Alguno de los artículos relacionados con la AGESIC, Ley 18.331 (de protección de datos personales)
ARTÍCULO 151.- Créase en la Agencia para el Desarrollo
del Gobierno de Gestión Electrónica y la Sociedad de la Información
y del Conocimiento, la Dirección de Seguridad de la Información que
albergará al Centro Nacional de Respuesta a Incidentes de Seguridad
Informática (CERTuy), creado por el artículo 73 de la Ley No
18.362, de 6 de octubre de 2008. A los cometidos señalados por la
citada norma se le agregará los concernientes a asesorar en la
definición de políticas, metodologías y buenas prácticas en
seguridad de la
información en la Administración Pública, así
como brindar apoyo en las etapas de implementación de las mismas.
ARTÍCULO 152.- Asígnanse en el Inciso 24 «Diversos
Créditos», en el Programa 484 «Política de Gobierno
Electrónico» , con destino al Proyecto 854 «Fondos eGOB»
que serán administradas por la «Agencia para el Desarrollo del
Gobierno de Gestión Electrónica y la Sociedad de la Información y
del Conocimiento (AGESIC)», las siguiente partidas en moneda
nacional para la creación de una Plataforma única para la Gestión
y Emisión de Constancias Electrónicas; el desarrollo de Sistemas
Sectoriales con foco en el ciudadano por Fondos Concursables y la
creación de una Plataforma Informática consolidada para centralizar
servicios a Organismos de pequeño porte la suma anual de $
26:000.000 (veintiseis millones pesos uruguayos), con cargo a la
Financiación 1.1 «Rentas Generales».
ARTÍCULO 153.- Sustitúyese el artículo 33 de la Ley
No. 18.381, de 17 de octubre de 2008, el que quedará redactado de la
siguiente forma:
«Artículo
33. (Clasificación de la información).- Al día 31 de julio de
2012, todos los sujetos obligados deberán elaborar la lista de toda
la información que a la fecha se encuentre clasificada como
reservada, siempre y cuando esté comprendida en algunas de las
excepciones contempladas en el artículo 9o. de la presente ley.
En la misma
fecha, la información que no se sujete a estas excepciones, deberá
ser desclasificada.
A partir
de la fecha señalada, toda información clasificada como reservada,
que tenga más de quince años, deberá ser desclasificada y abierta
libremente al público.
ARTÍCULO 154.- Sustitúyese el artículo 34 de la Ley No.
18.381, de 7 de octubre de 2008, el que quedará redactado de la
siguiente forma:
«Artículo 34. (Plazo de adecuación de los sujetos obligados).-
Los sujetos obligados por la presente ley dispondrán de un plazo de cuatro años para
adecuar sus
registros, durante el cual no serán pasibles de sanción en caso de
denegación de
acceso fundada en la imposibilidad de ubicar la información.»
ARTÍCULO 155.- Modifícanse los artículos 9 inc. 2, 14 inc. 2,
15 inc. 4, 16, 21 inc. 1, 22 inc. 1, 28 Y 35 de la Ley No. 18.331
de 11 de Agosto de 2008, los que quedarán redactados de la
siguiente forma:
«ARTÍCULO 9 – INCISO 2: El referido consentimiento prestado con
otras
declaraciones, deberá figurar en forma expresa y destacada, previa
notificación al
requerido de datos, de la información descrita en el artículo 13 de
la presente ley.
«ARTÍCULO 14 INCISO 2.-Cuando se trate de datos de personas
fallecidas, el
ejercicio del derecho al cual refiere este artículo, corresponderá
a cualesquiera de
sus sucesores universales, cuyo carácter se acreditará
debidamente.»
«ARTÍCULO 15 INCISO 4.-Procede la eliminación o supresión de
datos personales
en los siguientes casos:
A) Perjuicios a los derechos e intereses legítimos de
terceros.
B) Notorio
error .
C)
Contravención a lo establecido por una obligación legal».
«ARTÍCULO 16.- Derecho a la impugnación de valoraciones
personales.- Las
personas tienen derecho a no verse sometidas a una decisión con
efectos jurídicos
que les afecte de manera significativa, que se base en un tratamiento
automatizado de
datos destinado a evaluar determinados aspectos de su personalidad,
como su
rendimiento laboral, crédito, fiabilidad, conducta, entre
otros.
El afectado
podrá impugnar los actos administrativos o decisiones privadas
que impliquen una
valoración de su comportamiento, cuyo único fundamento sea
un tratamiento de datos
personales que ofrezca una definición de sus características
o
personalidad.
En este caso, el afectado tendrá derecho a obtener información
del responsable de la base de datos tanto sobre los criterios de
valoración como sobre el programa utilizado en el tratamiento que
sirvió para adoptar la decisión manifestada en el acto.»
