Resolución 58/2022
El Reglamento para la Seguridad y Protección de los Datos Personales en Soporte Electrónico, emitido por el Ministerio de Comunicaciones, regula los requerimientos para la seguridad y protección de los datos personales en soporte electrónico. Es aplicable a operadores y proveedores de servicios públicos de Telecomunicaciones y las Tecnologías de la Información y la Comunicación, entre otros.
- Establece medidas técnicas y administrativas para garantizar un tratamiento seguro de los datos personales en soporte electrónico (Artículo 4).
- Los responsables y encargados deben notificar incidentes de ciberseguridad a las autoridades competentes (Artículo 4.c).
- Los titulares de datos personales tienen derecho a acceder, modificar y cancelar sus datos en cualquier momento (Artículo 6.a).
- Los datos personales en soporte electrónico solo pueden ser hospedados o replicados en servidores nacionales, salvo casos previstos en la ley (Artículo 7).
- Los términos y condiciones de uso del servicio deben ser comprensibles y establecer vías para la aprobación del usuario (Artículo 8.c).
Texto íntegro
RESOLUCIÓN 58/2022
POR CUANTO: La Ley 149 “De Protección de Datos Personales”, de 14 de mayode 2022, establece los principios, procedimientos y definiciones fundamentales para ga-rantizar a la persona natural el derecho a la protección de sus datos personales que constenen registros, ficheros, archivos, bases de datos u otros medios técnicos de tratamiento dedatos, sean físicos o digitales, de carácter públicos o privados.
POR CUANTO: El avance del proceso de informatización de la sociedad y el in-cremento del tratamiento automatizado de datos personales en el país hacen necesariocomplementar la legislación vigente en materia de seguridad de las Tecnologías de la Información y la Comunicación, con una normativa que regule los requerimientos deseguridad en el tratamiento de datos personales en soporte electrónico.
POR TANTO: En el ejercicio de las atribuciones que están conferidas en el Artícu-lo 145, inciso d), de la Constitución de la República de Cuba, en relación con el
Artículo 24,inciso I), numeral 1, del Anexo Único de la Resolución 1, de 7 de agosto de 2017, del Consejo de Ministros,
RESUELVO
ÚNICO: Aprobar el siguiente:
REGLAMENTO PARA LA SEGURIDAD Y PROTECCIÓNDE LOS DATOS PERSONALES EN SOPORTE ELECTRÓNICO
Artículo 1. El objetivo del presente Reglamento es establecer los requerimientos parala seguridad y protección de los datos personales en soporte electrónico.
Artículo 2. Este Reglamento es aplicable a los operadores y proveedores de serviciospúblicos de Telecomunicaciones y las Tecnologías de la Información y la Comunicación, a
los de alojamiento y hospedaje, a los de aplicaciones y a los titulares de redes privadas,así como a los que desarrollan actividades relacionadas con el tratamiento de datos per-sonales en soporte electrónico, en lo adelante, responsables y encargados de registros,ficheros, archivos y bases de datos.
Artículo 3. De conformidad con lo establecido en la Ley 149 “De Protección de Da-tos Personales”, se considera tratamiento de datos personales en soporte electrónico a lasoperaciones y procedimientos sistemáticos que permiten la recolección, conservación, or-denación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destruc-ción y, en general, el procesamiento de datos personales, así como su cesión a terceros através de comunicaciones, consultas, interconexiones y transferencias, cuando se realizanmediante el uso de las telecomunicaciones y las Tecnologías de la Información y la Comu-nicación.
Artículo 4. Los responsables y encargados de registros, ficheros, archivos y bases dedatos deben:
a) Garantizar la seguridad y protección de los datos personales en soporte electrónicocomo parte de la prestación de sus servicios;
b) establecer las medidas técnicas y administrativas necesarias que garanticen un tra-tamiento de los datos personales en soporte electrónico, conforme a lo establecidoen el presente Reglamento y demás regulaciones vigentes; y
c) notificar a las autoridades competentes de la ocurrencia de incidentes de cibersegu-ridad sobre los datos personales en soporte electrónico bajo su custodia.
Artículo 5. Los responsables y encargados de registros, ficheros, archivos y bases dedatos son los únicos autorizados a gestionar programas o aplicaciones informáticas rela-cionadas con las bases de datos que contienen datos personales en soporte electrónico.
