Bs. As., 25/6/2003

VISTO las competencias atribuidas a esta DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES por la Ley N° 25.326 y su reglamentación aprobada por Decreto N° 1558/01, y

CONSIDERANDO:

Que entre las atribuciones asignadas a la Dirección Nacional de Protección de Datos Personales le encuentra la de imponer las sanciones administrativas que en su caso correspondan por violación a las normas de la Ley N° 25.326 y de las reglamentaciones dictadas en su consecuencia.

Que razones de seguridad jurídica imponen la necesidad de establecer una clasificación de las faltas y una graduación de las sanciones administrativas a aplicar ante las infracciones que se comprueben.

Que se considera a esos efectos adecuado proceder a la clasificación de las infracciones 1en las categorías de "Leves", "Graves" y "Muy Graves".

Que la DIRECCION GENERAL DE ASUNTOS JURIDICOS del MINISTERIO DE JUSTICIA, SEGURIDAD Y DERECHOS HUMANOS y la PROCURACION DEL TESORO DE LA NACION han tomado la intervención que les compete.

Que la presente medida se dicta en uso de las facultades conferidas en el artículo 29 inciso b) y f) de la Ley N° 25.326.

Por ello,

EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES

DISPONE:

Artículo 1° — Apruébanse la "Clasificación de Infracciones" y la "Graduación de las sanciones" que como Anexo I y II respectivamente forman parte de la presente.

Art. 2° — Comuníquese, publíquese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL y archívese. — Juan A. Travieso.

ANEXO I

CLASIFICACION DE LAS INFRACCIONES

1.- Serán consideradas infracciones leves, sin perjuicio de otras que a juicio de la Dirección Nacional de Protección de Datos Personales también las constituyan, las siguientes conductas:

a) No atender, por motivos formales, la solicitud del interesado de acceso, rectificación, confidencialidad o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.

b) No proporcionar la información que solicite la Dirección Nacional de Protección de Datos Personales en el ejercicio de las competencias que tiene atribuidas, en relación con aspectos no sustantivos de la protección de datos.

c) No solicitar la inscripción de una base de datos personales pública o privada que exceda el uso personal.

d) Recoger datos de carácter personal de los propios titulares sin proporcionarles la información que señala el artículo 6° de Ley N° 25.326.

e) Incumplir el deber de secreto establecido en el artículo 10 de la Ley N° 25.326, salvo que constituya infracción grave.

2.- Serán consideradas infracciones graves, sin perjuicio de otras que a juicio de la Dirección Nacional de Protección de Datos Personales también las constituyan, las siguientes conductas:

a) Proceder a la creación de bases de datos de titularidad pública o recoger datos de carácter personal para las mismas, sin autorización de disposición general, publicada en el "Boletín Oficial" o diario oficial correspondiente y cumpliendo los requisitos del artículo 22 de la Ley N° 25.326.

b) Proceder al tratamiento de datos de carácter personal que no reúnan las calidades de ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.

c) Recoger datos de carácter personal sin recabar el consentimiento libre, expreso e informado de su titular, en los casos en que éste sea exigible.

d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en Ley N° 25.326 o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

e) El impedimento o la obstaculización del ejercicio de los derechos de acceso y la negativa a facilitar la información que sea solicitada.

f) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones, actualizaciones o supresiones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la Ley N° 25.326 ampara.

g) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a bases de datos que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros bases de datos que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.

h) Mantener las bases de datos, locales; programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

i) No proporcionar en plazo a la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES cuantos documentos e informaciones sean requeridos, conforme las previsiones de la Ley 25.326 o en sus disposiciones reglamentarias.

j) La obstrucción al ejercicio de la función de inspección y fiscalización a cargo de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

k) No inscribir la base de datos de carácter personal en el Registro Nacional de Protección de Datos Personales, cuando haya sido requerido para ello por la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

I) Incumplir el deber de información que se establece en los artículos 6 y 26 de la Ley N° 25.326, cuando los datos hayan sido recabados de persona distinta del afectado.

3.- Serán consideradas infracciones muy graves, sin perjuicio de otras que a juicio de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES también las constituyan, las siguientes conductas:

a) Recoger datos de carácter personal en forma engañosa y fraudulenta.

b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.

c) Recolectar y tratar los datos sensibles vulnerando los principios y garantías de la Ley N° 25.326.

d) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES o por las personas titulares del derecho de acceso.

e) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.

f) La vulneración del deber de guardar secreto sobre los datos sensibles, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.

g) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, actualización, supresión o bloqueo.

h) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en una base de datos, de conformidad con los artículos 5° y 6° de la Ley N° 25.326.

ANEXO II

GRADUACION DE LAS SANCIONES

1. Ante la comisión de infracciones leves se podrá aplicar una multa de PESOS UN MIL ($ 1.000,00) a PESOS TRES MIL ($ 3.000,00).

2. En el caso de las infracciones graves la multa a aplicar será de PESOS TRES MIL ($ 3.000,00) a PESOS CINCUENTA MIL ($ 50.000,00).

3. En el caso de las infracciones muy graves la multa a aplicar será de PESOS CINCUENTA MIL ($ 50.000,00) a PESOS CIEN MIL ($ 100.000,00)

4. Sin perjuicio de otras sanciones administrativas que pudieran corresponder, la aplicación y cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.