LOA
Disposición 3-2012
Apruébanse Formulario de Inspección e
Instructivo. Derógase Disposición DNPDP N° 05-2008.
Bs. As., 31/7/2012
VISTO el Expediente N° S04:0020164/2011 del registro de este Ministerio, la LEY DE PROTECCION DE LOS
DATOS PERSONALES N° 25.326 y su Decreto Reglamentario N° 1558 del 29 de
noviembre de 2001, modificado por su similar N° 1160 del 11 de agosto de 2010 y
las Disposiciones Nros. 011 del 19 de septiembre de 2006 y 005 del 28 de mayo
de 2008 de esta Dirección Nacional, y
CONSIDERANDO:
Que la Ley N°
25.326 tiene por objeto la protección integral de los datos personales
asentados en archivos, registros, bancos de datos u otros medios técnicos de
tratamiento de datos, sean éstos públicos o privados, así como también el
acceso a la información que sobre los mismos se registre, de conformidad a lo
establecido en el artículo 43, párrafo tercero de la CONSTITUCION
NACIONAL.
Que es facultad de esta Dirección Nacional diseñar los
instrumentos que considere adecuados para la mejor protección de los datos
personales y para el cumplimiento de sus funciones y atribuciones.
Que de conformidad con lo establecido en el artículo 29, incisos b) y e), de la Ley N° 25.326, se encuentran
entre sus funciones y atribuciones, las de dictar las normas y reglamentaciones
que se deben observar en el desarrollo de sus actividades y las de solicitar la
información pertinente a las entidades públicas y privadas, en orden a
proporcionar los antecedentes, documentos, programas u otros elementos
relativos al tratamiento de los datos que se le requieran.
Que a su vez el artículo 31 de la
Ley N° 25.326 prevé que la reglamentación determinará las
condiciones y procedimientos para la aplicación de las sanciones allí previstas
y que corresponda aplicar en casos de inobservancia de los preceptos contenidos
en la Ley citada.
Que asimismo es responsabilidad del Organo de Control de la Ley N° 25.326 la realización
de investigaciones e inspecciones, el requerimiento de información,
antecedentes, documentos, programas u otros elementos relativos al tratamiento
de los datos personales a los responsables o usuarios de archivos, como así
también la de controlar la observancia de las normas sobre integridad y
seguridad de esos datos por parte de los titulares o usuarios de archivos,
registros o bancos de datos.
Que la experiencia recogida en el curso de la gestión llevada a cabo por esta
Dirección Nacional en relación con la mencionada actividad, impone la necesidad
de realizar modificaciones en los instrumentos de inspección implementados
mediante la
Disposición DNPDP N° 005/08.
Que en ese entendimiento y a fin de optimizar el procedimiento de inspección de
los archivos, registros, bases o bancos de datos públicos y privados previstos
en la Ley N°
25.326 y en la
Disposición DNPDP N° 005/08, esta Dirección Nacional
considera necesario reemplazar las NORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES oportunamente aprobadas por la Disposición DNPDP
N° 005/08 como Anexo I, por nuevos instrumentos bajo los nombres de “Formulario de Inspección” e “Instructivo
del Formulario de Inspección”, obrantes en los Anexos I y II, respectivamente.
Que mediante dichos instrumentos se prevé otorgar mayor celeridad y eficacia a
la actividad fiscalizadora, teniendo en miras facilitar a los inspeccionados
los elementos de juicio necesarios para la observancia de los principios y
requisitos de licitud que establece la
Ley N° 25.326.
Que a fin de observar una mejor técnica legislativa que permita contener en un
solo cuerpo normativo el régimen regulatorio de la actividad de contralor de
los principios enunciados en la
Ley N° 25.326 y otorgue mayor transparencia y seguridad en el
tratamiento de datos personales a quienes resultan alcanzados por aquélla, se
impone derogar la
Disposición DNPDP N° 005/08 y aprobar el nuevo cuerpo
dispositivo que conforma el procedimiento de fiscalización aludido
precedentemente.
Que ello permitirá a esta Dirección Nacional efectuar las correcciones y
recomendaciones que resulten necesarias para mejorar su gestión y proteger
debidamente los derechos del titular del dato.
Que ha tomado la intervención de su competencia la DIRECCION GENERAL
DE ASUNTOS JURIDICOS de este Ministerio.
Que la presente disposición se dicta en uso de las facultades contenidas en los
artículos 29, inciso 1, apartados b) y e), de la Ley N° 25.326, 29, inciso 5,
apartado a), del Anexo I del Decreto N° 1558/01 y 1°, inciso V), del Decreto N°
1160/10.
Por ello,
EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES
DISPONE:
Artículo 1° — Apruébanse el “Formulario de Inspección” obrante en el Anexo I del presente
acto y el “Instructivo del Formulario de Inspección” agregado como Anexo II.
Art. 2° — El ejercicio de la facultad de
fiscalización que tiene asignada esta Dirección Nacional se desarrollará de
oficio y cuando estime corresponder, si bien podrá tener causa en una petición
o denuncia de un órgano del Estado Nacional, provincial, municipal o un
particular.
Art. 3° — Las inspecciones y controles
serán efectuados por un agente de la planta permanente de esta Dirección
Nacional debidamente acreditado, quien revestirá el carácter de inspector y
podrá estar acompañado por el personal técnico que sea designado a tal fin por
el Director Nacional de Protección de Datos Personales a propuesta del titular
del área requerida. En todos los casos y de considerarlo pertinente, el
Director Nacional de Protección de Datos Personales podrá estar presente en la
inspección.
Art. 4° — La iniciación de la inspección se
instrumentará mediante decisión del Director Nacional de Protección de Datos
Personales y será debidamente notificada al responsable de la base de datos
sujeta a control con una antelación no inferior a DIEZ (10) días hábiles, salvo
que se entienda que la previa notificación pueda afectar el resultado de la
investigación, en cuyo caso deberá constar la pertinente justificación en el
acto de apertura de la inspección. En caso de efectuarse notificación, la misma
deberá ir acompañada por una copia de los textos correspondientes al “Formulario de Inspección” y su Instructivo, aprobados como
Anexos I y II de la presente.
Art. 5° — La inspección consistirá en una o
más visitas presenciales del inspector, en la que podrá acceder a la totalidad
de los locales, equipos o programas de tratamiento de datos personales del
responsable de la base de datos controlada. Dichas visitas se harán en días y
horas hábiles administrativos, sin perjuicio de lo cual de oficio o a petición
de parte podrán habilitarse aquellos que no lo fueren.
Art. 6° — La inspección se desarrollará
conforme lo disponen los puntos del “Formulario de Inspección” y el “Instructivo del Formulario de
Inspección”, en forma total o parcial según el alcance
objetivo o causal del control y a las características del tratamiento de datos
bajo inspección.
