Dirección Nacional de Protección de Datos Personales
REGISTRO NACIONAL DE BASES DE DATOS
Disposición 5/2006
Impleméntase a partir del 3 de abril de 2006 el citado Registro, a los fines de la inscripción de los archivos, registros, bancos o bases de datos públicos alcanzados por la Ley Nº 25.326.
Bs. As., 27/2/2006
VISTO el Expediente MJyDH Nº 152.775/06 y las competencias atribuidas a esta DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES por la Ley Nº 25.326 y su Decreto Reglamentario Nº 1558 del 29 de noviembre de 2001, y
CONSIDERANDO:
Que entre las funciones asignadas a la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES se encuentra la de mantener un registro permanente de los archivos, registros, bases o bancos de datos alcanzados por la Ley Nº 25.326.
Que mediante la Disposición DNPDP Nº 2 del 20 de Noviembre de 2003 se dispuso la habilitación del REGISTRO NACIONAL DE BASES DATOS y se aprobaron sus bases técnico jurídicas.
Que por Disposición Nº 2 del 14 de febrero de 2005 se implementó el referido registro, ordenándose, en una primera etapa, la inscripción de los archivos, registros, bases o bancos de datos privados.
Que a través de la Disposición DNPDP Nº 2 del 1º de febrero de 2006 se implementó el RELEVAMIENTO INTEGRAL DE BASES DE DATOS PERSONALES DEL ESTADO NACIONAL a partir del 3 de abril de 2006, así como también se previó la posibilidad de que la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES disponga la inscripción en el REGISTRO NACIONAL DE BASES DE DATOS de aquellas bases que considere se encuentren en condiciones de adecuación a la normativa vigente.
Que en consecuencia, además del ya convocado Relevamiento, corresponde implementar el referido Registro también a los fines de la inscripción de los archivos, registros, bancos o bases de datos públicos, del mismo modo que oportunamente se hiciera respecto de los archivos, registros, bancos o bases de datos privados.
Que asimismo, resulta oportuno aprobar un documento que se denomina 'Adecuación y Registro', cuyo objetivo es coadyuvar a quienes se encuentren a cargo de archivos, registros, bancos o bases de datos públicos en su proceso de conocimiento de las disposiciones de la Ley Nº 25.326 para su adecuación e inscripción en el REGISTRO NACIONAL DE BASES DE DATOS.
Que la DIRECCION GENERAL DE ASUNTOS JURIDICOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS ha tomado la intervención que le compete.
Que la presente medida se dicta en uso de las facultades conferidas por el artículo 29, inciso 1, apartado b) y c) de la Ley Nº 25.326 y el artículo 29, inciso 5, apartado d) del Anexo I del Decreto Nº 1558 del 29 de noviembre de 2001.
Por ello,
EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES
DISPONE:
Artículo 1º — Impleméntese a partir del 3 de abril de 2006 el REGISTRO NACIONAL DE BASES DE DATOS a los fines de la inscripción de los archivos, registros, bancos o bases de datos públicos alcanzados por la Ley Nº 25.326, en los términos del artículo 5º de la Disposición DNPDP Nº 2/06.
Art. 2º — Apruébese el documento 'Adecuación y Registro' que como Anexo I forma parte del presente, en carácter de instrumento orientativo para la adecuación de los archivos, registros, bancos y bases de datos públicas a las disposiciones de la Ley Nº 25.326 y la inscripción en el REGISTRO NACIONAL DE BASES DE DATOS.
Art. 3º — Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. — Juan A. Travieso.
ANEXO I
DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES
ADECUACION Y REGISTRO BASES DE DATOS DEL ESTADO NACIONAL REGISTRO NACIONAL DE BASES DE DATOS LEY Nº 25.326 Y DECRETO REGLAMENTARIO 1558/01
El 2 de noviembre del año 2000 fue publicada en el Boletín Oficial la Ley Nº 25.326 de Protección de Datos Personales, y el 29 de noviembre de 2001, el Poder Ejecutivo dictó el Decreto 1558/ 2001 que la reglamenta.
Como su nombre lo indica, la ley 25.326 tiene como objetivo proteger los datos personales asentados en Archivos, Registros, Bases y Bancos de Datos, cualquiera sea el mecanismo técnico de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, a fin de otorgar protección a los ciudadanos en sus derechos: honor, intimidad y controlar su información personal, de conformidad con lo establecido en el artículo 43, párrafo tercero, de la Constitución Nacional.
La ley de protección de datos personales reglamenta la actividad de las Bases de Datos que procesan información personal, sea por medios informáticos o manuales, sometiéndolas a la supervisión y control de la Dirección Nacional de Protección de Datos Personales (en adelante DNPDP) en el ámbito Nacional.
