Ley 149

JUAN ESTEBAN LAZO HERNÁNDEZ, Presidente de la Asamblea Nacional del Poder Popular de la República de Cuba.

HAGO SABER: Que la Asamblea Nacional del Poder Popular, en la sesión del día 14 de mayo de 2022, correspondiente al Quinto Período Extraordinario de Sesiones dela IX Legislatura, ha aprobado lo siguiente:

POR CUANTO: La Constitución de la República, en su

Artículo 40, establece que ladignidad humana es el valor supremo que sustenta el reconocimiento y ejercicio de losderechos y deberes consagrados en la misma, y en su

Artículo 48 que todas las personastienen derecho a que se les respete su intimidad personal y familiar, su propia imagen yvoz, su honor e identidad personal.

POR CUANTO: La Constitución, en su

Artículo 97, reconoce el derecho de toda per-sona de acceder a sus datos personales en registros, archivos u otras bases de datos einformación de carácter público, así como a interesar su no divulgación y obtener sudebida corrección, rectificación, modificación, actualización o cancelación, y que el uso ytratamiento de estos datos se realice de conformidad con lo establecido en la ley.

POR CUANTO: Los avances tecnológicos, y en especial el entorno digital, impactanla vida económica, política y social de las personas, en particular, el disfrute de sus dere-chos, lo que se manifiesta en nuestra sociedad.

POR CUANTO: La existencia de registros, archivos, bases de datos u otros medios decarácter público o privado, físico o digital, por medio de los cuales se almacena, tramita,brinda y se utiliza la información personal, así como el libre acceso a estos datos, puedevulnerar el derecho de su titular y otros derechos con los que se relaciona, de no regularseadecuadamente.

POR CUANTO: Resulta necesario aprobar una disposición normativa que garanticeel derecho de las personas a la protección de sus datos personales, que regule el uso ytratamiento de estos por parte de las personas o entidades públicas y privadas, así comode la información de carácter público, y contribuya a promover, fomentar y difundir unacultura sobre su protección en la sociedad.

2464

POR TANTO: La Asamblea Nacional del Poder Popular, en el ejercicio de las atribu-ciones que le están conferidas en el inciso c) del

Artículo 108 de la Constitución de la República, ha adoptado la siguiente:

LEY No. 149

DE PROTECCIÓN DE DATOS PERSONALES

CAPÍTULO I

DISPOSICIONES GENERALES

SECCIÓN PRIMERA

Disposiciones preliminares

Artículo 1. La presente Ley tiene por objeto lo siguiente:

a) Establecer los principios, procedimientos y definiciones fundamentales para ga-rantizar a la persona natural el derecho a la protección de sus datos personales queconsten en registros, ficheros, archivos, bases de datos u otros medios técnicos detratamiento de datos, sean físicos o digitales, de carácter público o privado;

b) velar por el debido respeto a la intimidad personal y familiar, la propia imagen yvoz, honor e identidad personal;

c) regular el uso y efectivo tratamiento de los datos personales e información públicapor parte de las personas o entidades públicas y privadas responsables o encargadasde estos; y

d) contribuir a promover, fomentar y difundir una cultura sobre su protección en lasociedad.

Artículo 2. Son sujetos de aplicación de la presente Ley las personas naturales respecto asus datos, y las personas jurídicas y naturales, en cuanto al tratamiento de datos personalesque realicen.

Artículo 3.1. Se consideran datos personales la información concerniente a una perso-na natural, identificada o identificable, que pueden llevar a su identidad.

2. Una persona es identificable cuando su identidad puede determinarse directa o indi-rectamente a través de cualquier información.

Artículo 4. Son protegidos los datos personales relacionados con el sexo, edad, ima-gen, voz, género, identidad, identidad de género, orientación sexual, color de la piel,origen étnico, nacional y territorial, condición y clasificación migratoria, situación dediscapacidad, creencias religiosas, filiación política, estado civil, domicilio, datos médi-cos o de salud, económico-financieros, académicos y de formación, profesionales y deempleo, judiciales y administrativos, y cualquier información relacionada con estos datosque pueden llevar a la identificación de una determinada persona, recopilados a partir deregistros, ficheros, archivos y bases de datos.

Artículo 5. Se considera registro, fichero, archivo y base de datos, indistintamente, alconjunto organizado de datos personales que son objeto de tratamiento o procesamiento,electrónico o no, cualquiera sea la modalidad de su formación, almacenamiento, organi-zación y acceso.

Artículo 6. El tratamiento de datos personales consiste en las operaciones y proce-dimientos sistemáticos, electrónicos o no, que permiten la recolección, conservación,ordenamiento, almacenamiento, modificación, relacionamiento, evaluación, bloqueo,destrucción y, en general, el procesamiento de datos personales, así como su cesión aterceros a través de comunicaciones, consultas, interconexiones y transferencias.

