Dirección Nacional de Protección
de Datos Personales
PROTECCION DE LOS DATOS PERSONALES
Disposición 7/2005
Apruébanse la "Clasificación de Infracciones" y la "Graduación de
las sanciones" a aplicar ante violaciones a las normas de la Ley Nº
25.326 y de las reglamentaciones dictadas en su consecuencia. Derógase
la Disposición Nº 1/2003.
Bs. As., 8/11/2005
VISTO las competencias atribuidas a esta DIRECCION NACIONAL DE
PROTECCION DE DATOS PERSONALES por la Ley Nº 25.326 y su reglamentación
aprobada por Decreto Nº 1558/01, la Disposición DNPDP Nº 1 del 25 de
junio de 2003, y
CONSIDERANDO:
Que entre las atribuciones asignadas a la DIRECCION NACIONAL DE
PROTECCION DE DATOS PERSONALES se encuentra la de imponer las sanciones
administrativas que en su caso correspondan por violación a las normas
de la Ley Nº 25.326 y de las reglamentaciones dictadas en su
consecuencia.
Que en virtud de ello, oportunamente se dictó la Disposición DNPDP Nº
1/2003, la que estableció una clasificación de las infracciones en
"leves", "graves" y "muy graves" y una graduación de la sanción
administrativa de multa a aplicar ante las infracciones que pudieran
comprobarse, determinada dentro de los parámetros de monto fijados en
el artículo 31 de la citada norma legal.
Que la misma normativa prevé que el órgano de control también podrá
aplicar otras sanciones tales como apercibimiento, suspensión y
clausura o cancelación del archivo, registro o banco de datos.
Que la experiencia ha demostrado, a pesar del breve período en que la
mencionada Disposición se ha encontrado vigente, que resulta menester
incorporar en el régimen sancionatorio por ella previsto, también a las
otras sanciones que contempla el artículo 31 de la Ley Nº 25.326, con
el objeto de otorgar a la DIRECCION NACIONAL DE PROTECCION DE DATOS
PERSONALES un adecuado margen de actuación al momento de determinar la
cuantía de las sanciones a aplicar, oportunidad en la que deberá
considerar los criterios previstos en el segundo párrafo del artículo
31 del Decreto Reglamentario Nº 1558/ 01.
Que asimismo es oportuno incorporar nuevos hechos u omisiones que
implican transgresiones a la normativa de protección de datos
personales.
Que en consecuencia, cabe entonces reformular el régimen de
infracciones y sanciones vigente, continuando en la postura antes
sustentada al dictar la misma, de contar con un listado de carácter
meramente enunciativo y por ende no taxativo, de aquellas conductas que
se consideran violatorias de la Ley Nº 25.326 y su reglamentación.
Que a los fines indicados precedentemente sería conveniente aplicar a
los casos de "infracciones leves" las sanciones de "hasta DOS (2)
apercibimientos" y/o "multa de PESOS UN MIL ($ 1.000.-) a PESOS TRES
MIL ($ 3.000.- ); a las "infracciones graves", las sanciones de "hasta
CUATRO (4) apercibimientos", "suspensión de UNO (1) a TREINTA (30)
días" y/ o "multa de PESOS TRES MIL UNO ($ 3.001.- ) a PESOS CINCUENTA
MIL ($ 50.000.-) y finalmente, a los casos de "infracciones muy graves"
las sanciones de "hasta SEIS (6) apercibimientos", "suspensión de
TREINTA Y UN (31) a TRESCIENTOS SESENTA Y CINCO (365) días", "clausura
o cancelación del archivo, registro o banco de datos" y/o "multa de
PESOS CINCUENTA MIL UNO ($50.001.- ) a PESOS CIEN MIL ($ 100.000.-).
