Análisis de la normativa nicaragüense en materia de protección de datos

Por: Daniel López Carballo
Socio del Área de IT, Privacidad y Protección de Datos en ECIJA

1. Marco jurídico constitucional

La Constitución Política de la República de Nicaragua, reconoce, en su artículo 26, el derecho a la protección y respeto a la vida privada, estableciendo que: “Toda persona tiene derecho:

  1. A su vida privada y a la de su familia.
  2. A la inviolabilidad de su domicilio, su correspondencia y sus comunicaciones de todo tipo.
  3. Al respeto de su honra y reputación.
  4. A conocer toda información que sobre ella hayan registrado las autoridades estatales, así como el derecho de saber por qué y con qué finalidad tiene esa información.

El domicilio sólo puede ser allanado por orden escrita de juez competente, excepto:

  1. Si los que habitaren en una casa manifestaren que allí se está cometiendo un delito o de ella se pidiera auxilio;
  2. si por incendio, inundación u otra causa semejante, se hallare amenazada la vida de los habitantes o de la propiedad;
  3. cuando se denunciare que personas extrañas han sido vistas en una morada, con indicios manifiestos de ir a cometer un delito;
  4. en caso de persecución actual e inmediata de un delincuente;
  5. para rescatar a la persona que sufra secuestro.

En todos los casos se procederá de acuerdo con la Ley. La Ley fija los casos y procedimientos para el examen de documentos privados, libros contables y sus anexos, cuando sea indispensable para esclarecer asuntos sometidos al conocimiento de los Tribunales de Justicia o por motivos fiscales. Las cartas, documentos y demás papeles privados sustraídos ilegalmente no producen efecto alguno en juicio o fuera de él.”

Igualmente, la Carta Magna nicaragüense, reconoce el derecho de amparo en su artículo 45. “Las personas cuyos derechos constitucionales hayan sido violados o estén en peligro de serlo, pueden interponer el Recurso de Exhibición Personal o de Amparo, según el caso y de acuerdo con la Ley de Amparo.”

En este sentido, en 2013, la Asamblea Nacional aprobaba la reforma de la Ley de Amparo, agregándose el recurso de habeas data. Mediante esta reforma los ciudadanos pueden recurrir ante la Sala Constitucional de la Corte Suprema de Justicia cuando crean que su derecho a la privacidad y al correcto uso de sus datos personales haya sido vulnerado.

Este recurso puede ser interpuesto ante la Sala Constitucional de la Corte Suprema de Justicia treinta días después de haber agotado la vía administrativa, debiendo emitir respuesta la Sala en el plazo de sesenta días. Igualmente, se habilita a las personas a exigir la oposición, modificación, supresión, bloqueo, inclusión rectificación de los datos personales.

Conforme al artículo 52 de la Constitución Política nicaragüense los ciudadanos tienen derecho a elevar peticiones, denunciar anomalías y hacer críticas constructivas a cualquier autoridad y a que se les de una respuesta en los plazos establecidos por la Ley. Se establece que los nicaragüenses tienen derecho a la información veraz. Este derecho comprende la libertad de buscar, recibir y difundir informaciones e ideas, ya sea de manera oral, por escrito, gráficamente o por cualquier otro procedimiento de su elección (ex artículo 66).

El artículo 131 de la Constitución Política plantea, además, que los funcionarios de los cuatro poderes del Estado, elegidos directa o indirectamente, responden ante el pueblo por el correcto desempeño de sus funciones y deben informarle de su trabajo y actividades oficiales. Deben atender y escuchar sus problemas y procurar resolverlos. La Función pública se debe ejercer a favor de los intereses del pueblo.

Conforme al artículo 8 de la Ley de Participación Ciudadana, los Ciudadanos de manera individual o colectiva podrán solicitar y deberán recibir en un plazo razonable información oportuna y veraz de las diferentes instancias del Estado y de la administración pública, previa solicitud por escrito y que pudiese resultar necesaria para el cumplimiento efectivo de sus deberes y derechos de participar en las diferentes instancias de participación.

Mediante dicha reforma, introducida por la Ley No . 831 de reforma y adiciones a la Ley No. 49 de Amparo, se incluye en la citada Ley de Amparo el Título V bis, abordando el recurso del habeas data.

