Congreso de la República de Guatemala, Departamento de Información Legislativa CONGRESO DE LA REPUBLICA GUATEMALA, C. A. DIRECCION LEGISLATIVA - CONTROL DE INICIATIVAS- NUMERO DE REGISTRO 6572 IFECHA QUE CONOCIO EL PLENO: 05 DE AGOSTO DE 2025. INICIATIVA DE LEY PRESENTADA POR LOS REPRESENTANTES NERY MAMFREDO RODAS MENDEZ, SOFiA JEANETTH HERNANDEZ HERRERA, JULIO CESAR PORTILLO PAZ, PABLO LEONEL CIFUENTES OVALLE, ALBERTO EDUARDO DE LE6N BENiTEZ, RONALD YOMELFY PORTILLO CORD6N, RICARDO LEONEL MARTiNEZ ALARC6N, ROLANDO GUZMAN FIGUEROA, MANRIQUE OBEL GALVEZ DE LE6N, KEVYN LUIS CARLO ESCOBAR CASTILLO, JAiRO DANILO ORELLANA SANDOVAL, BYRON LEONIDAS TEJEDA MARROQUiN, JULIO HECTOR ESTRADA DOMiNGUEZ, LUIS FERNANDO AGUIRRE ESTRADA Y COMPANEROS. INICIATIVA QUE DISPONE APROBAR LEY DE PROTECCI6N DE DATOS PERSONALES. TRAMITE: PASE A LA COMISI6N DE EDUCACI6N, CIENCIA Y TECNOLOGiA PARA SU ESTUDIO Y DICTAMEN CORRESPONDIENTE. Congreso de la República de Guatemala, Departamento de Información Legislativa NGRESO ----~~==~~~~------~~ DE LAREPUBLICA Guatemala, 08 de julio de 2025 Licenciado Luis Eduardo Lopez Ramos Encargado de Despacho Direcci6n Legislativa Licenciado Lopez Ramos: Con un cordial y atento saludo me dirijo a usted, en ejercicio de la facultad que me confiere el Articulo 174 de la Constitucion Politica de la Republica de Guatemala, rem ito el Proyecto de Ley que dispone aprobar la "LEY DE PROTECCION DE DATOS PERSONALES", solicitando que sea incorporado a la agenda legislativa para ser conocido por el Honorable Pleno del Congreso de la Republica de Guatemala. Sin otro particular, consideraci6n y estima. ~ grnto ,".on e con las muestras de nuestra ,, . ! . 1,,;,.\ \ / NeJM~f~ Rodas Mendez Diptltaq~e Bloque Legislativo Cab Congreso'De L! Republica De Guatema ,"0//' ~/'''' c.c. Archivo. Congreso de la República de Guatemala, Departamento de Información Legislativa CONORESO .--==-=-- i : - -___- ______- DE lAREPUBLICA EXPOSICION DE MOTIVOS I. ANTECEDENTES Y CONTEXTO INTERNACIONAl El vertiginoso desarrollo de las tecnologfas de la informacion y la comunicacion ha transformado la forma en que se generan, almacenan y comparten datos personales. Hoy mas que nunca, el derecho a la privacidad adquiere una nueva dimension frente a los retos de la era digital, caracterizada por la interconexion global y la transmision transfronteriza de datos. La Asamblea General de las Naciones Unidas, mediante La Resolucion 68/167 "El Derecho a La Privacidad en La Era Digital" (2013), exhorto a todos los Estados miembros a garantizar el derecho a La privacidad, incluso en el contexto de las comunicaciones digitales, y a adoptar las medidas necesarias para prevenir vulneraciones de este derecho fundamental. En el ambito regional, la Organizacion de los Estados Americanos (OEA) ha impulsado desde 1996 iniciativas, gufas y principios orientadores para fortalecer la proteccion de datos personales en las Americas. Destacan La "Gufa Legislativa sobre La Privacidad y La Proteccion de Datos Personales en las Americas" (Comite Jurfdico Interamericano, 2015) y los "Principios Actualizados sobre La Privacidad y La Protecci6n de Datos Personales", adoptados por La Asamblea General de La OEA mediante La resolucion AG/RES. 2974 (LI-O/21). Estos instrumentos reconocen el derecho de toda persona a ser protegida contra injerencias indebidas en su vida privada, su honor, su imagen y su reputacion, consolidando asi La autodeterminacion informativa como un derecho fundamental emergente, que otorga a cada individuo La capacidad de decidir como se recopila, utiliza, conserva y transmite su informacion personal. II. MARCO CONSTITUCIONAl Y SITUACION NORMATIVA NACIONAl En el ordenamiento juridico guatemalteco, La Constitucion Politica de La Republica establece La base fundamental para La protecci6n de los datos personales y La privacidad. El articulo 24 garantiza la inviolabilidad de La correspondencia, documentos y libros personales, y el secreta de las comunicaciones, extendiendo esta proteccion a las comunicaciones digitales y a los productos de La tecnologfa moderna. El articulo 30 reconoce la publicidad de los actos administrativos, estableciendo limites razonables para proteger datos suministrados por particulares bajo garantia de confidencialidad. Asimismo, el artfculo 31 otorga a toda persona el derecho de conocer, rectificary actualizar La informacion que de ella conste en archivos 0 registros Congreso de la República de Guatemala, Departamento de Información Legislativa CONORESO DE LA REPUBLICA estatales, prohibiendo expresamente los registros de filiacion politica, salvo los previstos para fines electorales. Actualmente, la Ley de Acceso a la Informacion Publica (Decreto 57-2008) regula de manera parcial algunos aspectos relacionados con la protecci6n de datos personales, como el habeas data, la informacion confidencial y reservada. Sin embargo, esta regulacion resulta insuficiente para responder a la complejidad de los procesos actuales de recoleccion, tratamiento y transferencia internacional de datos personales. Guatemala carece de una legislacion integral y especffica que desarrolle principios recto res, derechos, obligaciones, procedimientos y sanciones claros para garantizar la proteccion efectiva de los datos personales. III. DESAFios EMERGENTES V NECESIDAD DE LA LEV El uso masivo de tecnologfas de la informacion y la comunicacion, junto con la facilidad de almacenamiento y transmision de datos a nivel global, han generado una creciente exposicion de la poblacion a riesgos como el acceso ilegftimo, la divulgacion no autorizada, el uso indebido de informacion sensible y la suplantaci6n de identidad. El acceso no autorizado a datos personales puede afectar multiples esferas de la vida de una persona: su reputacion, su integridad patrimonial, su capacidad de acceder a servicios financieros, de salud 0 educativos, y en ultima instancia, su dignidad humana. En este contexto, se vuelve imprescindible establecer un marco normativo que asegure el tratamiento legitimo, proporcional, informado y seguro de los datos personales, y que garantice la responsabilidad de quienes