Disposición 3/2012

Texto Original

DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES

Disposición 3/2012

Apruébanse Formulario de Inspección e Instructivo. Derógase Disposición DNPDP N° 05/2008.

Bs. As., 31/7/2012

VISTO el Expediente N° S04:0020164/2011 del registro de esteMinisterio, la LEY DE PROTECCION DE LOS DATOS PERSONALES N° 25.326 y suDecreto Reglamentario N° 1558 del 29 de noviembre de 2001, modificadopor su similar N° 1160 del 11 de agosto de 2010 y las DisposicionesNros. 011 del 19 de septiembre de 2006 y 005 del 28 de mayo de 2008 deesta Dirección Nacional, y

CONSIDERANDO:

Que la Ley N° 25.326 tiene por objeto la protección integral de losdatos personales asentados en archivos, registros, bancos de datos uotros medios técnicos de tratamiento de datos, sean éstos públicos oprivados, así como también el acceso a la información que sobre losmismos se registre, de conformidad a lo establecido en el artículo 43,párrafo tercero de la CONSTITUCION NACIONAL.

Que es facultad de esta Dirección Nacional diseñar los instrumentos queconsidere adecuados para la mejor protección de los datos personales ypara el cumplimiento de sus funciones y atribuciones.

Que de conformidad con lo establecido en el artículo 29, incisos b) ye), de la Ley N° 25.326, se encuentran entre sus funciones yatribuciones, las de dictar las normas y reglamentaciones que se debenobservar en el desarrollo de sus actividades y las de solicitar lainformación pertinente a las entidades públicas y privadas, en orden aproporcionar los antecedentes, documentos, programas u otros elementosrelativos al tratamiento de los datos que se le requieran.

Que a su vez el artículo 31 de la Ley N° 25.326 prevé que lareglamentación determinará las condiciones y procedimientos para laaplicación de las sanciones allí previstas y que corresponda aplicar encasos de inobservancia de los preceptos contenidos en la Ley citada.

Que asimismo es responsabilidad del Organo de Control de la Ley N°25.326 la realización de investigaciones e inspecciones, elrequerimiento de información, antecedentes, documentos, programas uotros elementos relativos al tratamiento de los datos personales a losresponsables o usuarios de archivos, como así también la de controlarla observancia de las normas sobre integridad y seguridad de esos datospor parte de los titulares o usuarios de archivos, registros o bancosde datos.

Que la experiencia recogida en el curso de la gestión llevada a cabopor esta Dirección Nacional en relación con la mencionada actividad,impone la necesidad de realizar modificaciones en los instrumentos deinspección implementados mediante la Disposición DNPDP N° 005/08.

Que en ese entendimiento y a fin de optimizar el procedimiento deinspección de los archivos, registros, bases o bancos de datos públicosy privados previstos en la Ley N° 25.326 y en la Disposición DNPDP N°005/08, esta Dirección Nacional considera necesario reemplazar lasNORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL DE PROTECCIONDE DATOS PERSONALES oportunamente aprobadas por la Disposición DNPDP N°005/08 como Anexo I, por nuevos instrumentos bajo los nombres de“Formulario de Inspección” e “Instructivo del Formulario deInspección”, obrantes en los Anexos I y II, respectivamente.

Que mediante dichos instrumentos se prevé otorgar mayor celeridad yeficacia a la actividad fiscalizadora, teniendo en miras facilitar alos inspeccionados los elementos de juicio necesarios para laobservancia de los principios y requisitos de licitud que establece laLey N° 25.326.

Que a fin de observar una mejor técnica legislativa que permitacontener en un solo cuerpo normativo el régimen regulatorio de laactividad de contralor de los principios enunciados en la Ley N° 25.326y otorgue mayor transparencia y seguridad en el tratamiento de datospersonales a quienes resultan alcanzados por aquélla, se impone derogarla Disposición DNPDP N° 005/08 y aprobar el nuevo cuerpo dispositivoque conforma el procedimiento de fiscalización aludido precedentemente.

Que ello permitirá a esta Dirección Nacional efectuar las correccionesy recomendaciones que resulten necesarias para mejorar su gestión yproteger debidamente los derechos del titular del dato.

Que ha tomado la intervención de su competencia la DIRECCION GENERAL DE ASUNTOS JURIDICOS de este Ministerio.

Que la presente disposición se dicta en uso de las facultadescontenidas en los artículos 29, inciso 1, apartados b) y e), de la LeyN° 25.326, 29, inciso 5, apartado a), del Anexo I del Decreto N°1558/01 y 1°, inciso V), del Decreto N° 1160/10.

Por ello,

EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALESDISPONE:

Artículo 1° — Apruébanse el“Formulario de Inspección” obrante en el Anexo I del presente acto y el“Instructivo del Formulario de Inspección” agregado como Anexo II.

Art. 2° — El ejercicio de lafacultad de fiscalización que tiene asignada esta Dirección Nacional sedesarrollará de oficio y cuando estime corresponder, si bien podrátener causa en una petición o denuncia de un órgano del EstadoNacional, provincial, municipal o un particular.

Art. 3° — Las inspecciones ycontroles serán efectuados por un agente de la planta permanente deesta Dirección Nacional debidamente acreditado, quien revestirá elcarácter de inspector y podrá estar acompañado por el personal técnicoque sea designado a tal fin por el Director Nacional de Protección deDatos Personales a propuesta del titular del área requerida. En todoslos casos y de considerarlo pertinente, el Director Nacional deProtección de Datos Personales podrá estar presente en la inspección.

Art. 4° — La iniciación de lainspección se instrumentará mediante decisión del Director Nacional deProtección de Datos Personales y será debidamente notificada alresponsable de la base de datos sujeta a control con una antelación noinferior a DIEZ (10) días hábiles, salvo que se entienda que la previanotificación pueda afectar el resultado de la investigación, en cuyocaso deberá constar la pertinente justificación en el acto de aperturade la inspección. En caso de efectuarse notificación, la misma deberáir acompañada por una copia de los textos correspondientes al“Formulario de Inspección” y su Instructivo, aprobados como Anexos I yII de la presente.

Art. 5° — La inspecciónconsistirá en una o más visitas presenciales del inspector, en la quepodrá acceder a la totalidad de los locales, equipos o programas detratamiento de datos personales del responsable de la base de datoscontrolada. Dichas visitas se harán en días y horas hábilesadministrativos, sin perjuicio de lo cual de oficio o a petición departe podrán habilitarse aquellos que no lo fueren.

Art. 6° — La inspección sedesarrollará conforme lo disponen los puntos del “Formulario deInspección” y el “Instructivo del Formulario de Inspección”, en formatotal o parcial según el alcance objetivo o causal del control y a lascaracterísticas del tratamiento de datos bajo inspección.