Así, el artículo 84 bis, establece que:

“El Recurso de Habeas Data procede en defensa de los derechos constitucionales reconocidos en el artículo 26 numerales 1, 3 y 4 de la Constitución Política de la República de Nicaragua, en consecuencia, toda persona puede utilizar dicho recurso para:

  1. Acceder a información personal que se encuentre en poder de cualquier entidad pública y privada de la que generen, produzcan, procesen o posean, información personal, en expedientes, estudios, dictámenes, opiniones, datos estadísticos, informes técnicos y cualquier documento que tengan en su poder.
  2. Exigir la oposición, modificación, supresión, bloqueo, inclusión, complementación, rectificación o cancelación y actualización, de datos personales sensibles independientemente que sean físicos o electrónicos almacenados en ficheros de datos, o registro de entidades públicas o instituciones privadas que brinden servicio o acceso a terceros, cuando se presuma la falsedad, inexactitud, desactualización, omisión total o parcial o la ilicitud de la información de que se trate.
  3. Exigir la oposición, modificación, supresión, bloqueo, inclusión, complementación, rectificación o cancelación y actualización de cualquier publicidad de datos personales sensibles que lesionen los derechos constitucionales.”

Con esta reforma es que se procede al tratamiento procesal de protección de los datos personales en sede jurisdiccional por primera vez en Nicaragua. Se plasma el derecho ciudadano de acudir ante la sala constitucional de la Corte Suprema de Justicia a interponer el recurso de habeas data cuando consideren que su derecho a la privacidad ha sido vulnerado o se ha hecho un uso incorrecto de sus datos personales, de igual forma se abre la puerta al resarcimiento económico por daños infringidos cuando se vulneren los mencionados derechos.

De igual manera, la reforma contempla que cabe el recurso de habeas data contra cualquier persona u organización que compile información sobre cualquier ciudadano e incluso es puede ser obligado a destruirla. Se ejemplifico que sí un periodista realiza una investigación sobre cualquier funcionario público, éste podría hacer uso del recurso de habeas data, y si la sala Constitucional de la Corte Suprema de Justicia falla a su favor, podría obligar al periodista a no publicar esa información e, incluso, a destruirla.

La reforma de 2013 introduce, entre otras cosas, la regulación procesal jurisdiccional del Recurso de Habeas Data. El reconocimiento a la protección de datos personales había sido creado como derecho en las reformas a la Constitución en 1995. Particularmente, el articulo 26 numeral 4) reconoció́ la existencia de ese derecho (derecho a la autodeterminación informativa).

El mecanismo jurisdiccional de protección de ese derecho fue establecido en la reforma de 2013. Sin embargo, cabe destacar que entre 1995 y el 2013, el ordenamiento jurídico y la jurisprudencia de la Corte Suprema de Justicia, tímidamente fueron regulando y abordando dicho derecho e inclusive se definió́ normativamente el mecanismo de protección habeas data. De igual forma, es un tema que poco a poco ha ido despertando interés y existen algunos trabajos monográficos como los de Pineda Quinteros y Obando Quezada que explican la importancia de contar con un mecanismo específico de protección de Derechos a la autodeterminación informativa más allá́ de la protección de derechos mediante el Recurso de Amparo y del Recurso de Exhibición Personal.

El precitado Recurso podrá́ ser interpuesto por el afectado, sus tutores y los sucesores de las personas naturales o por intermedio de apoderado. Cuando el recurso sea presentado por personas jurídicas, deberá́ ser interpuesto por sus representantes legales, o apoderados designados para tales efectos.

Para interponer el recurso de habeas data se requiere haber agotado la vía administrativa contemplada en la ley de protección de datos personales, en la vía administrativa procede el silencio administrativo cuando pasan 30 días y la autoridad administrativa no ha emitido resolución alguna sobre el reclamo interpuesto.

Este recurso se dirige contra los responsables y cualquier otra persona que hubiere hecho uso indebido de ficheros de datos públicos y privados. Los responsables de los ficheros de datos no puedan alegar confidencialidad de la información que se les requiera, salvo en el caso de que se afecten fuentes de información periodística. Cuando la confidencialidad se alegue en los casos de excepción previstos en la ley, la sala de lo constitucional de la corte suprema de justicia puede tomar conocimiento personal y directo de los datos, asegurando el mantenimiento de su confidencialidad.