los recaban, almacenan, procesan y transfieren, incluyendo las transferencias transfronterizas. La iniciativa de Ley de Proteccion de Datos Personales tiene como finalidad: • Fortalecer la garantfa constitucional del derecho a la privacidad y la proteccion de los datos personales de toda persona, sin distincion de nacionalidad 0 residencia. • Desarrollar los derechos de Acceso, Rectificacion, Cancelacion y Oposicion como herramientas efectivas de la autodeterminacion informativa. • Crear reglas claras para la recoleccion, almacenamiento, procesamiento y transferencia de datos personales, fijando estandares minimos de seguridad y perfodos de retencion razonables. • Establecer sanciones administrativas proporcionales y disuasorias para quienes incumplan sus obligaciones, y garantizar La existencia de procedimientos agiLes para La proteccion de Los derechos de los tituLares. Congreso de la República de Guatemala, Departamento de Información Legislativa CONCRESO '" DE LAREPUBLICA • Consolidar en una entidad rectora tecnica y especializada, La Superintendencia de Transformaci6n Digital, que ejercera funciones de supervisi6n, control y sanci6n de forma independiente. • Promover La confianza ciudadana en el entorno digital, La innovaci6n tecnol6gica y La competitividad econ6mica de Guatemala, facilitando La inversi6n responsable en infraestructura de datos, como centros de almacenamiento y servicios basad os en datos. IV. CONTENIDO DE LA INICIATIVA DE LEY La ley propuesta se inspira en principios y mejores practicas consagrados por La comunidad internacional. Reconoce el Reglamento General de Protecci6n de Datos (RGPD) de La Uni6n Europea como un referente normativo clave y se alinea con los compromisos adquiridos en el Sistema Interamericano y las resoluciones de La OEA. Su contenido toma en cuenta la experiencia comparada de America Latina, donde La mayo ria de los paises ya cuentan con leyes de protecci6n de datos personales armonizadas. La adopci6n de esta ley permite a Guatemala fortalecer su posici6n regional, asegurar el flujo legitimo de informaci6n con estandares equivalentes y evitar barreras para La cooperaci6n internacional y La inversi6n. La Ley de Protecci6n de Datos Personales propuesta se estructura en siete tftulos, organizados en capftulos y articulos que desarrollan de forma coherente y progresiva los principios, derechos, obligaciones, procedimientos y medidas institucionales necesarias para garantizar el derecho fundamental a la privacidad y La protecci6n de los datos personales en Guatemala. El Titulo I contiene las Disposiciones Generales, distribuidas en dos capitulos. • El Capitulo I establece el objeto, el ambito de aplicaci6n de La ley, las reglas para las bases de datos en el pais, las excepciones especificas y las condiciones para transferencias transfronterizas. • El Capitulo II define terminos clave y principios rectores que orientan todo el regimen de protecci6n, brindando certeza jurfdica sobre conceptos como dato personal, dato sensible, consentimiento, responsable del tratamiento, encargado y transferencia de datos. El Tftulo II desarrolla los Derechos de los Titulares de Datos Personales y su Ejercicio, divididos en dos capitulos. • El Capitulo I reconoce los derechos de protecci6n, acceso, rectificaci6n, cancelaci6n 0 supresi6n, oposici6n y limitaci6n del tratamiento, asi como sus condiciones y lfmites. Congreso de la República de Guatemala, Departamento de Información Legislativa CONCRESO DE LA REPUBLICA • El Capitulo II refuerza el caracter irrenunciable de estos derechos, dispone su gratuidad y establece lineamientos para el cobro de costos estrictamente necesarios, asegurando el ejercicio efectivo y asequible de los derechos de los titulares de los datos. El Titulo III regula las Obligaciones y Responsabilidades en el Tratamiento de Datos, incluyendo disposiciones sobre la entrega de informacion a autoridades judiciales, normas de utilizacion y retenci6n de datos (estableciendo un periodo minima de conservacion de cinco alios), los requisitos del aviso de privacidad, la notificacion de vulneraciones de seguridad, y las formas y requisitos del consentimiento, incluyendo las excepciones y procedimientos de revocaci6n. El Titulo IV establece el regimen de Transferencia de Datos Personales, definiendo claramente cuando una transferencia se considera Hcita, las condiciones especificas para transferencias internacionales y las responsabilidades solidarias del remitente y el receptor de los datos, alineando la normativa con estandares internacionales de protecci6n. El Titulo V regula a la Entidad Rectora, designando a la Superintendencia de Transformacion Digital como autoridad nacional en materia de proteccion de datos personales. Describe su estructura operativa, su Intendencia especializada y detalla 19 atribuciones clave, que abarcan supervision, inspeccion, emision de certificaciones, guias y programas de capacitacion, asi como mecanismos de cooperacion y coordinacion interinstitucional. El Titulo VI contiene el Regimen Sancionatorio, con la clasificacion de infracciones en leves, graves y gravisimas, y un catalogo claro de sanciones proporcionales, medidas de cobro y lineamientos procedimentales que garantizan el debido proceso y la aplicacion efectiva de la ley. Se establece ademas que los recursos derivados de las multas seran fondos privativos de la Superintendencia, fortaleciendo su independencia operativa. Finalmente, el Titulo VII incorpora las Disposiciones Transitorias y Finales, otorgando un plazo de veinticuatro meses para la implementacion progresiva de la ley por parte de responsables y encargados del tratamiento, y seis meses para la emision de los reglamentos y guias tecnicas por la entidad rectora. Se dispone ademas la vigencia efectiva de la ley treinta dias despues de su publicacion en el Diario Oficial. En conjunto. esta estructura permite una regulaci6n integral, coherente y tecnicamente robusta para fortalecer la proteccion de los datos personales. promover la confianza en el entorno digital y garantizar el respeto de derechos fundamentales en Congreso de la República de Guatemala, Departamento de Información Legislativa CONCRESO ----, #' DE LA REPUBLICA consonancia con La Constituci6n Polftica de La Republica de Guatemala y los tratados internacionales ratificados por el pais, Por todo to expuesto, se somete a consideraci6n del Honorable Congreso de ta Republica de Guatemala La aprobaci6n de La Ley de Protecci6n de Datos Personates, como una acci6n impostergable para garantizar el ejercicio pleno de los derechos fundamentales en La " l , promover La co ' , 'dad del pais ,consolidar La confianza ciuda na en el uso r onsabl La inf~r ci', ~ DIPUTAD PONENENTES: ....