«ARTÍCULO
21 INCISO 1.- Datos relativos a bases de datos con fines
de publicidad.- En la recopilación de domicilios, reparto
de documentos, publicidad, prospección comercial, venta u
otras actividades análogas, se podrán tratar datos que
sean aptos para establecer perfiles determinados con finespromocionales, comerciales o publicitarios; o permitan
establecer hábitos de consumo, cuando éstos figuren en
documentos accesibles al público o hayan sido facilitados por los
propios titulares u obtenidos con su
consentimiento».
«ARTÍCULO 22 INCISO 1.- Datos
relativos a la actividad comercial o crediticia.-
Queda
expresamente autorizado el tratamiento de datos destinado a informar
sobre la solvencia patrimonial o crediticia, incluyendo
aquellos relativos al cumplimiento o incumplimiento de
obligaciones de carácter comercial o crediticia que
permitan evaluar la concertación de negocios en general, la
conducta comercial o la capacidad de pago del titular de los
datos, en aquellos casos en que los mismos sean obtenidos de
fuentes de acceso público o procedentes de
informaciones facilitadas por el acreedor o en las
circunstancias previstas en la presente ley. Para el caso de
las personas jurídicas, además de las circunstancias previstas en
la presente ley, se permite el tratamiento de toda
información autorizada por la normativa
vigente».
«ARTICULO 28.- Creación, modificación
o supresión.- Las personas físicas o
jurídicas privadas
que creen, modifiquen o supriman bases de datos de
carácter
personal, deberán registrarse conforme lo
previsto en el artículo siguiente».
«ARTÍCULO
35.- Potestades sancionatorias.- El órgano de control podrá aplicar
las siguientes sanciones a los responsables de las bases de
datos, encargados de
tratamiento de datos personales y demás
sujetos alcanzados por el régimen legal, en caso que se
violen las normas de la presente ley, las que se graduarán
en atención a la gravedad, reiteración o reincidencia de
la infracción cometida:
1) Observación.
2)
Apercibimiento.
3) Multa de hasta quinientas mil unidades
indexadas.
4) Suspensión de la base de datos respectiva
por el plazo de cinco (5) días.
5) Clausura de la base de
datos respectiva. A tal efecto se faculta a la AGESIC
a
promover ante los órganos jurisdiccionales competentes la clausura
de
las bases de
datos que se comprobare que infringieren o transgredieren la
presente ley.
Los
hechos constitutivos de la infracción serán documentados de acuerdo
a las formalidades legales. La clausura deberá
decretarse dentro de los tres
días siguientes a
aquél en que la hubiere solicitado la URCDP, la cual quedará
habilitada a disponerla por sí en
caso que el Juez no se pronunciare dentro de
dicho término.
En este último caso, si el Juez denegare posteriormente la clausura,
ésta
deberá levantarse de inmediato por la URCDP.
Los recursos que se interpongan contra la resolución judicial que
hiciere
lugar a la clausura, no tendrán efecto suspensivo.
Para hacer cumplir dicha resolución, la URCDP podrá requerir el
auxilio de
la fuerza pública.
La competencia de los Tribunales actuantes se determinará por las
normas
de la Ley Orgánica de la Judicatura No. 15.750 de 24 de
junio de 1985, sus modificativas y concordantes.
Las resoluciones firmes de la URCDP que impongan sanciones
pecuniarias,
constituyen título ejecutivo a sus efectos.
ARTÍCULO
156.- Sustitúyese el literal C) del inciso tercero del artículo 17
de la Ley No. 18.331 de 11 de Agosto de 2008, por el
siguiente:
«C) Se trate de
datos personales relativos a la salud y sea necesaria su
comunicación por razones sanitarias, de emergencia o para la
realización de estudios epidemiológicos, preservando la
identidad de los titulares de los datos mediante mecanismos de
disociaciónadecuados cuando ello sea pertinente.»
ARTÍCULO
157.- Sustitúyase el literal J) del artículo 29 de la Ley No.
18.331 de 11 de Agosto de 2008, el que quedará redactado de la
siguiente forma:
«J) Cantidad
de cancelaciones por cumplimiento de la obligación de pago
si
correspondiera, de acuerdo a lo previsto en el artículo 22 de
la presente Ley.»
ARTÍCULO 158.- Sustitúyese el literal D)
del artículo 34 de la Ley No. 18.331 de 11
de Agosto de 2008, por el siguiente:
«D) Controlar la observancia del régimen legal, en particular
las normas sobre
legalidad, integridad, veracidad, proporcionalidad y seguridad de
datos, por parte de los
sujetos alcanzados, pudiendo a tales efectos realizar las actuaciones
de fiscalización e
inspección pertinentes.