Que asimismo, resulta conveniente que la DIRECCION NACIONAL DE
PROTECCION DE DATOS PERSONALES organice y mantenga actualizado un
registro de los responsables de la comisión de las infracciones
contempladas en la presente medida, en particular con el objeto de
establecer antecedentes individuales para la evaluación de la cuantía
de las sanciones, especialmente respecto del rubro reincidencia.
Que la DIRECCION GENERAL DE ASUNTOS JURIDICOS del MINISTERIO DE
JUSTICIA Y DERECHOS HUMANOS y la PROCURACION DEL TESORO DE LA NACION
han tomado la intervención que les compete.
Que la presente medida se dicta en uso de las facultades conferidas en
el artículo 29 inciso b) y f) de la Ley Nº 25.326.
Por ello,
EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES
DISPONE:
Artículo 1º — Derógase la
Disposición DNPDP Nº 1 del 25 de junio de 2003.
Art. 2º — Apruébase la
"Clasificación de Infracciones" y la "Graduación de las Sanciones", que
como ANEXOS I y II, respectivamente, forman parte integrante de la
presente medida.
Art. 3º — Créase el Registro
de Infractores Ley Nº 25.326, el que tendrá como objetivos:
a) organizar y mantener actualizado, con las constancias provenientes
de las actuaciones labradas en el marco del procedimiento de denuncias
ante la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, un
registro de los responsables de la comisión de las infracciones
contempladas en el ANEXO I de la presente medida.
b) hacer constar, en el legajo que se instrumente al respecto, la
calidad de la falta cometida, la sanción aplicada, el grado de
acatamiento de la misma, los recursos planteados, la decisión final
recaída, la calidad de reincidente y todo otro elemento de juicio que
sea de interés para la DIRECCION NACIONAL DE PROTECCION DE DATOS
PERSONALES.
Art. 4º — La DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES será el órgano responsable del
archivo creado en el artículo precedente y ante sus dependencias
deberán ejercerse los derechos de acceso, rectificación o supresión.
Art. 5º — Comuníquese,
publíquese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL y
archívese. — Juan A. Travieso.
ANEXO I
(Anexo sustituido por art. 2° de la Resolución N° 240/2022 de la Agencia de
Acceso a la Información Pública B.O. 5/12/2022
CLASIFICACIÓN
DE LAS INFRACCIONES
1. - Serán consideradas
INFRACCIONES
LEVES, sin perjuicio de otras que a juicio de la Autoridad de
Aplicación también las constituyan:
a) Efectuar tratamiento de datos personales sin encontrarse inscripto
ante el REGISTRO NACIONAL DE BASES DE DATOS en infracción a lo
dispuesto por el artículo 3° de la Ley N° 25.326.
b) No informar en tiempo y forma modificaciones, actualizaciones o
bajas ante el REGISTRO NACIONAL DE BASES DE DATOS.
c) No proporcionar en tiempo y forma la información que solicite la
DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES en el ejercicio de
las competencias que tiene atribuidas.
d) No acompañar en tiempo y forma la documentación requerida en el
marco de un procedimiento de inspección.
e) No respetar el principio de gratuidad previsto en el artículo 19 de
la Ley N° 25.326.
2. - Serán consideradas
INFRACCIONES
GRAVES, sin perjuicio de otras que a juicio de la Autoridad de
Aplicación también las constituyan:
a) No inscribir la base de datos de carácter personal en el REGISTRO
NACIONAL DE BASES DE DATOS, cuando haya sido requerido para ello por la
DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.
b) Declarar datos falsos o inexactos al efectuar la registración ante
el REGISTRO NACIONAL DE BASES DE DATOS.
c) Tratar datos de carácter personal sin contar con una base de
legitimación adecuada.
d) Recoger datos de carácter personal sin proporcionar a los titulares
de los mismos el derecho de información exigida por el artículo 6° de
Ley N° 25.326.
e) No atender en tiempo y forma la solicitud de los titulares de los
datos personales de los derechos de acceso, rectificación o supresión
cuando legalmente proceda.
