MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS
DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES
Disposición 55 - E/2016
Ciudad de Buenos Aires, 25/10/2016
VISTO el Expediente N° EX-2016-00206789- -APN-DNPDP#MJ del registro de
este Ministerio, la Ley N° 25.326 y su Decreto Reglamentario N° 1558
del 29 de noviembre de 2001, modificado por su similar N° 1160 del 11
de agosto de 2010 y la Disposición N° 3 del 31 de julio de 2012 de esta
Dirección Nacional, y
CONSIDERANDO:
Que la Ley N° 25.326 tiene por objeto la protección integral de los
datos personales asentados en archivos, registros, bancos de datos, u
otros medios técnicos de tratamiento de datos, sean éstos públicos, o
privados destinados a dar informes, para garantizar el derecho al honor
y a la intimidad de las personas, así como también el acceso a la
información que sobre las mismas se registre, de conformidad a lo
establecido en el artículo 43, párrafo tercero de la Constitución
Nacional.
Que es facultad de esta Dirección Nacional diseñar los instrumentos que
considere adecuados para la mejor protección de los datos personales y
para el cumplimiento de sus funciones y atribuciones.
Que de conformidad con lo establecido en el artículo 29, inciso 1,
apartados b) y e), de la Ley N° 25.326, se encuentran entre sus
funciones y atribuciones, las de dictar las normas y reglamentaciones
que se deben observar en el desarrollo de sus actividades; y las de
solicitar la información pertinente a las entidades públicas y
privadas, en orden a proporcionar los antecedentes, documentos,
programas u otros elementos relativos al tratamiento de los datos que
se le requieran.
Que asimismo tiene la facultad de controlar la observancia de las
normas sobre integridad y seguridad de datos por parte de los archivos,
registros o bancos de datos. A tal efecto podrá solicitar autorización
judicial para acceder a locales, equipos, o programas de tratamiento de
datos a fin de verificar infracciones al cumplimiento de la Ley N°
25.326, conforme el artículo 29, inciso 1, apartado d), de la
mencionada norma.
Que se ha iniciado un proceso de revisión interna de los procedimientos
sobre inspecciones a efectos de hacerlo más eficiente y fortalecer el
rol de órgano de control de esta Dirección Nacional.
Que, con la sanción de la Ley N° 26.951, que crea el REGISTRO NACIONAL
“NO LLAME”, se establece que esta Dirección Nacional es su autoridad de
aplicación, conforme su artículo 9°.
Que, por lo tanto, se impone ampliar el control que lleva a cabo este
organismo a fin de fiscalizar el cumplimiento de las obligaciones que
impone la norma citada en el párrafo precedente.
Que, por todo lo expuesto, deviene necesario derogar el procedimiento
de inspección aprobado por la Disposición DNPDP N° 3/12, aprobando un
nuevo procedimiento de inspección y control.
Que ha tomado la intervención que le compete la DIRECCION GENERAL DE ASUNTOS JURIDICOS de este Ministerio.
Que la presente medida se dicta en uso de las facultades conferidas en
el artículo 29, inciso 1, apartado b) de la Ley N° 25.326 y el artículo
29, inciso 5, apartado a) del Anexo I del Decreto N° 1558/01 y su
modificatorio.
Por ello,
EL DIRECTOR NACIONAL DE PROTECCIÓN DE DATOS PERSONALES
DISPONE:
ARTÍCULO 1° — Derógase la Disposición DNPDP N° 3 del 31 de julio de 2012.
ARTÍCULO 2° — Apruébase el “PROCEDIMIENTO DE INSPECCION Y CONTROL DE LA
DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES” que se dispone en
el Anexo IF-2016-02519312-APN-DNPDP#MJ y que forma parte de la presente.
ARTÍCULO 3° — Comuníquese, publíquese, dése a la Dirección Nacional del
Registro Oficial y archívese. — EDUARDO BERTONI, Director Nacional,
Dirección Nacional de Protección de Datos Personales, Ministerio de
Justicia y Derechos Humanos.
ANEXO I
“PROCEDIMIENTO DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES”
1) Objetivos de las inspecciones
a) Fiscalizar y controlar las actividades del responsable del
tratamiento de datos, los datos personales que administra, y los medios
y la forma en que lo hace.
b) Evaluar el grado de cumplimiento conforme lo dispuesto por la Ley N°
25.326, la Ley N° 26.951, y demás normativa aplicable en el marco de la
competencia de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES
(DNPDP), con el objeto de: I) detectar incumplimientos a la normativa
vigente; y II) realizar los requerimientos necesarios para adecuar el
tratamiento de datos a la normativa vigente.
