|
Poder Legislativo Nacional
PROTECCIÓN DE DATOS
PERSONALES
Ley N° 25.326. Sanción:
4/10/2000. Promulgación parcial: 30/10/2000. B.O.: 2/11/2000.
Protección de Datos Personales. Disposiciones Generales. Principios generales relativos a la protección
de datos. Derechos de los titulares de datos. Usuarios y responsables de
archivos, registros y bancos de datos. Control. Sanciones. Acción de
protección de los datos personales.
El Senado y Cámara de
Diputados de la Nación Argentina reunidos en Congreso, etc. sancionan
con fuerza de Ley:
Ley de Protección de los
Datos Personales
Capítulo I
Disposiciones Generales
ARTICULO 1° — (Objeto).
La presente ley tiene por
objeto la protección integral de los datos personales asentados en
archivos, registros, bancos de datos, u otros medios técnicos de
tratamiento de datos, sean éstos públicos, o privados destinados a dar
informes, para garantizar el derecho al honor y a la intimidad de las
personas, así como también el acceso a la información que sobre las
mismas se registre, de conformidad a lo establecido en el artículo 43,
párrafo tercero de la Constitución Nacional.
Las disposiciones de la
presente ley también serán aplicables, en cuanto resulte pertinente, a
los datos relativos a personas de existencia ideal.
En ningún caso se podrán
afectar la base de datos ni las fuentes de información periodísticas.
ARTICULO 2° — (Definiciones).
A los fines de la presente
ley se entiende por:
— Datos personales:
Información de cualquier tipo referida a personas físicas o de
existencia ideal determinadas o determinables.
— Datos sensibles: Datos
personales que revelan origen racial y étnico, opiniones políticas,
convicciones religiosas, filosóficas o morales, afiliación sindical e
información referente a la salud o a la vida sexual.
— Archivo, registro, base o
banco de datos: Indistintamente, designan al conjunto organizado de
datos personales que sean objeto de tratamiento o procesamiento,
electrónico o no, cualquiera que fuere la modalidad de su formación,
almacenamiento, organización o acceso.
— Tratamiento de datos:
Operaciones y procedimientos sistemáticos, electrónicos o no, que
permitan la recolección, conservación, ordenación, almacenamiento,
modificación, relacionamiento, evaluación, bloqueo, destrucción, y en
general el procesamiento de datos personales, así como también su cesión
a terceros a través de comunicaciones, consultas, interconexiones o
transferencias.
— Responsable de archivo,
registro, base o banco de datos: Persona física o de existencia ideal
pública o privada, que es titular de un archivo, registro, base o banco
de datos.
— Datos informatizados: Los
datos personales sometidos al tratamiento o procesamiento electrónico o
automatizado.
— Titular de los datos: Toda
persona física o persona de existencia ideal con domicilio legal o
delegaciones o sucursales en el país, cuyos datos sean objeto del
tratamiento al que se refiere la presente ley.
— Usuario de datos: Toda
persona, pública o privada que realice a su arbitrio el tratamiento de
datos, ya sea en archivos, registros o bancos de datos propios o a
través de conexión con los mismos.
— Disociación de datos: Todo
tratamiento de datos personales de manera que la información obtenida no
pueda asociarse a persona determinada o determinable.
Capítulo II
Principios generales relativos
a la protección de datos
ARTICULO 3° — (Archivos de
datos – Licitud).
La formación de archivos de
datos será lícita cuando se encuentren debidamente inscriptos,
observando en su operación los principios que establece la presente ley
y las reglamentaciones que se dicten en su consecuencia.
Los archivos de datos no
pueden tener finalidades contrarias a las leyes o a la moral pública.
ARTICULO 4° — (Calidad de los
datos).
1. Los datos personales que
se recojan a los efectos de su tratamiento deben ser ciertos, adecuados,
pertinentes y no excesivos en relación al ámbito y finalidad para los
que se hubieren obtenido.
2. La recolección de datos no
puede hacerse por medios desleales, fraudulentos o en forma contraria a
las disposiciones de la presente ley.
3. Los datos objeto de
tratamiento no pueden ser utilizados para finalidades distintas o
incompatibles con aquellas que motivaron su obtención.
4. Los datos deben ser
exactos y actualizarse en el caso de que ello fuere necesario.
5. Los datos total o
parcialmente inexactos, o que sean incompletos, deben ser suprimidos y
sustituidos, o en su caso completados, por el responsable del archivo o
base de datos cuando se tenga conocimiento de la inexactitud o carácter
incompleto de la información de que se trate, sin perjuicio de los
derechos del titular establecidos en el artículo 16 de la presente ley.
6. Los datos deben ser
almacenados de modo que permitan el ejercicio del derecho de acceso de
su titular.
7. Los datos deben ser
destruidos cuando hayan dejado de ser necesarios o pertinentes a los
fines para los cuales hubiesen sido recolectados.