f) Proceder al tratamiento de datos de carácter personal que no reúnan
las calidades de ciertos, adecuados, pertinentes y no excesivos en
relación al ámbito y finalidad para los que se hubieren obtenido.
g) Incumplir el deber de confidencialidad y seguridad sobre los datos
de carácter personal incorporados a registros, archivos, bancos o bases
de datos.
h) Mantener bases de datos locales, programas o equipos que contengan
datos de carácter personal sin las debidas condiciones de seguridad que
la normativa determina.
i) Mantener por más tiempo que el establecido legalmente, el registro,
archivo o cesión de los datos significativos para evaluar la solvencia
económico-financiera de los titulares de los datos.
j) Tratar, dentro de la prestación de servicios de información
crediticia, datos personales patrimoniales que excedan la información
relativa a la solvencia económica y al crédito del titular de tales
datos.
k) No retirar o bloquear el nombre y dirección de correo electrónico de
los bancos de datos destinados a publicidad cuando su titular lo
solicite de conformidad con lo previsto en el artículo 27, inciso 3 de
la Ley N° 25.326.
l) Hacer ilegalmente uso del isologo creado a través de la Resolución
AAIP 12/ 2018, por el que se identifica a los responsables inscriptos
ante el REGISTRO NACIONAL DE BASES DE DATOS.
m) Contactar con el objeto de publicidad, oferta, venta o regalo de
bienes o servicios utilizando los servicios de telefonía en cualquiera
de sus modalidades a quienes se encuentren debidamente inscriptos ante
el REGISTRO NACIONAL “NO LLAME” creado por la Ley N° 26.951.
n) Utilizar los servicios de telefonía en cualquiera de sus modalidades
para publicitar, ofertar, vender o regalar bienes o servicios sin haber
obtenido de la Autoridad de Aplicación la habilitación de usuario
autorizado para la descarga de la lista de inscriptos ante el REGISTRO
NACIONAL “NO LLAME”.
o) No adoptar las medidas que garanticen el cumplimiento de la Ley N°
26.951, en campañas donde se contraten empresas tanto en el país como
en el exterior que utilicen los servicios de telefonía en cualquiera de
sus modalidades para publicitar, ofertar, vender o regalar bienes o
servicios.
p) Obstruir el ejercicio de la función de inspección y fiscalización a
cargo de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.
q) No dar respuesta a los requerimientos cursados por la DIRECCIÓN
NACIONAL DE PROTECCIÓN DE DATOS PERSONALES en el ejercicio de las
competencias que tiene atribuidas.
3.- Serán consideradas
INFRACCIONES
MUY GRAVES, sin perjuicio de otras que a juicio de la Autoridad
de Aplicación también las constituyan:
a) Omitir denunciar, con motivo del tratamiento de datos personales en
Internet, el domicilio legal y demás datos identificativos del
responsable, sea ante el REGISTRO NACIONAL DE BASES DE DATOS como así
también en su política de privacidad, de modo tal que mediante dicha
conducta afecte el ejercicio de los derechos del titular del dato y la
actividad de contralor que por la normativa vigente compete a la
DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.
b) Conformar un archivo de datos cuya finalidad sea contraria a las
leyes o a la moral pública.
c) Recoger datos de carácter personal mediante ardid, engaño o fraude a
la ley.
d) Tratar los datos de carácter personal en forma ilegítima o con
menosprecio de los principios y garantías establecidos en Ley N° 25.326
y normas reglamentarias.
e) Realizar acciones concretas tendientes a impedir u obstaculizar el
ejercicio por parte del titular de los datos de los derechos
reconocidos en la Ley N° 25.326.
f) Mantener datos personales inexactos o no efectuar las
rectificaciones, actualizaciones o supresiones de los mismos que
legalmente procedan cuando resulten afectados los derechos de las
personas que la Ley N° 25.326 ampara y haya sido intimado previamente
por la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.
