En la era de la digitalización acelerada, los datos personales se han convertido en uno de los activos más valiosos —y al mismo tiempo más vulnerables— de la sociedad contemporánea. Cada interacción bancaria, médica, académica, judicial o comercial deja un rastro de información que identifica, perfila y expone a las personas. La transformación tecnológica avanza con rapidez; la protección efectiva de esos datos, no tanto. Y es allí donde surge una pregunta inevitable: ¿Quién protege realmente nuestros datos en la República Dominicana?
El Estado dominicano se fundamenta en el respeto a la dignidad humana y tiene como función esencial la protección efectiva de los derechos de la persona. En ese marco, la protección de datos personales no constituye una concesión administrativa ni una política opcional, sino una manifestación directa de derechos fundamentales como la intimidad y el honor personal. Su base constitucional se encuentra en el artículo 44 de la Constitución, que consagra el derecho a la intimidad, así como en la Ley núm. 172-13 sobre Protección de Datos de Carácter Personal, promulgada el 13 de diciembre de 2013.
Sin embargo, más allá del texto legal, ha sido el Tribunal Constitucional de la República Dominicana quien ha perfilado con mayor claridad el contenido y alcance del derecho a la autodeterminación informativa.
Antes incluso de la entrada en vigor de la Ley 172-13, el Tribunal, mediante la Sentencia TC/0024/13, del 6 de marzo de 2013, estableció que la acción de habeas data constituye una garantía constitucional a disposición de toda persona, permitiéndole acceder a cualquier banco de información o registro que contenga datos sobre sí misma, sin necesidad de justificar interés alguno, así como solicitar la corrección de informaciones inexactas que puedan causarle perjuicio.
De igual manera, en la Sentencia TC/0200/13, del 7 de noviembre de 2013, el Tribunal declaró inconstitucional la Resolución 086-11 del Instituto Dominicano de las Telecomunicaciones por vulnerar el derecho al secreto y la privacidad de las comunicaciones, consagrado en el artículo 44.3 de la Constitución. En esa decisión recordó que la intervención de comunicaciones solo puede realizarse cuando exista una ley que lo autorice y dentro de un marco constitucional que exija, cuando corresponda, autorización judicial previa. Un reglamento administrativo no puede sustituir esa garantía.
Posteriormente, la Sentencia TC/0484/16 marcó un precedente relevante al emitir una decisión interpretativa que ajustó la aplicación de la Ley 172-13 a parámetros estrictamente constitucionales. El Tribunal afirmó que el trámite administrativo previo no es un requisito obligatorio para ejercer el derecho de acceso o rectificación de datos personales y reconoció que los ciudadanos pueden acceder y corregir sus datos incluso en registros de organismos de seguridad del Estado, salvo en supuestos excepcionales vinculados a investigaciones en curso.
Más recientemente, en las Sentencias TC/0296/24 y TC/0700/25, el Tribunal reafirmó que toda actuación vinculada a la recopilación, almacenamiento, tratamiento o divulgación de datos personales —ya sea por órganos reguladores, prestadores de servicios u organismos de investigación— debe ajustarse estrictamente al derecho fundamental a la autodeterminación informativa. En esencia, precisó que ninguna autoridad puede gestionar datos al margen de los principios de licitud, finalidad, proporcionalidad, seguridad y confidencialidad; que las bases de datos no pueden considerarse públicas de forma automática; y que su uso indebido puede generar responsabilidades civiles, penales y administrativas.
Este desarrollo jurisprudencial ha sido decisivo para consolidar una lectura garantista del derecho a la protección de datos. No obstante, la jurisprudencia, por robusta que sea, no puede sustituir un marco normativo actualizado y una arquitectura institucional eficaz.
Aunque la Ley 172-13 representó un avance significativo en su momento, su diseño responde a una realidad tecnológica distinta. El crecimiento exponencial de la digitalización, la interoperabilidad de bases de datos públicas y privadas y el uso intensivo de plataformas digitales han superado ampliamente el alcance práctico del esquema regulatorio actual.