ARTICULO 5° —
(Consentimiento).
1. El tratamiento de datos
personales es ilícito cuando el titular no hubiere prestado su
consentimiento libre, expreso e informado, el que deberá constar por
escrito, o por otro medio que permita se le equipare, de acuerdo a las
circunstancias.
El referido consentimiento
prestado con otras declaraciones, deberá figurar en forma expresa y
destacada, previa notificación al requerido de datos, de la información
descrita en el artículo 6° de la presente ley.
2. No será necesario el
consentimiento cuando:
a) Los datos se obtengan de
fuentes de acceso público irrestricto;
b) Se recaben para el
ejercicio de funciones propias de los poderes del Estado o en virtud de
una obligación legal;
c) Se trate de listados cuyos
datos se limiten a nombre, documento nacional de identidad,
identificación tributaria o previsional, ocupación, fecha de nacimiento
y domicilio;
d) Deriven de una relación
contractual, científica o profesional del titular de los datos, y
resulten necesarios para su desarrollo o cumplimiento;
e) Se trate de las
operaciones que realicen las entidades financieras y de las
informaciones que reciban de sus clientes conforme las disposiciones del
artículo 39 de la Ley 21.526.
ARTICULO 6° — (Información).
Cuando se recaben datos
personales se deberá informar previamente a sus titulares en forma
expresa y clara:
a) La finalidad para la que
serán tratados y quiénes pueden ser sus destinatarios o clase de
destinatarios;
b) La existencia del archivo,
registro, banco de datos, electrónico o de cualquier otro tipo, de que
se trate y la identidad y domicilio de su responsable;
c) El carácter obligatorio o
facultativo de las respuestas al cuestionario que se le proponga, en
especial en cuanto a los datos referidos en el artículo siguiente;
d) Las consecuencias de
proporcionar los datos, de la negativa a hacerlo o de la inexactitud de
los mismos;
e) La posibilidad del
interesado de ejercer los derechos de acceso, rectificación y supresión
de los datos.
ARTICULO 7° — (Categoría de
datos).
1. Ninguna persona puede ser
obligada a proporcionar datos sensibles.
2. Los datos sensibles sólo
pueden ser recolectados y objeto de tratamiento cuando medien razones de
interés general autorizadas por ley. También podrán ser tratados con
finalidades estadísticas o científicas cuando no puedan ser
identificados sus titulares.
3. Queda prohibida la
formación de archivos, bancos o registros que almacenen información que
directa o indirectamente revele datos sensibles. Sin perjuicio de ello,
la Iglesia Católica, las asociaciones religiosas y las organizaciones
políticas y sindicales podrán llevar un registro de sus miembros.
4. Los datos relativos a
antecedentes penales o contravencionales sólo pueden ser objeto de
tratamiento por parte de las autoridades públicas competentes, en el
marco de las leyes y reglamentaciones respectivas.
ARTICULO 8° — (Datos
relativos a la salud).
Los establecimientos
sanitarios públicos o privados y los profesionales vinculados a las
ciencias de la salud pueden recolectar y tratar los datos personales
relativos a la salud física o mental de los pacientes que acudan a los
mismos o que estén o hubieren estado bajo tratamiento de aquéllos,
respetando los principios del secreto profesional.
ARTICULO 9° — (Seguridad de
los datos).
1. El responsable o usuario
del archivo de datos debe adoptar las medidas técnicas y organizativas
que resulten necesarias para garantizar la seguridad y confidencialidad
de los datos personales, de modo de evitar su adulteración, pérdida,
consulta o tratamiento no autorizado, y que permitan detectar
desviaciones, intencionales o no, de información, ya sea que los riesgos
provengan de la acción humana o del medio técnico utilizado.
2. Queda prohibido registrar
datos personales en archivos, registros o bancos que no reúnan
condiciones técnicas de integridad y seguridad.
ARTICULO 10. — (Deber de
confidencialidad).
1. El responsable y las
personas que intervengan en cualquier fase del tratamiento de datos
personales están obligados al secreto profesional respecto de los
mismos. Tal obligación subsistirá aun después de finalizada su relación
con el titular del archivo de datos.
2. El obligado podrá ser
relevado del deber de secreto por resolución judicial y cuando medien
razones fundadas relativas a la seguridad pública, la defensa nacional o
la salud pública.
ARTICULO 11. — (Cesión).
1. Los datos personales
objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de
los fines directamente relacionados con el interés legítimo del cedente
y del cesionario y con el previo consentimiento del titular de los
datos, al que se le debe informar sobre la finalidad de la cesión e
identificar al cesionario o los elementos que permitan hacerlo.
2. El consentimiento para la
cesión es revocable.
