La legislación dominicana sobre Protección de Datos Personales: Principios, Consentimiento y el proceso de Habeas Data

Es en el artículo 44 de la carta magna dominicana donde se delinea que toda persona puede gozar de la no injerencia hacia su vida privada y familiar, su domicilio y su correspondencia, así como de disfrutar del derecho al honor, el buen nombre y la propia imagen; siendo en el inciso 2 del mencionado artículo donde encontramos el reconocimiento del derecho que poseen todas las personas de acceder a sus informaciones que sobre ellas o sus bienes reposen en registros públicos o privados, asimismo de conocer el destino y uso que a estas se le asignen.

Constitucionalmente, en el mismo inciso se plasma los principios de calidad, licitud, lealtad, seguridad y finalidad que deben regir en los tratamientos de datos, al mismo tiempo que, configura la vía judicial para que los titulares puedan exigir la actualización, oposición, rectificación o destrucción de las informaciones que tratadas afecten ilegítimamente sus derechos. Esta acción judicial, en nuestro país se conoce como Habeas Data, la cual se define igualmente en el artículo 70 de nuestra norma suprema como el único medio para obtener los fines antes expuestos.

Así las bases asentadas en la Constitución, se crea en el año 2013 la Ley No. 172-13 que tiene por objeto la protección integral de los datos personales asentados en archivos, registros públicos, bancos de datos u otros medios técnicos de tratamiento de datos destinados a dar informes, sean estos públicos o privados.

La Ley dominicana sobre Protección de Datos Personales inicia en el artículo 1 mencionando cuáles son sus objetivos, vislumbrándose rápidamente que esta no solo tiene competencia para normar el tratamiento de los datos personales en los ámbitos públicos y privados, sino que, también para regular las Sociedades de Información Crediticia, en lo adelante las SIC. Estas sociedades que, según el artículo 30, son aquellas que previa autorización de la Junta Monetaria, se encargarán de la prestación de los servicios de referencias crediticias de una persona física o jurídica en el mercado dominicano.

Así como nuestra ley es explícita en cuanto a su campo de aplicación, por igual lo es en cuanto a los casos de excepción de esta. En ese sentido, esta expresa que no se resguardarán los datos que: a) se utilicen para el ejercicio de actividades personales; b) que fueran empleados por los organismos de investigación y de inteligencia para la detección de delitos y crímenes; c) referidos a personas fallecidas; y d) que sean de personas jurídicas, en conjunto con los datos de las personas físicas que presten sus servicios en ellas, por ende, no protegiéndose los nombres, apellidos, funciones o puestos, dirección postal o electrónica, teléfono, y número de fax profesionales.

Esta disposición legal contempla en su artículo 72 una extensión del artículo 4 expuesto anteriormente, al mencionar que sus preceptos no tendrán efecto tampoco sobre las encuestas de opinión, mediciones y estadísticas, trabajos de prospección de mercados, investigaciones científicas o médicas y actividades análogas, en la medida que los datos recogidos no puedan atribuirse a una persona determinada o determinable.

Fuera de esos campos no aplicables, en cuanto a los principios generales que deben regir todo tratamiento de datos, nuestra ley consagra 8 pilares, siendo estos los siguientes:

1. Licitud: en la norma dominicana consiste básicamente en que el tratamiento de los datos debe de tener finalidades apegadas a las leyes y el orden público.
2. Calidad: aquí se indica la obligación de que los datos sean exactos y completos, y que estos se mantengan actualizados si fuere necesario.

Si bien es cierto que no poseemos el “Principio de Proporcionalidad”, dentro del “Principio de Calidad” se instaura el compromiso de que los datos a recogerse sean ciertos, adecuados y pertinentes con relación al ámbito y finalidad para los que se hubieren obtenido.

En el plano del segundo objeto de nuestra ley, el artículo 59 señala que los aportantes de datos, es decir, las instituciones de intermediación financiera, los agentes económicos y las entidades públicas, deberán suministrar a la SIC, por lo menos 2 veces al mes, los datos actualizados de sus clientes o consumidores, de tal modo que permita la correcta e inequívoca identificación, localización y descripción del nivel de endeudamiento del titular en un determinado momento, de modo que permita promover la exactitud, la veracidad y la actualización oportuna y eficaz de la base de datos de estas sociedades. Esta obligación se refuerza con el numeral 3 del del artículo 56, cuando insiste en que se debe de mantener una situación real del titular de la información en un momento determinado.