Art. 7° — En los casos en quelas circunstancias fácticas y el tipo de tratamiento de datos así loexijan, se podrá solicitar a los controlados la presentación deelementos adicionales que permitan fiscalizar el cumplimiento de lasobligaciones y principios contenidos en la Ley N° 25.326 y sureglamentación, en el marco de las competencias asignadas a estaDirección Nacional.

Art. 8° — Los actos deinspección constarán en un acta que será labrada por duplicado por elinspector y suscripta por el mismo, por los técnicos que lo acompañen,en su caso y por el responsable de la base de datos controlada. Eloriginal se incorporará a las actuaciones que dieron origen a lainspección y el duplicado será entregado al responsable de la base dedatos.

Art. 9° — En caso de queresultare necesario solicitar autorización judicial para acceder alocales, equipos o programas de tratamiento de datos, a fin deverificar infracciones al cumplimiento de la Ley N° 25.326, elinspector deberá elevar la respectiva petición al Director Nacional deProtección de Datos Personales, quien formulará el correspondienterequerimiento.

Art. 10. — Derógase la Disposición DNPDP N° 005 del 28 de mayo de 2008.

Art. 11. — Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. — Juan A. Travieso.

ANEXO I

FORMULARIO DE INSPECCION

El presente documento tiene por objetivo facilitar la determinación delos distintos  tratamientos de datos que realizan los responsablesy verificar si los mismos se ajustan a los principios y requisitos delicitud que establece la Ley Nº 25.326, lo que permitirá a la DIRECCIONNACIONAL DE PROTECCION DE DATOS PERSONALES efectuar las correcciones yrecomendaciones que resulten necesarias para mejorar la gestión y laprotección de los derechos del titular del dato.

ANEXO II

INSTRUCTIVO DEL FORMULARIO DE INSPECCION

Objetivos

El Formulario de Inspección es un instrumento coadyuvante de las finalidades de toda inspección:

— Concientizar a los responsables o titulares de los bancos de datos,sobre los alcances y aplicación a su actividad de la LEY DE PROTECCIONDE LOS DATOS PERSONALES Nº 25.326.

— Determinar el efectivo cumplimiento de la Ley por parte delresponsable y realizar las recomendaciones necesarias para la mejorprotección de los datos personales.

— De detectarse infracciones: otorgar plazo de subsanación y/o aplicarsanción —previo sumario— conforme a la Disposición DNPDP Nº 7/2005,según la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES considerepertinente.

Metodología

El Formulario de Inspección se completará previo a la visita deinspección (por parte del responsable) y/o al momento de la visita (porparte del inspector), de lo que se dejará constancia en el Acta deInspección.

Instrucciones para su llenado

En cada punto de consulta (del 1 al 19) se deberá indicar si el mismono resulta aplicable al inspeccionado, bastando para ello hacer unacruz en la columna indicada como “NA” (No Aplicable).

En caso de resultar aplicable se deberá marcar con una cruz si el bancode datos cumple o no con dicho punto, marcando con una cruz en lacolumna “SI” o en la columna “No”, según corresponda.

En el campo “Observaciones” se incluirán todas las aclaraciones que seconsideren pertinentes para el mejor cumplimiento de los objetivos dela inspección.

A. IDENTIFICACION DEL RESPONSABLE

1. NOMBRE DEL RESPONSABLE Y ACREDITACION DE PERSONERIA

Se verificará quién es el responsable de las bases de datos. Cuandosean personas jurídicas, se deberá solicitar el poder o acreditación depersonería del representante legal.

2. NUMERO DE C.U.I.T./C.U.I.L./C.D.I. DEL RESPONSABLE

Verificar el Número de C.U.I.T./C.U.I.L./C.D.I. del responsable de la empresa.

B. DESARROLLO DE LA INSPECCION

3. NUMERO DE REGISTRO ANTE LA DNPDP

Se deberá colocar el N° de Registro asignado por la DNPDP a la empresa inspeccionada.

Cita Normativa (Ley Nº 25.326): “ARTICULO 3°.- (Archivo de datos - Licitud) - La formación de archivode datos será licita cuando se encuentren debidamente inscriptos…”. “ARTICULO 21.- (Registro de archivos de datos. Inscripción). 1. Todoarchivo registro base o banco de datos público y privado destinado aproporcionar informes debe inscribirse en el Registro que al efectohabilite el organismo de control…”.

4. BANCO DE DATOS INSCRIPTOS ANTE LA DNPDP

Se deberán indicar las bases de datos inscriptas en el RegistroNacional de Bases de Datos de la DIRECCION NACIONAL DE PROTECCION DEDATOS PERSONALES. Las mismas se encuentran especificadas en elFormulario de Inscripción.

5. POLITICAS DE PRIVACIDAD

Se verificará si tiene una política de privacidad acorde a lo dispuestopor la Ley Nº 25.326 y que la misma desarrolle cuanto menos los temasque se exponen a continuación:

Lineamientos básicos para una política de Protección de Datos Personales. 1. Definición del Objeto de la política de Protección de DatosPersonales (objeto tutelado, como por ejemplo, los artículos 1° y 2° dela Ley Nº 25.326 y sus principios), alcance corporativo (a quienesresulta exigible la política) y su compatibilidad y/o relación con laspolíticas de protección de la información comercial o cualquier otrapolítica que entre en conjunción con la protección de datos personales. 2. Definición de términos de la política (acordes con la Ley Nº 25.326). 3. Principios de protección de datos personales de la políticaaplicables a la empresa (acordes con la Ley Nº 25.326, artículos 3°,4°, 5°, 6°, 7° y 11). 4. Confidencialidad de los datos personales (artículo 10 de la Ley Nº25.326), con referencia a los convenios de confidencialidad delpersonal y terceros que presten servicios, etc. (todo que entre encontacto con los datos personales de la institución). 5. Seguridad de los datos personales, aplicación de la Disposición DNPDP Nº 11/06 (manual de seguridad). 6. Transferencia Internacional de datos personales (aplicando el artículo 12 de la Ley Nº 25.326 y Decreto N° 1558/01). 7. Publicidad directa (artículo 27 de la Ley Nº 25.326 y Decreto N° 1558/01), Disposiciones DNPDP Nros. 10/08 y 4/09. 8. Prestaciones de servicios de tratamiento de datos por cuenta deterceros (artículo 25 de la Ley Nº 25.326 y Decreto N° 1558/01). 9. Derechos de los titulares de los datos (personal, clientes yproveedores), y procedimientos para responder a su ejercicio (derechosde acceso, rectificación, supresión, etc., artículos 14, 15 y 16 de laLey Nº 25.326). 10. Designación de un Encargado de Protección de Datos por parte delDirectorio (a cargo de velar por la correcta y efectiva aplicación dela presente política y su relación con el órgano de control). 11. Implementación y ejecución de la política en la empresa. 12. Capacitación. Areas Sistemas - Jurídicas - Atención Público. 13. Auditoría sobre su cumplimiento. Notificación de incidentes. 14. Determinación de responsabilidades en caso de incumplimiento.