2) Competencia
Las facultades de la DNPDP para llevar adelante las inspecciones están establecidas en las siguientes normas:
Artículo 29, inciso 1, apartado d), Ley N° 25.326: “Controlar la
observancia de las normas sobre integridad y seguridad de datos por
parte de los archivos, registros o bancos de datos. A tal efecto podrá
solicitar autorización judicial para acceder a locales, equipos, o
programas de tratamiento de datos a fin de verificar infracciones al
cumplimiento de la presente ley”.
Artículo 29, inciso 1, apartado e), Ley N° 25.326: “Solicitar
información a las entidades públicas y privadas, las que deberán
proporcionar los antecedentes, documentos, programas u otros elementos
relativos al tratamiento de los datos personales que se le requieran.
En estos casos, la autoridad deberá garantizar la seguridad y
confidencialidad de la información y elementos suministrados”.
3) Alcance de la inspección
Las inspecciones abarcarán los siguientes aspectos, sin perjuicio de
otros que puedan contemplarse al momento de llevarse a cabo:
a) Licitud de las bases de datos (artículos 3°, 21 y 24, Ley N° 25.326).
b) Calidad de los datos tratados (artículo 4°, Ley N° 25.326).
c) Consentimiento del titular del dato e información (artículos 5° y 6°, Ley N° 25.326).
d) Cumpliento de los principios de categrías de datos, seguridad y confidencialidad (artículos 7°, 9° y 10, Ley N° 25.326).
e) Requisitos de la cesión de datos y transferencia internacional de datos (artículos 11 y 12, Ley N° 25.326).
f) Ejercicio de los derechos de los titulares del dato (artículos 14, 15, 16 y 19, Ley N° 25.326).
g) Prestación de servicios de información crediticia (artículo 25, Ley N° 25.326).
h) Tratamiento de datos con fines de publicidad (artículo 27, Ley N° 25.326; Ley N° 26.951).
4) Tipos de inspección
a) De oficio: aquellas que la DNPDP inicia en ejercicio de sus facultades de fiscalización. Se dividen en:
I) Planificadas: las que surgen de la planificación anual.
II) Espontáneas: las que se originan en razones que llegan a
conocimiento de la DNPDP, y que pueden impactar en la protección de
datos personales y en el derecho a la privacidad.
b) Por denuncia: aquellas que se inician en el marco de una
investigación que se sustancia a raiz de una denuncia interpuesta ante
la DNPDP. La inspección en este caso tiene el carácter de medida
probatoria del sumario administrativo.
5) Planificación de las inspecciones
La DNPDP implementará una planificación de las inspecciones que se
llevarán a cabo durante un período determinado, sin perjuicio de otras
que puedan ser ordenadas de forma espontánea o como consecuencia de un
sumario administrativo.
La selección de los sujetos a inspeccionar estará basada en criterios
objetivos de selección, tales como categorías de datos procesados;
impacto del tratamiento de datos sobre la privacidad; cantidad de
denuncias recibidas; tipo de denuncias recibidas; incumplimiento del
deber de inscripción o renovación ante el RNBD.
El proceso de selección se sustanciará mediante un expediente
administrativo y tendrá el objeto de identificar a los responsables de
tratamientos de datos, sectores o grupos sobre los cuáles se llevaran a
cabo las inspecciones. En las actuaciones se dejará constancia del o
los criterios objetivos de selección utilizados.
6) Procedimiento de la inspección
a) Apertura del expediente y notificación al responsable sujeto a inspección
Se procederá a la apertura de un expediente administrativo por cada responsable sujeto a inspección seleccionado.
Mediante una providencia se identificarán los inspectores a cargo de
cada actuación, quienes actuarán en forma conjunta y/o indistinta.
Se notificará la apertura del procedimiento y se requerirá completar y
remitir en un plazo de QUINCE (15) días hábiles administrativos el
Formulario de Inspección, debiendo el inspeccionado adjuntar la
documentación respaldatoria de sus respuestas. El formulario será
puesto a disposición del inspeccionado como anexo de la primera
notificación o a través de la página web de la DNPDP, mediante la
indicación de su URL para su descarga.
En los casos en los que se considere que la notificación previa pueda
afectar el resultado de la inspección, aquella podrá omitirse mediante
acto fundado. En estos casos se procederá directamente a llevar a cabo
la visita presencial de los inspectores prevista en el punto 6.c de la
presente.
b) Programación y notificación de las visitas presenciales
Recibido el formulario de inspección, se programarán las visitas presenciales que llevaran a cabo los inspectores.
