Ley No. 172-13 que tiene por objeto la protección integral de los datos personales asentados en archivos, registros públicos, bancos de datos u otros medios técnicos de tratamiento de datos destinados a dar informes, sean estos públicos o privados. G. O. No. 10737 del 15 de diciembre de 2013.
CONSIDERANDO PRIMERO: Que el derecho a la
intimidad y al honor personal es un derecho fundamental consagrado en la
Constitución de la República Dominicana y reconocido por todas las convenciones
y tratados internacionales sobre derechos humanos.
CONSIDERANDO SEGUNDO: Que la intimidad abarca
el ámbito privado de la vida de una persona, prohibido para todas las demás, en
lo que concierne a las informaciones, datos y situaciones que en ese ámbito se
generen, las cuales deben gozar igualmente de la protección adecuada ante la
injerencia de terceros no autorizados.
CONSIDERANDO TERCERO: Que toda persona tiene el
derecho a decidir sobre la utilización de los datos que sobre ella y sus bienes
existan, pudiendo acceder a los mismos de manera libre y demandar la
actualización, rectificación o destrucción de tales datos cuando no sean verídicos.
CONSIDERANDO CUARTO: Que toda persona tiene el
derecho a acceder a la información y a los datos que sobre ella o sus bienes
reposen en los registros oficiales o privados, así como conocer el destino y el
uso que se haga de los mismos.
CONSIDERANDO QUINTO: Que se ha hecho práctica
común en nuestro país la divulgación, uso y comercialización de los datos
personales de los ciudadanos, y que se hace necesario fortalecer el marco legal
para el adecuado y correcto tratamiento de las informaciones personales.
CONSIDERANDO SEXTO: Que esta práctica debe ser
regulada conforme a la ley y a los derechos fundamentales que les garantiza la
Constitución de la República Dominicana a los ciudadanos.
CONSIDERANDO SÉPTIMO: Que en la República
Dominicana, en los últimos tiempos, se han incrementado los delitos y los
crímenes concernientes a la usurpación o el robo de las identidades de las
personas físicas, causándoles daños económicos considerables. En consecuencia,
se hace imperativo regular legalmente para que en los registros públicos y
privados se utilicen técnicas de identificación que dificulten o imposibiliten
el robo de las identidades de las personas físicas al momento de contratar
bienes y servicios ante los organismos públicos, las empresas públicas y las
empresas privadas en el territorio dominicano.
VISTA: La Constitución de la República
proclamada el 26 de enero de 2010.
VISTA: La Declaración Universal de Derechos
Humanos, del 10 de diciembre del año 1948.
VISTA: La Resolución No.684, del 27 de octubre
del año 1977, que aprueba el Pacto Internacional de Derechos Civiles y
Políticos auspiciado por las Naciones Unidas, del 23 de marzo de 1976.
VISTA: La Resolución No.739, del 25 de
diciembre del año 1977, que aprueba la Convención Interamericana sobre Derechos
Humanos, firmada en Washington por la República Dominicana, el 7 de septiembre
del año 1977.
VISTA: La Ley No.19-01, que crea el Defensor
del Pueblo, del 1ro. de febrero del año 2001. VISTA: La Ley General de Salud,
No.42-01, del 8 de marzo del año 2001.
VISTA: La Ley No.76-02 que establece el Código
Procesal Penal de la República Dominicana, del 19 de julio del año 2002.
VISTA:
La Ley No.136-03 que crea el Código para el Sistema de Protección y los
Derechos Fundamentales de Niños, Niñas y Adolescentes, del 7 de agosto del año
2003.
VISTA: La Ley General de Libre Acceso a la
Información Pública No.200-04, del 28 de julio del año 2004.
VISTA: La Ley No.288-05 que regula las
Sociedades de Intermediación Crediticia y de Protección al Titular de la
Información, del 18 de agosto del año 2005.
VISTA: La Ley No.176-07 del Distrito Nacional y
los Municipios, del 17 de julio del año 2007.
VISTA: La Ley General de Archivos de la
República Dominicana No.481-08, del 11 de diciembre del año 2008.
VISTA: La Ley Orgánica del Tribunal
Constitucional y de los Procedimientos Constitucionales, No.l37-11, del 13 de
junio del año 2011.
VISTA: La Resolución No.357-05, del 9 de septiembre de 2005, que aprueba el Tratado de Libre Comercio, suscrito entre la República Dominicana-Centro América y los Estados Unidos de América, en fecha 5 de agosto de 2004.
VISTA: La Ley No.3726 sobre Procedimiento de Casación, del
29 de diciembre del año 1953, y sus modificaciones.
HA DADO LA SIGUIENTE LEY:
CAPÍTULO I
DISPOSICIONES INICIALES
SECCIÓN I
Artículo 1.- Objeto. La presente ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros públicos, bancos de datos u otros medios técnicos de tratamiento de datos destinados a dar informes, sean éstos públicos o privados, así como garantizar que no se lesione el derecho al honor y a la intimidad de las personas, y también facilitar el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el Artículo 44 de la Constitución de la República Dominicana.
Del mismo modo, regula la constitución,
organización, actividades, funcionamiento y extinción de las Sociedades de
Información Crediticia (SIC), así como la prestación de los servicios de
referencias crediticias y el suministro de la información en el mercado, garantizando
el respeto a la privacidad y los derechos de los titulares de la misma,
promoviendo la veracidad, la precisión, la actualización efectiva, la
confidencialidad y el uso apropiado de dicha información.
En ningún caso se afectarán las fuentes de información
periodísticas.
Artículo 2.- Alcance. La presente ley es de
aplicación a los datos de carácter personal registrados en cualquier banco de
datos que los haga susceptibles de tratamiento, y a toda modalidad de uso
posterior de estos datos en los ámbitos público y privado.
Artículo 3.- Ámbito de aplicación. Las normas
de la presente ley son de orden público y de aplicación en todo el territorio
nacional.
Artículo 4.- Restricciones. El régimen de
protección de los datos de carácter personal no aplicará:
- A los archivos de datos personales mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
- A los archivos de datos personales establecidos por los organismos de investigación y de inteligencia de la República Dominicana encargados de la prevención, persecución y castigo de los crímenes y delitos.
- A los archivos de datos personales referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los archivos de datos personales o tratamientos que contengan datos de este con la finalidad de notificar el fallecimiento, aportando acreditación suficiente del mismo.
- A los tratamientos de datos referidos a personas jurídicas, ni a los archivos de datos personales que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes en sus nombres y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
Artículo 5.- Principios. La presente ley se
fundamenta en los siguientes principios:
1. Licitud de los archivos de datos personales.
Los archivos de datos personales no pueden tener finalidades contrarias a las
leyes o al orden público, siendo debidamente registrados y apegados a los
principios establecidos en esta ley.
2. Calidad de los datos. El tratamiento de los
datos e informaciones personales o sus bienes deberá hacerse respetando el
principio de calidad, es decir:
a) Los datos personales que se recojan a los
efectos de su tratamiento deben ser ciertos, adecuados y pertinentes en
relación al ámbito y finalidad para los que se hubieren obtenido.
b) Los datos deben ser exactos y actualizarse
en el caso de que ello fuere necesario.
c) Los
datos total o parcialmente inexactos, o que sean incompletos, deben ser
suprimidos y sustituidos, o, en su caso, completados por el responsable del
archivo o base de datos cuando se tenga conocimiento de la inexactitud o
carácter incompleto de la información de que se trate, sin perjuicio de los
derechos del titular de los datos establecidos en la presente ley.
d) Los datos deben ser almacenados de modo que
permitan el ejercicio del derecho de acceso de su titular.
3. Derecho de información. Cuando se recaben
datos personales que requieran del consentimiento del titular de los datos,
para que se les pueda dar el tratamiento de datos o ser cedidos después de
obtener dicho consentimiento, se deberá informar previamente, a por lo menos
uno de los titulares de los datos, en forma expresa y clara, explicando:
a) La finalidad para la que serán destinados y
quiénes pueden ser sus destinatarios o clase de destinatarios.
b) La existencia del archivo, registro, banco
de datos o de cualquier otro tipo de que se trate y la identidad y domicilio de
su responsable.
c) La posibilidad del interesado de ejercer los
derechos de acceso, rectificación y supresión de los datos.
4.
Consentimiento del afectado. El tratamiento y la cesión de datos personales es
ilícito cuando el titular de los datos no hubiere prestado su consentimiento
libre, expreso y consciente, que deberá constar por escrito o por otro medio
que permita que se le equipare, de acuerdo a las circunstancias. El referido
consentimiento, prestado con otras declaraciones, deberá figurar en forma
expresa y destacada, previa notificación al requerido de los datos descritos en
el numeral 3 del presente artículo.
Están exentos del requisito de consentimiento
al que se refiere el presente artículo todos los organismos de investigación y
de inteligencia del Estado encargados de la prevención, persecución y castigo
de los crímenes y delitos, previa autorización de autoridad judicial competente.
Las entidades de intermediación financiera, los
agentes económicos y las demás personas físicas o jurídicas que hayan
contratado los servicios de información con las Sociedades de Información
Crediticia (SIC), antes de solicitar y obtener un reporte de crédito deberán
recabar del titular de los datos el consentimiento expreso y por escrito,
indicando en dicho permiso que el titular de los datos autoriza a que pueda ser
consultado en las bases de datos de las Sociedades de Información Crediticia
(SIC).
Será responsabilidad de los usuarios
contratantes de los servicios de las Sociedades de Información Crediticia (SIC)
recabar y guardar los permisos de los titulares de la información por un
período de seis (6) meses, a partir del momento en que dicho permiso fue
firmado por el titular de la información. Dentro de este plazo, el titular no
alegará la falta de su autorización para la consulta a la Sociedad de
Información Crediticia (SIC).
Los usuarios o suscriptores deberán guardar
absoluta confidencialidad respecto al contenido de los reportes de crédito que
les sean proporcionados por las Sociedades de Información Crediticia (SIC). En
caso de violación al deber de confidencialidad por parte del usuario o
suscriptor, éste será el único responsable por su actuación dolosa, así como
por su negligencia e imprudencia.
5. Seguridad de los datos. El responsable del
archivo de datos personales y en su caso, el encargado del tratamiento, deberán
adoptar e implementar las medidas de índole técnica, organizativa y de
seguridad necesarias para salvaguardar los datos de carácter personal y eviten
su alteración, pérdida, tratamiento, consulta o acceso no autorizado. En
consecuencia:
a) Queda prohibido registrar datos personales
en archivos, registros o bancos de datos que no reúnan condiciones técnicas de
integridad y seguridad.
b) Los aportantes de datos, las Sociedades de
Información Crediticia (SIC) y los usuarios o suscriptores deben adoptar las
medidas y controles técnicos necesarios para evitar la alteración, pérdida, tratamiento
o acceso no autorizado de los datos sobre historial de crédito que manejen o
reposen en la base de datos de las Sociedades de Información Crediticia (SIC).
c) Las Sociedades de Información Crediticia
(SIC) deben adoptar medidas apropiadas para proteger sus bases de datos contra
los riesgos naturales, como la pérdida accidental o la destrucción por
siniestro, y contra los riesgos humanos, como el acceso sin autorización, la
utilización encubierta de datos o la contaminación por virus informáticos.
6. Deber de secreto. El responsable del archivo
de datos personales y quienes intervengan en cualquier fase del tratamiento de
los datos de carácter personal están obligados al secreto profesional respecto
de los mismos y al deber de guardarlos, obligaciones que subsistirán aún
después de finalizar sus relaciones con el titular del archivo de datos
personales o, en su caso, con el responsable del mismo, salvo que sea relevado
del deber de secreto por resolución judicial y cuando medien razones fundadas
relativas a la seguridad pública, la defensa nacional o la salud pública.
