.
Enlace a La Gaceta

REGLAMENTO DE LA LEY NO. 787 “LEY DE PROTECCIÓN DE DATOS PERSONALES”



DECRETO No. 36-2012, Aprobado el 17 de Octubre de 2012

Publicado en La Gaceta No. 200 del 19 de Octubre de 2012

El Presidente de la República de Nicaragua
Comandante Daniel Ortega Saavedra

En uso de las facultades
que le confiere la Constitución Política

HA DICTADO

El siguiente:

DECRETO

REGLAMENTO DE LA LEY NO. 787 “LEY DE PROTECCIÓN DE DATOS PERSONALES”

CAPÍTULO I
OBJETO, ALCANCE Y DEFINICIONES

Artículo 1. Objeto. El presente Reglamento tiene por objeto establecer las disposiciones relativas al desarrollo y aplicación de la Ley No. 787, Ley de Protección de Datos Personales, publicada en La Gaceta, Diario Oficial, No. 61 del 29 de marzo de 2012.

Artículo 2. Alcance. El presente Reglamento será de aplicación y de observancia obligatoria al tratamiento de datos personales que obren en soportes físicos o electrónicos que hagan posible el acceso a los datos personales con arreglo a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización.

Artículo 3. Definiciones. Para efectos del presente Reglamento, se entiende por:

a) Aviso Informativo: Documento físico, electrónico o en cualquier otro formato generado por el responsable del fichero de datos que es puesto a disposición del titular de los datos, previo al tratamiento de sus datos personales, de conformidad con lo previsto en el presente Reglamento.

b) Derechos del titular: Se refiere a los derechos de acceso, rectificación, oposición y cancelación de datos personales.

c) DIPRODAP: Dirección de Protección de Datos Personales a que se refiere la Ley 787.

d) Ley: Ley No. 787, Ley de Protección de Datos Personales, publicada en La Gaceta, Diario Oficial, No. 61 del 29 de marzo de 2012.

e) Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para: a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información; b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones; c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y d) Garantizar la eliminación de datos de forma segura.

f) Medidas de seguridad organizativas: Conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como, la concientización, formación y capacitación del personal, en materia de protección de datos personales. Estas incluyen medidas de seguridad físicas.

g) Medidas de seguridad técnicas: Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que: a) El acceso a las bases de datos de los responsables de ficheros de datos sea por usuarios identificados y autorizados; b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones; c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros, y d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales.
CAPÍTULO II
CONSENTIMIENTO DEL TITULAR DE LOS DATOS

Artículo 4. Características del Consentimiento. De conformidad a lo establecido en los artículos 4 y 6 de la Ley, el consentimiento que otorgue el titular de los datos deberá ser:

a) Libre: sin que medie error, mala fe, violencia o dolo, que puedan afectar la manifestación de voluntad del titular;
b) Específico: referido a una o varias finalidades determinadas que justifiquen el tratamiento, y
c) Informado: que el titular tenga conocimiento del aviso informativo previo al tratamiento a que serán sometidos sus datos personales y las consecuencias de otorgar su consentimiento.

Artículo 5. Consentimiento Tácito. Salvo que la Ley exija el consentimiento expreso del titular de datos, será válido el consentimiento tácito como regla general, conforme a lo dispuesto en el artículo 4 del presente Reglamento.

Artículo 6. Solicitud del Consentimiento Tácito. Cuando el responsable pretenda recabar los datos personales directa o personalmente de su titular, deberá previamente poner a disposición de éste el aviso informativo, el cual debe contener un mecanismo para que, en su caso, el titular pueda manifestar su negativa al tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular.

En los casos en que los datos personales se obtengan de manera indirecta del titular y tenga lugar un cambio de las finalidades que fueron consentidas en la transferencia, el responsable de fichero de datos deberá poner a disposición del titular el aviso informativo previo al aprovechamiento de los datos personales. Cuando el aviso informativo no se haga del conocimiento del titular de manera directa o personal, el titular tendrá un plazo de cinco días hábiles para que, de ser el caso, manifieste su negativa para el tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable del fichero de datos y el titular de los datos. Si el titular no manifiesta su negativa para el tratamiento de sus datos de conformidad con lo anterior, se entenderá que ha otorgado su consentimiento para el tratamiento de los mismos, salvo prueba en contrario.