Art. 7° — En los casos en que las
circunstancias fácticas y el tipo de tratamiento de datos así lo exijan, se
podrá solicitar a los controlados la presentación de elementos adicionales que
permitan fiscalizar el cumplimiento de las obligaciones y principios contenidos
en la Ley N°
25.326 y su reglamentación, en el marco de las competencias asignadas a esta
Dirección Nacional.
Art. 8° — Los actos de inspección constarán
en un acta que será labrada por duplicado por el inspector y suscripta por el
mismo, por los técnicos que lo acompañen, en su caso y por el responsable de la
base de datos controlada. El original se incorporará a las actuaciones que
dieron origen a la inspección y el duplicado será entregado al responsable de
la base de datos.
Art. 9° — En caso de que resultare
necesario solicitar autorización judicial para acceder a locales, equipos o
programas de tratamiento de datos, a fin de verificar infracciones al
cumplimiento de la Ley N°
25.326, el inspector deberá elevar la respectiva petición al Director Nacional
de Protección de Datos Personales, quien formulará el correspondiente requerimiento.
Art. 10. — Derógase la Disposición DNPDP
N° 005 del 28 de mayo de 2008.
Art. 11. — Comuníquese, publíquese, dése a la Dirección Nacional
del Registro Oficial y archívese. — Juan A. Travieso.
ANEXO I
FORMULARIO
DE INSPECCION
El presente documento tiene por objetivo facilitar la determinación de los
distintos tratamientos de datos que realizan los responsables y verificar
si los mismos se ajustan a los principios y requisitos de licitud que establece
la Ley Nº
25.326, lo que permitirá a la DIRECCION NACIONAL DE PROTECCION DE DATOS
PERSONALES efectuar las correcciones y recomendaciones que resulten necesarias
para mejorar la gestión y la protección de los derechos del titular del dato.
ANEXO II
INSTRUCTIVO DEL FORMULARIO DE INSPECCION
Objetivos
El Formulario de Inspección es un instrumento coadyuvante de las finalidades de
toda inspección:
— Concientizar a los responsables o titulares de los bancos
de datos, sobre los alcances y aplicación a su actividad de la LEY DE PROTECCION DE LOS
DATOS PERSONALES Nº 25.326.
— Determinar el efectivo cumplimiento de la Ley por parte del responsable
y realizar las recomendaciones necesarias para la mejor protección de los datos
personales.
— De detectarse infracciones: otorgar plazo de subsanación
y/o aplicar sanción —previo sumario— conforme a la
Disposición DNPDP Nº 7/2005, según la DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES considere pertinente.
Metodología
El Formulario de Inspección se completará previo a la visita de inspección (por
parte del responsable) y/o al momento de la visita (por parte del inspector),
de lo que se dejará constancia en el Acta de Inspección.
Instrucciones para su llenado
En cada punto de consulta (del 1 al 19) se deberá indicar si el mismo no resulta
aplicable al inspeccionado, bastando para ello hacer una cruz en la columna
indicada como “NA” (No
Aplicable).
En caso de resultar aplicable se deberá marcar con una cruz si el banco de
datos cumple o no con dicho punto, marcando con una cruz en la columna “SI” o en la columna “No”, según corresponda.
En el campo “Observaciones” se incluirán todas las aclaraciones que se consideren pertinentes
para el mejor cumplimiento de los objetivos de la inspección.
A. IDENTIFICACION DEL RESPONSABLE
1. NOMBRE DEL RESPONSABLE Y ACREDITACION DE PERSONERIA
Se verificará quién es el responsable de las bases de datos. Cuando sean
personas jurídicas, se deberá solicitar el poder o acreditación de personería
del representante legal.
2. NUMERO DE C.U.I.T./C.U.I.L./C.D.I. DEL RESPONSABLE
Verificar el Número de C.U.I.T./C.U.I.L./C.D.I. del responsable de la empresa.
B. DESARROLLO DE LA INSPECCION
3. NUMERO DE REGISTRO ANTE LA DNPDP
Se deberá colocar el N° de Registro asignado por la DNPDP a la empresa
inspeccionada.
Cita
Normativa (Ley Nº 25.326):
“ARTICULO 3°.- (Archivo de datos - Licitud) - La
formación de archivo de datos será licita cuando se encuentren debidamente
inscriptos…”.
“ARTICULO 21.- (Registro de archivos de datos.
Inscripción). 1. Todo archivo registro base o banco de datos público y
privado destinado a proporcionar informes debe inscribirse en el Registro que
al efecto habilite el organismo de control…”.
|
|
|
|
|
4. BANCO DE DATOS INSCRIPTOS ANTE LA DNPDP
Se deberán indicar las bases de datos inscriptas en el
Registro Nacional de Bases de Datos de la DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES. Las mismas se encuentran especificadas en el
Formulario de Inscripción.
5. POLITICAS DE PRIVACIDAD
Se verificará si tiene una política de privacidad acorde a lo dispuesto por la Ley Nº 25.326 y que la misma
desarrolle cuanto menos los temas que se exponen a continuación:
Lineamientos
básicos para una política de Protección de Datos Personales.
1. Definición del Objeto de la política de Protección de Datos Personales
(objeto tutelado, como por ejemplo, los artículos 1° y 2° de la Ley Nº 25.326 y sus
principios), alcance corporativo (a quienes resulta exigible la política) y
su compatibilidad y/o relación con las políticas de protección de la
información comercial o cualquier otra política que entre en conjunción con
la protección de datos personales.
2. Definición de términos de la política (acordes con la Ley Nº 25.326).
3. Principios de protección de datos personales de la política aplicables a
la empresa (acordes con la Ley
Nº 25.326, artículos 3°, 4°, 5°, 6°, 7° y 11).
4. Confidencialidad de los datos personales (artículo 10 de la Ley Nº 25.326), con
referencia a los convenios de confidencialidad del personal y terceros que
presten servicios, etc. (todo que entre en contacto con los datos personales
de la institución).
5. Seguridad de los datos personales, aplicación de la Disposición DNPDP
Nº 11/06 (manual de seguridad).
6. Transferencia Internacional de datos personales (aplicando el artículo 12
de la Ley Nº
25.326 y Decreto N° 1558/01).
7. Publicidad directa (artículo 27 de la Ley Nº 25.326 y Decreto N° 1558/01),
Disposiciones DNPDP Nros. 10/08 y 4/09.
8. Prestaciones de servicios de tratamiento de datos por cuenta de terceros
(artículo 25 de la Ley Nº
25.326 y Decreto N° 1558/01).
9. Derechos de los titulares de los datos (personal, clientes y proveedores),
y procedimientos para responder a su ejercicio (derechos de acceso,
rectificación, supresión, etc., artículos 14, 15 y 16 de la Ley Nº 25.326).
