Dirección Nacional de Protección de Datos Personales
PROTECCION DE LOS DATOS PERSONALES
Disposición 7/2005
Apruébanse la "Clasificación de Infracciones" y la "Graduación de
las sanciones" a aplicar ante violaciones a las normas de la Ley Nº
25.326 y de las reglamentaciones dictadas en su consecuencia. Derógase
la Disposición Nº 1/2003.
Bs. As., 8/11/2005
VISTO las competencias atribuidas a esta DIRECCION NACIONAL DE
PROTECCION DE DATOS PERSONALES por la Ley Nº 25.326 y su reglamentación
aprobada por Decreto Nº 1558/01, la Disposición DNPDP Nº 1 del 25 de
junio de 2003, y
CONSIDERANDO:
Que entre las atribuciones asignadas a la DIRECCION NACIONAL DE
PROTECCION DE DATOS PERSONALES se encuentra la de imponer las sanciones
administrativas que en su caso correspondan por violación a las normas
de la Ley Nº 25.326 y de las reglamentaciones dictadas en su
consecuencia.
Que en virtud de ello, oportunamente se dictó la Disposición DNPDP Nº
1/2003, la que estableció una clasificación de las infracciones en
"leves", "graves" y "muy graves" y una graduación de la sanción
administrativa de multa a aplicar ante las infracciones que pudieran
comprobarse, determinada dentro de los parámetros de monto fijados en
el artículo 31 de la citada norma legal.
Que la misma normativa prevé que el órgano de control también podrá
aplicar otras sanciones tales como apercibimiento, suspensión y
clausura o cancelación del archivo, registro o banco de datos.
Que la experiencia ha demostrado, a pesar del breve período en que la
mencionada Disposición se ha encontrado vigente, que resulta menester
incorporar en el régimen sancionatorio por ella previsto, también a las
otras sanciones que contempla el artículo 31 de la Ley Nº 25.326, con
el objeto de otorgar a la DIRECCION NACIONAL DE PROTECCION DE DATOS
PERSONALES un adecuado margen de actuación al momento de determinar la
cuantía de las sanciones a aplicar, oportunidad en la que deberá
considerar los criterios previstos en el segundo párrafo del artículo
31 del Decreto Reglamentario Nº 1558/ 01.
Que asimismo es oportuno incorporar nuevos hechos u omisiones que
implican transgresiones a la normativa de protección de datos
personales.
Que en consecuencia, cabe entonces reformular el régimen de
infracciones y sanciones vigente, continuando en la postura antes
sustentada al dictar la misma, de contar con un listado de carácter
meramente enunciativo y por ende no taxativo, de aquellas conductas que
se consideran violatorias de la Ley Nº 25.326 y su reglamentación.
Que a los fines indicados precedentemente sería conveniente aplicar a
los casos de "infracciones leves" las sanciones de "hasta DOS (2)
apercibimientos" y/o "multa de PESOS UN MIL ($ 1.000.-) a PESOS TRES
MIL ($ 3.000.- ); a las "infracciones graves", las sanciones de "hasta
CUATRO (4) apercibimientos", "suspensión de UNO (1) a TREINTA (30)
días" y/ o "multa de PESOS TRES MIL UNO ($ 3.001.- ) a PESOS CINCUENTA
MIL ($ 50.000.-) y finalmente, a los casos de "infracciones muy graves"
las sanciones de "hasta SEIS (6) apercibimientos", "suspensión de
TREINTA Y UN (31) a TRESCIENTOS SESENTA Y CINCO (365) días", "clausura
o cancelación del archivo, registro o banco de datos" y/o "multa de
PESOS CINCUENTA MIL UNO ($50.001.- ) a PESOS CIEN MIL ($ 100.000.-).
Que asimismo, resulta conveniente que la DIRECCION NACIONAL DE
PROTECCION DE DATOS PERSONALES organice y mantenga actualizado un
registro de los responsables de la comisión de las infracciones
contempladas en la presente medida, en particular con el objeto de
establecer antecedentes individuales para la evaluación de la cuantía
de las sanciones, especialmente respecto del rubro reincidencia.
Que la DIRECCION GENERAL DE ASUNTOS JURIDICOS del MINISTERIO DE
JUSTICIA Y DERECHOS HUMANOS y la PROCURACION DEL TESORO DE LA NACION
han tomado la intervención que les compete.
Que la presente medida se dicta en uso de las facultades conferidas en el artículo 29 inciso b) y f) de la Ley Nº 25.326.
Por ello,
EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES
DISPONE:
Artículo 1º — Derógase la Disposición DNPDP Nº 1 del 25 de junio de 2003.
