Disposición 5-2008
Apruébanse las Normas de Inspección y Control de la mencionada Dirección
Nacional.
Bs. As., 29/5/2008
VISTO el Expediente MJSyDH Nº 164.321/08 y la competencia atribuida a esta
DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES por la Ley Nº 25.326 y su
reglamentación aprobada por Decreto Nº 1558/01, y
CONSIDERANDO:
Que entre las
atribuciones asignadas a la DIRECCION NACIONAL DE PROTECCION DE DATOS
PERSONALES se encuentra la de dictar las normas reglamentarias que se deben
observar en el desarrollo de las actividades comprendidas por la Ley Nº 25.326.
Que en su carácter de Organo de Control de la Ley Nº 25.326, la DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES tiene la función encomendada de atender las
denuncias y reclamos interpuestos en relación al tratamiento de datos
personales en los términos de la citada ley, según lo dispone el artículo 29,
inciso 5, apartado a) de la reglamentación aprobada por el Decreto Nº 1558/01.
Que asimismo tiene la
facultad de controlar la observancia de las normas sobre integridad y seguridad
de datos por parte de los archivos, registros o bancos de datos. A tal efecto
podrá solicitar autorización judicial para acceder a locales, equipos, o
programas de tratamiento de datos a fin de verificar infracciones al
cumplimiento de la Ley Nº
25.326.
Que el artículo 4º,
párrafo cuarto, de la reglamentación aprobada por el Decreto Nº 1558/01,
establece que la
DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES
efectuará controles de oficio sobre el cumplimiento de los principios de
legitimidad del tratamiento, y aplicará las sanciones pertinentes al
responsable o usuario en los casos que correspondiere.
Que en el párrafo quinto
del artículo precedentemente citado se dispone que la DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES procederá, ante el pedido de un interesado o
de oficio ante la sospecha de una ilegalidad, a verificar el cumplimiento de
las disposiciones legales y reglamentarias en orden a cada una de las
siguientes etapas del uso y aprovechamiento de datos personales:
a) legalidad de la
recolección o toma de información personal;
b) legalidad en el
intercambio de datos y en la transmisión a terceros o en la interrelación entre
ellos;
c) legalidad en la cesión
propiamente dicha;
d) legalidad de los
mecanismos de control interno y externo del archivo, registro, base o banco de
datos.
Que también tiene
asignada la misión de imponer las sanciones administrativas que correspondan
por violación a las normas de la
Ley Nº 25.326 y de las reglamentaciones
que se dicten en su consecuencia.
Que de ello se desprende
que la DIRECCION
NACIONAL DE PROTECCION DE DATOS PERSONALES tiene a su cargo
la facultad de llevar adelante inspecciones para verificar el cumplimiento de
los principios y obligaciones impuestos por la Ley Nº 25.326.
Que por ello se estima
conveniente establecer un procedimiento que regirá la actividad de la DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES en el desarrollo de las fiscalizaciones que
lleve adelante en ejercicio de sus competencias.
Que corresponde en
consecuencia establecer las NORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES.
Que ha tomado
intervención el servicio jurídico de asesoramiento permanente de este
Ministerio.
Que la presente medida se
dicta en uso de las facultades conferidas en el artículo 29, inciso 1, apartado
b) de la Ley Nº
25.326 y el artículo 29, inciso 5, apartado a) del Anexo I del Decreto Nº
1558/01.
Por ello,
EL DIRECTOR NACIONAL DE
PROTECCION DE DATOS PERSONALES
DISPONE:
Artículo 1º — Apruébanse
las NORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES, que como Anexo I forma parte del presente.
Art. 2º — El ejercicio de la facultad de
fiscalización que tiene asignada la DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES se desarrollará de oficio y cuando la DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES estime corresponder, si bien podrá tener
causa en una petición o denuncia de un órgano del Estado nacional, provincial,
municipal o un particular.
Art. 3º — Las inspecciones y controles
serán efectuados por un agente de la planta permanente de la DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES debidamente acreditado, quien revestirá el
carácter de inspector y podrá estar acompañado por el personal técnico que sea
designado a tal fin por el Director Nacional de Protección de Datos Personales
a propuesta del titular del área requerida. En todos los casos y de
considerarlo pertinente, el Director Nacional de Protección de Datos Personales
podrá estar presente en la inspección.
