DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES
Disposición 3/2012
Apruébanse Formulario de Inspección e Instructivo. Derógase Disposición DNPDP N° 05/2008.
Bs. As., 31/7/2012
VISTO el Expediente N° S04:0020164/2011 del registro de este Ministerio, la LEY DE PROTECCION DE LOS DATOS PERSONALES N° 25.326 y su Decreto Reglamentario N° 1558 del 29 de noviembre de 2001, modificado por su similar N° 1160 del 11 de agosto de 2010 y las Disposiciones Nros. 011 del 19 de septiembre de 2006 y 005 del 28 de mayo de 2008 de esta Dirección Nacional, y
CONSIDERANDO:
Que la Ley N° 25.326 tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos u otros medios técnicos de tratamiento de datos, sean éstos públicos o privados, así como también el acceso a la información que sobre los mismos se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la CONSTITUCION NACIONAL.
Que es facultad de esta Dirección Nacional diseñar los instrumentos que considere adecuados para la mejor protección de los datos personales y para el cumplimiento de sus funciones y atribuciones.
Que de conformidad con lo establecido en el artículo 29, incisos b) y e), de la Ley N° 25.326, se encuentran entre sus funciones y atribuciones, las de dictar las normas y reglamentaciones que se deben observar en el desarrollo de sus actividades y las de solicitar la información pertinente a las entidades públicas y privadas, en orden a proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos que se le requieran.
Que a su vez el artículo 31 de la Ley N° 25.326 prevé que la reglamentación determinará las condiciones y procedimientos para la aplicación de las sanciones allí previstas y que corresponda aplicar en casos de inobservancia de los preceptos contenidos en la Ley citada.
Que asimismo es responsabilidad del Organo de Control de la Ley N° 25.326 la realización de investigaciones e inspecciones, el requerimiento de información, antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales a los responsables o usuarios de archivos, como así también la de controlar la observancia de las normas sobre integridad y seguridad de esos datos por parte de los titulares o usuarios de archivos, registros o bancos de datos.
Que la experiencia recogida en el curso de la gestión llevada a cabo por esta Dirección Nacional en relación con la mencionada actividad, impone la necesidad de realizar modificaciones en los instrumentos de inspección implementados mediante la Disposición DNPDP N° 005/08.
Que en ese entendimiento y a fin de optimizar el procedimiento de inspección de los archivos, registros, bases o bancos de datos públicos y privados previstos en la Ley N° 25.326 y en la Disposición DNPDP N° 005/08, esta Dirección Nacional considera necesario reemplazar las NORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES oportunamente aprobadas por la Disposición DNPDP N° 005/08 como Anexo I, por nuevos instrumentos bajo los nombres de “Formulario de Inspección” e “Instructivo del Formulario de Inspección”, obrantes en los Anexos I y II, respectivamente.
Que mediante dichos instrumentos se prevé otorgar mayor celeridad y eficacia a la actividad fiscalizadora, teniendo en miras facilitar a los inspeccionados los elementos de juicio necesarios para la observancia de los principios y requisitos de licitud que establece la Ley N° 25.326.
Que a fin de observar una mejor técnica legislativa que permita contener en un solo cuerpo normativo el régimen regulatorio de la actividad de contralor de los principios enunciados en la Ley N° 25.326 y otorgue mayor transparencia y seguridad en el tratamiento de datos personales a quienes resultan alcanzados por aquélla, se impone derogar la Disposición DNPDP N° 005/08 y aprobar el nuevo cuerpo dispositivo que conforma el procedimiento de fiscalización aludido precedentemente.
Que ello permitirá a esta Dirección Nacional efectuar las correcciones y recomendaciones que resulten necesarias para mejorar su gestión y proteger debidamente los derechos del titular del dato.
Que ha tomado la intervención de su competencia la DIRECCION GENERAL DE ASUNTOS JURIDICOS de este Ministerio.
Que la presente disposición se dicta en uso de las facultades contenidas en los artículos 29, inciso 1, apartados b) y e), de la Ley N° 25.326, 29, inciso 5, apartado a), del Anexo I del Decreto N° 1558/01 y 1°, inciso V), del Decreto N° 1160/10.
Por ello,
EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES
DISPONE:
Artículo 1° — Apruébanse el “Formulario de Inspección” obrante en el Anexo I del presente acto y el “Instructivo del Formulario de Inspección” agregado como Anexo II.
Art. 2° — El ejercicio de la facultad de fiscalización que tiene asignada esta Dirección Nacional se desarrollará de oficio y cuando estime corresponder, si bien podrá tener causa en una petición o denuncia de un órgano del Estado Nacional, provincial, municipal o un particular.
Art. 3° — Las inspecciones y controles serán efectuados por un agente de la planta permanente de esta Dirección Nacional debidamente acreditado, quien revestirá el carácter de inspector y podrá estar acompañado por el personal técnico que sea designado a tal fin por el Director Nacional de Protección de Datos Personales a propuesta del titular del área requerida. En todos los casos y de considerarlo pertinente, el Director Nacional de Protección de Datos Personales podrá estar presente en la inspección.
Art. 4° — La iniciación de la inspección se instrumentará mediante decisión del Director Nacional de Protección de Datos Personales y será debidamente notificada al responsable de la base de datos sujeta a control con una antelación no inferior a DIEZ (10) días hábiles, salvo que se entienda que la previa notificación pueda afectar el resultado de la investigación, en cuyo caso deberá constar la pertinente justificación en el acto de apertura de la inspección. En caso de efectuarse notificación, la misma deberá ir acompañada por una copia de los textos correspondientes al “Formulario de Inspección” y su Instructivo, aprobados como Anexos I y II de la presente.
