AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
Resolución 40/2018
Ciudad de Buenos Aires, 04/07/2018
VISTO el EX-2018-17133991-APN-AAIP, la Ley N° 25.326, la Ley N° 27.275,
el Decreto N° 1558 del 29 de noviembre de 2001, el Decreto N° 746 del
25 de septiembre de 2017, el Decreto N° 899 del 3 de noviembre de 2017,
y
CONSIDERANDO:
Que por el artículo 19 de Ley N° 27.275 se creó la AGENCIA DE ACCESO A
LA INFORMACIÓN PÚBLICA como ente autárquico con autonomía funcional, en
la órbita de la JEFATURA DE GABINETE DE MINISTROS.
Que por el Decreto N° 746 del 25 de septiembre de 2017 se sustituyó el
artículo 19 de la Ley de Acceso a la Información Pública N° 27.275,
atribuyendo a la referida Agencia la facultad de actuar como Autoridad
de Aplicación de la Ley de Protección de Datos Personales N° 25.326, y
se incorporó como inciso t) al artículo 24 del capítulo IV de la de la
Ley 27.275 de Derecho de Acceso a la Información Pública, la
competencia de fiscalizar la protección integral de los datos
personales asentados en archivos, registros, banco de datos, u otros
medios técnicos de tratamiento de datos, sean éstos públicos o privados
destinados a dar informes, para garantizar el derecho al honor y a la
intimidad de las personas, y el acceso a la información que sobre las
mismas se registre.
Que por el artículo 29 del ANEXO I al Decreto N° 1558 del 29 de
noviembre de 2001, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS
PERSONALES en el ámbito de la entonces SECRETARÍA DE JUSTICIA Y ASUNTOS
LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, para
cumplir las funciones de órgano de control y autoridad de aplicación de
la Ley de Protección de Datos Personales N° 25.326 y su reglamentación.
Que el Decreto N° 899 del 6 de noviembre 2017 reordenó el plexo
regulatorio vigente en relación a las competencias asignadas a los
organismos mencionados y de conformidad con los términos del artículo
19 de la Ley N° 27.275, sustituido por el artículo 11 del Decreto N°
746/17, atribuyó a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, el
ejercicio de la función de órgano de control de la Ley N° 25.326, que
hasta entonces detentaba la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS
PERSONALES.
Que en virtud de lo expuesto, el Decreto N° 899/17 dispuso en su
artículo 2° que toda referencia normativa a la DIRECCIÓN NACIONAL DE
PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se
considerará referida a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.
Que en virtud de lo dispuesto en el art. 29, inciso 1º, acápite b) de
la Ley Nº 25.326, entre las facultades asignadas a la AGENCIA DE ACCESO
A LA INFORMACIÓN PÚBLICA se especifica la de “Dictar las normas y
reglamentaciones que se deben observar en el desarrollo de las
actividades comprendidas por esta ley”.
Que por el artículo 1° del Decisión Administrativa N° 1002 del 15 de
noviembre de 2017 se aprobó la estructura organizativa de primer nivel
operativo de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, y entre las
acciones asignadas a través de su Anexo II a la DIRECCIÓN NACIONAL DE
PROTECCIÓN DE DATOS PERSONALES, se especifica como punto 12 la de
“Coordinar con organismos públicos o privados actividades de promoción
y difusión de la protección de datos personales”.
Que con anterioridad a la presente la entonces DIRECCIÓN NACIONAL DE
PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA Y DERECHOS
HUMANOS tomó medidas tendientes al afianzamiento de la cultura de
protección de datos personales en los Organismos Públicos, en
particular mediante la Disposición DNPDP Nº 7 del 22 de agosto de 2008
mediante la cual aprobó la “Guía de Buenas Prácticas en Políticas de
Privacidad para las Bases de Datos del Ámbito Público” y la Disposición
DNPDP Nº 5 del 27 de febrero de 2006 que aprobó el documento
“Adecuación y Registro”.
Que se estima pertinente en esta nueva etapa profundizar la cultura de
protección de datos personales en los Organismos Públicos a través de
políticas específicas.
Que de acuerdo lo establecido por la Ley N° 25.326, artículo 5 inciso
2, apartado b), la recolección de datos personales para el ejercicio de
las funciones propias de los poderes del Estado no requiere el
consentimiento del titular de esos datos.