Una vez determinado por la sala constitucional de la corte suprema de justicia que se produjo lesión a los derechos del titular de los datos, dictará las medidas que estime pertinentes para el cumplimiento del fallo.

 

2. Marco jurídico ordinario

En 2012 fueron aprobadas por la Asamblea Nacional de la República de Nicaragua, tanto la Ley No. 787, de 21 de marzo, de protección de datos personales (publicada en La Gaceta No. 61 del 29 de marzo del 2012), como el Reglamento de la citada Ley, mediante Decreto No. 36-2012, de 17 de octubre (publicado en La Gaceta No. 200 del 19 de octubre de 2012).


3. Definición de datos personales y datos sensibles

El artículo 3 de la Ley No. 787 define datos personales como toda la información sobre una persona natural o jurídica que la identifica o la hace identificable. Igualmente se refiere a los datos personales informáticos como los datos personales tratados a través de medios electrónicos o automatizados y, como datos personales sensibles, toda información que revele el origen racial, étnico, filiación política, credo religioso, filosófico o moral, sindical, relativo a su salud o vida sexual, antecedentes penales o faltas administrativas, económicos financieros; así como información crediticia y financiera y cualquier otra información que pueda ser motivo de discriminación.
En relación con las categorías de datos personales, el artículo 8 de la citada Ley, establece las siguientes categorías:

  • “Datos personales sensibles: sólo pueden ser obtenidos y tratados por razones de interés general en la Ley, o con el consentimiento del titular de datos, u ordenados por mandato judicial. También podrán ser tratados con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares. Los datos personales relativos a los antecedentes penales o faltas administrativas sólo pueden ser tratados por las autoridades públicas competentes, en la esfera de sus competencias;
  • Los datos personales relativos a la salud, en los hospitales, clínicas, centros y puestos de salud, públicos y privados, y los profesionales vinculados a las ciencias de la salud: sólo pueden ser los relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquellos, respetando el secreto profesional;
  • Datos personales informáticos: Son los datos personales tratados a través de medios electrónicos o automatizados;
  • Datos personales comerciales: son datos sensibles de las Empresas las bases de datos de clientes, proveedores y recursos humanos, para fines de publicidad y cualquier otros datos que se consideren información comercial o empresarial reservada fundamentalmente para el libre ejercicio de sus actividades económicas.”

 