Art. 5° — La inspección consistirá en una o más visitas presenciales del inspector, en la que podrá acceder a la totalidad de los locales, equipos o programas de tratamiento de datos personales del responsable de la base de datos controlada. Dichas visitas se harán en días y horas hábiles administrativos, sin perjuicio de lo cual de oficio o a petición de parte podrán habilitarse aquellos que no lo fueren.
Art. 6° — La inspección se desarrollará conforme lo disponen los puntos del “Formulario de Inspección” y el “Instructivo del Formulario de Inspección”, en forma total o parcial según el alcance objetivo o causal del control y a las características del tratamiento de datos bajo inspección.
Art. 7° — En los casos en que las circunstancias fácticas y el tipo de tratamiento de datos así lo exijan, se podrá solicitar a los controlados la presentación de elementos adicionales que permitan fiscalizar el cumplimiento de las obligaciones y principios contenidos en la Ley N° 25.326 y su reglamentación, en el marco de las competencias asignadas a esta Dirección Nacional.
Art. 8° — Los actos de inspección constarán en un acta que será labrada por duplicado por el inspector y suscripta por el mismo, por los técnicos que lo acompañen, en su caso y por el responsable de la base de datos controlada. El original se incorporará a las actuaciones que dieron origen a la inspección y el duplicado será entregado al responsable de la base de datos.
Art. 9° — En caso de que resultare necesario solicitar autorización judicial para acceder a locales, equipos o programas de tratamiento de datos, a fin de verificar infracciones al cumplimiento de la Ley N° 25.326, el inspector deberá elevar la respectiva petición al Director Nacional de Protección de Datos Personales, quien formulará el correspondiente requerimiento.
Art. 10. — Derógase la Disposición DNPDP N° 005 del 28 de mayo de 2008.
Art. 11. — Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. — Juan A. Travieso.
FORMULARIO DE INSPECCION
El presente documento tiene por objetivo facilitar la determinación de los distintos tratamientos de datos que realizan los responsables y verificar si los mismos se ajustan a los principios y requisitos de licitud que establece la Ley Nº 25.326, lo que permitirá a la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES efectuar las correcciones y recomendaciones que resulten necesarias para mejorar la gestión y la protección de los derechos del titular del dato.
INSTRUCTIVO DEL FORMULARIO DE INSPECCION
Objetivos
El Formulario de Inspección es un instrumento coadyuvante de las finalidades de toda inspección:
— Concientizar a los responsables o titulares de los bancos de datos, sobre los alcances y aplicación a su actividad de la LEY DE PROTECCION DE LOS DATOS PERSONALES Nº 25.326.
— Determinar el efectivo cumplimiento de la Ley por parte del responsable y realizar las recomendaciones necesarias para la mejor protección de los datos personales.
— De detectarse infracciones: otorgar plazo de subsanación y/o aplicar sanción —previo sumario— conforme a la Disposición DNPDP Nº 7/2005, según la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES considere pertinente.
Metodología
El Formulario de Inspección se completará previo a la visita de inspección (por parte del responsable) y/o al momento de la visita (por parte del inspector), de lo que se dejará constancia en el Acta de Inspección.
Instrucciones para su llenado
En cada punto de consulta (del 1 al 19) se deberá indicar si el mismo no resulta aplicable al inspeccionado, bastando para ello hacer una cruz en la columna indicada como “NA” (No Aplicable).
En caso de resultar aplicable se deberá marcar con una cruz si el banco de datos cumple o no con dicho punto, marcando con una cruz en la columna “SI” o en la columna “No”, según corresponda.
En el campo “Observaciones” se incluirán todas las aclaraciones que se consideren pertinentes para el mejor cumplimiento de los objetivos de la inspección.
A. IDENTIFICACION DEL RESPONSABLE
1. NOMBRE DEL RESPONSABLE Y ACREDITACION DE PERSONERIA
Se verificará quién es el responsable de las bases de datos. Cuando sean personas jurídicas, se deberá solicitar el poder o acreditación de personería del representante legal.
2. NUMERO DE C.U.I.T./C.U.I.L./C.D.I. DEL RESPONSABLE
Verificar el Número de C.U.I.T./C.U.I.L./C.D.I. del responsable de la empresa.
B. DESARROLLO DE LA INSPECCION
3. NUMERO DE REGISTRO ANTE LA DNPDP
Se deberá colocar el N° de Registro asignado por la DNPDP a la empresa inspeccionada.
Cita Normativa (Ley Nº 25.326):
“ARTICULO 3°.- (Archivo de datos – Licitud) – La formación de archivo de datos será licita cuando se encuentren debidamente inscriptos…”. “ARTICULO 21.- (Registro de archivos de datos. Inscripción). 1. Todo archivo registro base o banco de datos público y privado destinado a proporcionar informes debe inscribirse en el Registro que al efecto habilite el organismo de control…”. |
4. BANCO DE DATOS INSCRIPTOS ANTE LA DNPDP
Se deberán indicar las bases de datos inscriptas en el Registro Nacional de Bases de Datos de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES. Las mismas se encuentran especificadas en el Formulario de Inscripción.
5. POLITICAS DE PRIVACIDAD
Se verificará si tiene una política de privacidad acorde a lo dispuesto por la Ley Nº 25.326 y que la misma desarrolle cuanto menos los temas que se exponen a continuación:
Lineamientos básicos para una política de Protección de Datos Personales.