g) Transferir datos personales de cualquier tipo a países u organismos
internacionales o supranacionales que no proporcionen niveles de
protección adecuados, salvo las excepciones legales previstas en el
artículo 12, inciso 2, de la Ley N° 25.326, sin haber cumplido los
demás recaudos legales previstos en la citada ley y normativa
complementaria.
h) Ceder ilegítimamente los datos de carácter personal fuera de los
casos en que tal accionar esté permitido.
i) Recolectar y tratar datos sensibles sin que medie el consentimiento
del titular de los datos, razones de interés general autorizadas por
ley o sean tratados con finalidades estadísticas/ científicas sin la
debida anonimización.
j) Formar archivos, bancos o registros que almacenen información que
directa o indirectamente revele datos sensibles, salvo en los casos
expresamente previstos en el artículo 7°, inciso 3 de la Ley N° 25.326.
k) Incumplir el deber de confidencialidad y seguridad respecto de los
datos sensibles, así como de los que hayan sido recabados y tratados
para fines penales y contravencionales.
l) No cesar en el uso y tratamiento ilegítimo de datos de carácter
personal cuando sea requerido para ello por el titular y/o por la
DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.
m) Realizar maniobras tendientes a sustraerse o impedir el desarrollo
de la actividad de contralor de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE
DATOS PERSONALES.
IF-2022-129382825-APN-AAIP
ANEXO II
(Anexo sustituido por art. 2° de la Resolución N° 240/2022 de la Agencia de
Acceso a la Información Pública B.O. 5/12/2022
GRADUACIÓN
DE LAS SANCIONES
1. Ante la comisión de INFRACCIONES LEVES se podrán aplicar hasta DOS
(2) APERCIBIMIENTOS y/o una MULTA de PESOS UN MIL ($ 1.000,00) a PESOS
OCHENTA MIL ($ 80.000,00).
2. En el caso de las INFRACCIONES GRAVES la sanción a aplicar será de
hasta CUATRO (4) APERCIBIMIENTOS, SUSPENSION DE UNO (1) a TREINTA (30)
DÍAS y/o MULTA de PESOS OCHENTA MIL UNO ($ 80.001,00) a PESOS NOVENTA
MIL ($ 90.000,00).
3. En el caso de INFRACCIONES MUY GRAVES se aplicarán hasta SEIS (6)
APERCIBIMIENTOS, SUSPENSIÓN DE TREINTA Y UNO (31) a TRESCIENTOS SESENTA
Y CINCO (365) DÍAS, CLAUSURA o CANCELACIÓN DEL ARCHIVO, REGISTRO O
BANCO DE DATOS y/o MULTA de PESOS NOVENTA MIL UNO ($ 90.001,00) a PESOS
CIEN MIL ($ 100.000,00).
4. Superados los SEIS (6) APERCIBIMIENTOS no podrá aplicarse nuevamente
este tipo de sanción.
5. Las sanciones previstas precedentemente serán de aplicación a los
responsables o usuarios de archivos, registros, bases o bancos de datos
públicos y privados destinados a dar informes, se hubieren inscripto o
no en el REGISTRO NACIONAL DE BASES DE DATOS correspondiente, ello sin
perjuicio de las responsabilidades administrativas que pudieran
corresponder a los responsables o usuarios de bancos de datos públicos;
de la responsabilidad por daños y perjuicios derivados de la
inobservancia de la presente ley y de las sanciones penales que
correspondan.