2465

Artículo 7.1. Se considera persona responsable la persona natural o jurídica, de carác-ter público o privado, que decide sobre la finalidad, contenido y uso durante el tratamientode datos personales.

2. La persona encargada es la persona natural o jurídica, de carácter público o privado,que de forma individual o en conjunto con otras realiza el tratamiento de datos personalespor requerimiento del responsable.

Artículo 8.1. El derecho a la protección de los datos personales se rige por lo estable-cido en la Constitución, esta Ley y las demás disposiciones normativas dictadas al efectopor los órganos competentes.

2. Los límites a este derecho solo aplican ante los derechos de los demás, la seguridadcolectiva, el bienestar general, el respeto al orden público, la Constitución y las leyes.

Artículo 9. En el tratamiento de datos personales de los menores de edad prevalece, entodo caso, el interés superior de estos, de conformidad con las disposiciones normativasaplicables y los tratados internacionales en vigor de los que la República de Cuba es parte.

SECCIÓN SEGUNDA

Principios de protección de datos personales

Artículo 10. La protección y tratamiento de datos personales se rige por los principiossiguientes:

a) Limitación de recogida: la recogida y almacenamiento de información que puedaconducir a la identificación de determinada persona debe limitarse a lo que resulterelevante y estrictamente necesario para la finalidad que se requiera, ajustado a unobjetivo concreto, lícito y explícito, conservándose solo por el tiempo preciso deacuerdo con esa finalidad;

b) calidad de los datos: los datos personales que se obtengan, almacenen y traten hande ser veraces, exactos, completos, correctos y actualizados, proporcionados por elpropio titular, sin que para su obtención se empleen medios desleales o fraudulen-tos, manteniéndose de esa forma hasta que el titular manifieste y acredite la necesi-dad de su rectificación, modificación, actualización o cancelación;

c) especificación de los fines: los fines concretos para la obtención, almacenamiento ytratamiento técnico de cualquier naturaleza de los datos personales deben darse a co-nocer previamente al titular con exactitud, de forma comprensible y pertinente;

d) limitación de uso: los datos personales que se obtienen, almacenan y tratan solopueden utilizarse para la finalidad específica y lícita que se informó a su titular, ypor las personas naturales o jurídicas, u otras entidades autorizadas por este;

e) legitimación: solo están legitimados a obtener, almacenar y tratar datos personaleslos órganos, organismos, entidades y personas naturales o jurídicas cuando tienenautorización para la formación de archivos, de acuerdo con sus funciones o las ac-tividades que realizan, según lo regulado en la legislación vigente a tales efectos;

f) salvaguarda de la seguridad: las personas naturales o jurídicas responsables dearchivos que contienen datos personales están obligadas a salvaguardar su seguri-dad y a garantizar, con las correspondientes medidas tecnológicas, administrativas,materiales o físicas, que solo ellas o el personal autorizado, en su caso, acceden orealizan su tratamiento por los procedimientos establecidos;

g) transparencia de la información: la persona responsable y encargada de los archi-vos de datos personales garantizan a su titular el ejercicio de su derecho de acceso

con el fin de la verificación, rectificación, actualización, cancelación u oposiciónde estos; los archivos también han de estar aptos para su inspección o revisión porautoridad competente;

h) participación individual: solo pueden obtenerse datos personales con la participa-ción individual de su titular, como expresión de respeto a su derecho a la identidad,intimidad, honor, su imagen y voz;

i) responsabilidad: las personas naturales o jurídicas encargadas de obtener, almace-nar y dar tratamiento a los datos personales en registros, ficheros, archivos y basesde datos son responsables de su utilización lícita para los fines informados a sutitular, con garantía de su seguridad;

j) legalidad: la posesión y tratamiento de datos personales obedece exclusivamentea fines lícitos; las personas responsables de registros, ficheros, archivos y basesde datos se atienen en su actuar a lo previsto en las disposiciones normativas quecorrespondan;

k) grados de reserva de la información: los datos personales que se aportan a regis-tros, ficheros, archivos y bases de datos tienen carácter confidencial, solo puedenacceder a ellos su titular o persona con interés legítimo acreditado; y

l) consentimiento: el titular ha de manifestar su voluntad de forma libre, inequívoca,específica e informada para el tratamiento de los datos personales, precisando el fincon el que se otorga el consentimiento.

SECCIÓN TERCERA

Del consentimiento y datos personales sensibles

Artículo 11.1. La persona que realice tratamiento de datos personales ha de contar conel consentimiento de su titular, salvo en los casos de excepción previstos en esta Ley.

2. El consentimiento puede ser expreso cuando se manifiesta de forma verbal, por es-crito o por cualquier medio que se pueda equiparar; o tácito cuando, puestos a disposicióndel titular los propósitos del tratamiento de sus datos, no manifiesta su voluntad en sentidocontrario.