10. Designación de un Encargado de Protección de Datos por parte del
Directorio (a cargo de velar por la correcta y efectiva aplicación de la
presente política y su relación con el órgano de control).
11. Implementación y ejecución de la política en la empresa.
12. Capacitación. Areas Sistemas - Jurídicas - Atención Público.
13. Auditoría sobre su cumplimiento. Notificación de incidentes.
14. Determinación de responsabilidades en caso de incumplimiento.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
5.a. Designa encargado de la
Política de Privacidad.
Se deberá indicar si el responsable del Banco de Datos ha designado un
encargado de la Política
de Privacidad que tenga a su cargo velar por el adecuado cumplimiento de la
misma.
5.b. Difunde y capacita respecto de la Política de Privacidad.
Se verificará si dentro de la organización se difunde la Política de Privacidad y
se capacita al personal de la misma para su correcta implementación.
5.c. Incorpora el control de cumplimiento de la política de privacidad en sus
procesos de auditoría.
Se deberá verificar si existen mecanismos de control o auditorías internas que
evalúen el cumplimiento de lo establecido en las políticas de protección de
datos personales.
6. Calidad de los datos (artículo 4° de la Ley Nº 25.326)
6.a. Determina la finalidad del tratamiento de los bancos de datos.
Debe verificarse que los bancos de datos posean una finalidad definida por el
Responsable en sus políticas. Se recomienda verificar lo denunciado en el
Formulario de Inscripción en el Registro Nacional de Bases de Datos (punto 2
del FA.01).
Cita
Normativa (Ley Nº 25.326):
“ARTICULO 3°.- …Los archivos de datos no pueden
tener finalidades contrarias a las leyes o a la moral pública.”
“ARTICULO 4°.- inciso 3°: Los datos objeto de tratamiento
no pueden ser utilizados para finalidades distintas o incompatibles con aquellas
que motivaron su obtención.”
|
|
|
6.b. Determina la categoría de los datos admisibles en sus bancos de datos
Se deberá verificar si el responsable determina y cumple con la categoría de
datos admisible conforme a la finalidad del tratamiento previsto. Al respecto,
se recomienda ver lo denunciado en el Formulario de Inscripción en el Registro
Nacional de Bases de Datos (punto 3 del FA01: Naturaleza dato. Datos Sensibles,
Datos relativos a Antecedentes penales o contravencionales. Especificar los
tipos de datos personales que trata).
Cita
Normativa (Ley Nº 25.326):
“ARTICULO 4°.- (Calidad de los datos). 1. Los datos
personales que se recojan a los efectos de su tratamiento deben ser ciertos,
adecuados, pertinentes y no excesivos en relación con el ámbito y finalidad
para los que se hubieren obtenido.”
“ARTICULO 21.- (Registro de archivos de datos. Inscripción).
…3) Ningún usuario de datos podrá poseer datos personales
de naturaleza distinta a los declarados en el registro.”
|
|
|
6.c. Trata datos sensibles (artículos 2° y 7° de la Ley Nº 25.326)
Debe indicarse si el banco de datos trata datos sensibles y en caso afirmativo
indicar la norma que autoriza dicho tratamiento y las medidas de seguridad que
se aplican a los mismos (Nivel Crítico, salvo que se traten para fines
administrativos —ej.: administración de personal— u obligación legal —ej.: examen preocupacional—).
Cita
Normativa (Ley Nº 25.326):
“ARTICULO 2°.- (Definiciones). A los fines de la presente
ley se entiende por: …— Datos sensibles: Datos
personales que revelan origen racial y étnico, opiniones políticas,
convicciones religiosas, filosóficas o morales, afiliación sindical e información
referente a la salud o a la vida sexual.”
“ARTICULO 7°.- (Categoría de datos). 1. Ninguna persona
puede ser obligada a proporcionar datos sensibles. 2. Los datos sensibles
sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de
interés general autorizadas por ley. También podrán ser tratados con
finalidades estadísticas o científicas cuando no puedan ser identificados sus
titulares. 3. Queda prohibida la formación de archivos, bancos o registros
que almacenen información que directa o indirectamente revele datos
sensibles. Sin perjuicio de ello, la Iglesia Católica,
las asociaciones religiosas y las organizaciones políticas y sindicales
podrán llevar un registro de sus miembros. 4. Los datos relativos a
antecedentes penales o contravencionales sólo pueden ser objeto de
tratamiento por parte de las autoridades públicas competentes, en el marco de
las leyes y reglamentaciones respectivas.”
“ARTICULO 8°.- (Datos relativos a la salud). Los
establecimientos sanitarios públicos o privados y los profesionales vinculados
a las ciencias de la salud pueden recolectar y tratar los datos personales
relativos a la salud física o mental de los pacientes que acudan a los mismos
o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los
principios del secreto profesional.”
|
|
|
|
6.d. Toma medidas para garantizar la calidad del dato objeto de tratamiento
Verificar la existencia de procesos y medidas de control a fin de mantener la
calidad de la información exigible según la finalidad del tratamiento, de
manera tal que garanticen que los datos sean ciertos, adecuados, pertinentes,
no excesivos, exactos y completos.
Cita
Normativa (Ley Nº 25.326):
“ARTICULO 4°.- (Calidad de los datos). 1. Los datos
personales que se recojan a los efectos de su tratamiento deben ser ciertos,
en relación con el ámbito y finalidad para los que se hubieren obtenido. …4. Los datos deben ser exactos y actualizarse en los casos de que
ello fuera necesario. 5. Los datos total o parcialmente inexactos o
incompletos deben ser suprimidos o sustituidos o en su caso completados por
el responsable de la base de datos cuando se tenga conocimiento de la
inexactitud o carácter incompleto de la información.”
|
|
|
6.e. Verifica la utilidad de los datos en forma periódica
Se deberá verificar la existencia de mecanismos a fin de mantener la utilidad
de los datos almacenados acordes con la finalidad del tratamiento. Cuanto
menos, se debería verificar la utilidad del dato una vez al año al momento de
renovar la inscripción en el Registro Nacional de Bases de Datos.
Se deberá establecer un procedimiento de destrucción de los datos que han
perdido su utilidad, sea en los sistemas como en soporte papel o cualquier otro
dispositivo técnico de almacenamiento (cintas de backup, discos, etc.).
Cita
Normativa (Ley Nº 25.326)
“ARTICULO 4°.- (Calidad de los datos). …7. Los datos deben ser destruidos cuando hayan dejado de ser
necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados.”
|
|
7. RECOLECCION DE LOS DATOS (artículos 5° y 6° de la Ley N° 25.326)
Se verificará la licitud de la recolección de datos que realiza el responsable,
particularmente se verificará en los formularios de recolección el cumplimiento
del derecho de información al titular del dato que dispone el artículo 6° de la Ley N° 25.326 y la Disposición DNPDP
Nº 10/2008.
