Artículo 1.° Objeto de la ley.

La presente ley tiene por objeto la protección integral de los datos personales de las personas físicas a fin de garantizar el ejercicio pleno de sus derechos y el libre flujo de la información, de conformidad con lo establecido en la Constitución, los tratados internacionales, acuerdos y convenios de los cuales la República del Paraguay es parte.

Artículo 2.° Ámbito de aplicación.

1. La presente ley se aplica a cualquier tratamiento de datos personales, total o parcialmente automatizado, así como al tratamiento no automatizado cuando se trate de datos personales que forman parte de un archivo, o estén destinados a serlo, realizado por personas físicas o jurídicas, independientemente del medio, país de su sede o el país donde se encuentren los datos, en los siguientes casos:

a) Por un responsable o encargado establecido en la República del Paraguay, incluso si el tratamiento se realiza en otro país;

b) Por un responsable o encargado no establecido en territorio nacional, en los siguientes casos:

i. cuando realice tratamiento de datos de personas físicas situadas en territorio paraguayo, salvo en casos de fines de tránsito;

ii. cuando las actividades del tratamiento de datos estén relacionadas con la oferta de bienes o servicios dirigidos a los residentes de la República del Paraguay;

iii. cuando las actividades de tratamiento de datos estén relacionadas con el control del comportamiento de personas físicas, en la medida en que éste tenga lugar en el territorio de la República del Paraguay.

2. La presente ley no será de aplicación en los siguientes casos:

a) En el tratamiento de datos personales cuando estén destinados a actividades exclusivamente en el marco de la vida familiar o doméstica de una persona física, que no tengan como propósito una divulgación o utilización comercial;

b) En el tratamiento de datos que tenga por objeto la seguridad pública, se refiera al ámbito migratorio, a la defensa, la seguridad nacional y a las actividades en materia penal, de investigación y represión del delito. En tales casos, deberá respetar, en todo momento, los derechos y libertades fundamentales y aplicarse de manera necesaria y proporcionada al fin perseguido, observando los principios generales de protección de datos personales, así como las garantías mínimas establecidas en la presente ley, en la medida que resulten compatibles con la naturaleza del tratamiento.

Artículo 3.° Definiciones.

A los efectos de la presente ley, se consideran las siguientes definiciones:

1. Anonimización: La aplicación de medidas de cualquier naturaleza dirigidas a impedir o dificultar la identificación o reidentificación de una persona física;

2. Bloqueo de datos: La identificación y reserva de datos personales, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a jueces y tribunales, fiscalía y demás autoridades públicas competentes, en la forma y condiciones establecidas en las normas vigentes;

3. Consentimiento: Toda manifestación de voluntad libre, expresa, específica, informada e inequívoca por la que una persona física acepta y autoriza, ya sea mediante una declaración o una clara acción afirmativa por escrito o por medios electrónicos, o por cualquier forma equivalente que la tecnología permita, el tratamiento de los datos personales propios o de quien represente;

4. Datos biométricos: Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas y/o fisiológicas de una persona, que permitan o confirmen la identificación única de dicha persona, tales como imágenes faciales, reconocimiento de iris o datos dactiloscópicos;

5. Datos genéticos: Datos personales relativos a las características genéticas heredadas que proporcionan una información única sobre la fisiología o la salud de una persona, obtenidos en particular del análisis de una muestra biológica de la misma;

6. Dato personal: Información de cualquier tipo referida a personas físicas determinadas o determinables. Se entenderá por determinable la persona que pueda ser identificada, directa o indirectamente, mediante algún identificador o por uno o varios elementos característicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

7. Datos personales sensibles: Aquellos que se refieran a origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical o política; datos relativos a la salud, a la preferencia u orientación sexual, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona y todos aquellos datos cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para el titular;

8. Elaboración de perfiles: El resultado del tratamiento de datos personales realizado de forma automatizada y semi automatizada para evaluar determinados aspectos de una persona física, para analizar o predecir, cuestiones relativas al rendimiento profesional o laboral, situación económica, salud, preferencias personales, comportamientos, intereses y otras que podrán contemplarse en la Reglamentación;

9. Encargado del tratamiento: La persona física o jurídica, pública o privada, que trate datos personales por cuenta y bajo las instrucciones del responsable del tratamiento;

10. Evaluación de impacto relativo a la protección de datos: Análisis de carácter previo de aquellos tratamientos de datos que puedan suponer un riesgo para los derechos y libertades de las personas;

11. Incidente de seguridad de datos personales: Es aquel que ocasiona la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;

12. Responsable del tratamiento: La persona física o jurídica, pública o privada u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de los datos;

13. Tercero: Persona física o jurídica, nacional o extranjera, pública o privada, distinta del titular de los datos, del responsable, del encargado y de las personas que, bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento, estén autorizadas a tratar datos personales;

14. Titular de datos: Persona física a quien se refieren o a quien corresponden los datos personales;

15. Transferencia internacional de datos: Transferencia de datos personales entre dos o más personas, sean responsables del tratamiento o encargados del tratamiento, cuando al menos una de ellas tiene su sede en una jurisdicción fuera de la República del Paraguay;

16. Tratamiento: Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales, automatizados o parcialmente automatizados, realizadas sobre datos personales, relacionadas de manera enunciativa más no limitativa, con la obtención, acceso, recolección, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, bloqueo, elaboración, transferencia, cesión, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales.

Artículo 4.° Principios generales de protección de datos personales.

El tratamiento de los datos personales se rige por los siguientes principios:

a) Principio de exactitud de los datos: Los datos serán exactos. Se presume la exactitud de los datos proporcionados por su titular. Los datos tratados deberán reflejar exactamente la información proporcionada por su titular. Los responsables y encargados del tratamiento deben adoptar todas las medidas razonables para su actualización y para que se supriman o rectifiquen sin dilación los inexactos;

b) Principio de licitud: Los datos personales deben ser tratados de manera lícita y leal, de conformidad con las disposiciones y principios establecidos en la ley. El responsable deberá ser capaz de acreditar la licitud del tratamiento de los datos personales que realiza;

c) Principio de finalidad: Los datos personales deben ser recogidos y tratados con fines determinados, explícitos, legítimos y de duración limitada, y no serán tratados, posteriormente, de manera incompatible o distinta a dichos fines.

El tratamiento ulterior con fines de archivo e interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales, siempre que se adopten medidas para garantizar el respeto del principio de minimización de los datos personales;

d) Principio de minimización o proporcionalidad: Los datos personales que se traten deben limitarse estrictamente a aquellos que resulten necesarios, adecuados y pertinentes con relación a los fines del tratamiento y podrán ser conservados sólo por el período de tiempo que sea necesario para cumplir con los fines del tratamiento. La reglamentación determinará los casos en los que, por excepción y atendiendo a valores históricos, estadísticos, científicos o de administración de justicia, se conserven datos personales aun cuando haya perimido tal necesidad o pertinencia;

e) Principio de limitación del plazo de conservación: No podrán conservarse o mantenerse los datos durante más tiempo del necesario para los fines del tratamiento. La autoridad de control deberá establecer los plazos para la supresión y/o revisión periódica.

El tratamiento ulterior de los datos personales con fines de archivo e interés público, fines de investigaciones científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales, siempre que se encuentren anonimizados o seudonimizados;

f) Principio de lealtad y transparencia: Los datos personales deberán tratarse de manera leal y transparente con relación al interesado.