3. Lealtad: solo menciona que se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

Igualmente, en el numeral 1 del artículo 56 sobre los lineamientos de los tratamientos de datos por las SIC, se llama a que estas cumplan con este principio.

4. Finalidad: advierte que las finalidades deben de ser determinadas, explicitas y legitimas para los que se hayan obtenido.

El numeral 2 del artículo 56, les exige a las SIC que la información recolectada sólo sea utilizada para los fines señalados. Aunque cabe destacar que la expresión de las finalidades de usos, en nuestra norma no se especifica en qué momento deberán de estos cumplir con el derecho de información, ya que como veremos, la dación de información solo se extiende a los responsables del tratamiento que hayan requerido el consentimiento, y las SIC per se, no se considerarían como responsables en vista de que procesan información crediticia en nombre de sus aportantes de datos.

5. Seguridad: en general, este principio consagra la obligatoriedad de implementar tanto por parte del responsable como del encargado del tratamiento, las medidas de índole técnicas, organizativas y de seguridad necesarias para salvaguardar los datos, para evitar así alteraciones, perdidas, consultas o accesos no autorizados.

Este acápite hace mención por única vez de las obligaciones compartidas entre el responsable y el encargado del tratamiento, ya que, en nuestra ley, la figura de “encargado de tratamiento” solo aparece dentro de las definiciones expuestas en ella, debido a que en la norma no se menciona ninguna otra disposición relacionada a esta figura, lo cual evidencia un vacío con respecto a la relación o las demás responsabilidades de este frente al responsable y/o los titulares de los datos.

Con respecto a este deber en las SIC, esta obligación también se extiende a los aportantes de datos, a las SIC y los usuarios o suscriptores de estas sociedades, al imponer que deben de implementar medidas para evitar acciones indebidas sobre el historial de crédito que manejen o reposen en la base de datos de las SIC, así como medidas de control para resguardar los algoritmos y tecnologías que utilizan para la prestación de los servicios de información crediticia. Según nuestra normativa, las SIC deberán presentar a la Superintendencia de Bancos manuales que establezcan las medidas mínimas de seguridad.

Sobre las medidas de seguridad a adoptar, es curioso que nuestra ley en su artículo 60 ordena expresamente a las SIC la utilización de fotos en los reportes crediticios de los titulares como una técnica de identificación biométrica que dificultaría o imposibilitaría la usurpación o el robo de las identidades. A este respecto, las SIC y los aportantes de datos deberán incluir en los reportes que emiten y en las informaciones que aportan, respectivamente, la foto actualizada o disponible del titular, de tal modo que el usuario de los reportes provenientes de una SIC debe validar y autenticar la identidad de la persona física comparando el rostro del solicitante del bien o servicio con la imagen en el reporte.

6. Deber de secreto: este pilar extiende a todos los responsables y a todos los que intervengan en el tratamiento de datos personales, la obligación de resguardar el secreto profesional sobre el manejo de estas. Este secreto debe de mantenerse, y solo será relevado por resolución judicial, por la seguridad pública, la defensa nacional o la salud pública.

Este principio hace hincapié en este deber hacia las personas físicas o jurídicas, las entidades públicas o privadas que sean usuarios o suscriptores de una SIC, así como todos los empleados públicos o privados que hayan tomado conocimiento sobre los informes y/o historial de un titular de los datos.

Igualmente se expresa que se prohíbe la divulgación, la reproducción, y la grabación del contenido parcial o total de un reporte de cualquier tipo proveniente de una SIC, referente a un titular de los datos, en cualquiera de sus manifestaciones. Este deber de confidencialidad es reiterado en el artículo 69 de nuestra ley, aunque en su segundo párrafo se expresa que tanto las SIC y sus representantes no serán responsables, civil ni penalmente, de cualesquiera violaciones del encargo del secreto, cometidas por un suscriptor o afiliado, un cliente o consumidor, los representantes de las entidades públicas, los representantes de medios de comunicación o cualquier persona física o jurídica. Aunque si establece que la SIC, al proporcionar un reporte de crédito revelará la fuente que aportó la información, no se instaura una imputación de responsabilidad alguna sobre lo planteado anteriormente.

