Datos personales · Ley 172-13

Protección de Datos Personales (LOPDP)

Ley 172-13 sobre Protección de Datos Personales: ámbito, derechos ARCO, transferencias internacionales, notificación de brechas, y la discusión hacia un nuevo marco alineado con GDPR/LGPD.

Resumen ejecutivo

La Ley No. 172-13 sobre Protección Integral de los Datos Personales es el marco vigente en la República Dominicana. Establecida en 2013, antes de la consolidación global del GDPR y de la LGPD brasileña, la ley reconoce derechos del titular del dato (acceso, rectificación, cancelación, oposición —ARCO—), regula el tratamiento de bases de datos y establece sanciones por incumplimiento. Su enfoque y arquitectura, sin embargo, presentan diferencias importantes con los estándares modernos europeos y latinoamericanos.

El marco práctico tiene tres rasgos importantes: (a) un fuerte enfoque en el buró de información crediticia, herencia de la ley anterior; (b) ausencia, en la práctica vigente, de una autoridad de protección de datos plenamente operativa y autónoma al estilo europeo o brasileño; y (c) obligaciones generales sobre consentimiento, finalidad, seguridad y derechos del titular, con menor desarrollo de instrumentos modernos como evaluación de impacto, DPO obligatorio o régimen detallado de transferencias internacionales.

Para empresas que operan en RD y que también deben cumplir GDPR o LGPD por su exposición internacional, el estándar de cumplimiento práctico es el más exigente. Esta referencia organiza el marco vigente y los puntos de convergencia con los estándares modernos.

Datos clave

172-13

Ley de Protección de Datos Personales

Congreso Nacional, RD

ARCO

Derechos del titular reconocidos

Ley 172-13

2013

Año de promulgación de la ley vigente

Marco temporal

GDPR / LGPD

Estándares de referencia para nuevo marco

Comparado regional

Autoridades regulatorias

Superintendencia de Bancos (SB)

Históricamente, ha tenido competencias relevantes sobre los burós de información crediticia, materia tratada en la Ley 172-13.

INDOTEL

Aspectos de privacidad de comunicaciones electrónicas y datos en redes de telecomunicaciones.

Pro Consumidor

Protección general del consumidor; concurre en materias de transparencia y derechos generales.

Ministerio Público / Autoridades judiciales

Aplicación penal en casos de delitos informáticos (Ley 53-07) y acciones penales por uso indebido de datos.

Tribunales del orden judicial

Conocen de las acciones civiles de protección y de los recursos de amparo (acción de habeas data).

Marco legal aplicable

Ley No. 172-13

Ley sobre Protección Integral de los Datos Personales. Marco vigente.

2013

Ley No. 53-07

Crímenes y Delitos de Alta Tecnología. Marco penal aplicable a accesos no autorizados, robo de identidad y otros.

2007

Constitución, Art. 44

Reconoce el derecho a la intimidad y al honor personal, e introduce el habeas data como acción constitucional.

2010

Ley General de Telecomunicaciones 153-98

Inviolabilidad de las comunicaciones; régimen sectorial complementario.

1998

Ley No. 200-04

Libre acceso a la información pública. Marca el contrapunto entre transparencia y privacidad.

2004

Análisis profundo

1. Ámbito de aplicación

La Ley 172-13 aplica al tratamiento de datos personales registrados en bases de datos del sector público y privado, con excepciones para tratamientos exclusivamente personales o domésticos y para ciertas actividades del Estado bajo régimen específico. La definición de datos personales es amplia y se extiende a cualquier información sobre persona natural identificada o identificable.

2. Principios rectores

Los principios reconocidos son consistentes con el estándar regional:

Legalidad y consentimiento: el tratamiento requiere consentimiento informado del titular, salvo excepciones legales específicas.
Finalidad: los datos deben recolectarse para fines explícitos y legítimos; no pueden tratarse para finalidades incompatibles con las declaradas.
Proporcionalidad y calidad: los datos deben ser exactos, completos y limitados a lo necesario.
Confidencialidad y seguridad: obligación de adoptar medidas técnicas y organizativas razonables para proteger los datos.
Lealtad: el tratamiento debe ser justo y no fraudulento.

