|
Poder Ejecutivo Nacional
PROTECCIÓN DE DATOS PERSONALES - LEY
N° 25.326 - REGLAMENTACIÓN
Decreto (PEN) 1558/01. Del 29/11/2001. B.O.: 3/12/2001. Protección de
Datos Personales. Seguridad de
la Información. Aprueba la reglamentación de la Ley Nº 25.326 de
Protección de los Datos Personales. Principios Generales relativos a la
Protección de Datos. Derechos de los Titulares de los Datos. Usuarios y
Responsables de Archivos, Registros y Bancos de Datos. Sanciones.
Bs. As., 29/11/2001
VISTO el expediente Nº 128.949/01 del registro del MINISTERIO DE
JUSTICIA Y DERECHOS HUMANOS, la Ley Nº 25.326, y
CONSIDERANDO:
Que el artículo 45 de la mencionada Ley establece que el PODER EJECUTIVO
NACIONAL deberá reglamentar la misma y establecer el órgano de control a
que se refiere su artículo 29 dentro de los CIENTO OCHENTA (180) días de
su promulgación.
Que el artículo 46 de la Ley citada establece que la reglamentación
fijará el plazo dentro del cual los archivos de datos destinados a
proporcionar informes existentes al momento de la sanción de dicha Ley
deberán inscribirse en el Registro a que se refiere su artículo 21 y
adecuarse a lo que dispone el régimen establecido en dicha norma.
Que el artículo 31, inciso 2, de la Ley Nº 25.326 dispone que la
reglamentación determinará las condiciones y procedimientos para la
aplicación de sanciones, en los términos que dicha norma establece.
Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS del MINISTERIO DE JUSTICIA
Y DERECHOS HUMANOS, la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la
SUBSECRETARÍA DE ASUNTOS LEGALES de la SECRETARIA LEGAL Y TÉCNICA de la
PRESIDENCIA DE LA NACIÓN y la PROCURACIÓN DEL TESORO DE LA NACIÓN han
tomado la intervención que les compete.
Que la presente medida se dicta en uso de las facultades conferidas por
el artículo 99, inciso 2) de la CONSTITUCIÓN NACIONAL.
Por ello,
EL PRESIDENTE DE LA NACIÓN ARGENTINA
DECRETA:
Artículo 1º.- Apruébase la reglamentación de la Ley Nº 25.326 de
Protección de los Datos Personales, que como anexo I forma parte del
presente.
Art. 2º.- Establécese en CIENTO OCHENTA (180) días el plazo previsto en
el artículo 46 de la Ley Nº 25.326.
Art. 3º.- Invítase a las Provincias y a la CIUDAD AUTÓNOMA DE BUENOS
AIRES a adherir a las normas de exclusiva aplicación nacional de esta
reglamentación.
Art. 4º.- Comuníquese, publíquese, dése a la Dirección Nacional del
Registro Oficial y archívese.
ANEXO - Reglamentación de la Ley Nº 25.326
CAPÍTULO I
DISPOSICIONES GENERALES
ARTÍCULO 1º.- A los efectos de esta reglamentación, quedan comprendidos
en el concepto de archivos, registros, bases o bancos de datos privados
destinados a dar informes, aquellos que exceden el uso exclusivamente
personal y los que tienen como finalidad la cesión o transferencia de
datos personales, independientemente de que la circulación del informe o
la información producida sea a título oneroso o gratuito.
ARTÍCULO 2º.- Sin reglamentar.
CAPÍTULO II
PRINCIPIOS GENERALES RELATIVOS A LA PROTECCIÓN DE DATOS
ARTÍCULO 3º.- Sin reglamentar.
ARTÍCULO 4º.- Para determinar la lealtad y buena fe en la obtención de
los datos personales, así como el destino que a ellos se asigne, se
deberá analizar el procedimiento efectuado para la recolección y, en
particular, la información que se haya proporcionado al titular de los
datos de acuerdo con el artículo 6º de la Ley Nº 25.326.
