Dirección Nacional de Protección de Datos Personales
PROTECCIÓN DE DATOS PERSONALES
Disposición 9/2015
Disposición 7/2005. Modificación.
Bs. As., 19/2/2015
VISTO el Expediente N° S04:0070107/2014, del registro de este
Ministerio las competencias atribuidas a esta DIRECCION NACIONAL DE
PROTECCION DE DATOS PERSONALES por las Leyes Nros. 25.326 y 26.951, y
sus reglamentaciones aprobadas por Decretos Nos. 1558 del 29 de
noviembre de 2001 y 2501 del 17 de diciembre de 2014, respectivamente y
la Disposición DNPDP N° 7 del 8 de noviembre de 2005, y
CONSIDERANDO:
Que entre las atribuciones asignadas a la DIRECCION NACIONAL DE
PROTECCION DE DATOS PERSONALES se encuentra la de dictar las normas y
reglamentaciones que se deben observar en el desarrollo de las
actividades comprendidas en la Ley N° 25.326.
Que, asimismo, le incumbe imponer las sanciones administrativas que en
su caso correspondan por violación a las normas de la Ley N° 25.326 y
de las reglamentaciones dictadas en su consecuencia.
Que en virtud de ello, oportunamente se dictó la Disposición DNPDP N° 1
del 25 de junio de 2003, posteriormente derogada por la Disposición
DNPDP N° 7/05.
Que por Ley N° 26.951 se creó el REGISTRO NACIONAL “NO LLAME”
designándose a esta Dirección Nacional como Autoridad de Aplicación y
asignándole también facultades para imponer sanciones por
incumplimientos a esa normativa.
Que la experiencia acumulada en el desarrollo de las actividades de
esta Dirección Nacional en su carácter de Autoridad de Aplicación de la
Ley N° 25.326, sumada a las nuevas facultades asignadas por la Ley N°
26.951, determinan la necesidad de incorporar nuevos hechos u omisiones
que impliquen transgresiones a ambas normativas.
Que, en consecuencia, cabe entonces reformular el régimen de
infracciones y sanciones vigente, continuando con la postura, antes
sustentada al dictar el mismo, de contar con un listado de carácter
meramente enunciativo y por ende no taxativo, de aquellas conductas que
se consideran violatorias de la Ley N° 25.326 y su reglamentación.
Que, asimismo, resulta conveniente establecer nuevos niveles en la
“Graduación de las Sanciones”, siempre dentro de los parámetros fijados
por el artículo 31 de la Ley N° 25.326.
Que a los fines indicados precedentemente sería conveniente aplicar a
los casos de “infracciones leves” las sanciones de “hasta DOS (2)
apercibimientos” y/o “multa de PESOS UN MIL ($ 1.000.-) a PESOS
VEINTICINCO MIL ($ 25.000.-); a las “infracciones graves”, las
sanciones de “hasta CUATRO (4) apercibimientos”, “suspensión de UNO (1)
a TREINTA (30) días” y/o “multa de PESOS VEINTICINCO MIL UNO ($
25.001.-) a PESOS OCHENTA MIL ($ 80.000.-) y finalmente, a los casos de
“infracciones muy graves” las sanciones de “hasta SEIS (6)
apercibimientos”, “suspensión de TREINTA Y UN (31) a TRESCIENTOS
SESENTA Y CINCO (365) días”, “clausura o cancelación del archivo,
registro o banco de datos” y/o “multa de PESOS OCHENTA MIL UNO ($
80.001.-) a PESOS CIEN MIL ($ 100.000.-).
Que, asimismo, resulta adecuado que se mantenga el REGISTRO DE
INFRACTORES LEY N° 25.326, en su carácter de registro de los
responsables de la comisión de las infracciones contempladas en la
presente medida, cuyo objetivo principal es establecer antecedentes
individuales para la evaluación de la cuantía de las sanciones,
especialmente respecto del rubro reincidencia.
Que la DIRECCION GENERAL DE ASUNTOS JURIDICOS del MINISTERIO DE
JUSTICIA Y DERECHOS HUMANOS ha tomado la intervención que le compete.
Que la presente medida se dicta en uso de las facultades conferidas en el artículo 29, incisos b) y f) de la Ley N° 25.326.
Por ello,
EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES
DISPONE:
Artículo 1° — Sustitúyense los Anexos I y II al artículo 2° de la
Disposición DNPDP N° 7 del 8 de noviembre de 2005, los que quedarán
redactados conforme lo establecido en los Anexos I y II que forman
parte integrante de la presente medida.