3. Derechos ARCO del titular

El titular tiene los derechos de:

Acceso: conocer qué datos suyos están siendo tratados y por quién.
Rectificación: exigir la corrección de datos inexactos o incompletos.
Cancelación: exigir la supresión de datos cuyo tratamiento ya no esté justificado.
Oposición: oponerse al tratamiento por motivos legítimos relacionados con su situación particular.

Estos derechos se ejercen ante el responsable del tratamiento y, en caso de denegación o silencio, ante la autoridad o los tribunales mediante la acción de habeas data prevista en la Constitución.

4. Categorías especiales de datos

La ley reconoce el carácter sensible de ciertas categorías —datos de salud, étnicos, religiosos, ideológicos, biométricos en su uso identificatorio— y sujeta su tratamiento a requisitos más estrictos. En la práctica, el tratamiento de datos de salud y financieros es el que más atención requiere por la concentración sectorial de litigios y reclamaciones.

5. Buró de información crediticia

La Ley 172-13 absorbe y desarrolla el régimen previo sobre burós de información crediticia, definiendo:

El derecho del titular a conocer su información crediticia y a exigir la rectificación de inexactitudes.
Los plazos máximos de permanencia de información negativa.
Las obligaciones de los burós y de los aportantes de información.
La supervisión y los mecanismos de reclamación.

6. Transferencias internacionales

El régimen vigente trata las transferencias internacionales de manera limitada. La práctica empresarial habitual contempla, especialmente para flujos con la UE: Cláusulas Contractuales Tipo (SCC) o el instrumento sucesor; análisis de adecuación del país receptor; medidas suplementarias cuando sean necesarias (cifrado, pseudonimización); registro contractual claro de las garantías. Para flujos con Brasil bajo LGPD, mecanismos equivalentes. La adopción interna de un marco moderno de transferencias internacionales es uno de los temas pendientes.

7. Seguridad y notificación de brechas

La obligación general de adoptar medidas de seguridad existe, pero el detalle operativo —incluyendo plazos y formato de notificación de brechas a la autoridad y a titulares afectados— está poco desarrollado. La buena práctica recomienda incorporar voluntariamente un protocolo de respuesta a incidentes alineado con GDPR/LGPD: tiempos de notificación (72 horas a la autoridad, salvo riesgo bajo; comunicación a titulares cuando haya alto riesgo), contenido mínimo, registro interno y lecciones aprendidas.

8. Encargados del tratamiento y contratos

La figura del encargado del tratamiento (procesador, en términos GDPR/LGPD) que actúa por cuenta del responsable requiere un contrato escrito que defina finalidades, instrucciones, plazos de conservación, medidas de seguridad y obligaciones de devolución o destrucción al término. Estos contratos son uno de los puntos más comunes de incumplimiento práctico.

9. Articulación con otros marcos

La protección de datos en RD se articula con: la Ley 53-07 (delitos informáticos), la Ley 200-04 (acceso a información pública, que delimita la frontera transparencia/privacidad), la Ley 153-98 (inviolabilidad de comunicaciones electrónicas), y la regulación sectorial específica de finanzas, salud y telecomunicaciones. Un proyecto digital significativo requiere típicamente articular todos estos planos.

10. Hacia un nuevo marco

Existen propuestas y discusiones para un nuevo marco alineado con GDPR/LGPD. Cualquier reforma seria probablemente abordará: autoridad de control independiente y plenamente operativa, ampliación del catálogo de bases jurídicas, principio de responsabilidad activa (accountability), DPO obligatorio en casos definidos, evaluación de impacto, régimen detallado de transferencias internacionales, notificación obligatoria de brechas y régimen sancionatorio efectivo. Las empresas que se preparen hoy con estándares GDPR/LGPD estarán mejor posicionadas para la transición.