El responsable del tratamiento debe entregar al titular, en lenguaje claro y sencillo, toda la información sobre la existencia y características principales del tratamiento al que serán sometidos sus datos, así como la necesaria para el ejercicio de los derechos que establece la presente ley. Esta información deberá estar permanentemente accesible, por medios de fácil acceso al titular de los datos;

g) Principio de conciliación de la transparencia pública y protección: La obligación de publicidad de actos de Organismos y Entidades del Estado, deberá tener en cuenta los principios de protección de datos personales establecidos en la presente ley y, en particular, el principio de minimización. Procederá la publicación y difusión de datos personales cuya inclusión sea necesaria y proporcional a la finalidad de transparencia perseguida por medio de la publicidad en el caso concreto. Los datos personales que excedan de dicha finalidad, o cuya publicación no fuere necesaria, deberán ser excluidos o tachados de los actos o documentos a ser publicados. Está prohibida la publicación de datos sensibles;

h) Principio de diligencia debida: El responsable de la base de datos o tratamiento y el encargado, en su caso, deberán adoptar las medidas apropiadas, entre ellas, la privacidad desde el diseño, privacidad por defecto, evaluación de impacto a la protección de datos, designación de un oficial de protección de datos, entre otras, a fin de garantizar un tratamiento adecuado de los datos personales y demostrar su efectiva implementación;

i) Principio de seguridad: En el tratamiento de datos personales se deberán adoptar medidas técnicas y organizativas que garanticen la seguridad de los datos y que tendrán como finalidad evitar la alteración, pérdida, destrucción o daño accidental, tratamiento o acceso no autorizado o ilícito. En el caso de datos definidos como sensibles, se podrán adoptar medidas adicionales para garantizar su seguridad, las cuales estarán determinadas en la reglamentación de la presente ley;

j) Principio de confidencialidad: Los responsables y encargados del tratamiento de datos de carácter personal, así como toda persona que intervenga en cualquier fase de este estarán sujetos al deber de confidencialidad, obligación que subsistirá aun después de finalizar sus relaciones con el titular. Los mismos podrán ser relevados del deber de confidencialidad por resolución judicial u obligación legal.

Artículo 5.° Condiciones.

El tratamiento de datos personales sólo podrá realizarse si se cumple al menos una de las siguientes condiciones:

1. Cuando el titular de los datos otorgue su consentimiento, para uno o varios fines específicos, conforme lo dispuesto en la presente ley;

2. Cuando el tratamiento sea necesario para el cumplimiento de una obligación legal por parte del responsable del tratamiento;

3. En el tratamiento y uso compartido de los datos necesarios y proporcionales, por parte de los Organismos y Entidades del Estado, para el ejercicio de sus funciones propias, la ejecución de las políticas públicas, previstas en leyes y reglamentos sujeto a lo dispuesto en la presente ley;

4. Cuando el tratamiento de datos personales sea necesario para la ejecución de un contrato o trámite preliminar relacionado con un contrato del que el titular sea parte, a solicitud de este;

5. Cuando sea necesario para el ejercicio regular de derechos en procedimientos judiciales, administrativos o arbitrales;

6. Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, excepto cuando prevalezcan sobre dichos intereses, el interés o los derechos y libertades fundamentales del titular de los datos los cuales requieran la protección de los datos personales, en particular cuando el titular de los datos sea un niño, niña y/o adolescente. Este numeral no resultará aplicable al tratamiento de datos personales realizados por parte del Estado dentro de las limitaciones previstas en la Constitución y en la presente ley;

7. Para la protección de la vida, la seguridad física o psíquica y/o la protección de la salud del titular o de un tercero, exclusivamente en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridad sanitaria dentro de los límites de su competencia, o para la protección jurídica de una persona física dispuesta por autoridad competente en proceso judicial. La reglamentación determinará las medidas que correspondan según los tipos de datos, tratamientos y responsables, así como la oportunidad para su revisión y actualización.

Artículo 6.° Condiciones para el consentimiento.

Si la base legal para el tratamiento de datos personales es el consentimiento, éste debe ser previo, libre, informado e inequívoco, para una o varias finalidades determinadas, ya sea mediante una declaración o una clara acción afirmativa.

Si el consentimiento del interesado se otorga en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se prestará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante la declaración o parte de la misma que infrinja la presente ley.

El titular tendrá derecho a retirar o revocar su consentimiento en cualquier momento y deberá ser informado de ello antes de otorgarlo. El responsable del tratamiento deberá establecer mecanismos sencillos, ágiles, eficaces y gratuitos para el ejercicio de este derecho, que no podrán ser más complejos que aquellos procesos establecidos para otorgar el consentimiento. El retiro o revocación del consentimiento no afectará la licitud del tratamiento realizado con base en el consentimiento previo a su retiro.

En todos los casos, el responsable del tratamiento tiene la carga de demostrar que el titular de los datos consintió el uso de sus datos personales.

Artículo 7.° Consentimiento de niños, niñas y adolescentes.

En el tratamiento de datos personales de un niño, niña o adolescente, deberá prevalecer la protección del interés superior de éstos, conforme a lo previsto en la Constitución, la Convención sobre los Derechos del Niño, los demás instrumentos normativos internacionales ratificados por la República del Paraguay y la legislación aplicable.

El tratamiento de los datos personales de personas menores de dieciséis años, sean estos datos sensibles o no, requerirá el consentimiento previo, expreso e informado del titular de la patria potestad, guarda o tutela legal.

En el caso de adolescentes que cuenten con dieciséis o más años y hasta su mayoría de edad, en el tratamiento de datos personales sensibles, se requerirá el consentimiento expreso del adolescente, conjuntamente con la autorización del titular de la patria potestad, guarda o tutela legal.

En todos los casos, el consentimiento deberá ser prestado en condiciones que garanticen la comprensión de su alcance, utilizando medios y lenguajes claros y adecuados a la edad y desarrollo del niño, niña o adolescente. La información a que se refiere este artículo debe ser brindada de forma simple, clara y accesible, considerando las características físicomotoras, perceptivas, sensoriales, intelectuales y mentales del titular de los datos o de quienes ejerzan la patria potestad, guarda o tutela legal, con el uso de recursos audiovisuales cuando corresponda.

Artículo 8.° Interés legítimo.

El interés legítimo del responsable o el de un tercero, constituye una base legal para el tratamiento de datos personales, toda vez que el tratamiento sea necesario para la satisfacción de tal interés y siempre que no prevalezcan los derechos y libertades fundamentales del titular del dato.

El tratamiento de datos personales fundado en el interés legítimo exige que el mismo se cumpla en el marco de una relación pertinente y apropiada entre el titular de datos y el responsable, y siempre conforme a las expectativas razonables del titular.

El responsable del tratamiento deberá tratar los datos estrictamente necesarios y adoptar medidas para garantizar la transparencia de dicho tratamiento, informando al titular cuál es el interés legítimo que persigue.

La autoridad de control podrá requerir al responsable del tratamiento un análisis previo sobre la protección de datos personales, que justifique su interés legítimo y la necesidad de recolectar o tratar los datos en cada caso, observando secretos comerciales e industriales.

El titular gozará del derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, al tratamiento de sus datos personales objetando el interés legítimo del responsable.

Artículo 9.° Responsable del tratamiento.

Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de los titulares de datos, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento se cumple en conformidad con la presente ley y su reglamentación. Dichas medidas se revisarán y actualizarán cuando sea necesario.

La reglamentación determinará las medidas que correspondan según los tipos de datos, tratamientos y responsables, la oportunidad para su revisión y actualización, así como las medidas de protección desde el diseño y por defecto.

Artículo 10. Corresponsables del tratamiento.

Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento, serán considerados corresponsables del tratamiento. Los corresponsables determinarán inter partes de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por la presente ley. Dichos acuerdos, aunque podrán designar un punto de contacto común para los titulares de los datos, no exonerarán a los corresponsables de su responsabilidad conjunta y solidaria frente al titular de los datos.

Independientemente de los términos del acuerdo a que se refiere el parágrafo precedente, los titulares de datos podrán ejercer sus derechos frente a cada uno de los responsables, conjunta o separadamente.

Artículo 11. Encargado del tratamiento.

Cuando se ejecute el tratamiento de datos por cuenta de un responsable de dicho tratamiento, el mismo podrá cumplirse únicamente por quien ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos de la presente ley y en garantía de la protección de los derechos del titular del dato.