Art. 4º — La iniciación de la inspección
se instrumentará mediante decisión del Director Nacional de Protección de Datos
Personales y será debidamente notificada al responsable de la base de datos
sujeta a control con una antelación no inferior a DIEZ (10) días hábiles, salvo
que se entienda que la previa notificación podrá afectar el resultado de la
investigación, en cuyo caso deberá constar la pertinente justicación
en el acto de apertura de la inspección. En caso de efectuarse notificación, la
misma deberá ir acompañada por una copia del texto correspondiente a las NORMAS
DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS
PERSONALES aprobadas por el Anexo I de la presente.
Art. 5º — La inspección consistirá en una
o más visitas presenciales del inspector en la que
podrá acceder a la totalidad de los locales, equipos o programas de
tratamientos de datos personales del responsable de la base de datos
controlada. Dichas visitas se harán en días y horas hábiles administrativos sin
perjuicio de lo cual de oficio o a petición de parte podrán habilitarse
aquellos que no lo fueren.
Art. 6º — La inspección se desarrollará
conforme lo disponen los puntos de las NORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES, en forma total o parcial según el alcance
objetivo o causal del control y a las características del tratamiento de datos
bajo inspección. Podrán además solicitarse elementos adicionales siempre que
las circunstancias fácticas y el tipo de tratamiento de datos así lo
determinen.
Art. 7º — Los actos de inspección
constarán en un acta que será labrada en duplicado por el inspector y suscripta
por el mismo, por los técnicos que lo acompañen en su caso, y por el
responsable de la base de datos controlada. El original se incorporá
a las actuaciones que dieron origen a la inspección y el duplicado será
entregado al responsable de la base de datos.
Art. 8º — En caso de que resultare
necesario solicitar autorización judicial para acceder a locales, equipos, o
programas de tratamiento de datos a fin de verificar infracciones al
cumplimiento de la Ley Nº
25.326, el inspector deberá elevar la respectiva petición al Director Nacional
de Protección de Datos Personales, quien formulará el correspondiente
requerimiento.
Art. 9º — Comuníquese, publíquese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL y
archívese. — Juan A. Travieso.
ANEXO I
NORMAS DE INSPECCION Y
CONTROL DE LA
DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES
1. Objetivo general
1.1. Desarrollo de
inspecciones que permitan mejorar la gestión de tratamiento de datos personales
por parte del responsable de las Bases de Datos, el ejercicio de las facultades
de control de la
DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES y la
mejor protección de los derechos del titular del dato.
2. Objetivos de la inspección.
2.1. Tomar conocimiento
de las actividades del Responsable de la Base de Datos, los datos personales que
administra, y los medios y la forma con los que lo hace.
2.2. Evaluar el grado de
cumplimiento lo prescripto por la
Ley Nº 25.326.
2.3. Realizar
recomendaciones para el mejor desempeño del responsable dentro del marco legal.
3. Alcance de la
inspección
Se verificarán las
medidas técnicas y organizativas desarrolladas por el Responsable de la Base de Datos en los
siguientes campos:
3.1. Capacitación
3.1.1. Capacitación del
personal
3.1.2. Títulos y
acreditaciones de quien fuera designado como encargado de la Base de Datos y/o responsable
u órgano específico de seguridad (Disposición DNPDP Nº 11/2006).
3.1.3. Inscripciones,
habilitaciones, inhibiciones.
3.1.4. Participación en
actividades de cámaras, asociaciones, organismos.
3.1.5. Publicaciones en
medios.
3.1.6. Participación en
actividades académicas.
3.2. Legalidad de los
datos que posee y gestiona.
3.2.1. Licitud en la
recolección de los datos.
3.2.2. Inscripción
actualizada de sus Bases de Datos en el REGISTRO NACIONAL DE BASES DE DATOS de la DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES.
3.3. Idoneidad de los
medios empleados en el tratamiento de los datos y en toda gestión anexa.
3.3.1. Materiales:
instalaciones, medios de almacenamiento.
3.3.2. Sistemas,
software.
3.3.3. Personal: diseño
de sistemas, gestión de sistemas, atención a usuarios, legales.
3.3.4. Procedimentales: formas de gestión, atención de reclamos,
corrección de errores, comunicación.
3.4. Correcto tratamiento
de los datos personales.
3.4.1. Almacenamiento.
3.4.2. Interrelación de
la información.
3.4.3. Modificación.
3.4.4. Ejercicio de los
derechos que acuerda la ley a los titulares de los datos.
3.4.5. Destrucción.
3.4.6. Cesión a terceros
y transferencia internacional.
3.4.7. Contratos de
prestación de servicios de tratamiento de datos por o para terceros.
3.5. La publicidad y
formas de comunicación hacia terceros que realiza y que involucre a los datos
personales de los que es responsable.