Independientemente de lo anterior, la norma llama a las SIC a contar con sistemas y procesos para verificar la identidad del usuario o suscriptor o del cliente o consumidor, mediante el proceso de autenticación que éste determine, a fin de salvaguardar la confidencialidad de la información.

7. Derecho de información: este principio presenta la particularidad de que restringe y/o condiciona el derecho a la información a los datos que requieran el consentimiento para que sean recabados; a lo cual se le agrega, que tal derecho a información será cumplido cuando sea materializado “l menos a uno de los titulares, el cual se le deberá informar de manera clara y expresa las finalidades, quienes serán los destinatarios si los hubiere, la existencia de los archivos, la identidad y domicilio del responsable del tratamiento, y los derechos de acceso, rectificación y supresión de los datos que le asisten a estos.

Este principio, por su contenido, sugiere que todos los responsables del tratamiento, con solo informar a un solo titular de los datos que componen cualquier registro que posean, ya se encuentra en cumplimiento de esta obligación, lo cual, si le damos esta estricta interpretación, conllevaría a inducir que dicho párrafo vulnera el derecho de información al cual todos los titulares están llamadas a disfrutar, por ende, detrimento a sus derechos de control sobre sus datos.

Cabe destacar que, con respecto a esta obligación, nuestra ley no regula explícitamente el contenido del derecho de información en el ámbito de las SIC.

8. Consentimiento del afectado: este estipula que el tratamiento y cesión de datos serán ilícitos cuando el titular de los datos no hubiere prestado su consentimiento libre, expreso y consciente, indicando la obligación de que se conste evidencias por escrito o por otro medio sobre la dación de esta autorización.

Este inciso presenta excepciones, dentro de lo cual indica que los organismos de investigación de crímenes y delitos, previa autorización de una autoridad competente podrá tratar datos personales. Cabe reiterar que, sobre estos casos, nuestra norma establece expresamente que los tratamientos de datos llevados a cabo por estas instituciones no serán regulados por la normativa de protección de datos.

Con respecto a los usuarios o suscriptores de las SIC, esta regulación erige que antes de consultar y obtener un reporte de crédito, tendrán la obligación de recabar el consentimiento de aquellos a quienes desean consultar. La ley, en su numeral 4 del artículo 5, le otorga un plazo de 6 meses de validación a aquellos consentimientos obtenidos, debiendo los contratantes de estos servicios mantener en todo momento la confidencialidad de estas informaciones adquiridas, siendo los usuarios o suscriptores los únicos responsables frente a cualquier eventualidad que vaya en detrimento a los derechos de los interesados con respecto a su información personal.

Este “principio” trasladado al sector crediticio indica en pocas palabras que la obligación de diligenciar el consentimiento, por igual, la confidencialidad de los reportes crediticios obtenidos, se transfieren a todos los usuarios, dígase, las entidades de intermediación financiera, los agentes económicos y las demás personas físicas o jurídicas, eximiendo aquí de toda responsabilidad a las SIC.

En nuestro país, la única base legitimadora del tratamiento de datos personales es el consentimiento, no obstante, se plantea excepciones a este en el artículo 27 de nuestra ley cuando nos dice que no será necesario esta autorización para el tratamiento y la cesión de datos cuando: a)-se obtengan de fuentes de acceso público; b)-se utilicen por las funciones propias de los poderes del Estado o se compartan entre dependencias de los órganos del Estado en forma directa, en virtud de sus respectivas competencias; d)-se recaben por una relación comercial, laboral o contractual, científica o profesional con la persona física para el cumplimiento de esta relación. f)-así lo disponga una ley; g)-se trate de datos personales de la salud, y sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve el secreto de la identidad de los titulares mediante mecanismos de disociación adecuados; h)-se trate de datos sometidos a un proceso de disociación, de modo que los titulares de las informaciones no sean identificables; y i)-se trate de listas para fines mercadológicos, cuyos datos se limiten a nombre, cédula de identidad y electoral, pasaporte, identificación tributaria y demás informaciones biográficas.