5.a. Designa encargado de la Política de Privacidad.

Se deberá indicar si el responsable del Banco de Datos ha designado unencargado de la Política de Privacidad que tenga a su cargo velar porel adecuado cumplimiento de la misma.

5.b. Difunde y capacita respecto de la Política de Privacidad.

Se verificará si dentro de la organización se difunde la Política dePrivacidad y se capacita al personal de la misma para su correctaimplementación.

5.c. Incorpora el control de cumplimiento de la política de privacidad en sus procesos de auditoría.

Se deberá verificar si existen mecanismos de control o auditoríasinternas que evalúen el cumplimiento de lo establecido en las políticasde protección de datos personales.

6. Calidad de los datos (artículo 4° de la Ley Nº 25.326)

6.a. Determina la finalidad del tratamiento de los bancos de datos.

Debe verificarse que los bancos de datos posean una finalidad definidapor el Responsable en sus políticas. Se recomienda verificar lodenunciado en el Formulario de Inscripción en el Registro Nacional deBases de Datos (punto 2 del FA.01).

Cita Normativa (Ley Nº 25.326): “ARTICULO 3°.- …Los archivos de datos no pueden tener finalidades contrarias a las leyes o a la moral pública.” “ARTICULO 4°.- inciso 3°: Los datos objeto de tratamiento no pueden serutilizados para finalidades distintas o incompatibles con aquellas quemotivaron su obtención.”

6.b. Determina la categoría de los datos admisibles en sus bancos de datos

Se deberá verificar si el responsable determina y cumple con lacategoría de datos admisible conforme a la finalidad del tratamientoprevisto. Al respecto, se recomienda ver lo denunciado en el Formulariode Inscripción en el Registro Nacional de Bases de Datos (punto 3 delFA01: Naturaleza dato. Datos Sensibles, Datos relativos a Antecedentespenales o contravencionales. Especificar los tipos de datos personalesque trata).

Cita Normativa (Ley Nº 25.326): “ARTICULO 4°.- (Calidad de los datos). 1. Los datos personales que serecojan a los efectos de su tratamiento deben ser ciertos, adecuados,pertinentes y no excesivos en relación con el ámbito y finalidad paralos que se hubieren obtenido.” “ARTICULO 21.- (Registro de archivos de datos. Inscripción). …3) Ningúnusuario de datos podrá poseer datos personales de naturaleza distinta alos declarados en el registro.”


6.c. Trata datos sensibles (artículos 2° y 7° de la Ley Nº 25.326)

Debe indicarse si el banco de datos trata datos sensibles y en casoafirmativo indicar la norma que autoriza dicho tratamiento y lasmedidas de seguridad que se aplican a los mismos (Nivel Crítico, salvoque se traten para fines administrativos —ej.: administración depersonal— u obligación legal —ej.: examen preocupacional—).

Cita Normativa (Ley Nº 25.326): “ARTICULO 2°.- (Definiciones). A los fines de la presente ley seentiende por: …— Datos sensibles: Datos personales que revelan origenracial y étnico, opiniones políticas, convicciones religiosas,filosóficas o morales, afiliación sindical e información referente a lasalud o a la vida sexual.” “ARTICULO 7°.- (Categoría de datos). 1. Ninguna persona puede serobligada a proporcionar datos sensibles. 2. Los datos sensibles sólopueden ser recolectados y objeto de tratamiento cuando medien razonesde interés general autorizadas por ley. También podrán ser tratados confinalidades estadísticas o científicas cuando no puedan seridentificados sus titulares. 3. Queda prohibida la formación dearchivos, bancos o registros que almacenen información que directa oindirectamente revele datos sensibles. Sin perjuicio de ello, laIglesia Católica, las asociaciones religiosas y las organizacionespolíticas y sindicales podrán llevar un registro de sus miembros. 4.Los datos relativos a antecedentes penales o contravencionales sólopueden ser objeto de tratamiento por parte de las autoridades públicascompetentes, en el marco de las leyes y reglamentaciones respectivas.” “ARTICULO 8°.- (Datos relativos a la salud). Los establecimientossanitarios públicos o privados y los profesionales vinculados a lasciencias de la salud pueden recolectar y tratar los datos personalesrelativos a la salud física o mental de los pacientes que acudan a losmismos o que estén o hubieren estado bajo tratamiento de aquéllos,respetando los principios del secreto profesional.”

6.d. Toma medidas para garantizar la calidad del dato objeto de tratamientoVerificar la existencia de procesos y medidas de control a fin demantener la calidad de la información exigible según la finalidad deltratamiento, de manera tal que garanticen que los datos sean ciertos,adecuados, pertinentes, no excesivos, exactos y completos.

Cita Normativa (Ley Nº 25.326): “ARTICULO 4°.- (Calidad de los datos). 1. Los datos personales que serecojan a los efectos de su tratamiento deben ser ciertos, en relacióncon el ámbito y finalidad para los que se hubieren obtenido. …4. Losdatos deben ser exactos y actualizarse en los casos de que ello fueranecesario. 5. Los datos total o parcialmente inexactos o incompletosdeben ser suprimidos o sustituidos o en su caso completados por elresponsable de la base de datos cuando se tenga conocimiento de lainexactitud o carácter incompleto de la información.”


6.e. Verifica la utilidad de los datos en forma periódica

Se deberá verificar la existencia de mecanismos a fin de mantener lautilidad de los datos almacenados acordes con la finalidad deltratamiento. Cuanto menos, se debería verificar la utilidad del datouna vez al año al momento de renovar la inscripción en el RegistroNacional de Bases de Datos.

Se deberá establecer un procedimiento de destrucción de los datos quehan perdido su utilidad, sea en los sistemas como en soporte papel ocualquier otro dispositivo técnico de almacenamiento (cintas de backup,discos, etc.).

Cita Normativa (Ley Nº 25.326) “ARTICULO 4°.- (Calidad de los datos). …7. Los datos deben serdestruidos cuando hayan dejado de ser necesarios o pertinentes a losfines para los cuales hubiesen sido recolectados.”