4. Principios de tratamiento de datos personales

  • Legalidad: El tratamiento de los datos personales de los ciudadanos deberá cumplir con lo establecido, tanto en la Constitución Política de la República de Nicaragua, la Ley No. 787, su Reglamento de desarrollo y normativa vigente en la materia.
  • Calidad: El Art. 9 de la Ley establece que: “Los datos personales sólo podrán ser tratados, cuando sean adecuados, proporcionales y necesarios en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan solicitado.”
  • Transparencia: El titular tiene derecho a acceder a sus datos personales, conocer el fin para el que se utilizan y el responsable de la base de datos. Igualmente, el artículo 16 de la Ley establece que, “el titular de los datos puede solicitar información a la Dirección de Protección de Datos Personales, relativa a la existencia de ficheros de datos personales, sus finalidades y la identidad de sus responsables. El registro que se lleve al efecto será de consulta pública y gratuita.”
  • Limitación al plazo de conservación: El Derecho al Olvido Digital está consagrado en el artículo 10 de la Ley, estableciéndose que “El titular de los datos tiene derecho a solicitar a las redes sociales, navegadores y servidores que se supriman y cancelen los datos personales que se encuentren en sus ficheros. En los casos de ficheros de datos de instituciones públicas y privadas que ofrecen bienes y servicios y que por razones contractuales recopilan datos personales una vez terminada la relación contractual, el titular de los mismos puede solicitar que se suprima y cancele toda la información personal que se registró mientras era usuario de un servicio o comprador de un bien.” Adicionalmente, el artículo 22, establece en relación con la obligatoriedad de inscripción en el registro de ficheros de datos, la necesidad de informar sobre el periodo de conservación de los datos.
    El artículo 17 de la Ley establece que, “Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad que dio lugar a su tratamiento. La cancelación de los datos no procede por razones de interés social, de seguridad nacional, de salud pública o por afectarse derechos de terceros, en los términos que lo disponga la Ley”.
    En relación el mantenimiento de los datos, una vez termninada la finalidad para la que fueron recabados, la Ley define el bloqueo como la identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en el fichero de datos en el que se encuentran.
  • Medidas de seguridad: El artículo 11 de la ley establece que, “el responsable del fichero de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la integridad, confidencialidad y seguridad de los datos personales, para evitar su adulteración, pérdida, consulta, tratamiento, revelación, transferencia o divulgación no autorizada, y que permitan detectar desviaciones, intencionales o no, de información privada, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado”.
    En relación con estas medidas de seguridad, el Reglamento de desarrollo de la Ley reconoce tres tipos de medidas:
    • Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para: a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información; b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones; c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y d) Garantizar la eliminación de datos de forma segura.
    • Medidas de seguridad organizativas: Conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como, la concientización, formación y capacitación del personal, en materia de protección de datos personales. Estas incluyen medidas de seguridad físicas.
    • Medidas de seguridad técnicas: Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que: a) El acceso a las bases de datos de los responsables de ficheros de datos sea por usuarios identificados y autorizados; b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones; c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros, y d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales.
      Adicionalmente, la Ley establece que, “cuando los datos personales se refieran a los miembros de la Policía Nacional o del Ejército de Nicaragua y fallaren o se inobservaren las medidas de seguridad a las que se refiere el párrafo anterior, el responsable de fichero de datos deberá informar inmediatamente a la Institución afectada para lo de su cargo.”
  • Confidencialidad: La normativa nicarguense establece la obligatoriedad de adoptar medidas para garantizar la confidencialidad de los datos e información tratada. Concretamente, el artículo 12 de la Ley establece que, “el responsable del fichero de datos y las personas que intervengan en cualquier fase del tratamiento de datos personales están obligados al secreto profesional respecto de estos. Tal obligación subsistirá aun después de finalizada su relación con el responsable del fichero de datos. El titular de los datos personales tratados en ficheros de datos tiene derecho a ser informado sobre las políticas de privacidad que adopta el responsable del fichero, y que se le notifique cualquier modificación de estas. El obligado podrá ser relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad nacional, defensa nacional, seguridad pública o la salud pública.”

 

5. Derechos de las personas sobre sus datos

En relación con el ejercicio de los derechos ARCO, el Reglamento de desarrollo de la Ley nicaragüense, establece que están legitimado para su solicitud, el titular de los datos, previa presentación del documento de identidad requerido conforme la ley de la materia, que acredite su personalidad, posibilitando la utilización de instrumentos electrónicos por medio de los cuales sea posible identificar al titular de los datos, u otros mecanismos de autenticación permitidos por otras disposiciones legales, o aquéllos previamente establecidos por el responsable de ficheros de datos, eximiendo de la presentación del documento de identificación anteriormente descrito. Adicionalmente, podrá ejercitarlos, el representante del titular de los datos, previa presentación del poder de representación suficiente y documento de identidad requerido conforme la ley, los padres o tutores del titular de los datos, en el caso de menores de edad, previa presentación de partida de nacimiento del menor y cédula de identidad de los padres (en el caso del tutor, el documento legal que lo acredite como tal) y, los sucesores universales del titular de los datos, en el caso de personas fallecidas, previa presentación del documento legal que lo acredite como tal y el certificado de defunción.