Con respecto a la cesión, el artículo 28 nos habla que los datos personales objeto de tratamiento de datos sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario, con el previo consentimiento de por lo menos uno de los titulares de los datos.

No obstante, el artículo 39 de nuestra ley advierte que los datos de carácter personal recogidos o elaborados por la administración pública para el desempeño de sus atribuciones pueden ser comunicados a otras instituciones de la administración pública, mas no expresa si con la condición de la recolección del consentimiento o no, cosa que sí manifiesta expresamente solo con la administración tributaria, al ordenar que la cesión de datos de carácter personal, que debe efectuar la administración tributaria en el ejercicio de sus competencias, no requerirá el consentimiento del afectado.

Si bien es cierto que, entre entidades, según las excepciones del artículo 27, se menciona que no deben de precisar del consentimiento para la cesión de datos entre estas, no obstante, como acabamos de ver en lo dispuesto en el artículo 39 referente a la cesión, aquí solo establece a la administración tributaria como la única que no deberá requerir el consentimiento. El contenido de ambos artículos acarrea interrogantes.

Otro caso que induce a cuestionar nuestra normativa es el requerimiento del consentimiento o no en el plano del segundo objeto de la ley, las SIC. Y es que el artículo 27 sobre las excepciones del consentimiento indica también que no se requerirá consentimiento: “cuando se trate de datos que reciban de sus clientes en relación a las operaciones que realicen las entidades de intermediación financiera reguladas por la Ley Monetaria y Financiera y de agentes económicos, de las SIC, y de las entidades que desarrollan herramientas de puntajes de crédito para la evaluación del riesgo de los deudores del sistema financiero y comercial nacional, de acuerdo a las condiciones establecidas en el artículo 5, numeral 4”.

Con respecto a lo anterior, al referirse al final de su párrafo al numeral 4 del artículo 5, estas disposiciones se contradicen, ya que como expresamos anteriormente, ese numeral 4 ordena que sí será necesario la obtención del consentimiento antes de consultar o obtener cualquier informe crediticio.

Sobre esto, es decir los accesos a las bases de datos de las SIC, el artículo 51 reitera que los usuarios o suscriptores para obtener información crediticia de un cliente o consumidor, deberán tener las autorizaciones de los titulares, ya sea mediante su firma autógrafa o digital o cualquier forma de manifestación del consentimiento, el cual deberá constar el uso que el usuario o suscriptor dará a dicha información.

Se explica que se considerará que existe una manifestación expresa del consentimiento cuando el cliente o consumidor haya solicitado o recibido, de manera verbal o escrita, el otorgamiento de un crédito, la prestación de un servicio o la realización de cualquier actividad que genere una relación jurídica entre el consumidor y el usuario o suscriptor. Para el caso de que llegare a formalizarse dicha relación jurídica entre el cliente y el usuario o suscriptor, este último podrá realizar consultas periódicas a la información crediticia del consumidor durante el tiempo de vigencia de dicha relación jurídica.

La vigencia de la autorización prevista en este supuesto será de 2 años, contados a partir de su otorgamiento. Cuando se haya formalizado la relación jurídica, la autorización para acceder a la información crediticia del cliente permanecerá mientras esté vigente dicha relación jurídica.

Estas autorizaciones no aplicarán cuando: a)-la información sea solicitada por la Superintendencia de Bancos, por las entidades públicas, en virtud de una investigación oficial, incluyendo el narcotráfico y combate al blanqueo de capitales, actividades antiterroristas, o por las autoridades recaudadoras de impuestos para fines fiscales, o la información requerida por cualquier otra institución gubernamental o de carácter oficial; b)-se trate de reporte de información pública, el reporte para fines de cobros, el reporte de puntaje de crédito, y el reporte de seguros; c)-el usuario o suscriptor accede a la información crediticia de consumidores incluidos en las listas para fines mercadológicos contempladas en esta ley sobre el consentimiento del titular de los datos; y d)-se trate de acceder a las informaciones de crédito relativas a una persona jurídica definida y contemplada en el Código de Comercio.