Artículo 12. En todo caso ha de informarse al titular, de manera comprensible y perti-nente, sobre la licitud y finalidad específica de los datos que se solicitan, y tiene derecho aconocer los destinatarios o clase de destinatarios de esos datos, el carácter facultativo uobligatorio de proporcionarlos, dónde se almacenan, a qué tratamiento pueden someterse,las consecuencias de aportarlos o no y de su inexactitud, así como su régimen de conser-vación.

Artículo 13.1. El consentimiento para la obtención, almacenamiento y tratamiento delos datos personales de los menores de edad se otorga por ellos de acuerdo con su autono-mía progresiva, o por sus padres, madres o representantes legales.

2. En caso de intereses contrapuestos entre el titular del derecho y sus representanteslegales, se precisa la intervención del fiscal.

Artículo 14.1. Las personas en situación de discapacidad otorgan por sí mismas suconsentimiento para la obtención, almacenamiento y tratamiento de los datos personalesque les corresponden, en los casos que proceda asistidos por los apoyos que se requieranen el ejercicio de su capacidad jurídica, y utilizan los medios personales y técnicos quecorrespondan.

2. Cuando se les haya designado un apoyo intenso con facultades de representación,compete a este dar el consentimiento conforme a las voluntades y preferencias de la per-sona en situación de discapacidad.

Artículo 15.1. Son datos sensibles aquella información personal cuya utilización inde-bida puede dar lugar a discriminación, implique distinción lesiva a la dignidad humana oconlleve un riesgo grave para su titular.

2. Se consideran datos sensibles, entre otros, los que pueden revelar el sexo, género,identidad, identidad de género, orientación sexual, origen étnico y color de piel, el estado desalud presente o futuro, situación de discapacidad, información genética, u obtenidos a par-tir de pruebas diagnósticas realizadas en instituciones de salud o vinculadas a las técnicasde reproducción asistida, creencias religiosas, filiación política, antecedentes policiales ypenales.

Artículo 16.1. La persona no puede ser obligada a proporcionar datos personales sen-sibles, ni es lícito su tratamiento sin el consentimiento expreso, inequívoco, libre e infor-mado de su titular, salvo en aquellos casos de excepción previstos en esta Ley.

2. Lo regulado en el apartado anterior se observa también en el caso de personasfallecidas, para lo que se ha de contar con el consentimiento que otorgara en vida, si existedeclaración al respecto en el testamento o manifestación de voluntad destinada a ese fin;en su defecto, el de sus herederos o causahabientes.

Artículo 17. Los datos personales pueden obtenerse, almacenarse y someterse a tra-tamiento específico, sin consentimiento expreso de su titular, solo en los supuestossiguientes:

a) Por disposición de la ley, siempre que se cumplan los principios declarados en lapresente;

b) por disposición o resolución del fiscal o del tribunal;

c) ante un hecho que potencialmente pueda dañar a un individuo en su persona obienes;

d) si son necesarios con el fin de realizar un tratamiento para la prevención, diagnósti-co o la prestación de asistencia sanitaria urgente;

e) si se encuentran en fuentes de acceso público, siempre que no haya sido vulneradoalgún principio para la protección de datos personales, previstos por la presente Ley;

f) si se someten a un procedimiento previo de disociación de datos, entendiendo comotal el tratamiento de datos personales de manera que la información obtenida no pue-da asociarse a persona determinada o determinable;

g) si el titular de los datos personales es reportado como desaparecido; y

h) por razones de bienestar general, el orden público e interés de la defensa y la segu-ridad nacional.

Artículo 18.1. Lo establecido en los artículos que anteceden no exime a las personas dela obligación de identificarse ante las autoridades correspondientes, conforme a la legisla-ción vigente, lo que trae implícito aportar sus datos de identidad mediante los documentosque la acrediten.

2. Las autoridades correspondientes no deben exigir otros datos que no sean los refle-jados en dichos documentos, en atención a lo establecido en el

Artículo 16, apartado 1,de la presente Ley.

CAPÍTULO II

DERECHOS DE LOS TITULARES Y SU EJERCICIO

SECCIÓN PRIMERA

Derechos de las personas sobre sus datos personales

Artículo 19. Las personas son titulares de sus datos personales y tienen derecho a lano divulgación de estos y, en consecuencia, a que se le respete su intimidad personal yfamiliar, su honor e identidad personal, su propia imagen y voz.

Artículo 20. El titular tiene derecho en todo momento a acceder a sus datos persona-les e información de carácter público que obren en registros, ficheros, archivos y bases dedatos u otros medios técnicos de tratamiento de datos, sean físicos o digitales, públicos oprivados, y a conocer la información relacionada con las condiciones y generalidades desu tratamiento.