Cuando la obtención o recolección de los datos personales fuese lograda
por interconexión o tratamiento de archivos, registros, bases o bancos
de datos, se deberá analizar la fuente de información y el destino
previsto por el responsable o usuario para los datos personales
obtenidos.
El dato que hubiera perdido vigencia respecto de los fines para los que
se hubiese obtenido o recolectado debe ser suprimido por el responsable
o usuario sin necesidad de que lo requiera el titular de los datos.
La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES efectuará
controles de oficio sobre el cumplimiento de este principio legal, y
aplicará las sanciones pertinentes al responsable o usuario en los casos
que correspondiere.
La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES procederá, ante
el pedido de un interesado o de oficio ante la sospecha de una
ilegalidad, a verificar el cumplimiento de las disposiciones legales y
reglamentarias en orden a cada una de las siguientes etapas del uso y
aprovechamiento de datos personales:
a) legalidad de la recolección o toma de información personal;
b) legalidad en el intercambio de datos y en la transmisión a terceros o
en la interrelación entre ellos;
c) legalidad en la cesión propiamente dicha;
d) legalidad de los mecanismos de control interno y externo del archivo,
registro, base o banco de datos.
ARTÍCULO 5º.- El consentimiento informado es el que está precedido de
una explicación, al titular de los datos, en forma adecuada a su nivel
social y cultural, de la información a que se refiere el artículo 6º de
la Ley Nº 25.326.
La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES establecerá los
requisitos para que el consentimiento pueda ser prestado por un medio
distinto a la forma escrita, el cual deberá asegurar la autoría e
integridad de la declaración.
El consentimiento dado para el tratamiento de datos personales puede ser
revocado en cualquier tiempo. La revocación no tiene efectos
retroactivos.
A los efectos del artículo 5º, inciso 2 e), de la Ley Nº 25.326 el
concepto de entidad financiera comprende a las personas alcanzadas por
la Ley Nº 21.526 y a las empresas emisoras de tarjetas de crédito, los
fideicomisos financieros, las exentidades financieras liquidadas por el
BANCO CENTRAL DE LA REPÚBLICA ARGENTINA y los sujetos que expresamente
incluya la Autoridad de Aplicación de la mencionada Ley.
No es necesario el consentimiento para la información que se describe en
los incisos a), b), c) y d) del artículo 39 de la Ley Nº 21.526.
En ningún caso se afectará el secreto bancario, quedando prohibida la
divulgación de datos relativos a operaciones pasivas que realicen las
entidades financieras con sus clientes, de conformidad con lo dispuesto
en los artículos 39 y 40 de la Ley Nº 21.526.
ARTÍCULO 6º.- Sin reglamentar.
ARTÍCULO 7º.- Sin reglamentar.
ARTÍCULO 8º.- Sin reglamentar.
ARTÍCULO 9º.- La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES
promoverá la cooperación entre sectores públicos y privados para la
elaboración e implantación de medidas, prácticas y procedimientos que
susciten la confianza en los sistemas de información, así como en sus
modalidades de provisión y utilización.
ARTÍCULO 10.- Sin reglamentar.
ARTÍCULO 11.- Al consentimiento para la cesión de los datos le son
aplicables las disposiciones previstas en el artículo 5º de la Ley Nº
25.326 y el artículo 5º de esta reglamentación.
En el caso de archivos o bases de datos públicas dependientes de un
organismo oficial que por razón de sus funciones específicas estén
destinadas a la difusión al público en general, el requisito relativo al
interés legítimo del cesionario se considera implícito en las razones de
interés general que motivaron el acceso público irrestricto.
La cesión masiva de datos personales de registros públicos a registros
privados sólo puede ser autorizada por ley o por decisión del
funcionario responsable, si los datos son de acceso público y se ha
garantizado el respeto a los principios de protección establecidos en la
Ley Nº 25.326. No es necesario acto administrativo alguno en los casos
en que la ley disponga el acceso a la base de datos pública en forma
irrestricta. Se entiende por cesión masiva de datos personales la que
comprende a un grupo colectivo de personas.
La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES fijará los
estándares de seguridad aplicables a los mecanismos de disociación de
datos.