-"!~ G\\-~ • < U~~· J~,,-"?\'V \ C .\: r " Congreso de la República de Guatemala, Departamento de Información Legislativa CONCRESO DE LA REPUBLICA DECRETO NUMERO _-2025 EL CONGRESO DE LA REPUBLICA DE GUATEMALA CONSIDERANDO Que la Constituci6n Politica de la Republica de Guatemala, en su articulo 24, garantiza la inviolabilidad de la correspondencia, documentos y libros personales, y el secreta de las comunicaciones, reconociendo con ello el derecho a la privacidad, incluso en el contexto de las nuevas tecnologias de la informaci6n y la comunicaci6n. CONSIDERANDO Que la protecci6n de los datos personales y del derecho a la privacidad es un deber del Estado y un derecho inherente a la dignidad humana, consagrado en instrumentos internacionales suscritos y ratificados por Guatemala, tales como la Declaraci6n Universal de los Derechos Humanos, el Pacto internacional de Derechos Civiles y Politicos, la Declaraci6n Americana de los Derechos y Deberes del Hombre, y la Convenci6n Americana sobre Derechos Humanos. CONSIDERANDO Que el articulo 31 del texto constitucional reconoce el derecho de toda persona a conocer 10 que de ella conste en archivos 0 registros estatales, a conocer la finalidad de esa informaci6n y a solicitar su correcci6n 0 actualizaci6n, prohibiendo expresamente los registros de filiaci6n politica, salvo los propios de las autoridades electorales y partidos politicos. CONSIDERANDO Que el avance de la digitalizaci6n, el uso intensivo de tecnologias de la informaci6n y el creciente intercambio de datos personales entre entidades publicas y privadas exigen un marco normativo integral que garantice los derechos de las personas frente al tratamiento de sus datos, especialmente en contextos de interconexi6n y transferencia internacional. CONSIDERANDO Que la protecci6n adecuada de los datos personales no solo fortalece el ejercicio de derechos fundamentales, sino que tambien genera condiciones favorables para la innovaci6n, la confianza ciudadana en el entorno digital, la competitividad econ6mica y la atracci6n de inversiones tecnol6gicas. \ Congreso de la República de Guatemala, Departamento de Información Legislativa CONGRESO DE LA REPUBLICA PORTANTO En ejerclclo de Las atribuciones que Le confiere eL articuLo 171 literaL a) de La Constituci6n Politica de La RepubLica de GuatemaLa, DECRETA La siguiente lEY DE PROTECCION DE DATOS PERSONAlES TiTULO I: DISPOSICIONES GENERALES Capitulo I: Objeto y Ambito de Aplicacion Articulo 1. Objeto de la ley. Esta Ley tiene por objeto garantizar la protecci6n de los datos personales, estableciendo los principios, derechos, obligaciones y procedimientos que regulan su tratamiento, para salvaguardar la privacidad, dignidad y derechos fundamentales de las personas. Articulo 2. Ambito de Aplicacion. La presente Ley es aplicable a toda persona individual 0 juridica, de derecho publico 0 privado, que trate datos personales dentro del territorio de Guatemala. Articulo 3. Bases de Datos. Las bases de datos que se encuentren en el territorio de la Republica que almacenen 0 contengan datos personales de nacionales 0 extranjeros, 0 cuyo responsable del tratamiento de los datos este domiciliado en el pais, quedan sujetas a Las disposiciones estabLecidas en esta Leyy su reglamentaci6n. Se excluyen de esta normativa las bases de datos reguladas por normas especiales, siempre que estas establezcan estandares tecnicos minimos necesarios para garantizar la protecci6n y tratamiento correcto de los datos personaLes. El almacenamiento 0 transferencia transfronteriza de datos personales confidenciales, sensibles 0 restringidos originados 0 aLmacenados dentro de La Republica sera permitido, siempre que el responsable del almacenamiento de los datos cumpla con los estandares de protecci6n de datos personales exigidos por esta Ley, 0 pueda demostrar que cumple con estandares y normas equivalentes 0 superiores. Se exceptuan de los requerimientos del parrafo anterior los siguientes casos: \ Congreso de la República de Guatemala, Departamento de Información Legislativa CONGRESO # DE lAREPUBLICA 1. Cuando el titular haya otorgado su consentimiento para la transferencia. 2. Cuando la transferencia sea necesaria para la celebracion 0 ejecucion de un contrato celebrado 0 por celebrarse por el interesado 0 en interes de este. 3. Cuando se trate de transferencias bancarias, dinerarias 0 bursatiles del mercado de valores. 4. Cuando la transferencia de informacion sea requerida en cumplimiento de tratados internacionales ratificados por la Republica de Guatemala. En todos los casos, el tratamiento 0 transferencia de datos personales realizada a traves de internet 0 cualquier otro medio de comunicacion electronica, digital 0 fisica, debera cumplir con estandares, normas, certificaciones, protocolos, medidas tecnicas y de gestion informatica adecuados para preservar la seguridad de los datos. Articulo 4. Excepciones. Se excluyen del ambito de aplicacion de esta Ley: a) Los datos que proporcione una persona natural para actividades exclusivamente personales 0 domesticas. b) Los datos que proporcionen autoridades competentes con fines de prevencion, investigacion, deteccion 0 enjuiciamiento de infracciones penales 0 de ejecucion de sanciones penales. c) Los datos de caracter financiero y crediticio, que pod ran ser regulados por normativa especial. d) Los datos los relativos a la seguridad nacional. e) Cuando se trate de datos relacionados con organismos internacionales, en cumplimiento de lo dispuesto en los tratados