  • Acceso: El titular de los datos tiene derecho a solicitar y obtener información de sus datos personales tratados por los responsables del fichero, tanto en relación con los ficheros de datos públicos y privados, en este sentido, de conformidad con lo establecido en el artículo 17 de la Ley, “el informe que se rinda en atención a la solicitud del titular de los datos personales, debe garantizar el acceso a la información personal objeto de tratamiento por un fichero de datos público o privado, la forma en que sus datos fueron recopilados y las razones que motivaron su recopilación, y las transferencias o cesiones que se realizaron. Debe conservarse la constancia de su envío y recepción.”
    De conformidad con el artículo 26 del Reglamento de desarrollo de la Ley, “la obligación de dar acceso a datos personales se dará por cumplida cuando el responsable del fichero de datos ponga a disposición del titular los datos personales en sus oficinas, o bien, los suministre a través de los medios previstos en la Ley, debiendo el remitente conservar la constancia de envío y recepción correspondiente. En todos los casos, el acceso deberá ser en formatos legibles o comprensibles para el titular.”
  • Rectificación: Es la posibilidad del titular de los datos personales de solicitar la rectificación de sus datos personales, e incluso, la modificación, complementación, inclusión, actualización y cancelación de los datos personales de los que sea titular, que estén incluidos en un fichero de datos. En relación con la solicitud, el artículo 29 del Reglamento establece que, ésta “deberá indicar a qué datos personales se refiere, así como, la corrección que haya de realizarse y deberá ir acompañada de la documentación que sustente la procedencia de lo solicitado. El responsable del fichero de datos podrá ofrecer mecanismos que faciliten el ejercicio de este derecho en beneficio del titular.”
  • Cancelación: La cancelación implica el cese en el tratamiento por parte del responsable del fichero de datos, a partir de un bloqueo de estos y su posterior supresión. En este sentido, conforme establece el Reglamento, “el titular de los datos podrá solicitar en todo momento al responsable del fichero de datos la cancelación de los datos personales cuando hayan dejado de ser necesarios o pertinentes para la finalidad que dio lugar a su tratamiento o cuando considere que los mismos no están siendo tratados conforme a la normativa.”
    En aquellos casos en los que proceda el bloqueo de los datos, éste tendrá como finalidad impedir el tratamiento, a excepción del almacenamiento, o posible acceso por persona alguna, salvo que alguna disposición legal prevea lo contrario. A mayor abundamiento, conforme se establece en el Reglamento, el periodo de bloqueo será hasta el plazo de prescripción legal o contractual correspondiente y transcurrido éste, se procederá a la cancelación de los datos personales en el fichero de datos en el que se encuentran.
    Entre las obligaciones que establece el artículo 32 del Reglamento, el Responsable del Fichero, deberá “establecer un período de bloqueo con el único propósito de determinar posibles responsabilidades en relación con su tratamiento hasta el plazo de prescripción legal o contractual de éstas, y notificarlo al titular de los datos o a su representante en la respuesta a la solicitud de cancelación; atender las medidas de seguridad adecuadas para el bloqueo; transcurrido el período de bloqueo, llevar acabo la supresión correspondiente, bajo las medidas de seguridad previamente establecidas por el responsable del fichero de datos.”
  • Oposición: En relación con este derecho, el artículo 34 del Reglamento de desarrollo de la Ley, establece que “el titular de los datos tiene derecho a que no se lleve a cabo el tratamiento de sus datos personales o se cese en el mismo, cuando no hubiere prestado su consentimiento para su recopilación por haber sido tomados de fuentes de acceso público. Aún cuando hubiere prestado su consentimiento, el titular de los datos tiene derecho a oponerse al tratamiento de sus datos, si acredita la existencia de motivos fundados y legítimos relativos a una concreta situación personal que justifiquen el ejercicio de este derecho. En caso de que la oposición resulte justificada el responsable del fichero de datos deberá proceder al cese del tratamiento que ha dado lugar a la oposición. No procederá el ejercicio del derecho de oposición en aquellos casos en los que el tratamiento sea requerido por ley.”

 

6. Consentimiento

Tal y como establece la normativa nicaragüense en materia de protección de datos, el consentimiento debe ser prestado por el titular de los datos, previa información por parte del responsable del fichero sobre la finalidad del tratamiento, los posibles destinatarios o clases de destinatarios, la existencia del fichero de datos electrónicos o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable, el carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos especialmente protegidos, sobre las consecuencias de proporcionar los datos personales, de la negativa a hacerlo o de la inexactitud de los mismos, las garantías de ejercer por parte del titular el derecho de acceso, rectificación, modificación, supresión, complementación, inclusión, actualización y cancelación de los datos personales.
Adicionalmente, cuando los datos procedan de fuentes accesibles al público y se utilicen para hacer envíos publicitarios o promocionales, en cada comunicación que se dirija al titular de estos se le informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten, entre otros aspectos.

Sobre el aviso legal e información sobre el tratamiento de los datos personales, éste deberá caracterizarse por ser sencillo, con información necesaria, expresado en lenguaje claro y comprensible, y con una estructura y diseño que facilite su entendimiento.