Que conforme el artículo 11 inciso 3, apartado c) de la Ley N°. 25.326,
la cesión de datos personales entre organismos del Estado en forma
directa tampoco requiere consentimiento del titular del dato en la
medida que se realice en el cumplimiento de sus respectivas
competencias. Sin embargo es recomendable que en un Estado de Derecho
cualquier cesión entre organismos del Estado sea realizada con la mayor
transparencia posible para un adecuado control de la ciudadanía y el
pleno ejercicio de su derecho a la información, siendo indispensable a
tal fin la publicidad de las cesiones y los eventuales convenios
suscriptos.
Que se considera adecuado impulsar en los organismos del Estado, el
diseño, la implementación y su consecuente publicidad, por los
distintos medios de comunicación posibles, una política de tratamiento
de datos personales.
Que para la eficacia de la política de tratamiento de datos personales
es conveniente recomendar a los organismos estatales que posean bases
de datos, la designación de un agente de planta permanente como
“delegado de protección de datos personales” a fin de que cumpla la
tarea de acompañar la implementación y control de cumplimiento de la
política de protección de datos personales que se diseñe.
Que, asimismo, resulta necesario aprobar un documento modelo bajo el
título de “POLÍTICA MODELO DE PROTECCIÓN DE DATOS PERSONALES PARA
ORGANISMOS PÚBLICOS” que establezca las pautas básicas sugeridas en el
diseño de las políticas de protección de datos personales que se
propone en la presente resolución.
Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE
COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha
tomado la intervención que le compete.
Que, la presente medida se dicta en uso de las facultades conferidas
por el artículo 29, inciso 1, apartado b) de la Ley N° 25.326,
modificatorios y complementarios.
Por ello,
EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE:
ARTÍCULO 1º.- Apruébase el documento “POLÍTICA MODELO DE PROTECCIÓN DE
DATOS PERSONALES PARA ORGANISMOS PÚBLICOS”, que como Anexo I
(IF-2018-31883807-APN-AAIP) forma parte integrante de la presente, como
pauta básica sugerida para el diseño del documento que publicite la
protección de datos personales de aquéllos organismos públicos
titulares de bases de datos personales.
ARTÍCULO 2º.- Recomiéndase a los organismos públicos titulares de bases
de datos personales la implementación de una política de protección de
datos personales y su difusión en forma permanente y actualizada a
través de los canales habituales de comunicación con el ciudadano que
tenga a su disposición.
ARTÍCULO 3º.- Recomiéndase la designación de un agente de planta
permanente como “delegado de protección de datos personales” a quien se
le asignará la implementación y control de cumplimiento interno de la
política de protección de datos personales indicada en el artículo 1º.
ARTÍCULO 4º.- Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL
REGISTRO OFICIAL y, oportunamente, archívese. Eduardo Andrés Bertoni
NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-
e. 06/07/2018 N° 48417/18 v. 06/07/2018
(Nota
Infoleg:
Los anexos referenciados en la presente norma han sido extraídos de la
edición web de Boletín Oficial)
POLÍTICA MODELO DE PROTECCIÓN DE DATOS PERSONALES PARA ORGANISMOS PÚBLICOS
El tratamiento de datos personales que realiza [identificar el
organismo público] del [identificar ámbito en el que opera el organismo
público], se regirá por las siguientes pautas:
1. Objeto: La presente política se aplica a todo tratamiento de datos personales que realice [identificar el organismo público].
2. Identificación de tratamientos: [identificar el organismo público]
recolecta los datos personales en su poder a través de [indicar si son
recolectados personalmente en mesa de entradas o por otros canales,
como por ejemplo formularios y/o por vía telefónica, y/o sistemas
informáticos y/o sitios en Internet y/o por cesión de terceros, etc.].
3. Inscripción: Las bases de datos personales a cargo del [identificar
el organismo público] se encuentran inscriptas ante el REGISTRO
NACIONAL DE BASES DE DATOS de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE
DATOS PERSONALES de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, en
cumplimiento de los artículos 21 y 22 de la Ley N° 25.326,
modificatorios y complementarios.
4. Finalidad y calidad: Los datos serán recabados para el ejercicio de
las funciones de [identificar el organismo público] y en el ámbito de
su competencia, velando en forma permanente por la calidad de los
mismos.
5. Caducidad: Los datos serán destruidos o archivados cuando hayan
dejado de ser estrictamente necesarios o pertinentes a los fines de la
competencia de [identificar el organismo público], conforme a la
normativa específica de este Organismo.