y convenios vigentes ratificados por el pais. f) Los resultantes de informacion obtenida mediante un procedimiento previo de disociacion 0 anonimizacion, de manera que el resultado no pueda asociarse al titular de los datos personales. Capitulo II: Definiciones y Principios Rectores Articulo 5. Definiciones. Para los efectos de esta ley, los terminos siguientes se entenderan asi: a) Almacenamiento de datos. Conservacion 0 custodia de datos en una base de datos establecida en cualquier medio provisto, incluido el de las Tecnologias de la Informaci6n y la Comunicacion (TICs). b) Base de datos. Conjunto ordenado de datos de cualquier naturaleza, cualquiera que sea la forma 0 modalidad de su creaci6n, organizacion 0 almacenamiento, que permite relacionar los datos entre si, asi como realizar ( Congreso de la República de Guatemala, Departamento de Información Legislativa CONCRESO DE LA REPUBLICA cualquier tipo de tratamiento 0 transmision de estos p~r parte de su responsable. c) Consentimiento. Manifestacion de La voluntad del titular de los datos, mediante la cual se efectda el tratamiento de estos. d) Datos confidenciales. Aquellos datos que p~r naturaleza no deben ser de conocimiento publico 0 de terceros no autorizados, incluyendo aquellos que esten protegidos p~r La ley, por acuerdos de confidencialidad 0 no divulgacion, a fin de salvaguardar informacion. En los casos de La Administracion Publica, son aquellos datos cuyo tratamiento esta limitado para fines de esta Administracion 0 si se cuenta con el consentimiento expreso del titular, sin perjuicio de lo dispuesto por leyes especiales 0 p~r las normativas que las desarrollen. Los datos confidenciales siempre seran de acceso restringido. e) Dato an6nimo. Aquel dato cuya identidad no puede ser establecida por medios razonables 0 el nexo entre este y La persona natural a la que se refiere. f) Dato caduco. Aquel dato que ha perdido actualidad p~r disposicion de La ley, por el cumplimiento de La condicion 0 La expiracion del plazo sefialado para su vigencia 0, si no hubiera norma expresa, por el cambio de los hechos 0 circunstancias que consigna. g) Dato personal. Cualquier informacion concerniente a personas naturales, que las identifica 0 las hace identificables. h) Dato disociado. Aquel dato que no puede asociarse al titular ni permitir p~r su estructura, contenido 0 grado de desagregacion La identificacion de La persona, sea esta natu ral. i) Dato sensible. Aquel que se refiera a La esfera intima de su titular, 0 cuya utilizacion indebida pueda dar origen a discriminacion 0 conlleve un riesgo grave para este. De manera enunciativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial 0 etnico; creencias o convicciones religiosas, filosoficas y morales; afiliacion sindical; opiniones politicas; datos relativos a La salud, a La vida, a La preferencia u orientacion sexual, datos geneticos 0 datos biometricos, entre otros, sujetos a regulacion y dirigidos a identificar de manera univoca a una persona natural. j) Procedimiento de disociaci6n 0 anonimizaci6n. Todo tratamiento de datos que impide que La informacion disponible en La base de datos pueda asociarse a persona natural determinada 0 determinable. k) Responsable del tratamiento de los datos. Persona natural 0 juridica, de derecho publico 0 privado, lucrativa 0 no, que le corresponde las decisiones relacionadas con el tratamiento de los datos y que determina los fines, medios y alcance, asi como cuestiones relacionadas a estos. l) Encargado del tratamiento de datos. Persona individual 0 juridica, que de manera conjunta 0 separada, realice el tratamiento de datos personales p~r cuenta del responsable del tratamiento. m) Titular de los datos. Persona natural a La que se refieren los datos. Congreso de la República de Guatemala, Departamento de Información Legislativa CONGRESO . "*'------ DE LAREPUBLICA n) Transferencia de datos. Dar a conocer, divulgar, comunicar, intercambiar y/o transmitir, de cualquier forma y por cualquier medio, de un punto a otro, intra 0 extrafronterizo, los datos a personas naturales 0 jurfdicas distintas del titular, ya sean determinadas 0 indeterminadas. 0) Tratamiento de datos. Cualquier operacion 0 complejo de operaciones 0 procedimientos tecnicos, de caracter automatizado 0 no, que permita recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, asociar, disociar, comunicar, ceder, intercambiar, transferir 0 cancelar datos, 0 utilizarlos en cualquier otra forma. TITULO II: DERECHOS DE LOS TITULARES DE DATOS PERSONALES Y SU EJERCICIO Capitulo I: Derechos de los titulares de los datos Articulo 6. Derecho a la proteccion de los datos personales. Toda persona, p~r sf misma 0 p~r medio de su representante con facultades especiales, tendra derecho a conocer si sus datos personales estan siendo procesados para garantizar la proteccion de los mismos. Asimismo, tendran derecho a obtener una reproduccion inteligible de sus datos personales y a transferirlos cuando asf 10 consideren pertinente. Tratandose de los datos personales de personas fallecidas, correspondera a sus herederos 0 sucesores ejercer los derechos correspondientes, debiendo acreditar con documentacion su cali dad de heredero 0 sucesor. Articulo 7. Derecho de acceso a datos personales. El titular de datos personales tendra derecho a obtener toda la informacion que sobre sf mismo se encuentre en bases de datos 0 registros fisicos. Este derecho sera ejercido de manera gratuita, conforme a 10 establecido en la presente ley. La informacion debera ser suministrada: 1. En forma clara y sin codificaciones, acompafiada de una explicacion de los terminos utilizados, los sujetos que han consultado dicha informacion y con que propos ito. 2. De manera completa, salvo que los datos hayan sido seudonimizados 0 disociados, dejando constancia de estas circunstancias. Congreso de la República de Guatemala, Departamento de Información Legislativa NGRESO -DE-LA REPUBLICA El acceso se podra realizar mediante consulta directa del titular 0 su representante, previa verificaci6n de su identidad, 0 mediante sistemas tecnol6gicos que permitan una