El cesionario a que se refiere el artículo 11, inciso 4, de la Ley Nº
25.326, podrá ser eximido total o parcialmente de responsabilidad si
demuestra que no se le puede imputar el hecho que ha producido el daño.
ARTÍCULO 12.- La prohibición de transferir datos personales hacia países
u organismos internacionales o supranacionales que no proporcionen
niveles de protección adecuados, no rige cuando el titular de los datos
hubiera consentido expresamente la cesión.
No es necesario el consentimiento en caso de transferencia de datos
desde un registro público que esté legalmente constituido para facilitar
información al público y que esté abierto a la consulta por el público
en general o por cualquier persona que pueda demostrar un interés
legítimo, siempre que se cumplan, en cada caso particular, las
condiciones legales y reglamentarias para la consulta.
Facúltase a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES a
evaluar, de oficio o a pedido de parte interesada, el nivel de
protección proporcionado por las normas de un Estado u organismo
internacional. Si llegara a la conclusión de que un Estado u organismo
no protege adecuadamente a los datos personales, elevará al PODER
EJECUTIVO NACIONAL un proyecto de decreto para emitir tal declaración.
El proyecto deberá ser refrendado por los Ministros de Justicia y
Derechos Humanos y de Relaciones Exteriores, Comercio Internacional y
Culto.
El carácter adecuado del nivel de protección que ofrece un país u
organismo internacional se evaluará atendiendo a todas las
circunstancias que concurran en una transferencia o en una categoría de
transferencias de datos; en particular, se tomará en consideración la
naturaleza de los datos, la finalidad y la duración de tratamiento o de
los tratamientos previstos, el lugar de destino final, las normas de
derecho, generales o sectoriales, vigentes en el país de que se trate,
así como las normas profesionales, códigos de conducta y las medidas de
seguridad en vigor en dichos lugares, o que resulten aplicables a los
organismos internacionales o supranacionales.
Se entiende que un Estado u organismo internacional proporciona un nivel
adecuado de protección cuando dicha tutela se deriva directamente del
ordenamiento jurídico vigente, o de sistemas de autorregulación, o del
amparo que establezcan las cláusulas contractuales que prevean la
protección de datos personales.
CAPÍTULO III
DERECHOS DE LOS TITULARES DE DATOS
ARTÍCULO 13.- Sin reglamentar.
ARTÍCULO 14.- La solicitud a que se refiere el artículo 14, inciso 1, de
la Ley Nº 25.326, no requiere de fórmulas específicas, siempre que
garantice la identificación del titular. Se puede efectuar de manera
directa, presentándose el interesado ante el responsable o usuario del
archivo, registro, base o banco de datos, o de manera indirecta, a
través de la intimación fehaciente por medio escrito que deje constancia
de recepción. También pueden ser utilizados otros servicios de acceso
directo o semidirecto como los medios electrónicos, las líneas
telefónicas, la recepción del reclamo en pantalla u otro medio idóneo a
tal fin. En cada supuesto, se podrán ofrecer preferencias de medios para
conocer la respuesta requerida.
Si se tratara de archivos o bancos de datos públicos dependientes de un
organismo oficial destinados a la difusión al público en general, las
condiciones para el ejercicio del derecho de acceso podrán ser
propuestas por el organismo y aprobadas por la DIRECCION NACIONAL DE
PROTECCION DE DATOS PERSONALES, la cual deberá asegurar que los
procedimientos sugeridos no vulneren ni restrinjan en modo alguno las
garantías propias de ese derecho.
El derecho de acceso permitirá:
a) conocer si el titular de los datos se encuentra o no en el archivo,
registro, base o banco de datos;
b) conocer todos los datos relativos a su persona que constan en el
archivo;
c) solicitar información sobre las fuentes y los medios a través de los
cuales se obtuvieron sus datos;
d) solicitar las finalidades para las que se recabaron;
e) conocer el destino previsto para los datos personales;
f) saber si el archivo está registrado conforme a las exigencias de la
Ley Nº 25.326.