7. RECOLECCION DE LOS DATOS (artículos 5° y 6° de la Ley N° 25.326)

Se verificará la licitud de la recolección de datos que realiza elresponsable, particularmente se verificará en los formularios derecolección el cumplimiento del derecho de información al titular deldato que dispone el artículo 6° de la Ley N° 25.326 y la DisposiciónDNPDP Nº 10/2008.

Cita Normativa (Ley Nº 25.326 )“ARTICULO 5°.- (Consentimiento). 1. El tratamiento de datos personales es ilícito cuando el titular nohubiere prestado su consentimiento libre, expreso e informado, el quedeberá constar por escrito, o por otro medio que permita se leequipare, de acuerdo con las circunstancias. El referido consentimiento prestado con otras declaraciones deberáfigurar en forma expresa y destacada, previa notificación al requeridode datos, de la información descrita en el artículo 6° de la presenteley. 2. No será necesario el consentimiento cuando: a) Los datos se obtengan de fuentes de acceso público irrestricto; b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; c) Se trate de listados cuyos datos se limiten a nombre, documentonacional de identidad, identificación tributaria o previsional,ocupación, fecha de nacimiento y domicilio; d) Deriven de una relación contractual, científica o profesional deltitular de los datos, y resulten necesarios para su desarrollo ocumplimiento; e) Se trate de las operaciones que realicen las entidades financieras yde las informaciones que reciban de sus clientes conforme lasdisposiciones del artículo 39 de la Ley 21.526.” “ARTICULO 6°.- (Información). Cuando se recaben datos personales sedeberá informar previamente a sus titulares en forma expresa y clara: a) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios; b) La existencia del archivo, registro, banco de datos, electrónico ode cualquier otro tipo, de que se trate y la identidad y domicilio desu responsable; c) El carácter obligatorio o facultativo de las respuestas alcuestionario que se le proponga, en especial en cuanto a los datosreferidos en el artículo siguiente; d) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos; e) La posibilidad del interesado de ejercer los derechos de acceso,rectificación y supresión de los datos. Se verificará si se informa altitular del dato en forma expresa y clara, la finalidad para la queserán tratados y quiénes pueden ser sus destinatarios.”




7.a. Verifica el origen de los datos (fuentes) y su licitud.

Debe determinarse si el responsable obtiene los datos de fuente lícita(ej.: formularios suscriptos por el mismo titular del dato —personal oclientes—, o fuente de acceso público irrestricto como ser la AFIP—proveedores—).

7.b. Recolecta los datos conforme requisitos de la ley (artículos 5°, 6°, 26 y 27 de la Ley Nº 25.326)

Verificar si pide el consentimiento del titular del dato (en caso deser exigible) y respeta la finalidad que motivó su recolección inicial(en caso de datos obtenidos por cesión de terceros).

7.c. Cumple en brindar el derecho de información al titular del dato (artículo 6° de la Ley Nº 25.326)

Verificar si los formularios de recolección cumplen con lo dispuestopor el artículo 6° de la Ley Nº 25.326 y la Disposición DNPDP N°10/2008.

7.d. Recaba el consentimiento del titular del dato (de ser exigible).

En caso de ser exigible, verificar la existencia del consentimiento por escrito, o medio que lo equipare, del titular del dato.

8. CESION DE DATOS (artículo 11 de la Ley N° 25.326)

Se verificará si el responsable realiza cesión de datos personales en los términos del artículo 11 de la Ley Nº 25.326.

Cita Normativa (Ley Nº 25.326) “ARTICULO 11.- (Cesión). 1. Los datos personales objeto de tratamientosólo pueden ser cedidos para el cumplimiento de los fines directamenterelacionados con el interés legítimo del cedente y del cesionario y conel previo consentimiento del titular de los datos, al que se le debeinformar sobre la finalidad de la cesión e identificar al cesionario olos elementos que permitan hacerlo. 2. El consentimiento para la cesiónes revocable. 3. El consentimiento no es exigido cuando: a) Así lodisponga una ley; b) En los supuestos previstos en el artículo 5°,inciso 2; c) Se realice entre dependencias de los órganos del Estado enforma directa, en la medida del cumplimiento de sus respectivascompetencias; d) Se trate de datos personales relativos a la salud, ysea necesario por razones de salud pública, de emergencia o para larealización de estudios epidemiológicos, en tanto se preserve laidentidad de los titulares de los datos mediante mecanismos dedisociación adecuados; e) Se hubiera aplicado un procedimiento dedisociación de la información, de modo que los titulares de los datossean inidentificables. 4. El cesionario quedará sujeto a las mismasobligaciones legales y reglamentarias del cedente y éste responderásolidaria y conjuntamente por la observancia de las mismas ante elorganismo de control y el titular de los datos de que se trate.”


8.a. Determina los destinatarios de cesiones actuales o eventuales

Se deberá verificar si el responsable tiene prevista la cesión de datospersonales a actuales o eventuales cesionarios indicando los elementosque permitan identificarlos.

8.b. Posee el consentimiento previo del titular del dato (de ser exigible)

En caso de ser exigible, se deberá verificar la existencia delconsentimiento expreso previo informado, por escrito o medio que loequipare, para la cesión prevista.

9. CONFIDENCIALIDAD (artículo 10 de la Ley N° 25.326)

Se deberá verificar si el inspeccionado posee convenios deconfidencialidad firmados por los empleados, usuarios o terceros queaccedan a la información registrada en la base de datos.

Cita Normativa (Ley Nº 25.326) “ARTICULO 10.- (Deber de confidencialidad). 1. El responsable y laspersonas que intervengan en cualquier fase del tratamiento de datospersonales están obligados al secreto profesional respecto de losmismos. Tal obligación subsistirá aún después de finalizada su relacióncon el titular del archivo de datos. 2. El obligado podrá ser relevadodel deber de secreto por resolución judicial y cuando medien razonesfundadas relativas a la seguridad pública, la defensa nacional o lasalud pública.”

10. MEDIDAS DE SEGURIDAD (artículo 9° de la Ley Nº 25.326 y Disposición DNPDP Nº 11/06)

Se verificará la correcta implementación de las medidas de seguridaddispuestas por el artículo 9º de la Ley Nº 25.326 y la DisposiciónDNPDP Nº 11/2006. Se comprobará la existencia de las medidas deseguridad en los sistemas, la red interna, puestos de acceso yservidores (centro de cómputos). En momento alguno el equipo deinspección ingresará a los sistemas, sino que solicitará al responsableque exhiba la existencia de dichas medidas.