6. Confidencialidad: [identificar el organismo público] requiere la
firma de convenios de confidencialidad por parte del personal, terceros
que presten servicios y demás funcionarios que acceden al contenido de
las bases de datos.
7. Seguridad: [identificar el organismo público] adopta las medidas
necesarias para garantizar la seguridad y confidencialidad de los datos
personales, de modo de evitar su adulteración, pérdida, consulta o
tratamiento no autorizado, y que permitan detectar desviaciones,
intencionales o no, de información, ya sea que los riesgos provengan de
la acción humana o del medio técnico utilizado.
En caso de detectarse un incidente de seguridad y que éste implique un
riesgo significativo para el titular del dato, se comunicará sin
dilación, tal evento a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS
PERSONALES DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, junto con
las medidas correctivas y paliativas implementadas y/o a implementar.
8. Cesión de datos personales: Los datos podrán ser cedidos a otros
organismos del Estado en forma directa, en la medida que el cesionario
lo requiera en el marco de su competencia y el tratamiento de los datos
que lleve a cabo sea compatible con sus funciones.
Los datos podrán ser cedidos a particulares siempre y cuando sean de
acceso público (verificando que no afecte derechos de terceros), lo
permita la competencia del Organismo, y el cesionario acredite interés
legítimo para ello, que se considerará implícito cuando el pedido se
vincule al control de la gestión pública.
Se podrá comunicar a terceros información meramente estadística
elaborada a partir de los datos personales objeto de tratamiento, sin
consentimiento de los titulares de los datos, cuando no sea
razonablemente posible identificarlos.
Las cesiones de datos personales y convenios suscriptos a tales fines
serán publicados mediante los canales habituales de comunicación con el
ciudadano que el [identificar el organismo público] tenga a su
disposición.
9. Transferencia Internacional de datos personales: [indicar si se
prevé la transferencia internacional de datos personales, indicando el
país u organismo destinatario, la normativa que la admite y las
garantías previstas].
10. Prestaciones de servicios de tratamiento de datos por cuenta de
terceros: A los fines del adecuado tratamiento de la información
[señalar la opción correcta SI/NO] se contratan servicios prestados por
terceros. Para dicha contratación se evalúan empresas de reconocido
prestigio y experiencia en el mercado. Los contratos que se celebran
para estos fines estipulan el objeto, alcance, contenido, duración,
naturaleza y finalidad del tratamiento de datos, el tipo de datos
personales, las categorías de titulares de los datos y las obligaciones
y responsabilidades del [identificar el organismo público] y de los
terceros contratados.
11. Derechos de los titulares de los datos, y procedimientos para
responder a su ejercicio: El titular del dato podrá ejercer sus
derechos de acceso, rectificación, supresión, y confidencialidad
respecto de sus datos personales.
12. Designación de un Delegado de Protección de Datos: [identificar el
organismo público] [SI/NO] ha designado delegado de la aplicación y
control de la presente política y la relación con la autoridad de
aplicación de la Ley de Protección de Datos Personales vigente, al
agente [precisar], a quien se puede contactar mediante los siguientes
medios [detallar].
13. Datos sensibles: [identificar el organismo público] sólo tratará
datos sensibles (origen racial y étnico, opiniones políticas,
convicciones religiosas, filosóficas o morales, afiliación sindical e
información referente a la salud o a la vida sexual), en caso que
exista una autorización legal expresa fundada en interés general.
Al respecto, le comunicamos que [SI/NO, indicar lo que corresponda]
tratamos datos sensibles [en caso afirmativo indicar la normativa que
lo habilita].
14. Capacitación: El personal de [identificar el organismo público]
cuyas funciones están relacionadas al tratamiento de datos personales
es permanentemente capacitado a fin de garantizar una mejor protección
de los datos personales y los derechos de sus titulares.
15. Sitios en Internet: Los sitios de titularidad de [identificar el
organismo público] pueden contener enlaces a sitios de terceros, cuyas
políticas de privacidad son ajenas a [identificar el organismo público].
La recolección de datos personales de usuarios o visitantes de los
sitios en Internet de [identificar el organismo público], se realizará
sólo en caso de ser estrictamente necesario y se le hará saber tal
circunstancia a los mismos; y su eventual identificación no tendrá por
finalidad la evaluación de sus conductas o seguimiento de navegación,
sino la finalidad de brindar un adecuado servicio y seguridad del
sitio. No obstante, se podrán utilizar los datos recolectados para
estudios estadísticos o evaluación de conductas en la medida que no
permitan identificar a su titular.