La Ley Nº 25.326 es de orden público y exige a todas las Bases de Datos la adecuación a sus disposiciones, sin perjuicio de la aplicación de la normativa específica de cada Ente y en la medida que resulte compatible con las disposiciones de la Ley Nº 25.326.
El presente instrumento se desarrolla a los fines de coadyuvar a las Bases de Datos Públicas en su proceso de conocimiento de las disposiciones de la Ley Nº 25.326, su adecuación a la misma y posterior inscripción en el Registro Nacional de Bases de Datos.
Esta adecuación a la Ley Nº 25.326 es un proceso fundamental en la actividad estatal, pues el tratamiento de datos personales realizado con transparencia y respeto a la vida privada es la base de legitimidad de la actividad informativa del Estado.
Resultan aplicables a las Bases de Datos Públicas del Estado que contengan información sobre las personas los siguientes principios, derechos y obligaciones de la Ley Nº 25.326:
1) OBJETO
La Ley Nº 25.326 tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional (art. 1 de la ley 25.326).
2) DEFINICIONES
A los fines de la ley 25.326 se entiende por:
— Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.
— Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
— Archivo, registro, base o banco de datos: Indistintamente, designan al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso.
— Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.
— Responsable de archivo, registro, base o banco de datos: Persona física o de existencia ideal pública o privada, que es titular de un archivo, registro, base o banco de datos.
— Datos informatizados: Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado.
— Titular de los datos: Toda persona física o persona de existencia ideal con domicilio legal o delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se refiere la presente ley.
— Usuario de datos: Toda persona, pública o privada que realice a su arbitrio el tratamiento de datos, ya sea en archivos, registros o bancos de datos propios o a través de conexión con los mismos.
— Disociación de datos: Todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable (art. 2 de la ley 25.326).
3) PRINCIPIOS DEL TRATAMIENTO DE DATOS
Para que el tratamiento de datos personales sea lícito, los datos personales incluidos en la base de datos deben cumplir con los siguientes requisitos (arts. 3 y 4 de la ley 25.326):
— Todos los archivos de datos personales deberán estar inscriptos en el Registro de la Dirección Nacional de Protección de Datos Personales.
— Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.
— La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la Ley Nº 25.326.
— Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención.
— Los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario.
— Los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y sustituidos, o en su caso completados, por el responsable del archivo o base de datos cuando tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate, sin perjuicio de los derechos del titular establecidos en el artículo 16 de la Ley Nº 25.326.
— Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular.
— Los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados.
4) NO AUTOMATICIDAD
El poder público tiene prohibida la toma de decisiones fundamentadas en la valoración de conductas humanas mediante mecanismos automatizados: Las decisiones judiciales o los actos administrativos que impliquen apreciación o valoración de conductas humanas, no podrán tener como único fundamento el resultado del tratamiento informatizado de datos personales que suministren una definición del perfil o personalidad del interesado. Los actos que resulten contrarios a la disposición precedente serán insanablemente nulos (art. 20 de la ley 25.326).
5) DATOS SENSIBLES
Los datos sensibles sólo pueden tratarse cuando medien razones de interés general autorizadas por ley (art. 7mo. de la ley 25.326).
Expresamente el art. 7 de la ley 25.326 dispone: 1. Ninguna persona puede ser obligada a proporcionar datos sensibles (aquellos que revelen origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual). 2. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley. También podrán ser tratados con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares. 3. Queda prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la Iglesia Católica, las asociaciones religiosas y las organizaciones políticas y sindicales podrán llevar un registro de sus miembros. 4. Los datos relativos a antecedentes penales o contravencionales sólo pueden ser objeto de tratamiento por parte de las autoridades públicas competentes en el marco de las leyes y reglamentaciones respectivas.
6) DATOS DE LA SALUD
Los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional (art. 8 de la ley 25.326).
Los datos vinculados a la salud sólo podrán ser tratados, a fin de realizar ofertas de bienes y servicios, cuando no causen discriminación, en elcontexto de una relación entre el consumidor o usuario y los proveedores de servicios o tratamientos médicos y entidades sin fines de lucro. Estos datos no podrán transferirse a terceros sin el consentimiento previo, expreso e informado del titular de los datos. A dicho fin, este último debe recibir una noticia clara del carácter sensible de los datos que proporciona y de que no está obligado a suministrarlos, junto con la información de los artículos 6º y 11, inciso 1, de la Ley Nº 25.326 y la mención de su derecho a solicitar el retiro de la base de datos (último párrafo de la reglam. Del art. 27, Decreto 1558/2001).
7) CONSENTIMIENTO
Por principio general el tratamiento de datos personales por parte de las entidades públicas no requerirá el consentimiento del titular de los datos (art. 5to. inc. 2 punto b. de la ley 25.326), en la medida en que el organismo actúe dentro de su respectiva competencia.
