Carta de Noticias Nro. 401/09
Régimen de Protección de Datos Personales
A continuación ampliamos los
términos de la carta de noticias Nº 250, de fecha 06/03/2006 e informamos las
novedades más trascendentes del Régimen de Protección de Datos Personales (ley
25.326):
1)
Se creó el Registro Nacional de Bases de
Datos Personales, que tiene por objeto la protección integral de los
datos personales asentados en archivos, registros, bancos de datos o similares,
sean éstos públicos o privados
…………………………………….
2)
La formación de archivos de datos se
considera lícita, cuando se encuentran debidamente inscriptos, en el
Registro Nacional de Bases de Datos Personales.
3)
La inscripción es obligatoria,
y deben inscribirse todas las personas o empresas que formen registros, archivos o bases de datos que no tengan fines exclusivamente
personales, estén destinados o no a proveer informes a terceros, ya sea que se
lleven en forma digital o en papel.
4)
La inscripción tiene validez
anual, debiendo solicitar su renovación con 45
días de antelación a la fecha de vencimiento de la misma.
5)
Para inscribirse, las empresas
deben acceder a la página web del Ministerio de Justicia www.jus.gov.ar/dnpdp y completar
el formulario en forma gratuita, siempre que la sumatoria de las personas
registradas en todas las bases de datos a inscribir sea menor a 5.000.
6)
Existen diversos formularios
de inscripción, que deben ser presentados en los
casos que la persona que deba inscribirse, utilice base de datos propia; haga
tratamiento de datos sobre bases de terceros; procese datos con fines de
publicidad o venta directa; o se trate de fundaciones con y sin fines de lucro
…………………………….
7)
El tratamiento de datos
personales es ilícito, si no se cuenta para ello con
el previo consentimiento del titular. Dicho consentimiento no es necesario
cuando:
a)
Los datos se obtienen de fuentes
de acceso público irrestricto;
b)
Se recaban para el ejercicio de
funciones propias de los poderes del Estado o en virtud de una obligación
legal;
c)
Se trata de listados cuyos datos
se limiten a nombre, documento nacional de identidad, identificación tributaria
o previsional, ocupación, fecha de nacimiento y domicilio;
d)
Derivan de una relación
contractual, científica o profesional del titular de los datos, y resulten
necesarios para su desarrollo o cumplimiento;
e)
Se trata de las operaciones que
realicen las entidades financieras y de las informaciones que reciban de sus
clientes conforme las disposiciones del artículo 39 de la Ley 21.526.
…………………………………
8)
Ninguna persona puede ser
obligada a proporcionar datos sensibles (origen
racial, convicciones religiosas, políticas, filosóficas o morales, etc).
9)
Cuando se recaban datos
personales se debe informar previamente a sus
titulares en forma expresa :
a)
La finalidad para la que serán tratados
y quiénes pueden ser sus destinatarios;
b)
La existencia del archivo, de que
se trate y la identidad y domicilio de su responsable;
c)
El carácter obligatorio o
facultativo de las respuestas al cuestionario que se le proponga,
d)
Las consecuencias de proporcionar
los datos, de la negativa a hacerlo o de la inexactitud de los mismos;
e)
La posibilidad del interesado de
ejercer los derechos de acceso, rectificación y supresión de los datos
10)
Los datos deben ser exactos y
actualizarse en caso de ser necesario.
………………………………………
11)
Quienes intervengan en cualquier
fase del tratamiento de datos personales están obligados a guardar secreto
profesional respecto de los mismos.
12)
El responsable del archivo
debe adoptar las medidas técnicas y
organizativas necesarias para garantizar la
seguridad y confidencialidad de los datos.
13)
Está prohibido registrar datos en archivos que no reúnan las condiciones técnicas de
integridad y seguridad.
14) Asimismo, se prohibe la transferencia de datos de cualquier tipo con otros países u organismos internacionales, que no
proporcionen niveles de protección adecuados.
15)
En cuanto a las medidas de
seguridad, se establecen 3 niveles: Básico, Medio y Crítico.
16)
El nivel Básico se aplica a las
bases de datos personales en general.
17)
El nivel Medio corresponde a las empresas privadas de servicios públicos, así como también a las
entidades públicas/privadas que deben guardan secreto por otras disposiciones
regulatorias (ej. bancos y entidades financieras).
18) El nivel Crítico se refiere a las
organizaciones cuyas bases de datos guardan datos sensibles (ej. de salud,
afiliación sindical, convicciones religiosas, opiniones políticas, etc.).
………………………………..
19)
La base de datos que lleva
cada empresa y que debe ser inscripta en el
Registro Nacional de Base de Datos Personales, debe comprender como mínimo la siguiente información:
a)
nombre y domicilio del
responsable,
b)
características y finalidad del
archivo,
c)
naturaleza de los datos
personales,
d)
forma de recolección de los datos
y su actualización,
e)
destino de los datos y personas a
las que puedan ser transmitidos,
f)
modo de interrelacionar la
información registrada,
g)
medidas de seguridad de los
mismos,
h)
tiempo de conservación de los
datos, y
i)
forma y condiciones en que las
personas pueden acceder a los datos referidos a ellas y los procedimientos a
realizar para la rectificación o actualización de los datos.