Art. 2º — Apruébase la
"Clasificación de Infracciones" y la "Graduación de las Sanciones", que
como ANEXOS I y II, respectivamente, forman parte integrante de la
presente medida.
Art. 3º — Créase el Registro de Infractores Ley Nº 25.326, el que tendrá como objetivos:
a) organizar y mantener actualizado, con las constancias provenientes
de las actuaciones labradas en el marco del procedimiento de denuncias
ante la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, un
registro de los responsables de la comisión de las infracciones
contempladas en el ANEXO I de la presente medida.
b) hacer constar, en el legajo que se instrumente al respecto, la
calidad de la falta cometida, la sanción aplicada, el grado de
acatamiento de la misma, los recursos planteados, la decisión final
recaída, la calidad de reincidente y todo otro elemento de juicio que
sea de interés para la DIRECCION NACIONAL DE PROTECCION DE DATOS
PERSONALES.
Art. 4º — La DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES será el órgano responsable del
archivo creado en el artículo precedente y ante sus dependencias
deberán ejercerse los derechos de acceso, rectificación o supresión.
Art. 5º — Comuníquese, publíquese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL y archívese. — Juan A. Travieso.
ANEXO I
CLASIFICACION DE LAS INFRACCIONES
1.- Serán consideradas INFRACCIONES LEVES, sin perjuicio de otras que a
juicio de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES
también las constituyan:
a) No atender la solicitud de acceso, rectificación o supresión de los
datos personales objeto de tratamiento cuando legalmente proceda.
b) No proporcionar la información que solicite la DIRECCION NACIONAL DE
PROTECCION DE DATOS PERSONALES en el ejercicio de las competencias que
tiene atribuidas.
c) No solicitar la inscripción de las bases de datos personales tanto
públicas como privadas cuyo registro sea obligatorio en los términos
exigidos por la Ley Nº 25.326 y normas complementarias.
d) Recoger datos de carácter personal sin proporcionar a los titulares
de los mismos la información que señala el artículo 6º de Ley Nº 25.326
o sin recabar su consentimiento libre, expreso e informado en los casos
en que ello sea exigible.
e) Incumplir el deber de secreto establecido en el artículo 10 de la
Ley Nº 25.326, salvo que constituya la infracción grave prevista en el
punto 2, apartado d) o la infracción muy grave contemplada en el punto
3, apartado g) o el delito contemplado en el artículo 157 bis, inciso
2) del Código Penal.
f) No respetar el principio de gratuidad previsto en el artículo 19 de la Ley Nº 25.326.
g) Mantener por más tiempo que el establecido legalmente, el registro,
archivo o cesión de los datos significativos para evaluar la solvencia
económico- financiera de los titulares de los datos.
h) Tratar, dentro de la prestación de servicios de información
crediticia, datos personales patrimoniales que excedan la información
relativa a la solvencia económica y al crédito del titular de tales
datos.
i) Tratar, en los archivos, registros o bancos de datos con fines
publicitarios, datos que excedan la calidad de aptos para establecer
perfiles con fines promocionales o hábitos de consumo.
j) No cesar en el uso ilegítimo de los tratamientos de datos de
carácter personal cuando sea requerido por el titular. Entiéndese
incluida en este supuesto la negativa a retirar o bloquear el nombre y
dirección de correo electrónico de los bancos de datos destinados a
publicidad cuando su titular lo solicite de conformidad con lo previsto
en el último párrafo del artículo 27 de la Ley Nº 25.326.
k) Proceder al tratamiento de datos de carácter personal que no reúnan
las calidades de ciertos, adecuados, pertinentes y no excesivos en
relación al ámbito y finalidad para los que se hubieren obtenido.
2.- Serán consideradas INFRACCIONES GRAVES, sin perjuicio de otras que
a juicio de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES
también las constituyan:
a) Tratar los datos de carácter personal en forma ilegítima o con
menosprecio de los principios y garantías establecidos en Ley Nº 25.326
y normas reglamentarias.
b) Realizar acciones concretas tendientes a impedir u obstaculizar el
ejercicio por parte del titular de los datos del derecho de acceso o
negarse a facilitarle la información que sea solicitada.
c) Mantener datos de carácter personal inexactos o no efectuar las
rectificaciones, actualizaciones o supresiones de los mismos que
legalmente procedan cuando resulten afectados los derechos de las
personas que la Ley Nº 25.326 ampara y haya sido intimado previamente
por la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.
d) Vulnerar el deber de guardar el deber de confidencialidad exigido
por el artículo 10 de la Ley Nº 25.326 sobre los datos de carácter
personal incorporados a registros, archivos, bancos o bases de datos.
e) Mantener bases de datos locales, programas o equipos que contengan
datos de carácter personal sin las debidas condiciones de seguridad que
por vía reglamentaria se determinen.
f) Obstruir el ejercicio de la función de inspección y fiscalización a
cargo de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.
g) No inscribir la base de datos de carácter personal en el registro
correspondiente, cuando haya sido requerido para ello por la DIRECCION
NACIONAL DE PROTECCION DE DATOS PERSONALES.
h) No cesar en el uso ilegítimo de los tratamientos de datos de
carácter personal cuando sea requerido para ello por la DIRECCION
NACIONAL DE PROTECCION DE DATOS PERSONALES.
i) Recoger datos de carácter personal mediante ardid o engaño.