Se requerirá el consentimiento cuando el tratamiento de datos pretendido exceda las atribuciones específicas del órgano administrativo (art. 5, inc. 2, punto b, de la ley 25.326).
El consentimiento deberá ser libre, expreso e informado (en la forma descripta en el punto referido a 'información a proporcionar...' del presente documento), lo que se realizará por escrito o por otro medio que se le equipare.
El consentimiento otorgado para el tratamiento de los datos personales puede ser revocado en cualquier momento, sin efectos retroactivos (reglam. del art. 5, Decreto 1558/2001).
8) INFORMACION A PROPORCIONAR AL TITULAR DE LOS DATOS
El ciudadano tiene derecho a estar informado por completo acerca de los usos concretos que se realizan de sus datos personales, en especial al momento de su recolección; por ello, el responsable o usuario de la base de datos informará en forma expresa y clara (art. 6 de la ley 25.326):
— La existencia del archivo, nombre del responsable y su domicilio.
— La finalidad de la base de datos y sus destinatarios.
— Carácter obligatorio u optativo de responder al cuestionario que se le proponga.
— Las consecuencias de brindar datos, por su negativa a darlos o por la inexactitud de los mismos.
— Los derechos de acceso, rectificación o supresión.
— En caso de pretender la cesión de los datos: Se debe informar a quién y con que fin se cederán los mismos.
Cuando se utilicen cuestionarios u otros impresos para la recolección de los datos, figurarán las advertencias señaladas en los puntos anteriores.
9) EXISTENCIA DE ARCHIVOS
Las personas tienen derecho a ser informadas sobre la existencia, propósito de bases de datos o archivos, su responsable, la dirección de la oficina o dependencia del responsable del fichero o tratamiento, requiriendo tal información a la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES. Esta consulta es de carácter pública y gratuita. La Dirección, mediante el Registro, tiene asignada la misión de dar a conocer la existencia de los ficheros o tratamientos de datos de carácter personal, para hacer posible el ejercicio del derecho a controlar la información personal, pero NO DISPONE DE DATOS PERSONALES DE LOS TITULARES DEL DATO (art. 13 de la ley 25.326).
10) DEBERES DE LOS RESPONSABLES DE BASES DE DATOS
La Ley impone a quien posea una base de datos pública que contenga información personal de terceros los siguientes deberes: a) Deber de Seguridad. El responsable de la base de datos debe adoptar las medidas de seguridad necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado, estando prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad (art. 9 de la ley 25.326); b) Deber de Secreto Profesional respecto de los datos personales incorporados en sus bases de datos, pudiendo ser relevado del mismo por resolución judicial y cuando medien razones de seguridad y salud públicas, y de defensa nacional (art. 10 de la ley 25.326); c) Deber de Registro ante el organismo de control esté o no destinado a dar informes (art. 21 de la ley 25.326). d) Deber de facilitar el acceso a los datos: Ante el requerimiento de acceso efectuado por el titular de los datos, el responsable de la base de datos debe proporcionar en forma clara, amplia, gratuita y por cualquier medio, toda la información que le concierna al solicitante dentro de los 10 días corridos de haber sido intimado fehacientemente por el mismo (arts. 14 y 15 de la ley 25.326); e) Deber de rectificar o actualizar los datos. Ante el requerimiento del titular de los datos, el responsable de la base de datos debe realizar, en forma gratuita, las operaciones necesarias a tal fin en el plazo máximo de 5 días hábiles de recibido el reclamo (art. 4 inc. 5 y art. 16 de la ley 25.326); y f) Deber de suprimir, en forma gratuita, los datos erróneos, falsos, innecesarios o caducos (art. 19 de la ley 25.326). Este deber no rige cuando pudiese perjudicar a terceros o existiera una obligación legal de conservar los datos (art. 16 inc. 5to. de la ley 25.326).
11) DERECHO DE ACCESO
Ante la existencia de una base de datos que contenga información personal, el titular tiene derecho a conocer la totalidad de los datos referidos a su persona. El derecho de acceso permitirá: a) conocer si el titular de los datos se encuentra o no en el archivo, registro, base o banco de datos; b) conocer todos los datos relativos a su persona que constan en el archivo; c) solicitar información sobre las fuentes y los medios a través de los cuales se obtuvieron sus datos; d) solicitar las finalidades para las que se recabaron; e) conocer el destino previsto para los datos personales; f) saber si el archivo está registrado conforme a las exigencias de la Ley Nº 25.326. (art. 14 de la ley 25.326 y 3er. párrafo de la reglam. Decreto 1558/2001).