3. El consentimiento no es
exigido cuando:
a) Así lo disponga una ley;
b) En los supuestos previstos
en el artículo 5° inciso 2;
c) Se realice entre
dependencias de los órganos del Estado en forma directa, en la medida
del cumplimiento de sus respectivas competencias;
d) Se trate de datos
personales relativos a la salud, y sea necesario por razones de salud
pública, de emergencia o para la realización de estudios
epidemiológicos, en tanto se preserve la identidad de los titulares de
los datos mediante mecanismos de disociación adecuados;
e) Se hubiera aplicado un
procedimiento de disociación de la información, de modo que los
titulares de los datos sean inidentificables.
4. El cesionario quedará
sujeto a las mismas obligaciones legales y reglamentarias del cedente y
éste responderá solidaria y conjuntamente por la observancia de las
mismas ante el organismo de control y el titular de los datos de que se
trate.
ARTICULO 12. — (Transferencia
internacional).
1. Es prohibida la
transferencia de datos personales de cualquier tipo con países u
organismos internacionales o supranacionales, que no propocionen niveles
de protección adecuados.
2. La prohibición no regirá
en los siguientes supuestos:
a) Colaboración judicial
internacional;
b) Intercambio de datos de
carácter médico, cuando así lo exija el tratamiento del afectado, o una
investigación epidemiológica, en tanto se realice en los términos del
inciso e) del artículo anterior;
c) Transferencias bancarias o
bursátiles, en lo relativo a las transacciones respectivas y conforme la
legislación que les resulte aplicable;
d) Cuando la transferencia se
hubiera acordado en el marco de tratados internacionales en los cuales
la República Argentina sea parte;
e) Cuando la transferencia
tenga por objeto la cooperación internacional entre organismos de
inteligencia para la lucha contra el crimen organizado, el terrorismo y
el narcotráfico.
Capítulo III
Derechos de los titulares de
datos
ARTICULO 13. — (Derecho de
Información).
Toda persona puede solicitar
información al organismo de control relativa a la existencia de
archivos, registros, bases o bancos de datos personales, sus finalidades
y la identidad de sus responsables.
El registro que se lleve al
efecto será de consulta pública y gratuita.
ARTICULO 14. — (Derecho de
acceso).
1. El titular de los datos,
previa acreditación de su identidad, tiene derecho a solicitar y obtener
información de sus datos personales incluidos en los bancos de datos
públicos, o privados destinados a proveer informes.
2. El responsable o usuario
debe proporcionar la información solicitada dentro de los diez días
corridos de haber sido intimado fehacientemente.
Vencido el plazo sin que se
satisfaga el pedido, o si evacuado el informe, éste se estimara
insuficiente, quedará expedita la acción de protección de los datos
personales o de hábeas data prevista en esta ley.
3. El derecho de acceso a que
se refiere este artículo sólo puede ser ejercido en forma gratuita a
intervalos no inferiores a seis meses, salvo que se acredite un interés
legítimo al efecto.
4. El ejercicio del derecho
al cual se refiere este artículo en el caso de datos de personas
fallecidas le corresponderá a sus sucesores universales.
ARTICULO 15. — (Contenido de
la información).
1. La información debe ser
suministrada en forma clara, exenta de codificaciones y en su caso
acompañada de una explicación, en lenguaje accesible al conocimiento
medio de la población, de los términos que se utilicen.
2. La información debe ser
amplia y versar sobre la totalidad del registro perteneciente al
titular, aun cuando el requerimiento sólo comprenda un aspecto de los
datos personales. En ningún caso el informe podrá revelar datos
pertenecientes a terceros, aun cuando se vinculen con el interesado.
3. La información, a opción
del titular, podrá suministrarse por escrito, por medios electrónicos,
telefónicos, de imagen, u otro idóneo a tal fin.
ARTICULO 16. — (Derecho de
rectificación, actualización o supresión).
1. Toda persona tiene derecho
a que sean rectificados, actualizados y, cuando corresponda, suprimidos
o sometidos a confidencialidad los datos personales de los que sea
titular, que estén incluidos en un banco de datos.
2. El responsable o usuario
del banco de datos, debe proceder a la rectificación, supresión o
actualización de los datos personales del afectado, realizando las
operaciones necesarias a tal fin en el plazo máximo de cinco días
hábiles de recibido el reclamo del titular de los datos o advertido el
error o falsedad.
3. El incumplimiento de esta
obligación dentro del término acordado en el inciso precedente,
habilitará al interesado a promover sin más la acción de protección de
los datos personales o de hábeas data prevista en la presente ley.
4. En el supuesto de cesión,
o transferencia de datos, el responsable o usuario del banco de datos
debe notificar la rectificación o supresión al cesionario dentro del
quinto día hábil de efectuado el tratamiento del dato.
5. La supresión no procede
cuando pudiese causar perjuicios a derechos o intereses legítimos de
terceros, o cuando existiera una obligación legal de conservar los
datos.