Art. 2° — Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. — Juan C. González Allonca.
ANEXO I
CLASIFICACION DE LAS INFRACCIONES
1.- Serán consideradas INFRACCIONES LEVES, sin perjuicio de otras que a
juicio de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES
también las constituyan:
a) No proporcionar en tiempo y forma la información que solicite la
DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES en el ejercicio de
las competencias que tiene atribuidas.
b) No cumplir con todas las etapas del procedimiento previsto en el
Anexo III de la Disposición DNPDP N° 2 del 14 de febrero de 2005 para
que la inscripción ante el REGISTRO NACIONAL DE BASES DE DATOS se
perfeccione.
c) No informar en tiempo y forma modificaciones o bajas ante el
REGISTRO NACIONAL DE BASES DE DATOS. Esta infracción incluye no
informar cambios de domicilio.
d) No efectuar, en los casos que corresponda, la renovación anual de la
inscripción ante el REGISTRO NACIONAL DE BASES DE DATOS, de conformidad
con lo establecido en el artículo 7° de la Disposición DNPDP N° 2 del
14 de febrero de 2005.
e) No acompañar en tiempo y forma la documentación requerida en el marco de un procedimiento de inspección.
f) No respetar el principio de gratuidad previsto en el artículo 19 de la Ley N° 25.326.
g) Incumplir el deber de secreto establecido en el artículo 10 de la
Ley N° 25.326, salvo que constituya la infracción grave prevista en el
punto 2, apartado j) o la infracción muy grave contemplada en el punto
3, apartado n) o el delito contemplado en el artículo 157 bis, inciso
2) del CÓDIGO PENAL.
h) Utilizar los servicios de telefonía en cualquiera de sus modalidades
para publicitar, ofertar, vender o regalar bienes o servicios sin
utilizar números identificables por el identificador de llamadas.
i) No aportar el listado de las llamadas salientes cuando ello fuere
requerido por la DIRECCION NACIONAL DE PROTECCIÓN DE DATOS PERSONALES
en el marco de las actuaciones administrativas iniciadas por presunta
infracción a la Ley N° 26.951.
2.- Serán consideradas INFRACCIONES GRAVES, sin perjuicio de otras que
a juicio de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES
también las constituyan:
a) Recoger datos de carácter personal sin proporcionar a los titulares
de los mismos la información exigida por el artículo 6° de Ley N°
25.326 o sin recabar su consentimiento libre, expreso e informado en
los casos en que ello sea exigible.
b) No atender en tiempo y forma la solicitud de acceso, rectificación o
supresión de los datos personales objeto de tratamiento cuando
legalmente proceda.
c) Efectuar tratamiento de datos personales sin encontrarse inscripto
ante el REGISTRO NACIONAL DE BASES DE DATOS en infracción a lo
dispuesto por el artículo 3° de la Ley N° 25.326.
d) No efectuar la renovación anual de la inscripción ante el REGISTRO
NACIONAL DE BASES DE DATOS, de conformidad con lo establecido en el
artículo 7° de la Disposición DNPDP N° 2 del 14 de febrero de 2005,
cuando hubiere sido intimado para ello por la DIRECCIÓN NACIONAL DE
PROTECCIÓN DE DATOS PERSONALES.
e) Mantener por más tiempo que el establecido legalmente, el registro,
archivo o cesión de los datos significativos para evaluar la solvencia
económico-financiera de los titulares de los datos.
f) Tratar, dentro de la prestación de servicios de información
crediticia, datos personales patrimoniales que excedan la información
relativa a la solvencia económica y al crédito del titular de tales
datos.
g) Tratar, en los archivos, registros o bancos de datos con fines
publicitarios, datos que excedan la calidad de aptos para establecer
perfiles con fines promocionales o hábitos de consumo.
h) No retirar o bloquear el nombre y dirección de correo electrónico de
los bancos de datos destinados a publicidad cuando su titular lo
solicite de conformidad con lo previsto en el artículo 27, inciso 3 de
la Ley N° 25.326.
i) Proceder al tratamiento de datos de carácter personal que no reúnan
las calidades de ciertos, adecuados, pertinentes y no excesivos en
relación al ámbito y finalidad para los que se hubieren obtenido.
j) Incumplir el deber de confidencialidad exigido por el artículo 10 de
la Ley N° 25.326 sobre los datos de carácter personal incorporados a
registros, archivos, bancos o bases de datos.
k) Mantener bases de datos locales, programas o equipos que contengan
datos de carácter personal sin las debidas condiciones de seguridad que
por vía reglamentaria se determinen.