El tratamiento en estos casos se regirá por un contrato u otro acto jurídico que autorice tal delegación con arreglo al ordenamiento jurídico, el que deberá establecer sin perjuicio de otros elementos, el objeto, la duración, la naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de titulares de datos y las obligaciones y derechos del responsable.

El encargado del tratamiento también podrá delegar en otro encargado dicho tratamiento para lo cual deberá estarse al cumplimiento a lo previsto en el parágrafo anterior. La delegación efectuada en este sentido, no excluye la responsabilidad del encargado delegante frente al responsable del tratamiento de datos en lo que respecta al cumplimiento de las obligaciones del encargado delegado.

Si un encargado del tratamiento determinase los fines y medios de dicho tratamiento, infringiendo la presente ley, será considerado responsable con respecto a ese tratamiento frente a quien o quienes tengan derecho a dicho reclamo.

Artículo 12. Representantes de responsables o encargados del tratamiento no establecidos en la República del Paraguay.

La reglamentación de la presente ley establecerá los casos y condiciones en los cuales será obligatorio para los responsables o encargados del tratamiento la designación de un representante.

El representante podrá responder a la solicitud hecha por el titular del dato, o por la autoridad de control.

Artículo 13. Mecanismos de autorregulación vinculantes.

La autoridad de control promoverá la elaboración de mecanismos de autorregulación vinculantes, que tengan por objeto contribuir a la correcta aplicación de la presente ley.

Los mecanismos de autorregulación vinculantes podrán consistir en códigos de conducta, de buenas prácticas, normas corporativas vinculantes, sellos de confianza, certificaciones u otros mecanismos que coadyuven a contribuir a los objetivos señalados, pudiendo la reglamentación establecer los requisitos necesarios para su aprobación de parte de la autoridad de control.

Los códigos de conducta pueden dotarse de mecanismos de resolución extrajudicial de conflictos, pero el empleo de estos últimos no debe suponer costes adicionales al titular del dato ni obligarlo a desplazamientos desproporcionados fuera de la localización de su domicilio.

Artículo 14. Evaluación de impacto.

Previamente a la implementación de operaciones de tratamiento de datos que, por su naturaleza, alcance, contexto o finalidades, puedan suponer riesgos significativos para los derechos de los titulares de tales datos, el responsable del tratamiento deberá realizar una evaluación del impacto de dichas operaciones en la protección de datos personales.

La evaluación de impacto relativa a la protección de los datos es obligatoria, en caso de:

a) Evaluación sistemática y completa de aspectos personales de titulares de datos basada en tratamiento de datos automatizado, incluyendo la elaboración de perfiles, y sobre cuya base se adopten decisiones que produzcan efectos jurídicos para las personas físicas o afectación significativa de modo similar;

b) Tratamiento a gran escala de datos sensibles, o de datos personales relativos a condenas e infracciones penales; o,

c) Tratamiento sistemático a gran escala para la observación en sitios de acceso público.

La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos, de conformidad con el primer párrafo del presente artículo. Así también, podrá establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos.

El contenido de la evaluación de impacto será establecido en la reglamentación de la presente ley.

Artículo 15. Consulta previa.

El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto demuestre que el tratamiento implicaría un riesgo si el responsable no toma medidas para mitigarlo.

El responsable del tratamiento no podrá iniciar el tratamiento de datos hasta tanto la autoridad de control se pronuncie sobre el informe.

La autoridad de control deberá, en un plazo de treinta días hábiles computados desde la consulta, asesorar por escrito al responsable o encargado, de conformidad con las funciones establecidas en la presente ley. Este plazo podrá suspenderse extraordinariamente por causa justificada y solo hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta.

Artículo 16. Medidas de seguridad.

El responsable y el encargado del tratamiento de datos personales llevarán a cabo, de manera periódica, una serie de acciones que garanticen el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de las medidas de seguridad aplicables al tratamiento de los datos personales.

La autoridad de control reglamentará las condiciones técnicas de seguridad e integridad mínimas que deberán ser aplicadas por los responsables y encargados del tratamiento.

Artículo 17. Notificación de un incidente de seguridad del tratamiento de los datos personales a la Autoridad de Control y al Titular del Dato.

En caso de acaecimiento de un incidente de seguridad de los datos personales, el responsable del tratamiento notificará a la Autoridad de Control y, en su caso, al Titular del Dato, en un plazo que no podrá exceder de setenta y dos horas contadas a partir de haber tenido conocimiento del incidente. Las condiciones y requerimientos, serán establecidos en la reglamentación de la presente ley.

Artículo 18. Oficial de protección de datos.

El oficial de protección de datos es la persona designada para colaborar y supervisar el cumplimiento de las normas relativas a la protección de datos personales.

Los responsables y encargados del tratamiento deberán designar un oficial de protección de datos en los casos a ser establecidos en la reglamentación de la presente ley.

El oficial de protección de datos será designado atendiendo a sus cualidades profesionales y a su capacidad para desempeñar las funciones a ser establecidas en la reglamentación de la presente ley.

Un grupo empresarial podrá nombrar un único oficial de protección de datos siempre que cumpla con los parámetros previstos en esta norma y sea fácilmente accesible desde cada establecimiento. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único oficial de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

El oficial de protección de datos podrá formar parte del personal del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de prestación de servicios.

La reglamentación establecerá otros aspectos relativos al oficial de protección de datos.

Artículo 19. Reglas generales para las transferencias internacionales de datos personales.

Las transferencias de datos personales fuera del territorio nacional, incluidas las transferencias ulteriores, solo podrán realizarse si el país, territorio, sector u organización internacional de destino ofrece un nivel de protección adecuado, conforme a lo dispuesto en la presente ley.

La evaluación de la adecuación será realizada por la Agencia Nacional de Datos Personales, que determinará mediante resolución fundada o a través de la publicación de una lista oficial tal adecuación, de conformidad con los principios, derechos y garantías establecidos en la presente ley.

En caso que el país destinatario no cuente con un nivel de protección adecuado, el responsable o encargado deberá adoptar garantías apropiadas para asegurar que el tratamiento de los datos personales se efectúe conforme a lo dispuesto en la presente ley. Dichas garantías podrán consistir, entre otras, en cláusulas contractuales especificas o estándares, normas corporativas vinculantes, códigos de conducta o mecanismos de certificación, siempre de acuerdo con lo que se establezca en la reglamentación de la presente ley.

No se aplica lo dispuesto en el párrafo anterior, en los siguientes casos:

1. Acuerdos en el marco de tratados internacionales en los cuales la República del Paraguay sea parte;

2. Cooperación judicial internacional;

3. Cooperación internacional entre organismos de inteligencia para la lucha contra el terrorismo, tráfico ilícito de drogas, lavado de activos, corrupción, trata de personas y otras formas de criminalidad;

4. Cuando los datos personales sean necesarios para la ejecución de una relación contractual en la que el titular de datos personales sea parte, incluyendo lo necesario para actividades como la autentificación de usuario, mejora y soporte del servicio, monitoreo de la calidad del servicio, soporte para el mantenimiento y facturación de la cuenta y aquellas actividades que el manejo de la relación contractual requiera;

5. Cuando se trate de transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme a la ley aplicable;

6. Cuando el flujo transfronterizo de datos personales se realice para la protección, prevención, diagnóstico o tratamiento médico o quirúrgico de su titular; o cuando sea necesario para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de anonimización adecuados;

7. Cuando el titular de los datos personales haya dado su consentimiento previo, informado, expreso e inequívoco;

8. Cuando el responsable del tratamiento ofrezca y acredite garantías de cumplimiento de los principios, los derechos del interesado y el régimen de protección de datos previsto en la presente ley, en forma de:

a) Cláusulas contractuales específicas para una determinada transferencia;

b) Cláusulas contractuales estándares;

c) Normas corporativas globales;

d) Sellos, certificados y códigos de conducta emitidos periódicamente.

Artículo 20. Tratamiento de datos sensibles.

