Protección de Datos en RD: Ley 172-13, GDPR y Lo Que Tu Empresa Necesita Saber
La Ley 172-13 sobre protección de datos personales lleva más de una decada vigente. Sin embargo, la mayoria de las empresas dominicanas no cumplen con sus requisitos básicos. Las sanciones: multas de 10 a 150 salarios mínimos y prision correccional de 6 meses a 2 anios.
Que exige la Ley 172-13?
Se aplica a toda empresa que recopile, almacene o procese datos personales de empleados, clientes, proveedores o terceros.
Los 4 derechos ARCO del titular
- Acceso: Conocer que datos se tienen, su origen, uso y destinatarios
- Rectificacion: Corregir datos incorrectos o desactualizados
- Cancelacion: Solicitar eliminacion de datos en determinados casos
- Oposición: Objetar el tratamiento de sus datos personales
Existe la acción de Habeas Data como recurso judicial cuando estos derechos son denegados.
Obligaciones mínimas para empresas
- Consentimiento informado: Autorización libre, informada y específica del titular
- Políticas internas: Manual de procedimientos para tratamiento de datos
- Medidas de seguridad: Controles técnicos y organizativos (encriptacion, acceso controlado)
- Documentacion del ciclo: Registro completo: recoleccion, uso, almacenamiento, eliminacion
- Tramitacion de solicitudes: Responder solicitudes ARCO en plazos cortos
- Transferencia internacional: Consentimiento + contratos + nivel adecuado de protección en destino
Sanciones por incumplimiento
| Sancion | Detalle | Aplica a |
|---|---|---|
| Multa administrativa | 10 a 150 salarios minimos | Cualquier infracción |
| Prision correccional | 6 meses a 2 anios | Infracciones graves |
| Responsabilidad civil | Daños y perjuicios | Perjuicio al titular |
| Sanciones especiales | Uso indebido / filtracion de reportes de credito | Sector financiero |
Ley 172-13 vs GDPR: Comparación directa
| Dimensión | Ley 172-13 (RD) | GDPR (UE) |
|---|---|---|
| Autoridad de control | No hay autoridad independiente; DIGEIG tiene rol limitado | Autoridades nacionales independientes con poder sancionador |
| Multas maximas | 150 salarios (~RD$3.5M / ~USD $60K) | EUR 20M o 4% facturacion global |
| Ambito extraterritorial | Limitado al territorio dominicano | Aplica a cualquier empresa que procese datos de ciudadaños UE |
| Consentimiento | Libre, informado, específico | + inequivoco + facil revocacion |
| DPO requerido | No | Sí, en procesamiento a gran escala |
| Notificación de brechas | No regulada | 72 horas obligatorias |
| Derecho al olvido | Cancelacion general | Derecho explicito con criterios definidos |
Empresas dominicanas que procesan datos de ciudadaños europeos (turismo, e-commerce, servicios profesionales) deben cumplir con AMBAS normativas.
Checklist de compliance: 10 pasos
Tu empresa cumple con la Ley 172-13?
- Tienes inventario de todos los datos personales que procesas?
- Obtienes consentimiento informado antes de recopilar datos?
- Tienes manual interno de políticas de protección de datos?
- Tus empleados saben manejar solicitudes ARCO?
- Tienes medidas de seguridad técnicas (encriptacion, control de acceso)?
- Documentas el ciclo completo de tratamiento?
- Tienes contratos de transferencia para datos al exterior?
- Tus formularios web tienen avisos de privacidad conformes?
- Tu política de privacidad está actualizada y accesible?
- Haces auditorías periodicas de cumplimiento?
Si respondiste «no» a 3+ preguntas, tu empresa tiene exposición significativa.
Modernizacion necesaria
La Ley 172-13 necesita actualizacion frente a IA, procesamiento masivo y nuevas tecnologías:
- Autoridad independiente con capacidad sancionadora real
- Notificación obligatoria de brechas en plazos definidos
- Regulacion de IA y decisiones automatizadas
- Sanciones proporcionales al volumen de datos y facturacion
Tu empresa maneja datos personales y no está segura de cumplir?
Auditorías de data privacy: revisamos procesos, documentos y sistemas para cumplimiento Ley 172-13 y GDPR.
Handling personal data? We audit for Ley 172-13 and GDPR compliance.
AUDITORIA DATA PRIVACY