Atendiendo a este principio el deber de secreto contemplará además:
a) El obligado será relevado del deber de
secreto por resolución judicial y cuando medien razones fundadas relativas a la
seguridad pública, la seguridad nacional o la salud pública.
b) Todas las personas físicas o jurídicas, las
entidades públicas o privadas, debidamente reconocidas como usuarios o
suscriptores de una Sociedad de Información Crediticia (SIC), que tengan acceso
a cualquier información relacionada con el historial de un titular de los
datos, de conformidad con esta ley, deberán guardar la debida reserva sobre
dicha información y, en consecuencia, no revelará a terceras personas, salvo
que se trate de una autoridad competente. Los funcionarios públicos o empleados
privados que con motivo de los cargos que desempeñen tengan acceso a la
información de que trata esta ley, están obligados a guardar la debida reserva,
aun cuando cesen en sus funciones.
c) Fuera de los fines establecidos en esta ley,
se prohíbe la divulgación, la publicación, la reproducción, la transmisión y la
grabación del contenido parcial o total de un reporte de cualquier tipo
proveniente de una Sociedad de Información Crediticia (SIC), referente a un
titular de los datos, en cualquiera de sus manifestaciones, en cualquier medio
de comunicación masivo, sea impreso, televisivo, radial o electrónico.
7. Lealtad. Se impone la prohibición de recoger
los datos por medios fraudulentos, desleales o ilícitos.
8. Finalidad de los datos. Los datos solo se
recogerán para su tratamiento, cuando sean adecuados, pertinentes y no
excesivos en relación con el ámbito y las finalidades determinadas, explícitas
y legítimas para los que se hayan obtenido.
DEFINICIONES
1. Afectado o interesado: Toda persona física
cuyas informaciones sean objeto del tratamiento de datos, así como todo
acreedor, sea éste una persona física o jurídica, que tiene o ha tenido una
relación comercial o de tipo contractual con una persona física para el
intercambio de bienes y servicios, donde la persona física es deudora del
acreedor. Toda información que se derive de dicha relación estará asociada por
separado tanto al deudor como al acreedor y se regirá por esta definición. Toda
persona física o jurídica que haya tenido, tenga o solicite tener un bien o
servicio de carácter económico, financiero, bancario, comercial, industrial, o
de cualquier otra naturaleza, con una institución de intermediación financiera
o con un agente económico, según proceda conforme a la ley.
2. Archivo de datos personales: Conjunto
organizado de datos de carácter personal, que sean objeto de tratamiento o
procesamiento, automatizado o no, cualquiera que fuere la forma o modalidad de
su creación, almacenamiento, organización y acceso. Los mismos serán de
titularidad privada o de titularidad pública.
3. Archivos de datos de titularidad privada:
Son aquellos archivos de datos personales de los que sean responsables las
personas, empresas o entidades de derecho privado, con independencia de quien
ostente la titularidad de su capital o de la procedencia de sus recursos
económicos, así como los archivos de los que sean responsables las
corporaciones de derecho público.
4. Archivos de datos de titularidad pública:
Son aquellos archivos de datos personales de los que sean responsables los
órganos de la administración pública, así como las entidades u organismos
vinculados o dependientes de la misma y las entidades autónomas y
descentralizadas del Estado.
5. Cancelación: Procedimiento en virtud del
cual el responsable del tratamiento cesa en el uso de los datos, excepto para
su puesta a disposición de la administración pública, jueces y tribunales, para
la atención de las posibles responsabilidades.
6. Cesión o comunicación de datos: Tratamiento
de datos que supone su revelación a una persona distinta del afectado o
interesado.
7. Consentimiento del interesado: Toda
manifestación de voluntad, libre, inequívoca, específica e informada, mediante
la que el interesado consiente el tratamiento de datos personales que le
conciernen.
8. Datos especialmente protegidos: Datos de
carácter personal que revelan origen racial y étnico, opiniones políticas,
convicciones religiosas, filosóficas o morales, afiliación sindical e
información referente a la salud o a la vida sexual.
9. Datos de carácter personal: Cualquier
información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier
otro tipo concerniente a personas físicas identificadas o identificables.
10. Datos de carácter personal relacionados con
la salud: Cualquier información concerniente a la salud pasada, presente y
futura, física o mental, de un individuo.
11. Destinatario o cesionario: Persona física o
jurídica, pública o privada, u órgano administrativo, al que se revelen los
datos.
12. Encargado del tratamiento: La persona
física o jurídica, pública o privada, que realice el tratamiento de los datos
personales por cuenta del responsable del tratamiento.
13. Exportador de datos personales: Persona
física o jurídica, pública o privada, u órgano administrativo situado en
territorio dominicano que realice, conforme a lo dispuesto en esta ley, una
transferencia de datos de carácter personal a un país tercero.
14. Fuentes accesibles al público: Aquellos
archivos de datos personales cuya consulta puede ser realizada por cualquier
persona, no impedida por una norma limitativa. Tienen la consideración de
fuentes de acceso público los repertorios telefónicos en los términos previstos
por su normativa específica y las listas de personas pertenecientes a grupos de
profesionales que contengan únicamente los datos de nombre, título, profesión,
actividad, grado académico, dirección e indicación de su pertenencia al grupo.
Asimismo, tienen el carácter de fuentes de acceso público, boletines oficiales
y los medios de comunicación.
15. Importador de datos personales: Persona
física o jurídica, pública o privada, u órgano administrativo receptor de los
datos, en caso de transferencia internacional de los mismos a un tercer país,
ya sea responsable del tratamiento, encargada del tratamiento o tercero.
16. Persona identificable: Toda persona cuya
identidad pueda determinarse, directa o indirectamente, mediante cualquier
información referida a su identidad física, fisiológica, psíquica, económica,
cultural o social.
17. Procedimiento de disociación: Todo
tratamiento de datos personales de manera que la información obtenida no pueda
asociarse a persona determinada o determinable, mediante el uso de técnicas de
codificación, de modo que no permita identificar a la persona física ante terceros.
18. Responsable del tratamiento: Toda persona,
pública o privada, titular del archivo de datos personales que decide la
finalidad, el contenido, los medios del tratamiento y el uso de la información
obtenida con el tratamiento de los datos personales.
19. Tercero: Persona física o jurídica, pública
o privada, u órgano administrativo distinto del afectado o interesado, del
responsable del tratamiento, del responsable del fichero, del encargado del
tratamiento y de las personas autorizadas para tratar los datos bajo la
autoridad directa del responsable del tratamiento o del encargado del
tratamiento.
20. Transferencia internacional de datos:
Tratamiento de datos que supone una transmisión de los mismos fuera del
territorio de la República Dominicana, sin importar el soporte, bien constituya
una cesión o comunicación de datos, bien tenga por objeto la realización de un
tratamiento de datos por cuenta del responsable del archivo de datos personales
establecido en territorio dominicano.
21. Tratamiento de datos: Operaciones y
procedimientos sistemáticos, electrónicos o no, que permitan la recolección,
conservación, ordenamiento, almacenamiento, modificación, relación, evaluación,
bloqueo, destrucción y, en general, el procesamiento de datos personales, así
como también su cesión a terceros a través de comunicaciones, consultas,
interconexiones o transferencias. Es decir, cualquier operación o conjunto de
operaciones o procedimientos técnicos, automatizados o no, que dentro de una
base de datos permiten recopilar, organizar, almacenar, elaborar, seleccionar,
extraer, confrontar, compartir, comunicar, transmitir o cancelar datos de
consumidores.
22. Salario mínimo: Será el salario mínimo
nacional más bajo percibido por los trabajadores del sector privado no
sectorizado de empresas industriales, comerciales y de servicios, fijado por el
Comité Nacional de Salarios del Ministerio de Trabajo de la República
Dominicana.
23. Agentes económicos: Personas físicas o
jurídicas, proveedoras de bienes y servicios.
24. Aportantes de datos: Las instituciones de
intermediación financiera, los agentes económicos y las entidades públicas que
suministran información relativa a sus operaciones a una Sociedad de
Información Crediticia (SIC), destinada a conformar su base de datos.
25. Archivo, registro, ficheros, base o banco
de datos: Indistintamente, designan al conjunto organizado de datos personales
que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera
que fuere la modalidad de su formación, almacenamiento, organización o acceso.
Incluye también el conjunto de informaciones que proporcionan directamente los
aportantes de datos, así como otras informaciones de carácter y dominio público,
ya sea por su procedencia o por su naturaleza.
26. Sociedad de Información Crediticia (SIC):
Sociedad comercial que se dedica a recopilar, organizar, almacenar, conservar,
comunicar, transferir o transmitir datos, sobre los consumidores, bienes o servicios
relacionados con éstos, así como cualquier otra información suministrada por la
Superintendencia de Bancos, a través de procedimientos técnicos, automatizados
o no, en forma documental, digital o electrónica.
27. Cedente: Entidad que cede o transfiere
información.
28. Puntaje de crédito: Es una metodología que
se basa en modelos de tipo probabilísticos, matemáticos y econométricos, que
tratan de medir una serie de variables y datos con la finalidad de obtener
información valiosa para la toma de decisiones crediticias, aplicando
evaluaciones actuariales estadísticas por medio de programas informáticos
especializados de análisis retrospectivo y de tendencia inferencial para tal
fin.
29. Datos del historial de crédito o datos
crediticios: Información relativa al historial crediticio de una persona física
o jurídica, así como cualquier otra información suministrada por la
Superintendencia de Bancos u otras de carácter y dominio público, ya sea por su
procedencia o por su naturaleza.
30. Datos informáticos: Los datos personales
sometidos al tratamiento o procesamiento electrónico o automatizado.
31. Datos sensibles: Datos personales que
revelan las opiniones políticas, las convicciones religiosas, filosóficas o
morales, la afiliación sindical e información referente a la salud o a la vida
sexual.
32. Días hábiles: Son los días laborables que
no incluyen los sábados ni los domingos, ni los días feriados en la República
Dominicana.
33. Entidades de intermediación financiera:
Aquellas entidades públicas o privadas que realicen intermediación financiera,
previa autorización de la Junta Monetaria.
34. Entidades públicas: El Poder Legislativo
del Estado, compuesto por el Congreso Nacional y cualquiera de sus
dependencias; el Poder Ejecutivo del Estado y todas las dependencias y
entidades de la administración pública; el Poder Judicial del Estado y todos
sus órganos; los tribunales administrativos estatales; los ayuntamientos
municipales, organismos gubernamentales u oficiales descentralizados y con
autonomía pública, y las demás entidades a las que la Constitución y las leyes
estatales reconozcan como de interés público.
35. Información crediticia: Información de
carácter económico, financiero, bancario o comercial relacionada a un
consumidor sobre sus obligaciones, historial de pago, garantías y clasificación
de deudor, de tal modo que permita la correcta e inequívoca identificación,
localización y descripción del nivel de endeudamiento del titular en un
determinado momento.
36. Información pública: Todo registro, archivo
o cualquier dato que se recopile, mantenga, procese o se encuentre en poder de
las entidades públicas a las que se refiere esta ley. Asimismo, toda
información que en virtud de la Constitución de la República Dominicana
garantice el principio de publicidad de los actos de los Poderes del Estado y
el derecho de acceso a la información pública, establecido en la Ley General de
Libre Acceso a la Información Pública No.200-04, de fecha 28 de julio de 2004.