Queda prohibido el tratamiento de datos personales sensibles salvo que:

1. El titular haya prestado su consentimiento para el tratamiento de dichos datos personales, excepto cuando se establezca que la prohibición mencionada no pueda ser suplida por el consentimiento del titular del dato; dicho consentimiento no tendrá efecto si no es libre, informado o inequívoco o el otorgamiento del consentimiento haya sido impuesto directa o indirectamente al titular del dato;

2. El tratamiento se refiera a datos personales que el interesado haya hecho manifiestamente públicos;

3. El tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del derecho laboral y de la seguridad social, en la medida que así lo autorice el ordenamiento jurídico y siempre que se establezcan garantías adecuadas que aseguren el respeto a los derechos fundamentales de los titulares de los datos;

4. El tratamiento sea necesario para proteger intereses vitales del titular, en el supuesto que el titular no esté capacitado, física o jurídicamente, para prestar su consentimiento, y sus representantes legales no lo puedan realizar en tiempo oportuno;

5. El tratamiento sea efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los titulares;

6. El tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando las autoridades jurisdiccionales competentes actúen en ejercicio de su función judicial;

7. El tratamiento sea necesario por razones de interés público en el ámbito de la salud pública por la autoridad sanitaria competente, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria o provisión alimentaria y de los medicamentos o productos sanitarios o alimentarios, debiendo establecerse medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional;

8. El tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas de servicio de asistencia sanitaria y social, en observancia de la normativa especial o en virtud de un contrato con un profesional sanitario. Los datos personales comprendidos en el presente numeral podrán tratarse toda vez que su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional o confidencialidad, o bajo su responsabilidad, o por cualquier otra persona sujeta a la obligación de secreto de acuerdo con el ordenamiento jurídico;

9. El tratamiento se realice en el marco de asistencia humanitaria en casos de desastres naturales;

10. El tratamiento sea necesario con fines de archivo en interés público, fines de investigación científica o histórica o con fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos у establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular. Los datos deberán estar eficazmente anonimizados;

11. El tratamiento y uso compartido de los datos necesarios y proporcionales, por parte de los poderes del Estado, para el ejercicio de sus funciones misionales propias, la ejecución de las políticas públicas previstas en leyes y normas reglamentarias.

Artículo 22. Tratamientos con fines de videovigilancia.

Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes y sonidos a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como la de sus instalaciones.

Solo podrán captarse imágenes y sonidos de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior.

No obstante, será posible la captación de imágenes y sonidos de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicas o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer o implicar la captación de imágenes y sonidos del interior de un domicilio privado.

Los datos que hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de las personas, bienes o instalaciones deberán ser puestos a disposición de la autoridad competente para tomar acciones en la investigación y persecución de ilícitos penales y/o administrativos en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación, sin perjuicio de las facultades de investigación de las autoridades competentes en el marco de una investigación abierta.

Se considera excluido del ámbito de aplicación del presente artículo el tratamiento por una persona física de imágenes y sonido que solamente capten el interior de su propio domicilio.

Esta exclusión no alcanza al tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a tales grabaciones.

Artículo 23. Tratamiento de datos de naturaleza penal, sanciones e infracciones administrativas.

El tratamiento de datos personales relativos a hechos punibles, así como a procedimientos y medidas cautelares y de seguridad conexas, se regirán por la ley respectiva.

El tratamiento de datos relativos a infracciones y sanciones administrativas, se regirá por su ley respectiva.

Se dispondrán de medidas técnicas y organizativas, para garantizar el respeto del principio de minimización y demás principios y disposiciones de protección de datos personales.

Artículo 24. Del Acceso a la Información Pública y Protección de Datos.

El derecho de acceso a la información obrante en fuentes públicas podrá ser denegado o limitado, cuando tal medida resultase necesaria para evitar un perjuicio concreto a la protección de uno de los intereses privados inherentes a la protección de los datos personales, de conformidad con las reglas y principios establecidos en la presente ley y de acuerdo con el trámite previsto en el presente artículo.

La excepción de acceso a la información pública procederá únicamente cuando el daño causado al interés protegido sea mayor al interés público de obtener el acceso a la información.

La excepción establecida no deberá aplicarse cuando:

a) La persona haya consentido expresamente la divulgación de sus datos personales;

b) Las circunstancias del caso muestren con claridad que la información fue entregada al sujeto obligado como parte de aquella información que deba estar sujeta al régimen de publicidad;

c) La Información se encuentre en fuentes de acceso público, sin perjuicio de lo dispuesto por las leyes especiales;

d) La información tenga el carácter de pública de acuerdo con la legislación vigente al tiempo del acceso;

e) Exista una orden judicial emanada de órgano competente que requiera o autorice su publicación;

f) Por razones de seguridad nacional y salubridad general, se requiera la publicación;

g) Se transmita entre entidades de derecho público y entre éstos y los sujetos de derecho internacional, en términos de los tratados y acuerdos interinstitucionales, siempre y cuando la información se provea con la única finalidad de ser utilizada para el ejercicio de facultades propias de los mismos.

Si el Organismo o Entidad del Estado al que se dirige la solicitud de acceso a la información advierte que la misma podría interferir con el derecho a la protección de datos personales, deberá notificar al titular de los datos concernidos, en un plazo no mayor a tres días hábiles de recibida la solicitud.

El titular de los datos contará con un plazo de cinco días hábiles para formular oposición motivada a la solicitud de acceso a los datos personales que le concernieren. En caso que el titular de los datos formule oposición fundada en el derecho a la protección de sus datos personales, dentro del plazo de ley, el Organismo o Entidad del Estado receptora de la solicitud de acceso deberá solicitar un dictamen no vinculante de parte de la autoridad de control, sobre la compatibilidad de la solicitud de acceso a la información con un nivel adecuado de protección de datos personales. La autoridad de control deberá expedirse dentro de un plazo de cinco días hábiles.

En caso de mediar oposición, los Organismos y Entidades del Estado contarán con un plazo de cinco días hábiles para resolver la solicitud de acceso a la información, a contar desde la recepción del dictamen de parte de la autoridad de control o desde el vencimiento del plazo legal que tenía para presentarlo.

Si la solicitud de acceso es estimada procedente a pesar de la oposición del titular del dato, el Organismo o Entidad del Estado procederá a notificar al titular del dato y al solicitante, los datos o documentos solicitados, dentro del plazo de tres días hábiles. En los casos de denegación total o parcial del acceso o de falta de respuesta en el plazo indicado anteriormente, el solicitante tendrá expedita la acción judicial, en los términos del Título V de la Ley N° 5282/2014 “DE LIBRE ACCESO CIUDADANO A LA INFORMACIÓN PÚBLICA Y TRANSPARENCIA GUBERNAMENTAL”.

Artículo 25. Intercambio de datos personales entre instituciones públicas.

Será lícita la comunicación de datos personales entre instituciones públicas, en la medida en que:

1. La institución pública responsable de la base de datos haya obtenido los datos en ejercicio de sus funciones y competencias legalmente atribuidas;

2. El tratamiento por parte de la institución pública que recibe la base de datos sea necesario para el cumplimiento de sus funciones legales y la finalidad de dicho tratamiento de datos se encuentre dentro del marco de sus competencias;

3. Los datos involucrados sean adecuados, proporcionales y no excedan el límite de lo necesario con relación a esta última finalidad;

4. El titular de los datos sensibles haya dado su consentimiento o se apliquen las excepciones establecidas en el artículo 20 de la presente ley.

Artículo 26. Disposiciones generales sobre el ejercicio de los derechos.

Sin perjuicio de los demás derechos derivados de las disposiciones de la presente ley, el titular de datos o su representante podrán, en cualquier momento, solicitar al responsable o encargado del tratamiento, el acceso, rectificación, supresión, oposición y portabilidad de los datos personales que le conciernen.

El ejercicio de cualquiera de los derechos mencionados no es requisito previo ni impide el ejercicio de otro.