Cita Normativa (Ley Nº 25.326) “ARTICULO 9°.- (Seguridad de los datos). 1. El responsable o usuariodel archivo de datos debe adoptar las medidas técnicas y organizativasque resulten necesarias para garantizar la seguridad y confidencialidadde los datos personales, de modo de evitar su adulteración, pérdida,consulta o tratamiento no autorizado, y que permitan detectardesviaciones, intencionales o no, de información, ya sea que losriesgos provengan de la acción humana o del medio técnico utilizado. 2.Queda prohibido registrar datos personales en archivos, registros obancos que no reúnan condiciones técnicas de integridad y seguridad.”

La Disposición DNPDP Nº 11/06 establece TRES (3) niveles de seguridad:BASICO, MEDIO y CRITICO. Para cada uno de los niveles mencionados sehan previsto distintas medidas de seguridad que el responsable debeaplicar a sus bancos de datos según el nivel en que califiquen.

10.a. NIVEL BASICO

10.a.1. Posee documento de seguridad.

Se verificará si posee documento de seguridad, que puede consistir enun manual integral o un conjunto de normas que cumpla con losrequisitos de la Disposición DNPDP Nº 11/06 (Ver modelo de manual en laDisposición DNPDP Nº 9/08).

10.a.2. Asigna funciones y obligaciones del personal respecto al tratamiento de datos personales.

Verificar si se ha diseñado y otorgado funciones, niveles de acceso yprocedimientos del personal respecto del tratamiento de los datos, loque incluye la firma de compromisos de confidencialidad (artículo 10 dela Ley Nº 25.326).

10.a.3. Documenta sus bancos de datos y los sistemas de información que los almacenan.

Controlar que se encuentren documentadas las distintas bases de datosde titularidad del responsable, y los sistemas de información queutiliza para su tratamiento (ej.: base de datos del personal, clientes,proveedores, agenda).

10.a.4. Establece medidas de control de calidad de la información a incorporar al Banco de Datos.

Debe preverse la instrucción del personal y/o diseñarse sistemas oprocedimientos de control para garantizar que la información aincorporar sea correcta y congruente (ej.: datos numéricos en camposnuméricos, no números en campos destinados a nombres, etc.).

10.a.5. Registra y prevé medidas ante incidentes de seguridad.

Debe verificarse la existencia de un registro de incidentes deseguridad y las medidas adoptadas para su solución y evitarreincidencias.

10.a.6. Realiza copias de resguardo de la información periódicas.

Debe preverse la realización de copias de resguardo de la información(“backups”) en forma periódica y depositarse en lugar seguro.

10.a.7. Mantiene un control actualizado de los usuarios del sistema autorizados mediante claves.

Debe existir una política de actualización de los usuarios.

10.a.8. Gestiona adecuadamente las claves y las renueva periódicamente.

Debe existir una política de contraseñas por medio de la cual seobligue a los usuarios a renovar sus claves y registrar las mismas enlugar seguro.

10.a.9. Prevé medidas para proteger la información de equipos desatendidos.

Cuando el usuario desatienda el equipo durante un tiempo prudencial se debe requerir el reingreso de clave.

10.a.10. Establece protección permanente y actualizada contra accesos no autorizados, virus y software malicioso.

Debe preverse la actualización de dichas medidas de protección.

10.a.11. Prevé medidas técnicas para el correcto funcionamiento de losequipos (instalación, temperatura ambiente) o evitar su daño porelementos externos como el fuego, etc.

En caso de nivel medio, debe verificarse la existencia de lassiguientes medidas sobre el centro de cómputos: Area Segura: Evitaracceso físico no autorizado. Perímetro de Seguridad: Paredes y Puertade Acceso controladas. Protección Física: Area ignífuga, matafuegos,inundaciones, explosiones. Protección de Energía: Falla eléctrica, upso generadores que mantengan el suministro eléctrico para proteger lasbases de datos, temperatura ambiente.

10.a.12. Posee política de gestión de soportes de datos personales,sean en papel o cualquier otro dispositivo técnico (inventario;almacenamiento; procedimientos en caso de extracción, salidas odestrucción por desuso).

Debe preverse un registro y procedimiento respecto de los soportes deresguardo de la información (ej.: CDs), identificándolos ydepositándolos en lugar seguro. Verificar, asimismo, la existencia deun procedimiento de destrucción seguro de dichos soportes previo a sudescarte.

10.b. NIVEL MEDIO

Permita establecer el perfil de personalidad o conductas determinadasde las persona o resulte afectada por secreto legal específico oempresas privadas de servicios públicos.

10.b.1. Designa responsable de Seguridad.

Deberá existir un responsable de la Seguridad de Información.

10.b.2. Incorpora el control de medidas de seguridad de datos personales en sus procesos de auditoría.

Se deberá incorporar en los procedimientos de las auditorías el controlde las medidas de seguridad para la protección de los datos personales.

10.b.3. Impide la reiteración de intento de acceso no autorizado al sistema de Información.

Debe preverse que ante la reiteración de intentos fallidos de acceso se bloquee al usuario.

10.b.4. Prevé medidas físicas para evitar el acceso indebido a la zonadel centro de cómputos y depósito de soportes de almacenamiento deinformación.

Debe verificarse la existencia de medidas de seguridad para controlar y registrar el acceso a dichos ámbitos.

10.b.5. Posee procedimiento de recuperación de la información derespaldo y tratamiento de la misma en caso de contingencia que ponga nooperativo el o los equipos de procesamiento habituales.

Deben preverse mecanismos de recuperación de la información de respaldo(“backups”) en los casos de caídas del sistema y un plan decontingencia.

10.b.6. Toma medidas de protección de los datos personales cuando son transmitidos por redes internas o externas a la empresa.

Debe verificarse la existencia de medidas de seguridad adecuadas parala protección de la información al momento de ser transmitida por redesinternas y/o externas.

10.b.7. En caso de incidentes de seguridad de la información, autorizae identifica la persona que recuperó y/o modificó dicho datos.

Debe preverse la registración de las personas que realicen tareas derecuperación de la información, identificando las tareas desarrolladaspor las mismas.

10.b.8. Las pruebas de funcionamiento de los sistemas de información se realizan en paralelo al sistema real.

En los casos que se realicen pruebas de funcionamiento de los sistemasde información y/o modificación de los existentes, debe realizarse enparalelo y protegiendo la confidencialidad de la información.

10.c. NIVEL CRITICO

Contenga “datos sensibles” cuyo tratamiento no sea obligatorio o parafines meramente administrativos (ej.: Administración del personal).

10.c.1. Distribución de Soportes: Encripta los datos cuando setrasladen en soportes o se realicen copias de resguardo de lainformación.

10.c.2. Lleva registro de acceso al sistema de los operadores yadministrador (log, usuario, fecha, hora, autorizado, denegado, tipo deoperación realizada).