Artículo 21.1. El titular tiene derecho a la rectificación, corrección, modificación yactualización de sus datos personales por el responsable o encargado del registro, fichero,archivo y base de datos físicos o digitales, u otro medio técnico de tratamiento de datos,cuando son inexactos, incompletos o no están actualizados.

2. El incumplimiento de la obligación de obtención adecuada, custodia y uso de losdatos, así como la obstaculización o negativa de acceso al titular de los datos personales,genera responsabilidad y permite a su titular exigir el resarcimiento por los daños o per-juicios causados, en correspondencia con la legislación vigente.

Artículo 22. El titular tiene derecho a la cancelación de sus datos personales conte-nidos en registros, ficheros, archivos y bases de datos, físicos o digitales, u otro mediotécnico de tratamiento de datos, cuando considere que el fin para el que fueron obtenidosse ha cumplido o que se hace un tratamiento inadecuado de los datos, que afecta o puedeafectar de manera significativa sus intereses y derechos.

Artículo 23.1. El titular puede oponerse al tratamiento de sus datos personales cuandole pueda causar un daño o perjuicio, o afectar de forma significativa sus derechos o legí-timos intereses.

2. Puede oponerse, además, al tratamiento que se realiza a sus datos personales, ya seaautomatizado o no, si perjudica de manera significativa sus intereses y derechos, y estándestinados a evaluar determinados aspectos personales del titular, analizar o predecir, enparticular, su rendimiento profesional, situación económica, estado de salud, fiabilidad,comportamiento o conlleve un riesgo grave para su titular, conforme a lo establecido enel

Artículo 15 de la presente Ley, o cualquier otro que implique distinción lesiva a la dig-nidad humana.

SECCIÓN SEGUNDA

Del ejercicio de los derechos de las personas sobre sus datos personales

Artículo 24.1. El titular, su representante legal o apoyo, pueden ejercer los derechosde acceso, no divulgación, rectificación, corrección, modificación, actualización, cance-lación y oposición de los datos personales que le conciernen, sin sujeción a un orden deprelación entre estos y de conformidad con lo previsto en la presente Ley.

2. El titular, su representante legal o apoyo, al solicitar la rectificación, corrección,modificación o actualización de los datos, adjuntan los medios probatorios que acreditenla acción solicitada, al recaer sobre los datos asentados la presunción de veracidad.

3. El ejercicio de estos derechos se ajusta a los procedimientos y plazos establecidos enel presente cuerpo normativo y demás disposiciones que resulten aplicables en la materia.

Artículo 25.1. Las solicitudes para ejercer los derechos referidos en el artículo anteriorse presentan por el titular, su representante legal o apoyo, ante la persona responsable oencargada del tratamiento de los datos, el que en el plazo de hasta cinco días hábiles de-cide sobre su procedencia o no.

2. De resultar procedente la solicitud a que se refieren los artículos que anteceden, lapersona responsable la hace efectiva dentro de los diez días hábiles siguientes a la fechaen que fue formulada la misma.

3. Los plazos antes referidos pueden ser ampliados una sola vez por un período igualcuando así lo justifiquen las circunstancias del caso.

Artículo 26. Cuando la persona responsable o encargada no sea competente para aten-der la solicitud, informa al titular dicha situación dentro de los cinco días hábiles siguien-tes a la presentación de la misma y le orienta hacia la persona que resulta competente paraello.

Artículo 27. El acceso a la información de los datos personales se cumple cuando sepongan a disposición del titular lo solicitado mediante la expedición de copias simples,documentos electrónicos, exhibición de los datos o cualquier otro medio directo y seguro.

Artículo 28.1. Se puede denegar o no dar curso al acceso a los datos personales y su nodivulgación, o a realizar la corrección, rectificación, modificación, actualización, cance-lación o conceder la oposición al tratamiento de los mismos, en los supuestos siguientes:

a) En la base de datos referida no se encuentren los datos personales del solicitante quese interesan;

b) el solicitante no sea el titular de los datos personales, o el representante legal no estédebidamente acreditado para ello;

c) se lesionen los derechos de un tercero;

d) exista resolución firme de tribunal competente que restrinja el acceso a los datospersonales, o no permita la rectificación, cancelación u oposición de estos;

e) la rectificación, corrección, modificación, actualización, cancelación u oposiciónhaya sido previamente realizada;

f) por razones de bienestar general, el orden público e interés de la defensa y la segu-ridad nacional;

g) otras que de manera significativa así lo ameriten; y

h) cuando el registro donde se consignan los datos personales esté amparado por regu-laciones establecidas que limitan el acceso a dicha información.

2. En los casos anteriores la persona responsable o encargada decide, mediante resolu-ción razonada, que notifica al titular de los datos o, en su caso, a su representante legal oapoyo, en los plazos establecidos.