1. Definición del Objeto de la política de Protección de Datos Personales (objeto tutelado, como por ejemplo, los artículos 1° y 2° de la Ley Nº 25.326 y sus principios), alcance corporativo (a quienes resulta exigible la política) y su compatibilidad y/o relación con las políticas de protección de la información comercial o cualquier otra política que entre en conjunción con la protección de datos personales. 2. Definición de términos de la política (acordes con la Ley Nº 25.326). 3. Principios de protección de datos personales de la política aplicables a la empresa (acordes con la Ley Nº 25.326, artículos 3°, 4°, 5°, 6°, 7° y 11). 4. Confidencialidad de los datos personales (artículo 10 de la Ley Nº 25.326), con referencia a los convenios de confidencialidad del personal y terceros que presten servicios, etc. (todo que entre en contacto con los datos personales de la institución). 5. Seguridad de los datos personales, aplicación de la Disposición DNPDP Nº 11/06 (manual de seguridad). 6. Transferencia Internacional de datos personales (aplicando el artículo 12 de la Ley Nº 25.326 y Decreto N° 1558/01). 7. Publicidad directa (artículo 27 de la Ley Nº 25.326 y Decreto N° 1558/01), Disposiciones DNPDP Nros. 10/08 y 4/09. 8. Prestaciones de servicios de tratamiento de datos por cuenta de terceros (artículo 25 de la Ley Nº 25.326 y Decreto N° 1558/01). 9. Derechos de los titulares de los datos (personal, clientes y proveedores), y procedimientos para responder a su ejercicio (derechos de acceso, rectificación, supresión, etc., artículos 14, 15 y 16 de la Ley Nº 25.326). 10. Designación de un Encargado de Protección de Datos por parte del Directorio (a cargo de velar por la correcta y efectiva aplicación de la presente política y su relación con el órgano de control). 11. Implementación y ejecución de la política en la empresa. 12. Capacitación. Areas Sistemas – Jurídicas – Atención Público. 13. Auditoría sobre su cumplimiento. Notificación de incidentes. 14. Determinación de responsabilidades en caso de incumplimiento. |
5.a. Designa encargado de la Política de Privacidad.
Se deberá indicar si el responsable del Banco de Datos ha designado un encargado de la Política de Privacidad que tenga a su cargo velar por el adecuado cumplimiento de la misma.
5.b. Difunde y capacita respecto de la Política de Privacidad.
Se verificará si dentro de la organización se difunde la Política de Privacidad y se capacita al personal de la misma para su correcta implementación.
5.c. Incorpora el control de cumplimiento de la política de privacidad en sus procesos de auditoría.
Se deberá verificar si existen mecanismos de control o auditorías internas que evalúen el cumplimiento de lo establecido en las políticas de protección de datos personales.
6. Calidad de los datos (artículo 4° de la Ley Nº 25.326)
6.a. Determina la finalidad del tratamiento de los bancos de datos.
Debe verificarse que los bancos de datos posean una finalidad definida por el Responsable en sus políticas. Se recomienda verificar lo denunciado en el Formulario de Inscripción en el Registro Nacional de Bases de Datos (punto 2 del FA.01).
Cita Normativa (Ley Nº 25.326):
“ARTICULO 3°.- …Los archivos de datos no pueden tener finalidades contrarias a las leyes o a la moral pública.” “ARTICULO 4°.- inciso 3°: Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención.” |
6.b. Determina la categoría de los datos admisibles en sus bancos de datos
Se deberá verificar si el responsable determina y cumple con la categoría de datos admisible conforme a la finalidad del tratamiento previsto. Al respecto, se recomienda ver lo denunciado en el Formulario de Inscripción en el Registro Nacional de Bases de Datos (punto 3 del FA01: Naturaleza dato. Datos Sensibles, Datos relativos a Antecedentes penales o contravencionales. Especificar los tipos de datos personales que trata).
Cita Normativa (Ley Nº 25.326):
“ARTICULO 4°.- (Calidad de los datos). 1. Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación con el ámbito y finalidad para los que se hubieren obtenido.” “ARTICULO 21.- (Registro de archivos de datos. Inscripción). …3) Ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro.” |
6.c. Trata datos sensibles (artículos 2° y 7° de la Ley Nº 25.326)
Debe indicarse si el banco de datos trata datos sensibles y en caso afirmativo indicar la norma que autoriza dicho tratamiento y las medidas de seguridad que se aplican a los mismos (Nivel Crítico, salvo que se traten para fines administrativos —ej.: administración de personal— u obligación legal —ej.: examen preocupacional—).
Cita Normativa (Ley Nº 25.326):
“ARTICULO 2°.- (Definiciones). A los fines de la presente ley se entiende por: …— Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.” “ARTICULO 7°.- (Categoría de datos). 1. Ninguna persona puede ser obligada a proporcionar datos sensibles. 2. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley. También podrán ser tratados con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares. 3. Queda prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la Iglesia Católica, las asociaciones religiosas y las organizaciones políticas y sindicales podrán llevar un registro de sus miembros. 4. Los datos relativos a antecedentes penales o contravencionales sólo pueden ser objeto de tratamiento por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas.” “ARTICULO 8°.- (Datos relativos a la salud). Los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional.” |
6.d. Toma medidas para garantizar la calidad del dato objeto de tratamiento
Verificar la existencia de procesos y medidas de control a fin de mantener la calidad de la información exigible según la finalidad del tratamiento, de manera tal que garanticen que los datos sean ciertos, adecuados, pertinentes, no excesivos, exactos y completos.
Cita Normativa (Ley Nº 25.326):
“ARTICULO 4°.- (Calidad de los datos). 1. Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, en relación con el ámbito y finalidad para los que se hubieren obtenido. …4. Los datos deben ser exactos y actualizarse en los casos de que ello fuera necesario. 5. Los datos total o parcialmente inexactos o incompletos deben ser suprimidos o sustituidos o en su caso completados por el responsable de la base de datos cuando se tenga conocimiento de la inexactitud o carácter incompleto de la información.” |
6.e. Verifica la utilidad de los datos en forma periódica
Se deberá verificar la existencia de mecanismos a fin de mantener la utilidad de los datos almacenados acordes con la finalidad del tratamiento. Cuanto menos, se debería verificar la utilidad del dato una vez al año al momento de renovar la inscripción en el Registro Nacional de Bases de Datos.