En relación con el consentimiento, tal y como establece el artículo 6 de la Ley nicaragüense, “el titular de los datos deberá dar por sí o por su representante legal o apoderado el consentimiento para la entrega de los datos, salvo que la ley disponga otra cosa dentro de los límites razonables. La razonabilidad deberá ser considerada por la Dirección de Protección de Datos Personales, si se le planteare alguna controversia. Lo anterior, tiene tanto para los ficheros de datos de titularidad pública como privada. El consentimiento deberá ser otorgado por escrito o por otro medio idóneo, físico o electrónico. Dicho consentimiento podrá ser revocado sin efecto retroactivo, por cualquiera de los medios permitidos por la ley.

No será necesario el consentimiento cuando: a) Exista orden motivada, dictada por autoridad judicial competente; b) Los datos personales se sometan a un procedimiento previo de disociación; c) Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; y d) Los datos se obtengan de fuentes de acceso público irrestricto y se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, y fecha de nacimiento.”

A mayor abundamiento, el Reglamento de desarrollo de la Ley, en su artículo 4, estable que el consentimiento deberá ser libre, específico (referido a una o varias finalidades e informado, tal y como se ha analizado.

Con respecto a la tipología de consentimiento válidos conforme a la normativa nicaragüense, conforme a lo establecido en los artículos 5 y siguientes del Reglamento, cabe mencionar, el consentimiento tácito y expreso (obtenido de forma verbal o por escrito). En todo caso, debe recordarse que la carga de la prueba recaerá en todos los casos, en el responsable del fichero de datos.

 

7. Sujetos obligados

De conformidad con lo establecido en el artículo 3 de la Ley No. 787, se establecen como principales figuras:

Responsable de ficheros de datos: toda persona natural o jurídica, pública o privada, que conforme Ley decide sobre la finalidad y contenido del tratamiento de los datos personales.

Tercero: toda persona, pública o privada que realice a su arbitrio el tratamiento de datos personales, ya sea en ficheros de datos propios o a través de conexión con los mismos.

 

8. Transferencia y cesión de datos

El artículo 3 de la Ley define cesión como la trasmisión de los datos personales a una persona distinta de su titular.

A mayor abundamiento, el artículo 13 de la Ley establece que, “los datos personales se podrán ceder y transferir cuando, los fines estén directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le deberá informar sobre la finalidad de la cesión e identificar al cesionario. El consentimiento para la cesión es revocable, mediante notificación por escrito o por cualquier otra vía que se le equipare, según las circunstancias, al responsable del fichero de datos. Este no podrá ser exigido cuando lo disponga una ley, se realice entre instituciones del Estado en el ejercicio de sus atribuciones, se trate de razones de salud pública, de interés social, de seguridad nacional o se hubiere aplicado un procedimiento de disociación de datos, de modo que no se pueda atribuir a una persona determinada.”

Sobre las prohibiciones y excepciones de cesión y transferencia de datos, el artículo 14, prohíbe la cesión y transferencia de datos personales de cualquier tipo con países u organismos internacionales, que no proporcionen niveles de seguridad y protección adecuados, no aplicándose en los supuestos de colaboración judicial internacional, intercambio de datos personales en materia de salud, cuando sea necesaria para una investigación epidemiológica, transferencias bancarias o bursátiles, conforme la legislación de la materia, cuando la transferencia se hubiere acordado en el marco de tratados internacionales ratificados por el Estado de Nicaragua y cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia, en los delitos regulados en la Ley No. 735, “Ley de Prevención, Investigación y Persecución del Crimen Organizado y de la Administración de los Bienes Incautados, Decomisados y Abandonados”.

La Ley establece el procedimiento para la transferencia y/o cesión de datos, concretamente, “a) La cesión y transferencia de datos personales se realizará a solicitud de una persona legalmente autorizada; b) La solicitud deberá contener el objeto y la finalidad que se persigue con dicha información; c) El responsable del fichero de datos deberá cumplir con las medidas de seguridad y confidencialidad de los datos personales, verificando que el solicitante cumpla de igual manera con éstas medidas; d) El responsable del fichero de datos personales deberá informar a la persona titular de los datos, la solicitud de transferencia y el propósito que se persigue, para su consentimiento; con las excepciones contenidas en el artículo anterior; e) El solicitante y el responsable del fichero de datos, deberán evitar que la información suministrada sea enviada a terceras personas; y f) El responsable del fichero de datos deberá informar a la Dirección de Protección de Datos Personales, la transferencia de datos realizada.