SECCIÓN TERCERA

De la acción de protección de datos personales

Artículo 29. El titular de datos personales, en el término de diez días hábiles, puedeestablecer la acción de protección de datos personales contra la persona responsable oencargada de un registro, fichero, archivo o base de datos pública o privada, cuando:

a) Al solicitar acceder a sus datos personales o información de carácter público que seencuentran consignados en un registro, fichero, archivo, base de datos o similar ydicha información le haya sido denegada, o no le hubiese sido proporcionada por lapersona responsable o encargada de la base de datos en las oportunidades y plazosprevistos por la ley; y

b) haya solicitado, a quien es responsable o encargado del registro, fichero, archivo,base de datos o tratamiento, su no divulgación, rectificación, corrección, modifica-ción, actualización, cancelación u oposición, y este no hubiese procedido a ello odado razones suficientes por las que no corresponde lo solicitado, o lo resuelto nosatisfaga su pretensión, en el plazo previsto al efecto en la ley.

Artículo 30.1. Son competentes para conocer en primera instancia las acciones deprotección de datos personales el superior jerárquico de las personas responsables o en-cargadas de la base de datos, cuando estas se encuentren en un órgano, organismo de la Administración Central del Estado y entidades nacionales, o sus dependencias.

2. En caso de que la persona responsable o encargada sea una persona natural o no seencuentren dichas bases de datos en un órgano, organismo de la Administración Centraldel Estado y entidades nacionales o sus dependencias, la acción de protección de datospersonales se interpone ante el tribunal competente.

Artículo 31. Están legitimados para accionar conforme al

Artículo 29, el propio titularafectado, su representante legal o apoyo y, en caso de personas fallecidas, sus herederos ocausahabientes.

Artículo 32.1. Para la acción de protección de datos personales que se promueva con-forme al

Artículo 30, apartado 1, se convoca a las partes a una audiencia dentro del plazode diez días hábiles posteriores a la fecha de la presentación de la reclamación.

2. Con este fin, se traslada la reclamación a quien resulte demandado con no menos detres días hábiles de antelación del acto señalado, excepto que la acción fuera manifiesta-mente improcedente, en cuyo caso la autoridad que debe resolver la rechaza sin tramitarla ydispone el archivo de las actuaciones, dando cuenta al reclamante.

3. En la audiencia, se escuchan a los comparecientes, se reciben las pruebas que apor-ten las partes y se dispone la práctica de las que sean necesarias.

4. En cualquier momento se puede disponer diligencias de oficio por la autoridad quedebe resolver.

Artículo 33. La reclamación de la acción de protección de datos personales referidaen el artículo anterior se soluciona mediante resolución que se dicta dentro del plazo decinco días hábiles posteriores a la celebración de la audiencia; en casos excepcionalespuede prorrogarse por igual plazo y se notifica la decisión de inmediato a los interesados,dejando constancia en el expediente que se conforma a tales efectos.

Artículo 34. La resolución que declare con lugar la acción de protección de datos per-sonales debe contener:

a) La identificación concreta de la autoridad o persona a quien se dirija y contra cuyaacción, hecho u omisión se concede la pretensión;

b) la determinación precisa de lo que deba o no hacerse y el plazo por el cual dicharesolución regirá, si es que corresponde fijarlo; y

c) el plazo para el cumplimiento de lo dispuesto, que es fijado por quien resuelveconforme a las circunstancias de cada caso, y no será mayor de quince días hábilessiguientes e ininterrumpidos, computados a partir de la notificación.

Artículo 35.1. Si en atención a lo interesado resulta, a juicio de quien resuelve, lanecesidad de su inmediata actuación, puede disponer, previo a la solución definitiva delcaso y con carácter provisional, las medidas que se requieran en resguardo del derechopresuntamente vulnerado.

2. Lo establecido en el apartado que antecede puede disponerse por quien resuelve encualquier momento del proceso, de ser el caso.

Artículo 36. Contra lo resuelto en la acción de protección de datos personales puedeestablecerse demanda ante el tribunal competente.

Artículo 37. La acción de protección de datos personales que se promueva con-forme el

Artículo 30, apartado 2, se rige por las normas y procedimientos contenidosen la ley procesal vigente.

Artículo 38.1. En los procesos de acción de protección de datos personales no puedendeducirse cuestiones previas, reconvenciones ni incidentes.

2. La autoridad, a petición de parte o de oficio, subsana los vicios de procedimiento,asegurando, dentro de la naturaleza sumaria del proceso, la vigencia del principio contra-dictorio.

SECCIÓN CUARTA

Del régimen de conservación de los datos personales

Artículo 39.1. El régimen de conservación de los datos personales está en correspon-dencia con las disposiciones aplicables en la materia de que se trate y tiene en cuenta losaspectos legales, administrativos, históricos o de otra índole.