6. Durante el proceso de
verificación y rectificación del error o falsedad de la información que
se trate, el responsable o usuario del banco de datos deberá o bien
bloquear el archivo, o consignar al proveer información relativa al
mismo la circunstancia de que se encuentra sometida a revisión.
7. Los datos personales deben
ser conservados durante los plazos previstos en las disposiciones
aplicables o en su caso, en las contractuales entre el responsable o
usuario del banco de datos y el titular de los datos.
ARTICULO 17. — (Excepciones).
1. Los responsables o
usuarios de bancos de datos públicos pueden, mediante decisión fundada,
denegar el acceso, rectificación o la supresión en función de la
protección de la defensa de la Nación, del orden y la seguridad
públicos, o de la protección de los derechos e intereses de terceros.
2. La información sobre datos
personales también puede ser denegada por los responsables o usuarios de
bancos de datos públicos, cuando de tal modo se pudieran obstaculizar
actuaciones judiciales o administrativas en curso vinculadas a la
investigación sobre el cumplimiento de obligaciones tributarias o
previsionales, el desarrollo de funciones de control de la salud y del
medio ambiente, la investigación de delitos penales y la verificación de
infracciones administrativas. La resolución que así lo disponga debe ser
fundada y notificada al afectado.
3. Sin perjuicio de lo
establecido en los incisos anteriores, se deberá brindar acceso a los
registros en cuestión en la oportunidad en que el afectado tenga que
ejercer su derecho de defensa.
ARTICULO 18. — (Comisiones
legislativas).
Las Comisiones de Defensa
Nacional y la Comisión Bicameral de Fiscalización de los Organos y
Actividades de Seguridad Interior e Inteligencia del Congreso de la
Nación y la Comisión de Seguridad Interior de la Cámara de Diputados de
la Nación, o las que las sustituyan, tendrán acceso a los archivos o
bancos de datos referidos en el artículo 23 inciso 2 por razones
fundadas y en aquellos aspectos que constituyan materia de competencia
de tales Comisiones.
ARTICULO 19. — (Gratuidad).
La rectificación,
actualización o supresión de datos personales inexactos o incompletos
que obren en registros públicos o privados se efectuará sin cargo alguno
para el interesado.
ARTICULO 20. — (Impugnación
de valoraciones personales).
1. Las decisiones judiciales
o los actos administrativos que impliquen apreciación o valoración de
conductas humanas, no podrán tener como único fundamento el resultado
del tratamiento informatizado de datos personales que suministren una
definición del perfil o personalidad del interesado.
2. Los actos que resulten
contrarios a la disposición precedente serán insanablemente nulos.
Capítulo IV
Usuarios y responsables de
archivos, registros y bancos de datos
ARTICULO 21. — (Registro de
archivos de datos. Inscripción).
1. Todo archivo, registro,
base o banco de datos público, y privado destinado a proporcionar
informes debe inscribirse en el Registro que al efecto habilite el
organismo de control.
2. El registro de archivos de
datos debe comprender como mínimo la siguiente información:
a) Nombre y domicilio del
responsable;
b) Características y
finalidad del archivo;
c) Naturaleza de los datos
personales contenidos en cada archivo;
d) Forma de recolección y
actualización de datos;
e) Destino de los datos y
personas físicas o de existencia ideal a las que pueden ser
transmitidos;
f) Modo de interrelacionar la
información registrada;
g) Medios utilizados para
garantizar la seguridad de los datos, debiendo detallar la categoría de
personas con acceso al tratamiento de la información;
h) Tiempo de conservación de
los datos;
i) Forma y condiciones en que
las personas pueden acceder a los datos referidos a ellas y los
procedimientos a realizar para la rectificación o actualización de los
datos.
3) Ningún usuario de datos
podrá poseer datos personales de naturaleza distinta a los declarados en
el registro.
El incumplimiento de estos
requisitos dará lugar a las sanciones administrativas previstas en el
capítulo VI de la presente ley.
ARTICULO 22. — (Archivos,
registros o bancos de datos públicos).
1. Las normas sobre creación,
modificación o supresión de archivos, registros o bancos de datos
pertenecientes a organismos públicos deben hacerse por medio de
disposición general publicada en el Boletín Oficial de la Nación o
diario oficial.
2. Las disposiciones
respectivas, deben indicar:
a) Características y
finalidad del archivo;
b) Personas respecto de las
cuales se pretenda obtener datos y el carácter facultativo u obligatorio
de su suministro por parte de aquéllas;
c) Procedimiento de obtención
y actualización de los datos;
d) Estructura básica del
archivo, informatizado o no, y la descripción de la naturaleza de los
datos personales que contendrán;
e) Las cesiones,
transferencias o interconexiones previstas;
f) Organos responsables del
archivo, precisando dependencia jerárquica en su caso;
g) Las oficinas ante las que
se pudiesen efectuar las reclamaciones en ejercicio de los derechos de
acceso, rectificación o supresión.
