Disposición 39/2015 de la Dirección Nacional de Protección de Datos Personales (DNPDP) – Procedimiento de control de las actividades de los responsables de bases de datos mediante “Inspección Electrónica”

MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS

DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES

Disposición 39/20155

Bs. As., 05/08/2015

VISTO el Expediente N° S04:0047946/2014 del registro de este Ministerio y las competencias atribuidas a esta DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES por la Ley N° 25.326 y su Decreto reglamentario N° 1558 del 29 de noviembre de 2001, y

CONSIDERANDO:

Que entre las atribuciones asignadas a la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES se encuentra la de dictar las normas reglamentarias que se deben observar en el desarrollo de las actividades comprendidas por la Ley N° 25.326.

Que asimismo tiene la facultad de controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos. A tal efecto podrá solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la Ley N° 25.326, según lo dispone el artículo 29, inciso 1, apartado d) de la citada Ley N° 25.326.

Que el artículo 4°, párrafo cuarto, de la reglamentación aprobada por el Decreto N° 1558/01, establece que la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES efectuará controles de oficio sobre el cumplimiento de los principios de legitimidad del tratamiento, y aplicará las sanciones pertinentes al responsable o usuario en los casos que correspondiere.

Que en el párrafo quinto del artículo precedentemente citado se dispone que la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES procederá, ante el pedido de un interesado o de oficio ante la sospecha de una ilegalidad, a verificar el cumplimiento de las disposiciones legales y reglamentarias en orden a cada una de las siguientes etapas del uso y aprovechamiento de datos personales:

a) legalidad de la recolección o toma de información personal;

b) legalidad en el intercambio de datos y en la transmisión a terceros o en la interrelación entre ellos;

c) legalidad en la cesión propiamente dicha;

d) legalidad de los mecanismos de control interno y externo del archivo, registro, base o banco de datos.

Que mediante la Disposición DNPDP N° 005 del 29 de mayo de 2008, se aprobaron las “NORMAS DE INSPECCIÓN Y CONTROL DE LA DIRECCION NACIONAL DE PROTECCIÓN DE DATOS PERSONALES”, que reglamenta el ejercicio de la facultad de fiscalización que tiene asignada esta dependencia.

Que con el objetivo de aumentar la capacidad operativa y de fiscalización, corresponde incorporar las herramientas informáticas que le permitan a esta Dirección Nacional desarrollar con mayor eficiencia la competencia legalmente encomendada.

Que por ello se estima conveniente implementar una modalidad de inspección telemática que permita ampliar significativamente el control sobre la adecuación a la Ley N° 25.326 de los tratamientos de datos personales que se encuentran regidos por la misma.

Que en este sentido, corresponde implementar un procedimiento de “INSPECCIÓN ELECTRÓNICA” que facilite a esta autoridad de control la facultad de fiscalización, y a los responsables de tratamiento el cumplimiento de sus obligaciones legales.

Que en ningún caso será considerado un incumplimiento la falta de respuesta a un requerimiento realizado por vía telemática, debiendo el requerido haber sido notificado mediante alguna de las formas previstas en el artículo 41 del Reglamento de Procedimientos Administrativos, Decreto 1759/72 T.O. 1991.

Que ha tomado intervención el servicio permanente de asesoramiento jurídico de este Ministerio.

Que la presente medida se dicta en uso de las facultades conferidas por el artículo 29, inciso 1, apartados b), d) y e) de la Ley N° 25.326 y el artículo 29, inciso 5, apartados a) y e) del Anexo I del Decreto N° 1558/01.

Por ello,

EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES

DISPONE:

ARTÍCULO 1° — Establécese un procedimiento de control de las actividades de los responsables de bases de datos, los datos personales que administran, los medios y la forma con los que lo hacen y el nivel de cumplimiento de las obligaciones que surgen de la Ley N° 25.326 denominado “INSPECCIÓN ELECTRÓNICA”, el cual se regirá por las pautas, condiciones y requisitos que se establecen en la presente.