Se deberá establecer un procedimiento de destrucción de los datos que han perdido su utilidad, sea en los sistemas como en soporte papel o cualquier otro dispositivo técnico de almacenamiento (cintas de backup, discos, etc.).
Cita Normativa (Ley Nº 25.326)
“ARTICULO 4°.- (Calidad de los datos). …7. Los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados.” |
7. RECOLECCION DE LOS DATOS (artículos 5° y 6° de la Ley N° 25.326)
Se verificará la licitud de la recolección de datos que realiza el responsable, particularmente se verificará en los formularios de recolección el cumplimiento del derecho de información al titular del dato que dispone el artículo 6° de la Ley N° 25.326 y la Disposición DNPDP Nº 10/2008.
Cita Normativa (Ley Nº 25.326
)“ARTICULO 5°.- (Consentimiento). 1. El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo con las circunstancias. El referido consentimiento prestado con otras declaraciones deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 6° de la presente ley. 2. No será necesario el consentimiento cuando: a) Los datos se obtengan de fuentes de acceso público irrestricto; b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; c) Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio; d) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento; e) Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley 21.526.” “ARTICULO 6°.- (Información). Cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa y clara: a) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios; b) La existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable; c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos referidos en el artículo siguiente; d) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos; e) La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos. Se verificará si se informa al titular del dato en forma expresa y clara, la finalidad para la que serán tratados y quiénes pueden ser sus destinatarios.” |
7.a. Verifica el origen de los datos (fuentes) y su licitud.
Debe determinarse si el responsable obtiene los datos de fuente lícita (ej.: formularios suscriptos por el mismo titular del dato —personal o clientes—, o fuente de acceso público irrestricto como ser la AFIP —proveedores—).
7.b. Recolecta los datos conforme requisitos de la ley (artículos 5°, 6°, 26 y 27 de la Ley Nº 25.326)
Verificar si pide el consentimiento del titular del dato (en caso de ser exigible) y respeta la finalidad que motivó su recolección inicial (en caso de datos obtenidos por cesión de terceros).
7.c. Cumple en brindar el derecho de información al titular del dato (artículo 6° de la Ley Nº 25.326)
Verificar si los formularios de recolección cumplen con lo dispuesto por el artículo 6° de la Ley Nº 25.326 y la Disposición DNPDP N° 10/2008.
7.d. Recaba el consentimiento del titular del dato (de ser exigible).
En caso de ser exigible, verificar la existencia del consentimiento por escrito, o medio que lo equipare, del titular del dato.
8. CESION DE DATOS (artículo 11 de la Ley N° 25.326)
Se verificará si el responsable realiza cesión de datos personales en los términos del artículo 11 de la Ley Nº 25.326.
Cita Normativa (Ley Nº 25.326)
“ARTICULO 11.- (Cesión). 1. Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo. 2. El consentimiento para la cesión es revocable. 3. El consentimiento no es exigido cuando: a) Así lo disponga una ley; b) En los supuestos previstos en el artículo 5°, inciso 2; c) Se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias; d) Se trate de datos personales relativos a la salud, y sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados; e) Se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables. 4. El cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate.” |
8.a. Determina los destinatarios de cesiones actuales o eventuales
Se deberá verificar si el responsable tiene prevista la cesión de datos personales a actuales o eventuales cesionarios indicando los elementos que permitan identificarlos.
8.b. Posee el consentimiento previo del titular del dato (de ser exigible)
En caso de ser exigible, se deberá verificar la existencia del consentimiento expreso previo informado, por escrito o medio que lo equipare, para la cesión prevista.
9. CONFIDENCIALIDAD (artículo 10 de la Ley N° 25.326)
Se deberá verificar si el inspeccionado posee convenios de confidencialidad firmados por los empleados, usuarios o terceros que accedan a la información registrada en la base de datos.
Cita Normativa (Ley Nº 25.326)
“ARTICULO 10.- (Deber de confidencialidad). 1. El responsable y las personas que intervengan en cualquier fase del tratamiento de datos personales están obligados al secreto profesional respecto de los mismos. Tal obligación subsistirá aún después de finalizada su relación con el titular del archivo de datos. 2. El obligado podrá ser relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública.” |
10. MEDIDAS DE SEGURIDAD (artículo 9° de la Ley Nº 25.326 y Disposición DNPDP Nº 11/06)
Se verificará la correcta implementación de las medidas de seguridad dispuestas por el artículo 9º de la Ley Nº 25.326 y la Disposición DNPDP Nº 11/2006. Se comprobará la existencia de las medidas de seguridad en los sistemas, la red interna, puestos de acceso y servidores (centro de cómputos). En momento alguno el equipo de inspección ingresará a los sistemas, sino que solicitará al responsable que exhiba la existencia de dichas medidas.
Cita Normativa (Ley Nº 25.326)
“ARTICULO 9°.- (Seguridad de los datos). 1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. 2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.” |
La Disposición DNPDP Nº 11/06 establece TRES (3) niveles de seguridad: BASICO, MEDIO y CRITICO. Para cada uno de los niveles mencionados se han previsto distintas medidas de seguridad que el responsable debe aplicar a sus bancos de datos según el nivel en que califiquen.
10.a. NIVEL BASICO
10.a.1. Posee documento de seguridad.