La publicidad y
comunicación que se realice de productos o servicios que involucren a los datos
personales objeto de esta inspección, debe ser coherente con la realidad
producida por el inspeccionado y no debe contradecir lo prescripto por la Ley 25.326.
3.5.1. Comunicación
institucional
3.5.2. Publicidad
comercial.
4. Metodología de la
inspección:
4.1. Acreditaciones
obligatorias del responsable.
4.1.1. Personería
4.1.2. Registro DNPDP
4.2. Acreditaciones
optativas
4.2.1. ANSES
4.2.2. ART
4.2.3. Habilitación
municipal
4.2.4. CUIT
4.3. Legalidad y
corrección de los datos objeto de tratamiento.
4.3.1. Licitud del
tratamiento de datos personales.
4.3.1.1. Tipos de datos
que se gestionan.
4.3.1.2. Finalidad del
tratamiento, servicios que se prestan.
4.3.1.3. Origen o fuente
de los datos, formas de recolección. Verificación del consentimiento del
titular para el tratamiento de sus datos.
4.3.1.3.1. Verificación
de los procesos de incorporación de datos a la base.
4.3.1.3.2. Comprobación
de los consentimientos firmados.
4.3.1.4. Cesiones a
terceros. Cumplimiento de los requisitos legales.
4.3.1.5. Transferencias
internacionales. Cumplimiento de los requisitos legales.
4.3.1.6. Mecanismos de
disociación de la información personal.
4.3.1.7. Destrucción de
la información.
4.3.1.7.1. Verificación
de la utilidad o pertinencia de la información registrada
4.3.1.7.2. Periodicidad
de la verificación.
4.3.1.7.3. Forma de
destrucción.
4.3.2. Inscripciones vigentes
en la DNPDP
para los tratamientos de datos inspeccionados.
4.3.3. Medidas de
seguridad de la información
4.3.3.1. Cumplimiento de la Disposición DNPDP
Nº 11/06.
4.3.4. Política de
privacidad y confidencialidad del responsable.
4.3.4.1. Se verificará si
tiene una política de privacidad.
4.3.4.2. Grado de
cumplimiento de la política de privacidad.
4.3.4.3. Publicidad y
difusión de la política de privacidad.
4.3.4.4. Convenios de
confidencialidad firmados por los empleados, usuarios o terceros que accedan a
la información registrada en la base de datos.
4.3.4.5. Se verificará si
el responsable adopta mecanismos para evaluar el cumplimiento de la política de
privacidad y de los convenios de confidencialidad.
4.3.5. Casos especiales.
Cumplimiento de la normativa específica.
4.3.5.1. Datos relativos
a la salud.
4.3.5.1.1.
Establecimientos sanitarios y profesionales de la salud.
4.3.5.1.2.
Investigaciones clínicas, farmacológicas y farmacogenéticas.
4.3.5.1.2.1. Verificación
que los consentimientos informados del paciente para los protocolos de
investigación cuenten con la aprobación de la DNPDP.
4.3.5.1.2.2. El
consentimiento libre, expreso por escrito, e informado brindado por el
paciente. En caso de menores, conste la autorización de su representante legal
y eventual asentimiento del menor.
4.3.5.1.2.3. La previa
explicación al paciente en forma adecuada a su nivel sociocultural.
4.3.5.1.2.4. Respeto del
secreto profesional y normas de confidencialidad para el tratamiento de los
datos personales recolectados.
4.3.5.1.2.5. Respeto de
la revocabilidad del consentimiento para el tratamiento de los datos
personales.
4.3.5.1.2.6. Cesionarios
o receptores en caso de cesión o transferencia internacional de datos
personales.
4.3.5.1.2.7. Análisis de
los mecanismos de disociación de los datos personales.
4.3.5.2. Tratamiento de
datos por cuenta de terceros.
4.3.5.2.1. Contrato de
servicio
4.3.5.2.2. Uso posterior
de los datos una vez cumplido el contrato. Conservación o destrucción.
4.3.5.3. Bases de datos
destinadas a la información crediticia.
4.3.5.3.1. Análisis de
las fuentes legítimas.
4.3.5.3.2. Estricto
cumplimiento del tipo de información que el artículo 26 habilita tratar.
4.3.5.3.3. Aplicación de
los plazos de caducidad para la publicidad de la información del artículo 26,
inciso 4.
4.3.5.4. Bases de datos
destinadas a la publicidad.
4.3.5.4.1. Origen de los
datos.
4.3.5.4.2. Información al
titular de los datos
4.3.5.4.3. Mecanismo
previsto para el ejercicio del derecho de bloqueo del artículo 27, inciso 3.