Cita
Normativa (Ley Nº 25.326
)“ARTICULO 5°.- (Consentimiento).
1. El tratamiento de datos personales es ilícito cuando el titular no hubiere
prestado su consentimiento libre, expreso e informado, el que deberá constar
por escrito, o por otro medio que permita se le equipare, de acuerdo con las
circunstancias.
El referido consentimiento prestado con otras declaraciones deberá figurar en
forma expresa y destacada, previa notificación al requerido de datos, de la
información descrita en el artículo 6° de la presente ley.
2. No será necesario el consentimiento cuando:
a) Los datos se obtengan de fuentes de acceso público irrestricto;
b) Se recaben para el ejercicio de funciones propias de los poderes del
Estado o en virtud de una obligación legal;
c) Se trate de listados cuyos datos se limiten a nombre, documento nacional
de identidad, identificación tributaria o previsional, ocupación, fecha de
nacimiento y domicilio;
d) Deriven de una relación contractual, científica o profesional del titular
de los datos, y resulten necesarios para su desarrollo o cumplimiento;
e) Se trate de las operaciones que realicen las entidades financieras y de
las informaciones que reciban de sus clientes conforme las disposiciones del
artículo 39 de la Ley
21.526.”
“ARTICULO 6°.- (Información). Cuando se recaben datos
personales se deberá informar previamente a sus titulares en forma expresa y
clara:
a) La finalidad para la que serán tratados y quiénes pueden ser sus
destinatarios o clase de destinatarios;
b) La existencia del archivo, registro, banco de datos, electrónico o de
cualquier otro tipo, de que se trate y la identidad y domicilio de su
responsable;
c) El carácter obligatorio o facultativo de las respuestas al cuestionario
que se le proponga, en especial en cuanto a los datos referidos en el
artículo siguiente;
d) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de
la inexactitud de los mismos;
e) La posibilidad del interesado de ejercer los derechos de acceso,
rectificación y supresión de los datos. Se verificará si se informa al
titular del dato en forma expresa y clara, la finalidad para la que serán
tratados y quiénes pueden ser sus destinatarios.”
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
7.a. Verifica el origen de los datos (fuentes) y su licitud.
Debe determinarse si el responsable obtiene los datos de fuente lícita (ej.:
formularios suscriptos por el mismo titular del dato —personal o clientes—, o fuente de acceso público
irrestricto como ser la AFIP
—proveedores—).
7.b. Recolecta los datos conforme requisitos de la ley (artículos 5°, 6°, 26 y
27 de la Ley Nº
25.326)
Verificar si pide el consentimiento del titular del dato (en caso de ser
exigible) y respeta la finalidad que motivó su recolección inicial (en caso de
datos obtenidos por cesión de terceros).
7.c. Cumple en brindar el derecho de información al titular del dato (artículo
6° de la Ley Nº
25.326)
Verificar si los formularios de recolección cumplen con lo dispuesto por el artículo
6° de la Ley Nº
25.326 y la
Disposición DNPDP N° 10/2008.
7.d. Recaba el consentimiento del titular del dato (de ser exigible).
En caso de ser exigible, verificar la existencia del consentimiento por
escrito, o medio que lo equipare, del titular del dato.
8. CESION DE DATOS (artículo 11 de la
Ley N° 25.326)
Se verificará si el responsable realiza cesión de datos personales en los
términos del artículo 11 de la
Ley Nº 25.326.
Cita
Normativa (Ley Nº 25.326)
“ARTICULO 11.- (Cesión). 1. Los datos personales objeto
de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines
directamente relacionados con el interés legítimo del cedente y del
cesionario y con el previo consentimiento del titular de los datos, al que se
le debe informar sobre la finalidad de la cesión e identificar al cesionario
o los elementos que permitan hacerlo. 2. El consentimiento para la cesión es
revocable. 3. El consentimiento no es exigido cuando: a) Así lo disponga una
ley; b) En los supuestos previstos en el artículo 5°, inciso 2; c) Se realice
entre dependencias de los órganos del Estado en forma directa, en la medida
del cumplimiento de sus respectivas competencias; d) Se trate de datos
personales relativos a la salud, y sea necesario por razones de salud
pública, de emergencia o para la realización de estudios epidemiológicos, en
tanto se preserve la identidad de los titulares de los datos mediante
mecanismos de disociación adecuados; e) Se hubiera aplicado un procedimiento
de disociación de la información, de modo que los titulares de los datos sean
inidentificables. 4. El cesionario quedará sujeto a las mismas obligaciones
legales y reglamentarias del cedente y éste responderá solidaria y
conjuntamente por la observancia de las mismas ante el organismo de control y
el titular de los datos de que se trate.”
|
|
|
8.a. Determina los destinatarios de cesiones actuales o eventuales
Se deberá verificar si el responsable tiene prevista la cesión de datos
personales a actuales o eventuales cesionarios indicando los elementos que
permitan identificarlos.
8.b. Posee el consentimiento previo del titular del dato (de ser exigible)
En caso de ser exigible, se deberá verificar la existencia del consentimiento
expreso previo informado, por escrito o medio que lo equipare, para la cesión
prevista.
9. CONFIDENCIALIDAD (artículo 10 de la
Ley N° 25.326)
Se deberá verificar si el inspeccionado posee convenios de confidencialidad
firmados por los empleados, usuarios o terceros que accedan a la información
registrada en la base de datos.
Cita
Normativa (Ley Nº 25.326)
“ARTICULO 10.- (Deber de confidencialidad). 1. El
responsable y las personas que intervengan en cualquier fase del tratamiento
de datos personales están obligados al secreto profesional respecto de los
mismos. Tal obligación subsistirá aún después de finalizada su relación con
el titular del archivo de datos. 2. El obligado podrá ser relevado del deber
de secreto por resolución judicial y cuando medien razones fundadas relativas
a la seguridad pública, la defensa nacional o la salud pública.”
|
|
10. MEDIDAS DE SEGURIDAD (artículo 9° de la Ley Nº 25.326 y Disposición DNPDP Nº 11/06)
Se verificará la correcta implementación de las medidas de seguridad dispuestas
por el artículo 9º de la Ley Nº
25.326 y la
Disposición DNPDP Nº 11/2006. Se comprobará la existencia de
las medidas de seguridad en los sistemas, la red interna, puestos de acceso y
servidores (centro de cómputos). En momento alguno el equipo de inspección
ingresará a los sistemas, sino que solicitará al responsable que exhiba la
existencia de dichas medidas.