Cuando el responsable del fichero de datos utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular de datos hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar.

Artículo 7. Consentimiento Expreso. El responsable del fichero de datos deberá obtener el consentimiento expreso del titular de datos cuando:

a) Lo exija una ley o reglamento;
b) Se trate de datos financieros o patrimoniales;
c) Se trate de datos sensibles;
d) Lo solicite el responsable para acreditar el mismo, o
e) Lo acuerden así el titular de datos y el responsable del fichero de datos.

Artículo 8. Solicitud del Consentimiento Expreso. Cuando el consentimiento expreso sea exigido por ley, el responsable del fichero de datos deberá facilitar al titular de datos un medio sencillo y gratuito para que, en su caso, lo pueda manifestar.

Artículo 9. Consentimiento Verbal. Se considera que el consentimiento expreso se otorgó verbalmente cuando el titular lo externa oralmente de manera presencial o mediante el uso de cualquier tecnología que permita la interlocución oral.

Artículo 10. Consentimiento Escrito. Se considerará que el consentimiento expreso se otorgó por escrito cuando el titular lo externe mediante un documento con su firma autógrafa, huella dactilar o cualquier otro mecanismo autorizado por ley. Tratándose del entorno digital, podrán utilizarse firma electrónica o cualquier mecanismo o procedimiento que al efecto se establezca y permita identificar al titular y recabar su consentimiento.

Artículo 11. Prueba para demostrar la obtención del consentimiento. Para efectos de demostrar la obtención del consentimiento, la carga de la prueba recaerá en todos los casos, en el responsable del fichero de datos.

Artículo 12. Revocación del Consentimiento. En cualquier momento, el titular de datos podrá revocar su consentimiento para el tratamiento de sus datos personales, para lo cual el responsable del fichero de datos deberá establecer mecanismos sencillos y gratuitos que permitan al titular revocar su consentimiento al menos por el mismo medio por el que lo otorgó.

Cuando el titular solicite la confirmación del cese del tratamiento de sus datos personales, el responsable del fichero de datos deberá responder por escrito a dicha solicitud.

En caso de que los datos personales hubiesen sido remitidos con anterioridad a la fecha de revocación del consentimiento y sigan siendo tratados por terceros, el responsable deberá hacer de su conocimiento dicha revocación, para que procedan a efectuar lo conducente.

Artículo 13. Procedimiento ante la negativa al cese en el tratamiento de datos. En caso de negativa por parte del responsable del fichero de datos al cese en el tratamiento de estos ante la revocación del consentimiento, el titular de datos podrá presentar ante la DIPRODAP la denuncia correspondiente.
CAPÍTULO III
OBLIGACIÓN DE INFORMAR AL TITULAR DE LOS DATOS

Artículo 14. Obligación de informar al Titular de los Datos. El responsable del fichero de datos deberá dar a conocer de previo al titular de los datos la información prevista en el artículo 7 de la Ley a través de un aviso informativo de conformidad con lo previsto en el presente Capítulo.

Artículo 15. Características del Aviso Informativo. El aviso informativo deberá caracterizarse por ser sencillo, con información necesaria, expresado en lenguaje claro y comprensible, y con una estructura y diseño que facilite su entendimiento.

Artículo 16. Medios de Difusión. Para la difusión del aviso informativo, el responsable del fichero de datos podrá valerse de formatos físicos, electrónicos o de cualquier otra naturaleza, siempre y cuando logre comprobar que cumplió con el deber de informar al titular de los datos. En todos los casos, la carga de la prueba recaerá en el responsable del fichero de datos.