10.c.3. Deposita copias de seguridad del sistema fuera de lalocalización habitual, en caja ignífuga y a prueba de gases o bien enuna caja de seguridad bancaria, situadas a una distancia prudencial.

10.c.4. Encripta los datos de carácter personal que se trasmiten a través de redes de comunicación.

11. ACTIVIDADES DE PUBLICIDAD DIRECTA (artículo 27 de la Ley Nº 25.326)

Cita Normativa (Ley Nº 25.326): “ARTICULO 27.- (Archivos, registros o bancos de datos con fines depublicidad). 1. En la recopilación de domicilios, reparto dedocumentos, publicidad o venta directa y otras actividades análogas, sepodrán tratar datos que sean aptos para establecer perfilesdeterminados con fines promocionales, comerciales o publicitarios; opermitan establecer hábitos de consumo, cuando éstos figuren endocumentos accesibles al público o hayan sido facilitados por lospropios titulares u obtenidos con su consentimiento. 2. En lossupuestos contemplados en el presente artículo, el titular de los datospodrá ejercer el derecho de acceso sin cargo alguno. 3. El titularpodrá en cualquier momento solicitar el retiro o bloqueo de su nombrede los bancos de datos a los que se refiere el presente artículo.” “Decreto N° 1558/2001: ARTICULO 27.- Podrán recopilarse, tratarse ycederse datos con fines de publicidad sin consentimiento de su titular,cuando estén destinados a la formación de perfiles determinados, quecategoricen preferencias y comportamientos similares de las personas,siempre que los titulares de los datos sólo se identifiquen por supertenencia a tales grupos genéricos, con más los datos individualesestrictamente necesarios para formular la oferta a los destinatarios.…En toda comunicación con fines de publicidad que se realice porcorreo, teléfono, correo electrónico, Internet u otro medio a distanciaa conocer, se deberá indicar, en forma expresa y destacada, laposibilidad del titular del dato de solicitar el retiro o bloqueo,total o parcial, de su nombre de la base de datos. A pedido delinteresado, se deberá informar el nombre del responsable o usuario delbanco de datos que proveyó la información.”


11.a. Utiliza sólo las categorías autorizadas (inciso 1. Artículo 27 de la Ley Nº 25.326 y Decreto)

Se deberá verificar que sólo utilizan datos aptos para establecer perfiles publicitarios y realizar la oferta prevista.

11.b. Recaba los datos de fuentes legítimas (inciso 1. Artículo 27 de la Ley Nº 25.326 y Decreto)

Verificar el origen y/o forma de recolección de los datos destinados apublicidad directa, particularmente que se hayan recolectado para dichafinalidad, brindando la adecuada información al titular del dato adicho momento.

11.c. Respeta derecho de acceso del titular del dato (inciso 2. Artículo 27 de la Ley Nº 25.326 y Decreto).

Verificar que prevean y otorguen derecho de acceso al titular del datosin cargo alguno, cumpliendo al momento de su recolección con laDisposición DNPDP Nº 10/2008.

11.d. Respeta derecho de retiro o bloqueo del titular del dato (inciso 3. Artículo 27 de la Ley Nº 25.326 y Decreto)Verificar si prevé mecanismos eficaces para el ejercicio del derecho deretiro o bloqueo del titular del dato, y si cumple al momento del envíodel mensaje de publicidad con las Disposiciones DNPDP Nros. 10/08 y4/09.

Disposición DNPDP Nº 10/08 — “El titular de los datos personales tiene la facultad de ejercer elderecho de acceso a los mismos en forma gratuita a intervalos noinferiores a seis meses, salvo que se acredite un interés legítimo alefecto conforme lo establecido en el artículo 14, inciso 3 .de la LeyNº 25.326.”— “La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, Organo deControl de la Ley Nº 25.326, tiene la atribución de atender lasdenuncias y reclamos que se interpongan con relación al incumplimientode las normas sobre protección de datos personales.”Disposición DNPDP Nº 4/09 — “Un aviso que informe al titular del dato sobre los derechos deretiro o bloqueo total o parcial, de su nombre de la base de datos, elmecanismo que se ha previsto para su ejercicio, con más latranscripción del artículo 27, inciso 3, de la Ley Nº 25.326 y elpárrafo tercero del artículo 27 del Anexo I del Decreto Nº 1558/01.” — “Establécese que cuando se efectúen envíos de comunicaciones depublicidad directa no requeridas o consentidas previamente por eltitular del dato personal, deberá advertirse en forma destacada que setrata de una publicidad. En caso de realizarse dicha comunicación através de un correo electrónico deberá insertarse en su encabezado eltérmino único ‘publicidad’.”


12. TRANSFERENCIA INTERNACIONAL (artículo 12 de la Ley N° 25.326)

Deberá verificarse si el inspeccionado realiza transferencias de datosa terceros países. Si los países destinatarios poseen legislaciónadecuada bastará con indicar en SI y aclarar dicha circunstancia en elcampo Observaciones. En caso que el país destinatario no tengalegislación adecuada será exigible un contrato de transferenciainternacional o el consentimiento del titular del dato, lo que seconsulta en los puntos siguientes.

Cita Normativa (Ley Nº 25.326) “ARTICULO 12.- (Transferencia internacional). 1. Es prohibida latransferencia de datos personales de cualquier tipo con países uorganismos internacionales o supranacionales que no proporcionenniveles de protección adecuados.”

12.a. La realiza mediante contrato de transferencia Internacional

En caso que alguno de los países destinatarios de la transferenciainternacional no posea legislación adecuada, debe verificarse si lamisma se realiza mediante contrato de transferencia internacional quetraspole adecuadamente la Ley Nº 25.326 y obligue a su cumplimiento atodas las partes intervinientes. En caso que dicho contrato seencuentre aprobado por la DNPDP, debe consignarse dicha circunstancia.

12.b. La realiza mediante consentimiento del titular del dato

En caso que alguno de los países destinatarios de la transferenciainternacional no posea legislación adecuada, debe verificarse si lamisma se realiza con el previo consentimiento del titular del dato.

13. TRATAMIENTO DE DATOS POR CUENTA DE TERCEROS (artículo 25 de la Ley Nº 25.326)

Verificar si el responsable del banco de datos contrata el servicio detratamiento de sus datos con terceras personas, sea para almacenamientoo procesamiento, total o parcial.