Vencido el plazo para contestar fijado en el artículo 14, inciso 2 de la
Ley Nº 25.326, el interesado podrá ejercer la acción de protección de
los datos personales y denunciar el hecho ante la DIRECCIÓN NACIONAL DE
PROTECCIÓN DE DATOS PERSONALES a los fines del control pertinente de
este organismo.
En el caso de datos de personas fallecidas, deberá acreditarse el
vínculo mediante la declaratoria de herederos correspondiente, o por
documento fehaciente que verifique el carácter de sucesor universal del
interesado.
ARTÍCULO 15.- El responsable o usuario del archivo, registro, base o
banco de datos deberá contestar la solicitud que se le dirija, con
independencia de que figuren o no datos personales del afectado,
debiendo para ello valerse de cualquiera de los medios autorizados en el
artículo 15, inciso 3, de la Ley Nº 25.326, a opción del titular de los
datos, o las preferencias que el interesado hubiere expresamente
manifestado al interponer el derecho de acceso.
La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES elaborará un
formulario modelo que facilite el derecho de acceso de los interesados.
Podrán ofrecerse como medios alternativos para responder el
requerimiento, los siguientes:
a) visualización en pantalla;
b) informe escrito entregado en el domicilio del requerido;
c) informe escrito remitido al domicilio denunciado por el requirente;
d) transmisión electrónica de la respuesta, siempre que esté garantizada
la identidad del interesado y la confidencialidad, integridad y
recepción de la información;
e) cualquier otro procedimiento que sea adecuado a la configuración e
implantación material del archivo, registro, base o banco de datos,
ofrecido por el responsable o usuario del mismo.
ARTÍCULO 16.- En las disposiciones de los artículos 16 a 22 y 38 a 43 de
la Ley Nº 25.326 en que se menciona a algunos de los derechos de
rectificación, actualización, supresión y confidencialidad, se entiende
que tales normas se refieren a todos ellos.
En el caso de los archivos o bases de datos públicas conformadas por
cesión de información suministrada por entidades financieras,
administradoras de fondos de jubilaciones y pensiones y entidades
aseguradoras, de conformidad con el artículo 5º, inciso 2, de la Ley Nº
25.326, los derechos de rectificación, actualización, supresión y
confidencialidad deben ejercerse ante la entidad cedente que sea parte
en la relación jurídica a que se refiere el dato impugnado. Si
procediera el reclamo, la entidad respectiva debe solicitar al BANCO
CENTRAL DE LA REPÚBLICA ARGENTINA, a la SUPERINTENDENCIA DE
ADMINISTRADORAS DE FONDOS DE JUBILACIONES Y PENSIONES o a la
SUPERINTENDENCIA DE SEGUROS DE LA NACIÓN, según el caso, que sean
practicadas las modificaciones necesarias en sus bases de datos. Toda
modificación debe ser comunicada a través de los mismos medios empleados
para la divulgación de la información.
Los responsables o usuarios de archivos o bases de datos públicos de
acceso público irrestricto pueden cumplir la notificación a que se
refiere el artículo 16, inciso 4, de la Ley Nº 25.326 mediante la
modificación de los datos realizada a través de los mismos medios
empleados para su divulgación.
ARTÍCULO 17.- Sin reglamentar.
ARTÍCULO 18.- Sin reglamentar.
ARTÍCULO 19.- Sin reglamentar.
ARTÍCULO 20.- Sin reglamentar.
CAPÍTULO IV
USUARIOS Y RESPONSABLES DE ARCHIVOS, REGISTROS Y BANCOS DE DATOS
ARTÍCULO 21.- El registro e inscripción de archivos, registros, bases o
bancos de datos públicos, y privados destinados a dar información, se
habilitará una vez publicada esta reglamentación en el Boletín Oficial.
Deben inscribirse los archivos, registros, bases o bancos de datos
públicos y los privados a que se refiere el artículo 1º de esta
reglamentación.
A los fines de la inscripción de los archivos, registros, bases y bancos
de datos con fines de publicidad, los responsables deben proceder de
acuerdo con lo establecido en el artículo 27, cuarto párrafo, de esta
reglamentación.