2. El régimen de conservación no puede exceder los plazos para el cumplimiento de lasfinalidades que justifican su tratamiento.

3. Los datos personales que hayan cumplido las finalidades que motivaron su trata-miento conforme a las disposiciones que resulten aplicables se suprimen, de oficio o asolicitud del titular de los registros, ficheros, archivos y bases de datos físicos o digitales,u otros medios técnicos de tratamiento de datos en los que se encuentran, una vez con-cluido el plazo de conservación.

4. El régimen de conservación es de hasta cinco años, siempre que por ley no se dis-ponga un término distinto o el titular consienta otro plazo.

CAPÍTULO III

DEL TRATAMIENTO DE DATOS PERSONALES

SECCIÓN PRIMERA

Del control de bases de datos personales

Artículo 40. El registro, fichero, archivo o base de datos, tanto públicas como privadas,que por la finalidad para la que han sido creadas suponen un interés público, son contro-ladas a nivel nacional, así como otras que determine la autoridad facultada a propuesta delos órganos, organismos de la Administración Central del Estado y entidades nacionales osus dependencias, que contengan datos personales.

Artículo 41. El control nacional de registro, fichero, archivo o bases de datos persona-les recoge la información siguiente:

a) Nombre y apellidos, carné de identidad y domicilio legal de la persona natural au-torizada a la prestación de servicios, responsable de la recopilación de los datos; enel caso de la persona jurídica, los datos que la identifican;

b) características y finalidad de los registros, ficheros, archivos, bases de datos u otrosmedios físicos o digitales e información que se recopile;

c) datos personales que conforman el contenido de los registros, ficheros, archivos,bases de datos u otros medios físicos o digitales;

d) forma de recolección y actualización de los datos;

e) ubicación y destino de los datos;

f) medios utilizados para garantizar la seguridad de los datos;

g) cesiones, interconexiones o transferencias previstas;

h) identificación de las personas con acceso al tratamiento de la información;

i) tiempo de conservación de los datos; y

j) forma y condiciones en que las personas con interés legítimo pueden acceder a losdatos recogidos, procedimientos para la rectificación, corrección, modificación, ac-tualización, cancelación u oposición de los datos.

Artículo 42. Las personas naturales y jurídicas que dispongan de registro, fichero,archivo o bases de datos personales de acuerdo con lo previsto en la presente Ley,declaran su existencia ante la autoridad facultada y notifican a esta los cambios en lainformación asentada, lo que garantiza transparencia y seguridad jurídica de estas basesde datos ante terceros.

Artículo 43. El incumplimiento de lo previsto en el artículo anterior puede dar lugar ala aplicación de la sanción y medidas previstas en la presente Ley.

SECCIÓN SEGUNDA

De las obligaciones en el tratamiento de datos personales

Artículo 44.1. La persona responsable o encargada del tratamiento de datos personalesgarantiza las condiciones materiales, técnicas y organizativas para dar curso a las solici-tudes de los titulares en el ejercicio de su derecho; adopta las medidas para la seguridadde los datos y evita su alteración, pérdida, tratamiento o acceso no autorizado; asimismo,promueve acciones de comunicación y educación jurídica sobre la protección de datospersonales.

2. En ningún caso trata datos personales de naturaleza distinta a los fines declarados.

Artículo 45. La persona que, en el ejercicio de funciones legalmente autorizadas, tieneacceso a los datos, está obligada a observar la debida reserva y confidencialidad que ellorequiere, a cuyo fin el responsable del tratamiento le notifica sobre la responsabilidad queadquiere y las consecuencias legales de su incumplimiento.

Artículo 46. En los casos de cancelación de los datos personales, el responsable o en-cargado de los mismos establece el destino que se da a estos o las medidas que se adoptanpara su destrucción.

Artículo 47. Las personas jurídicas o naturales que prestan servicios que impliquentratamiento de datos personales en sus registros, ficheros, archivos o bases de datos,están obligadas a la protección de estos e informarlo en el momento de su obtención, yasea directamente o durante el registro en sitios y aplicaciones informáticas, medianteaviso de privacidad, con observancia de los requisitos previstos en el

Artículo 12 de lapresente Ley.

Artículo 48. La persona responsable o encargada del tratamiento de registros, ficheros,archivos o bases de datos personales está obligada a notificar a la autoridad competentela ocurrencia de incidentes de ciberseguridad, conforme a lo establecido en la legislaciónvigente.