La DIPRODAP podrá dictar norma de carácter general que regule otros aspectos relacionados con lo establecido en este Capítulo.
CAPÍTULO IV
MEDIDAS DE SEGURIDAD PARA LA PROTECCIÓN DE DATOS PERSONALES

Artículo 17. Desarrollo e Implementación de Medidas de Seguridad. Para efectos de lo establecido en el artículo 11 de la Ley, los responsables de ficheros de datos deberán desarrollar e implementar medidas de seguridad técnica y organizativas que resulten necesarias para garantizar la integridad, confidencialidad y seguridad de los datos personales que traten. Dichas medidas deberán ser proporcionales a sus operaciones, a los riesgos inherentes a éstas y al tamaño de los ficheros de datos que administren, y estarán sujetas a la aprobación de la DIPRODAP, la cual podrá establecer estándares mínimos de seguridad mediante normativa de carácter general que dicte al efecto.
CAPÍTULO V
DERECHOS DEL TITULAR DE LOS DATOS
Sección I
Disposiciones Generales

Artículo 18. Personas facultadas para el ejercicio de los derechos. Los derechos a que se refiere la Ley y el presente Reglamento podrán ser ejercidos por:

a) El titular de los datos, previa presentación del documento de identidad requerido conforme la ley de la materia.

También podrán ser admisibles los instrumentos electrónicos por medio de los cuales sea posible identificar al titular de los datos, u otros mecanismos de autenticación permitidos por otras disposiciones legales, o aquéllos previamente establecidos por el responsable de ficheros de datos. La utilización del instrumento electrónico que lo sustituya eximirá de la presentación del documento de identificación a que se refiere este inciso, y

b) El representante del titular de los datos, previa presentación del poder de representación suficiente y documento de identidad requerido conforme la ley de la materia.

c) Los padres o tutores del titular de los datos, en el caso de menores de edad, previa presentación de partida de nacimiento del menor y cédula de identidad de los padres. En el caso del tutor, el documento legal que lo acredite como tal.

d) Los sucesores universales del titular de los datos, en el caso de personas fallecidas, previa presentación del documento legal que lo acredite como tal y el certificado de defunción.

Artículo 19. Medios para el ejercicio de los derechos. El titular de datos personales, para el ejercicio de sus derechos, podrá presentar la solicitud respectiva ante el responsable del fichero de datos conforme a los medios establecidos en la Ley.

El responsable del fichero de datos podrá establecer formularios, sistemas y otros métodos simplificados para facilitar a los titulares de datos el ejercicio de sus derechos, lo cual deberá darlo a conocer a través del aviso informativo a que se refiere este Reglamento.

Artículo 20. Servicios de Atención al Público. El responsable del fichero de datos deberá contar con servicios de atención al público para atender las solicitudes de los titulares de datos.

Artículo 21. Gratuidad del Ejercicio del Derecho de Modificación de Datos. Conforme al artículo 21 de la Ley, el ejercicio de los derechos de modificación de datos será gratuito.

El responsable del fichero de datos no podrá establecer como única vía para la presentación de las solicitudes del ejercicio de los derechos del titular algún servicio o medio que implique costos.

Artículo 22. Registro de Solicitudes. El responsable de ficheros de datos deberá tramitar toda solicitud que realice el titular de datos personales en el ejercicio de sus derechos. El plazo para que se atienda la solicitud según lo establecido en el literal b) del artículo 19 de la Ley, empezará a computarse a partir del día en que la misma haya sido recibida por el responsable del fichero de datos, en cuyo caso, éste anotará en el acuse de recibo que entregue al titular la correspondiente fecha de recepción.

El plazo señalado se interrumpirá en caso de que el responsable requiera información al titular, en términos de lo dispuesto por el artículo siguiente.

Artículo 23. Requerimiento de Información Adicional. En caso de que la información proporcionada en la solicitud sea insuficiente o errónea para atenderla, el responsable de ficheros de datos podrá requerir al titular, por una vez y dentro de los cinco (5) días hábiles siguientes a la recepción de la solicitud, que aporte los elementos o documentos necesarios para dar trámite a la misma.

El titular contará con diez (10) días hábiles para atender el requerimiento, contados a partir del día siguiente en que lo haya recibido. De no dar respuesta en dicho plazo, se tendrá por no presentada la solicitud correspondiente.

En caso de que el titular de los datos atienda el requerimiento de información, el plazo para que el responsable del fichero de datos dé respuesta a la solicitud empezará a correr al día siguiente hábil de que el titular haya atendido el requerimiento.

Artículo 24. Respuesta por parte del Responsable. En todos los casos, el responsable del fichero de datos deberá dar respuesta a las solicitudes que reciba de parte del titular de los datos, con independencia de que figuren o no datos personales del solicitante en sus bases de datos.