El responsable deberá establecer medios y procedimientos sencillos, expeditos, accesibles y gratuitos que permitan al titular de datos ejercer sus derechos. La solicitud del titular de datos deberá ser evacuada por el encargado o responsable del tratamiento en un plazo máximo de treinta días corridos computados desde la presentación de la solicitud, sin perjuicio de que la reglamentación de la presente ley disponga un plazo inferior.

Vencido el plazo sin que se satisfaga el pedido o si, a criterio del titular de los datos, la respuesta fuera insuficiente, podrá éste recurrir ante la autoridad de control o, si correspondiere, podrá interponer la acción de habeas data.

En caso de optar por la acción de habeas data, o de haberla ejercido con anterioridad, no podrá iniciar el trámite ante la autoridad de control. El ejercicio de los derechos previstos en el presente Capítulo es irrenunciable.

Artículo 27. Derecho a la información.

El titular de datos tiene derecho a recibir la información suficiente y fácilmente accesible, en lenguaje claro, sencillo y de fácil comprensión, en particular si va dirigida a niños, niñas o adolescentes o personas con discapacidad, sobre cómo se lleva a cabo el tratamiento de sus datos personales, los haya proporcionado directamente o no.

El responsable proporcionará al titular, al momento de la obtención de los datos, al menos la siguiente información:

1. Las categorías de datos personales que serán objeto del tratamiento;

2. La identidad y datos de contacto que cuanto menos serán el domicilio legal, número de teléfono y correo electrónico o canal equivalente;

3. Base legal y finalidades del tratamiento a que serán sometidos sus datos personales;

4. Las comunicaciones o transferencias internacionales de datos personales que pretenda realizar el responsable, incluyendo los destinatarios o categorías de destinatarios y las finalidades que motivan la realización de estas;

5. La existencia, forma y mecanismos o procedimientos a través de los cuales podrá ejercer los derechos de acceso, rectificación, oposición, supresión y portabilidad;

6. Tiempo de conservación de los datos personales, o en su defecto, el criterio utilizado para determinar el período de tiempo;

7. La existencia de decisiones automatizadas, incluida la elaboración de perfiles y, al menos en tales casos, información significativa sobre la lógica aplicada, sin que ello afecte derechos intelectuales del responsable del tratamiento;

8. En su caso, el origen de los datos personales cuando el responsable no los hubiere obtenido directamente del titular;

9. El derecho a recurrir ante la autoridad de control.

La información facilitada, así como la comunicación y cualquier actuación realizada debe ser a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá: a) cobrar un canon razonable en función de los costos administrativos afrontados para facilitar la información o la comunicación o para realizar la actuación solicitada, o b) negarse a actuar respecto de la solicitud.

El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

El responsable del tratamiento deberá guardar registro detallado de los pedidos denegados y los motivos de dicha denegación.

Artículo 28. Derecho de acceso.

El titular de datos tendrá derecho a solicitar y obtener acceso a sus datos personales que obren en posesión del responsable o encargado del tratamiento y/o una copia de los mismos, previa acreditación de su identidad. La información deberá ser suministrada en forma clara, inteligible, exenta de codificaciones y, de ser necesario, acompañada de una explicación de los términos que se utilicen, en lenguaje comprensible para el titular de los datos.

En ningún caso el informe puede revelar datos pertenecientes a terceros, aun cuando se vinculen con el titular de los datos, excepto que hayan sido provistos por el titular interesado.

Artículo 29. Derecho de rectificación.

El titular de datos tendrá el derecho a obtener del responsable la rectificación de sus datos personales, cuando éstos resulten falsos, erróneos, incompletos o no se encuentren actualizados.

En el supuesto de cesión o transferencia internacional de datos erróneos o desactualizados, el responsable del tratamiento debe notificar la rectificación al cesionario dentro del quinto día hábil de haber tomado conocimiento efectivo de la falsedad, error, inexactitud o desactualización.

Durante el proceso de verificación y rectificación del error, inexactitud, falsedad o desactualización de la información que se trate, el responsable del tratamiento debe bloquear el dato, o bien consignar, al proveer información relativa a éste, la circunstancia de que se encuentra sometido a revisión por tales circunstancias.

Artículo 30. Derecho de oposición.

El titular del dato tendrá derecho a oponerse, en cualquier momento, por motivos relacionados con su situación particular, al tratamiento de los datos personales que le conciernen, incluida la elaboración de perfiles basados en dichas disposiciones.

Cuando el titular de datos se oponga al tratamiento de sus datos personales, estos dejarán de ser tratados en un plazo de diez días hábiles desde el envío de la solicitud de oposición, salvo que el responsable del tratamiento demuestre motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado o el tratamiento sea necesario para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial.

Cuando el titular de datos se oponga al tratamiento con fines de mercadotecnia directa, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia, sus datos personales dejarán de ser tratados para dichos fines en un plazo de quince días hábiles desde el envío de la solicitud de oposición.

Artículo 31. Derecho de supresión.

El titular de datos tendrá derecho a obtener del responsable del tratamiento la eliminación de sus datos personales sin demora injustificada, a fin de que los mismos dejen de ser tratados por este último, en los siguientes casos:

1. Cuando los datos personales hayan sido tratados ilícitamente;

2. Cuando los datos personales ya no son necesarios en relación con la finalidad para la cual fueron recogidos o tratados;
3. Cuando haya vencido el plazo de conservación de los datos personales;

4. Cuando el titular de datos haya revocado el consentimiento en el que se basa el tratamiento y no exista otra base legal para el tratamiento;

5. Cuando el titular de los datos haya ejercido su derecho de oposición conforme con lo establecido en la presente ley, y no prevalezcan otros motivos legítimos para el tratamiento de sus datos;

6. Los datos personales que deban suprimirse para el cumplimiento de una obligación legal.

La supresión no procederá cuando pudiese causar perjuicios al derecho a la información y a la libertad de expresión o intereses legítimos de terceros debidamente comprobados; cuando prevalezcan razones de interés público para el tratamiento de datos cuestionado debidamente acreditados, o los datos personales deban ser conservados durante los plazos previstos en las disposiciones legales imperativas aplicables.

Artículo 32. Derecho a la portabilidad.

Cuando se haga el tratamiento de datos personales por vía electrónica o medios automatizados, el titular de datos podrá solicitar que sus datos personales se transfieran directamente de responsable a responsable conforme a la reglamentación técnica.

Este derecho no procederá cuando:

1. Su ejercicio imponga una carga financiera o técnica excesiva o irrazonable debidamente demostrada sobre el responsable o encargado del tratamiento;

2. Vulnere la privacidad de otro titular de datos;

3. Vulnere obligaciones legales que pudieran estar impuestas al responsable o encargado del tratamiento;

4. Se trate de datos que ya hayan sido anonimizados por el responsable del tratamiento.

Artículo 33. Derechos ante decisiones individuales automatizadas o semiautomatizadas.

El titular de datos tiene derecho a solicitar la revisión de las decisiones tomadas sobre la base del tratamiento automatizado de datos personales, que afecten negativamente a sus intereses o produzcan efectos jurídicos, incluidas las decisiones encaminadas a definir sus aspectos personales, profesionales, de consumo, de crédito, de su personalidad. Asimismo, derecho a expresar su punto de vista y a impugnar la decisión.

El responsable del tratamiento debe proporcionar, siempre que se le solicite, información clara, completa y adecuada sobre los criterios y procedimientos utilizados para la decisión automatizada, con observancia del respeto por secretos comerciales e industriales del titular o que el titular se vea obligado por ley o por contrato a guardar.

Debe adoptar las medidas adecuadas para salvaguardar los derechos del titular de los datos. Este derecho no suprime ni sustituye el ejercicio de otros derechos que puedan tener lugar.

Artículo 34. Autoridad de control y supervisión. Naturaleza jurídica.

Créase la Agencia Nacional de Protección de Datos Personales, como una unidad desconcentrada dentro de la estructura orgánica del Ministerio de Tecnologías de la Información y Comunicación, con rango de Dirección Nacional, que se constituye como autoridad de control y supervisión de la presente ley.