El reclamo se debe formular directamente ante el responsable del archivo o base de datos. El incumplimiento de esta obligación habilitará al interesado a promover una acción judicial de HABEAS DATA (arts. 14 de la ley 25.326).
Si se tratara de archivos o bancos de datos públicos dependientes de un organismo oficial destinados a la difusión al público en general, las condiciones para el ejercicio del derecho de acceso podrán ser propuestas por el organismo y aprobadas por la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, la cual deberá asegurar que los procedimientos sugeridos no vulneren ni restrinjan en modo alguno las garantías propias de ese derecho (2do. párrafo de la reglam. del art. 14, Decreto 1558/2001).
El derecho de acceso puede ser denegado en los casos previstos por el art. 17 de la ley 25.326 (ver al respecto el punto 15 del presente documento).
12) DEBER DE RESPUESTA
El responsable o usuario del archivo, registro, base o banco de datos deberá contestar la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado, debiendo para ello valerse de cualquiera de los medios autorizados (por escrito, medios electrónicos, telefónicos, de imagen u otro medio idóneo a tal fin, cfr. art. 15, inciso 3, de la Ley Nº 25.326), a opción del titular de los datos, o las preferencias que el interesado hubiere expresamente manifestado al interponer el derecho de acceso. La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES elaboró a tal fin un formulario modelo que facilita el derecho de acceso de los interesados. Podrán ofrecerse como medios alternativos para responder el requerimiento, los siguientes: a) visualización en pantalla; b) informe escrito entregado en el domicilio del requerido; c) informe escrito remitido al domicilio denunciado por el requirente; d) transmisión electrónica de la respuesta, siempre que esté garantizada la identidad del interesado y la confidencialidad, integridad y recepción de la información; e) cualquier otro procedimiento que sea adecuado a la configuración e implantación material del archivo, registro, base o banco de datos, ofrecido por el responsable o usuario del mismo (art. 15 de la ley 25.326 y reglam. del Decreto 1558/2001).
13) DERECHO DE RECTIFICACION Y SUPRESION
A solicitud del titular del dato, o advertido el error o falsedad, el responsable o usuario del banco de datos procederá, siempre de manera gratuita (art. 19 de la ley 25.326), a la rectificación, supresión o actualización de los datos personales del afectado (art. 4 y 16 de la ley 25.326). El incumplimiento de esta obligación habilitará al interesado a promover una acción judicial de HABEAS DATA. La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.
En el caso de los archivos o bases de datos públicos conformados por cesión de información suministrada por entidades financieras, administradoras de fondos de jubilaciones y pensiones y entidades aseguradoras, de conformidad con el artículo 5º, inciso 2, de la Ley Nº 25.326, los derechos de rectificación, actualización, supresión y confidencialidad deben ejercerse ante la entidad cedente que sea parte en la relación jurídica a que se refiere el dato impugnado. Si procediera el reclamo, la entidad respectiva debe solicitar al BANCO CENTRAL DE LA REPUBLICA ARGENTINA, a la SUPERINTENDENCIA DE ADMINISTRADORAS DE FONDOS DE JUBILACIONES Y PENSIONES o a la SUPERINTENDENCIA DE SEGUROS DE LA NACION, según el caso, que sean practicadas las modificaciones necesarias en sus bases de datos. Toda modificación debe ser comunicada a través de los mismos medios empleados para la divulgación de la información.
Los responsables o usuarios de archivos o bases de datos públicos de acceso público irrestricto pueden cumplir la notificación dispuesta en el artículo 16 inciso 4 de la Ley Nº 25.326 (que obliga al cedente a notificar al cesionario la rectificación o supresión del dato cedido dentro del 5to. día hábil de efectuada la operación), mediante la sola modificación de los datos realizada a través de los mismos medios empleados para su divulgación (reglam. del art. 16, Decreto 1558/2001).
14) EJERCICIO DEL DERECHO DE RECTIFICACION CONTRA BASES PUBLICAS DE FUENTE PRIVADA
En el caso de los archivos o bases de datos públicas conformadas por cesión de información suministrada por entidades financieras (Ej. base de datos del BCRA), los derechos de rectificación, actualización, supresión y confidencialidad deben ejercerse ante la entidad cedente que sea parte en la relación jurídica a que se refiere el dato impugnado. Si procediera el reclamo, la entidad respectiva debe solicitar al BANCO CENTRAL DE LA REPUBLICA ARGENTINA que sean practicadas las modificaciones necesarias en sus bases de datos. Toda modificación debe ser comunicada a través de los mismos medios empleados para la divulgación de la información.