Artículo 6. Los responsables del registro, fichero, archivo y base de datos tienen lasobligaciones siguientes:
a) Crear las vías para que el titular de los datos personales en soporte electrónico, suapoyo o representante legal pueda acceder, modificar y cancelar estos en el momen-to en que lo determine, con la mayor brevedad y transparencia posibles;
b) establecer la cancelación de los datos personales en soporte electrónico a solicitudde su titular, su apoyo o representante legal o cuando se haya cumplido el propósitopara el cual fueron recopilados, siempre que no se viole lo regulado en ley específi-ca o que estos requieran ser conservados por motivos legales, administrativos, his-tóricos o de otra índole, y adoptar las medidas técnicas necesarias para la supresiónde cualquier enlace a estos datos y copia;
c) definir los términos y condiciones referidos al uso de los datos personales en sopor-te electrónico, que deben ser comprensibles por cualquier usuario y establecer lasvías para que confirme su aprobación de acuerdo con las características de la basede datos y del servicio;
d) mantener la confidencialidad e integridad de los datos personales en soporte elec-trónico y evitar su acceso, modificación o transferencia no autorizada; y
e) garantizar el respaldo de los datos personales en soporte electrónico.
Artículo 7. Los responsables y encargados solamente pueden hospedar o replicarlos registros, ficheros, archivos y bases de datos en soporte electrónico que contienen
datos personales en servidores nacionales ubicados en el país, salvo los casos previstosen la ley.
Artículo 8. Los términos y condiciones de uso del servicio se aplican de acuerdo conlo establecido en la Ley 149 “De Protección de Datos Personales” y las características dela base de datos y del servicio en particular, e incluyen los aspectos siguientes:
a) Informar al usuario el propósito de la recopilación de datos personales al momentode su solicitud, dónde estos son almacenados y el plazo de tiempo por el cual sonconservados al cumplir su finalidad;
b) describir las opciones que le permiten al titular de los datos gestionar su privacidad;
c) alertar al usuario sobre el uso de elementos en el sitio web que puedan ser utilizadospara rastrear su actividad, como cookies, incluso si son aplicados por terceros;
d) comunicar al usuario con al menos 3 meses de antelación las modificaciones que serealicen al texto de los términos y condiciones, mediante correo electrónico, SMS,notificación en el programa y aplicación informática, sitio web u otros; y
e) establecer el plazo mínimo para la cancelación de los datos personales en soporteelectrónico, el cual no debe ser mayor a lo dispuesto en la legislación vigente en lamateria.
Artículo 9.1. Los datos personales en soporte electrónico se pueden utilizar con objeti-vos académicos, investigativos o sociales, con técnicas de análisis de datos, siempre quesean anonimizados o disociados y su recolección solo incluya los datos mínimos necesa-rios para cumplir su propósito.
2. El intercambio de información para la realización de estos objetivos se debe realizarde manera contractual entre el responsable de la base de datos y el que utiliza los datos, ycumplir lo establecido en la presente Resolución.
3. El intercambio de los datos anonimizados o disociados con otra entidad para utili-zarlos con los objetivos expresados en el apartado 1 de este artículo, se realiza sin interéscomercial.
Artículo 10. Los titulares de datos personales en soporte electrónico que sean usua-rios de servicios públicos de telecomunicaciones, programas y aplicaciones informáti-cas, y de redes sociales y servicios de Internet ofrecidos por entidades nacionales, tienenlos derechos siguientes:
a) Conocer el propósito para el cual son solicitados sus datos y el uso que se les da aestos;
b) acceder, actualizar y cancelar, en el momento en que estos lo consideren, los datospersonales facilitados para el uso del servicio;
c) que sus datos sean cancelados cuando así lo estimen conveniente, se haya cumplidoel propósito para el cual fueron recopilados o cuando consideren que se están tra-tando de forma que vulnere sus intereses y derechos; y
d) ser informados sobre las opciones de configuración de privacidad disponibles queles permita determinar cómo su información es tratada, compartida y almacenada.
DISPOSICIONES FINALES
PRIMERA: La Dirección General de Informática, la Dirección de Inspección y lasoficinas territoriales de Control del Ministerio de Comunicaciones quedan encargadas, se-gún corresponda, de controlar el cumplimiento de lo dispuesto en la presente Resolución.
SEGUNDA: La presente Resolución entra en vigor a los 180 días posteriores de supublicación en la Gaceta Oficial de la República de Cuba.
NOTIFÍQUESE al Director General de Informática, a la Directora de Inspección y losdirectores territoriales de Control del Ministerio de Comunicaciones.
COMUNÍQUESE a los viceministros, al Director General de Comunicaciones, al Di-rector de Regulaciones, todos del Ministerio de Comunicaciones.
PUBLÍQUESE en la Gaceta Oficial de la República de Cuba.
ARCHÍVESE el original en la Dirección Jurídica del Ministerio de Comunicaciones.
DADA en La Habana, a los 19 días del mes de agosto de 2022.
Wilfredo González Vidal
Viceministro Primero