Debates actuales

Reforma integral hacia un nuevo marco

Hay un consenso amplio en la comunidad jurídica y empresarial sobre la necesidad de un nuevo marco de protección de datos alineado con GDPR/LGPD: autoridad autónoma, principios modernos, DPO en casos definidos, evaluación de impacto, base jurídica explícita más allá del consentimiento, régimen claro de transferencias internacionales y de notificación de brechas.

Autoridad de control independiente

La ausencia, en la práctica, de una autoridad de protección de datos plenamente operativa y autónoma es uno de los puntos más señalados. Cualquier reforma seria deberá resolverlo.

Transferencias internacionales

El marco vigente trata el tema de manera limitada. Para empresas con flujos transfronterizos (subsidiarias en EE.UU., UE, Brasil), la articulación con el régimen europeo (Cláusulas Contractuales Tipo, decisiones de adecuación) y el brasileño es práctica habitual.

Notificación de brechas de seguridad

La obligación de notificar brechas a la autoridad y a los titulares afectados, central en GDPR/LGPD, no está detallada en la ley vigente. La buena práctica empresarial la incorpora voluntariamente.

Tratamiento por sector público

El tratamiento de datos por entidades del Estado, especialmente en programas digitales (cédula digital, identificación, salud), genera discusión sobre garantías y supervisión independiente.

Glosario

LOPDP: Ley Orgánica de Protección de Datos Personales. En RD, se usa coloquialmente para referirse a la Ley 172-13, aunque su denominación formal no incluye "orgánica".
Datos personales: Cualquier información sobre persona natural identificada o identificable.
Datos sensibles: Categoría especial de datos cuyo tratamiento puede generar discriminación: salud, origen étnico, opinión política, creencias religiosas, biométricos identificatorios.
Responsable del tratamiento: Persona que decide sobre las finalidades y medios del tratamiento de datos personales.
Encargado / procesador: Persona que trata datos por cuenta del responsable.
ARCO: Acceso, Rectificación, Cancelación, Oposición. Catálogo clásico de derechos del titular.
Habeas data: Acción constitucional para acceder, rectificar o suprimir datos personales en bases de datos.
Brecha de seguridad: Incidente que compromete la confidencialidad, integridad o disponibilidad de datos personales.
DPO: Data Protection Officer. Persona designada para supervisar el cumplimiento de la protección de datos en una organización.
Cláusulas Contractuales Tipo (SCC): Modelo contractual aprobado por la Comisión Europea para transferencias internacionales de datos.

Herramientas Lawra relacionadas

Pasa del análisis a la acción. Estas herramientas de IA del Lawra Sectoral Toolkit producen borradores y diagnósticos aplicados al caso concreto que describas.

Cumplimiento LOPDP Data Flows

Fuentes y lecturas adicionales

Ley No. 172-13 sobre Protección Integral de los Datos Personales Ley · Congreso Nacional, RD
Constitución de la República Dominicana, Art. 44 Constitución · Asamblea Nacional Revisora
Ley No. 53-07 sobre Crímenes y Delitos de Alta Tecnología Ley · Congreso Nacional, RD
Reglamento General de Protección de Datos (GDPR) — texto consolidado Referencia comparada · Unión Europea
Lei Geral de Proteção de Dados (LGPD) Referencia comparada · Brasil

Aviso: Este es un material de referencia académico y divulgativo, no asesoría legal. La regulación dominicana evoluciona y la aplicación a casos concretos requiere análisis específico. Para casos específicos, consulte a un abogado admitido en la jurisdicción correspondiente.

Pregúntale a Lawra sobre este tema

Lawra tiene cargado el corpus de referencia de este panel — datos clave, marco legal, debates actuales y glosario. Pregunta lo que necesites y recibe respuestas ancladas en las fuentes.

Volver a Referencias CCIFD

Comentarios

Cargando comentarios...