 

9. Autoridad competente

Conforme lo establecido en los artículos 28 y siguientes de la Ley, la autoridad competente en la materia es la Dirección de Protección de Datos Personales adscrita al Ministerio de Hacienda y Crédito Público. Dicha autoridad, contará con un Director designado por la máxima autoridad administrativa de dicho ministerio, teniendo por objeto el control, supervisión y protección del tratamiento de los datos personales contenidos en ficheros de datos de naturaleza pública y privada.

En relación con sus funciones, el artículo 29 establece: “a) Asesorar a las personas naturales y jurídicas que lo requieran acerca del contenido y alcance de la presente Ley; b) Dictar las normas y disposiciones administrativas necesarias para la realización de su objeto en el ámbito de su competencia; c) Dictar y vigilar que las normas sobre confidencialidad, integridad y seguridad de los datos personales se respeten y apliquen por los titulares de los ficheros de datos correspondientes; d) Solicitar la información que requiera para el cumplimiento de su objeto a las entidades públicas y privadas titulares de los ficheros de datos, garantizando en todo caso la seguridad, la integridad y confidencialidad de la información; e) Imponer las sanciones administrativas que correspondan a los infractores de esta Ley; f) Formular y presentar las denuncias por violaciones a lo dispuesto en esta Ley ante la autoridad correspondiente; g) Verificar que los ficheros de datos personales tengan los requisitos necesarios para que proceda su inscripción en el registro de ficheros de datos; h) Acreditar a los inspectores para la supervisión y vigilancia de los responsables de los ficheros de datos personales; i) Promover modelos de autorregulación, cuando esto sea posible, y como mecanismo adicional para garantizar el derecho a la autodeterminación informativa de toda persona, siempre y cuando estos modelos representen un valor añadido en su contenido con respecto a la dispuesto en la presente Ley y su Reglamento, contengan o estén acompañados de elementos que permitan medir su nivel de eficacia en cuanto al cumplimiento y nivel de protección de la persona frente al tratamiento de sus datos personales y se prevean medidas en caso de incumplimiento de los modelos autorregulatorios; j) Dar su opinión en todos los proyectos de ley y reglamentos que pudieran tener incidencia en la validez y garantía del derecho a la autodeterminación informativa; k) Divulgar el contenido y extensión del derecho a la autodeterminación informativa a la población y al resto de los Poderes e instituciones del Estado; y l) Cooperar con otras autoridades de protección de datos a nivel internacional para el cumplimiento de sus competencias y generar los mecanismos de cooperación bilateral y multilateral para asistirse entre sí y prestarse el debido auxilio mutuo cuando se requiera.”

La norma nicaragüense establece las posibles infracciones en materia de protección de datos, catalogándolas como leves y graves:

Son infracciones leves: a) Tratar datos personales sin el consentimiento expreso ya sea por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos de su titular, cuanto la ley así lo exija; b) Omitir la inclusión, complementación, rectificación, actualización, supresión o bloqueo, cancelación, de oficio o a petición del titular, de los datos personales que se encuentran en ficheros de datos públicos y privados; c) Incumplir las instrucciones dictadas por la Dirección de Protección de Datos Personales; d) Obtener datos personales a través de formularios u otros impresos, sin que figure en los mismos, en forma claramente legible, las advertencias que se utilizarán para crear ficheros; y e) Remitir publicidad a través de medios electrónicos, a titulares que han manifestado expresamente su negativa a recibirla.

La norma entiende como infracciones graves: a) El tratamiento de datos personales por medios fraudulentos o que infrinjan las disposiciones contempladas en la Ley; b) Impedir u obstaculizar el ejercicio del derecho a la autodeterminación informativa al titular de los datos personales, así como negar injustificadamente la información solicitada; c) Violentar el secreto profesional que debe guardarse por disposición de esta Ley; d) Reincidir en las infracciones leves; e) Mantener ficheros de datos, inmuebles, equipos o herramientas sin las condiciones mínimas de seguridad, integridad y confidencialidad requeridas por las disposiciones aplicables; y f) Obstruir las inspecciones que realice la Dirección de Protección de Datos Personales.

En relación con las sanciones asociadas a las mismas, la norma contempla el apercibimiento, la suspensión de operaciones relacionadas con el tratamiento de los datos personales; y la clausura o cancelación de los ficheros de datos personales de manera temporal o definitiva.