ARTÍCULO 22.- Sin reglamentar.
ARTÍCULO 23.- Sin reglamentar.
ARTÍCULO 24.- Sin reglamentar.
ARTÍCULO 25.- Los contratos de prestación de servicios de tratamiento de
datos personales deberán contener los niveles de seguridad previstos en
la Ley Nº 25.326, esta reglamentación y las normas complementarias que
dicte la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, como así
también las obligaciones que surgen para los locatarios en orden a la
confidencialidad y reserva que deben mantener sobre la información
obtenida.
La realización de tratamientos por encargo deberá estar regulada por un
contrato que vincule al encargado del tratamiento con el responsable o
usuario del tratamiento y que disponga, en particular:
a) que el encargado del tratamiento sólo actúa siguiendo instrucciones
del responsable del tratamiento;
b) que las obligaciones del artículo 9º de la Ley Nº 25.326 incumben
también al encargado del tratamiento.
ARTÍCULO 26.- A los efectos del artículo 26, inciso 2, de la Ley Nº
25.326, se consideran datos relativos al cumplimiento o incumplimiento
de obligaciones los referentes a los contratos de mutuo, cuenta
corriente, tarjetas de crédito, fideicomiso, leasing, de créditos en
general y toda otra obligación de contenido patrimonial, así como
aquellos que permitan conocer el nivel de cumplimiento y la calificación
a fin de precisar, de manera indubitable, el contenido de la información
emitida.
En el caso de archivos o bases de datos públicos dependientes de un
organismo oficial destinadas a la difusión al público en general, se
tendrán por cumplidas las obligaciones que surgen del artículo 26,
inciso 3, de la Ley Nº 25.326 en tanto el responsable de la base de
datos le comunique al titular de los datos las informaciones,
evaluaciones y apreciaciones que sobre el mismo hayan sido difundidas
durante los últimos SEIS (6) meses.
Para apreciar la solvencia económico-financiera de una persona, conforme
lo establecido en el artículo 26, inciso 4, de la Ley Nº 25.326, se
tendrá en cuenta toda la información disponible desde el nacimiento de
cada obligación hasta su extinción. En el cómputo de CINCO (5) años,
éstos se contarán a partir de la fecha de la última información adversa
archivada que revele que dicha deuda era exigible. Si el deudor acredita
que la última información disponible coincide con la extinción de la
deuda, el plazo se reducirá a DOS (2) años. Para los datos de
cumplimiento sin mora no operará plazo alguno para la eliminación.
A los efectos del cálculo del plazo de DOS (2) años para conservación de
los datos cuando el deudor hubiere cancelado o extinguido la obligación,
se tendrá en cuenta la fecha precisa en que se extingue la deuda.
A los efectos de dar cumplimiento a lo dispuesto por el artículo 26,
inciso 5, de la Ley Nº 25.326, el BANCO CENTRAL DE LA REPÚBLICA
ARGENTINA deberá restringir el acceso a sus bases de datos disponibles
en Internet, para el caso de información sobre personas físicas,
exigiendo el ingreso del número de documento nacional de identidad o
código único de identificación tributaria o laboral del titular de los
datos, obtenidos por el cesionario a través de una relación contractual
o comercial previa.
ARTÍCULO 27.- Podrán recopilarse, tratarse y cederse datos con fines de
publicidad sin consentimiento de su titular, cuando estén destinados a
la formación de perfiles determinados, que categoricen preferencias y
comportamientos similares de las personas, siempre que los titulares de
los datos sólo se identifiquen por su pertenencia a tales grupos
genéricos, con más los datos individuales estrictamente necesarios para
formular la oferta a los destinatarios.
Las cámaras, asociaciones y colegios profesionales del sector que
dispongan de un Código de Conducta homologado por la DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES, al que por estatuto adhieran
obligatoriamente todos sus miembros, junto con la Autoridad de
Aplicación, implementarán, dentro de los NOVENTA (90) días siguientes a
la publicación de esta reglamentación, un sistema de retiro o bloqueo a
favor del titular del dato que quiera ser excluido de las bases de datos
con fines de publicidad. El retiro podrá ser total o parcial, bloqueando
exclusivamente, a requerimiento del titular, el uso de alguno o algunos
de los medios de comunicación en particular, como el correo, el
teléfono, el correo electrónico u otros.