Uno de los principales desafíos radica en la ausencia de una autoridad verdaderamente independiente y especializada. En los sistemas modernos de protección de datos, la existencia de una autoridad administrativa autónoma, con capacidad técnica y potestad sancionadora efectiva, se ha convertido en un estándar internacional, especialmente a partir del Reglamento General de Protección de Datos de la Unión Europea. Países como España, Francia, Alemania y el Reino Unido han estructurado sus sistemas en torno a autoridades especializadas con amplias facultades de supervisión. En América Latina, Brasil, México y Colombia han adoptado modelos similares, fortaleciendo sus marcos institucionales frente a los desafíos digitales.
La experiencia comparada demuestra que la eficacia real del derecho a la protección de datos no depende únicamente de su reconocimiento formal, sino de la existencia de un órgano garante con independencia institucional y capacidad coercitiva suficiente para equilibrar la relación entre ciudadanos, Estado y grandes actores económicos.
En contraste, la arquitectura institucional prevista por la Ley 172-13 —que atribuye funciones de control a la Superintendencia de Bancos— no ha permitido consolidar una autoridad especializada con autonomía técnica, operativa y presupuestaria real en esta materia. Ello limita la supervisión sistemática, reduce la fiscalización efectiva y debilita la tutela de los titulares de datos frente a entidades públicas y privadas.
A esto se suma un régimen sancionador limitado. La efectividad de cualquier normativa depende de su capacidad disuasoria, pero el sistema vigente no está plenamente actualizado frente a fenómenos como las transferencias internacionales de datos, los tratamientos masivos automatizados, la elaboración de perfiles o el uso de tecnologías algorítmicas en la toma de decisiones. Las sanciones previstas no siempre resultan proporcionales al impacto que una filtración o uso indebido puede generar en la vida privada y reputacional de una persona.
Asimismo, la legislación carece de desarrollos específicos en materias clave como evaluaciones de impacto en protección de datos, responsabilidad proactiva, notificación obligatoria de brechas de seguridad y protección reforzada de datos sensibles en entornos digitales. En un contexto donde el sector público maneja grandes volúmenes de información —salud, registros financieros, datos biométricos y antecedentes judiciales— esta ausencia normativa incrementa significativamente el riesgo de vulneraciones.
Más allá del texto legal, persiste además una cultura institucional débil en materia de cumplimiento. La protección de datos aún no ha sido plenamente asumida como política pública transversal. Muchas instituciones operan bajo una lógica formalista, sin protocolos sólidos de gestión de riesgos ni estándares avanzados de seguridad de la información.
Estos vacíos no solo afectan la privacidad individual. También generan inseguridad jurídica para las empresas que operan en entornos digitales, aumentan el riesgo reputacional del Estado y pueden convertirse en un obstáculo para la inversión tecnológica. En un entorno global interconectado, la protección de datos es también un indicador de competitividad institucional.
Frente a este escenario, la actualización del régimen dominicano no puede limitarse a una reforma simbólica. Se requiere una transformación estructural que fortalezca la independencia de la autoridad de control, modernice el régimen sancionador, incorpore principios de responsabilidad activa y regule expresamente el tratamiento automatizado y la toma de decisiones basadas en datos. Del mismo modo, resulta imprescindible consolidar una verdadera cultura de cumplimiento en el sector público.
La protección de datos personales no es un lujo normativo ni una exigencia externa. Es una condición esencial para la democracia digital y para la construcción de confianza entre ciudadanía e instituciones. Mientras los vacíos regulatorios persistan, el reconocimiento constitucional seguirá siendo sólido en el papel, pero frágil en la práctica.
Compartir esta nota
Sigue leyendo
{{#volanta}}{{volanta}}{{/volanta}}