Se verificará si posee documento de seguridad, que puede consistir en un manual integral o un conjunto de normas que cumpla con los requisitos de la Disposición DNPDP Nº 11/06 (Ver modelo de manual en la Disposición DNPDP Nº 9/08).
10.a.2. Asigna funciones y obligaciones del personal respecto al tratamiento de datos personales.
Verificar si se ha diseñado y otorgado funciones, niveles de acceso y procedimientos del personal respecto del tratamiento de los datos, lo que incluye la firma de compromisos de confidencialidad (artículo 10 de la Ley Nº 25.326).
10.a.3. Documenta sus bancos de datos y los sistemas de información que los almacenan.
Controlar que se encuentren documentadas las distintas bases de datos de titularidad del responsable, y los sistemas de información que utiliza para su tratamiento (ej.: base de datos del personal, clientes, proveedores, agenda).
10.a.4. Establece medidas de control de calidad de la información a incorporar al Banco de Datos.
Debe preverse la instrucción del personal y/o diseñarse sistemas o procedimientos de control para garantizar que la información a incorporar sea correcta y congruente (ej.: datos numéricos en campos numéricos, no números en campos destinados a nombres, etc.).
10.a.5. Registra y prevé medidas ante incidentes de seguridad.
Debe verificarse la existencia de un registro de incidentes de seguridad y las medidas adoptadas para su solución y evitar reincidencias.
10.a.6. Realiza copias de resguardo de la información periódicas.
Debe preverse la realización de copias de resguardo de la información (“backups”) en forma periódica y depositarse en lugar seguro.
10.a.7. Mantiene un control actualizado de los usuarios del sistema autorizados mediante claves.
Debe existir una política de actualización de los usuarios.
10.a.8. Gestiona adecuadamente las claves y las renueva periódicamente.
Debe existir una política de contraseñas por medio de la cual se obligue a los usuarios a renovar sus claves y registrar las mismas en lugar seguro.
10.a.9. Prevé medidas para proteger la información de equipos desatendidos.
Cuando el usuario desatienda el equipo durante un tiempo prudencial se debe requerir el reingreso de clave.
10.a.10. Establece protección permanente y actualizada contra accesos no autorizados, virus y software malicioso.
Debe preverse la actualización de dichas medidas de protección.
10.a.11. Prevé medidas técnicas para el correcto funcionamiento de los equipos (instalación, temperatura ambiente) o evitar su daño por elementos externos como el fuego, etc.
En caso de nivel medio, debe verificarse la existencia de las siguientes medidas sobre el centro de cómputos: Area Segura: Evitar acceso físico no autorizado. Perímetro de Seguridad: Paredes y Puerta de Acceso controladas. Protección Física: Area ignífuga, matafuegos, inundaciones, explosiones. Protección de Energía: Falla eléctrica, ups o generadores que mantengan el suministro eléctrico para proteger las bases de datos, temperatura ambiente.
10.a.12. Posee política de gestión de soportes de datos personales, sean en papel o cualquier otro dispositivo técnico (inventario; almacenamiento; procedimientos en caso de extracción, salidas o destrucción por desuso).
Debe preverse un registro y procedimiento respecto de los soportes de resguardo de la información (ej.: CDs), identificándolos y depositándolos en lugar seguro. Verificar, asimismo, la existencia de un procedimiento de destrucción seguro de dichos soportes previo a su descarte.
10.b. NIVEL MEDIO
Permita establecer el perfil de personalidad o conductas determinadas de las persona o resulte afectada por secreto legal específico o empresas privadas de servicios públicos.
10.b.1. Designa responsable de Seguridad.
Deberá existir un responsable de la Seguridad de Información.
10.b.2. Incorpora el control de medidas de seguridad de datos personales en sus procesos de auditoría.
Se deberá incorporar en los procedimientos de las auditorías el control de las medidas de seguridad para la protección de los datos personales.
10.b.3. Impide la reiteración de intento de acceso no autorizado al sistema de Información.
Debe preverse que ante la reiteración de intentos fallidos de acceso se bloquee al usuario.
10.b.4. Prevé medidas físicas para evitar el acceso indebido a la zona del centro de cómputos y depósito de soportes de almacenamiento de información.
Debe verificarse la existencia de medidas de seguridad para controlar y registrar el acceso a dichos ámbitos.
10.b.5. Posee procedimiento de recuperación de la información de respaldo y tratamiento de la misma en caso de contingencia que ponga no operativo el o los equipos de procesamiento habituales.
Deben preverse mecanismos de recuperación de la información de respaldo (“backups”) en los casos de caídas del sistema y un plan de contingencia.
10.b.6. Toma medidas de protección de los datos personales cuando son transmitidos por redes internas o externas a la empresa.
Debe verificarse la existencia de medidas de seguridad adecuadas para la protección de la información al momento de ser transmitida por redes internas y/o externas.
10.b.7. En caso de incidentes de seguridad de la información, autoriza e identifica la persona que recuperó y/o modificó dicho datos.
Debe preverse la registración de las personas que realicen tareas de recuperación de la información, identificando las tareas desarrolladas por las mismas.
10.b.8. Las pruebas de funcionamiento de los sistemas de información se realizan en paralelo al sistema real.
En los casos que se realicen pruebas de funcionamiento de los sistemas de información y/o modificación de los existentes, debe realizarse en paralelo y protegiendo la confidencialidad de la información.
10.c. NIVEL CRITICO
Contenga “datos sensibles” cuyo tratamiento no sea obligatorio o para fines meramente administrativos (ej.: Administración del personal).
10.c.1. Distribución de Soportes: Encripta los datos cuando se trasladen en soportes o se realicen copias de resguardo de la información.