En toda comunicación con fines de publicidad que se realice por correo,
teléfono, correo electrónico, Internet u otro medio a distancia a
conocer, se deberá indicar, en forma expresa y destacada, la posibilidad
del titular del dato de solicitar el retiro o bloqueo, total o parcial,
de su nombre de la base de datos. A pedido del interesado, se deberá
informar el nombre del responsable o usuario del banco de datos que
proveyó la información.
A los fines de garantizar el derecho de información del artículo 13 de
la Ley Nº 25.326, se inscribirán únicamente las cámaras, asociaciones y
colegios profesionales del sector que dispongan de un Código de Conducta
homologado por la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES,
al que por estatuto adhieran obligatoriamente todos sus miembros. Al
inscribirse, las cámaras, asociaciones y colegios profesionales deberán
acompañar una nómina de sus asociados indicando nombre, apellido y
domicilio.
Los responsables o usuarios de archivos, registros, bancos o bases de
datos con fines de publicidad que no se encuentren adheridos a ningún
Código de Conducta, cumplirán el deber de información inscribiéndose en
el Registro a que se refiere el artículo 21 de la Ley Nº 25.326.
Los datos vinculados a la salud sólo podrán ser tratados, a fin de
realizar ofertas de bienes y servicios, cuando hubieran sido obtenidos
de acuerdo con la Ley Nº 25.326 y siempre que no causen discriminación,
en el contexto de una relación entre el consumidor o usuario y los
proveedores de servicios o tratamientos médicos y entidades sin fines de
lucro. Estos datos no podrán transferirse a terceros sin el
consentimiento previo, expreso e informado del titular de los datos. A
dicho fin, este último debe recibir una noticia clara del carácter
sensible de los datos que proporciona y de que no está obligado a
suministrarlos, junto con la información de los artículos 6º y 11,
inciso 1, de la Ley Nº 25.326 y la mención de su derecho a solicitar el
retiro de la base de datos.
ARTÍCULO 28.- Los archivos, registros, bases o bancos de datos
mencionados en el artículo 28 de la Ley Nº 25.326 son responsables y
pasibles de las multas previstas en el artículo 31 de la ley citada
cuando infrinjan sus disposiciones.
CAPÍTULO V
CONTROL
ARTÍCULO 29.- (art. sustituido por decreto 899/17 PEN) La AGENCIA
DE ACCESO A LA INFORMACIÓN PÚBLICA, conforme los términos del artículo
19 de la Ley N° 27.275, sustituido por el artículo 11 del Decreto N°
746/17, es el órgano de control de la Ley Nº 25.326.
ARTÍCULO 30.- La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES
alentará la elaboración de códigos de conducta destinados a contribuir,
en función de las particularidades de cada sector, a la correcta
aplicación de las disposiciones nacionales adoptadas por la Ley Nº
25.326 y esta reglamentación.
Las asociaciones de profesionales y las demás organizaciones
representantes de otras categorías de responsables o usuarios de
archivos, registros, bases o bancos de datos públicos o privados, que
hayan elaborado proyectos de códigos éticos, o que tengan la intención
de modificar o prorrogar códigos nacionales existentes, podrán
someterlos a consideración de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE
DATOS PERSONALES, la cual aprobará el ordenamiento o sugerirá las
correcciones que se estimen necesarias para su aprobación.
CAPÍTULO VI
SANCIONES
ARTÍCULO 31.-
1. Las sanciones administrativas establecidas en el artículo 31 de la
Ley Nº 25.326 serán aplicadas a los responsables o usuarios de archivos,
registros, bases o bancos de datos públicos, y privados destinados a dar
información, se hubieren inscripto o no en el registro correspondiente.