La Agencia Nacional de Protección de Datos Personales gozará de autonomía funcional e independencia, y contará con facultades suficientes de decisión, acción, reglamentación, supervisión, control, sanción y todas las demás funciones necesarias para el cumplimiento de la presente ley, actuando de conformidad con los principios en ella establecidos.

La Agencia Nacional de Protección de Datos Personales, tendrá amplias facultades para organizarse administrativamente. Deberá contar con los recursos humanos y materiales necesarios para el cumplimiento de sus funciones.

La estructura orgánica y administrativa de la Agencia Nacional de Protección de Datos Personales, será establecida en el decreto reglamentario de la presente ley y comprenderá, al menos, al Director General como máxima autoridad y a un adjunto.

La Agencia Nacional de Protección de Datos Personales, contará con amplias facultades para dictar los reglamentos internos que sean necesarios para complementar las disposiciones normativas expresamente mencionadas en la presente ley.

Artículo 35. Funciones y Atribuciones de la Agencia Nacional de Protección de Datos Personales.

La Agencia Nacional de Protección de Datos Personales se constituye en autoridad de control de la presente ley y cuenta con suficientes facultades y atribuciones de acción, decisión, resolución, reglamentación, promoción, investigación, supervisión, fiscalización, control, sanción y otros que resulten necesarios para garantizar su efectivo cumplimiento, así como el ejercicio y respeto efectivo del derecho a la protección de datos personales. La Agencia Nacional de Protección de Datos Personales tendrá las siguientes funciones y atribuciones:

1. Ejercer la supervisión, control y evaluación de las actividades efectuadas por el responsable y encargado del tratamiento de datos personales;

2. Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente ley y de los medios legales de que disponen para la defensa de sus derechos;

3. Dictar las normas, reglamentaciones, lineamientos y criterios orientadores que se deben observar en el desarrollo de las actividades comprendidas en la presente ley;

4. Tramitar los reclamos y/o denuncias formuladas, ejecutar actuaciones previas y, si se considera pertinente, instruir sumario administrativo por presunto incumplimiento de la presente ley y sus disposiciones reglamentarias;

5. Realizar auditorías técnicas al tratamiento de datos personales, de conformidad con la presente ley y la reglamentación;

6. Solicitar información que corresponda a su área de competencia a las instituciones públicas y privadas, las que deberán dar respuesta en el plazo que para el efecto se establezca;

7. Imponer las sanciones administrativas, previo sumario, por violación a las disposiciones de la presente ley y de sus reglamentaciones;

8. Homologar los mecanismos de autorregulación vinculantes o códigos de conductas y supervisar su cumplimiento;

9. Dictar las cláusulas estándar de protección de datos;

10. Elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos;

11. Crear mecanismos de certificación en materia de protección de datos, a fin de aportar las garantías establecidas;

12. Evaluar el carácter adecuado del país u organismo receptor en la transferencia internacional de datos;

13. Solicitar información a los oficiales de protección de datos, en los términos previstos en la presente ley y sus disposiciones reglamentarias;

14. Promover acciones de cooperación con autoridades de protección de datos personales de otros países, pudiendo suscribir acuerdos internacionales administrativos y no normativos en la materia;

15. Emitir dictamen técnico no vinculante cuando en sede administrativa o judicial deba ponderarse el derecho de acceso a la información pública y el derecho a la protección de datos personales, cuando existan dudas sobre su aplicación;

16. Preparar informes anuales de gestión sobre sus actividades;

17. Colaborar con los Organismos y Entidades del Estado en materias vinculadas a su competencia;

18. Ejercer las funciones y atribuciones requeridas para la debida implementación de las disposiciones vigentes previstas en de la Ley N° 6534/2020 “DE PROTECCIÓN DE DATOS PERSONALES CREDITICIOS”, o de aquellas que la sustituya, con excepción de las expresamente asignadas al Banco Central del Paraguay y que correspondan al ámbito de su competencia.

19. Las demás funciones que le asigne la presente ley o su decreto reglamentario, así como aquellas que resulten necesarias para garantizar la efectiva implementación у su cumplimiento.

Artículo 36. De los recursos financieros de la Agencia Nacional de Protección de Datos Personales.

Los recursos financieros de la Agencia Nacional de Protección de Datos Personales, estarán constituidos por:

1. Los recursos que anualmente le sean destinados en el Presupuesto General de la Nación, que serán incorporados al presupuesto del Ministerio de Tecnologías de la Información y Comunicación, debiendo ser plenamente individualizables en el mismo;

2. Los ingresos provenientes de las multas aplicadas en ejercicio de sus potestades sancionadoras establecidas en la presente ley; y,

3. Los fondos provenientes de convenios y/o acuerdos, créditos otorgados, préstamos, financiamientos, aportes, donaciones, legados, o de cualquier otro concepto, de origen nacional o internacional, siempre que no implique conflicto de intereses.

Los ingresos enumerados en el numeral 2, serán depositados en una cuenta especial del Ministerio de Tecnologías de la Información y Comunicación destinada en exclusividad a los recursos de la Agencia Nacional de Protección de Datos Personales.

En ningún caso, se dispondrá de los mencionados recursos para otro objeto distinto al establecido en la presente ley y sus reglamentaciones.

Artículo 37. Designación del Director General de la Agencia Nacional de Protección de Datos Personales.

La Agencia Nacional de Protección de Datos Personales estará a cargo de un Director General. La Dirección Nacional estará auxiliada por un director adjunto en el que podrá delegar funciones en la forma y condiciones establecidas en la presente ley y su reglamentación.

El Director General y el Adjunto serán nombrados por decreto del Poder Ejecutivo, a partir de una terna propuesta por el Ministerio de Tecnologías de la Información y Comunicación, previo concurso público.

La Agencia ejercerá sus funciones con exclusividad, independencia y objetividad, limitándose el poder jerárquico de la máxima autoridad del Ministerio de Tecnologías de la Información y Comunicación aquellos asuntos que no guarden relación con las funciones de competencia exclusiva de la Agencia Nacional de Protección de Datos Personales, excepto en casos de sumario administrativo.

Artículo 38. De las facultades y deberes del Director General de la Agencia Nacional de Protección de Datos Personales.

Son facultades y deberes del Director General de la Agencia Nacional de Protección de Datos Personales:

1. Cumplir y velar por el cumplimiento de la presente ley y de sus disposiciones reglamentarias;

2. Ejercer la potestad reglamentaria en los términos previstos en esta ley;

3. Dirigir y organizar la estructura y funciones de la Agencia, dictando reglamentos y manuales internos que resulten necesarios para el efecto;

4. Ejercer la representación de la Agencia Nacional de Protección de Datos Personales, pudiendo suscribir documentos y otorgar poderes generales y especiales para actuaciones judiciales y administrativas en nombre de la misma;

5. Nombrar, remover o trasladar al personal de la Agencia y fijar horarios de oficina y turnos de trabajo, de conformidad con lo dispuesto en la normativa respectiva;

6. Celebrar contratos, convenios, con instituciones y organismos nacionales, binacionales, internacionales, públicos o privados, en coordinación con el Ministerio de Relaciones Exteriores cuando corresponda, para el cumplimiento de los objetivos y fines de la Agencia y de la presente ley;

7. Ordenar inspecciones y/o fiscalizaciones técnicas o administrativas y/o auditorías a los sujetos sometidos a la presente ley;

8. Disponer la instrucción de sumario administrativo y la aplicación de sanciones cuando, como consecuencia de los mismos, resultaren pertinentes;

9. Comparecer de forma anual ante la Comisión de Ciencias, Tecnología, Innovación y Futuro de la Honorable Cámara de Senadores y ante la Comisión de Ciencia y Tecnología de la Honorable Cámara de Diputados, a fin de rendir cuentas de su gestión y exponer sobre sus planes y prioridades para el futuro;

10. Desempeñar cualquier otra función relacionada con la protección de los datos personales en el marco de lo dispuesto en la presente ley.