10.c.2. Lleva registro de acceso al sistema de los operadores y administrador (log, usuario, fecha, hora, autorizado, denegado, tipo de operación realizada).
10.c.3. Deposita copias de seguridad del sistema fuera de la localización habitual, en caja ignífuga y a prueba de gases o bien en una caja de seguridad bancaria, situadas a una distancia prudencial.
10.c.4. Encripta los datos de carácter personal que se trasmiten a través de redes de comunicación.
11. ACTIVIDADES DE PUBLICIDAD DIRECTA (artículo 27 de la Ley Nº 25.326)
Cita Normativa (Ley Nº 25.326):
“ARTICULO 27.- (Archivos, registros o bancos de datos con fines de publicidad). 1. En la recopilación de domicilios, reparto de documentos, publicidad o venta directa y otras actividades análogas, se podrán tratar datos que sean aptos para establecer perfiles determinados con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo, cuando éstos figuren en documentos accesibles al público o hayan sido facilitados por los propios titulares u obtenidos con su consentimiento. 2. En los supuestos contemplados en el presente artículo, el titular de los datos podrá ejercer el derecho de acceso sin cargo alguno. 3. El titular podrá en cualquier momento solicitar el retiro o bloqueo de su nombre de los bancos de datos a los que se refiere el presente artículo.” “Decreto N° 1558/2001: ARTICULO 27.- Podrán recopilarse, tratarse y cederse datos con fines de publicidad sin consentimiento de su titular, cuando estén destinados a la formación de perfiles determinados, que categoricen preferencias y comportamientos similares de las personas, siempre que los titulares de los datos sólo se identifiquen por su pertenencia a tales grupos genéricos, con más los datos individuales estrictamente necesarios para formular la oferta a los destinatarios. …En toda comunicación con fines de publicidad que se realice por correo, teléfono, correo electrónico, Internet u otro medio a distancia a conocer, se deberá indicar, en forma expresa y destacada, la posibilidad del titular del dato de solicitar el retiro o bloqueo, total o parcial, de su nombre de la base de datos. A pedido del interesado, se deberá informar el nombre del responsable o usuario del banco de datos que proveyó la información.” |
11.a. Utiliza sólo las categorías autorizadas (inciso 1. Artículo 27 de la Ley Nº 25.326 y Decreto)
Se deberá verificar que sólo utilizan datos aptos para establecer perfiles publicitarios y realizar la oferta prevista.
11.b. Recaba los datos de fuentes legítimas (inciso 1. Artículo 27 de la Ley Nº 25.326 y Decreto)
Verificar el origen y/o forma de recolección de los datos destinados a publicidad directa, particularmente que se hayan recolectado para dicha finalidad, brindando la adecuada información al titular del dato a dicho momento.
11.c. Respeta derecho de acceso del titular del dato (inciso 2. Artículo 27 de la Ley Nº 25.326 y Decreto).
Verificar que prevean y otorguen derecho de acceso al titular del dato sin cargo alguno, cumpliendo al momento de su recolección con la Disposición DNPDP Nº 10/2008.
11.d. Respeta derecho de retiro o bloqueo del titular del dato (inciso 3. Artículo 27 de la Ley Nº 25.326 y Decreto)
Verificar si prevé mecanismos eficaces para el ejercicio del derecho de retiro o bloqueo del titular del dato, y si cumple al momento del envío del mensaje de publicidad con las Disposiciones DNPDP Nros. 10/08 y 4/09.
Disposición DNPDP Nº 10/08
— “El titular de los datos personales tiene la facultad de ejercer el derecho de acceso a los mismos en forma gratuita a intervalos no inferiores a seis meses, salvo que se acredite un interés legítimo al efecto conforme lo establecido en el artículo 14, inciso 3 .de la Ley Nº 25.326.”— “La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, Organo de Control de la Ley Nº 25.326, tiene la atribución de atender las denuncias y reclamos que se interpongan con relación al incumplimiento de las normas sobre protección de datos personales.”Disposición DNPDP Nº 4/09 — “Un aviso que informe al titular del dato sobre los derechos de retiro o bloqueo total o parcial, de su nombre de la base de datos, el mecanismo que se ha previsto para su ejercicio, con más la transcripción del artículo 27, inciso 3, de la Ley Nº 25.326 y el párrafo tercero del artículo 27 del Anexo I del Decreto Nº 1558/01.” — “Establécese que cuando se efectúen envíos de comunicaciones de publicidad directa no requeridas o consentidas previamente por el titular del dato personal, deberá advertirse en forma destacada que se trata de una publicidad. En caso de realizarse dicha comunicación a través de un correo electrónico deberá insertarse en su encabezado el término único ‘publicidad’.” |
12. TRANSFERENCIA INTERNACIONAL (artículo 12 de la Ley N° 25.326)
Deberá verificarse si el inspeccionado realiza transferencias de datos a terceros países. Si los países destinatarios poseen legislación adecuada bastará con indicar en SI y aclarar dicha circunstancia en el campo Observaciones. En caso que el país destinatario no tenga legislación adecuada será exigible un contrato de transferencia internacional o el consentimiento del titular del dato, lo que se consulta en los puntos siguientes.
Cita Normativa (Ley Nº 25.326)
“ARTICULO 12.- (Transferencia internacional). 1. Es prohibida la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados.” |
12.a. La realiza mediante contrato de transferencia Internacional
En caso que alguno de los países destinatarios de la transferencia internacional no posea legislación adecuada, debe verificarse si la misma se realiza mediante contrato de transferencia internacional que traspole adecuadamente la Ley Nº 25.326 y obligue a su cumplimiento a todas las partes intervinientes. En caso que dicho contrato se encuentre aprobado por la DNPDP, debe consignarse dicha circunstancia.