La cuantía de las sanciones se graduará atendiendo a la naturaleza de
los derechos personales afectados, al volumen de los tratamientos
efectuados, a los beneficios obtenidos, al grado de intencionalidad, a
la reincidencia, a los daños y perjuicios causados a las personas
interesadas y a terceros, y a cualquier otra circunstancia que sea
relevante para determinar el grado de antijuricidad y de culpabilidad
presentes en la concreta actuación infractora. Se considerará
reincidente a quien habiendo sido sancionado por una infracción a la Ley
Nº 25.326 o sus reglamentaciones incurriera en otra de similar
naturaleza dentro del término de TRES (3) años, a contar desde la
aplicación de la sanción.
2. El producido de las multas a que se refiere el artículo 31 de la Ley
Nº 25.326 se aplicará al financiamiento de la DIRECCIÓN NACIONAL DE
PROTECCIÓN DE DATOS PERSONALES.
3. (inc. sustituido por decreto 1160/10 PEN) El procedimiento se
ajustará a las siguientes disposiciones:
a) La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES (DNPDP)
iniciará actuaciones administrativas en caso de presuntas infracciones a
las disposiciones de la Ley Nº 25.326, sus normas reglamentarias y
complementarias, de oficio o por denuncia de quien invocare un interés
particular, del Defensor del Pueblo de la Nación o de asociaciones de
consumidores o usuarios.
b) Para el cumplimiento de sus cometidos, la DIRECCIÓN NACIONAL DE
PROTECCIÓN DE DATOS PERSONALES podrá:
I) Comprobar la legitimidad de todas las operaciones y procedimientos
sistemáticos, electrónicos o no, que permitan la recolección,
conservación, ordenación, almacenamiento, modificación, relacionamiento,
evaluación, bloqueo, destrucción y en general el procesamiento de datos
personales, así como también su cesión a terceros a través de
comunicaciones, consultas, interconexiones o transferencias.
II) Constatar el funcionamiento adecuado de los mecanismos de control
interno y externo del archivo, registro, base o banco de datos para el
efectivo resguardo de los datos personales que contiene.
III) Verificar la observancia de las normas sobre integridad y seguridad
de datos por parte de los archivos, registros o bancos de datos.
IV) Velar por el cumplimiento de los plazos establecidos en los
artículos 14 y 16 de la Ley Nº 25.326 para el ejercicio de los derechos
de acceso, rectificación, supresión, actualización y confidencialidad
reconocidos a los titulares de datos personales.
V) Realizar investigaciones e inspecciones, así como requerir de los
responsables o usuarios de bancos de datos personales y de su
tratamiento, información, antecedentes, documentos, programas u otros
elementos relativos al tratamiento de los datos personales que estime
necesario y también solicitar el auxilio de los cuerpos técnicos y/o, en
su caso, la autorización judicial que corresponda, a sus efectos.
VI) Solicitar la presentación de informes a los responsables de bancos
de datos y de su tratamiento.
VII) Formular requerimientos ante las autoridades nacionales,
provinciales y municipales.
VIII) Realizar inspecciones y labrar el Acta de Inspección pertinente,
la que junto con las comprobaciones técnicas que se dispusieren,
constituirá prueba suficiente de los hechos así comprobados.
IX) Solicitar al juez competente el auxilio de la fuerza pública para
realizar el allanamiento de domicilios; la Clausura de registros; el
secuestro de documentación y toda otra medida tendiente al cabal
cumplimiento de la actividad investigativa.
c) Para el inicio del procedimiento, el denunciante deberá presentar
ante la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES un escrito,
el que deberá contener fecha, firma y aclaración; documento de identidad
(DNI-CUIL-CUIT), domicilio, la relación del hecho denunciado con las
circunstancias de lugar, tiempo y modo de ejecución y demás elementos
que puedan conducir a su comprobación, como mínimo. Deberá acompañar en
el mismo acto la documentación y antecedentes que confirmen sus dichos y
acreditar en el momento de la interposición de la denuncia, las
gestiones previas ante el responsable de la base de datos, cuando se
tratare de cuestiones referidas a los derechos de acceso, actualización,
rectificación, supresión, confidencialidad o bloqueo, regulados en los
artículos 14, 16 y 27 de la Ley Nº 25.326.