Derechos de Acceso, Rectificación, Oposición y Cancelación – Habeas Data

Esta ley en su artículo 7 establece que todos los titulares de los datos tienen derecho a una acción judicial para conocer y acceder a los datos que de ella consten en registros; menciona que, en los casos de discriminación, inexactitud o error, los interesados podrán exigir la suspensión, rectificación y la actualización de aquellos.

Sin embargo, en el artículo 8 podemos visualizar que esta norma regula un proceso de manera administrativa o interno por ante los responsables del tratamiento de datos, aperturando otra vía diferente a la judicial. Este enunciado articula las condiciones generales para que se puedan ejercer solo los derechos de rectificación, cancelación y oposición, siendo estas las siguientes:

1. El ejercicio de estos derechos no tendrá costo por parte del titular;
2. Durante el proceso de verificación del error o inexactitud, el responsable deberá de consignar la circunstancia de que se encuentra sometida a revisión o impugnación de X registro de datos;
3. La supresión no procederá cuando pudiera causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiere una obligación contractual o legal de conservar tales datos;
4. El responsable tendrá un plazo de 10 días hábiles a partir de recibido el reclamo de error o inexactitud, para rectificar, actualizar o suprimir los datos cuando proceda;
5. Otorga un plazo de 5 días hábiles al responsable para que notifique al cesionario de los cambios realizados, si hubiere;
6. Y habilita a los titulares a ir a los tribunales, pasados los plazos, a reclamar sus derechos reconocidos (Habeas Data).

Con respecto a la cancelación, la ley menciona en su artículo 15 que esta no será absoluta, toda vez que la cancelación solo dará lugar al bloqueo de los datos, conservándose únicamente a disposición de los poderes del Estado para la atención de las posibles responsabilidades nacidas del tratamiento durante el plazo de prescripción de éstas. Cumplido el plazo deberá procederse a la supresión.

Por otro lado, con respecto al derecho de acceso, el artículo 10 establece que, para su ejercicio se deben de cumplir los siguientes pasos:

1. Los titulares de los datos deberán de acreditar su identidad para solicitar acceso;
2. Los sucesores universales serán quienes podrán acceder a los datos personales de las personas fallecidas;
3. La solicitud de acceso podrá ser formalizada vía alguacil o personal;
4. Dispone de un plazo de 5 días para que los responsables del tratamiento puedan dar acceso al titular;
5. E indica que el titular de los datos podrá incoar una acción judicial para conocer de la existencia y acceder a los datos que de él consten en registros de cualquier índole, cuando se haya vencido el plazo sin que se satisfaga el pedido.

Nuestra ley aclara que los derechos de acceso, rectificación, cancelación y oposición son independientes, y que no necesitan de la realización previa de ninguno de ellos, para la concretización de uno en particular.

Ahora bien, como anteriormente se indicaba, nuestra Constitución describe el Habeas Data como la única vía para obtener la materialización de los derechos de los titulares, sin embargo, esta ley regula procesos internos y/o administrativos que condicionan la concretización de este recurso por los tribunales.

No obstante, al analizar la ley en sus seguidos articulados, esta igual trae a cuestionemos lo normado, toda vez que en el artículo 17 se expone que, sin detrimento de los mecanismos establecidos para el ejercicio de los derechos de los interesados, éstos podrán ejercer la acción judicial de hábeas. Estos “mecanismos” se puede intuir que se refieren a las vías internas habilitadas por la misma ley. Por lo que, de lo establecido en este artículo, se desprende que el Habeas Data puede ejercerse sin agotar el proceso administrativo, no obstante, de los artículos 8 y 10 anteriormente expuestos, se evidencia que estos mismos condicionan el proceso de Habeas Data a la realización de este.

Independientemente de lo anterior, según la ley el proceso de Habeas Data comienza con una demanda incoada contra el demandando por ante los tribunales de primera instancia del domicilio de este. Este proceso se regirá por los lineamientos de la acción de amparo, y mientras dure el proceso, se deberá asentar o publicar en los informes que la información cuestionada está sometida a un proceso judicial o de impugnación de hábeas data.

