Obligaciones de los responsables de bases de datos personales


Inscripción de bases de datos personales

Los archivos y bases de datos públicos y privados destinados a dar informes deben estar inscriptos en el Registro Nacional de Bases de Datos Personales. Incumplir con esta obligación puede ocasionar sanciones.

Los archivos de uso exclusivo personal están exceptuados de la obligación de inscripción (por ejemplo: computadora personal con direcciones de amistades y agendas).

Registrá bases de datos personales privadas

Registrá bases de datos personales públicas

Información al titular del dato personal

Cuando se recaban datos personales se debe informar previamente a sus titulares en forma expresa y clara:

a) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios.

b) La existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable.

c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos referidos en el artículo siguiente.

d) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos.

e) La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos.

Esta información debe ser exhibida en un sitio visible de acuerdo a lo establecido en la Resolución AAIP 14/2018

Seguridad de la información

Las bases de datos personales deben garantizar la seguridad y confidencialidad de los datos personales, para ello deben adoptarse determinadas medidas técnicas y organizativas.

Medidas de seguridad recomendadas

Transferencia internacional de datos personales

La Ley 25326 prohíbe la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados.

Países con niveles de protección adecuada

Estados miembros de la Unión Europea y miembros del espacio económico europeo (EEE), Confederación Suiza, Guernsey, Jersey, Isla de Man, Islas Feroe, Canadá sólo respecto de su sector privado, Principado de Andorra, Nueva Zelanda, República Oriental del Uruguay y Estado de Israel sólo respecto de los datos que reciban un tratamiento automatizado.

¿Qué significa nivel de protección adecuado?

Se entiende que un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente, o de sistemas de autorregulación.

Excepciones

La prohibición de transferencia internacional, a países u organismos que no proporcionen niveles de protección adecuado, no rige en los siguientes casos:

  • Colaboración judicial internacional.
  • Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica.
  • Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable.
  • Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte.
  • Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.
  • Cuando el titular de los datos hubiera consentido expresamente la cesión.
  • Cuando existan cláusulas contractuales que brinden una protección similar a la de nuestra normativa.

Contratos modelo de transferencia internacional de datos personales

Procedimiento voluntario de solicitud de aprobación de cláusulas de contratos de transferencia internacional
  • Redactá una nota de solicitud de aprobación de clausulas.
  • Adjuntá fotocopia de las cláusulas.
  • Presentá todo en la Dirección Nacional de Protección de Datos Personales, Av. Julio A. Roca 710 2° piso - Ciudad Autónoma de Buenos Aires.

Para realizar una transferencia internacional no se requiere autorización previa de la Dirección Nacional de Protección de Datos Personales, basta con que el Exportador verifique que el país receptor posee legislación adecuada y, de no ser así, la existencia de autorregulación o contratos adecuados. En caso de duda sobre dicha adecuación, escribinos a registrobasesdedatos@aaip.gob.ar