37. Junta Monetaria: Institución a la que se
refiere la Ley Monetaria y Financiera.
38. Registro Público: Entidades públicas o
privadas destinadas a proveer informes lícitos, sean éstos de crédito o no.
39. Reporte de crédito: La información
crediticia presentada por una Sociedad de Información Crediticia (SIC), en
forma documental, digital o electrónica, para ser proporcionada a un usuario o
suscriptor que lo haya solicitado de conformidad con esta ley.
40. Reporte de información pública: La
información presentada por una Sociedad de Información Crediticia (SIC), en
forma documental, digital o electrónica que se recopile, mantenga, almacene,
actualice, grabe, organice, elabore, procese o se encuentre en el Poder
Judicial y cualquiera de sus órganos consignados en la Constitución y en la Ley
de Organización Judicial.
41. Reporte de seguros: La información
presentada por un banco de dato, con autorización para ello, en forma
documental, digital o electrónica que se recopile, mantenga, almacene,
actualice, grabe, organice, elabore, procese o se encuentre en el sector
asegurador.
42. Reporte para fines de cobro: La información
presentada por una Sociedad de Información Crediticia (SIC), en forma
documental, digital o electrónica que se recopile, mantenga, almacene,
actualice, grabe, organice, elabore o procese en virtud del otorgamiento de un
crédito, en el cual el deudor, cuyo último domicilio se desconoce, haya
incumplido su obligación con el acreedor en perjuicio de éste.
43. Responsable de archivo, registro, base o
banco de datos: Persona física o jurídica, pública o privada, que es titular de
un archivo, registro, base o banco de datos.
44. Riesgo: Es aquel relacionado a obligaciones
o antecedentes financieros, comerciales, de seguros o de cualquier otra
naturaleza de una persona física o jurídica, que permita evaluar la trayectoria
de endeudamiento, de pago y afines.
45. Secreto bancario: Al que se refiere el
Artículo 55, literal b) de la Ley Monetaria y Financiera.
46. Secreto profesional: Al que se refiere el
Código Penal dominicano.
47. Superintendencia de Bancos: Entidad a la
que se refiere la Sección V, artículos 18, 19, 20 y 21 de la Ley Monetaria y
Financiera No.183-02, de fecha 21 de noviembre de 2002.
48. Titular de los datos, deudor, consumidor, cliente o titular de la información: Toda persona física cuyas informaciones sean objeto del tratamiento de datos, así como todo acreedor, sea éste una persona física o jurídica, que tiene o ha tenido una relación comercial o de tipo contractual con una persona física para el intercambio de bienes y servicios, donde la persona física es deudora del acreedor. Toda información que se derive de dicha relación estará asociada por separado tanto al deudor como al acreedor y se regirá por esta definición.
Toda persona física o
jurídica que haya tenido, tenga o solicite tener un bien o servicio de carácter
económico, financiero, bancario, comercial, industrial, o de cualquier otra
naturaleza, con una institución de intermediación financiera o con un agente
económico, según proceda conforme a la ley.
49. Usuario de datos, suscriptor o afiliado:
Toda persona, pública o privada, que realice a su arbitrio el tratamiento de
datos, ya sea en archivos, registros o bancos de datos propios o a través de
conexión con los mismos. Igualmente, las entidades de intermediación
financiera, los agentes económicos, las entidades públicas, y las demás
personas físicas o jurídicas que mantengan acuerdos con las Sociedades de
Información Crediticia (SIC) para acceder a las informaciones de los
consumidores.
CAPÍTULO II
DISPOSICIONES GENERALES
SECCIÓN I
DE LOS DERECHOS DE LAS PERSONAS Y SU EJERCICIO
Artículo 7.- Derecho de consulta para la
protección de datos. Toda persona tiene derecho a una acción judicial para
conocer de la existencia y acceder a los datos que de ella consten en registros
o bancos de datos públicos o privados y, en caso de discriminación, inexactitud
o error, exigir la suspensión, rectificación y la actualización de aquellos,
conforme a esta ley.
Artículo 8.- Condiciones generales para el
ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
Toda persona tiene derecho a que sean rectificados, actualizados, y, cuando
corresponda, suprimidos, los datos personales de los que sea titular y que
estén incluidos en un banco de datos.
El responsable del banco de datos, después de
verificar y comprobar la pertinencia de la reclamación, debe proceder a la
rectificación, supresión o actualización de los datos personales del afectado,
realizando las operaciones necesarias a tal fin, en el plazo máximo de diez
(10) días hábiles de recibido el reclamo del titular de los datos o advertido
el error o inexactitud.
El incumplimiento de esta obligación dentro del
término acordado en el inciso precedente, habilitará al interesado a promover
sin más requisitos la acción de protección de los datos personales o de hábeas
data prevista en esta ley.
En el supuesto de cesión o transferencia de
datos, el responsable o usuario del banco de datos debe notificar la rectificación
o supresión al cesionario dentro de cinco (5) días hábiles de efectuado el
tratamiento del dato. La supresión no procede cuando pudiese causar perjuicios
a derechos o intereses legítimos de terceros, o cuando existiera una obligación
contractual o legal de conservar los datos.
Durante el proceso de verificación y
rectificación del error o inexactitud de la información de que se trate, el
responsable o usuario del banco de datos deberá consignar, al proveer
información relativa al demandante, la circunstancia de que se encuentra
sometida a revisión o impugnación.
La rectificación, actualización o supresión de
datos personales inexactos o incompletos que existan en registros públicos o
privados se efectuará sin cargo alguno para el interesado.
Artículo 9.- Independencia de los derechos de
acceso, rectificación, cancelación y oposición. Los derechos de acceso,
rectificación, cancelación y oposición son derechos independientes. No puede
entenderse que el ejercicio de ninguno de ellos sea requisito previo para el
ejercicio de otro.
Artículo 10.- Derecho de acceso. Toda persona
tiene el derecho a acceder a la información y a los datos que sobre ella o sus
bienes reposen en los registros oficiales o privados, así como conocer el
destino y el uso que se haga de los mismos, con las limitaciones fijadas por
esta ley. El tratamiento de los datos e informaciones personales o de sus
bienes deberá hacerse respetando los principios de calidad, licitud, lealtad,
seguridad y finalidad. Solicitarán ante la autoridad judicial competente la
actualización, oposición al tratamiento, rectificación o destrucción de
aquellas informaciones que afecten ilegítimamente sus derechos.
El ejercicio del derecho al cual se refiere
este artículo, en el caso de datos de personas fallecidas, le corresponderá a
sus sucesores universales.
El titular de los datos, previa acreditación de
su identidad, tiene derecho a solicitar y obtener información de sus datos
personales incluidos en los bancos de datos públicos, en los registros
oficiales de las entidades, organismos y empresas públicas, así como sus datos
registrados en los archivos de las instituciones y las empresas privadas, o en
los bancos de datos privados.
El usuario del banco de datos debe proporcionar
la información solicitada por el titular de los datos dentro de cinco (5) días
hábiles posteriores a haber sido hecha de manera personal dicha solicitud, o
vía acto de alguacil. Vencido el plazo sin que se satisfaga el pedido, el titular
de los datos podrá incoar una acción judicial ante un juzgado de primera
instancia para conocer de la existencia y acceder a los datos que de él consten
en registros o bancos de datos públicos o privados, conforme al procedimiento previsto
en esta ley.
La SIC deberá adoptar todos los mecanismos de
seguridad con el propósito de garantizar la protección de la confidencialidad
de la información crediticia perteneciente al titular de los datos, y que éste
pueda acceder, de forma exclusiva, a su propia información.
Artículo 11.- Procedimientos de acceso. Los
titulares de datos tendrán el derecho de solicitar a la Sociedad de Información
Crediticia (SIC) su historial crediticio o reporte de crédito. Este derecho
será ejercido en forma gratuita cuatro (4) veces por año, y a intervalos no
inferiores a tres (3) meses, salvo que se demuestre un interés legítimo al
efecto. El historial crediticio o reporte de crédito personal puede ser
visualizado en las oficinas de las Sociedades de Información Crediticia (SIC);
opcionalmente, el titular de los datos puede solicitar el acceso seguro a
través de una plataforma vía Internet.
Artículo 12.- Plazo. La Sociedad de Información
Crediticia (SIC) deberá presentar el reporte de crédito solicitado en forma clara,
completa y accesible, y deberá ponerlo a disposición del titular de los datos
en un plazo no mayor de cinco (5) días hábiles, contados a partir de la fecha
en que la Sociedad de Información Crediticia (SIC) hubiera recibido la
solicitud correspondiente. Igual disposición aplica para las demás entidades
que manejan bancos de datos, públicos o privados.
Artículo 13.- Los responsables del tratamiento
de datos deberán cumplir los siguientes deberes:
- Garantizar al titular de los datos, en cualquier circunstancia, el pleno y efectivo ejercicio del derecho de hábeas data.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta y uso o acceso no autorizado.
- Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.
- Tramitar las consultas y los reclamos formulados por los titulares de los datos.
- Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley, y, en especial, para la atención de consultas y reclamos por parte de los titulares de la información.
- Permitir el acceso a la información únicamente a las personas que pueden tener derecho a ella
Artículo 14.- Derechos de rectificación y
cancelación. Toda persona tiene derecho a que sean rectificados, actualizados,
y, cuando corresponda, suprimidos, los datos personales de los que sea titular
y que estén incluidos en un banco de datos.
Artículo 15.- Bloqueo de datos. La cancelación
dá lugar al bloqueo de los datos, conservándose únicamente a disposición de los
poderes del Estado para la atención de las posibles responsabilidades nacidas
del tratamiento durante el plazo de prescripción de éstas. Cumplido el citado
plazo deberá procederse a la supresión. En todo caso, la supresión no procede
cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros,
o cuando existiera una obligación legal de conservar los datos.
Artículo 16.- Derecho a indemnización. Los
interesados que como consecuencia del incumplimiento de lo dispuesto en la
presente ley, sufran daños y perjuicios, tienen el merecimiento a ser
indemnizados conforme al derecho común.
Artículo 17.- Acción de hábeas data. Sin
perjuicio de los mecanismos establecidos para el ejercicio de los derechos de
los interesados, éstos podrán ejercer la acción judicial de hábeas data de
conformidad con la Constitución y las leyes que rigen la materia.
La acción judicial de hábeas data procederá
para tomar conocimiento de la existencia de los datos personales almacenados en
archivos, registros o bancos de datos públicos o privados que se deriven de una
relación comercial, laboral o contractual con una entidad pública o privada; o
simplemente, para tomar conocimiento de los datos personales que se presuma que
existen almacenados en archivos, registros o bancos de datos públicos o
privados.
En los casos en que se presuma inexactitud, la
desactualización de la información de que se trata, o el tratamiento de datos
cuyo registro se encuentre prohibido en la presente ley, para exigir su
rectificación, supresión o actualización.
Artículo
18.- Legitimación activa. La acción de protección de los datos personales o de
hábeas data será ejercida por el afectado, sus tutores, los sucesores o sus
apoderados. Cuando la acción judicial sea ejercida por personas jurídicas
deberá ser interpuesta por sus representantes legales o los apoderados que
éstas designen a tal efecto.
Artículo 19.- Legitimación pasiva. La acción
judicial procederá con respecto a los responsables y usuarios de bancos de
datos públicos y privados destinados a proveer informes, cuando actúen
contrario a las disposiciones establecidas en la presente ley.