Cita Normativa (Ley Nº 25.326). “ARTICULO 25.- (Prestación de servicios informatizados de datospersonales). 1. Cuando por cuenta de terceros se presten servicios detratamiento de datos personales, éstos no podrán aplicarse o utilizarsecon un fin distinto al que figure en el contrato de servicios, nicederlos a otras personas, ni aun para su conservación. 2. Una vezcumplida la prestación contractual los datos personales tratadosdeberán ser destruidos, salvo que medie autorización expresa de aquelpor cuenta de quien se prestan tales servicios cuando razonablemente sepresuma la posibilidad de ulteriores encargos, en cuyo caso se podráalmacenar con las debidas condiciones de seguridad por un período dehasta dos años.”


13.a. Posee contrato de servicios de tratamiento por parte de terceros

En caso de contratar el tratamiento de sus datos por terceros, severificará si posee un contrato que contenga los requisitos delartículo 25 de la Ley Nº 25.326 y el Decreto Nº 1558/2001: a) Cláusulasque dispongan el tratamiento bajo exclusivas instrucciones impartidaspor el responsable; b) Medidas de seguridad y confidencialidad acordescon los artículos 9° y 10 de la Ley Nº 25.326 y Disposición DNPDP Nº11/06; c)  Finalidad exclusiva del tratamiento a las previstascontractualmente; d) Prohibición de cesión a terceros no previstacontractualmente, ni aun para su conservación; e) Destrucción de losdatos una vez finalizado el contrato, salvo autorización paraconservarlos hasta DOS (2) años después de finalizado en caso depreverse nuevas contrataciones. Se verifica a continuación elcumplimiento de dichos requisitos.

13.b. Determina la finalidad de tratamientoVerificar que se determine contractualmente la finalidad del tratamiento de datos personales.

13.c. Determina medidas de seguridad y confidencialidad

Verificar que existan cláusulas de seguridad y confidencialidad acordes con la normativa aplicable.

13.d. Determina el plazo de conservación de los datos

Verificar que el contrato tenga previsto la destrucción y/o devoluciónde los datos en poder del prestador del servicio una vez finalizado elmismo.

14. DERECHOS DEL TITULAR DEL DATO (artículos 14, 15 y 16 de la Ley Nº 25.326)

14.a. Establece procedimientos y plazos de ley para el derecho de acceso

Se debe verificar la existencia de un procedimiento que contenga lossiguientes puntos: 1. Designación de personal a cargo capacitado pararecepcionar el pedido del titular del dato. 2. Verificación de laidentidad del titular del dato solicitante (D.N.I.). 3. Registro de lasolicitud. 4. Procedimiento para la elaboración de la respuesta. 5.Registro de la respuesta y su entrega al solicitante. 6. Plazo previstopara cumplir con el pedido.

Cita Normativa (Ley Nº 25.326). “ARTICULO 14.- (Derecho de acceso). 1. El titular de los datos, previaacreditación de su identidad, tiene derecho a solicitar y obtenerinformación de sus datos personales incluidos en los bancos de datospúblicos, o privados destinados a proveer informes. 2. El responsable ousuario debe proporcionar la información solicitada dentro de los diezdías corridos de haber sido intimado fehacientemente. Vencido el plazosin que se satisfaga el pedido, o si evacuado el informe, éste seestimara insuficiente, quedará expedita la acción de protección de losdatos personales o de hábeas data prevista en esta ley. 3. El derechode acceso a que se refiere este artículo sólo puede ser ejercido enforma gratuita a intervalos no inferiores a seis meses, salvo que seacredite un interés legítimo al efecto. 4. El ejercicio del derecho alcual se refiere este artículo en el caso de datos de personasfallecidas le corresponderá a sus sucesores universales.” “ARTICULO 15.- (Contenido de la información). 1. La información debeser suministrada en forma clara, exenta de codificaciones y en su casoacompañada de una explicación, en lenguaje accesible al conocimientomedio de la población, de los términos que se utilicen. 2. Lainformación debe ser amplia y versar sobre la totalidad del registroperteneciente al titular, aun cuando el requerimiento sólo comprenda unaspecto de los datos personales. En ningún caso el informe podrárevelar datos pertenecientes a terceros, aun cuando se vinculen con elinteresado. 3. La información, a opción del titular, podrásuministrarse por escrito, por medios electrónicos, telefónicos, deimagen, u otro idóneo a tal fin.”

14.b. Establece procedimientos y plazos de ley para el derecho de rectificación

A los fines de verificar el cumplimiento por parte del responsable delos derechos de rectificación, supresión y/o confidencialidad deltitular del dato, se debe verificar la existencia de un procedimientoque contenga los siguientes puntos: 1. Designación de personal a cargocapacitado para recepcionar el pedido del titular del dato. 2.Verificación de la identidad del titular del dato solicitante (D.N.I.).3. Registro de la solicitud. 4. Procedimiento para la elaboración de larespuesta. 5. Registro de la respuesta y su entrega al solicitante. 6.Plazo previsto para cumplir con el pedido.

Cita Normativa (Ley Nº 25.326). “ARTICULO 16.- (Derecho de rectificación, actualización o supresión).1. Toda persona tiene derecho a que sean rectificados, actualizados y,cuando corresponda, suprimidos o sometidos a confidencialidad los datospersonales de los que sea titular, que estén incluidos en un banco dedatos. 2. El responsable o usuario del banco de datos, debe proceder ala rectificación, supresión o actualización de los datos personales delafectado, realizando las operaciones necesarias a tal fin en el plazomáximo de cinco días hábiles de recibido el reclamo del titular de losdatos o advertido el error o falsedad. 3. El incumplimiento de estaobligación dentro del término acordado en el inciso precedente,habilitará al interesado a promover sin más la acción de protección delos datos personales o de hábeas data prevista en la presente ley. 4.En el supuesto de cesión, o transferencia de datos, el responsable ousuario del banco de datos debe notificar la rectificación o supresiónal cesionario dentro del quinto día hábil de efectuado el tratamientodel dato. 5. La supresión no procede cuando pudiese causar perjuicios aderechos o intereses legítimos de terceros, o cuando existiera unaobligación legal de conservar los datos. 6. Durante el proceso deverificación y rectificación del error o falsedad de la información quese trate, el responsable o usuario del banco de datos deberá o bienbloquear el archivo, o consignar al proveer información relativa almismo la circunstancia de que se encuentra sometida a revisión. 7. Losdatos personales deben ser conservados durante los plazos previstos enlas disposiciones aplicables o en su caso, en las contractuales entreel responsable o usuario del banco de datos y el titular de los datos.”

15. CAPACITACION

Debe verificarse el compromiso del responsable para con la capacitaciónde las distintas áreas que participan en el tratamiento de datospersonales, como ser los estudios, cursos de actualización, divulgacióninterna, confección de manuales e instructivos, capacitación delpersonal, etc.