A tales efectos la Unidad Reguladora y de Control de Datos Personales
(URCDP) tendrá las
siguientes potestades:
a) Exigir a los responsables y encargados de tratamientos la
exhibición de los
libros, documentos y archivos, informáticos o convencionales,
propios y ajenos,
y requerir su comparecencia ante la Unidad para proporcionar informaciones.
b) Intervenir los documentos y archivos inspeccionados, así como
tomar medidas
de seguridad para su conservación, pudiendo copiarlos.
c) Incautarse de dichos elementos cuando la gravedad del caso lo
requiera hasta
por un lapso de seis días hábiles; la medida será debidamente
documentada y
sólo podrá prorrogarse por los órganos jurisdiccionales
competentes, cuando
sea imprescindible.
d) Practicar inspecciones en bienes muebles o inmuebles ocupados a
cualquier
título por los responsables, encargados de tratamiento y demás
sujetos
alcanzados por el régimen legal. Sólo podrán inspeccionarse
domicilios
particulares con previa orden judicial de allanamiento.
e) Requerir informaciones a terceros, pudiendo intimarles su comparecencia ante
la autoridad administrativa cuando ésta lo considere conveniente o
cuando aquéllas no sean presentadas en tiempo y forma.
La Unidad Reguladora y de Control de Datos Personales (URCDP)
podrá solicitar el auxilio de la fuerza pública para el desarrollo de sus
cometidos.
Cuando sea necesario para el debido cumplimiento de las
diligencias precedentes, requerirá orden judicial de allanamiento.»
ARTÍCULO
159.- Modifícase la redacción del literal E) del inciso tercero del
artículo 9 de la Ley No. 18.331 de 11 de Agosto de 2008, el que
quedará redactado de la siguiente forma:
«E) Se realice por personas físicas para su uso exlusivo
personal, individual
o
doméstico.»
ARTÍCULO 160.- Las entidades públicas,
estatales o no, deberán adoptar las medidas necesarias e
incorporar en sus respectivos ámbitos de actividad las tecnologías
requeridas para promover el intercambio de información pública,
o privada autorizada por su titular, disponible en medios
electrónicos.
ARTÍCULO 161.- Son obligaciones de las entidades
públicas, estatales o no:
a)
Adoptar las medidas necesarias e incorporar en sus respectivos
ámbitos de
actividad las tecnologías requeridas para posibilitar el intercambio
de información
b) Los sujetos
involucrados en el intercambio de información deberán cumplir con
las obligaciones
de secreto, reserva o confidencialidad. Asimismo, adoptar
aquellas medidas
necesarias para garantizar niveles de seguridad y confidencialidad adecuados
c) Recabar el
consentimiento de acuerdo con lo previsto en la Ley No 18.331, de 11
de agosto de
2008, de Protección de Datos Personales y Acción de Habeas
Data
d) Responder por la
veracidad de la información al momento de producirse
el intercambio.
ARTÍCULO 162.- A los efectos de cumplir con
los cometidos de la Agencia para el Desarrollo del Gobierno de
Gestión Electrónica y la Sociedad de la Información y
del Conocimiento (AGESIC), en el intercambio de información las
entidades públicas, estatales o no, deberán ajustar su actuación
a los siguientes principios generales:
1) cooperación e integralidad,
2)
finalidad,
3) confianza y
seguridad.
4) previo consentimiento
informado de los titulares de datos personales,
5) eficiencia y eficacia.
Dichos principios generales servirán también de criterio
interpretativo para resolver las cuestiones que puedan suscitarse
en la aplicación de las disposiciones pertinentes.
La reglamentación establecerá el procedimiento para proceder al
intercambio
de información. Sin perjuicio de ello, el procedimiento se
iniciará con la presentación de una solicitud fundada y firmada
por el jerarca del organismo emisor, ante el jerarca del
organismo receptor.
Cuando proceda el intercambio de información, los organismos
podrán:
a) formalizar un
acuerdo que establezca los mecanismos o condiciones de
intercambio,
b) adoptar los
mecanismos o condiciones de intercambio definidos por el
órgano competente y formalizar un acuerdo.
En ambos casos, el acuerdo establecerá las condiciones, protocolos y
criterios funcionales o técnicos con los que se llevará a cabo
dicho intercambio.
ARTÍCULO 163.- La Agencia para el Desarrollo
del Gobierno de Gestión Electrónica y la Sociedad de la
Información y del Conocimiento (AGESIC) deberá ejercer todas las
acciones necesarias para el cumplimiento de los fines y principios
establecidos en la presente Ley, y tendrá las siguientes
potestades:
a) Dictar y
proponer las políticas, normas, estándares y procedimientos que
deberán
ser tenidos en cuenta por los organismos estatales y no estatales
para garantizar la
interoperabilidad
b) Crear el
Registro de Acuerdos de Interoperabilidad
c) Asesorar en forma preceptiva al Poder Ejecutivo en la
consideración de proyectos de
ley o reglamentos que refieran total o parcialmente a lo dispuesto en
la presente Ley
d) Fiscalizar
el cumplimiento de los extremos establecidos en la presente
Ley
e) Resolver todo caso de
controversia entre el organismo emisor y receptor,
adoptando
resolución fundada y vinculante dentro de los 45 días corridos de
conocida la posición de ambas partes
f) Apercibir directamente a los organismos estatales y no estatales
que incumplan con la presente Ley.