Artículo 39. Requisitos para el cargo de Director General de la Agencia Nacional de Protección de Datos Personales.

Son requisitos para ocupar el cargo de Director General y de Adjunto de la Agencia Nacional de Protección de Datos Personales los siguientes:

1. Ser de nacionalidad paraguaya, de treinta años de edad como mínimo;

2. Poseer título universitario de grado;

3. Contar con condiciones probadas de idoneidad, capacidad y experiencia en la materia de protección de datos personales, que aseguren independencia de criterio, eficiencia, objetividad e imparcialidad en el desempeño de su cargo;

4. Gozar de buena reputación;

5. No haber sido condenado por hechos punibles previstos en leyes nacionales, mientras dure la condena; o se haya acogido a los modos alternativos de terminación del proceso penal, o de suspensión a prueba de la condena, por el plazo que dure el tiempo de suspensión del proceso o de la condena;

6. No haber sido inhabilitado para el ejercicio de cargos públicos, mientras dure la inhabilitación.

Artículo 40. Duración del cargo y remoción.

El Director General de la Agencia Nacional de Protección de Datos Personales y el adjunto durarán tres años en el cargo, pudiendo ser designados nuevamente para períodos posteriores.

Asimismo, cesarán en el cargo, en forma previa a la expiración de su mandato, en las siguientes circunstancias:

a) Por remoción motivada en mal desempeño de sus funciones. El sumario administrativo para comprobar las causales de remoción será tramitado conforme a lo establecido en la ley que rige la función pública;

b) Renuncia presentada ante el Presidente de la República;

c) Incapacidad sobrevenida para el ejercicio de su función;

d) Condena firme por la comisión de hecho punible que implique pena privativa de libertad. En ningún caso, los cargos de Director General o Adjunto de la Agencia Nacional de Protección de Datos Personales serán considerados de confianza ni sujetos a libre disposición.

El Director General y el Adjunto responderán personalmente por las consecuencias de su gestión técnica, administrativa y financiera; y de toda decisión adoptada en contravención a las disposiciones legales y reglamentarias.

Artículo 41. Tutela administrativa.

Sin perjuicio de la garantía constitucional de hábeas data, el titular de los datos puede formular reclamos o denuncias ante la Agencia para hacer efectivos sus derechos, en la forma y condiciones previstas en la presente ley y en su reglamentación.

La Agencia podrá iniciar procedimientos a los efectos de constatar el cumplimiento de las disposiciones de la presente ley a instancia del titular del dato, de su representante legal o convencional, de un tercero que tenga interés legítimo o de oficio.

En los procedimientos, se aplicará lo dispuesto en la presente ley, su reglamentación y las disposiciones de la Ley N° 6715/2021 “DE PROCEDIMIENTOS ADMINISTRATIVOS” o aquella que la sustituya, en todo cuanto resulte aplicable. Sin perjuicio de la tutela administrativa, el titular podrá recurrir a la tutela judicial para ser indemnizado cuando hubiere sufrido daños y perjuicios, como consecuencia de una violación de sus derechos a la protección de sus datos personales, conforme con lo dispuesto en la presente ley.

Artículo 42. Medidas correctivas.

En caso de incumplimiento de las disposiciones previstas en la presente ley, sin perjuicio de la sanción administrativa que se imponga, la Agencia podrá dictar medidas correctivas con el objeto de eliminar, evitar o detener los efectos de las faltas, así como también disuadir reincidencias.

Las medidas correctivas podrán consistir, entre otras, en:

1. El cese o suspensión del tratamiento, bajo determinadas condiciones o plazos;

2. La eliminación de los datos;

3. La imposición de medidas técnicas, jurídicas, organizativas que garanticen un tratamiento adecuado de datos personales.

El recurso contra las medidas correctivas no tendrá efectos suspensivos sobre su ejecución.

Artículo 43. Conductas que constituyen faltas.

Se considera falta toda acción u omisión que implique incumplimiento de disposiciones establecidas en la presente ley y en sus disposiciones reglamentarias y las dictadas por la Agencia en el marco de sus atribuciones para el cumplimiento de las mismas.

Las faltas se clasifican en leves y graves.

La actuación y medidas administrativas adoptadas como consecuencia de las conductas mencionadas son independientes de las acciones o medidas que se adopten en instancia judicial en los casos de que las conductas generen, al mismo tiempo, responsabilidad civil o penal, y en su caso también lo serán las reparaciones, penas o condenas que en cada caso se apliquen.

Artículo 44. Faltas leves.

Se consideran faltas leves y prescribirán en un año, las siguientes infracciones:

1. Recolectar datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones técnicas establecidas en el reglamento de aplicación de la presente ley;

2. Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos;

3. No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación;

4. El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regule el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello conforme a otras leyes de la República del Paraguay y la presente ley o en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento;

5. La notificación incompleta, tardía o defectuosa a la autoridad de control de la información relacionada con una violación de seguridad de los datos personales de conformidad con lo previsto en la presente ley;

6. Negarse injustificadamente a dar acceso a un titular del dato sobre sus datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a la presente ley;

7. La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en la presente ley y su reglamentación;

8. No mantener disponibles las políticas de protección de datos personales afines al tratamiento de datos personales;

9. El incumplimiento de las obligaciones legales o reglamentarias, siempre y cuando las mismas no hayan sido catalogadas como faltas graves.

Artículo 45. Faltas graves.

Se consideran faltas graves y prescribirán a los dos años, las siguientes infracciones:

1. Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en la presente ley;

2. Reiteración en la negativa injustificada de dar acceso a un titular sobre sus datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a la presente ley;

3. Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco;

4. El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando éste tenga capacidad para ello, o el del titular de su patria potestad o tutela;

5. No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad, guarda o tutela sobre el mismo;

6. El impedimento, la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación;

7. La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no implementación de las garantías necesarias en el tratamiento;

8. La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, sólo se trataran los datos personales necesarios para cada uno de los fines específicos del tratamiento;

9. La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento;

10. El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implementado, conforme a lo establecido en la presente ley;

11. El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en la República del Paraguay, conforme a lo establecido en el artículo 12 de la presente ley;

12. Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito formalmente apropiado, según lo requerido en la presente ley;

13. La subcontratación de encargados del tratamiento sin la autorización previa del responsable o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles;

14. El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento;

15. El incumplimiento del deber de notificación a la autoridad de control de una violación de seguridad de los datos personales de conformidad con lo establecido en el artículo 17 de la presente ley;

16. El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible;

17. El tratamiento de datos personales sin haber consultado previamente a la autoridad de control en los casos en que la ley establezca la obligación de llevar a cabo tal consulta;

18. El incumplimiento de la obligación de designar un oficial de protección de datos cuando sea exigible su nombramiento de acuerdo con lo dispuesto en la presente ley y su reglamentación;

19. No posibilitar la efectiva participación del oficial de protección de datos en todas las cuestiones relativas a la protección de datos personales, no prestar la colaboración debida o interferir en el desempeño de sus funciones;

20. La utilización de un sello o certificación nacional o internacional falso en materia de protección de datos o en caso de que las vigencias de los mismos hubieran expirado;

21. Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos;

22. El incumplimiento de la obligación de notificación por parte de los responsables o encargados relativa a la rectificación o supresión de datos personales exigida por la presente ley;

23. El incumplimiento de los requisitos exigidos por la presente ley en relación a la validez del consentimiento;

24. La omisión del deber de informar al titular acerca del tratamiento de sus datos personales conforme a lo dispuesto en el artículo 27 de la presente ley;

25. La exigencia del pago de un canon para el ejercicio de cualquiera de los derechos establecidos en el Título III, Capítulo Único De los derechos de los titulares de datos de la presente ley;

26. Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, sin contar con una de las exigencias legales establecidas en la legislación vigente;

27. Obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza;

28. Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme a la ley;

29. Proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello;

30. Transferir, a las bases de datos de terceros países, información de carácter personal de los habitantes paraguayos o de los extranjeros situados en el país, sin el consentimiento de sus titulares cuando el mismo sea requerido;

31. El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos en la legislación vigente;

32. La vulneración del principio de confidencialidad establecido en la presente ley;

33. No facilitar el acceso de la autoridad de control a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por esta autoridad para el ejercicio de sus poderes de investigación;

34. La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de control competente;

35. La reversión deliberada de un procedimiento de anonimización o seudonimización a fin de permitir la reidentificación de los titulares;

36. Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin contar con una de las exigencias legales establecidas en la presente ley;

37. La falta de evaluación de impacto de manera previa a la implementación de operaciones de tratamiento de datos que puedan suponer riesgos significativos para los derechos de titulares de datos, en los términos de la presente ley.