3. En las disposiciones que
se dicten para la supresión de los registros informatizados se esta
blecerá el destino de los mismos o las medidas que se adopten para su
destrucción.
ARTICULO 23. — (Supuestos
especiales).
1. Quedarán sujetos al
régimen de la presente ley, los datos personales que por haberse
almacenado para fines administrativos, deban ser objeto de registro
permanente en los bancos de datos de las fuerzas armadas, fuerzas de
seguridad, organismos policiales o de inteligencia; y aquellos sobre
antecedentes personales que proporcionen dichos bancos de datos a las
autoridades administrativas o judiciales que los requieran en virtud de
disposiciones legales.
2. El tratamiento de datos
personales con fines de defensa nacional o seguridad pública por parte
de las fuerzas armadas, fuerzas de seguridad, organismos policiales o
inteligencia, sin consentimiento de los afectados, queda limitado a
aquellos supuestos y categoría de datos que resulten necesarios para el
estricto cumplimiento de las misiones legalmente asignadas a aquéllos
para la defensa nacional, la seguridad pública o para la represión de
los delitos. Los archivos, en tales casos, deberán ser específicos y
establecidos al efecto, debiendo clasificarse por categorías, en función
de su grado de fiabilidad.
3. Los datos personales
registrados con fines policiales se cancelarán cuando no sean necesarios
para las averiguaciones que motivaron su almacenamiento.
ARTICULO 24. — (Archivos,
registros o bancos de datos privados).
Los particulares que formen
archivos, registros o bancos de datos que no sean para un uso
exclusivamente personal deberán registrarse conforme lo previsto en el
artículo 21.
ARTICULO 25. — (Prestación de
servicios informatizados de datos personales).
1. Cuando por cuenta de
terceros se presten servicios de tratamiento de datos personales, éstos
no podrán aplicarse o utilizarse con un fin distinto al que figure en el
contrato de servicios, ni cederlos a otras personas, ni aun para su
conservación.
2. Una vez cumplida la
prestación contractual los datos personales tratados deberán ser
destruidos, salvo que medie autorización expresa de aquel por cuenta de
quien se prestan tales servicios cuando razonablemente se presuma la
posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con
las debidas condiciones de seguridad por un período de hasta dos años.
ARTICULO 26. — (Prestación de
servicios de información crediticia).
1. En la prestación de
servicios de información crediticia sólo pueden tratarse datos
personales de carácter patrimonial relativos a la solvencia económica y
al crédito, obtenidos de fuentes accesibles al público o procedentes de
informaciones facilitadas por el interesado o con su consentimiento.
2. Pueden tratarse igualmente
datos personales relativos al cumplimiento o incumplimiento de
obligaciones de contenido patrimonial, facilitados por el acreedor o por
quien actúe por su cuenta o interés.
3. A solicitud del titular de
los datos, el responsable o usuario del banco de datos, le comunicará
las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan
sido comunicadas durante los últimos seis meses y y el nombre y
domicilio del cesionario en el supuesto de tratarse de datos obtenidos
por cesión.
4. Sólo se podrán archivar,
registrar o ceder los datos personales que sean significativos para
evaluar la solvencia económico-financiera de los afectados durante los
últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor
cancele o de otro modo extinga la obligación, debiéndose hace constar
dicho hecho.
5. La prestación de servicios
de información crediticia no requerirá el previo consentimiento del
titular de los datos a los efectos de su cesión, ni la ulterior
comunicación de ésta, cuando estén relacionados con el giro de las
actividades comerciales o crediticias de los cesionarios.
ARTICULO 27. — (Archivos,
registros o bancos de datos con fines de publicidad).
1. En la recopilación de
domicilios, reparto de documentos, publicidad o venta directa y otras
actividades análogas, se podrán tratar datos que sean aptos para
establecer perfiles determinados con fines promocionales, comerciales o
publicitarios; o permitan establecer hábitos de consumo, cuando éstos
figuren en documentos accesibles al público o hayan sido facilitados por
los propios titulares u obtenidos con su consentimiento.
2. En los supuestos
contemplados en el presente artículo, el titular de los datos podrá
ejercer el derecho de acceso sin cargo alguno.
3. El titular podrá en
cualquier momento solicitar el retiro o bloqueo de su nombre de los
bancos de datos a los que se refiere el presente artículo.
ARTICULO 28. — (Archivos,
registros o bancos de datos relativos a encuestas).
1. Las normas de la presente
ley no se aplicarán a las encuestas de opinión, mediciones y
estadísticas relevadas conforme a Ley 17.622, trabajos de prospección de
mercados, investigaciones científicas o médicas y actividades análogas,
en la medida que los datos recogidos no puedan atribuirse a una persona
determinada o determinable.