Artículo 20.- Competencia. Será competente para
conocer de esta acción el juez del domicilio del demandado, y para el caso de
pluralidad de demandados, en el domicilio de uno de ellos.
Artículo 21.- Procedimiento aplicable. La
acción de hábeas data se tramitará según las disposiciones de la presente ley y
por el procedimiento que corresponde a la acción de amparo.
El registro o el banco de datos, mientras dure
el procedimiento, debe asentar o publicar en los informes que la información
cuestionada está sometida a un proceso judicial o de impugnación de hábeas
data.
Artículo 22.- Trámite de la demanda de hábeas
data. Sometida la acción, el juez requerirá, mediante resolución motivada, al
archivo, registro o banco de datos la remisión de la información concerniente
al demandante. Podrá, asimismo, solicitar informes sobre el soporte técnico de
datos.
Artículo 23.- Contestación del informe. Al
contestar el informe, el archivo, registro o banco de datos deberá expresar las
razones por las cuales incluyó la información cuestionada y aquellas por las
que no obtemperó al pedido efectuado por el interesado.
Artículo 24.- Ampliación de la demanda de
hábeas data. Contestado el informe por parte del demandado, en el término de
diez (10) días hábiles, el demandante deberá presentar las pruebas fehacientes
de que su caso se trata de una información incorrecta, errónea o inexacta, y
podrá exigir la suspensión, rectificación y actualización de aquellas
informaciones que afecten ilegítimamente sus derechos.
Artículo 25.- Procedimiento de reclamación aplicable a las Sociedades de Información Crediticia (SIC) para la modificación, rectificación y cancelación de la información del titular. Cuando los titulares de los datos no estén conformes con la información contenida en un reporte proveniente de una Sociedad de Información Crediticia (SIC) o de las entidades que desarrollan herramientas de puntaje de crédito, podrán presentar una reclamación.
Dicha reclamación deberá presentarse por instancia o mediante
acto de alguacil en el que se señale con claridad los registros en que conste
la información impugnada, así como copias de la documentación en que
fundamenten su inconformidad. En caso de no contar con la documentación
correspondiente, deberán explicar esta situación en el escrito que utilicen
para presentar su reclamación:
- Las Sociedades de Información Crediticia (SIC) no están obligadas a tramitar reclamaciones sobre la información contenida en los registros que hayan sido objeto de una reclamación previa, respecto de la cual se haya seguido el procedimiento de reclamación previsto en el presente artículo.
- Las Sociedades de Información Crediticia (SIC) deberán entregar a la unidad especializada de las entidades de intermediación financiera o, en el caso de agentes económicos, a quienes designen como encargados para esos fines, la reclamación presentada por el titular de los datos, dentro de un plazo de diez (10) días hábiles, contados a partir de la fecha en que la Sociedad de Información Crediticia (SIC) la hubiere recibido. Los aportantes de datos de que se trate deberán responder por escrito a la reclamación presentada por el titular de la información, dentro del plazo de diez (10) días hábiles.
- Una vez que la Sociedad de Información Crediticia (SIC) notifique por escrito la reclamación al aportante de datos respectivo, deberá incluir en el registro de que se trate la leyenda: “Registro Impugnado por Hábeas Data”, la cual no se eliminará hasta que concluya el trámite contenido en el numeral anterior.
- Si las unidades especializadas de las entidades de intermediación financiera, o en el caso de agentes económicos, de quienes designen como responsables para esos efectos, no hacen llegar a las Sociedades de Información Crediticia (SIC) su respuesta a la reclamación presentada por el titular de la información dentro de un plazo de diez (10) días hábiles, contados a partir de que hayan recibido la notificación de la reclamación, las Sociedades de Información Crediticia (SIC) deberán modificar o eliminar de sus bases de datos la información que conste en el registro de que se trate, según le haya solicitado el titular de los datos, así como la leyenda: “Registro Impugnado por Hábeas Data”.
- Si el aportante de datos acepta total o parcialmente lo señalado en la reclamación presentada por el titular de los datos, el aportante de datos deberá realizar de inmediato las modificaciones apropiadas en su base de datos y notificará de lo anterior a las Sociedades de Información Crediticia (SIC) que le haya enviado la reclamación, remitiéndole de nuevo a las Sociedades de Información Crediticia (SIC) la corrección efectuada a sus bases de datos.
- En caso de que el aportante de datos acepte parcialmente lo señalado en la reclamación o señale la improcedencia de esta, deberá expresar en su respuesta, mediante instancia dirigida a la Sociedad de Información Crediticia (SIC) y visada por éste, los elementos que consideró respecto de la reclamación. La Sociedad de Información Crediticia (SIC) deberá poner a disposición del titular de los datos que haya presentado la reclamación una copia de dicha instancia, dentro de los cinco días hábiles siguientes a que reciba la respuesta del aportante de datos.
- En caso de que la reclamación presentada por el titular de los datos sea rechazada por el aportante de datos, y cuando el titular de los datos no esté de acuerdo con los argumentos presentados por el aportante de datos, las Sociedades de Información Crediticia (SIC) queda eximido de responsabilidad frente al titular de los datos. Las Sociedades de Información Crediticia (SIC) mantendrán el registro de que se trate con la leyenda: “Registro Impugnado por Hábeas Data”, la cual no se eliminará hasta tanto: (1) La Sociedad de Información Crediticia (SIC) reciba la instancia donde conste que el aportante de datos autorice a las Sociedades de Información Crediticia (SIC) a corregir los datos, obtemperando al pedimento del titular de los datos; o (2) hasta que a las Sociedades de Información Crediticia (SIC) le sea notificada una sentencia definitiva e irrevocable favoreciendo al titular de los datos, dirimiendo el conflicto entre el titular de los datos y el aportante de datos, en cuyo caso las Sociedades de Información Crediticia (SIC) eliminarán la leyenda: “Registro Impugnado por Hábeas Data” y deberán corregir los datos en un plazo no mayor de cinco (5) días hábiles a partir de la fecha en que la Sociedad de Información Crediticia (SIC) reciba dicha sentencia.
- En caso de que los errores objeto de la reclamación presentada por el titular de los datos sean imputables a las Sociedades de Información Crediticia (SIC), éste deberá corregirlos en un plazo no mayor de cinco (5) días hábiles a partir de la fecha en que la Sociedad de Información Crediticia (SIC) reciba la respuesta del aportante de datos.
- Las Sociedades de Información Crediticia (SIC) sólo incluirán nuevamente dentro de su base de datos la información previamente contenida en los registros que hayan modificado o eliminado cuando el aportante de datos le envíe los elementos que sustenten, a juicio de éste, la inclusión, nuevamente, de la información impugnada. En tal supuesto, la Sociedad de Información Crediticia (SIC) eliminará la leyenda: “Registro Impugnado por Hábeas Data”, e informará de dicha situación al titular de los datos, poniendo a su disposición la respuesta del aportante de datos, junto con un nuevo reporte de crédito, en un plazo de cinco (5) días hábiles, contados a partir de la fecha en que el aportante de datos haya incluido nuevamente la información impugnada por el titular de los datos en la información suministrada a la Sociedad de Información Crediticia (SIC).
- Las Sociedades de Información Crediticia (SIC) no tendrán responsabilidad alguna con motivo de las modificaciones, inclusiones o eliminaciones de informaciones o de registros que realicen como parte del procedimiento de reclamación previsto en este artículo. En el desarrollo de dicho procedimiento las Sociedades de Información Crediticia (SIC) se limitarán a entregar a los aportantes de datos y a los titulares de los datos la documentación que a cada uno corresponda en los términos de los artículos anteriores, y no tendrá a su cargo resolver, dirimir o actuar como amigable componedor de las diferencias que surjan entre ellos.
- En los casos en que la reclamación resulte con una modificación a la información del titular de los datos contenido en la base de datos de la Sociedad de Información Crediticia (SIC), ésta deberá poner gratuitamente a disposición del titular de los datos un nuevo reporte de crédito en la unidad especializada de las Sociedades de Información Crediticia (SIC).
- Los casos en los cuales la información reclamada o impugnada provenga de una entidad pública definida en esta ley, la Sociedad de Información Crediticia (SIC) recibirá la reclamación de parte del titular de los datos, con los documentos que le sirven de base, en caso que los hubiere, y dispondrá de un plazo de hasta quince (15) días hábiles para verificar con dichas entidades y corregir la información contenida en su base de datos, en los casos en que procediere.
- El titular de los datos que se considere afectado por una información contenida en un reporte proveniente de una Sociedad de Información Crediticia (SIC) tiene un plazo de diez (10) días hábiles, contados a partir de haber agotado el procedimiento de reclamación estipulado en la presente ley, para iniciar su acción por ante los tribunales competentes. Después de haber agotado el procedimiento de reclamación aplicable a la Sociedad de Información Crediticia (SIC), sea este interpuesto por una persona física o jurídica, y después de que la Sociedad de Información Crediticia (SIC) haya cumplido con los requerimientos especificados en este artículo, la Sociedad de Información Crediticia (SIC) queda exenta de responsabilidad.
Artículo 26.- Excepciones a los derechos de
acceso, rectificación, cancelación y oposición. Mediante resolución judicial
los responsables o usuarios de bancos de datos oficiales pueden denegar el
acceso, rectificación o la supresión en función de la protección de la
seguridad nacional, del orden y la seguridad pública, o de la protección de los
derechos e intereses de terceros. Estas excepciones no pueden interferir con
los derechos a que se hace acreedor cada ciudadano y que consagre la
Constitución de la República Dominicana.
La información sobre datos personales también
puede ser denegada por los responsables o usuarios de bancos de datos públicos,
cuando de tal modo se pudieran obstaculizar actuaciones judiciales o
administrativas en curso vinculadas a la investigación sobre el cumplimiento de
obligaciones tributarias, el desarrollo de funciones de control de la salud y
del medio ambiente, la investigación de crímenes y delitos por la autoridad
competente y la verificación de infracciones administrativas.
Artículo 27.- Excepciones al requerimiento de
consentimiento. No será necesario el consentimiento para el tratamiento y la
cesión de datos cuando:
- Se obtengan de fuentes de acceso público.
- Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal.
- Se trate de listas para fines mercadológicos, cuyos datos se limiten a nombre, cédula de identidad y electoral, pasaporte, identificación tributaria y demás informaciones biográficas.
- Se deriven de una relación comercial, laboral o contractual, científica o profesional con la persona física, y resulten necesarios para su desarrollo o cumplimiento.
- Se trate de datos personales que reciban de sus clientes en relación a las operaciones que realicen las entidades de intermediación financiera reguladas por la Ley Monetaria y Financiera y de agentes económicos, de las Sociedades de Información Crediticia (SIC), y de las entidades que desarrollan herramientas de puntajes de crédito para la evaluación del riesgo de los deudores del sistema financiero y comercial nacional, de acuerdo a las condiciones establecidas en el Artículo 5, numeral 4.
- Así lo disponga una ley.
- Se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias.
- Se trate de datos personales relativos a la salud, y sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve el secreto de la identidad de los titulares de los datos mediante mecanismos de disociación adecuados.
- Se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos no sean identificables.
Artículo 28.- Cesión. Los datos personales
objeto de tratamiento de datos sólo pueden ser cedidos para el cumplimiento de
los fines directamente relacionados con el interés legítimo del cedente y del
cesionario, con el previo consentimiento de por lo menos uno de los titulares
de los datos.
CAPÍTULO III
DISPOSICIONES ORGÁNICAS
SECCIÓN I
ÓRGANO DE CONTROL
Artículo 29.- Naturaleza. Los archivos, registros
o bancos de datos, públicos o privados, destinados a proveer informes
crediticios estarán sujetos a la inspección y vigilancia de la Superintendencia
de Bancos como órgano de control.