La respuesta al solicitante deberá referirse exclusivamente a los datos personales que específicamente se hayan indicado en la solicitud correspondiente, y deberá presentarse en un formato legible, comprensible y de fácil acceso. En caso de uso de códigos, siglas o claves se deberán proporcionar los significados correspondientes.
Sección II
Derecho de Acceso

Artículo 25. Derecho de Acceso. Conforme a lo dispuesto en el artículo 17 de la Ley, el titular de datos personales tiene derecho a solicitar y obtener del responsable de ficheros de datos sus datos personales, así como información relativa a las condiciones y generalidades del tratamiento de estos.

Artículo 26. Medios para el cumplimiento del Derecho de Acceso. La obligación de dar acceso a datos personales se dará por cumplida cuando el responsable del fichero de datos ponga a disposición del titular los datos personales en sus oficinas, o bien, los suministre a través de los medios previstos en el artículo 18, inciso c) de la Ley, debiendo el remitente conservar la constancia de envío y recepción correspondiente. En todos los casos, el acceso deberá ser en formatos legibles o comprensibles para el titular.

Artículo 27. Gratuidad del ejercicio del Derecho de Acceso a Datos.

Los titulares de datos tendrán derecho al acceso de los mismos de la manera siguiente:

a) Cuando solicite información a la DIPRODAP relativa a la existencia de ficheros de datos personales, sus finalidades y la identidad de sus responsables, de manera gratuita; y

b) Cuando solicite información al responsable del fichero de datos relativa a sus datos personales y al tratamiento dado a los mismos, de manera gratuita una vez al año, y pagando un cargo que cubra el costo de procesamiento, las veces que lo desee.
Sección III
Derecho de Rectificación

Artículo 28. Derecho de Rectificación. De conformidad con lo dispuesto por el artículo 19 de la Ley, el titular podrá solicitar en todo momento al responsable del fichero de datos que rectifique sus datos personales que resulten ser inexactos o incompletos.

Artículo 29. Requisitos para el ejercicio del Derecho de Rectificación. La solicitud de rectificación deberá indicar a qué datos personales se refiere, así como, la corrección que haya de realizarse y deberá ir acompañada de la documentación que sustente la procedencia de lo solicitado. El responsable del fichero de datos podrá ofrecer mecanismos que faciliten el ejercicio de este derecho en beneficio del titular.
Sección IV
Derecho de Cancelación

Artículo 30. Derecho de Cancelación. La cancelación implica el cese en el tratamiento por parte del responsable del fichero de datos, a partir de un bloqueo de los mismos y su posterior supresión.

Artículo 31. Ejercicio del Derecho de Cancelación. Salvo en los casos previstos en el artículo 19, literal a), párrafo segundo, de la Ley, el titular de los datos podrá solicitar en todo momento al responsable del fichero de datos la cancelación de los datos personales cuando hayan dejado de ser necesarios o pertinentes para la finalidad que dio lugar a su tratamiento o cuando considere que los mismos no están siendo tratados conforme a dicha Ley y el presente Reglamento.

La cancelación procederá respecto de la totalidad de los datos personales del titular, contenidos en una base de datos, o sólo parte de ellos, según lo haya solicitado.

Artículo 32. Bloqueo. De resultar procedente la cancelación, el responsable del fichero de datos deberá:

a) Establecer un período de bloqueo con el único propósito de determinar posibles responsabilidades en relación con su tratamiento hasta el plazo de prescripción legal o contractual de éstas, y notificarlo al titular de los datos o a su representante en la respuesta a la solicitud de cancelación;

b) Atender las medidas de seguridad adecuadas para el bloqueo;

c) Transcurrido el período de bloqueo, llevar acabo la supresión correspondiente, bajo las medidas de seguridad previamente establecidas por el responsable del fichero de datos.

Artículo 33. Propósitos del Bloqueo. En términos del artículo 3, literal b) de la Ley, el bloqueo tiene como propósito impedir el tratamiento, a excepción del almacenamiento, o posible acceso por persona alguna, salvo que alguna disposición legal prevea lo contrario.