lectura clara y comprensible. Articulo 8. Derecho de rectificaci6n. El titular de los datos personales tendra derecho a solicitar al responsable la rectificaci6n 0 correcci6n de sus datos cuando estos sean inexactos, incompletos 0 no se encuentren actualizados. Ademas, podra solicitar la rectificaci6n y actualizaci6n de los datos cuando hayan sido tratados en incumplimiento de las disposiciones de la presente ley. Para ejercer este derecho, el titular debera ofrecer documentaci6n que acredite la procedencia de la rectificaci6n 0 informar la ubicaci6n donde se encuentren almacenados los datos. El responsable del tratamiento debera cumplir con lo solicitado de manera gratuita, resolviendo en un plazo maximo de veinte dias habiles contados a partir de la recepci6n de la solicitud. El incumplimiento de esta obligaci6n habilitara al interesado para presentar una denuncia ante la entidad rectora, la cual garantizara sus derechos. Durante el proceso de verificaci6n para rectificar la informaci6n, los datos objeto de analisis deberan ser bloqueados, indicando que se encuentran en proceso de revisi6n o actualizaci6n, segun lo solicitado. Articulo 9. Derecho de cancelaci6n 0 supresi6n. El titular 0 sus representantes podran solicitar la eliminaci6n de los datos personales que Ie conciernan cuando se cumpla al menos una de las siguientes condiciones: 1. Los datos ya no sean necesarios con relaci6n a los fines para los cuales fueron tratados. 2. El titular retire su consentimiento, siempre que dicho consentimiento haya sido el fundamento para el tratamiento. 3. El titular se oponga al tratamiento y no existan motivos legitimos prevalentes para conservar los datos. 4. Los datos personales hayan side obtenidos 0 tratados ilicitamente. 5. La supresi6n sea necesaria para cumplir una obligaci6n legal aplicable al responsable. 6. Los datos personales hayan sido obtenidos en relaci6n con servicios dirigidos a menores. El derecho de cancelaci6n no procedera en los siguientes casos: Congreso de la República de Guatemala, Departamento de Información Legislativa CONGRESO DE LA REPUBLICA 1. Cuando el ejercicio de este derecho perjudique derechos 0 intereses legftimos de terceros. 2. Cuando exista una obligaci6n legal que exija la conservaci6n de los datos. 3. En casos necesarios para el ejercicio de la libertad de expresi6n, informaci6n 0 prensa. 4. Cuando los datos hayan side disociados 0 se utilicen para fines de investigaci6n cientffica, hist6rica 0 estadfstica, siempre que se garanticen medidas de protecci6n adecuadas. 5. Cuando se trate de datos de caracter crediticio. Articulo 10. Derecho de oposici6n. El titular tendra derecho a solicitar el cese del tratamiento de sus datos personales, incluida la elaboraci6n de perfiles con fines comerciales 0 de mercadotecnia directa. El derecho de oposici6n no sera aplicable cuando: 1. El tratamiento sea necesario para cumplir una misi6n realizada en interes publico 0 en el ejercicio de facultades otorgadas al responsable. 2. El tratamiento sea necesario para satisfacer intereses legftimos del responsable o un tercero, siempre que no prevalezcan los derechos fundamentales del titular, especialmente en el caso de menores de edad. Articulo 11. Derecho a la limitaci6n del tratamiento. El titular podra solicitar la limitaci6n del tratamiento de sus datos personales cuando: 1. Impugne la exactitud de los datos, durante el plazo necesario para su verificaci6n. 2. El tratamiento sea ilfcito y el titular se oponga a la supresi6n, optando por la limitaci6n del uso. 3. El responsable ya no necesite los datos, pero el titular los requiera para la formulaci6n, ejercicio 0 defensa de reclamaciones. 4. El titular haya manifestado oposici6n al tratamiento, mientras se verifica si los motivos del responsable prevalecen sobre los del titular. La limitaci6n permanecera vigente mientras subsistan las razones que motivaron su solicitud. Capitulo II: Ejercicio de los Derechos Articulo 12. Ejercicio irrenunciable de los derechos del titular. El titular de los datos personales podra ejercer, en cualquier momento, los derechos reconocidos en la Congreso de la República de Guatemala, Departamento de Información Legislativa CONGRESO DE LA REPUBLICA presente Ley. Estos derechos son de caracter irrenunciable, garantizando su aplicacion plena e inalienable en todas las circunstancias, salvo las excepciones expresamente establecidas en la ley. Ningun acuerdo, acto jurldico 0 disposicion administrativa podra limitar 0 restringir el ejercicio de los derechos del titular sobre sus datos personales. Cualquier estipulacion en contra rio sera nula de pleno derecho. En el caso de que existan disposiciones legales especfficas que establezcan limitaciones, estas deberan interpretarse de manera restrictiva y unicamente en el marco de 10 dispuesto por la normativa vigente aplicable. Articulo 13. Gratuidad del ejercicio de los derechos. El ejercicio de los derechos que reconoce esta ley es gratuito y solo pod ran realizarse cobros de los costos de reproduccion, certificacion 0 envlo. La reproduccion 0 envlo de la informacion sera sufragada por el sOlicitante, sin embargo, su valor no podra ser superior al de los materiales utilizados 0 de los costos de remision. El responsable debera publicar y comunicar a los interesados de los costos de reproduccion y envlo de sus datos personales. En caso de que los datos personales deban entregarse en dispositivos magneticos 0 electronicos, el interesado debera aportar el medio en que seran almacenados. Para el envfo porvfa electronica no tendra costo alguno, siempre y cuando sea posible realizar a traves de dicho mecanismo. TiTULO III: OBllGACIONES Y RESPONSABlllDADES EN El TRATAMIENTO DE DATOS Capitulo I: Reglas Generales para el Tratamiento de Datos Articulo 14. Informacion a autoridades judiciales. Los responsables de bases de datos deberan entregar a las autoridades judiciales competentes la informacion relacionada al almacenamiento 0 transferencia de datos personales que sea debidamente solicitada para el aseguramiento del cumplimiento de la Ley. En cualquier caso, la solicitud tendra que estar