Cita
Normativa (Ley Nº 25.326)
“ARTICULO 9°.- (Seguridad de los datos). 1. El
responsable o usuario del archivo de datos debe adoptar las medidas técnicas
y organizativas que resulten necesarias para garantizar la seguridad y
confidencialidad de los datos personales, de modo de evitar su adulteración,
pérdida, consulta o tratamiento no autorizado, y que permitan detectar
desviaciones, intencionales o no, de información, ya sea que los riesgos
provengan de la acción humana o del medio técnico utilizado. 2. Queda
prohibido registrar datos personales en archivos, registros o bancos que no
reúnan condiciones técnicas de integridad y seguridad.”
|
|
La Disposición DNPDP
Nº 11/06 establece TRES (3) niveles de seguridad: BASICO, MEDIO y CRITICO. Para
cada uno de los niveles mencionados se han previsto distintas medidas de
seguridad que el responsable debe aplicar a sus bancos de datos según el nivel
en que califiquen.
10.a. NIVEL BASICO
10.a.1. Posee documento de seguridad.
Se verificará si posee documento de seguridad, que puede consistir en un manual
integral o un conjunto de normas que cumpla con los requisitos de la Disposición DNPDP
Nº 11/06 (Ver modelo de manual en la Disposición DNPDP
Nº 9/08).
10.a.2. Asigna funciones y obligaciones del personal respecto al tratamiento de
datos personales.
Verificar si se ha diseñado y otorgado funciones, niveles de acceso y
procedimientos del personal respecto del tratamiento de los datos, lo que
incluye la firma de compromisos de confidencialidad (artículo 10 de la Ley Nº 25.326).
10.a.3. Documenta sus bancos de datos y los sistemas de información que los
almacenan.
Controlar que se encuentren documentadas las distintas bases de datos de
titularidad del responsable, y los sistemas de información que utiliza para su
tratamiento (ej.: base de datos del personal, clientes, proveedores, agenda).
10.a.4. Establece medidas de control de calidad de la información a incorporar
al Banco de Datos.
Debe preverse la instrucción del personal y/o diseñarse sistemas o
procedimientos de control para garantizar que la información a incorporar sea
correcta y congruente (ej.: datos numéricos en campos numéricos, no números en
campos destinados a nombres, etc.).
10.a.5. Registra y prevé medidas ante incidentes de seguridad.
Debe verificarse la existencia de un registro de incidentes de seguridad y las
medidas adoptadas para su solución y evitar reincidencias.
10.a.6. Realiza copias de resguardo de la información periódicas.
Debe preverse la realización de copias de resguardo de la información (“backups”) en forma periódica y depositarse
en lugar seguro.
10.a.7. Mantiene un control actualizado de los usuarios del sistema autorizados
mediante claves.
Debe existir una política de actualización de los usuarios.
10.a.8. Gestiona adecuadamente las claves y las renueva periódicamente.
Debe existir una política de contraseñas por medio de la cual se obligue a los
usuarios a renovar sus claves y registrar las mismas en lugar seguro.
10.a.9. Prevé medidas para proteger la información de equipos desatendidos.
Cuando el usuario desatienda el equipo durante un tiempo prudencial se debe
requerir el reingreso de clave.
10.a.10. Establece protección permanente y actualizada contra accesos no
autorizados, virus y software malicioso.
Debe preverse la actualización de dichas medidas de protección.
10.a.11. Prevé medidas técnicas para el correcto funcionamiento de los equipos
(instalación, temperatura ambiente) o evitar su daño por elementos externos
como el fuego, etc.
En caso de nivel medio, debe verificarse la existencia de las siguientes
medidas sobre el centro de cómputos: Area Segura: Evitar acceso físico no
autorizado. Perímetro de Seguridad: Paredes y Puerta de Acceso controladas.
Protección Física: Area ignífuga, matafuegos, inundaciones, explosiones.
Protección de Energía: Falla eléctrica, ups o generadores que mantengan el
suministro eléctrico para proteger las bases de datos, temperatura ambiente.
10.a.12. Posee política de gestión de soportes de datos personales, sean en
papel o cualquier otro dispositivo técnico (inventario; almacenamiento;
procedimientos en caso de extracción, salidas o destrucción por desuso).
Debe preverse un registro y procedimiento respecto de los soportes de resguardo
de la información (ej.: CDs), identificándolos y depositándolos en lugar
seguro. Verificar, asimismo, la existencia de un procedimiento de destrucción
seguro de dichos soportes previo a su descarte.
10.b. NIVEL MEDIO
Permita establecer el perfil de personalidad o conductas determinadas de las
persona o resulte afectada por secreto legal específico o empresas privadas de
servicios públicos.
10.b.1. Designa responsable de Seguridad.
Deberá existir un responsable de la Seguridad de Información.
10.b.2. Incorpora el control de medidas de seguridad de datos personales en sus
procesos de auditoría.
Se deberá incorporar en los procedimientos de las auditorías el control de las
medidas de seguridad para la protección de los datos personales.
10.b.3. Impide la reiteración de intento de acceso no autorizado al sistema de
Información.
Debe preverse que ante la reiteración de intentos fallidos de acceso se bloquee
al usuario.
10.b.4. Prevé medidas físicas para evitar el acceso indebido a la zona del
centro de cómputos y depósito de soportes de almacenamiento de información.
Debe verificarse la existencia de medidas de seguridad para controlar y
registrar el acceso a dichos ámbitos.
10.b.5. Posee procedimiento de recuperación de la información de respaldo y
tratamiento de la misma en caso de contingencia que ponga no operativo el o los
equipos de procesamiento habituales.
Deben preverse mecanismos de recuperación de la información de respaldo (“backups”) en los casos de caídas del
sistema y un plan de contingencia.
10.b.6. Toma medidas de protección de los datos personales cuando son
transmitidos por redes internas o externas a la empresa.
Debe verificarse la existencia de medidas de seguridad adecuadas para la
protección de la información al momento de ser transmitida por redes internas
y/o externas.
10.b.7. En caso de incidentes de seguridad de la información, autoriza e
identifica la persona que recuperó y/o modificó dicho datos.
Debe preverse la registración de las personas que realicen tareas de
recuperación de la información, identificando las tareas desarrolladas por las
mismas.
10.b.8. Las pruebas de funcionamiento de los sistemas de información se
realizan en paralelo al sistema real.
En los casos que se realicen pruebas de funcionamiento de los sistemas de
información y/o modificación de los existentes, debe realizarse en paralelo y
protegiendo la confidencialidad de la información.
10.c. NIVEL CRITICO
Contenga “datos sensibles” cuyo tratamiento no sea
obligatorio o para fines meramente administrativos (ej.: Administración del
personal).
10.c.1. Distribución de Soportes: Encripta los datos cuando se trasladen en
soportes o se realicen copias de resguardo de la información.