2. Si en el proceso de
recolección de datos no resultara posible mantener el anonimato, se
deberá utilizar una técnica de disociación, de modo que no permita
identificar a persona alguna.
Capítulo V
Control
ARTICULO 29. — (Organo de
Control).
1. El órgano de control
deberá realizar todas las acciones necesarias para el cumplimiento de
los objetivos y demás disposiciones de la presente ley. A tales efectos
tendrá las siguientes funciones y atribuciones:
a) Asistir y asesorar a las
personas que lo requieran acerca de los alcances de la presente y de los
medios legales de que disponen para la defensa de los derechos que ésta
garantiza;
b) Dictar las normas y
reglamentaciones que se deben observar en el desarrollo de las
actividades comprendidas por esta ley;
c) Realizar un censo de
archivos, registros o bancos de datos alcanzados por la ley y mantener
el registro permanente de los mismos;
d) Controlar la observancia
de las normas sobre integridad y seguridad de datos por parte de los
archivos, registros o bancos de datos. A tal efecto podrá solicitar
autorización judicial para acceder a locales, equipos, o programas de
tratamiento de datos a fin de verificar infracciones al cumplimiento de
la presente ley;
e) Solicitar información a
las entidades públicas y privadas, las que deberán proporcionar los
antecedentes, documentos, programas u otros elementos relativos al
tratamiento de los datos personales que se le requieran. En estos casos,
la autoridad deberá garantizar la seguridad y confidencialidad de la
información y elementos suministrados;
f) Imponer las sanciones
administrativas que en su caso correspondan por violación a las normas
de la presente ley y de las reglamentaciones que se dicten en su
consecuencia;
g) Constituirse en
querellante en las acciones penales que se promovieran por violaciones a
la presente ley;
h) Controlar el cumplimiento
de los requisitos y garantías que deben reunir los archivos o bancos de
datos privados destinados a suministrar informes, para obtener la
correspondiente inscripción en el Registro creado por esta ley.
2. (Punto vetado por art. 1°
del Decreto N° 995/2000 B.O. 2/11/2000)
3. (Punto vetado por art. 1°
del Decreto N° 995/2000 B.O. 2/11/2000)
El Director tendrá dedicación
exclusiva en su función, encontrándose alcanzado por las
incompatibilidades fijadas por ley para los funcionarios públicos y
podrá ser removido por el Poder Ejecutivo por mal desempeño de sus
funciones.
ARTICULO 30. — (Códigos de
conducta).
1. Las asociaciones o
entidades representativas de responsables o usuarios de bancos de datos
de titularidad privada podrán elaborar códigos de conducta de práctica
profesional, que establezcan normas para el tratamiento de datos
personales que tiendan a asegurar y mejorar las condiciones de operación
de los sistemas de información en función de los principios establecidos
en la presente ley.
2. Dichos códigos deberán ser
inscriptos en el registro que al efecto lleve el organismo de control,
quien podrá denegar la inscripción cuando considere que no se ajustan a
las disposiciones legales y reglamentarias sobre la materia.
Capítulo VI
Sanciones
ARTICULO 31. — (Sanciones
administrativas).
1. Sin perjuicio de las
responsabilidades administrativas que correspondan en los casos de
responsables o usuarios de bancos de datos públicos; de la
responsabilidad por daños y perjuicios derivados de la inobservancia de
la presente ley, y de las sanciones penales que correspondan, el
organismo de control podrá aplicar las sanciones de apercibimiento,
suspensión, multa de mil pesos ($ 1.000.-) a cien mil pesos ($
100.000.-), clausura o cancelación del archivo, registro o banco de
datos.
2. La reglamentación
determinará las condiciones y procedimientos para la aplicación de las
sanciones previstas, las que deberán graduarse en relación a la gravedad
y extensión de la violación y de los perjuicios derivados de la
infracción, garantizando el principio del debido proceso.
ARTICULO 32. — (Sanciones
penales).
1. Incorpórase como artículo
117 bis del Código Penal, el siguiente:
"1°. Será reprimido con la
pena de prisión de un mes a dos años el que insertara o hiciera insertar
a sabiendas datos falsos en un archivo de datos personales.
2°. La pena será de seis
meses a tres años, al que proporcionara a un tercero a sabiendas
información falsa contenida en un archivo de datos personales.
3°. La escala penal se
aumentará en la mitad del mínimo y del máximo, cuando del hecho se
derive perjuicio a alguna persona.
4°. Cuando el autor o
responsable del ilícito sea funcionario público en ejercicio de sus
funciones, se le aplicará la accesoria de inhabilitación para el
desempeño de cargos públicos por el doble del tiempo que el de la
condena".