debidamente proporcionada, no admitiendose en ningun caso solicitudes masivas de informacion sobre datos personales. En todo caso, dicha solicitud debera ir dirigida al responsable de la base de datos 0 al titular de los datos, que es el unico que puede responderla, ordenando en su caso al Congreso de la República de Guatemala, Departamento de Información Legislativa CONGRESO DE lAREPUBLICA responsable de los datos 0 quien 10 tuviera p~r mandato 0 encargo de dicho responsable, que entregue los datos a la autoridad judicial competente. Articulo 15. Utilizaci6n y retenci6n de Datos Personales. Los responsables del tratamiento de datos solo pod ran transferir informaci6n sobre estos cuando cuenten con el consentimiento previo, informado e inequivoco del titular, salvo las excepciones establecidas en esta Ley 0 en las leyes especiales. El consentimiento otorgado por el titular de los datos debera ser trasladado p~r la persona que 10 obtuvo al encargado 0 responsable del tratamiento de datos. Salvo disposici6n legal expresa 0 consentimiento expreso en contra rio, los responsables y encargados del tratamiento podran conservar los datos personales por un periodo minima de cinco (5) anos, contado a partir de la fecha de su recolecci6n 0 de la ultima actualizaci6n efectuada p~r el titular. Articulo 16. Aviso de Privacidad. Previo al tratamiento y recolecci6n de datos se debe informar al titular sobre los terminos bajo los cuales seran tratados sus datos personales mediante un aviso de privacidad. El contenido del aviso de privacidad debera incluir, como minimo, la siguiente informaci6n: a) El domicilio del responsable. b) Los datos personales que seran sometidos a tratamiento, identificando aquellos que sean sensibles. c) El fundamento legal que faculta al responsable para realizar el tratamiento. d) Las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aquellas que requieren el consentimiento del titular. e) Los mecanismos, medios y procedimientos disponibles para ejercer los derechos que esta ley reconoce y los mecanismos para revocar el consentimiento. f) Indicaci6n del nombre del delegado y lugar 0 medios para presentar la solicitud de derechos que reconoce esta ley. g) Los medios a traves de los cuales el responsable comunicara a los titulares los cambios al aviso de privacidad. h) Los datos de contacto de la entidad subcontratada encargada del tratamiento de datos personales, en caso de existir. i) El uso de cookies, en caso de que aplique. El aviso de privacidad podra ser difundido por medios fisicos 0 electr6nicos al titular de los datos personales, debiendo ser redactado y estructurado de manera clara y sencilla. En ningun caso, el responsable podra eximirse de la obligaci6n de Congreso de la República de Guatemala, Departamento de Información Legislativa CONCRESO DE LA REPUBLICA comunicarlo p~r escrito al titular al momento de que este otorgue su consentimiento informado para que sus datos puedan ser tratados. Articulo 17. Notificaci6n de Vulneraciones a la Seguridad de los Datos Personales. Cuando el responsable tenga conocimiento de una vulneracion de seguridad de datos personales ocurrida en cualquier fase del tratamiento, incluyendo dan~, perdida, alteracion, destruccion, acceso ilegftimo 0 cualquier uso ilicito 0 no autorizado, aun cuando ocurra de manera accidental, debera notificar el hecho a la Superintendencia de Transformacion Digital y al titular 0 titulares de los datos que hayan side afectados. Esta notificacion debera realizarse en un plazo maximo de setenta y dos (72) horas desde que se tuvo conocimiento de la vulneracion. La notificacion debera incluir, al menos, la siguiente informacion: j) La naturaleza del incidente. k) Los datos personales comprometidos. I) Las acciones correctivas realizadas de forma inmediata. m) Las recomendaciones al titular sobre medidas para proteger sus intereses. n) Los medios disponibles para que el titular obtenga mas informacion. El responsable debera documentar toda vulneracion ocurrida, incluyendo fecha, motiv~, hechos relacionados, efectos e implicaciones, asf como las medidas correctivas adoptadas para evitar nuevas vulneraciones. Articulo 18. Formas del Consentimiento. El consentimiento para el tratamiento de datos personales debera ser expreso y podra manifestarse de forma verbal, esc rita 0 a traves de signos inequfvocos, siempre que quede constancia en medios ffsicos, electr6nicos 0 tecnol6gicos. Tratandose de datos personales sensibles, el consentimiento debera ser otorgado p~r escrito. El responsable del tratamiento de datos es quien debe obtener el consentimiento del titular de los datos y trasladarlo al encargado del tratamiento de datos, cuando corresponda. Artfculo 19. Requisitos del Consentimiento. El consentimiento del titular 0 su representante para el tratamiento de datos personales, especialmente datos sensibles, debera ser: a) Libre: Sin error, dolo, mala fe, violencia u otra afectaci6n a la voluntad. b) Especffico: Para una 0 varias finalidades determinadas. c) Informado: Con conocimiento previo del usc de los datos y sus consecuencias. d) Expreso: Inequfvoco y demostrable, ya sea en medios ffsicos 0 electr6nicos. Congreso de la República de Guatemala, Departamento de Información Legislativa CONCRESO DE LA REPUBLICA e) Individualizado: Debe existir un consentimiento por cada titular de datos personales. ArticuLo 20. Excepciones aL Consentimiento. No sera necesario el consentimiento para el tratamiento de datos personales en los siguientes casos: a. Cuando los datos esten en fuentes de acceso publico y no sean sensibles. b. Para la prestacion de servicios sanitarios 0 gestion medica en situaciones de emergencia, bajo secrete profesional. c. Cuando sean de caracter economico, financiero, bancario, crediticio 0 comercial. d. En situaciones de emergencia que puedan danar a un individuo 0 proteger intereses vitales. e. Cuando los datos sean disociados. f. En casos de personas reportadas como desaparecidas, conforme a la legislacion aplicable. g. Cuando deriven de una relacion contractual, cientifica 0 profesional. h. Cuando sean datos personales que el