15) DENEGACION DE ACCESO, RECTIFICACION O SUPRESION
La ley establece las siguientes excepciones al derecho de acceso, rectificación o supresión para las bases públicas: 1. Los responsables o usuarios de bancos de datos públicos pueden, mediante decisión fundada, denegar el acceso, rectificación o la supresión en función de la protección de la defensa de la Nación, del orden y la seguridad públicos, o de la protección de los derechos e intereses de terceros. 2. La información sobre datos personales también puede ser denegada por los responsables o usuarios de bancos de datos públicos, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. La resolución que así lo disponga debe ser fundada y notificada al afectado. 3. Sin perjuicio de lo establecido en los incisos anteriores, se deberá brindar acceso a los registros en cuestión en la oportunidad en que el afectado tenga que ejercer su derecho de defensa (art. 17 de la ley 25.326).
16) CESION y DIVULGACION DE DATOS
— Cesión entre dependencias de la administración: Las distintas dependencias de la Administración Pública podrán ceder entre sí sus datos en forma directa en la medida que sea necesario para el cumplimiento de sus respectivas competencias (art. 11 inc. 3 punto 'c' de la ley 25.326).
— Cesión al sector privado: Los Organismos Públicos podrán ceder de manera no masiva al sector privado los datos personales no sensibles en su poder, cuando dicha cesión se realice con motivo del ejercicio de las funciones propias del organismo o en virtud de obligación legal y se justifique con el cumplimiento del requisito del interés legítimo (art. 11 de la ley 25.326), previa identificación del cesionario, verificando el fiel cumplimiento de los principios de protección de datos que resulten aplicables al caso (arts. 4 a 12 de la ley 5.326) y que no afecte los derechos de las personas.
En el caso de archivos o bases de datos públicas dependientes de un organismo oficial que por razón de sus funciones específicas estén destinadas a la difusión al público en general, el requisito relativo al interés legítimo del cesionario se considera implícito en las razones de interés general que motivaron el acceso público irrestricto (2do. párrafo de la reglam. del art. 11, Decreto 1558/ 2001).
— Cesión masiva: La cesión masiva de datos personales de registros públicos a registros privados sólo puede ser autorizada por ley o por decisión del funcionario responsable, si los datos son de acceso público y se ha garantizado el respeto a los principios de protección establecidos en la Ley Nº 25.326 (arts. 4 a 12). No es necesario acto administrativo alguno en los casos en que la ley disponga el acceso a la base de datos pública en forma irrestricta. Se entiende por cesión masiva de datos personales la que comprende a un grupo colectivo de personas (3er. párrafo de la reglam. del art. 11. Decreto 1558/2001).
— Cesión de datos sensibles: Salvo autorización legal fundada en razones de interés general (art. 7º inc. 2 de la ley 25.326) no se podrán ceder datos sensibles.
— Cesión de datos relativos a la salud: Podrán cederse datos relativos a la salud sin el consentimiento del titular cuando sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados (art. 11, inc. 3 punto d, de la Ley Nº 25.326). En los casos de ofertas de bienes y servicios, cuando los datos se hubieran obtenido de acuerdo con la Ley 25.326 y no causen discriminación, en el contexto de una relación entre el consumidor o usuario y los proveedores de servicio o tratamientos médicos y entidades sin fines de lucro, se podrán ceder datos de la salud con el consentimiento previo del titular de los datos, que se prestará de manera expresa e informada, por escrito o por medio que se le equipare (art. 5to de la ley 25.326). A dicho fin, este último debe recibir una noticia clara del carácter sensible de los datos y que no está obligado a autorizar su cesión, consecuencias de no hacerlo o inexactitud de los datos, la finalidad de la cesión, identificar al cesionario o los elementos que permitan hacerlo y la posibilidad de ejercer los derechos de acceso, rectificación y supresión de los datos (cfr. art. 6 y el primer párrafo del art. 11 de la ley 25.326 y último párrafo art. 27 del Decreto 1558/2001). El consentimiento otorgado para la cesión es revocable, sin efectos retroactivos (art. 5 de la ley 25.326 y Decreto 1558/2001).
— Cesión de datos de información crediticia: La prestación de servicios de información crediticia no requerirá el previo consentimiento del titular de los datos a los efectos de su cesión, ni la ulterior comunicación de ésta, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios (art. 26 inc. 5to. de la ley 25.326). A los efectos de verificar dicho interés legítimo, el BANCO CENTRAL DE LA REPUBLICA ARGENTINA deberá restringir el acceso a sus bases de datos disponibles en Internet, para el caso de información sobre personas físicas, exigiendo el ingreso del número de documento nacional de identidad o código único de identificación tributaria o laboral del titular de los datos, obtenidos por el cesionario a través de una relación contractual o comercial previa (reglam. Del art. 26 Decreto 1558/2001).