El periodo de bloqueo será hasta el plazo de prescripción legal o contractual correspondiente y transcurrido éste, se procederá a la cancelación de los datos personales en el fichero de datos en el que se encuentran.
Sección V
Derecho de Oposición

Artículo 34. Derecho de Oposición. Para efectos de lo establecido en el artículo 9, párrafo segundo de la Ley, el titular de los datos tiene derecho a que no se lleve a cabo el tratamiento de sus datos personales o se cese en el mismo, cuando no hubiere prestado su consentimiento para su recopilación por haber sido tomados de fuentes de acceso público.

Aún cuando hubiere prestado su consentimiento, el titular de los datos tiene derecho a oponerse al tratamiento de sus datos, si acredita la existencia de motivos fundados y legítimos relativos a una concreta situación personal que justifiquen el ejercicio de este derecho.

En caso que la oposición resulte justificada el responsable del fichero de datos deberá proceder al cese del tratamiento que ha dado lugar a la oposición.

No procederá el ejercicio del derecho de oposición en aquellos casos en los que el tratamiento sea requerido por ley.
CAPÍTULO VI

PROCEDIMIENTO PARA INTERPONER LA ACCIÓN DE PROTECCIÓN DE DATOS PERSONALES
Sección I
Disposiciones Generales

Artículo 35. De la investigación e instrucción del expediente. Cuando la DIPRODAP tenga conocimiento de cualquier infracción a la Ley, su Reglamento y demás disposiciones conexas, iniciará la investigación e instrucción del expediente de conformidad al procedimiento administrativo establecido en el presente Reglamento.

Artículo 36. Inicio del procedimiento de protección de datos a través de la vía administrativa. Para efectos de lo establecido en el artículo 47 de la Ley, el procedimiento se iniciará a instancia del titular de los datos o de su representante legal, expresando con claridad el contenido de su reclamo y de los preceptos de la Ley que se consideran vulnerados. La acción de protección de datos personales deberá presentarse ante la DIPRODAP.

Recibida la solicitud de acción de protección de datos personales por la DIPRODAP, se dará traslado de la misma al responsable del fichero de datos, para que, en el plazo de quince días hábiles, emita respuesta, ofrezca las pruebas que estime pertinentes y manifieste por escrito lo que tenga a bien.

La DIPRODAP admitirá las pruebas que estime pertinentes. Asimismo, podrá solicitar del responsable del fichero de datos las demás pruebas que estime necesarias. Concluido el proceso de análisis de las pruebas, la DIPRODAP notificará al responsable el derecho que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los cinco días hábiles siguientes a su notificación.

La DIPRODAP resolverá sobre la solicitud de acción de protección de datos formulada, una vez analizadas las pruebas y demás elementos de convicción que estime pertinentes, como pueden serlo aquéllos que deriven de la o las audiencias que se celebren con las partes.

Artículo 37. Plazo para resolver. El plazo máximo que tiene la DIPRODAP para dictar la resolución en el procedimiento de solicitudes de acción de protección de datos personales será de cincuenta (50) días hábiles, contados a partir de la fecha de presentación de la solicitud de acción correspondiente. Cuando haya causa justificada, la DIPRODAP podrá ampliar por una vez y hasta por un período igual este plazo.

Artículo 38. Presentación de solicitudes incompletas. En caso de que la solicitud de acción de protección de datos personales no satisfaga alguno de los requisitos de información a que se refiere el artículo 42 de este Reglamento, y la DIPRODAP no cuente con elementos para subsanarlo, se prevendrá al titular de los datos, por una sola ocasión, para que subsane las omisiones dentro de un plazo de cinco (5) días hábiles contados a partir de la respectiva notificación. Transcurrido el plazo sin que se completen o subsanen las omisiones notificadas, se tendrá por no presentada la solicitud de acción de protección de datos personales. La prevención tendrá el efecto de interrumpir el plazo que tiene la DIPRODAP para resolver la solicitud de acción de protección de datos.

Artículo 39. Causales de denegación de solicitudes de acción. La solicitud de acción de protección de datos personales será denegada por improcedente en los siguientes casos:

a) Cuando la DIPRODAP no sea competente;

b) Cuando la DIPRODAP haya conocido anteriormente de la solicitud de acción de protección de datos personales contra el mismo acto y resuelto en definitiva respecto del mismo recurrente;

c) Cuando se esté tramitando ante los tribunales competentes algún recurso o medio de defensa interpuesto por el titular de los datos que pueda tener por efecto modificar o revocar el acto respectivo; o

Artículo 40. Conciliación. Una vez admitida la solicitud de acción de protección de datos, la DIPRODAP citará a las partes a un proceso de conciliación entre el titular de los datos y el responsable del fichero de datos.