titular haya hecho manifiestamente publicos. i. Para fines de investigacion cientifica, hist6rica 0 estadistica, siempre que no obstaculicen grave mente estos fines y los datos sean seudonimizados. Articulo 21. Revocaci6n del Consentimiento. El titular podra revocar su consentimiento en cualquier momento de forma expresa, sin efectos retroactivos, mediante mecanismos gratuitos, expeditos y sencillos dispuestos p~r el responsable. Esta revocaci6n no afectara el tratamiento basado en otras causales previstas en esta ley que justifiquen su licitud. Articulo 22. Tramite de La Revocaci6n. Una vez recibida la solicitud de revocacion, el delegado contara con un plazo de cinco (5) dias habiles para resolver. En caso de que un encargado del tratamiento tambien gestione los datos, el delegado debera comunicarle la resoluci6n en el mismo plazo para su ejecuci6n inmediata. Articulo 23. Negativa a la Revocaci6n. En caso de negativa del responsable a tramitar la revocacion, el titular podra presentar una denuncia ante la Entidad Rectora sin perjuicio de otras acciones legales aplicables. TiTULO IV: TRANSFERENCIA DE DATOS PERSONAlES Articulo 24. Transferencias de Datos Licitas. Se entendera que toda transferencia de datos personales es licita si se cumple al menos una de las condiciones siguientes: Congreso de la República de Guatemala, Departamento de Información Legislativa CONCRESO DE LA REPUBLICA 1. Que cuente con el consentimiento del titular de los datos. 2. Que el pafs u organismo internacional 0 supranacional receptor proporcione un nivel de protecci6n equivalente 0 superior al establecido en esta ley. 3. Que este prevista en una ley 0 tratado en los que Guatemala sea parte. 4. Que sea necesaria para la prevenci6n 0 diagn6stico medico, la prestaci6n de asistencia sanitaria, tratamiento medico 0 la gesti6n de servicios sanitarios. 5. Que sea efectuada a cualquier sociedad del mismo grupo econ6mico del responsable del tratamiento, siempre que los datos personales no sean utilizados para finalidades distintas a aquellas que originaron su recolecci6n. 6. Que sea necesaria en virtud de un contrato celebrado 0 por celebrar en interes inequfvoco del titular de los datos, p~r el responsable del tratamiento y un tercero. 7. Que sea necesaria 0 legalmente exigida para la salvaguarda de un interes publico 0 para la representaci6n legal del titular de los datos personales 0 la administraci6n de justicia. 8. Que sea necesaria para el reconocimiento, ejercicio 0 defensa de un derecho en un proceso judicial, 0 en caso de colaboraci6n judicial internacional. 9. Que sea requerida para el mantenimiento 0 cumplimiento de una relaci6n jurfdica entre el responsable del tratamiento y el titular de los datos. 10. Que sea requerida para concretar transferencias bancarias 0 bursatiles, en 10 relativo a las transacciones respectivas y conforme a La legislaci6n que les resulte aplicable. 11. Que tenga por objeto la cooperaci6n internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo, ellavado de activos, los delitos informaticos, la pornograffa infantil y el narcotrafico. 12. Que el responsable del tratamiento que transfiere los datos y el destinatario adopten mecanismos de autorregulaci6n vinculante, siempre que estos sean acordes a las disposiciones previstas en esta ley. 13. Que se realice en el marco de clausulas contractuales que contengan mecanismos de protecci6n de los datos personales acordes con las disposiciones previstas en esta ley, siempre que el titular sea parte. El responsable de los datos que transfiere los mismos y el receptor de los datos personales seran solidariamente responsables p~r la licitud del tratamiento de los datos transferidos. Congreso de la República de Guatemala, Departamento de Información Legislativa CONCRESO DE LA REPUBLICA TITULO V: ENTIDAD RECTORA Capitulo I: Designaci6n Articulo 25. Designaci6n. Para efectos de La presente ley, se designa a La Superintendencia de Transformaci6n Digital, que se podra abreviar STD, creada mediante La Ley Marco para La Transformaci6n Digital, como La autoridad nacional en materia de protecci6n de datos personaLes. La STD ejercera La funci6n de ente rector, supervisor y sancionador en materia de protecci6n de datos. La STD ejercera sus atribuciones a traves de La Intendencia especializada en Protecci6n de Datos Personales, La cuaL se estructurara mediante su regLamento interno, garantizando que cuente con personal tecnico especiaLizado, presupuesto propio y capacidad operativa suficiente para eL cumplimiento de sus funciones. La STD podra coordinar con otras instituciones estatales, internacionales y de La sociedad civiL, La implementaci6n de estrategias, regLamentos y mecanismos que garanticen eL efectivo resguardo de Los datos personaLes. Capitulo II: Atribuciones sobre la protecci6n de datos Articulo 26. Atribuciones. La Superintendencia de Transformaci6n DigitaL tendra las siguientes atribuciones en materia de protecci6n de datos personaLes: 1) Controlar, inspeccionar y supervisar a las instituciones obligadas en eL marco de aplicaci6n de La presente Ley. 2) Ejercer La potestad sancionadora en materia de protecci6n de datos personaLes, conforme a La presente Ley. 3) Garantizar La efectiva protecci6n de Los datos personaLes de acuerdo con las facultades que le otorga esta Ley. 4) Promover programas de divuLgaci6n de esta ley dirigidos a los sujetos obligados aL cumplimiento de La misma y a La poblaci6n en general, con enfasis en sensibilizar sobre los riesgos, normas, garantlas y derechos en el tratamiento de datos personales, priorizando La ninez, adolescencia y adultos mayores. 5) Resolver controversias entre titulares, responsabLes y encargados deL tratamiento en relaci6n con La clasificaci6n y descLasificaci6n de datos personaLes sensibles. 6) Proporcionar apoyo tecnico a Los responsables deL tratamiento en La eLaboraci6n y ejecuci6n de programas de protecci6n de datos personaLes. 