10.c.2. Lleva registro de acceso al sistema de los operadores y administrador
(log, usuario, fecha, hora, autorizado, denegado, tipo de operación realizada).
10.c.3. Deposita copias de seguridad del sistema fuera de la localización
habitual, en caja ignífuga y a prueba de gases o bien en una caja de seguridad
bancaria, situadas a una distancia prudencial.
10.c.4. Encripta los datos de carácter personal que se trasmiten a través de
redes de comunicación.
11. ACTIVIDADES DE PUBLICIDAD DIRECTA (artículo 27 de la Ley Nº 25.326)
Cita
Normativa (Ley Nº 25.326):
“ARTICULO 27.- (Archivos, registros o bancos de datos con
fines de publicidad). 1. En la recopilación de domicilios, reparto de
documentos, publicidad o venta directa y otras actividades análogas, se podrán
tratar datos que sean aptos para establecer perfiles determinados con fines
promocionales, comerciales o publicitarios; o permitan establecer hábitos de
consumo, cuando éstos figuren en documentos accesibles al público o hayan
sido facilitados por los propios titulares u obtenidos con su consentimiento.
2. En los supuestos contemplados en el presente artículo, el titular de los
datos podrá ejercer el derecho de acceso sin cargo alguno. 3. El titular
podrá en cualquier momento solicitar el retiro o bloqueo de su nombre de los
bancos de datos a los que se refiere el presente artículo.”
“Decreto N° 1558/2001: ARTICULO 27.- Podrán recopilarse,
tratarse y cederse datos con fines de publicidad sin consentimiento de su
titular, cuando estén destinados a la formación de perfiles determinados, que
categoricen preferencias y comportamientos similares de las personas, siempre
que los titulares de los datos sólo se identifiquen por su pertenencia a
tales grupos genéricos, con más los datos individuales estrictamente
necesarios para formular la oferta a los destinatarios. …En toda comunicación con fines de publicidad que se realice por
correo, teléfono, correo electrónico, Internet u otro medio a distancia a
conocer, se deberá indicar, en forma expresa y destacada, la posibilidad del
titular del dato de solicitar el retiro o bloqueo, total o parcial, de su
nombre de la base de datos. A pedido del interesado, se deberá informar el
nombre del responsable o usuario del banco de datos que proveyó la información.”
|
|
|
11.a. Utiliza sólo las categorías autorizadas (inciso 1. Artículo 27 de la Ley Nº 25.326 y Decreto)
Se deberá verificar que sólo utilizan datos aptos para establecer perfiles
publicitarios y realizar la oferta prevista.
11.b. Recaba los datos de fuentes legítimas (inciso 1. Artículo 27 de la Ley Nº 25.326 y Decreto)
Verificar el origen y/o forma de recolección de los datos destinados a
publicidad directa, particularmente que se hayan recolectado para dicha
finalidad, brindando la adecuada información al titular del dato a dicho
momento.
11.c. Respeta derecho de acceso del titular del dato (inciso 2. Artículo 27 de la Ley Nº 25.326 y Decreto).
Verificar que prevean y otorguen derecho de acceso al titular del dato sin
cargo alguno, cumpliendo al momento de su recolección con la Disposición DNPDP
Nº 10/2008.
11.d. Respeta derecho de retiro o bloqueo del titular del dato (inciso 3.
Artículo 27 de la Ley Nº
25.326 y Decreto)
Verificar si prevé mecanismos eficaces para el ejercicio del derecho de retiro
o bloqueo del titular del dato, y si cumple al momento del envío del mensaje de
publicidad con las Disposiciones DNPDP Nros. 10/08 y 4/09.
Disposición
DNPDP Nº 10/08
— “El titular de los datos
personales tiene la facultad de ejercer el derecho de acceso a los mismos en
forma gratuita a intervalos no inferiores a seis meses, salvo que se acredite
un interés legítimo al efecto conforme lo establecido en el artículo 14,
inciso 3 .de la Ley Nº
25.326.”— “La DIRECCION NACIONAL DE PROTECCION DE DATOS
PERSONALES, Organo de Control de la
Ley Nº 25.326, tiene la atribución de atender las denuncias
y reclamos que se interpongan con relación al incumplimiento de las normas
sobre protección de datos personales.”Disposición DNPDP Nº 4/09
— “Un aviso que informe al titular
del dato sobre los derechos de retiro o bloqueo total o parcial, de su nombre
de la base de datos, el mecanismo que se ha previsto para su ejercicio, con
más la transcripción del artículo 27, inciso 3, de la Ley Nº 25.326 y el párrafo
tercero del artículo 27 del Anexo I del Decreto Nº 1558/01.”
— “Establécese que cuando se
efectúen envíos de comunicaciones de publicidad directa no requeridas o
consentidas previamente por el titular del dato personal, deberá advertirse
en forma destacada que se trata de una publicidad. En caso de realizarse
dicha comunicación a través de un correo electrónico deberá insertarse en su encabezado
el término único ‘publicidad’.”
|
|
|
|
|
|
12. TRANSFERENCIA INTERNACIONAL (artículo 12 de la Ley N° 25.326)
Deberá verificarse si el inspeccionado realiza transferencias de datos a
terceros países. Si los países destinatarios poseen legislación adecuada
bastará con indicar en SI y aclarar dicha circunstancia en el campo
Observaciones. En caso que el país destinatario no tenga legislación adecuada
será exigible un contrato de transferencia internacional o el consentimiento
del titular del dato, lo que se consulta en los puntos siguientes.
Cita
Normativa (Ley Nº 25.326)
“ARTICULO 12.- (Transferencia internacional). 1. Es
prohibida la transferencia de datos personales de cualquier tipo con países u
organismos internacionales o supranacionales que no proporcionen niveles de
protección adecuados.”
|
|
12.a. La realiza mediante contrato de transferencia Internacional
En caso que alguno de los países destinatarios de la transferencia
internacional no posea legislación adecuada, debe verificarse si la misma se
realiza mediante contrato de transferencia internacional que traspole
adecuadamente la Ley Nº
25.326 y obligue a su cumplimiento a todas las partes intervinientes. En caso
que dicho contrato se encuentre aprobado por la DNPDP, debe consignarse
dicha circunstancia.
12.b. La realiza mediante consentimiento del titular del dato
En caso que alguno de los países destinatarios de la transferencia
internacional no posea legislación adecuada, debe verificarse si la misma se
realiza con el previo consentimiento del titular del dato.
13. TRATAMIENTO DE DATOS POR CUENTA DE TERCEROS (artículo 25 de la Ley Nº 25.326)
Verificar si el responsable del banco de datos contrata el servicio de
tratamiento de sus datos con terceras personas, sea para almacenamiento o
procesamiento, total o parcial.
Cita
Normativa (Ley Nº 25.326).