Artículo 41. Procedimiento de conciliación. Admitida la solicitud, la DIPRODAP promoverá la conciliación entre las partes, la cual se llevará a cabo siguiéndose el procedimiento que para tal efecto establezca la DIPRODAP mediante normativa de carácter general.

De llegarse a un acuerdo de conciliación entre las partes, éste se hará constar por escrito y tendrá efectos vinculantes. La solicitud de acción de protección de datos personales quedará sin efectos y la DIPRODAP verificará el cumplimiento del acuerdo respectivo.

Artículo 42. Resoluciones favorables al solicitante. En caso que la acción de protección de datos personales resulte favorable al solicitante, la DIPRODAP requerirá al responsable del fichero de datos que dentro de los diez (10) días hábiles siguientes a la notificación de la resolución respectiva, haga efectivo el ejercicio del derecho a la acción de protección de datos personales, debiendo dar cuenta por escrito de dicho cumplimiento a la DIPRODAP dentro de los siguientes diez (10) días hábiles.

El responsable del fichero de datos procederá al cumplimiento de la resolución que dicte la DIPRODAP sin costo alguno para el solicitante.
Sección II
Disposiciones Particulares

Artículo 43. Requisitos de información de la solicitud. La solicitud de acción de protección de datos personales será presentada ante la DIPRODAP, por escrito, y deberá contener la siguiente información:

a) El nombre del titular de los datos o, en su caso, el de su representante legal;

b) El nombre del responsable del fichero de datos que motivó la presentación de la acción de protección de datos personales;

c) Los actos que motivan su solicitud de acción de protección de datos personales;

d) Las pruebas que ofrece para demostrar sus afirmaciones;

e) El domicilio para oír y recibir notificaciones; y

f) Los demás elementos que se considere procedente hacer del conocimiento de la DIPRODAP.

Artículo 44. Plazo para admitir la solicitud. La DIPRODAP deberá admitir o rechazar la solicitud de acción de protección de datos personales en un plazo no mayor a diez (10) días hábiles a partir de su recepción.

Admitida la solicitud, la DIPRODAP notificará la misma al solicitante y correrá traslado al responsable del fichero de datos, en un plazo no mayor a diez (10) días hábiles, anexando copia de todos los documentos que el solicitante hubiere aportado, a efecto de que manifieste lo que a su derecho convenga en un plazo de quince (15) días hábiles a partir de la notificación, debiendo ofrecer las pruebas que considere pertinentes.

Artículo 45. Admisión o rechazo de pruebas. La DIPRODAP resolverá sobre la admisión o rechazo de las pruebas presentadas por el responsable del fichero de datos, y de ser necesario, éstas serán evacuadas en una audiencia, de la cual se notificará el lugar, la fecha y hora a las partes.

Artículo 46. Presentación de alegatos finales. Dictada la resolución que tenga por evacuadas todas las pruebas, se pondrán las actuaciones a disposición de las partes para que éstos, en caso de quererlo, formulen alegatos en un plazo de cinco (5) días hábiles, contados a partir de la notificación de la resolución a que se refiere este artículo. Al término de dicho plazo, se cerrará la instrucción y la DIPRODAP emitirá su resolución definitiva.

Artículo 47. Tercero interesado. En caso de que no se haya señalado tercero interesado, éste podrá a personarse en el procedimiento mediante escrito en el que acredite interés jurídico para intervenir en el asunto, hasta antes del cierre de instrucción. Deberá adjuntar a su escrito el documento en el que se acredite su personalidad cuando no actúe en nombre propio y las pruebas documentales que ofrezca.

Artículo 48. Recursos contra las Resoluciones de la DIPRODAP. Contra las resoluciones que dicte la DIPRODAP, se podrán interponer los recursos previstos en el artículo 52 de la Ley.
CAPÍTULO VII
PROCEDIMIENTO DE INSPECCIÓN

Artículo 49. Inicio del procedimiento. Con el objeto de comprobar el cumplimiento de las disposiciones previstas en la Ley o en la regulación que de ella derive, la DIPRODAP podrá, de oficio o a petición de parte, iniciar el procedimiento de inspección, requiriendo al responsable del fichero de datos la documentación necesaria o realizando las visitas en el establecimiento en donde se encuentren las bases de datos respectivas.