4.3.5.5. Bases de datos
destinados a las encuestas de opinión.
4.4. Idoneidad de los
medios empleados en el tratamiento de los datos y en gestiones anexas.
4.4.1. Materiales:
instalaciones y medios de almacenamiento.
4.4.1.1. Compartidas o
exclusivas.
4.4.1.2. Grado de
privacidad / seguridad en las operaciones.
4.4.2. Sistemas,
software:
4.4.2.1. Medios de
seguridad contra acciones no permitidas.
4.4.3. Personal. Se
entrevista al personal de las áreas de:
4.4.3.1. Diseño de sistemas
y gestión de sistemas: calificación del personal.
4.4.3.1.1. Conocimiento
de la responsabilidad vinculada al tratamiento de datos personales.
4.4.3.1.2. Estudios
básicos.
4.4.3.1.3. Estudios y
formación vinculados a la protección de datos personales.
4.4.3.1.3.1. Cursos al
ingreso - Cursos actualización
4.4.3.1.3.2. Internos, en
la organización.
4.4.3.1.3.3. Externos.
4.4.3.2. Atención a
titulares y usuarios: calificación del personal.
4.4.3.2.1. Conocimiento
de responsabilidad vinculada al tratamiento de datos personales, los derechos
de los titulares y las obligaciones de la Ley 25.326
4.4.3.2.2. Tiempo de
antigüedad en la actividad.
4.4.3.2.3. Estudios
básicos.
4.4.3.2.4. Estudios y
formación vinculados a la protección de datos personales.
4.4.3.2.4.1. Cursos al
ingreso - Cursos actualización
4.4.3.2.4.2. Internos, en
la organización
4.4.3.2.4.3. Externos.
4.4.3.2.5. Capacidad de
trato.
4.4.3.2.6. Actitud frente
a reclamos.
4.4.3.2.7. Capacidad de
comunicación.
4.4.3.2.8. Idiomas,
cuáles, grado de conocimiento.
4.4.3.3. Legales,
calificación del personal
4.4.3.3.1. Conocimiento
de la responsabilidad vinculada al tratamiento de datos personales.
4.4.3.3.2. Tiempo de
antigüedad en la actividad.
4.4.3.3.3. Estudios
básicos.
4.4.3.3.4. Estudios y
formación vinculados a la protección de datos personales.
4.4.3.3.4.1. Cursos al
ingreso - Cursos actualización
4.4.3.3.4.2. Internos, en
la organización.
4.4.3.3.4.3. Externos.
4.4.3.3.5. Capacidad de
trato.
4.4.3.3.6. Actitud frente
a reclamos.
4.4.3.3.7. Capacidad de
comunicación.
4.4.4. Procedimentales: atención de reclamos, corrección de
errores, comunicación.
Se verifican
procedimientos específicos por ejemplo:
4.4.4.1. Procedimiento:
Derecho de acceso
4.4.4.1.1. Personas a
cargo, calificación.
4.4.4.1.2. Recepción de
solicitud: Formas – Lugar - Horario
4.4.4.1.3. Verificación
de la identidad del solicitante.
4.4.4.1.4. Elaboración de
la respuesta, colección de la información, redacción, presentación (papel,
archivo).
4.4.4.1.5. Entrega de la
respuesta, formas y procedimiento (correo, email,
fax).
4.4.4.1.6. Registro del
caso (ticket, archivo).
4.4.4.1.7. Seguimiento.
4.4.4.1.8. Tiempo
transcurrido entre la solicitud y la recepción de la respuesta. Análisis de
casos testigo.
4.4.4.2. Procedimiento:
Rectificación – Actualización - Supresión - Bloqueo.
4.4.4.2.1. Personas a
cargo, calificación.
4.4.4.2.2. Verificación
de la identidad del solicitante.
4.4.4.2.3. Recepción de
solicitud: Formas – Lugar – Horario
4.4.4.2.4. Elaboración de
la respuesta, colección de la información, redacción, presentación (papel,
archivo).
4.4.4.2.5. Entrega de la
respuesta, formas y procedimiento (correo, email,
fax).
4.4.4.2.6. Registro del
caso (ticket, archivo).
4.4.4.2.7. Seguimiento.
4.4.4.2.8. Tiempo
transcurrido entre la solicitud y la recepción de la respuesta.
4.5. Acatamiento de las
disposiciones de la DNPDP
4.5.1. Disposiciones
generales
4.5.2. Disposiciones
particulares acaecidas en sumarios tramitados ante la DNPDP en los que el
responsable de la base de datos haya sido parte.