“ARTICULO 25.- (Prestación de servicios informatizados de
datos personales). 1. Cuando por cuenta de terceros se presten servicios de
tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con
un fin distinto al que figure en el contrato de servicios, ni cederlos a
otras personas, ni aun para su conservación. 2. Una vez cumplida la
prestación contractual los datos personales tratados deberán ser destruidos,
salvo que medie autorización expresa de aquel por cuenta de quien se prestan
tales servicios cuando razonablemente se presuma la posibilidad de ulteriores
encargos, en cuyo caso se podrá almacenar con las debidas condiciones de
seguridad por un período de hasta dos años.”
|
|
|
13.a. Posee contrato de servicios de tratamiento por parte de terceros
En caso de contratar el tratamiento de sus datos por terceros, se verificará si
posee un contrato que contenga los requisitos del artículo 25 de la Ley Nº 25.326 y el Decreto
Nº 1558/2001: a) Cláusulas que dispongan el tratamiento bajo exclusivas
instrucciones impartidas por el responsable; b) Medidas de seguridad y
confidencialidad acordes con los artículos 9° y 10 de la Ley Nº 25.326 y Disposición
DNPDP Nº 11/06; c) Finalidad exclusiva del tratamiento a las previstas
contractualmente; d) Prohibición de cesión a terceros no prevista
contractualmente, ni aun para su conservación; e) Destrucción de los datos una
vez finalizado el contrato, salvo autorización para conservarlos hasta DOS (2)
años después de finalizado en caso de preverse nuevas contrataciones. Se
verifica a continuación el cumplimiento de dichos requisitos.
13.b. Determina la finalidad de tratamiento
Verificar que se determine contractualmente la finalidad del tratamiento de
datos personales.
13.c. Determina medidas de seguridad y confidencialidad
Verificar que existan cláusulas de seguridad y confidencialidad acordes con la
normativa aplicable.
13.d. Determina el plazo de conservación de los datos
Verificar que el contrato tenga previsto la destrucción y/o devolución de los
datos en poder del prestador del servicio una vez finalizado el mismo.
14. DERECHOS DEL TITULAR DEL DATO (artículos 14, 15 y 16 de la Ley Nº 25.326)
14.a. Establece procedimientos y plazos de ley para el derecho de acceso
Se debe verificar la existencia de un procedimiento que contenga los siguientes
puntos: 1. Designación de personal a cargo capacitado para recepcionar el
pedido del titular del dato. 2. Verificación de la identidad del titular del
dato solicitante (D.N.I.). 3. Registro de la solicitud. 4. Procedimiento para
la elaboración de la respuesta. 5. Registro de la respuesta y su entrega al
solicitante. 6. Plazo previsto para cumplir con el pedido.
Cita
Normativa (Ley Nº 25.326).
“ARTICULO 14.- (Derecho de acceso). 1. El titular de los
datos, previa acreditación de su identidad, tiene derecho a solicitar y
obtener información de sus datos personales incluidos en los bancos de datos
públicos, o privados destinados a proveer informes. 2. El responsable o usuario
debe proporcionar la información solicitada dentro de los diez días corridos
de haber sido intimado fehacientemente. Vencido el plazo sin que se satisfaga
el pedido, o si evacuado el informe, éste se estimara insuficiente, quedará
expedita la acción de protección de los datos personales o de hábeas data
prevista en esta ley. 3. El derecho de acceso a que se refiere este artículo
sólo puede ser ejercido en forma gratuita a intervalos no inferiores a seis
meses, salvo que se acredite un interés legítimo al efecto. 4. El ejercicio
del derecho al cual se refiere este artículo en el caso de datos de personas
fallecidas le corresponderá a sus sucesores universales.”
“ARTICULO 15.- (Contenido de la información). 1. La
información debe ser suministrada en forma clara, exenta de codificaciones y
en su caso acompañada de una explicación, en lenguaje accesible al
conocimiento medio de la población, de los términos que se utilicen. 2. La
información debe ser amplia y versar sobre la totalidad del registro
perteneciente al titular, aun cuando el requerimiento sólo comprenda un
aspecto de los datos personales. En ningún caso el informe podrá revelar
datos pertenecientes a terceros, aun cuando se vinculen con el interesado. 3.
La información, a opción del titular, podrá suministrarse por escrito, por
medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin.”
|
|
|
|
14.b. Establece procedimientos y plazos de ley para el derecho de rectificación
A los fines de verificar el cumplimiento por parte del responsable de los
derechos de rectificación, supresión y/o confidencialidad del titular del dato,
se debe verificar la existencia de un procedimiento que contenga los siguientes
puntos: 1. Designación de personal a cargo capacitado para recepcionar el
pedido del titular del dato. 2. Verificación de la identidad del titular del
dato solicitante (D.N.I.). 3. Registro de la solicitud. 4. Procedimiento para
la elaboración de la respuesta. 5. Registro de la respuesta y su entrega al
solicitante. 6. Plazo previsto para cumplir con el pedido.
Cita
Normativa (Ley Nº 25.326).
“ARTICULO 16.- (Derecho de rectificación, actualización o
supresión). 1. Toda persona tiene derecho a que sean rectificados,
actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad
los datos personales de los que sea titular, que estén incluidos en un banco
de datos. 2. El responsable o usuario del banco de datos, debe proceder a la
rectificación, supresión o actualización de los datos personales del afectado,
realizando las operaciones necesarias a tal fin en el plazo máximo de cinco
días hábiles de recibido el reclamo del titular de los datos o advertido el
error o falsedad. 3. El incumplimiento de esta obligación dentro del término
acordado en el inciso precedente, habilitará al interesado a promover sin más
la acción de protección de los datos personales o de hábeas data prevista en
la presente ley. 4. En el supuesto de cesión, o transferencia de datos, el
responsable o usuario del banco de datos debe notificar la rectificación o
supresión al cesionario dentro del quinto día hábil de efectuado el
tratamiento del dato. 5. La supresión no procede cuando pudiese causar
perjuicios a derechos o intereses legítimos de terceros, o cuando existiera
una obligación legal de conservar los datos. 6. Durante el proceso de
verificación y rectificación del error o falsedad de la información que se
trate, el responsable o usuario del banco de datos deberá o bien bloquear el
archivo, o consignar al proveer información relativa al mismo la
circunstancia de que se encuentra sometida a revisión. 7. Los datos
personales deben ser conservados durante los plazos previstos en las
disposiciones aplicables o en su caso, en las contractuales entre el
responsable o usuario del banco de datos y el titular de los datos.”
|
|
15. CAPACITACION
Debe verificarse el compromiso del responsable para con la capacitación de las
distintas áreas que participan en el tratamiento de datos personales, como ser
los estudios, cursos de actualización, divulgación interna, confección de
manuales e instructivos, capacitación del personal, etc.
|
Actividades
desarrolladas
|
General
Empresa
|
Sistemas
|
Atención
Público
|
RRHH
|
Estudios
vinculados a la protección de datos personales
|
|
|
|
|
Cursos
de actualización
|
|
|
|
|
Divulgación
Interna
|
|
|
|
|
Confección
de manuales e instructivos
|
|
|
|
|
Capacitación
del personal
|
|
|
|
|
16. ACATAMIENTO DE LAS DISPOSICIONES DE LA DNPDP
Se verificará el cumplimiento por parte del responsable
de las distintas disposiciones de la DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES.