Cualquier persona podrá denunciar ante la DIPRODAP las presuntas violaciones a las disposiciones previstas en la Ley o en la regulación que de ella derive. En este caso, la DIPRODAP acusará recibo de la misma y podrá solicitar al denunciante la documentación que estime pertinente para determinar la procedencia o no de la denuncia presentada.

Artículo 50. Visitas de Inspección. Los inspectores de fichero de datos que lleven a cabo visitas de inspección deberán estar provistos de la orden de inspección firmada por la autoridad competente de la DIPRODAP, en la que deberá precisarse la información establecida en el artículo 43 de la Ley.

Artículo 51. Identificación de los Inspectores de Ficheros de Datos. Para efectos de lo establecido en el artículo 33 de la Ley, al iniciar la visita, los inspectores de ficheros de datos deberán exhibir credencial vigente con fotografía, que contenga su nombre completo y apellidos, y número de empleado, expedida por la DIPRODAP que lo acredite para desempeñar dicha función, así como la orden escrita fundada y motivada a la que se refiere el artículo anterior, de la que deberá dejar copia con quien se entendió la visita.

Artículo 52. Acta de Inspección. Las visitas de inspección concluirán con el levantamiento del acta correspondiente, en la que quedará constancia de las actuaciones practicadas durante la visita o visitas de inspección. Dicha acta se levantará en presencia de dos testigos propuestos por la persona con quien se hubiera entendido la diligencia o por quien la practique si aquélla se hubiera negado a proponerlos.

El acta que se emita por duplicado será firmada por el inspector respectivo y por el responsable del fichero de datos, encargado o con quien se haya entendido la actuación, quien podrá manifestar lo que a su derecho convenga.

En caso de que el responsable del fichero de datos o encargado se niegue a firmar el acta, se hará constar expresamente esta circunstancia en la misma. Dicha negativa no afectará la validez de las actuaciones o de la propia acta. La firma del responsable o encargado no supondrá su conformidad, sino tan sólo la recepción de la misma.

El inspector deberá entregar al responsable del fichero de datos uno de los originales del acta de inspección, incorporando el otro a las actuaciones.

Artículo 53. Contenido de las Actas de Inspección. En las actas de inspección se hará constar lo siguiente:

a) Nombre, denominación o razón social del responsable del fichero de datos;
b) Hora, día, mes y año en que se inicie y concluya la inspección;
c) La dirección de las oficinas del responsable del fichero de datos donde se practique la inspección, así como, número telefónico, fax, correo electrónico
u otra forma de comunicación disponible;
d) Número y fecha de la orden que la motivó;
e) Nombre y cargo de la persona con quien se entendió la inspección;
f) Nombre y domicilio de las personas que fungieron como testigos;
g) Datos relativos a la actuación;
h) Declaración del responsable del fichero de datos o encargado, si quisiera hacerla, y
i) Nombre y firma de quienes intervinieron en la inspección, incluyendo los de quienes la hubieran llevado a cabo. Si se negara a firmar el inspeccionado, su representante legal o la persona con quien se entendió la inspección, ello no afectará la validez del acta, debiendo el personal inspector asentar la razón relativa.

Los responsables de ficheros de datos a quienes se haya levantado acta de inspección, podrán formular observaciones en el acto de la inspección y manifestar lo que a su derecho convenga en relación a los hechos contenidos en ella, o bien, por escrito dentro del término de los cinco (5) días hábiles siguientes a la fecha en que se hubiere levantado.

Artículo 54. Resolución. El procedimiento de inspección concluirá con la resolución que emita la DIPRODAP, en la cual, en su caso, se establecerán las medidas que deberá adoptar el responsable del fichero de datos en el plazo que la misma establezca.

La resolución de la DIPRODAP podrá instruir el inicio del procedimiento de imposición de sanciones o establecer un plazo para su inicio, el cual se llevará a cabo conforme a lo dispuesto por la Ley y el presente Reglamento.
La resolución de la DIPRODAP será notificada al responsable del fichero de datos inspeccionado y al denunciante.