12.b. La realiza mediante consentimiento del titular del dato
En caso que alguno de los países destinatarios de la transferencia internacional no posea legislación adecuada, debe verificarse si la misma se realiza con el previo consentimiento del titular del dato.
13. TRATAMIENTO DE DATOS POR CUENTA DE TERCEROS (artículo 25 de la Ley Nº 25.326)
Verificar si el responsable del banco de datos contrata el servicio de tratamiento de sus datos con terceras personas, sea para almacenamiento o procesamiento, total o parcial.
Cita Normativa (Ley Nº 25.326).
“ARTICULO 25.- (Prestación de servicios informatizados de datos personales). 1. Cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación. 2. Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años.” |
13.a. Posee contrato de servicios de tratamiento por parte de terceros
En caso de contratar el tratamiento de sus datos por terceros, se verificará si posee un contrato que contenga los requisitos del artículo 25 de la Ley Nº 25.326 y el Decreto Nº 1558/2001: a) Cláusulas que dispongan el tratamiento bajo exclusivas instrucciones impartidas por el responsable; b) Medidas de seguridad y confidencialidad acordes con los artículos 9° y 10 de la Ley Nº 25.326 y Disposición DNPDP Nº 11/06; c) Finalidad exclusiva del tratamiento a las previstas contractualmente; d) Prohibición de cesión a terceros no prevista contractualmente, ni aun para su conservación; e) Destrucción de los datos una vez finalizado el contrato, salvo autorización para conservarlos hasta DOS (2) años después de finalizado en caso de preverse nuevas contrataciones. Se verifica a continuación el cumplimiento de dichos requisitos.
13.b. Determina la finalidad de tratamiento
Verificar que se determine contractualmente la finalidad del tratamiento de datos personales.
13.c. Determina medidas de seguridad y confidencialidad
Verificar que existan cláusulas de seguridad y confidencialidad acordes con la normativa aplicable.
13.d. Determina el plazo de conservación de los datos
Verificar que el contrato tenga previsto la destrucción y/o devolución de los datos en poder del prestador del servicio una vez finalizado el mismo.
14. DERECHOS DEL TITULAR DEL DATO (artículos 14, 15 y 16 de la Ley Nº 25.326)
14.a. Establece procedimientos y plazos de ley para el derecho de acceso
Se debe verificar la existencia de un procedimiento que contenga los siguientes puntos: 1. Designación de personal a cargo capacitado para recepcionar el pedido del titular del dato. 2. Verificación de la identidad del titular del dato solicitante (D.N.I.). 3. Registro de la solicitud. 4. Procedimiento para la elaboración de la respuesta. 5. Registro de la respuesta y su entrega al solicitante. 6. Plazo previsto para cumplir con el pedido.
Cita Normativa (Ley Nº 25.326).
“ARTICULO 14.- (Derecho de acceso). 1. El titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales incluidos en los bancos de datos públicos, o privados destinados a proveer informes. 2. El responsable o usuario debe proporcionar la información solicitada dentro de los diez días corridos de haber sido intimado fehacientemente. Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, éste se estimara insuficiente, quedará expedita la acción de protección de los datos personales o de hábeas data prevista en esta ley. 3. El derecho de acceso a que se refiere este artículo sólo puede ser ejercido en forma gratuita a intervalos no inferiores a seis meses, salvo que se acredite un interés legítimo al efecto. 4. El ejercicio del derecho al cual se refiere este artículo en el caso de datos de personas fallecidas le corresponderá a sus sucesores universales.” “ARTICULO 15.- (Contenido de la información). 1. La información debe ser suministrada en forma clara, exenta de codificaciones y en su caso acompañada de una explicación, en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen. 2. La información debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado. 3. La información, a opción del titular, podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin.” |
14.b. Establece procedimientos y plazos de ley para el derecho de rectificación
A los fines de verificar el cumplimiento por parte del responsable de los derechos de rectificación, supresión y/o confidencialidad del titular del dato, se debe verificar la existencia de un procedimiento que contenga los siguientes puntos: 1. Designación de personal a cargo capacitado para recepcionar el pedido del titular del dato. 2. Verificación de la identidad del titular del dato solicitante (D.N.I.). 3. Registro de la solicitud. 4. Procedimiento para la elaboración de la respuesta. 5. Registro de la respuesta y su entrega al solicitante. 6. Plazo previsto para cumplir con el pedido.
Cita Normativa (Ley Nº 25.326).
“ARTICULO 16.- (Derecho de rectificación, actualización o supresión). 1. Toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad los datos personales de los que sea titular, que estén incluidos en un banco de datos. 2. El responsable o usuario del banco de datos, debe proceder a la rectificación, supresión o actualización de los datos personales del afectado, realizando las operaciones necesarias a tal fin en el plazo máximo de cinco días hábiles de recibido el reclamo del titular de los datos o advertido el error o falsedad. 3. El incumplimiento de esta obligación dentro del término acordado en el inciso precedente, habilitará al interesado a promover sin más la acción de protección de los datos personales o de hábeas data prevista en la presente ley. 4. En el supuesto de cesión, o transferencia de datos, el responsable o usuario del banco de datos debe notificar la rectificación o supresión al cesionario dentro del quinto día hábil de efectuado el tratamiento del dato. 5. La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos. 6. Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del banco de datos deberá o bien bloquear el archivo, o consignar al proveer información relativa al mismo la circunstancia de que se encuentra sometida a revisión. 7. Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos.” |
15. CAPACITACION
Debe verificarse el compromiso del responsable para con la capacitación de las distintas áreas que participan en el tratamiento de datos personales, como ser los estudios, cursos de actualización, divulgación interna, confección de manuales e instructivos, capacitación del personal, etc.