16.a. Constata correcto acatamiento Disposiciones de la DNPDP
Se indicará el correcto acatamiento del responsable de las
Disposiciones que con carácter general ha dispuesto la DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES y que sean aplicables a la actividad del
inspeccionado.
16.b. Verifica acatamiento de disposiciones particulares acaecidas en sumarios
tramitados ante la DNPDP
en los que el responsable de la base de datos haya sido parte.
Se verificará el acatamiento del responsable de las disposiciones
particulares que con motivo de algún sumario, inspección o cualquier otro
trámite administrativo, le haya formulado la DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES.
C. CASOS ESPECIALES
17. ESTABLECIMIENTOS SANITARIOS Y MEDICOS (artículos 7° y 8° de la Ley Nº 25.326)
Toma medidas que garanticen el secreto profesional
Se verificará que el responsable tome medidas que garanticen el secreto
profesional, firmando los convenios de confidencialidad necesarios, en
particular con el personal administrativo y auxiliar que tome conocimiento de
datos afectados por dicho secreto, y prohibiendo el acceso a personas no
autorizadas por la normativa específica.
Cita
Normativa (Ley Nº 25.326):
“ARTICULO 8°.- (Datos relativos a la salud). Los
establecimientos sanitarios públicos o privados y los profesionales
vinculados a la ciencia de la salud puede recolectar y tratar los datos
personales relativos a la salud física y mental de los pacientes respetando
los principios del secreto profesional.
Secreto Profesional: arts. 11 y 19, inc. 3º, Ley Nº 17.132, y Código de Etica
de la
Confederación Médica Argentina de 1955).”
|
|
|
18. INVESTIGACIONES CLINICAS, FARMACOLOGICAS Y FARMACOGENETICAS (artículos 7° y
8° de la Ley Nº
25.326)
Utiliza modelos de consentimiento informado aprobado por la DNPDP
Se verificará si el responsable ha realizado el trámite de
homologación del consentimiento informado ante la DNPDP.
19. EMPRESAS DE INFORMES CREDITICIOS (artículo 26 de la Ley Nº 25.326)
19.a. Utiliza sólo las categorías autorizadas (incisos 1. y 2. artículo 26 de la Ley Nº 25.326)
Para los casos de responsables que realizan tratamientos de datos para la
finalidad de brindar informes crediticios a terceros, debe verificarse que sólo
traten datos de la categoría admitida por el artículo 26 de la Ley Nº 25.326, incisos 1. y
2.: Datos de carácter patrimonial relativos a la solvencia y el crédito y al
cumplimiento de obligaciones patrimoniales.
Cita
Normativa (Ley Nº 25.326):
“ARTICULO 26.- (Prestación de servicios de información
crediticia). 1. En la prestación de servicios de información crediticia sólo
pueden tratarse datos personales de carácter patrimonial relativos a la
solvencia económica y al crédito, obtenidos de fuentes accesibles al público
o procedentes de informaciones facilitadas por el interesado o con su
consentimiento. 2. Pueden tratarse igualmente datos personales relativos al
cumplimiento o incumplimiento de obligaciones de contenido patrimonial,
facilitados por el acreedor o por quien actúe por su cuenta o interés.”
|
|
19.b. Recaba los datos de fuentes legítimas (incisos 1. y 2. artículo 26 de la Ley Nº 25.326)
Debe verificarse que los datos se recolecten de fuentes autorizadas por la ley
(incisos 1. y 2. de la Ley Nº
25.326), esto es, de fuentes de acceso público o facilitados por el acreedor.
Cita
Normativa (Ley Nº 25.326):
“ARTICULO 26.- (Prestación de servicios de información
crediticia). 1. En la prestación de servicios de información crediticia sólo
pueden tratarse datos personales de carácter patrimonial relativos a la
solvencia económica y al crédito, obtenidos de fuentes accesibles al público
o procedentes de informaciones facilitadas por el interesado o con su consentimiento.
2. Pueden tratarse igualmente datos personales relativos al cumplimiento o
incumplimiento de obligaciones de contenido patrimonial, facilitados por el
acreedor o por quien actúe por su cuenta o interés.”
|
|
19.c. Respeta derecho de acceso del titular del dato (inciso 3. artículo 26 de la Ley Nº 25.326)
Verificar si se respeta el derecho de acceso a la información del titular del
dato, indicándole de los últimos SEIS (6) meses la información transmitida y
sus destinatarios (nombre y domicilio), en forma gratuita.
Cita
Normativa (Ley Nº 25.326):
“ARTICULO 26.- (Prestación de servicios de información
crediticia) …3. A solicitud del titular de
los datos, el responsable o usuario del banco de datos, le comunicará las informaciones,
evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas
durante los últimos seis meses y el nombre y domicilio del cesionario en el
supuesto de tratarse de datos obtenidos por cesión.”
|
|
19.d. Aplica los plazos de caducidad del dato (inciso 4. artículo 26 de la Ley Nº 25.326)
Verificar la aplicación a sus informes de los plazos de caducidad del dato
crediticio, aplicando el derecho al olvido en los términos del artículo 26,
inciso 4., de la Ley Nº
25.326.
Cita
Normativa (Ley Nº 25.326):
“ARTICULO 26.- (Prestación de servicios de información
crediticia) …4. Sólo se podrán archivar,
registrar o ceder los datos personales que sean significativos para evaluar
la solvencia económico-financiera de los afectados durante los últimos cinco
años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro
modo extinga la obligación, debiéndose hacer constar dicho hecho.”
|
|
19.e. Controla existencia de interés legítimo del cesionario (inciso 5)
Debe controlarse si al momento de ceder informes a terceros, el responsable
instrumenta las medidas necesarias para verificar la existencia del interés
legitimo del cesionario.
Cita
Normativa (Ley Nº 25.326):
“ARTICULO 26.- (Prestación de servicios de información
crediticia) …5. La prestación de servicios de
información crediticia no requerirá el previo consentimiento del titular de
los datos a los efectos de su cesión, ni la ulterior comunicación de ésta,
cuando estén relacionados con el giro de las actividades comerciales o
crediticias de los cesionarios.”
|
|
|