3.- Serán consideradas INFRACCIONES MUY GRAVES, sin perjuicio de otras
que a juicio de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES
también las constituyan:
a) Conformar un archivo de datos cuya finalidad sea contraria a las leyes o a la moral pública.
b) Transferir datos personales de cualquier tipo a países u organismos
internacionales o supranacionales que no proporcionen niveles de
protección adecuados, salvo las excepciones legales previstas en el
artículo 12, inciso 2, de la Ley Nº 25.326, sin haber cumplido los
demás recaudos legales previstos en la citada ley y su reglamentación.
c) Ceder ilegítimamente los datos de carácter personal fuera de los casos en que tal accionar esté permitido.
d) Recolectar y tratar los datos sensibles sin que medien razones de
interés general autorizadas por ley o tratarlos con finalidades
estadísticas o científicas sin hacerlo en forma disociada.
e) Formar archivos, bancos o registros que almacenen información que
directa o indirectamente revele datos sensibles, salvo en los casos
expresamente previstos en el artículo 7º, inciso 3), de la Ley Nº
25.326.
f) Tratar los datos de carácter personal de forma ilegítima o con
menosprecio de los principios y garantías reconocidos en nuestra Carta
Magna, cuando con ello se impida o se atente contra el ejercicio de los
derechos fundamentales.
g) Vulnerar el deber de guardar secreto sobre los datos sensibles, así
como de los que hayan sido recabados y tratados para fines penales y
contravencionales.
ANEXO II
GRADUACION DE LAS SANCIONES
1. Ante la comisión de INFRACCIONES LEVES se podrán aplicar hasta DOS
(2) APERCIBIMIENTOS y/o una MULTA de PESOS UN MIL ($ 1.000,00) a PESOS
TRES MIL ($ 3.000,00).
2. En el caso de las INFRACCIONES GRAVES la sanción a aplicar será de
hasta CUATRO (4) APERCIBIMIENTOS, SUSPENSION DE UNO (1) a TREINTA (30)
DIAS y/o MULTA de PESOS TRES MIL UNO ($ 3.001,00) a PESOS CINCUENTA MIL
($50.000,00).
3. En el caso de INFRACCIONES MUY GRAVES se aplicarán hasta SEIS (6)
APERCIBIMIENTOS, SUSPENSION DE TREINTA Y UNO (31) a TRESCIENTOS SESENTA
Y CINCO (365) DIAS, CLAUSURA o CANCELACION DEL ARCHIVO, REGISTRO O
BANCO DE DATOS y/o MULTA de PESOS CINCUENTA MIL UNO ($ 50.001,00) a
PESOS CIEN MIL ($ 100.000,00).
4. Superados los SEIS (6) APERCIBIMIENTOS no podrá aplicarse nuevamente este tipo de sanción.
5. Las sanciones previstas precedentemente serán de aplicación a los
responsables o usuarios de archivos, registros, bases o bancos de datos
públicos y privados destinados a dar informes, se hubieren inscripto o
no en el registro correspondiente, ello sin perjuicio de las
responsabilidades administrativas que pudieran corresponder a los
responsables o usuarios de bancos de datos públicos; de la
responsabilidad por daños y perjuicios derivados de la inobservancia de
la presente ley y de las sanciones penales que correspondan.
6. La aplicación y cuantía de las sanciones se graduará atendiendo a la
naturaleza de los derechos personales afectados, al volumen de los
tratamientos efectuados, a los beneficios obtenidos, al grado de
intencionalidad, a la reincidencia, a los daños y perjuicios causados a
las personas interesadas y a terceras personas, y a cualquier otra
circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación
infractora.
7. La reincidencia se configura cuando quien habiendo sido sancionado
por una de las infracciones previstas en la Ley Nº 25.326 y/o su
reglamentación, incurriera en otra de similar naturaleza dentro del
término de TRES (3) años, a contar desde la aplicación de la sanción.
8. La falta de pago de las multas aplicadas hará exigible su cobro por
ejecución fiscal, constituyendo suficiente título ejecutivo el
testimonio autenticado de la resolución condenatoria firme.