La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES podrá habilitar
un sistema telemático para facilitar la interposición de la denuncia.
d) Iniciado el procedimiento, se requerirá del responsable de la base de
datos sobre la que recae la denuncia, un informe acerca de los
antecedentes y circunstancias que hicieren al objeto de la denuncia o
actuación de oficio, así como de otros elementos de juicio que permitan
dilucidar la cuestión sujeta a investigación o control. La información
requerida deberá ser contestada dentro de los DIEZ (10) días hábiles,
salvo que el denunciado solicite en tiempo y forma una prórroga la que
no podrá superar los DIEZ (10) días hábiles. Este plazo podrá ampliarse
en casos debidamente justificados teniendo en cuenta la magnitud y
dimensión de la base de datos. En su primera presentación, el denunciado
deberá acreditar personería y constituir domicilio legal.
e) El funcionario actuante admitirá las pruebas que estime pertinentes
sólo cuando existieren hechos controvertidos y siempre que no resultaren
manifiestamente inconducentes. La denegatoria de las medidas de prueba
no será recurrible.
f) En las distintas etapas del procedimiento, se podrá requerir al
denunciante que aporte información o documentación que sea pertinente
para la dilucidación de la investigación.
g) Cuando se considere "prima facie" que se han transgredido algunos de
los preceptos de la Ley Nº 25.326, sus normas reglamentarias y
complementarias, se labrará un Acta de Constatación, la que deberá
contener: lugar y fecha, nombre, apellido y documento de identidad del
denunciante; una relación sucinta de los hechos; la indicación de las
diligencias realizadas y su resultado y la o las disposiciones
presuntamente infringidas, como mínimo. En ésta se dispondrá citar al
presunto infractor para que, dentro del plazo de DIEZ (10) días hábiles,
presente por escrito su descargo y, en caso de corresponder, acompañe
las pruebas que hagan a su derecho.
h) Concluida la investigación y previo dictamen del servicio permanente
de asesoramiento jurídico del MINISTERIO DE JUSTICIA, SEGURIDAD Y
DERECHOS HUMANOS, el Director Nacional de Protección de Datos Personales
dictará la respectiva disposición, la que deberá declarar:
I) que los hechos investigados no constituyen una irregularidad, o
II) que los hechos investigados constituyen una infracción, quiénes son
sus responsables y cuál es la sanción administrativa que corresponde
aplicar, conforme lo dispuesto en la Ley Nº 25.326, sus normas
reglamentarias y complementarias y lo establecido en la Disposición
DNPDP Nº 7 de fecha 8 de noviembre de 2005.
La resolución que se dicte deberá ser notificada al infractor.
i) Contra la resolución definitiva procederá la vía recursiva prevista
en el REGLAMENTO DE PROCEDIMIENTOS ADMINISTRATIVOS (Decreto Nº 1759/72 -
t.o. 1991) y sus modificatorios.
j) Dictada la resolución que impone una sanción administrativa, la
constancia de la misma deberá ser incorporada en el REGISTRO DE
INFRACTORES LEY Nº 25.326, que lleva la DIRECCIÓN NACIONAL DE PROTECCIÓN
DE DATOS PERSONALES. Las constancias de dicho Registro relativas a
aquellas sanciones aplicadas que se encuentren firmes deberán publicarse
en el sitio de Internet de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS
PERSONALES (www.jus.gov.ar/dnpdpnew).
k) Resultarán de aplicación supletoria la LEY NACIONAL DE PROCEDIMIENTOS
ADMINISTRATIVOS Nº 19.549; el REGLAMENTO DE PROCEDIMIENTOS
ADMINISTRATIVOS (Decreto Nº 1759/72 - t.o. 1991) y sus modificatorios y
el CÓDIGO PROCESAL CIVIL Y COMERCIAL DE LA NACIÓN.
ARTÍCULO 32.- Sin reglamentar.
CAPITULO VII
ACCIÓN DE PROTECCIÓN DE LOS DATOS PERSONALES
ARTÍCULOS 33 a 46.- Sin reglamentar. |