La protección de los datos personales reviste una importancia legal de primer orden, ya que la data no solo refleja asuntos de índole personal, sino que también tiene un valor monetario muy importante. En este sentido, es hora de rescatar y volver a conocer a la Ley 172-13 sobre protección de los datos personales asentados en archivos, registros públicos, bancos de datos y otros medios técnicos de tratamiento de datos destinados a dar informes; una ley que ofrece un interesante esquema de protección personal en el país.
Lo interesante de la Ley de Protección de Datos Personales es que se trata prácticamente de dos leyes en una, pues tiene como objeto la regulación de las sociedades de información crediticia (burós de crédito) (SIC), pero también incluye el establecimiento de normativas generalmente aplicables sobre la recopilación y tratamiento de información de índole personal. Vamos a tocar a ambos puntos de manera breve.
Respecto a las SIC, la Ley de Protección de Datos Personales dispone que toda persona pueda accionar ante la Justicia para conocer de la existencia de sus datos privados y, asimismo, para corregir cualquier error o solicitar la actualización de los datos correspondientes. Por igual, el titular de los datos cuenta con el derecho de solicitar su reporte de crédito, de forma gratuita, cuatro veces por año.
Las SIC también deben cumplir con otras obligaciones conforme a la Ley 172-13, entre las cuales están: garantizar al titular de los datos el pleno y efectivo ejercicio del derecho de conocer sobre la información, conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta y uso o acceso no autorizado, realizar oportunamente la actualización, rectificación o supresión de datos en los términos de la ley, entre otros.
Otro aspecto relevante de la ley es que dispone que el tratamiento y la cesión de datos personales, tanto para las SIC como para cualquier otra entidad (ya sea pública o privada, es decir, también aplica a las entidades estatales) que recopile datos personales, es ilícito cuando el titular de los datos no hubiere prestado su consentimiento libre, expreso y consciente, que deberá constar por escrito. La misma ley dispone excepciones a esta regla, como por ejemplo información obtenida de fuentes públicas, que se deriven de una relación comercial o se utilicen para fines mercadológicos.
En este mismo sentido, otras disposiciones generalmente aplicables sobre la recopilación y tratamiento de información de índole personal establecen que los datos personales sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario, con el previo consentimiento del titular. Por igual, la transferencia internacional de datos personales también requiere el consentimiento previo y consciente del titular.
La Ley 172-13 también establece normas especiales para el tratamiento de datos sensibles, como los de menores de edad o respecto a temas de salud. Finalmente, también establece sanciones administrativas, civiles y penales para las personas o entidades que contravengan las disposiciones de la ley.