— Responsabilidad solidaria: En todos los casos de cesión de datos personales, el cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate (art. 11 inc. 4 de la ley 25.326), aunque podrá ser eximido total o parcialmente de responsabilidad si demuestra que no se le puede imputar el hecho que ha producido el daño (art. 11 último párrafo de la reglam. del Decreto 1558/2001).
17) TRANSFERENCIA INTERNACIONAL
Unicamente se realizará una transferencia internacional de datos personales cuando se garanticen niveles de protección adecuados, salvo que: a) El titular preste su consentimiento expreso e informado, por escrito o por otro medio que lo equipare, donde se le haya informado previamente, y de la manera más detallada posible, la radicación, el uso y finalidad de la base de datos a las que se podrá transferir su información personal; y b) Se trate de los siguientes supuestos: 1. Colaboración judicial internacional; 2. Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica previa disociación de los datos que no permita la identificación de sus titulares; 3. Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable; 4. Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte; 5. Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico (art. 12 de la ley 25.326).
No será necesario el consentimiento del titular del dato en caso de transferencia internacional de datos desde un registro público que esté legalmente constituido para facilitar información al público y que esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones legales y reglamentarias para la consulta (2do. párrafo de la reglam. del art. 12, Decreto 1558/ 2001). Además del cumplimiento de los requisitos para la transferencia internacional, deberá cumplirse con los requisitos del art. 11 de la ley 25.326 en caso de que la misma consista en una cesión de datos.
La Dirección Nacional de Protección de Datos está facultada para evaluar de oficio o a petición de parte el adecuado nivel de protección de terceros países u organismos internacionales.
18) CREACION DE ARCHIVOS PUBLICOS
Las normas sobre creación, modificación o supresión de archivos, registros o bancos de datos pertenecientes a organismos públicos deben hacerse por medio de disposición general publicada en el Boletín Oficial de la Nación o diario oficial. Las disposiciones respectivas, deben indicar: a) Características y finalidad del archivo; b) Personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u obligatorio de su suministro por parte de aquéllas; c) Procedimiento de obtención y actualización de los datos; d) Estructura básica del archivo, informatizado o no, y la descripción de la naturaleza de los datos personales que contendrán; e) Las cesiones, transferencias o interconexiones previstas; f) Organos responsables del archivo, precisando dependencia jerárquica en su caso; g) Las oficinas ante las que se pudiesen efectuar las reclamaciones en ejercicio de los derechos de acceso, rectificación o supresión. En las disposiciones que se dicten para la supresión de los registros informatizados se establecerá el destino de los mismos o las medidas que se adopten para su destrucción (Art. 22 de la ley 25.326).
19) SERVICIOS DE INFORMACION CREDITICIA
En los casos en que la Administración Pública preste servicios de información creditica a la comunidad (como resulta ser el caso del Banco Central de la República Argentina), deberá sujetar su conducta a lo previsto en el art. 26 de la ley 25.326, que expresamente dispone: 1. En la prestación de servicios de información crediticia sólo pueden tratarse datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por el interesado o con su consentimiento. 2. Pueden tratarse igualmente datos personales relativos al cumplimiento o incumplimiento de obligaciones de contenido patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o interés. 3. A solicitud del titular de los datos, el responsable o usuario del banco de datos público, le comunicará las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses (inciso 3ro.), no siendo exigible a la Administración pública indicar el nombre y domicilio del cesionario en el supuesto de tratarse de datos obtenidos por cesión para el caso de archivos o bases de datos públicos dependientes de un organismo oficial destinadas a la difusión al público en general (2do. párrafo de la reglam. del art. 26, Decreto 1558/2001). 4. Sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico-financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo extinga la obligación, debiéndose hace constar dicho hecho. 5. La prestación de servicios de información crediticia no requerirá el previo consentimiento del titular de los datos a los efectos de su cesión, ni la ulterior comunicación de ésta, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.
A los efectos de dar cumplimiento a lo dispuesto por el artículo 26, inciso 5, de la Ley Nº 25.326, el BANCO CENTRAL DE LA REPUBLICA ARGENTINA deberá restringir el acceso a sus bases de datos disponibles en Internet, para el caso de información sobre personas físicas, exigiendo el ingreso del número de documento nacional de identidad o código único de identificación tributaria o laboral del titular de los datos, obtenidos por el cesionario a través de una relación contractual o comercial previa (5to. párrafo de la reglam. Del art. 26, Decreto 1558/2001).
20) PUBLICIDAD
En toda comunicación con fines de publicidad que se realice por correo, teléfono, correo electrónico, Internet u otro medio a distancia a conocer, se deberá indicar, en forma expresa y destacada, la posibilidad del titular del dato de solicitar el retiro o bloqueo, total o parcial, de su nombre de la base de datos. A pedido del interesado, se deberá informar el nombre del responsable o usuario del banco de datos que proveyó la información (3er. párrafo de la reglam. del art. 27, Decreto 1558/2001).