Artículo 46. Sanciones administrativas.

Las sanciones a ser aplicadas por la Agencia por las faltas comprobadas, podrán consistir en:

1. Apercibimiento, indicando el plazo y la forma para la adopción de medidas correctivas, en su caso;

2. Multas desde veinte hasta dos mil quinientos jornales mínimos para actividades diversas no especificadas en la República del Paraguay:

2.1. Tratándose de infracciones cometidas en el tratamiento de datos sensibles, los montos de las sanciones podrán elevarse hasta cinco mil jornales mínimos para actividades diversas no especificadas en la República del Paraguay.

2.2. Tratándose de infracciones cometidas en el tratamiento de datos sensibles de niños, niñas y adolescentes, los montos de las sanciones podrán elevarse hasta diez mil jornales mínimos para actividades diversas no especificadas en la República del Paraguay.

3. Suspensión de las actividades relacionadas con el tratamiento de datos personales.

La aplicación de los distintos tipos de sanciones podrá ser indistinta o acumulativa.

La Agencia se encuentra facultada para dictar las normas complementarias y/o aclaratorias al presente artículo.

Artículo 47. Criterios para la aplicación de las sanciones administrativas.

Las sanciones administrativas serán determinadas considerando los siguientes criterios:

1. La gravedad y naturaleza de las infracciones y el daño o peligro a los intereses jurídicos tutelados en la presente ley;

2. La buena fe del infractor o el reconocimiento o aceptación expresa que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar;

3. El grado de responsabilidad del infractor, así como la intención o negligencia en el carácter de la infracción;

4. La ventaja o beneficio económico obtenido o pretendido por el infractor en virtud de la comisión de la infracción;

5. La situación económica del infractor;

6. La reincidencia en la conducta;

7. La cooperación del infractor en la acción investigadora de la autoridad de control;

8. La adopción reiterada y demostrada de mecanismos y procedimientos internos capaces de minimizar el daño, encaminados al tratamiento seguro y adecuado de los datos;

9. La adopción de una política de buenas prácticas o código de conductas;

10. La pronta adopción de medidas correctivas;

11. Otros que pueda considerar la autoridad de control, según la naturaleza del caso.

Artículo 48. Prescripción de la ejecución de las sanciones.

El plazo de prescripción para la ejecución de las sanciones será de dos años a contar desde el momento en que ha quedado firme la resolución que la impone.

Artículo 49. Pago de multas.

El monto de las multas deberá ser pagado dentro del plazo de treinta días hábiles, contados desde la notificación.

La reglamentación establecerá las consecuencias que se derivan de su incumplimiento, incluyendo los intereses, así como cualquier otro aspecto relevante para el cumplimiento efectivo de la sanción impuesta.

Artículo 50. Supuesto incumplimiento por parte de instituciones públicas.

En caso de que la autoridad de control advierta un presunto incumplimiento de las disposiciones de la presente ley por parte de instituciones públicas, apercibirá y dictará una resolución estableciendo medidas correctivas que deberán ser adoptadas para que cesen o se corrijan los efectos de la infracción.

La resolución por la cual se disponga la implementación de medidas será notificada a la máxima autoridad de la institución pública en la cual haya ocurrido la falta y al titular de datos afectado, si los hay.

Sin perjuicio de lo establecido en los párrafos anteriores, la institución pública, previo análisis de los hechos en cuestión, tomará las medidas que correspondan con respecto a los presuntos responsables, incluyendo, aunque sin limitarse a ello, la instrucción de sumario administrativo para la imposición de sanciones disciplinarias conforme al procedimiento establecido para el efecto.

Artículo 51. Del reclamo ante la autoridad de control.

El titular de los datos o su representante legal pueden realizar un reclamo o denuncia, en forma gratuita, mediante cualquier medio habilitado para dicho efecto por la autoridad de control, expresando con claridad el contenido de su requerimiento y los preceptos de la presente ley que considere vulnerados, y acreditando haber efectuado la solicitud correspondiente ante el encargado o responsable del tratamiento de datos que le incumbe y acompañando la respuesta en caso de haberse producido.

La presentación debe realizarse dentro de los quince días hábiles siguientes a la fecha en que se comunique la respuesta a la solicitud, por parte del responsable o encargado de tratamiento, o en cualquier momento si el plazo establecido para el efecto hubiere vencido sin respuesta de parte del responsable o encargado de tratamiento. La respuesta, de haberse producido, deberá acompañar la presentación del reclamo.

Artículo 52. Resolución de la autoridad de control.

Tras recibir un reclamo o denuncia, la autoridad de control podrá́, mediante resolución fundada:

a) Desestimar el reclamo o denuncia presentada;

b) En caso de considerar que asiste derecho a la persona titular de los datos, requerir al responsable o encargado de tratamiento que haga efectivo el ejercicio de los derechos objeto de protección, debiendo dar cuenta por escrito de dicho cumplimiento a la autoridad de control dentro de los quince días hábiles de efectuado;

c) En caso de verificarse la comisión de una falta, aplicar las sanciones previstas en la presente ley.

Artículo 53. Procedimiento para la comprobación de faltas y aplicación de sanciones.

Las faltas a las disposiciones de la presente ley y sus reglamentaciones deben probarse en sumario administrativo.

La instrucción del sumario será dispuesta por resolución del Director General de la Agencia y contendrá una relación completa de los hechos, actos u omisiones que se imputen al presunto infractor, así como la designación del Juez Instructor de entre quienes presten servicios en la autoridad de control.

La reglamentación determinará el procedimiento y plazos a seguir, incluyendo aquel con que cuenta el Juez Instructor para la presentación de su dictamen final ante el Director General y el dispuesto para la emisión de la resolución correspondiente. Todos los demás aspectos del procedimiento, se regirán por lo establecido en la Ley N° 6715/2021 “DE PROCEDIMIENTOS ADMINISTRATIVOS” o aquella que la sustituya.

Artículo 54. Medidas cautelares de orden administrativo.

Una vez iniciado el procedimiento sancionador, se podrá disponer, mediante resolución motivada, la adopción de medidas de carácter provisional que aseguren la eficacia de la resolución final que pudiera recaer en el referido procedimiento.

Artículo 55. Recurso de reconsideración.

Contra toda resolución o acto administrativo de carácter no reglamentario emitido por la Agencia, procede el recurso de reconsideración, que debe ser interpuesto ante el Director General de la misma.

La instancia administrativa se agota con la resolución del Director General de la Agencia de Protección de Datos Personales. El Ministerio de Tecnologías de la Información y Comunicación no tendrá competencia para el procesamiento de solicitudes y demás trámites vinculados a derechos de protección de datos personales u otras competencias de esta Agencia.

Artículo 56. Acción contencioso-administrativa.

La acción contencioso-administrativo podrá interponerse ante el Tribunal de Cuentas, dentro del plazo establecido por la Ley N° 6715/2021 “DE PROCEDIMIENTOS ADMINISTRATIVOS” o aquella que la sustituya.

El recurso de reconsideración y la acción contencioso-administrativa, tendrán efecto suspensivo en los casos en los que se interpongan contra las resoluciones que apliquen sanciones administrativas, pero no suspenderán las medidas cautelares de orden administrativos dictadas o las medidas correctivas que tiendan a evitar la ocurrencia de daños.