SECCIÓN TERCERA

Del tratamiento de los datos personales procedentesde imágenes y voz obtenidos mediante la utilización de videocámarasde protección o cualquier otro dispositivo

Artículo 49.1. Los datos personales como la imagen y voz, cuando sean captadospor videocámaras o cualquier otro dispositivo que permite su grabación en locales,viviendas e instalaciones y espacios donde se prestan servicios de interés público, enningún caso pueden ocasionar una lesión a los derechos y garantías reconocidos en la Constitución y la presente Ley.

2. La instalación de los dispositivos expresados en el apartado anterior se justificansolo si el fin es legítimo, siempre que no puedan emplearse otros medios.

3. El uso y tratamiento indebido de los datos personales procedentes de imágenes yvoz obtenidos mediante la utilización de videocámaras de protección o cualquier otrodispositivo, puede dar lugar a una acción de protección de datos personales, así como laresponsabilidad civil o penal que corresponda.

Artículo 50. Las personas naturales o jurídicas que prestan servicios de interés públicoestán obligadas a informar la presencia de estos medios y a colocar identificadores en lasáreas donde se encuentran ubicados.

Artículo 51. Los medios de recogida de imágenes y voz instalados en espacios priva-dos no pueden incluir su obtención hacia espacios públicos, excepto que resulte impres-cindible o imposible de evitar de acuerdo con su ubicación, cumpliendo la obligacióndescrita en el artículo anterior.

Artículo 52. Las grabaciones de imágenes y voz obtenidas por esta vía no pueden serusadas en fines distintos a los que las motivaron.

Artículo 53. El tratamiento de las grabaciones de imágenes y voz provenientes de vi-deocámaras de protección relacionadas con las instituciones armadas del Estado cumplenlos principios declarados en la presente Ley, y su tratamiento se regula de acuerdo con lasnormas que dicten las autoridades competentes.

Artículo 54. La utilización de las grabaciones de imágenes y voz de personas obtenidasdesde teléfonos móviles, cámaras fotográficas, grabadoras u otros dispositivos similares,en ningún caso puede afectar los derechos protegidos en el

Artículo 19 de la presente Ley.

Artículo 55.1. Los medios de comunicación social, en cualquiera de sus manifesta-ciones y soportes, en el tratamiento de datos personales, incluidas las grabaciones deimágenes y voz, cumplen los principios declarados en la presente y velan por lo reguladoen el

Artículo 19.

2. El consentimiento informado no es requisito a estos fines cuando se trate de perso-nas de reconocidos méritos patrióticos, revolucionarios, de dirección, científicos, docentes,culturales, deportivos, de servicio al pueblo, personalidades, funcionarios públicos en elejercicio de sus funciones, o tratándose de persona que no es el centro de la información ocuando dicha información sea de carácter público.

SECCIÓN CUARTA

Del incumplimiento de las disposiciones relativas a la protecciónde datos personales

Artículo 56.1. Las personas naturales o jurídicas sujetas al régimen legal que esta Leyestablece, que incumplan las disposiciones relativas a la protección de datos personales,se les imponen por la autoridad competente las sanciones y medidas siguientes:

a) Apercibimiento;

b) multa de hasta 20 000 pesos;

c) suspensión de la base de datos respectiva por el plazo de hasta cinco días; y

d) clausura del registro, fichero, archivo o la base de datos.

2. Estas sanciones y medidas se gradúan teniendo en cuenta el impacto social, la gra-vedad, reiteración o reincidencia de la infracción cometida.

3. Las sanciones y medidas se aplican sin perjuicio de la responsabilidad civil o penalen la que se pueda incurrir.

4. La autoridad competente para imponer la multa y demás medidas que correspondanpor los incumplimientos de las disposiciones relativas a la protección de datos personales,son los funcionarios autorizados expresamente por los órganos, organismos de la Admi-nistración Central del Estado y entidades nacionales, en el ámbito de su competencia.

Artículo 57.1. Contra la sanción o medida impuesta por la autoridad competente, elafectado puede interponer por escrito recurso de apelación en el plazo de diez días hábilessiguientes a la fecha de notificación.

2. Está facultado para conocer y resolver el recurso de apelación, el jefe inmediatosuperior de la autoridad que impuso la sanción o medida.

3. La persona inconforme, en el recurso de apelación interpuesto, propone las pruebasde que intente valerse a los fines de su impugnación.

Artículo 58. El jefe inmediato superior que conoce del recurso puede convocar al re-currente para ser escuchado sobre su impugnación.

Artículo 59. El recurso de apelación no interrumpe la ejecución de la sanción o medidaimpuesta.

Artículo 60.1. El recurso se resuelve en un plazo de hasta diez días hábiles posteriores asu presentación.

2. Dicho plazo puede ser prorrogado por diez días hábiles más, si la práctica de pruebaspresentadas lo hace necesario.

3. La resolución que resuelve el recurso de apelación se notifica al recurrente dentrodel plazo de tres días hábiles siguientes a la fecha de dictada.