Los datos vinculados a la salud sólo podrán ser tratados, a fin de realizar ofertas de bienes y servicios, cuando hubieran sido obtenidos de acuerdo con la Ley Nº 25.326 y siempre que no causen discriminación, en el contexto de una relación entre el consumidor o usuario y los proveedores de servicios o tratamientos médicos y entidades sin fines de lucro. Estos datos no podrán transferirse a terceros sin el consentimiento previo, expreso e informado del titular de los datos. A dicho fin, este último debe recibir una noticia clara del carácter sensible de los datos que proporciona y de que no está obligado a suministrarlos, junto con la información de los artículos 6º y 11, inciso 1, de la Ley Nº 25.326 y la mención de su derecho a solicitar el retiro de la base de datos (último párrafo de la reglam. del art. 27, Decreto 1558/2001).
21) BASES DE DATOS POLICIALES, DE INTELIGENCIA Y FUERZAS ARMADAS
Se dispone la aplicación de la presente ley a las bases de datos policiales, de servicios de inteligencia del Estado y de las Fuerzas Armadas, tanto las de fines administrativos como las de defensa nacional o seguridad pública: 1. Quedarán sujetos al régimen de la presente ley, los datos personales que por haberse almacenado para fines administrativos, deban ser objeto de registro permanente en los bancos de datos de las fuerzas armadas, fuerzas de seguridad, organismos policiales o de inteligencia; y aquellos sobre antecedentes personales que proporcionen dichos bancos de datos a las autoridades administrativas o judiciales que los requieran en virtud de disposiciones legales. 2. El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, fuerzas de seguridad, organismos policiales o inteligencia, sin consentimiento de los afectados, queda limitado a aquellos supuestos y categoría de datos que resulten necesarios para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos. Los archivos, en tales casos, deberán ser específicos y establecidos al efecto, debiendo clasificarse por categorías, en función de su grado de fiabilidad. 3. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento (art. 23 de la Ley 25.326).
Las Comisiones de Defensa Nacional y la Comisión Bicameral de Fiscalización de los Organos y Actividades de Seguridad Interior e Inteligencia del Congreso de la Nación y la Comisión de Seguridad Interior de la Cámara de Diputados de la Nación, tienen acceso a los archivos o bancos de datos referidos en el artículo 23 inciso 2 (bancos de datos de las fuerzas armadas, policiales, servicios de inteligencia desarrollados con fines de defensa nacional o seguridad pública) por razones fundadas y en aquellos aspectos que constituyan materia de competencia de tales Comisiones (art. 18 de la ley 25.326).
22) ESTADISTICAS Y CENSOS
Las normas de la ley 25.326 no se aplican a las encuestas de opinión, mediciones y estadísticas relevadas conforme a Ley 17.622, trabajos de prospección de mercados, investigaciones científicas o médicas y actividades análogas, en la medida que los datos recogidos no puedan atribuirse a una persona determinada o determinable. Si en el proceso de recolección de datos no resultara posible mantener el anonimato, se deberá utilizar una técnica de disociación, de modo que no permita identificar a persona alguna (art. 28 de la ley 25.326). En caso de que mediante dichas actividades se viole la ley 25.326 serán pasibles de las multas previstas por el art. 31 de la ley 25.326 (reglam. del art. 28, Decreto 1558/2001).
23) PRESTACION DE SERVICIOS INFORMATIZADOS POR TERCEROS
Cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación. Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años (art. 25 de la ley 25.326).
24) LA DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES
Es un organismo del Estado encargado de velar por la protección de los datos personales en el ámbito Nacional, y es la autoridad de aplicación de la ley 25.326. Tiene las siguientes atribuciones y deberes: a) Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente y de los medios legales de que disponen para la defensa de los derechos que ésta garantiza; b) Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley; c) Realizar un censo de archivos, registros o bancos de datos alcanzados por la ley y mantener el registro permanente de los mismos; d) Controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos. A tal efecto podrá solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la presente ley; e) Solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que se le requieran. En estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados; f) Imponer las sanciones administrativas que en su caso correspondan por violación a las normas de la presente ley y de las reglamentaciones que se dicten en su consecuencia; g) Constituirse en querellante en las acciones penales que se promovieran por violaciones a la presente ley; h) Controlar el cumplimiento de los requisitos y garantías que deben reunir los archivos o bancos de datos privados destinados a suministrar informes, para obtener la correspondiente inscripción en el Registro creado por esta ley (art. 29 de la ley 25.326).
Asimismo, sin perjuicio de las responsabilidades administrativas que correspondan en los casos de responsables o usuarios de bancos de datos públicos; de la responsabilidad por daños y perjuicios derivados de la inobservancia de la presente ley, y de las sanciones penales que eventualmente correspondan, la DNPDP podrá aplicar las sanciones previstas en la Disposición 7/2005.