2. Incorpórase como artículo
157 bis del Código Penal el siguiente:
"Será reprimido con la pena
de prisión de un mes a dos años el que:
1°. A sabiendas e
ilegítimamente, o violando sistemas de confidencialidad y seguridad de
datos, accediere, de cualquier forma, a un banco de datos personales;
2°. Revelare a otro
información registrada en un banco de datos personales cuyo secreto
estuviere obligado a preservar por disposición de una ley.
Cuando el autor sea
funcionario público sufrirá, además, pena de inhabilitación especial de
uno a cuatro años".
Capítulo VII
Acción de protección de los
datos personales
ARTICULO 33. — (Procedencia).
1. La acción de protección de
los datos personales o de hábeas data procederá:
a) para tomar conocimiento de
los datos personales almacenados en archivos, registros o bancos de
datos públicos o privados destinados a proporcionar informes, y de la
finalidad de aquéllos;
b) en los casos en que se
presuma la falsedad, inexactitud, desactualización de la información de
que se trata, o el tratamiento de datos cuyo registro se encuentra
prohibido en la presente ley, para exigir su rectificación, supresión,
confidencialidad o actualización.
ARTICULO 34. — (Legitimación
activa).
La acción de protección de
los datos personales o de hábeas data podrá ser ejercida por el
afectado, sus tutores o curadores y los sucesores de las personas
físicas, sean en línea directa o colateral hasta el segundo grado, por
sí o por intermedio de apoderado.
Cuando la acción sea ejercida
por personas de existencia ideal, deberá ser interpuesta por sus
representantes legales, o apoderados que éstas designen al efecto.
En el proceso podrá
intervenir en forma coadyuvante el Defensor del Pueblo.
ARTICULO 35. — (Legitimación
pasiva).
La acción procederá respecto
de los responsables y usuarios de bancos de datos públicos, y de los
privados destinados a proveer informes.
ARTICULO 36. — (Competencia).
Será competente para entender
en esta acción el juez del domicilio del actor; el del domicilio del
demandado; el del lugar en el que el hecho o acto se exteriorice o
pudiera tener efecto, a elección del actor.
Procederá la competencia
federal:
a) cuando se interponga en
contra de archivos de datos públicos de organismos nacionales, y
b) cuando los archivos de
datos se encuentren interconectados en redes interjurisdicciones,
nacionales o internacionales.
ARTICULO 37. — (Procedimiento
aplicable).
La acción de hábeas data
tramitará según las disposiciones de la presente ley y por el
procedimiento que corresponde a la acción de amparo común y
supletoriamente por las normas del Código Procesal Civil y Comercial de
la Nación, en lo atinente al juicio sumarísimo.
ARTICULO 38. — (Requisitos de
la demanda).
1. La demanda deberá
interponerse por escrito, individualizando con la mayor precisión
posible el nombre y domicilio del archivo, registro o banco de datos y,
en su caso, el nombre del responsable o usuario del mismo.
En el caso de los archivos,
registros o bancos públicos, se procurará establecer el organismo
estatal del cual dependen.
2. El accionante deberá
alegar las razones por las cuales entiende que en el archivo, registro o
banco de datos individualizado obra información referida a su persona;
los motivos por los cuales considera que la información que le atañe
resulta discriminatoria, falsa o inexacta y justificar que se han
cumplido los recaudos que hacen al ejercicio de los derechos que le
reconoce la presente ley.
3. El afectado podrá
solicitar que mientras dure el procedimiento, el registro o banco de
datos asiente que la información cuestionada está sometida a un proceso
judicial.
4. El Juez podrá disponer el
bloqueo provisional del archivo en lo referente al dato personal motivo
del juicio cuando sea manifiesto el carácter discriminatorio, falso o
inexacto de la información de que se trate.
5. A los efectos de requerir
información al archivo, registro o banco de datos involucrado, el
criterio judicial de apreciación de las circunstancias requeridas en los
puntos 1 y 2 debe ser amplio.
ARTICULO 39. — (Trámite).
1. Admitida la acción el juez
requerirá al archivo, registro o banco de datos la remisión de la
información concerniente al accionante. Podrá asimismo solicitar
informes sobre el soporte técnico de datos, documentación de base
relativa a la recolección y cualquier otro aspecto que resulte
conducente a la resolución de la causa que estime procedente.
2. El plazo para contestar el
informe no podrá ser mayor de cinco días hábiles, el que podrá ser
ampliado prudencialmente por el juez.
ARTICULO 40. —
(Confidencialidad de la información).
1. Los registros, archivos o
bancos de datos privados no podrán alegar la confidencialidad de la
información que se les requiere salvo el caso en que se afecten las
fuentes de información periodística.
2. Cuando un archivo,
registro o banco de datos público se oponga a la remisión del informe
solicitado con invocación de las excepciones al derecho de acceso,
rectificación o supresión, autorizadas por la presente ley o por una ley
específica; deberá acreditar los extremos que hacen aplicable la
excepción legal. En tales casos, el juez podrá tomar conocimiento
personal y directo de los datos solicitados asegurando el mantenimiento
de su confidencialidad.
