of the Terms.

Mondaq’s Rights and Obligations

Unless otherwise expressly set out to the contrary, nothing in these Terms shall serve to transfer from Mondaq to you, any Intellectual Property Rights owned by and/or licensed to Mondaq and all rights, title and interest in and to such Intellectual Property Rights will remain exclusively with Mondaq and/or its licensors.

Mondaq shall use its reasonable endeavours to make the Website and Services available to you at all times, but we cannot guarantee an uninterrupted and fault free service.

Mondaq reserves the right to make changes to the services and/or the Website or part thereof, from time to time, and we may add, remove, modify and/or vary any elements of features and functionalities of the Website or the services.

Mondaq also reserves the right from time to time to monitor your Use of the Website and/or services.

Disclaimer

The Content is general information only. It is not intended to constitute legal advice or seek to be the complete and comprehensive statement of the law, nor is it intended to address your specific requirements or provide advice on which reliance should be placed. Mondaq and/or its Contributors and other suppliers make no representations about the suitability of the information contained in the Content for any purpose. All Content provided "as is" without warranty of any kind. Mondaq and/or its Contributors and other suppliers hereby exclude and disclaim all representations, warranties or guarantees with regard to the Content, including all implied warranties and conditions of merchantability, fitness for a particular purpose, title and non-infringement. To the maximum extent permitted by law, Mondaq expressly excludes all representations, warranties, obligations, and liabilities arising out of or in connection with all Content. In no event shall Mondaq and/or its respective suppliers be liable for any special, indirect or consequential damages or any damages whatsoever resulting from loss of use, data or profits, whether in an action of contract, negligence or other tortious action, arising out of or in connection with the use of the Content or performance of Mondaq’s Services.

General

Mondaq may alter or amend these Terms by amending them on the Website. By continuing to Use the Services and/or the Website after such amendment, you will be deemed to have accepted any amendment to these Terms.

These Terms shall be governed by and construed in accordance with the laws of England and Wales and you irrevocably submit to the exclusive jurisdiction of the courts of England and Wales to settle any dispute which may arise out of or in connection with these Terms. If you live outside the United Kingdom, English law shall apply only to the extent that English law shall not deprive you of any legal protection accorded in accordance with the law of the place where you are habitually resident ("Local Law"). In the event English law deprives you of any legal protection which is accorded to you under Local Law, then these terms shall be governed by Local Law and any dispute or claim arising out of or in connection with these Terms shall be subject to the non-exclusive jurisdiction of the courts where you are habitually resident.

You may print and keep a copy of these Terms, which form the entire agreement between you and Mondaq and supersede any other communications or advertising in respect of the Service and/or the Website.

No delay in exercising or non-exercise by you and/or Mondaq of any of its rights under or in connection with these Terms shall operate as a waiver or release of each of your or Mondaq’s right. Rather, any such waiver or release must be specifically granted in writing signed by the party granting it.

If any part of these Terms is held unenforceable, that part shall be enforced to the maximum extent permissible so as to give effect to the intent of the parties, and the Terms shall continue in full force and effect.

Mondaq shall not incur any liability to you on account of any loss or damage resulting from any delay or failure to perform all or any part of these Terms if such delay or failure is caused, in whole or in part, by events, occurrences, or causes beyond the control of Mondaq. Such events, occurrences or causes will include, without limitation, acts of God, strikes, lockouts, server and network failure, riots, acts of war, earthquakes, fire and explosions.

By clicking Register you state you have read and agree to our Terms and Conditions