El órgano de control deberá realizar todas las
acciones necesarias para el cumplimiento de los objetivos y demás disposiciones
de la presente ley. A tales efectos, tendrá las siguientes funciones y
atribuciones:
- Asistir y asesorar a las personas físicas que lo requieran acerca de los alcances y de los medios legales de que disponen para la defensa de los derechos que ésta garantiza.
- Imponer las sanciones administrativas que en su caso correspondan por violación a las normas establecidas.
Artículo 30.- La prestación de servicios
consistentes en la recopilación, procesamiento e intercambio de información
acerca del historial crediticio de una persona física o jurídica, siempre y
cuando dicha información provenga de las entidades de intermediación financiera
reguladas por la Ley Monetaria y Financiera, y de agentes económicos, así como cualquier
otra información que se considere útil para la elaboración de un eficiente
reporte de crédito, tales como aquellas de naturaleza y carácter público, sólo
se llevará a cabo por las Sociedades de Información Crediticia (SIC) que
obtengan la autorización previa de la Junta Monetaria.
Artículo 31.-La solicitud para operar como
Sociedad de Información Crediticia (SIC) se formalizará por ante la Superintendencia
de Bancos, la cual tramitará la solicitud con su opinión a la Junta Monetaria.
Artículo 32.- La Junta Monetaria sólo autorizará a una sociedad comercial a operar como una Sociedad de Información Crediticia (SIC), cuando ésta:
1.Presente los siguientes documentos constitutivos:
a) Relación actualizada de los accionistas,
indicando el capital que cada uno de ellos suscribió y pagó para constituir el
capital social suscrito y pagado de la Sociedad de Información Crediticia
(SIC).
b)
Relación de los integrantes de los distintos consejos y principales
funcionarios de la Sociedad de Información Crediticia (SIC), incluyendo a
aquellos que ocupen cargos con la jerarquía inmediata inferior a la del
director o administrador general, así como su curriculum vitae.
c) Los demás documentos constitutivos,
incluyendo el Certificado de Registro Mercantil sobre Sociedades de Comercio,
emitido por la Cámara de Comercio y Producción correspondiente, y el documento
emitido por la Dirección General de Impuestos Internos, donde conste la
asignación del número de Registro Nacional de Contribuyentes.
2. Presente constancia de la existencia real en las cuentas de la sociedad de los recursos aportados por los socios para constituir el capital social suscrito y pagado de la sociedad.
3. Presente el programa general de funcionamiento, que comprenda por lo menos:
a) La descripción de los sistemas de cómputo de
recopilación y proceso de recopilación y procesamiento de información.
b) Las características de los productos y
servicios que prestarán a los usuarios o suscriptores.
c) Las
políticas de prestación de servicios con que pretenden operar.
d) Las medidas de seguridad y control, a fin de
evitar el manejo indebido de la información.
e) Las bases de organización.
f) El plan de contingencia en caso de desastre.
4. Presente cualquier otra información o
documentación conexa que la Superintendencia de Bancos le solicite por escrito,
a efecto de evaluar la solicitud respectiva para emitir la opinión que deberá
rendir a la Junta Monetaria antes de que ésta proceda a emitir su autorización.
Estas disposiciones no serán aplicables a la
Sociedad de Información Crediticia (S1C) que al momento de promulgación de la
presente ley tengan al menos cinco (5) años operando como tales.
Artículo 33.- El nombramiento de los consejeros
y del director o administrador general de las Sociedades de Información
Crediticia (SIC) no recaerá en las personas siguientes:
1. Las condenadas por sentencia definitiva e
irrevocable, por crímenes o delitos, las inhabilitadas para ejercer el comercio
o para desempeñar un empleo, cargo o comisión en el servicio público, o en el
sistema financiero dominicano, durante el tiempo que dure su inhabilitación.
2. Las
quebradas que no hayan sido rehabilitadas.
3. Las que realicen funciones de regulación,
inspección o vigilancia respecto de las Sociedades de Información Crediticia
(SIC).
Las Sociedades de Información Crediticia (SIC)
deberán informar a la Superintendencia de Bancos el nombramiento del
administrador general, dentro de los cinco (5) días hábiles posteriores a su
designación, manifestando expresamente que el mismo cumple con los requisitos
aplicables.
Ningún representante de las entidades de intermediación
financiera puede ser nombrado como consejero director o administrador general
de una Sociedad de Información Crediticia (SIC); asimismo, ninguna entidad de
intermediación financiera puede ser accionista de una Sociedad de Información
Crediticia (SIC), ni adquirir instrumentos de inversión en las mismas.
Artículo 34.- Previo al inicio de actividades,
las Sociedades de Información Crediticia (SIC) deberán inscribirse en el
registro público de Sociedad de Información Crediticia (SIC) que estará a cargo
de la Superintendencia de Bancos.
Artículo 35.- Las Sociedades de Información
Crediticia (SIC) llevarán a cabo las actividades necesarias para la realización
de su objeto, incluyendo el servicio de calificación de créditos o de riesgos,
así como las análogas y conexas.
Artículo 36.- Las Sociedades de Información
Crediticia (SIC) estarán sujetas a la inspección y vigilancia de la
Superintendencia de Bancos, en los términos que establezca la presente ley.
CAPÍTULO IV
DISPOSICIONES PROCEDIMENTALES
SECCIÓN I
DE LOS FICHEROS DE TITULARIDAD
PÚBLICA
Artículo 37.- Creación, modificación o
supresión. La creación, modificación o supresión de los archivos de datos
personales de la administración pública sólo puede hacerse por medio de las
disposiciones contenidas en la Ley de Función Pública, y por medio de la Ley
General de Libre Acceso a la Información Pública.
Artículo 38.- Las disposiciones de creación o
de modificación de archivos de datos personales deberán indicar:
- La finalidad del archivo de datos personales y los usos previstos para el mismo.
- Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal y el carácter facultativo u obligatorio de su suministro por parte de aquellas.
- El procedimiento de recogida y actualización de los datos de carácter personal.
- La estructura básica del archivo de datos personales, automatizados o no, y la descripción de los tipos de datos de carácter personal incluidos en el mismo.
- Las cesiones de datos de carácter personal y, en su caso, las transferencias e interconexiones de datos que se prevean a países terceros.
- Los órganos de la administración responsables del archivo de datos personales, precisando la dependencia jerárquica, en su caso.
- Los servicios o unidades ante los que pudiesen ejercerse los derechos de acceso, rectificación, cancelación y oposición.
- Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.
Las disposiciones que se dicten para la
supresión de los archivos de datos personales deberán establecer el destino de
los mismos o, en su caso, las previsiones que se adopten para su destrucción.
Artículo 39.- Comunicación de datos entre
instituciones de la administración pública. Los datos de carácter personal
recogidos o elaborados por la administración pública para el desempeño de sus
atribuciones pueden ser comunicados a otras instituciones de la administración
pública.
La cesión de datos de carácter personal, objeto
de tratamiento, que debe efectuar la administración tributaria en el ejercicio
de sus competencias, conforme a lo dispuesto en su normativa reguladora, no
requerirá el consentimiento del afectado de conformidad con lo establecido en
la presente ley.
DE LOS FICHEROS DE LAS FUERZAS
ARMADAS, DE SEGURIDAD Y ORGANISMOS POLICIALES O DE INTELIGENCIA
Artículo 40.- Ficheros de las Fuerzas Armadas,
de seguridad y organismos policiales o de inteligencia. Los archivos de datos
personales creados por las Fuerzas Armadas, de seguridad y organismos
policiales o de inteligencia que contengan datos de carácter personal que, por
haberse recogido para fines administrativos, deban ser objeto de registro
permanente, no están sujetos al régimen general de la presente ley.
SECCIÓN III
DE LOS FICHEROS DE TITULARIDAD
PRIVADA
Artículo 41.- Creación de archivos de datos
personales de titularidad privada. Los particulares que formen archivos,
registros o bancos de datos que no sean para un uso exclusivamente personal
deberán satisfacer los requisitos estipulados en la presente ley.
Artículo 42.- Registro de archivos de datos.
Todo archivo, registro, base o banco de datos, público o privado, deberá contar
con políticas de información adecuadas que garanticen las medidas de seguridad
y control, a fin de evitar el manejo indebido de las informaciones de los
titulares de los datos.
Artículo 43.- Las Sociedades de Información
Crediticia (SIC) deben registrarse ante la Superintendencia de Bancos de la
República Dominicana, después de haber obtenido de la Junta Monetaria el
permiso de operación correspondiente que faculta y autoriza a la sociedad
comercial a operar como una Sociedad de Información Crediticia (SIC), conforme
a la ley que regula dichas entidades de intermediación financiera. La
Superintendencia de Bancos es la entidad autorizada a regular a las Sociedades
de Información Crediticia (SIC). Dicho requisito no aplica a las entidades ya
existentes y que estén operando debidamente registradas ante la
Superintendencia de Bancos de la República Dominicana.
Artículo 44.- Datos incluidos en las fuentes de
acceso público. Los datos personales que figuren en las listas de personas
pertenecientes a grupos de profesionales deben limitarse a los que sean
estrictamente necesarios para cumplir la finalidad a que se destina cada
listado.
La inclusión de datos adicionales por las entidades
responsables del mantenimiento de dichas fuentes requerirá el consentimiento
del interesado, que podrá ser revocado en cualquier momento.
Los interesados tienen derecho a que la entidad
responsable del mantenimiento de los listados de los colegios profesionales
indique gratuitamente que sus datos personales no pueden utilizarse para fines
de publicidad o prospección comercial, así como el derecho a exigir
gratuitamente la exclusión de la totalidad de sus datos personales que consten
en el censo promocional por las entidades encargadas del mantenimiento de
dichas fuentes.
Artículo 45.- Fuentes de acceso al público. Las
fuentes de acceso al público que se editen en forma de libro u otro soporte
físico o en formato electrónico no pierden el carácter de fuente accesible con
la nueva edición que se publique.
Artículo 46.- Guías de servicios de
telecomunicaciones. Los datos que figuren en las guías de servicios de
telecomunicaciones disponibles al público se considerarán datos provenientes de
fuentes accesibles al público.
Artículo 47.- Información. El acreedor adquiere
el derecho de efectuar el requerimiento previo de pago a quien corresponda el
cumplimiento de la obligación. En caso de producirse o no el pago en el término
previsto para ello y cumplirse los requisitos legales, los datos relativos al
pago o impago serán comunicados a archivos de datos personales relativos al
cumplimiento o incumplimiento de obligaciones pecuniarias.
Artículo 48.- Derechos de acceso, rectificación
o cancelación. Cuando el interesado ejerza su derecho de acceso en relación con
la inclusión de sus datos en un archivo de datos personales común de
información de crédito, se regirá según lo establecido en la presente ley.
Artículo 49.- Prestación de servicios de
información crediticia. Todas las entidades de intermediación financiera, los
agentes económicos, las instituciones de carácter oficial o estatal, y las
demás personas físicas o jurídicas que se acojan a los requerimientos de la
presente ley, podrán ser usuarios o suscriptores de las Sociedades de
Información Crediticia (SIC).
La calidad de usuario o suscriptor de las
Sociedades de Información Crediticia (SIC) se adquiere mediante la suscripción
de un contrato de prestación de servicios con la Sociedad de Información Crediticia
(SIC) de que se trate.