6. La aplicación y cuantía de las sanciones se graduará atendiendo:
a. la naturaleza y dimensión del daño o peligro de los derechos
personales afectados;
b. el beneficio económico obtenido por el infractor o terceros, en
virtud de la comisión de la infracción;
c. la reincidencia en la comisión de la infracción;
d. la resistencia, negativa u obstrucción a la acción investigadora o
de vigilancia de la Autoridad de aplicación;
e. el incumplimiento de los requerimientos u órdenes impartidas por la
Autoridad de aplicación;
f. el reconocimiento o aceptación expresa que haga el investigado sobre
la comisión de la infracción antes de la imposición de la sanción a que
hubiere lugar;
g. la condición económica del infractor;
h. la adopción demostrada de medidas correctivas y mecanismos y
procedimientos internos capaces de minimizar el daño, tendientes al
tratamiento seguro y adecuado de los datos;
i. la proporcionalidad entre la gravedad de la falta y de la sanción;
j. si se han afectado datos personales de niños, niñas y adolescentes;
k. el volumen de los datos tratados;
l. la categoría de datos personales afectados, al grado de
intencionalidad, a la reincidencia, a los daños y perjuicios causados a
las personas interesadas;
m. otros que pueda considerar la Autoridad de aplicación según la
naturaleza del caso.
n. Ante incidentes de seguridad, se considerará como atenuante la
colaboración con la autoridad de control y la implementación demostrada
de medidas correctivas, mecanismos y procedimientos internos capaces de
minimizar el daño por parte del responsable o encargado de tratamiento.
7. Cada infracción deberá ser sancionada en forma independiente,
debiendo acumularse cuando varias conductas sancionables se den en las
mismas actuaciones.
En los casos donde haya pluralidad de sujetos afectados y el acto
administrativo condenatorio incluya más de una sanción pecuniaria por
idéntica conducta sancionable, resultan aplicables los topes máximos
previstos en la normativa vigente.
8. La reincidencia se configurará cuando quien habiendo sido sancionado
por alguna de las infracciones previstas en las Leyes Nros. 25.326 y
26.951 y/o sus reglamentaciones, incurriera en otra de similar conducta
sancionable dentro del término de DOS (2) años, a contar desde la
notificación del acto administrativo que aplica la sanción.
9. La multa deberá ser abonada dentro de los DIEZ (10) días hábiles
administrativos desde su notificación.
10. La falta de pago de las multas aplicadas hará exigible su cobro por
ejecución fiscal, constituyendo suficiente título ejecutivo el
testimonio autenticado de la resolución condenatoria firme.
11. Sin perjuicio de las sanciones que se apliquen, la DIRECCIÓN
NACIONAL DE PROTECCIÓN DE DATOS PERSONALES podrá imponer a la
sancionada una obligación de hacer con el objeto de que cese en el
incumplimiento que diera origen a la sanción y la capacitación
obligatoria en materia de protección de datos personales para evitar
que la conducta infraccional se produzca nuevamente.
IF-2022-129384886-APN-AAIP
- Anexo I sustituido por art. 1° de la Disposición
N° 9/2015 de la Dirección
Nacional de Protección de Datos Personales B.O. 24/02/2015. Disposición
abrogada por art. 1° de la Resolución N° 240/2022 de la Agencia de
Acceso a la Información Pública B.O. 5/12/2022;
- Anexo II sustituido por art. 1° de la Disposición
N° 9/2015
de la Dirección
Nacional de Protección de Datos Personales B.O. 24/02/2015. Disposición
abrogada por art. 1° de la Resolución N° 240/2022 de la Agencia de
Acceso a la Información Pública B.O. 5/12/2022;
- Anexo II, Punto 2
rectificado por art. 1° de la Disposición
N° 13/2015 de la Dirección
Nacional de Protección de Datos Personales B.O. 16/3/2015. Disposición
abrogada por art. 1° de la Resolución N° 240/2022 de la Agencia de
Acceso a la Información Pública B.O. 5/12/2022;
- Anexo II, Punto 3
rectificado por art. 1° de la Disposición
N° 13/2015 de la Dirección
Nacional de Protección de Datos Personales B.O. 16/3/2015. Disposición
abrogada por art. 1° de la Resolución N° 240/2022 de la Agencia de
Acceso a la Información Pública B.O. 5/12/2022.