7) Cooperar y compartir informaci6n con otras autoridades de controL en eL ejercicio de sus funciones, garantizando que no se comprometan datos Congreso de la República de Guatemala, Departamento de Información Legislativa CONGRESO DE LA REPUBLICA personales 0 sensibles, y prestando asistencia mutua para asegurar coherencia en la aplicacion de esta ley. 8) Dictar pollticas de actuacion sobre el manejo, mantenimiento, y proteccion de los datos personales, considerando las buenas practicas internacionales aplicables. 9) Crear mecanismos de certificacion y desarrollar sellos 0 marcas relacionados con la proteccion de datos personales, asf como autorizar a terceros para emitir certificaciones en la materia. 10) Revisar periodicamente las certificaciones expedidas y, de ser procedente, realizar auditorfas anuales sobre estas. 11) Impartir capacitaciones a instituciones publicas y privadas, asf como a sus miembros, en proteccion de datos personales y su gestion. 12) Emitirgufas de implementacion de esta ley, que deberan publicarse en la pagina web, redes sociales y otros medios pertinentes. 13) Asesorar y cooperar con los entes obligados para asegurar el cumplimiento de esta ley. 14) Recomendar clausulas contractuales que garanticen la proteccion de datos personales segun esta ley. 15) Elaborar modelos de formularios para solicitudes de los derechos de los titulares de los datos y revocacion de consentimiento. 16) Realizar 0 apoyar investigaciones cientfficas 0 academicas sobre la aplicacion de esta ley. 17) Asistir y asesorar a los ciudadanos sobre los alcances de esta ley y los mecanismos legales para la defensa de los derechos que garantiza. 18) Solicitar a entidades publicas y privadas informacion sobre antecedentes, documentos, programas u otros elementos relativos al tratamiento de datos personales, garantizando la seguridad y confidencialidad de la informacion suministrada. 19) Realizar todas aquellas otras acciones que le confiera esta ley, sus reglamentos u otras disposiciones legales aplicables. TfTULO VI: REGIMEN SANCIONATORIO Capftulo I: Infracciones Artfculo 27. Clasificaci6n de las Infracciones. Las infracciones a la presente ley se clasifican en leves, graves y gravfsimas, conforme a los siguientes criterios: a) Infracciones Leves: i. No remitir informacion requerida por la Superintendencia de Transformacion Digital dentro de los plazos establecidos. ii. No contar con medidas basicas de seguridad para la recoleccion, almacenamiento 0 transmision de datos. Congreso de la República de Guatemala, Departamento de Información Legislativa CONGRESO "----1 DE LA REPUBLICA b) Infracciones Graves: L Tratar datos personales sin contar con el consentimiento valida cuando sea exigible" iL Incumplir los principios y garantfas dispuestos en esta ley" iiL Obstaculizar 0 restringir injustificadamente el ejercicio de los derechos ARCO- POL iv" Almacenar datos sin condiciones de seguridad adecuadas" v" No notificar vulneraciones de seguridad conforme a 10 establecido" vi. Incumplir requerimientos formales 0 inspecciones de la autoridad competente. c) Infracciones Gravisimas: L Tratar datos sensibles sin consentimiento valido 0 de forma dolosa. iL Transferir datos personales internacionalmente en violaci6n de esta ley. iiL Reincidir en infracciones graves en un plazo inferior a dos alios. iv. Destruir, alterar 0 falsear informaci6n para evadir responsabilidades. Capitulo II: Sanciones Articulo 28. Sanciones. En caso de cometerse alguna infracci6n a la Ley, se impondran las siguientes sanciones: a) Para infracciones leves: Multa de hasta cien (100) salarios mfnimos para actividades no agrfcolas. b) Para infracciones graves: Multa de hasta quinientos (500) salarios mfnimos para actividades no agrfcolas. c) Para infracciones gravfsimas: Multa de hasta mil (1,000) salarios mfnimos para actividades no agrfcolas. Articulo 29. Procedimiento. La entidad rectora estara facultada para investigar y sancionar a las personas naturales 0 jurfdicas responsables del tratamiento de datos personales, asf como a los encargados de bases de datos, cuando se determine que han infringido los derechos del titular. a) Inicio del Procedimiento: El procedimiento podra iniciarse de oficio 0 a solicitud de parte interesada. b) Audiencia y Prueba: Se concedera un plazo de cinco (5) dfas habiles para la audiencia del presunto infractor. Si se solicita la apertura a prueba, esta se otorgara por un plazo perentorio de diez (10) dfas habiles. c) Resoluci6n y Notificaci6n: La resoluci6n debera ser emitida dentro de los cinco (5) dfas siguientes al vencimiento del periodo de prueba y notificada en un plazo no mayor a diez (10) dfas habiles. d) Impugnaci6n: Las decisiones seran impugnables mediante recurso de revocatoria, conforme a la Ley de 10 Contencioso Administrativo. Congreso de la República de Guatemala, Departamento de Información Legislativa NCRESO =-==-::::-:' J/' :-=-:c-:c--- DE LA REPUBLICA e) Convenios de Pago: la Superintendencia de Transformaci6n Digital podra suscribir convenios de pago de hasta doce (12) meses, previa solicitud del sancionado y justificaci6n de las causas que impidan el pago inmediato. f) Cobro Coactivo: las multas impuestas seran cobradas por la via econ6mico- coactiva, sirviendo como titulo ejecutivo la certificaci6n de la resoluci6n que las imponga. los recursos obtenidos de las multas se consideraran fondos privativos de la Superintendencia de Transformaci6n Digital. TITULO VII: DISPOSICIONES TRANSITORIAS Y FINALES Articulo 30. Implementacion. las personas individuales y juridicas, publicas 0 privadas, responsables 0 encargadas del tratamiento de datos personales deberan adecuar sus procesos, sistemas, politicas y procedimientos a 10 dispuesto en esta ley dentro del plazo de veinticuatro meses contados a partir de su entrada en vigor. Articulo 31. Reglamentacion. la Superintendencia de Transformaci6n Digital debera emitir los reglamentos necesarios para la implementaci6n de esta ley dentro de los seis (6) meses siguientes a su entrada en vigor. Ademas debera emitir guias tecnicas para facilitar la implementaci6n progresiva de las obligaciones en materia de protecci6n de datos que establece esta ley. Articulo 32. Vigencia. la presente ley entrara en vigor treinta (30) dias despues de su publicaci6n en el Diario Oficial.