Artículo 50.- Los usuarios o suscriptores de
los servicios proporcionados por las Sociedades de Información Crediticia
(SIC), sus funcionarios, empleados y prestadores de servicios, deberán guardar
confidencialidad sobre la información contenida en los reportes de crédito a
los que tengan acceso.
Los consumidores, los usuarios o suscriptores
no compartirán ni mostrarán los reportes a otras personas, ni entregarán el
reporte original o copia del mismo a otras personas, ni divulgar oralmente ni
por escrito, ni mediante algún medio de transmisión electrónica, el contenido
de los reportes a otras personas que no sean empleados autorizados del
suscriptor o afiliado, siempre y cuando lo haga en el ejercicio de sus
funciones oficiales o contractuales. La Sociedad de Información Crediticia
(SIC), al proporcionar un reporte de crédito revelará la fuente que aportó la
información.
Artículo 51.- Los usuarios o suscriptores,
antes de acceder a la base de datos de la Sociedad de Información Crediticia
(SIC) para obtener la información crediticia de un cliente o consumidor,
deberán contar con la autorización expresa de este último, mediante su firma
autógrafa o digital, o mediante cualquier forma de manifestación del
consentimiento, en la cual deberá constar el uso que el usuario o suscriptor
dará a dicha información.
Se considerará que existe una manifestación
expresa del consentimiento cuando el cliente o consumidor haya solicitado o
recibido, de manera verbal o escrita, el otorgamiento de un crédito, la
prestación de un servicio o la realización de cualquier actividad que genere
una relación jurídica entre el consumidor y el usuario o suscriptor. Para el
caso de que llegare a formalizarse dicha relación jurídica entre el cliente y
el usuario o suscriptor, este último podrá realizar consultas periódicas a la
información crediticia del consumidor durante el tiempo de vigencia de dicha
relación jurídica.
La vigencia de la autorización prevista en este
artículo será de dos (2) años, contados a partir de su otorgamiento. Cuando se
haya formalizado la relación jurídica, la autorización para acceder a la
información crediticia del cliente permanecerá mientras esté vigente dicha
relación jurídica.
Estas
autorizaciones no aplicarán cuando:
- La información solicitada por la Superintendencia de Bancos, por las entidades públicas a que se refiere esta ley, en virtud de una investigación oficial, incluyendo el narcotráfico y combate al blanqueo de capitales, actividades antiterroristas, o por las autoridades recaudadoras de impuestos para fines fiscales, o la información requerida por cualquier otra institución gubernamental o de carácter oficial.
- Se trate de reporte de información pública, el reporte para fines de cobros, el reporte de puntaje de crédito, y el reporte de seguros, definidos en esta ley.
- El usuario o suscriptor accede a la información crediticia de consumidores incluidos en las listas para fines mercadológicos contempladas en esta ley sobre el consentimiento del titular de los datos.
- Se trate de acceder a las informaciones de crédito relativas a una persona jurídica definida y contemplada en el Código de Comercio
Artículo 52.- Las Sociedades de Información
Crediticia (SIC) podrán pactar la prestación de sus servicios, mediante el uso
de equipos, medios electrónicos, ópticos o de cualquier otra tecnología,
sistemas automatizados de procesamiento de datos y redes de telecomunicaciones,
ya sean públicos o privados, estableciendo en los contratos respectivos las
bases para determinar lo siguiente:
- Los servicios cuya prestación se pacte.
- Los medios de identificación de los usuarios o suscriptores y de los consumidores,
- Los medios por los que se haga constar la creación, transmisión, modificación o extinción de derechos y obligaciones inherentes a los servicios de que se trate.
El uso de los medios de identificación que se
establezcan conforme a lo previsto por este artículo, en sustitución de la
firma autógrafa, producirá los mismos efectos que las leyes otorgan a los
documentos correspondientes y, en su caso, tendrán el mismo valor probatorio.
Las Sociedades de Información Crediticia (SIC)
podrán pactar con otra Sociedad de Información Crediticia (SIC) legalmente
constituidas, el suministro e intercambio de las informaciones contenidas en
sus bases de datos.
Las Sociedades de Información Crediticia (SIC)
no establecerán políticas o criterios de operación que contraríen las
disposiciones de esta ley, ni impedirán a sus suscriptores o afiliados que
soliciten ni entreguen información a cualquier otra Sociedad de Información
Crediticia (SIC), y tampoco podrán establecer límites al número de consultas
que aquellos puedan realizar.
Artículo 53.- Las Sociedades de Información
Crediticia (SIC) deberán contar con sistemas y procesos para verificar la
identidad del usuario o suscriptor o del cliente o consumidor, mediante el
proceso de autenticación que éste determine, el cual deberá ser aprobado
previamente por el propio Consejo de Administración de la Sociedad de
Información Crediticia (SIC), a fin de salvaguardar la confidencialidad de la
información, en los términos de las disposiciones legales aplicables.
Artículo 54.- Las Sociedades de Información
Crediticia (SIC) deberán presentar a la Superintendencia de Bancos los manuales
que establezcan las medidas mínimas de seguridad, las cuales incluirán el
transporte de la información, así como la seguridad física, la logística y las
de comunicaciones. Dichos manuales deberán contener las medidas necesarias para
la seguridad del procesamiento externo de datos.
Artículo 55.- Está prohibido a las Sociedades
de Información Crediticia (SIC) otorgar o traspasar, de manera total o parcial,
las informaciones suministradas por un aportante de datos, para ser utilizadas
por otro aportante de datos, usuario, suscriptor o afiliado, o un tercero, en
prácticas de competencia desleal; las Sociedades de Información Crediticia
(SIC) no confeccionarán, prepararán, ni venderán o cederán, listas de deudores
o consumidores selectos a sus suscriptores o afiliados, ni a ninguna otra
persona física o jurídica, siempre y cuando dichas listas de prospectos no
hayan sido previamente elaboradas y entregadas a las Sociedades de Información
Crediticia (SIC) por los mismos suscriptores o afiliados, para los fines de
hacer consultas en lotes.
Artículo 56.- Lineamientos generales de
recolección y tratamiento de información aplicables a las Sociedades de
Información Crediticia (SIC). Para la recolección y tratamiento de la
información a su cargo, las Sociedades de Información Crediticia (SIC) deberán
observar los lineamientos generales siguientes:
- La recolección de información no se efectuará por medios fraudulentos o ilícitos.
- La información recolectada sólo será utilizada para los fines señalados.
- La información será lícita, actualizada, exacta y veraz, de forma tal que responda a la situación real del titular de la información en un momento determinado.
Artículo 57.- La base de datos de las
Sociedades de Información Crediticia (SIC) se integrará con la información que
le proporcionan directamente los aportantes de datos sobre las operaciones
crediticias y otras de naturaleza análoga que estos últimos otorgan a sus
consumidores, en la forma y términos en que se reciba de los aportantes de
datos, así como con cualquier otra información suministrada por la
Superintendencia de Bancos u otras informaciones provenientes de entidades
públicas, ya sea por su procedencia o por su naturaleza.
Artículo 58.- En caso de que la información
proporcionada por el aportante de datos sea relativa a una persona jurídica, el
aportante de datos deberá incluir a los funcionarios responsables de la
dirección o administración general y de las finanzas, así como a los socios
principales, acogiéndose a lo establecido en los artículos 21 y 22 de la Ley
No.3-02, sobre Registro Mercantil.
Artículo 59.- A los fines de proteger al
titular de la información, y de promover la exactitud, la veracidad y la
actualización oportuna y eficaz de la base de datos de las Sociedades de
Información Crediticia (SIC), los aportantes de datos deberán suministrar a la
Sociedad de Información Crediticia (SIC), por lo menos dos (2) veces al mes,
los datos actualizados de sus clientes o consumidores, de tal modo que permita
la correcta e inequívoca identificación, localización y descripción del nivel
de endeudamiento del titular en un determinado momento.
Artículo 60.- Las Sociedades de Información
Crediticia (SIC) deberán utilizar técnicas de identificación biométricas que
dificulten o imposibiliten la usurpación o el robo de las identidades de las
personas físicas al momento de contratar bienes y servicios ante los organismos
públicos, las empresas públicas y las empresas privadas, o cualquier ente
económico que utilicen los servicios de información de las Sociedades de
Información Crediticia (SIC).
A este respecto, las Sociedades de Información
Crediticia (SIC) y los aportantes de datos deberán incluir en los reportes que
emiten y en las informaciones que aportan, respectivamente, la foto actualizada
o disponible del consumidor o del titular de los datos, de tal modo que el
usuario de los reportes provenientes de una Sociedad de Información Crediticia
(SIC) debe validar y autenticar la identidad de la persona física comparando el
rostro del solicitante del bien o servicio con la imagen en el reporte de la
Sociedad de Información Crediticia (SIC).
Artículo 61.- Las Sociedades de Información
Crediticia (SIC), dentro de los quince (15) días hábiles siguientes a la fecha
de recepción de la información suministrada por los aportantes de datos,
deberán proceder a actualizar su base de datos, de manera diligente y eficaz,
salvo el caso de fuerza mayor o de imposible ejecución.
Artículo 62.- En caso de aportantes de datos
que sean entidades de intermediación financiera, intervenidas por la
Superintendencia de Bancos o el Banco Central, o en proceso de liquidación, la
Comisión Liquidadora o la Superintendencia de Bancos o el Banco Central deberá
suministrar a las Sociedades de Información Crediticia (SIC), por lo menos una
vez al mes, los datos actualizados de los deudores de dichas entidades.
Artículo 63.- Las Sociedades de Información
Crediticia (SIC) deberán adoptar las medidas de seguridad y control que
resulten necesarias para evitar el manejo indebido de la información; asimismo,
deberán proteger, bajo las más estrictas medidas de seguridad y
confidencialidad, los algoritmos y tecnologías que utilizan para la prestación
de los servicios.
Artículo 64.- Las Sociedades de Información
Crediticia (SIC) podrán procesar, para fines de presentación en los reportes,
las informaciones crediticias que les sean proporcionadas por los aportantes de
datos, conforme a los criterios siguientes:
- Para los créditos a plazo o los créditos contratados por cuotas periódicas, que estén vencidos o no, contratados en un plazo menor o igual a los cuarenta y ocho (48) meses, las Sociedades de Información Crediticia (SIC) deben presentar en los reportes las informaciones asociadas a los mismos, durante un lapso no mayor a los cuarenta y ocho (48) meses transcurridos desde la fecha de apertura del crédito.
- Para los créditos a plazo o los créditos contratados por cuotas periódicas, que estén vencidos, contratados en un plazo mayor a los cuarenta y ocho (48) meses, las Sociedades de Información Crediticia (SIC) deben presentar en los reportes las informaciones asociadas a los mismos durante un lapso transcurrido desde la fecha del último pago al crédito en cuestión, lapso que no debe ser mayor a los cuarenta y ocho (48) meses y no debe exceder la fecha de término del crédito originalmente pactado.
- Para los créditos recurrentes, es decir, los créditos que vuelven a ocurrir o aparecer, especialmente después de un intervalo, entre ellos incluidas las tarjetas de crédito, las líneas de crédito bancarias o financieras, los créditos comerciales, que estén en defecto o vencidos, las Sociedades de Información Crediticia (SIC) deben presentar en los reportes las informaciones asociadas a los mismos durante un lapso no mayor de cuarenta y ocho (48) meses transcurridos desde la fecha del último pago efectuado al crédito en cuestión.