I) Obstruir el ejercicio de la función de inspección y fiscalización a
cargo de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.
m) Hacer ilegalmente uso del isologotipo creado a través de la
Disposición DNPDP N° 6 del 1° de setiembre de 2005, por el que se
identifica a los responsables inscriptos ante el REGISTRO NACIONAL DE
BASES DE DATOS.
n) Contactar con el objeto de publicidad, oferta, venta o regalo de
bienes o servicios utilizando los servicios de telefonía en cualquiera
de sus modalidades a quienes se encontraren debidamente inscriptos ante
el REGISTRO NACIONAL “NO LLAME” creado por la Ley N° 26.951.
o) Utilizar los servicios de telefonía en cualquiera de sus modalidades
para publicitar, ofertar, vender o regalar bienes o servicios sin haber
obtenido de la Autoridad de Aplicación la habilitación de usuario
autorizado para la descarga de la lista de inscriptos ante el REGISTRO
NACIONAL “NO LLAME”.
p) Utilizar los servicios de telefonía en cualquiera de sus modalidades
para publicitar, ofertar, vender o regalar bienes o servicios sin
consultar, en forma previa al procedimiento de contacto y con una
periodicidad de TREINTA (30) días corridos, la última versión de la
lista de inscriptos ante el REGISTRO NACIONAL “NO LLAME” creado por la
Ley N° 26.951, proporcionada por la Autoridad de Aplicación.
q) No adoptar las medidas adecuadas que propicien el cumplimiento de la
Ley N° 26.951, cuando se trate de campañas contratadas en el exterior
que utilicen los servicios de telefonía en cualquiera de sus
modalidades para publicitar, ofertar, vender o regalar bienes o
servicios.
r) Contactar a los titulares o usuarios de servicios de telefonía en
cualquiera de sus modalidades que se hubieran inscripto en el REGISTRO
NACIONAL “NO LLAME” creado por la Ley N° 26.951, haciendo uso indebido
de las excepciones previstas en el artículo 8° de la citada norma legal.
3.- Serán consideradas INFRACCIONES MUY GRAVES, sin perjuicio de otras
que a juicio de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES
también las constituyan:
a) No inscribir la base de datos de carácter personal en el registro
correspondiente, cuando haya sido requerido para ello por la DIRECCION
NACIONAL DE PROTECCION DE DATOS PERSONALES.
b) Declarar datos falsos o inexactos al efectuar la registración ante el REGISTRO NACIONAL DE BASES DE DATOS.
c) No cesar en el uso ilegítimo de los tratamientos de datos de
carácter personal cuando sea requerido para ello por el titular y/o por
la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.
d) Recoger datos de carácter personal mediante ardid, engaño o fraude a la ley.
e) Conformar un archivo de datos cuya finalidad sea contraria a las leyes o a la moral pública.
f) Tratar los datos de carácter personal en forma ilegítima o con
menosprecio de los principios y garantías establecidos en Ley N° 25.326
y normas reglamentarias.
g) Realizar acciones concretas tendientes a impedir u obstaculizar el
ejercicio por parte del titular de los datos del derecho de acceso o
negarse a facilitarle la información que sea solicitada.
h) Mantener datos personales inexactos o no efectuar las
rectificaciones, actualizaciones o supresiones de los mismos que
legalmente procedan cuando resulten afectados los derechos de las
personas que la Ley N° 25.326 ampara y haya sido intimado previamente
por la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.
I) Transferir datos personales de cualquier tipo a países u organismos
internacionales o supranacionales que no proporcionen niveles de
protección adecuados, salvo las excepciones legales previstas en el
artículo 12, inciso 2, de la Ley N° 25.326, sin haber cumplido los
demás recaudos legales previstos en la citada ley y su reglamentación.
j) Ceder ilegítimamente los datos de carácter personal fuera de los casos en que tal accionar esté permitido.
k) Recolectar y tratar los datos sensibles sin que medien razones de
interés general autorizadas por ley o tratarlos con finalidades
estadísticas o científicas sin hacerlo en forma disociada.