25) OBLIGACION DE REGISTRARSE
El artículo 21 de la Ley Nº 25.326 dispone la obligatoriedad de inscripción de las Bases de Datos públicas y privadas en el Registro que al efecto habilite el organismo de control. El registro debe contener como mínimo la siguiente información: a) Nombre y domicilio del responsable; b) Características y finalidad del archivo; c) Naturaleza de los datos personales contenidos en cada archivo; d) Forma de recolección y actualización de datos; e) Destino de los datos y personas físicas o de existencia ideal a las que pueden ser transmitidos; f) Modo de interrelacionar la información registrada; g) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información; h) Tiempo de conservación de los datos; i) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos. 3) Ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro. El incumplimiento de estos requisitos dará lugar a las sanciones administrativas previstas en el capítulo VI de la presente ley.
Para el cumplimiento de la obligación de Registro la DNPDP ha implementado el Formulario de Inscripción FP.01 que fuera publicado en el Boletín Oficial mediante la Disposición 2/2006. Dicho formulario deberá completarse 'on line' en el sitio de la DNPDP en Internet: www.jus.gov.ar/dnpdp en el tiempo y plazo que determine la DNPDP.
26) SANCIONES POR INCUMPLIMIENTO DE LA OBLIGACION DE REGISTRO
En caso de no registrarse, el Banco de Datos será ilegítimo; y sin perjuicio de las responsabilidades administrativas que correspondan aplicar a los responsables o usuarios de bancos de datos públicos, serán pasibles de las sanciones previstas en la Disposición 7/2005, que prevé la penalización de las siguientes conductas: '1.- Serán consideradas INFRACCIONES LEVES, sin perjuicio de otras que a juicio de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES también las constituyan: ...c) No solicitar la inscripción de las bases de datos personales tanto públicas como privadas cuyo registro sea obligatorio en los términos exigidos por la Ley Nº 25.326 y normas complementarias. 2.- Serán consideradas INFRACCIONES GRAVES, sin perjuicio de otras que a juicio de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES también las constituyan: ...g) No inscribir la base de datos de carácter personal en el registro correspondiente, cuando haya sido requerido para ello por la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES'. En el Anexo II de la Disposición 7/2005 se gradúan las sanciones:' 1. Ante la comisión de INFRACCIONES LEVES se podrán aplicar hasta DOS (2) APERCIBIMIENTOS y/o una MULTA de PESOS UN MIL ($ 1.000,00) a PESOS TRES MIL ($ 3.000,00). 2. En el caso de las INFRACCIONES GRAVES la sanción a aplicar será de hasta CUATRO (4) APERCIBIMIENTOS, SUSPENSION DE UNO (1) a TREINTA (30) DIAS y/o MULTA de PESOS TRES MIL UNO ($ 3.001,00) a PESOS CINCUENTA MIL ($ 50.000,00)…'.
27) SANCIONES PENALES
El art. 32 de la Ley 25.326 estableció las siguientes sanciones penales: 1. Incorpórase como artículo 117 bis del Código Penal, el siguiente: '1º. Será reprimido con la pena de prisión de un mes a dos años el que insertara o hiciera insertar a sabiendas datos falsos en un archivo de datos personales. 2º. La pena será de seis meses a tres años, al que proporcionara a un tercero a sabiendas información falsa contenida en un archivo de datos personales. 3º. La escala penal se aumentará en la mitad del mínimo y del máximo, cuando del hecho se derive perjuicio a alguna persona. 4º. Cuando el autor o responsable del ilícito sea funcionario público en ejercicio de sus funciones, se le aplicará la accesoria de inhabilitación para el desempeño de cargos públicos por el doble del tiempo que el de la condena'. 2. Incorpórase como artículo 157 bis del Código Penal el siguiente: 'Será reprimido con la pena de prisión de un mes a dos años el que: 1º. A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales; 2º. Revelare a otro información registrada en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de una ley. Cuando el autor sea funcionario público sufrirá, además, pena de inhabilitación especial de uno a cuatro años'.
28) PUESTA EN MARCHA DEL RELEVAMIENTO Y/O REGISTRACION DE BASES DE DATOS:
A los fines de proceder al relevamiento/ inscripción de las bases de datos pertenecientes a los organismos públicos se propone el dictado de un acto administrativo del máximo nivel jerárquico de cada jurisdicción que ordene a todas las áreas que posean archivos, registros, bases o bancos de datos personales, informatizados o no, que cumplimenten el citado relevamiento y, en caso de darse el supuesto del artículo 5º de la Disposición DNPDP Nº 2/06, soliciten la correspondiente inscripción.