Artículo 65.- Los plazos especificados en el
artículo anterior no serán aplicables en los casos en que exista una sentencia
definitiva en la que se condene al cliente o consumidor por la comisión de un
delito o cuasidelito relacionado con algún crédito y que se haya hecho del conocimiento
de la Sociedad de Información Crediticia (SIC).
Artículo 66.- Prohibiciones a las Sociedades de
Información Crediticia (SIC). Está prohibido a las Sociedades de Información
Crediticia (SIC) recolectar, acopiar, almacenar, actualizar, grabar, organizar,
sistematizar, elaborar, seleccionar, confrontar, interconectar en su base de
datos, y, en general, utilizar en un reporte de crédito, o mediante cualquier
otro formato o medio, las informaciones de los titulares que se especifican a
continuación:
- Saldos y movimientos de las cuentas corrientes.
- Saldos y movimientos de las cuentas de ahorros.
- Certificados de depósitos, de cualquier naturaleza, de un titular de los datos en instituciones bancarias o financieras.
- Papeles comerciales propiedad de los titulares de los datos.
- Informaciones referidas a las características morales o emocionales de una persona física.
- Informaciones relacionadas a hechos o circunstancias de la vida afectiva de personas físicas.
- Ideologías y opiniones políticas.
- Creencias o convicciones religiosas.
- Información de los estados de salud física o psíquica.
- Información sobre la conducta, preferencia u orientación sexual.
Artículo 67.- Las Sociedades de Información
Crediticia (SIC) no difundirán en sus reportes de crédito las informaciones
siguientes:
- Informaciones prohibidas a las Sociedades de Información Crediticia (SIC), enumeradas en el artículo anterior.
- Información referida a la insolvencia o quiebra del titular de la información, hasta tanto hayan transcurrido cuarenta y ocho (48) meses desde que se levantó el estado de insolvencia o desde que se declaró la quiebra.
Artículo 68.- Está prohibido a las Sociedades
de Información Crediticia (SIC) publicar en los reportes de un garante o fiador
las informaciones de los titulares de la información, de tal modo que el
incumplimiento de pago del deudor no perjudique el estatus crediticio del
garante o del fiador, ni afecte negativamente el crédito score o puntaje de
crédito de éste.
Los aportantes de datos serán los responsables
de dar estricto cumplimiento al presente artículo, no obstante a que las
Sociedades de Información Crediticia (SIC) colecten y procesen dichas informaciones
para los fines de cuadrar las cuentas asociadas a los créditos. Si un titular,
garante o fiador se ve afectado por el incumplimiento de este artículo deberá
acogerse al procedimiento de reclamación especificado en esta ley.
Si un titular de la información paga la
totalidad de un crédito que haya estado en estatus legal o incobrable, y se
cierra o cancela definitivamente, el aportante de datos deberá reportar a la
Sociedad de Información Crediticia (SIC) las informaciones concernientes a la
cancelación de dicho crédito, de tal modo que después de transcurridos doce
meses a partir de la fecha de cancelación, la Sociedad de Información
Crediticia (SIC) no publicará en el historial de dicho crédito las leyendas:
“Legal” o “Incobrable”, no obstante a que su puntaje de crédito se pueda ver
afectado.
Artículo 69.- Prohibiciones especiales. Fuera
de los fines establecidos en esta ley, se prohíbe la divulgación, la
publicación, la reproducción, la transmisión y la grabación del contenido
parcial o total de un reporte de cualquier tipo proveniente de una Sociedad de
Información Crediticia (SIC), en cualquiera de sus manifestaciones, en
cualquier medio de comunicación masivo, sea impreso, televisivo, radial,
electrónico, o cualquier otra forma de publicación.
Las Sociedades de Información Crediticia (SIC)
y sus representantes no serán responsables, civil ni penalmente, de
cualesquiera violaciones del presente artículo, cometidas por un suscriptor o
afiliado, un cliente o consumidor, los representantes de las entidades
públicas, los representantes de medios de comunicación o cualquier persona
física o jurídica.
Artículo 70.- Archivos de datos personales
comunes que contengan datos de carácter personal establecidos por las entidades
aseguradoras. Los establecimientos sanitarios públicos o privados y los
profesionales vinculados a las ciencias de la salud pueden recolectar y tratar
los datos personales relativos a la salud física o mental de los pacientes que
acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquellos,
respetando los principios del secreto profesional.
Sin perjuicio de lo establecido en la presente
ley respecto de la cesión de datos, las instituciones y los centros sanitarios
públicos y privados y los profesionales correspondientes pueden proceder al
tratamiento de los datos de carácter personal relativos a la salud física o
mental de las personas que a ellos acudan o hayan de ser tratados en los
mismos, de acuerdo con lo dispuesto en la legislación dominicana sobre salud.
No obstante lo dispuesto sobre datos
especialmente protegidos, pueden ser objeto de tratamiento los datos de
carácter personal que se refieren al origen racial, a la salud y a la vida
sexual, cuando dicho tratamiento resulte necesario para la prevención o para el
diagnóstico médico, la prestación de asistencia sanitaria o tratamientos
médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de
datos se realice por un profesional sujeto al secreto profesional o por otra
persona sujeta asimismo a una obligación equivalente de secreto.
Artículo 71.- Tratamientos con fines de
publicidad y de prospección comercial. En la recopilación de domicilios,
reparto de documentos, publicidad o venta directa y otras actividades análogas,
se podrán tratar datos que sean aptos para establecer perfiles determinados con
fines promocionales, comerciales o publicitarios o que permitan establecer
hábitos de consumo, cuando estos figuren en documentos accesibles al público o
que hayan sido facilitados por los propios titulares de los datos u obtenidos
con su consentimiento.
En los supuestos contemplados en el presente
artículo, el titular de los datos ejercerá el derecho de acceso sin cargo
alguno.
El titular de los datos solicitará, en
cualquier momento, el retiro o bloqueo de su nombre de los bancos de datos a
los que se refiere el presente artículo.
Artículo 72.- Archivos de datos personales
relativos a las encuestas. Las disposiciones de la presente ley no se aplicarán
a las encuestas de opinión, mediciones y estadísticas, trabajos de prospección
de mercados, investigaciones científicas o médicas y actividades análogas, en
la medida que los datos recogidos no puedan atribuirse a una persona determinada
o determinable.
Artículo 73.- Códigos tipo. Mediante acuerdos
sectoriales, convenios administrativos o decisiones de empresa, los
responsables de tratamientos de titularidad pública y privada, así como las
organizaciones en que se agrupen, pueden formular códigos tipo que establezcan
las condiciones de organización, régimen de funcionamiento, procedimientos
aplicables, normas de seguridad del entorno, programas o equipos, obligaciones
de los implicados en el tratamiento y uso de la información personal, así como
las garantías, en su ámbito, para el ejercicio de los derechos de las personas
con pleno respeto a los principios y disposiciones de la presente ley.
Los citados códigos podrán contener o no reglas
operacionales detalladas de cada sistema particular y estándares técnicos de
aplicación, y en el supuesto de que tales reglas o estándares no se incorporen
directamente al código, las instrucciones u órdenes que los establecieran
deberán respetar los principios fijados en aquél.
Artículo 74.- Códigos de conducta. Las
asociaciones o entidades representativas de responsables o usuarios de bancos
de datos de titularidad privada elaborarán códigos de conducta de práctica
profesional, que establezcan parámetros para el tratamiento de datos personales
que tiendan a asegurar y mejorar las condiciones de operación de los sistemas
de información en función de los principios establecidos en la presente ley.
SECCIÓN IV
Artículo 75.- Datos especialmente protegidos.
Ninguna persona física puede ser obligada a proporcionar datos sensibles. La
persona física podrá proporcionar datos sensibles, si libre y conscientemente
decidiera hacerlo por voluntad propia.
Queda prohibida la formación de archivos,
bancos de datos o registros que almacenen información que directa o
indirectamente revele datos sensibles, siempre y cuando la persona física no
haya proporcionado el consentimiento correspondiente de manera libre,
consciente y voluntaria. Sin perjuicio de ello, las iglesias, las asociaciones
religiosas, clínicas y hospitales, y las organizaciones políticas y sindicales,
podrán llevar un registro de sus miembros.
Los datos sensibles solo pueden ser
recolectados y ser objeto de tratamiento de datos cuando medien razones de
interés general autorizadas por la ley. También podrán ser tratados con
finalidades estadísticas o científicas cuando no puedan ser identificados sus
titulares.
Artículo 76.- Consentimiento. Sólo con el
consentimiento expreso y por escrito del afectado pueden ser objeto de
tratamiento los datos de carácter personal que revelen opiniones políticas,
convicciones, religiosas, filosóficas o morales, afiliación sindical e
información referente a la salud o a la vida sexual.
Se exceptúan los archivos de datos personales
mantenidos por los partidos políticos, sindicatos, iglesias o comunidades
religiosas y asociaciones, fundaciones y otras entidades sin fines de lucro,
cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los
datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de
dichos datos precisará siempre el previo consentimiento del afectado.
Artículo 77.- Datos de infracciones penales.
Los datos de carácter personal relativos a la comisión de infracciones penales
sólo serán incluidos en archivos de datos personales, y sólo serán tratados o
comunicados a los registros públicos, a partir de que haya intervenido una
apertura a juicio de conformidad con la ley.
SUBSECCIÓN II
DATOS RELATIVOS A LA SALUD
Artículo 78.- Datos relativos a la salud. Sin
perjuicio de lo establecido en la presente ley respecto de la cesión de datos,
las instituciones y los centros sanitarios, públicos y privados, y los
profesionales correspondientes pueden proceder al tratamiento de los datos de
carácter personal relativos a la salud física o mental de las personas que a
ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto
en la legislación dominicana sobre salud.
No obstante lo dispuesto sobre datos
especialmente protegidos, pueden ser objeto de tratamiento los datos de
carácter personal que se refieren al origen racial, a la salud y a la vida
sexual, cuando dicho tratamiento resulte necesario para la prevención o para el
diagnóstico médico, la prestación de asistencia sanitaria o tratamientos
médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de
datos se realice por un profesional sujeto al secreto profesional o por otra
persona sujeta asimismo a una obligación equivalente de secreto.
Los establecimientos sanitarios, públicos o
privados, y los profesionales vinculados a las ciencias de la salud pueden
recolectar y tratar los datos personales relativos a la salud física o mental
de los pacientes que acudan a los mismos o que estén o hubieren estado bajo
tratamiento de aquellos, respetando los principios del secreto profesional.
SUBSECCIÓN III
TRATAMIENTO DE DATOS DE MENORES DE
EDAD
Artículo 79.- Tratamiento de datos de menores
de edad. El tratamiento de datos de los menores de edad estará normado por las
disposiciones establecidas en el Código para la Protección de los Derechos de
los Niños, Niñas y Adolescentes, el Código Penal y otras leyes especiales.
MOVIMIENTO INTERNACIONAL DE
DATOS
Artículo 80.- Transferencia internacional de
datos. La transferencia de datos personales de cualquier tipo con países u
organismos internacionales o supra nacionales, que requieran del consentimiento
del titular de los datos, solamente se efectuará cuando:
- La persona física, libre y conscientemente, decidiera autorizar por voluntad propia la transferencia de datos, o cuando las leyes lo permitan.
- Se trate de intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado o una investigación epidemiológica, o por razones de salud o higiene pública.
- Se trate de transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable.
- La transferencia de datos se hubiera acordado o contemplado en el marco de tratados internacionales o convenios, y en los tratados de libre comercio de los cuales sea parte la República Dominicana.
- La transferencia de datos tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo, la trata de personas, el narcotráfico, y demás crímenes y delitos.