I) Formar archivos, bancos o registros que almacenen información que
directa o indirectamente revelen datos sensibles, salvo en los casos
expresamente previstos en el artículo 7°, inciso 3 de la Ley N° 25.326.
m) Tratar los datos de carácter personal de forma ilegitima o con
menosprecio de los principios y garantías reconocidos
constitucionalmente, cuando con ello se impida o se atente contra el
ejercicio de los derechos fundamentales.
n) Incumplir el deber de confidencialidad respecto de los datos
sensibles, así como de los que hayan sido recabados y tratados para
fines penales y contravencionales.
o) Realizar maniobras tendientes a sustraerse o impedir el desarrollo
de la actividad de contralor de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE
DATOS PERSONALES.
p) Omitir denunciar, con motivo del tratamiento de datos personales en
Internet, el domicilio legal y demás datos identificatorios del
responsable de la base de datos, sea ante el REGISTRO NACIONAL DE BASES
DE DATOS como ante otros organismos oficiales que requieran su
identificación para el ejercicio de la actividad, de modo tal que
mediante dicha conducta afecte el ejercicio de los derechos del titular
del dato y la actividad de contralor que por la normativa vigente
compete a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.
ANEXO II
GRADUACION DE LAS SANCIONES
1. Ante la comisión de INFRACCIONES LEVES se podrán aplicar hasta DOS
(2) APERCIBIMIENTOS y/o una MULTA de PESOS UN MIL ($ 1.000,00) a PESOS
VEINTICINCO MIL ($ 25.000,00).
2. En el caso de las INFRACCIONES GRAVES la sanción a aplicar será de
hasta CUATRO (4) APERCIBIMIENTOS, SUSPENSION DE UNO (1) a TREINTA (30)
DIAS y/o MULTA de PESOS VEINTICINCO MIL UNO ($ 25.001,00) a PESOS
SESENTA MIL ($ 80.000,00).
3. En el caso de INFRACCIONES MUY GRAVES se aplicarán hasta SEIS (6)
APERCIBIMIENTOS, SUSPENSION DE TREINTA Y UNO (31) a TRESCIENTOS SESENTA
Y CINCO (365) DIAS, CLAUSURA o CANCELACION DEL ARCHIVO, REGISTRO O
BANCO DE DATOS y/o MULTA de PESOS SESENTA MIL UNO ($ 80.001,00) a PESOS
CIEN MIL ($ 100.000,00).
4. Superados los SEIS (6) APERCIBIMIENTOS no podrá aplicarse nuevamente este tipo de sanción.
5. Las sanciones previstas precedentemente serán de aplicación a los
responsables o usuarios de archivos, registros, bases o bancos de datos
públicos y privados destinados a dar informes, se hubieren inscripto o
no en el registro correspondiente, ello sin perjuicio de las
responsabilidades administrativas que pudieran corresponder a los
responsables o usuarios de bancos de datos públicos; de la
responsabilidad por daños y perjuicios derivados de la inobservancia de
la presente ley y de las sanciones penales que correspondan.
6. La aplicación y cuantía de las sanciones se graduará atendiendo a la
naturaleza de los derechos personales afectados, al volumen de los
tratamientos efectuados, a los beneficios obtenidos, al grado de
intencionalidad, a la reincidencia, a los daños y perjuicios causados a
las personas interesadas y a terceras personas, y a cualquier otra
circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación
infractora.
7. Cada infracción deberá ser sancionada en forma independiente,
debiendo acumularse cuando varias conductas sancionables se den en las
mismas actuaciones.
8. La reincidencia se configura cuando quien habiendo sido sancionado
por una de las infracciones previstas en las Leyes Nros. 25.326 y
26.951 y/o sus reglamentaciones, incurriera en otra de similar
naturaleza dentro del término de TRES (3) años, a contar desde la
aplicación de la sanción.
9. La multa deberá ser abonada dentro de los DIEZ (10) días hábiles administrativos desde su notificación.
10. La falta de pago de las multas aplicadas hará exigible su cobro por
ejecución fiscal, constituyendo suficiente título ejecutivo el
testimonio autenticado de la resolución condenatoria firme.
11. Sin perjuicio de las sanciones que se apliquen, la DIRECCION
NACIONAL DE PROTECCIÓN DE DATOS PERSONALES podrá imponer a la
sancionada una obligación de hacer con el objeto de que cese en el
incumplimiento que diera origen a la sanción.