Cuando la ley de Protección de Datos se refiere a que se regirá por los lineamientos de la acción de amparo, esta traslada esta figura a la Ley Orgánica del Tribunal Constitucional y de los Procedimientos Constitucionales, No.137 del año 2011, donde se regula todo el proceso de la acción de amparo. Como se denota, nuestra ley de Datos Personales hace un intento de crear duplicidad de regularización del proceso de Habeas Data, cuando vemos que intenta describir las etapas del proceso, pero al final, se direcciona a los lineamientos ya asentados sobre la acción de amparo en otra ley.

Sobre la procedencia de los derechos de los titulares, el artículo 26 nos dice que existen excepciones a los derechos de acceso, rectificación, cancelación y oposición, el cual indica que mediante resolución judicial los responsables o usuarios de bancos de datos oficiales pueden denegar tales derechos en función de la protección de la seguridad nacional, del orden y la seguridad pública, o de la protección de los derechos e intereses de terceros.

La información sobre datos personales también podría ser denegada, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de crímenes y delitos por la autoridad competente y la verificación de infracciones administrativas.

Derechos de Acceso, Rectificación, Oposición y Cancelación por ante las Sociedades de Información Crediticia (SIC)

En el ámbito de las SIC, según el artículo 11 y 12 de nuestra ley, para el procedimiento de acceso solo dispone que todos los titulares tienen el derecho de recibir su historial o reporte crediticio, el cual puede ser ejercido gratuitamente 4 veces al año, y no en intervalos inferiores a 3 meses, ya sea visualizado presencialmente en las oficinas de estos, o a través de una plataforma vía internet, debiendo la SIC de presentar el reporte solicitado en forma clara, completa y accesible dentro de 5 días hábiles luego de recibido la solicitud.

Esta ley en el artículo 25 contempla que cuando los titulares no estén conformes con la información contenida en un reporte proveniente de una SIC, podrán iniciar un proceso para formalizar las reclamaciones de rectificación, oposición y cancelación por ante las SIC. Este proceso, tendrá las características siguientes:

1. La reclamación deberá presentarse por instancia o mediante acto de alguacil señalando la información impugnada.
2. La solicitud deberá contar con las evidencias que fundamenten su inconformidad, o en su defecto, exponer sus consideraciones en el escrito que utilicen para presentar su reclamación.
3. La SIC deberá incluir en el registro donde la información conste, la leyenda “Registro Impugnado por Habeas Data” que permanecerá hasta que culmine el proceso de impugnación.
4. La SIC no está obligada a tramitar reclamaciones sobre la información contenida en los registros que hayan sido objeto de una reclamación previa.
5. La SIC que reciba una reclamación, dentro de 10 días hábiles deberá tramitarla por ante las entidades de intermediación financiera o a los agentes económicos poseedores de los datos.

Dependiendo de los supuestos de procedencia o no de las reclamaciones, las SIC actuaran de la siguiente forma:

1. Si la SIC no recibe respuesta del aportante de datos, este deberá modificar o eliminar de sus bases la información reclamada, así como la leyenda: “Registro Impugnado por Hábeas Data”.
2. Si el aportante de datos acepta total o parcialmente la reclamación, este deberá realizar las modificaciones apropiadas en su base de datos, y notificará de lo anterior a la SIC que le haya enviado la reclamación. En el caso de que señale la improcedencia de esta, el aportante deberá expresar en su respuesta los elementos que consideró, notificando esto a la SIC. Dependiendo de los dos supuestos, se emitirá un nuevo informe crediticio o una instancia de denegación a los titulares de los datos.

Dada la eventualidad de que el titular no esta conforme con el rechazo de su reclamación, nuestra normativa indica expresamente que la SIC queda eximida completamente de responsabilidad frente al titular, solo teniendo estos la única responsabilidad de mantener la leyenda en el registro de impugnación mientras tanto el aportante de datos comunique formalmente a la SIC que tiene que corregir los datos o exista sentencia definitiva e irrevocable favoreciendo al titular sobre su petición.

Las informaciones anteriormente eliminadas o modificadas en las bases de datos de la SIC, podrán nuevamente ser incluidas cuando los aportantes de datos les envíen los elementos que sustenten la inclusión nuevamente de la información impugnada. En este sentido, la SIC deberá de remitir una notificación en conjunto con el nuevo reporte de crédito a los titulares.