- La transferencia de datos sea necesaria para la ejecución de un contrato entre el titular de los datos y el responsable del tratamiento, o para la ejecución de medidas precontractuales.
- La transferencia de datos legalmente exigida sea para la salvaguarda del interés público o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, o solicitada por una administración fiscal o aduanera para el cumplimiento de sus competencias.
- La transferencia de datos se efectúe para prestar o solicitar un auxilio judicial internacional.
- La transferencia de datos se efectúe a petición de un organismo internacional con interés legítimo desde un registro público.
CAPÍTULO V
DISPOSICIONES DE
INFRACCIONES Y SANCIONES
Artículo
81.- Sanciones administrativas. El órgano competente para sancionar las
infracciones administrativas cometidas por las Sociedades de Información
Crediticia (SIC) será la Superintendencia de Bancos:
1. Se consideran infracciones administrativas a
la presente ley:
a) Incluir en los reportes de crédito
cualquiera de las informaciones prohibidas a las Sociedades de Información
Crediticia (SIC), enumeradas en la presente ley.
b) Negarse a facilitar el acceso a la
información crediticia al titular de la misma.
c) Denegar, sin fundamento, una solicitud de
revisión o una solicitud de rectificación de la información crediticia requerida
por el titular de la información.
d) Negarse a modificar o a cancelar la
información de un titular de la información, luego de que éste haya obtenido un
pronunciamiento favorable en un procedimiento seguido de conformidad con lo
establecido en la presente ley.
2. La Superintendencia de Bancos impondrá a las
Sociedades de Información Crediticia (SIC) las sanciones administrativas
siguientes:
a) Cuando la Sociedad de Información Crediticia
(SIC) infrinja de manera grave o reiterada las disposiciones de las sentencias
de los tribunales con la autoridad de la cosa irrevocablemente juzgada, al
tenor del Código Civil de la República Dominicana, violaciones que se deriven
de las infracciones tipificadas en el acápite anterior, la Superintendencia de
Bancos impondrá una multa de diez (10) a cien (100) salarios mínimos, que
deberá ser pagada a partir de tres (3) días hábiles después de haber recibido
dicha notificación.
b) Cuando las Sociedades de Información
Crediticia (SIC) no inicien las actividades dentro de los seis (6) meses
posteriores a la fecha en que la autorización les haya sido otorgada por la
Junta Monetaria, la Superintendencia de Bancos retirará o revocará el permiso
de operación.
Artículo 82.- Las Sociedades de Información
Crediticia (SIC) disponen de un plazo de treinta (30) días hábiles para
recurrir en reconsideración por ante la Superintendencia de Bancos de cualquier
decisión de esta que les afecte y, en caso de inconformidad con la decisión
intervenida, disponen de un plazo de sesenta (60) días hábiles a partir de la
notificación de la resolución, mediante acto de alguacil, debidamente visado
por la Sociedad de Información Crediticia (SIC), para recurrir por ante la
Junta Monetaria.
Cuando la Junta Monetaria emita una resolución
rechazando la impugnación o apelación, las Sociedades de Información Crediticia
(SIC) disponen de un plazo de treinta (30) días hábiles a partir de la
notificación de dicha resolución, mediante acto de alguacil, para recurrir por
ante el Tribunal Superior Administrativo.
Artículo 83.- En caso de fallo adverso a la
Sociedad de Información Crediticia (SIC) ante el Tribunal Superior
Administrativo, la Sociedad de Información Crediticia (SIC) dispone de un plazo
de un (1) mes para recurrir en casación, de conformidad con la ley que
instituye el Procedimiento de Casación. La Superintendencia de Bancos no puede
ejercer las facultades estipuladas en la presente ley en perjuicio de una
Sociedad de Información Crediticia (SIC) hasta tanto no intervenga una decisión
definitiva y con la autoridad de la cosa irrevocablemente juzgada.
Artículo
84.- Sanciones excepcionales. Será sancionado con una multa de diez (10) a
cincuenta (50) salarios mínimos vigentes, sin perjuicio de las reparaciones que
procedan por los daños y perjuicios que haya sufrido la persona por causa de
violación a su derecho a la privacidad, conforme a las normas del derecho
común, la persona física que:
- Insertara o hiciera insertar, a sabiendas, datos falsos en un archivo de datos personales, de manera dolosa o de mala fe.
- Proporcionara, de manera dolosa o de mala fe, información falsa a un tercero, contenida en un archivo de datos personales.
- Accediere a sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, de cualquier forma, a un banco de datos personales.
- Revelare a otra información registrada en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de una ley.
Artículo 85.- Sanciones civiles. Agotado el
procedimiento de solicitud y rectificación establecido en la presente ley, se
considerarán infracciones civiles:
- Denegar, sin fundamento, una solicitud de revisión o una solicitud de rectificación de la información crediticia requerida por el titular de la información.
- Negarse a modificar o a cancelar la información de un titular de la información, luego de que éste haya obtenido un pronunciamiento favorable en un procedimiento seguido de conformidad con lo establecido en la presente ley.
- Infringir de manera grave o reiterada las disposiciones de las sentencias de los tribunales civiles con la autoridad de la cosa irrevocablemente juzgada.
Artículo 86.- Sanciones penales. En caso de que
un usuario o suscriptor haya accedido a una base de datos para consultar, de
manera fraudulenta, las informaciones personales de un titular sin haber
obtenido de éste autorización previa, será sancionado con multa que irá de diez
(10) a cincuenta (50) salarios mínimos vigentes, sin perjuicio de las
reparaciones que procedan por los daños y perjuicios que haya sufrido la
persona por causa de violación a su derecho a la privacidad, conforme a las
normas del derecho común.
Al usuario o suscriptor o cualquier persona
física que utilice o facilite un reporte de crédito proveniente de una Sociedad
de Información Crediticia (SIC), con la finalidad de la comisión de un delito,
se impondrá una sanción equivalente a prisión correccional de seis meses a dos
años, y en caso de que haya tenido como finalidad facilitar la comisión de un
crimen, será sancionado con la prisión que establezca el Código Penal vigente
para los cómplices.
Se considerará una circunstancia agravante del
crimen imputado el hecho de que un usuario o suscriptor haga uso de un reporte
de crédito proveniente de una Sociedad de Información Crediticia (SIC), con la
finalidad de la comisión de un crimen.
El usuario o suscriptor que dé al reporte de
crédito un uso distinto al que se haya consignado en la autorización del
cliente o consumidor, será sancionado con multa que irá de diez (10) a cien
(100) salarios mínimos vigentes, sin perjuicio de las reparaciones que procedan
por los daños y perjuicios que haya sufrido la persona por causa de violación a
su derecho a la privacidad, conforme a las normas del derecho común.
Artículo 87.- En caso de que una persona física
haya accesado de manera fraudulenta la base de datos de una Sociedad de Información
Crediticia (SIC) para obtener y utilizar cualquier tipo de reporte proveniente
de una Sociedad de Información Crediticia (SIC), utilizando claves de acceso
que no le pertenecen, será sancionada con multa que irá de veinte (20) a cien
(100) salarios mínimos vigentes, sin perjuicio de las reparaciones que procedan
por los daños y perjuicios que haya sufrido la persona por causa de violación a
su derecho a la privacidad, conforme a las normas del derecho común.
En caso
que el uso indebido de dicho reporte haya tenido como finalidad la comisión de
un delito, se impondrá a la persona física que haya accesado fraudulentamente
el reporte y a quien lo utilice o se prevalezca de éste, una sanción
equivalente a prisión correccional de seis meses a dos años, y en caso de que
haya tenido como finalidad la comisión de un crimen, será sancionado con la
prisión que establezca el Código Penal vigente.
Artículo 88.- El suscriptor o afiliado, el
cliente o consumidor, los representantes de las entidades públicas, o cualquier
persona física o jurídica que viole las disposiciones contenidas en la presente
ley, será sancionada con prisión correccional de seis meses a dos años, y una
multa de cien (100) a ciento cincuenta (150) salarios mínimos vigentes.
Igual sanción será impuesta a quien, fuera de
los fines establecidos en esta ley, divulgue, publique, reproduzca, transmita o
grabe el contenido parcial o total de un reporte de cualquier tipo proveniente
de una Sociedad de Información Crediticia (SIC), referente a un titular de los
datos, en cualquiera de sus manifestaciones, en cualquier medio de comunicación
masiva, sea impreso, televisivo, radial o electrónico.
CAPÍTULO VI
DISPOSICIONES TRANSITORIAS Y
FINALES
DISPOSICIONES TRANSITORIAS
Artículo
89.- Tratamientos creados por convenios internacionales. Todo lo relacionado
con la protección de las personas físicas, en lo que respecta al tratamiento de
datos de carácter personal, en relación a cualquier convenio o tratado
internacional del que sea signataria la República Dominicana, se regirá
conforme a sus disposiciones.
Artículo 90.- Las Sociedades de Información
Crediticia (SIC), los aportantes de datos y las entidades de intermediación financiera
tendrán un plazo de seis (6) meses contados a partir de la entrada en vigencia
de la presente ley, para cumplir con lo dispuesto en ella, y ajustar sus
sistemas y estructuras a lo previsto en la misma.
SECCIÓN II
DISPOSICIÓN FINAL
Artículo 91.- La presente ley deroga en todas
sus partes la Ley No.288-05, del 18 de agosto del año 2005, que regula las
Sociedades de Información Crediticia y de Protección al Titular de la
Información, y modifica toda otra ley o parte de ley en cuanto le sea
contraria.
DADA en la Sala de Sesiones de la Cámara de
Diputados, Palacio del Congreso Nacional, en Santo Domingo de Guzmán, Distrito
Nacional, capital de la República Dominicana, a los doce días del mes de
noviembre del año dos mil trece; años 170 de la Independencia y 151 de la
Restauración.
Abel Martínez Durán
Presidente
Ángela Pozo José Luis Cosme Mercedes
Secretaria Secretario
DADA en la Sala de Sesiones del Senado, Palacio
del Congreso Nacional, en Santo Domingo de Guzmán, Distrito Nacional, Capital
de la República Dominicana, a los veintiséis (26) días del mes de noviembre del
año dos mil trece (2013); años 170 de la Independencia y 151 de la
Restauración.
Reinaldo Pared Pérez
Presidente
Manuel De Js. Güichardo Vargas Rubén D. Cruz Ubiera
Secretario
Secretario Ad-Hoc.
DANILO MEDINA
Presidente de la República Dominicana
En ejercicio de las atribuciones que me confiere el Artículo 128 de la Constitución de la República.
PROMULGO la presente Ley y mando que sea
publicada en la Gaceta Oficial, para su conocimiento y cumplimiento.
DADA en Santo Domingo de Guzmán, Distrito
Nacional, Capital de la República Dominicana, a los trece (13) días del mes de
diciembre del año dos mil trece (2013); años 170 de la Independencia y 151 de
la Restauración.
DANILO MEDINA
Ley No. 173-13 que designa con el nombre de
Manuel Corripio García, la calle Proyecto Central, del sector La Esperilla,
Distrito Nacional, República Dominicana. G. O. No. 10737 del 15 de diciembre de
2013.
EL CONGRESO NACIONAL
En Nombre de la República
Ley No. 173-13
CONSIDERANDO PRIMERO: Que Don Manuel Corripio
García nació en Asturias, España, el 8 de febrero de 1908, y a la edad de 13
años emigró a República Dominicana, el 21 de octubre de 1921, donde se dedicó a
la actividad comercial como dependiente de un
No hay comentarios.:
Publicar un comentario