Artículo 55. Medios de Impugnación. En contra de la resolución que dicte la DIPRODAP, se podrán interponer los recursos previstos en el artículo 52 de la Ley.
CAPÍTULO VIII
PROCEDIMIENTO SANCIONADOR

Artículo 56. Inicio. La DIPRODAP iniciará el procedimiento de imposición de sanciones cuando determine presuntas infracciones a la Ley y a las regulaciones que de ella se deriven, susceptibles de ser sancionadas conforme al artículo 46 de la misma. Finalizado el procedimiento respectivo, se emitirá la resolución correspondiente.

El procedimiento iniciará con la notificación que se haga al presunto infractor, en el domicilio que la DIPRODAP tenga registrado.

La notificación irá acompañada de un informe que describa los hechos constitutivos de la presunta infracción, emplazando al presunto infractor para que en un término de quince (15) días hábiles, contados a partir de la notificación, manifieste lo que tenga a bien y rinda las pruebas que estime convenientes.

Artículo 57. Ofrecimiento y Evacuación de Pruebas. El presunto infractor en su contestación se manifestará concretamente respecto de cada uno de los hechos que se le imputen de manera expresa, afirmándolos, negándolos, señalando que los ignora por no ser propios o exponiendo cómo ocurrieron, según sea el caso; y presentará los argumentos por medio de los cuales desvirtúe la infracción que se presume y las pruebas correspondientes.

En caso de que se ofrezca prueba pericial o testimonial, se precisarán los hechos sobre los que deban versar y se señalarán los nombres y domicilios del perito o de los testigos, exhibiéndose el cuestionario o el interrogatorio respectivo en preparación de las mismas. Sin estos señalamientos se tendrán por no ofrecidas dichas pruebas.

Artículo 58. Admisión o Rechazo de las Pruebas. Una vez presentadas las pruebas por el presunto infractor, la DIPRODAP deberá resolver si las admite o rechaza, y se procederá a su evacuación.

De ser necesario, se determinará lugar, fecha y hora para la evacuación de pruebas, que por su naturaleza así lo requieran. Se levantará un acta de la celebración de la audiencia y de la evacuación de las pruebas.

Artículo 59. Cierre de Instrucción y Resolución. Evacuadas, en su caso, las pruebas, se notificará al presunto infractor que cuenta con cinco (5) días hábiles para presentar alegatos, contados a partir del día siguiente de que surta efectos la notificación. Al término de dicho plazo se cerrará la instrucción y la resolución de la DIPRODAP deberá emitirse en un plazo no mayor de cincuenta (50) días hábiles, siguientes a los que inició el procedimiento.

Cuando haya causa justificada, la DIPRODAP podrá ampliar por una vez y hasta por un período igual el plazo de cincuenta días al que refiere el párrafo anterior.

Artículo 60. Medios de Impugnación. En contra de la resolución que dicte la DIPRODAP, se podrán interponer los recursos previstos en el artículo 52 de la Ley.
CAPÍTULO IX
DISPOSICIONES FINALES

Artículo 61. Excepciones. Para efectos de lo establecido en el artículo 24 de la Ley, la Policía Nacional y el Ejército de Nicaragua podrán emitir las disposiciones administrativas correspondientes al tratamiento de datos personales contenidos en sus ficheros de datos, sin detrimento de lo establecido en la Ley y el presente Reglamento.

Artículo 62. Potestad Normativa. De conformidad con las facultades establecidas en el artículo 29, inciso b) de la Ley, corresponderá a la DIPRODAP regular mediante normas de carácter general y disposiciones administrativas aspectos que resulten necesarios para dar cumplimiento a los preceptos establecidos en la Ley y en el presente reglamento.

Artículo 63. Vigencia. El presente reglamento entrará en vigencia a partir de su publicación en La Gaceta, Diario Oficial.

Dado en la Ciudad de Managua, Casa de Gobierno, República de Nicaragua, el día diecisiete de Octubre del año dos mil doce. Daniel Ortega Saavedra, Presidente de la República de Nicaragua. Iván Acosta Montalván, Ministro de Hacienda y Crédito Público.
.