La fecha, hora y lugar de la visita presencial se notificará con una
antelación no menor a DIEZ (10) días hábiles administrativos. En la
notificación podrán incluirse los requerimientos que a criterio del
inspector resulten necesarios, y que podrán cumplirse por el
inspeccionado hasta la fecha de la visita presencial.
c) Visita presencial
Los inspectores se harán presentes en domicilio denunciado por el
inspeccionado, a los fines de la visita presencial, para acceder a
locales, equipos o programas de tratamientos de datos personales y
verificar el correcto cumplimiento de las obligaciones establecidas por
la Ley 25.326.
Presentación: Los inspectores, previa acreditación, procederán a
informar los objetivos y procedimiento de la inspección y verificarán
las identidades de los representantes del responsable de tratamiento,
corroborando la correspondiente personería o autorización.
Alcance: La inspección abarcará los aspectos jurídicos y técnicos del
tratamiento de datos personales y su adecuación a las exigencias de la
normativa vigente.
Para la realización de la inspección técnica, se podrán llevar a cabo
todas las acciones destinadas a controlar la observancia de las normas
sobre integridad y seguridad de datos.
Metodología: Con el objeto de formar un juicio objetivo, se emplearán
las siguientes técnicas: I) Verificaciones verbales: se llevarán a cabo
entrevistas al personal del inspeccionado para obtener información
verbal sobre los tratamientos de datos efectuados; II) Verificaciones
oculares: mediante la observación, se constatará el cumplimiento de
aquellas obligaciones que permitan ser corroboradas visualmente; III)
Verificaciones documentales: análisis de los documentos aportados; IV)
Verificaciones técnicas: mediante las acciones destinadas a controlar
la observancia de las normas sobre integridad y seguridad de datos.
Acta: En la visita presencial se labrará un Acta de Inspección, que
podrá contener observaciones y requerimientos que a criterio del
inspector sean necesarios, sin perjuicio de otros que eventualmente
surjan en etapas procedimentales posteriores.
El Acta será suscripta por todos por los inspectores intervinientes y
por al menos un representante del inspeccionado que acredite personería
o autorización. Si el representante del inspeccionado se negare a
firmar, se dejará debida constancia en el Acta, la que será suscripta
sólo por los inspectores intervinientes.
En el caso que la inspección técnica deba realizarse en un local
distinto al de la visita presencial, se hará constar dicha
circunstancia en el Acta, determinando fecha y lugar de realización. Al
momento de realizar la inspección técnica en local distinto, se labrará
nueva Acta.
Autorización judicial para acceso a locales, equipos y programas: En
caso de que resultare necesario solicitar autorización judicial para
acceder a locales, equipos, o programas de tratamiento de datos a fin
de verificar infracciones al cumplimiento de la Ley N° 25.326, el
inspector deberá elaborar un informe al Jefe de Departamento de
Investigación y Difusión, o la unidad orgánica que eventualmente lo
sustituya, quién elevará la respectiva petición al Director Nacional.
En caso de compartir el criterio, se formulará el correspondiente
requerimiento.
d) Cierre de la inspección
Con la información obtenida en las distintas etapas del procedimiento
de inspección, los inspectores elaborarán y suscribirán un Informe
Final en el que se establezca el nivel de cumplimiento del responsable
inspeccionado.
Incorporado el Informe Final a las actuaciones, se procederá al cierre
de la inspección mediante un acto que será subscripto por el Jefe de
Departamento de Investigación y Difusión, o la unidad orgánica que
eventualmente lo sustituya. Tanto el Informe Final como el acto de
cierre serán notificados al inspeccionado.
Si en el Informe Final no se hubieran formulado observaciones, se
procederá al archivo de las actuaciones. En caso contrario, las
actuaciones pasarán a la etapa de seguimiento, sin perjuicio de la
potestad del Director Nacional de ordenar la sustanciación de un
sumario administrativo a fin de verificar la posible comisión de
infracciones conforme Disposición DNPDP N° 7/15, concordantes y
modificatorias.
e) Seguimiento de las inspecciones
En esta etapa se controlorá que el inspeccionado de cumplimiento a los
requerimientos dispuestos para subsanar las observaciones señaladas en
el Informe Final. A esos efectos, se lo intimará por el plazo de QUINCE
(15) días hábiles administrativos.
En aquellos casos en los que el responsable no acredite su cumplimiento
en tiempo y forma, se promoverá la sustanciación del correspondiente
sumario administrativo.
Cumplidos la totalidad de los requerimientos en tiempo y forma, se dispondrá el archivo las actuaciones.
IF-2016-02519312-APN-DNPDP#MJ
e. 07/11/2016 N° 83416/16 v. 07/11/2016