ARTICULO 41. — (Contestación
del informe).
Al contestar el informe, el
archivo, registro o banco de datos deberá expresar las razones por las
cuales incluyó la información cuestionada y aquellas por las que no
evacuó el pedido efectuado por el interesado, de conformidad a lo
establecido en los artículos 13 a 15 de la ley.
ARTICULO 42. — (Ampliación de
la demanda).
Contestado el informe, el
actor podrá, en el término de tres días, ampliar el objeto de la demanda
solicitando la supresión, rectificación, confidencialidad o
actualización de sus datos personales, en los casos que resulte
procedente a tenor de la presente ley, ofreciendo en el mismo acto la
prueba pertinente. De esta presentación se dará traslado al demandado
por el término de tres días.
ARTICULO 43. — (Sentencia).
1. Vencido el plazo para la
contestación del informe o contestado el mismo, y en el supuesto del
artículo 42, luego de contestada la ampliación, y habiendo sido
producida en su caso la prueba, el juez dictará sentencia.
2. En el caso de estimarse
procedente la acción, se especificará si la información debe ser
suprimida, rectificada, actualizada o declarada confidencial,
estableciendo un plazo para su cumplimiento.
3. El rechazo de la acción no
constituye presunción respecto de la responsabilidad en que hubiera
podido incurrir el demandante.
4. En cualquier caso, la
sentencia deberá ser comunicada al organismo de control, que deberá
llevar un registro al efecto.
ARTICULO 44. — (Ambito de
aplicación).
Las normas de la presente ley
contenidas en los Capítulos I, II, III y IV, y artículo 32 son de orden
público y de aplicación en lo pertinente en todo el territorio nacional.
Se invita a las provincias a
adherir a las normas de esta ley que fueren de aplicación exclusiva en
jurisdicción nacional.
La jurisdicción federal
regirá respecto de los registros, archivos, bases o bancos de datos
interconectados en redes de alcance interjurisdiccional, nacional o
internacional.
ARTICULO 45. — El Poder
Ejecutivo Nacional deberá reglamentar la presente ley y establecer el
organismo de control dentro de los ciento ochenta días de su
promulgación.
ARTICULO 46. — (Disposiciones
transitorias).
Los archivos, registros,
bases o bancos de datos destinados a proporcionar informes, existentes
al momento de la sanción de la presente ley, deberán inscribirse en el
registro que se habilite conforme a lo dispuesto en el artículo 21 y
adecuarse a lo que dispone el presente régimen dentro del plazo que al
efecto establezca la reglamentación.
(Nota Ecofield: por art. 2°
del Decreto N° 1558/2001 B.O. 3/12/2001 se establece en CIENTO OCHENTA
(180) días el plazo previsto en el presente artículo)
ARTICULO 47. — (art. incorporado por ley 26343) Los bancos de
datos destinados a prestar servicios de información crediticia deberán
eliminar y omitir el asiento en el futuro de todo dato referido a
obligaciones y calificaciones asociadas de las personas físicas y
jurídicas cuyas obligaciones comerciales se hubieran constituido en
mora, o cuyas obligaciones financieras hubieran sido clasificadas con
categoría 2, 3, 4 ó 5, según normativas del Banco Central de la
República Argentina, en ambos casos durante el período comprendido entre
el 1º de enero del año 2000 y el 10 de diciembre de 2003, siempre y
cuando esas deudas hubieran sido canceladas o regularizadas al momento
de entrada en vigencia de la presente ley o lo sean dentro de los 180
días posteriores a la misma. La suscripción de un plan de pagos por
parte del deudor, o la homologación del acuerdo preventivo o del acuerdo
preventivo extrajudicial importará la regularización de la deuda, a los
fines de esta ley.
El Banco Central de la
República Argentina establecerá los mecanismos que deben cumplir las
Entidades Financieras para informar a dicho organismo los datos
necesarios para la determinación de los casos encuadrados. Una vez
obtenida dicha información, el Banco Central de la República Argentina
implementará las medidas necesarias para asegurar que todos aquellos que
consultan los datos de su Central de Deudores sean informados de la
procedencia e implicancias de lo aquí dispuesto.
Toda persona que considerase
que sus obligaciones canceladas o regularizadas están incluidas en lo
prescripto en el presente artículo puede hacer uso de los derechos de
acceso, rectificación y actualización en relación con lo establecido.
Sin perjuicio de lo expuesto
en los párrafos precedentes, el acreedor debe comunicar a todo archivo,
registro o banco de datos al que hubiera cedido datos referentes al
incumplimiento de la obligación original, su cancelación o
regularización.
ARTICULO 48. — Comuníquese al
Poder Ejecutivo. |