Cuando existan errores imputables a las SIC, la ley solo menciona que estas deberán dentro de 5 días hábiles, a partir de la respuesta del aportante de datos, corregir los datos debatidos, y disponer gratuitamente a disposición del titular de los datos un nuevo reporte de crédito; mas no imputa alguna responsabilidad adicional a estas sociedades.

En la República Dominicana no existe en la Constitución del año 2010 textualmente un derecho individualizado titulado “Derecho a la Protección de Datos Personales”, sino más bien, el “Derecho a la Intimidad y el Honor Personal” de donde se desprende el reconocimiento de que las personas tienen prerrogativas sobre las informaciones que les compete a estas.

Esta ley, le brinda una especie de beneficio cuando insiste en la cero responsabilidad sobre las SIC durante el proceso de reclamación contentivo de las modificaciones, inclusiones o eliminaciones de informaciones o de registros. Durante estos procesos, la SIC solo tiene el papel de entregar a los aportantes de datos y a los titulares la documentación que a cada uno corresponda, no pudiendo estos asumir un rol para resolver, dirimir o actuar como componedor de las diferencias que surjan entre ellos.

Incluso, luego de agotado el procedimiento anterior por ante la SIC, la misma ley indica que los titulares tienen el derecho de iniciar una acción por ante los tribunales competentes, pero resalta el supuesto de que, si la SIC cumplió con todos los requerimientos especificados, la SIC queda exenta de responsabilidad.

Necesidad de avances en la República Dominicana

De todo lo anterior, se denota que las autoridades dominicanas necesitan avocar su atención hacia una nueva normativa que abarque realmente una protección de datos personales. Nuestra ley al contemplar dos objetos de regulación es larga y confusa, e induce a interpretarla en detrimento de los derechos reconocidos constitucionalmente a los dominicanos.

Debido a los tiempos, esta debe de ser modificada a la luz de los avances de otras normativas internacionales, ya sea la guía existente para Latinoamérica como lo es los Estándares Iberoamericanos de Protección de Datos, o el Reglamento General de Protección de Datos de Europa, de modo que consigamos una ley que este a la par con la homogeneización de disposiciones, y consagre derechos reales y mas abarcadores para los titulares de datos personales dominicanos.

A esto debemos sumarle que dicha ley carece de la creación de un órgano rector que vele por el cumplimiento de las disposiciones de esta normativa, la cual, aunque contempla en el artículo 16 una particularidad, ya que consagra el derecho de indemnización a aquellos interesados que, como consecuencia del incumplimiento de lo dispuesto en la ley, sufran daños y perjuicios puedan proceder conforme al derecho común, debido a la poca cultura de privacidad en nuestro país, al final estas disposiciones pasan por desapercibidas por la sociedad.

Igualmente pasa, con el reconocimiento en los artículos 18 y 19 sobre acciones judiciales, “legitimación activa” y “legitimación pasiva” respectivamente, donde habilita a los ciudadanos a ir en contra quienes vulneren sus derechos, así como, los preceptos de la normativa No. 172-13.

En el plano del sector financiero, la Superintendencia de Bancos es el único ente que la ley designa como encargado de control para la inspección y vigilancia sobre los registros o bancos de datos públicos o privados destinados a proveer informes crediticios. Según la ley, estos tienen potestad de fungir como asesores a los titulares de los datos con respecto a sus derechos, y como ente sancionador en los casos que correspondan por violación a las normas establecidas en esta materia. Sin embargo, en nuestro país a 7 años de promulgada la ley que regula esta materia, no se han registrados inspecciones ni sanciones impuestas por esta Superintendencia.

Cabe destacar que la República Dominicana es miembro de la Red Iberoamericana de Protección de Datos Personales (RIDP), mediante la Dirección General de Ética e Integridad Gubernamental (DIGEIG), no obstante, esta dirección en nuestro país no tiene competencia para propugnar y desarrollar un cultura de privacidad, debido a que el Decreto No. 486-12 que crea esta institución, solo le otorga la titularidad de los temas Ética Gubernamental, Investigación de la Corrupción Administrativa y el Derecho de Acceso a la Información Pública, esta último pilar normado por la Ley No. 200-04.

Por ende, se necesita la creación igualmente de un órgano independiente y centrado en este tema, para conseguir realmente hablar de Protección de datos Personales en la República Dominicana.