Actividades desarrolladasGeneral EmpresaSistemasAtención PúblicoRRHHEstudios vinculados a la protección de datos personales

Cursos de actualización

Divulgación Interna

Confección de manuales e instructivos

Capacitación del personal



16. ACATAMIENTO DE LAS DISPOSICIONES DE LA DNPDP

Se verificará el cumplimiento por parte del responsable de  lasdistintas disposiciones de la DIRECCION NACIONAL DE PROTECCION DE DATOSPERSONALES.

16.a. Constata correcto acatamiento Disposiciones de la DNPDP

Se indicará el correcto acatamiento del responsable de lasDisposiciones que con carácter general ha dispuesto la DIRECCIONNACIONAL DE PROTECCION DE DATOS PERSONALES y que sean aplicables a laactividad del inspeccionado.

16.b. Verifica acatamiento de disposiciones particulares acaecidas ensumarios tramitados ante la DNPDP en los que el responsable de la basede datos haya sido parte.

Se verificará el acatamiento del responsable de  las disposicionesparticulares que con motivo de algún sumario, inspección o cualquierotro trámite administrativo, le haya formulado la DIRECCION NACIONAL DEPROTECCION DE DATOS PERSONALES.

C. CASOS ESPECIALES

17. ESTABLECIMIENTOS SANITARIOS Y MEDICOS (artículos 7° y 8° de la Ley Nº 25.326)

Toma medidas que garanticen el secreto profesional

Se verificará que el responsable tome medidas que garanticen el secretoprofesional, firmando los convenios de confidencialidad necesarios, enparticular con el personal administrativo y auxiliar que tomeconocimiento de datos afectados por dicho secreto, y prohibiendo elacceso a personas no autorizadas por la normativa específica.

Cita Normativa (Ley Nº 25.326): “ARTICULO 8°.- (Datos relativos a la salud). Los establecimientossanitarios públicos o privados y los profesionales vinculados a laciencia de la salud puede recolectar y tratar los datos personalesrelativos a la salud física y mental de los pacientes respetando losprincipios del secreto profesional. Secreto Profesional: arts. 11 y 19, inc. 3º, Ley Nº 17.132, y Código de Etica de la Confederación Médica Argentina de 1955).”


18. INVESTIGACIONES CLINICAS, FARMACOLOGICAS Y FARMACOGENETICAS (artículos 7° y 8° de la Ley Nº 25.326)

Utiliza modelos de consentimiento informado aprobado por la DNPDP

Se verificará si el responsable ha realizado el trámite de homologación del consentimiento informado ante la DNPDP.

19. EMPRESAS DE INFORMES CREDITICIOS (artículo 26 de la Ley Nº 25.326)

19.a. Utiliza sólo las categorías autorizadas (incisos 1. y 2. artículo 26 de la Ley Nº 25.326)

Para los casos de responsables que realizan tratamientos de datos parala finalidad de brindar informes crediticios a terceros, debeverificarse que sólo traten datos de la categoría admitida por elartículo 26 de la Ley Nº 25.326, incisos 1. y 2.: Datos de carácterpatrimonial relativos a la solvencia y el crédito y al cumplimiento deobligaciones patrimoniales.

Cita Normativa (Ley Nº 25.326): “ARTICULO 26.- (Prestación de servicios de información crediticia). 1.En la prestación de servicios de información crediticia sólo puedentratarse datos personales de carácter patrimonial relativos a lasolvencia económica y al crédito, obtenidos de fuentes accesibles alpúblico o procedentes de informaciones facilitadas por el interesado ocon su consentimiento. 2. Pueden tratarse igualmente datos personalesrelativos al cumplimiento o incumplimiento de obligaciones de contenidopatrimonial, facilitados por el acreedor o por quien actúe por sucuenta o interés.”

19.b. Recaba los datos de fuentes legítimas (incisos 1. y 2. artículo 26 de la Ley Nº 25.326)

Debe verificarse que los datos se recolecten de fuentes autorizadas porla ley (incisos 1. y 2. de la Ley Nº 25.326), esto es, de fuentes deacceso público o facilitados por el acreedor.

Cita Normativa (Ley Nº 25.326): “ARTICULO 26.- (Prestación de servicios de información crediticia). 1.En la prestación de servicios de información crediticia sólo puedentratarse datos personales de carácter patrimonial relativos a lasolvencia económica y al crédito, obtenidos de fuentes accesibles alpúblico o procedentes de informaciones facilitadas por el interesado ocon su consentimiento. 2. Pueden tratarse igualmente datos personalesrelativos al cumplimiento o incumplimiento de obligaciones de contenidopatrimonial, facilitados por el acreedor o por quien actúe por sucuenta o interés.”

19.c. Respeta derecho de acceso del titular del dato (inciso 3. artículo 26 de la Ley Nº 25.326)

Verificar si se respeta el derecho de acceso a la información deltitular del dato, indicándole de los últimos SEIS (6) meses lainformación transmitida y sus destinatarios (nombre y domicilio), enforma gratuita.

Cita Normativa (Ley Nº 25.326): “ARTICULO 26.- (Prestación de servicios de información crediticia) …3.A solicitud del titular de los datos, el responsable o usuario delbanco de datos, le comunicará las informaciones, evaluaciones yapreciaciones que sobre el mismo hayan sido comunicadas durante losúltimos seis meses y el nombre y domicilio del cesionario en elsupuesto de tratarse de datos obtenidos por cesión.”

19.d. Aplica los plazos de caducidad del dato (inciso 4. artículo 26 de la Ley Nº 25.326)

Verificar la aplicación a sus informes de los plazos de caducidad deldato crediticio, aplicando el derecho al olvido en los términos delartículo 26, inciso 4., de la Ley Nº 25.326.

Cita Normativa (Ley Nº 25.326): “ARTICULO 26.- (Prestación de servicios de información crediticia) …4.Sólo se podrán archivar, registrar o ceder los datos personales quesean significativos para evaluar la solvencia económico-financiera delos afectados durante los últimos cinco años. Dicho plazo se reducirá ados años cuando el deudor cancele o de otro modo extinga la obligación,debiéndose hacer constar dicho hecho.”

19.e. Controla existencia de interés legítimo del cesionario (inciso 5)

Debe controlarse si al momento de ceder informes a terceros, elresponsable instrumenta las medidas necesarias para verificar laexistencia del interés legitimo del cesionario.

Cita Normativa (Ley Nº 25.326): “ARTICULO 26.- (Prestación de servicios de información crediticia) …5.La prestación de servicios de información crediticia no requerirá elprevio consentimiento del titular de los datos a los efectos de sucesión, ni la ulterior comunicación de ésta, cuando estén relacionadoscon el giro de las actividades comerciales o crediticias de loscesionarios.”