Actividades desarrolladas | General Empresa | Sistemas | Atención Público | RRHH |
Estudios vinculados a la protección de datos personales | ||||
Cursos de actualización | ||||
Divulgación Interna | ||||
Confección de manuales e instructivos | ||||
Capacitación del personal |
16. ACATAMIENTO DE LAS DISPOSICIONES DE LA DNPDP
Se verificará el cumplimiento por parte del responsable de las distintas disposiciones de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.
16.a. Constata correcto acatamiento Disposiciones de la DNPDP
Se indicará el correcto acatamiento del responsable de las Disposiciones que con carácter general ha dispuesto la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES y que sean aplicables a la actividad del inspeccionado.
16.b. Verifica acatamiento de disposiciones particulares acaecidas en sumarios tramitados ante la DNPDP en los que el responsable de la base de datos haya sido parte.
Se verificará el acatamiento del responsable de las disposiciones particulares que con motivo de algún sumario, inspección o cualquier otro trámite administrativo, le haya formulado la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.
C. CASOS ESPECIALES
17. ESTABLECIMIENTOS SANITARIOS Y MEDICOS (artículos 7° y 8° de la Ley Nº 25.326)
Toma medidas que garanticen el secreto profesional
Se verificará que el responsable tome medidas que garanticen el secreto profesional, firmando los convenios de confidencialidad necesarios, en particular con el personal administrativo y auxiliar que tome conocimiento de datos afectados por dicho secreto, y prohibiendo el acceso a personas no autorizadas por la normativa específica.
Cita Normativa (Ley Nº 25.326):
“ARTICULO 8°.- (Datos relativos a la salud). Los establecimientos sanitarios públicos o privados y los profesionales vinculados a la ciencia de la salud puede recolectar y tratar los datos personales relativos a la salud física y mental de los pacientes respetando los principios del secreto profesional. Secreto Profesional: arts. 11 y 19, inc. 3º, Ley Nº 17.132, y Código de Etica de la Confederación Médica Argentina de 1955).” |
18. INVESTIGACIONES CLINICAS, FARMACOLOGICAS Y FARMACOGENETICAS (artículos 7° y 8° de la Ley Nº 25.326)
Utiliza modelos de consentimiento informado aprobado por la DNPDP
Se verificará si el responsable ha realizado el trámite de homologación del consentimiento informado ante la DNPDP.
19. EMPRESAS DE INFORMES CREDITICIOS (artículo 26 de la Ley Nº 25.326)
19.a. Utiliza sólo las categorías autorizadas (incisos 1. y 2. artículo 26 de la Ley Nº 25.326)
Para los casos de responsables que realizan tratamientos de datos para la finalidad de brindar informes crediticios a terceros, debe verificarse que sólo traten datos de la categoría admitida por el artículo 26 de la Ley Nº 25.326, incisos 1. y 2.: Datos de carácter patrimonial relativos a la solvencia y el crédito y al cumplimiento de obligaciones patrimoniales.
Cita Normativa (Ley Nº 25.326):
“ARTICULO 26.- (Prestación de servicios de información crediticia). 1. En la prestación de servicios de información crediticia sólo pueden tratarse datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por el interesado o con su consentimiento. 2. Pueden tratarse igualmente datos personales relativos al cumplimiento o incumplimiento de obligaciones de contenido patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o interés.” |
19.b. Recaba los datos de fuentes legítimas (incisos 1. y 2. artículo 26 de la Ley Nº 25.326)
Debe verificarse que los datos se recolecten de fuentes autorizadas por la ley (incisos 1. y 2. de la Ley Nº 25.326), esto es, de fuentes de acceso público o facilitados por el acreedor.
Cita Normativa (Ley Nº 25.326):
“ARTICULO 26.- (Prestación de servicios de información crediticia). 1. En la prestación de servicios de información crediticia sólo pueden tratarse datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por el interesado o con su consentimiento. 2. Pueden tratarse igualmente datos personales relativos al cumplimiento o incumplimiento de obligaciones de contenido patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o interés.” |
19.c. Respeta derecho de acceso del titular del dato (inciso 3. artículo 26 de la Ley Nº 25.326)
Verificar si se respeta el derecho de acceso a la información del titular del dato, indicándole de los últimos SEIS (6) meses la información transmitida y sus destinatarios (nombre y domicilio), en forma gratuita.
Cita Normativa (Ley Nº 25.326):
“ARTICULO 26.- (Prestación de servicios de información crediticia) …3. A solicitud del titular de los datos, el responsable o usuario del banco de datos, le comunicará las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y domicilio del cesionario en el supuesto de tratarse de datos obtenidos por cesión.” |
19.d. Aplica los plazos de caducidad del dato (inciso 4. artículo 26 de la Ley Nº 25.326)
Verificar la aplicación a sus informes de los plazos de caducidad del dato crediticio, aplicando el derecho al olvido en los términos del artículo 26, inciso 4., de la Ley Nº 25.326.
Cita Normativa (Ley Nº 25.326):
“ARTICULO 26.- (Prestación de servicios de información crediticia) …4. Sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico-financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo extinga la obligación, debiéndose hacer constar dicho hecho.” |
19.e. Controla existencia de interés legítimo del cesionario (inciso 5)
Debe controlarse si al momento de ceder informes a terceros, el responsable instrumenta las medidas necesarias para verificar la existencia del interés legitimo del cesionario.
Cita Normativa (Ley Nº 25.326):
“ARTICULO 26.- (Prestación de servicios de información crediticia) …5. La prestación de servicios de información crediticia no requerirá el previo consentimiento del titular de los datos a los efectos de su cesión, ni la ulterior comunicación de ésta, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.” |