20) Toda persona (física ó jurídica) tiene derecho a solicitar y obtener
información de sus datos personales que se encuentren incluidos en los bancos
de datos de los entes públicos ó privados.
…………………………………..
21) En caso de incumplimiento de alguna de las obligaciones impuestas por
el presente régimen, las empresas pueden ser objeto de sanciones administrativas y
penales.
22)
Asimismo se establece la
responsabilidad solidaria entre el cedente y
cesionario, de la base de datos personales, por la observancia de las normas
legales y reglamentarias.
23)
En cuanto a las sanciones administrativas, las mismas son:
a)
INFRACCIONES LEVES: hasta 2 apercibimientos y/o
una multa de $ 1.000 a
$ 3.000;
b)
INFRACCIONES GRAVES: hasta 4 apercibimientos, suspensión de 1 a 30 días y/o multa de $ 3.001 a $50.000,00; y
c)
INFRACCIONES MUY GRAVES: 6 apercibimientos, suspensión de 31 a 365 días, clausura ó cancelación del
archivo ó banco de datos y/o multa de $ 50.001,00 a $
100.000,00.
24)
Cuando se superan los 6
apercibimientos no se puede aplicar nuevamente
esta sanción.
………………………………..
25)
Por otra parte, debemos informar
que la Dirección
Nacional de Protección de Datos Personales, ha
comenzado a enviar intimaciones a las empresas para, que aquéllas que
no lo hayan hecho, cumplan con la obligación de inscripción en el Registro
Nacional de Bases de Datos
26)
Asimismo, la propia AFIP, está recordando
a los contribuyentes usuarios de bases de datos, la obligación de inscribirse
en el Registro Nacional de Protección de Bases de Datos Personales.
………………………………………
27) Los responsables de bases de datos personales que
se hayan inscripto, pueden
hacer uso - en su página web-, y previa autorización, del isologotipo aprobado por la Dirección Nacional
de Bases de Datos Personales.
………………………………………
28) Existe responsabilidad solidaria entre las empresas inscriptas en el Registro y sus
cedentes o cesionarios de información.
29) En virtud de ello, el Registro Nacional de Base de
Datos está enviando cartas a las empresas inscriptas para que verifiquen que
sus cedentes o cesionarios también lo estén.
30)
Para verificar que una
empresa, organismo o profesional esté inscripto en
el Registro Nacional, se puede consultar la página web www.jus.gov.ar/dnpdp
(Servicios/Registro Nacional/Responsables inscriptos).
31) Atento lo indicado en los puntos 29) y 30), y a los
efectos de estar un poco más protegido ante cualquier problema que pudiere
ocurrir, adjuntamos como Anexo I, modelo de carta para ser remitida a
las empresas que sean cedentes o cesionarios de sus bases de datos personales,
donde se las invita a cumplir con la obligación de inscripción.
..…………………………………….
32)
Para la elaboración de la presente y del Anexo,
hemos contado con la colaboración de
nuestros Asesores Jurídicos Dres. (Abogados) Carlos M. Zolezzi y Hernán
Cyderboim.
Buenos Aires, 27 de Octubre de 2009.
ANEXO I
MODELO CARTA
Sr./res……
Tenemos
el agrado de dirigirnos a Usted, con relación al Régimen de Protección de Datos
Personales (Ley 25.326).
En
primer lugar, cabe decir que el art. 1 de la ley dispone que el objeto del
presente régimen es la protección integral de los datos personales asentados en
archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de
datos, sean éstos públicos, o privados destinados a dar informes, para garantizar
el derecho al honor y a la intimidad de las personas, así como también el
acceso a la información que sobre las mismas se registre.
Asimismo, se
establece como uno de los principios generales relativos a la protección de
datos personales, LA OBLIGACION DE INSCRIBIR las bases de datos
destinadas a proporcionar informes, ante el Registro Nacional de Bases de Datos
Personales (arts. 3, 21 inc. 1 y 4 ley 25.326).
La
no inscripción puede acarrear responsabilidades administrativas, civiles y
penales.
En cumplimiento de
este deber legal, nuestra Empresa ha procedido a inscribir, oportunamente, las bases de datos que registran
información de carácter personal.
Por
otra parte, el art. 11 inc. 4 de la
Ley 25.3260, dispone que el cesionario
queda sujeto a las mismas obligaciones legales y reglamentarias del cedente y
éste responde solidaria y conjuntamente por la observancia de las mismas ante
el organismo de control y el titular de los datos de que se trate.
En virtud de ello,
frente a un incumplimiento de quien cedió es solidariamente responsable el
cesionario y viceversa.
De allí, y a los
efectos de evitar la responsabilidad solidaria de nuestra Empresa por
incumplimiento de terceros, es que los invitamos a cumplir, en caso de aún no
haberla realizado, con la obligación de inscripción en el Registro Nacional de
Base de Datos.
Sin otro particular saludamos a Uds. muy atte.
Dr: Ramírez Miguel Ángel
Contador Público U.B.A
No hay comentarios:
Publicar un comentario