Artículo 61. En el caso en que se declare con lugar el recurso, la decisión se comunica aquienes hayan intervenido en la ejecución de la sanción o medida.

Artículo 62. Contra la decisión de la autoridad administrativa facultada procede de-manda administrativa en sede judicial.

SECCIÓN QUINTA

De la transferencia nacional e internacional de datos personales

Artículo 63. Se autoriza la transferencia de datos personales dentro del territorio na-cional, a solicitud de los responsables o encargados de tratamiento de datos, en los casossiguientes:

a) Intercambio de datos de carácter médico, sanitario o investigativo cuando sea re-querido para tratamiento del titular o por interés colectivo;

b) cuando la transferencia de datos tiene como objeto el bienestar general, el ordenpúblico e interés de la defensa y la seguridad nacional;

c) transferencias bancarias en cuanto a las transacciones respectivas;

d) para facilitar el ejercicio del derecho al sufragio en cuanto a la conformación delregistro de electores; y

e) por otras razones, que de manera significativa, así lo ameriten.

Artículo 64. Los responsables o encargados para tratar datos personales lo son paraautorizar su transferencia en el ámbito de sus competencias, cumpliendo los principiosestablecidos en la presente Ley.

Artículo 65.1. La transferencia internacional de datos, a solicitud de la autoridad res-ponsable del país receptor, procede en los casos siguientes:

a) Colaboración judicial internacional;

b) intercambio de datos de carácter médico cuando lo exija el tratamiento del titular, yuna investigación epidemiológica, en tanto se realice previa adopción de un proce-dimiento de disociación de la información, con la finalidad de que el titular de losdatos sea inidentificable;

c) transferencias bancarias o bursátiles en cuanto a las transacciones respectivas y deacuerdo con la legislación que resulte aplicable;

d) cuando la transferencia se ha acordado en el marco de tratados internacionales vi-gentes en los que la República de Cuba sea parte; y

e) cuando la transferencia de datos tiene como objeto la cooperación internacionalentre organismos para la lucha contra el crimen organizado, el terrorismo, lavadode activos, tráfico de drogas y otros delitos objeto de dicha cooperación.

2. Para autorizar la transferencia internacional de datos se tiene en cuenta la índole onaturaleza de los datos que se solicitan, los fines en los que son utilizados, el consenti-miento o información a los titulares en los casos que se requiera, el período de duracióndel tratamiento a que son sometidos o que se tienen previstos, país de origen y destinofinal de la información, normas de derecho generales o especiales aplicables, normas pro-fesionales específicas aplicables y medidas de seguridad técnicas y organizativas en vigoren los países de destino.

Artículo 66. El Presidente del Tribunal Supremo Popular, el Fiscal General de la Re-pública, el Ministro-Presidente del Banco Central de Cuba y los ministros de Relaciones Exteriores, del Interior, de Justicia y de Salud Pública están facultados para autorizar latransferencia internacional de datos personales en el ámbito de sus competencias.

DISPOSICIONES ESPECIALES

PRIMERA: El Ministro de Justicia, en el término de hasta un (1) año a partir de lavigencia de la presente Ley, crea el control nacional de registros, ficheros, archivos obases de datos personales, del cual es el responsable y sobre el que ejerce la máximasupervisión.

SEGUNDA: Los responsables o encargados de los registros, ficheros, archivos o basesde datos personales declaran, en el plazo de hasta un (1) año de la creación del controlnacional, la existencia de estos.

DISPOSICIONES FINALES

PRIMERA: Encargar al Ministerio de Justicia el control del cumplimiento de lo dis-puesto en la presente Ley.

SEGUNDA: El Consejo de Ministros, de manera excepcional, autoriza la transferenciainternacional de datos personales en los casos no previstos en la presente Ley, a propuestadel Jefe del órgano, organismo de la Administración Central del Estado o entidad nacionalque corresponda.

TERCERA: Los ministros de las Fuerzas Armadas Revolucionarias y del Interior apli-can lo establecido en la presente Ley, de acuerdo con las características de sus organismos yadoptan las medidas para modificar, adecuar o dictar las normas que correspondan.

CUARTA: Los jefes de los órganos, organismos de la Administración Central del Es-tado y entidades nacionales establecen las regulaciones internas que correspondan, quepermitan adoptar las medidas necesarias para dar cumplimiento a lo que por la presentese dispone.

QUINTA: La presente Ley entra en vigor a partir de los ciento ochenta (180) días desu publicación en la Gaceta Oficial de la República de Cuba.

PUBLÍQUESE en la Gaceta Oficial de la República de Cuba.

DADA en la Sala de Sesiones de la Asamblea Nacional del Poder Popular, Palacio de Convenciones, en La Habana, a los 14 días del mes de mayo de 2022.

MINISTERIO

______

COMUNICACIONES