ARTÍCULO 2° — El objeto de la “INSPECCIÓN ELECTRÓNICA” es el de facilitar la comunicación entre esta Dirección Nacional y los sujetos a su contralor, utilizando para ello las herramientas telemáticas para el envío y la recepción de información. En ningún caso se tendrá por notificada fehacientemente ninguna comunicación efectuada por medio electrónico. Por ello, ante la falta de cumplimiento por parte del inspeccionado de un requerimiento electrónico, esta Autoridad de Control deberá recurrir a alguna de las formas previstas en el artículo 41 del Reglamento de Procedimientos Administrativos, Decreto 1759/72 T.O. 1991.

ARTÍCULO 3° — La iniciación de la “INSPECCIÓN ELECTRÓNICA” será debidamente notificada al responsable de la base de datos sujeta a control mediante alguna de las formas previstas en el artículo 41 del Reglamento de Procedimientos Administrativos, Decreto 1759/72 T.O. 1991, y concretada la misma, se tendrá por iniciado el procedimiento de control.

ARTÍCULO 4° — El responsable de tratamiento de datos sometido a fiscalización bajo esta modalidad deberá, dentro de un plazo de DIEZ (10) días hábiles administrativos contados a partir del día siguiente a la notificación, responder el requerimiento que se le formule, utilizando a estos efectos los medios telemáticos que se establezcan.

ARTÍCULO 5° — El responsable fiscalizado podrá solicitar una prórroga del plazo de cumplimiento indicado en el artículo 4°. Esta Dirección Nacional deberá notificar el otorgamiento de la prórroga por escrito o por medio telemático a través del sistema informático que se implemente, en cuyo caso quedará el requirente notificado al día siguiente de aquel que la novedad haya sido puesta a su disposición en dicho sistema.

ARTÍCULO 6° — El sistema informático contemplará la posibilidad de adjuntar documental respaldatoria.

ARTÍCULO 7° — Cumplido el requerimiento por parte del responsable de tratamiento, el sistema emitirá un comprobante de cumplimiento en forma inmediata y esta Autoridad de Aplicación procederá a analizar tanto la respuesta al requerimiento como la documental acompañada, pudiendo realizar requerimientos adicionales por vía electrónica, el que deberá ser respondido dentro de un plazo de DIEZ (10) días hábiles administrativos contados a partir del día siguiente a la notificación. En el caso que el requerido no responda al requerimiento electrónico, se procederá a intimar fehacientemente alguna de las formas previstas en el artículo 41 del Reglamento de Procedimientos Administrativos, Decreto 1759/72 T.O. 1991, por el mismo plazo.

ARTÍCULO 8° — Evaluados todos los elementos, este Órgano de Control procederá a elaborar un Informe Final, en el que se ponderará el nivel de cumplimiento de los tratamientos de datos personales que realiza el responsable fiscalizado, que deberá ser notificado al interesado mediante el sistema electrónico. Podrá asimismo, en caso de detectar incumplimientos, iniciar un procedimiento sancionatorio.

ARTÍCULO 9° — El incumplimiento del requerimiento realizado mediante la modalidad de “INSPECCIÓN ELECTRÓNICA” será considerada una INFRACCIÓN GRAVE en los términos de la Disposición DNPDP N° 7/05 y modificatorias, siendo pasible de las sanciones allí previstas. En ningún caso se tendrá por incumplimiento la falta de respuesta a un requerimiento realizado por vía telemática, debiendo el requerido haber sido notificado mediante alguna de las formas previstas en el artículo 41 del Reglamento de Procedimientos Administrativos, Decreto 1759/72 T.O. 1991.

ARTÍCULO 10. — El suministro de información y documentación que el responsable efectúe mediante los medios que se establezcan para el procedimiento aprobado por la presente tendrá carácter de declaración jurada.

ARTÍCULO 11. — Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. — Dr. JUAN CRUZ GONZALEZ ALLONCA, Director Nacional de Protección de Datos Personales, Ministerio de Justicia y Derechos Humanos.

e. 10/08/2015 N° 133736/15 v. 10/08/2015

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *