Disposición 18/2015

Texto Original

MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS

DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES

Disposición 18/2015

Bs. As., 10/4/2015

VISTO el Expediente N° S04:0005938/2015 del registro de este Ministerioy las competencias atribuidas a esta Dirección Nacional por la Ley N°25.326 y su Decreto reglamentario N° 1558 del 29 de noviembre de 2001, y

CONSIDERANDO:

Que entre las atribuciones asignadas a esta Dirección Nacional seencuentra la de dictar las normas reglamentarias que se deben observaren el desarrollo de las actividades comprendidas por la Ley N° 25.326.

Que también es facultad de este Organismo, la asistencia y asesoramiento acerca de los alcances de la Ley N° 25.326.

Que es una obligación ineludible de esta Dependencia en su carácter deAutoridad de Aplicación de la citada Ley, velar por el cumplimiento delos principios y obligaciones que la misma impone, como así también porel efectivo goce de los derechos que le otorga a los titulares de losdatos personales.

Que una gran parte de los tratamientos de datos personales se llevan acabo mediante aplicaciones o programas de software, en muchos casos demanera automática o con escasa supervisión de una persona.

Que estos tratamientos de datos personales, automatizados o no, debenser diseñados y desarrollados de manera tal que se respeten losprincipios y obligaciones legales, debiendo contemplarse debidamente elresguardo de la privacidad de los titulares de la información personaltratada.

Que como consecuencia de acciones del Gobierno Nacional se ha producidoun importante crecimiento en el sector productor de software de laREPÚBLICA ARGENTINA.

Que este crecimiento exponencial ha convertido al País en el primer exportador de software de América Latina.

Que por ello, se estima pertinente aprobar una “GUIA DE BUENASPRACTICAS EN PRIVACIDAD PARA EL DESARROLLO DE APLICACIONES”, como undocumento orientativo que establezca pautas de conducta con relación ala protección de los datos personales y en particular a la aplicaciónde políticas de privacidad en el campo del desarrollo de aplicaciones.

Que mediante ese documento se apunta a brindar las herramientasnecesarias para facilitar que todos los actores involucrados en eldesarrollo de aplicaciones contemplen la protección de datos personalescomo un aspecto fundamental en el diseño de los programas de software.

Que la aplicación de las recomendaciones aquí aprobadas no sóloredundará en el cumplimiento formal de un régimen legal, sino que severá reflejado como un valor agregado a la producción de software localy, en última instancia, en una mejor protección de los datos y laprivacidad de las personas.

Que ha tomado la intervención que le compete la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de este Ministerio.

Que la presente medida se dicta en uso de las facultades conferidas porlos artículos 29, inciso 1, apartados b) de la Ley N° 25.326 y 29,inciso 5, apartados a) y e) del Anexo I del Decreto N° 1558/01.

Por ello,

EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES

DISPONE:

ARTÍCULO 1° — Apruébase el documento “GUIA DE BUENAS PRACTICAS ENPRIVACIDAD PARA EL DESARROLLO DE APLICACIONES”, que como ANEXO I formaparte del presente, como un instrumento orientativo en materia dereglas de privacidad y protección de datos personales en el ámbito deldesarrollo de aplicaciones.

ARTÍCULO 2° — Comuníquese, publíquese, dése a la Dirección Nacional delRegistro Oficial y archívese. — Dr. JUAN CRUZ GONZALEZ ALLONCA,Director Nacional de Protección de Datos Personales, Ministerio deJusticia y Derechos Humanos.

ANEXO I

GUIA DE BUENAS PRACTICAS EN PRIVACIDAD PARA EL DESARROLLO DE APLICACIONES

1) INTRODUCCION

Las aplicaciones, como programas de software, tienen la capacidad derecabar, usar y transferir información de carácter personal.

Esta información se encuentra protegida por la Ley N° 25.326 (Ley deProtección de Datos Personales - LPDP), que establece ciertosprincipios y obligaciones que tiene que cumplir cualquier tratamientode datos.

Esta Ley define al dato personal como cualquier información que puedareferirse a una persona determinada o determinable, así que desde elnombre y apellido hasta una imagen o una grabación de voz, cuando puedareconocerse a una persona, es un dato protegido.

El principio más importante que establece la Ley es que el dato, sinimportar dónde se encuentre almacenado o cómo se esté utilizando, essiempre de propiedad de su titular, el que tiene el derecho a controlarlos usos que se le da a su información personal.

Como desarrollador de aplicaciones, tenés la responsabilidad de velarpor la privacidad de los datos personales que tus desarrollos utilicen.Debes tener en cuenta cómo tus programas protegerán la privacidad desdeel inicio mismo del desarrollo, teniendo una política de uso de losdatos clara, transparente, que les permita a los titulares de datosconocer cómo es el tratamiento de datos que tus programas realizan.

La Dirección Nacional de Protección de Datos Personales (DNPDP) es laAutoridad de Aplicación de la LPDP, y desde nuestras funciones decontrol de cumplimiento de la Ley, apuntamos a instalar una cultura deprotección de los datos personales.

Mediante esta Guía intentamos brindarte las herramientas necesariaspara que se te facilite contemplar la protección de datos personales entus desarrollos de software, para que puedas, al mismo tiempo, cumplircon la Ley y generar en tus clientes, usuarios y en los titulares delos datos, confianza en que tus productos respetan la privacidad.

2) PRINCIPIOS DE PRIVACIDAD

a. Consentimiento del titular de los datos

El consentimiento del titular para el uso de su información personal esla única manera en la que el tratamiento de datos sea lícito, salvo quese trate de alguna excepción prevista por la Ley. El consentimientoimplica una decisión informada por parte del titular permitiendo el usode sus datos.

Recaba el consentimiento de los titulares, y al mismo tiempo infórmalesque estarás recabando su información y los usos que le darás.

b. Finalidad

Los datos que tus aplicaciones recolecten sólo pueden ser utilizadosconforme a la finalidad que originó la recolección. Si la aplicaciónque desarrollas está destinada a la gestión contable de un comercio, lainformación personal que se recabe puede utilizarse para llevar lacontabilidad, liquidar impuestos, llevar inventarios y todas lasfinalidades compatibles a una gestión contable, pero no podríautilizarse para llevar adelante una campaña publicitaria, porque seestaría cambiando la finalidad del tratamiento.

c. Calidad de los datos

Los datos personales que tus aplicaciones recaben y almacenen deben serciertos, adecuados, pertinentes y no excesivos en relación a lafinalidad que motivaron su recolección.

No pueden ser obtenidos por medios desleales o fraudulentos y deben ser destruidos cuando hayan dejado de ser útiles.

Además tenés la obligación de almacenarlos de manera tal que se facilite el ejercicio de los derechos de sus titulares.

d. Seguridad

La seguridad de la información es un aspecto importante de laprotección de datos. Evalúa los riesgos de seguridad que tu aplicaciónpuede aparejar, teniendo en cuenta la sensibilidad de la informaciónpersonal que recolecta y almacena.

Verifica que tu aplicación, si utiliza datos personales, respete las mejores prácticas en seguridad de la información.

e. Confidencialidad

Los datos personales de los que tomes conocimiento por el tratamientoque realices son confidenciales. Está prohibido revelarlos.

Esta obligación alcanza a cualquier persona que intervenga en cualquieretapa del desarrollo e inclusive subsiste aun finalizada la relacióncontractual.

3) PRIVACIDAD APLICADA AL DESARROLLO

a. Los OCHO (8) pasos básicos para desarrollar resguardando la privacidad

i. Contempla la privacidad en todos los procesos de tu organización.

ii. Desarrolla las aplicaciones con el concepto de “Privacidad desde el Diseño”.

iii. Establece una Política de Privacidad clara y fácilmente accesible por los titulares del dato.

iv. Configura por defecto como “activadas” las opciones de privacidad.

v. Permite a los titulares del dato que elijan y controlen.

vi. Limita la cantidad de datos que recolectas o retienes.

No recolectes o almacenes información personal que tu sistema, aplicación o dispositivo no necesite.

Controla no recolectar o almacenar datos sensibles salvo que estés autorizado a hacerlo.

Establece una política para la eliminación de datos personales que ya no te sean útiles.

vii. Asegura los datos personales recabados.

viii. Asume la responsabilidad. Designa a un “responsable deprivacidad” o asume vos mismo la responsabilidad del resguardo de losdatos personales que hayas tratado.

b. Privacy by design

“Privacidad desde el diseño” es un enfoque en el que desde el origenmismo del diseño de un sistema, aplicación o dispositivo se contemplala protección de la privacidad.

Desde esta perspectiva, la preocupación por la protección de los datospersonales no debe ser analizada posteriormente a la finalización deldesarrollo, como si se tratara de un anexo, sino que debe estarpresente en todas las etapas del proceso.

La privacidad debe ser considerada en todas las fases del ciclo de vida del sistema, aplicación o dispositivo.

c. Privacy by default

Es un concepto de desarrollo de software que establece que laconfiguración de la privacidad debe estar activada de manerapredeterminada, de manera tal que implique un acto de voluntad deltitular desactivar o compartir información personal.

Generalmente los titulares del dato, cuando hacen uso de aplicaciones,no saben cómo configurar la privacidad o no se toman el tiempo parahacerlo, por ello es importante que la aplicación no compartainformación personal a menos que el mismo titular configure lasopciones de privacidad permitiéndolo.

d. Privacy-Enhancing Technologies (PET)

Se trata de un sistema de medidas, herramientas y aplicaciones queprotegen la privacidad de la información mediante la eliminación ominimización de los datos personales. De ese modo se previene elprocesamiento innecesario o indeseado de datos personales, sin lapérdida de la funcionalidad del sistema de información.

i. Herramientas de gestión de la privacidad, que permitan al titularelegir y controlar la forma en que sus datos son recolectados y usados.

ii. Herramientas de protección de la privacidad

1. Disociación de datos

Herramientas que apuntan a ocultar la identidad del titular, para queno pueda relacionarse los datos con una persona determinada odeterminable. Por ej., las herramientas que ocultan la dirección IP delemisor.

2. Seudonimización

Permiten llevar adelante operaciones sin que se identifique al titular del dato, identificado sólo con un seudónimo.

3. Seguridad de la información

El objetivo principal es impedir el acceso no autorizado a los sistemas, archivos o a las comunicaciones a través de una red.

4. Metadatos

Se utilizan para incorporar etiquetas que le agreguen a los archivosque contengan datos personales información adicional que detalle lafuente, el consentimiento obtenido, cómo puede ser utilizado, así comolas políticas de privacidad a las que está sujeto. Además puedeincorporarse información que indique la cantidad de tiempo que losdatos personales se pueden conservar o si el titular brindóconsentimiento para ceder la información a terceros.

5. Encriptación

Utilizada no sólo para almacenar información de forma segura, sinotambién para asegurar su integridad, transportarla, ya sea mediantesoportes físicos como a través de una red, o para generar accesosseguros a datos personales.

e. Aspectos técnicos para aplicaciones

i. Correcta utilización de los permisos

Si se trata de una aplicación móvil, verifica que los permisos querequiere sean los estrictamente necesarios para el funcionamientoadecuado. Las personas guardan en sus dispositivos móviles informaciónmuy personal, y una mala administración de los permisos los dejarávulnerables. Un ejemplo típico del mal uso de los permisos es unaaplicación de linterna que requiera acceso a los contactos del titulardel dato o a su calendario.

ii. Geolocalización

Si tu aplicación accede a datos de localización, debes notificar yobtener el permiso del titular del dato, incluso si se trata demetadatos de geolocalización de fotos o videos.

4) POLITICA DE PRIVACIDAD

a. Establecimiento de una Política de Privacidad

Uno de los pasos más importantes para respetar la privacidad de lostitulares de datos, es desarrollar una Política de Privacidad queexplique claramente qué tipo de información se recaba, cómo se usa ycon quién la compartes.

Esta política debe ser simple y, en la medida de lo posible,estandarizada, de manera tal que se facilite su lectura y comprensiónpor parte de los titulares de datos.

Es importante que la política refleje el tratamiento de datos que hacetu aplicación, así que no “cortes y pegues” una política genérica deotra aplicación o desarrollador, sino que trata de desarrollar una quesea comprensiva de las particularidades de tu aplicación.

Ten en cuenta que una Política de Privacidad que no responda altratamiento de datos que hagas puede generarte inconvenientes con tusclientes, los titulares de datos de la aplicación y hasta losorganismos de control, como esta DNPDP.

Un aspecto que no debes olvidar es que si introduces cambios en la Política de Privacidad, deberás notificarlas.

La Política de Privacidad debe cumplir con los siguientes lineamientos:

1. Debe contener una definición del Objeto de la Política de Privacidad(cuál es el objeto tutelado, como, por ejemplo los artículos 1° y 2° dela LPDP y sus principios), alcance (a quienes resulta exigible lapolítica) y su compatibilidad y/o relación con las políticas deprotección de la información comercial o cualquier otra política queentre en conjunción con la protección de datos personales.

2. Debes incluir una definición de los términos utilizados en la política (acordes con la LPDP).

3. Debe reflejar los principios de protección de datos personalesaplicables al tratamiento de datos que haga la aplicación (acordes conla LPDP, según artículos 3°, 4°, 5°, 6°, 7°).

4. Si compartes o transfieres los datos con un tercero, debesnotificarlo en forma destacada en tu política y cumplir con losrequisitos de la cesión de datos, contemplados en el artículo 11 de laLPDP.

5. Contemplar la confidencialidad de los datos personales (artículo 10,LPDP), con referencia a los convenios de confidencialidad del personaly terceros que presten servicios, y de cualquier otra persona uorganización que puedan entrar en conocimiento de los datos personalesque trata la aplicación.

6. Hacer mención a la política de seguridad de los datos personales, yla aplicación de la Disposición DNPDP N° 11/06 (manual de seguridad).

7. Contempla, en el caso que el tratamiento de datos incluya sutransferencia al exterior, los requisitos para una TransferenciaInternacional de datos personales (aplicando el artículo 12 LPDP yDecreto N° 1558/01). Ten en cuenta que el almacenamiento en la nube seconsidera una transferencia internacional de datos.

8. En el caso que el uso de la información personal incluya lafinalidad de publicidad, debe contemplarse el cumplimiento de lasobligaciones específicas para este tipo de tratamiento (artículo 27LPDP y Decreto N° 1558/01), Disposiciones DNPDP N° 10/08 y 4/09.

9. Prestaciones de servicios de tratamiento de datos por cuenta de terceros (artículo 25 LPDP y Decreto N° 1558/01).

10. Establece el procedimiento para cumplir con los derechos de lostitulares de los datos (derechos de acceso, rectificación, supresión ybloqueo, artículos 14, 15, 16 y 27, inc. 3 de la LPDP).

11. Comunica mediante la Política quien es el Encargado de Protecciónde Datos (a cargo de velar por la correcta y efectiva aplicación de lapolítica y su relación tanto con los titulares de datos como con elórgano de control). Puede ser una persona física o un área dentro de tuorganización.

b. Asegúrate que alguien en tu organización sea responsable de pensar acerca de la privacidad.

Al menos una persona en la organización debe velar porque lasaplicaciones que desarrolles cumplan con los principios de laprotección de datos. Si se trata de un emprendimiento unipersonal,debes encargarte vos mismo de esta función.

Será tarea de esta persona:

- Asegurarse que las aplicaciones y el tratamiento de datos que hagancumplan con la normativa de protección de datos (Ley N° 25.326, decretoreglamentario, disposición de la DNPDP).

- Revisar y mantener actualizada la Política de Privacidad de laorganización, y asegurarse que las aplicaciones que desarrollen lacumplen.

- Responder las consultas vinculadas a la Política de Privacidad, elejercicio de los derechos del titular del dato y los requerimientos dela DNPDP.

c. Capacitación del personal en privacidad

Todas las personas que trabajen en tu organización deben estar al tantode las obligaciones que tienen con relación al tratamiento de datos. Esla mejor manera de evitar que por error o desconocimiento haganincurrir a tu organización en un incumplimiento.

d. Control de terceros con los que se intercambian datos personales

La Ley N° 25.326 establece la responsabilidad solidaria entre quienesintercambian información. Esto es que si a quien le mandas o de quienrecibes información personal cometen algún incumplimiento, también tepodrían reclamar a ti.

Solamente cede o recibe datos personales de personas u organizacionesconfiables y verifica que se encuentren debidamente inscriptos en elRegistro Nacional de Bases de Datos de la DNPDP.

5) CONTROL DE LA INFORMACIÓN PERSONAL POR PARTE DE SUS TITULARES

Bríndales a quienes hagan uso de tus aplicaciones y a los titulares delos datos en general el control de su información personal,particularmente cuando se trata de información sensible, íntima ocuando se le den usos que no sean los obvios o comunes.

Los usos que se hagan de los datos personales deben provenir de una elección consciente e informada de sus titulares.

Permite que accedan a la información que almacenes sobre ellos y quepuedan rectificar información errónea o desactualizada, o que puedansuprimir información cuando corresponda.

Además debes esforzarte porque la información personal que almacenassea cierta, adecuada, pertinente y no excesiva con relación a los usosque le das y que motivaron su recolección.

Procura recabar siempre que sea necesario el consentimiento del titular del dato para usar su información personal.

Trata de limitar al mínimo posible y a lo estrictamente necesario lacantidad de información personal que recolectas y utilizas, y destruyede manera segura aquellos datos que te hayan dejado de ser útil.

6) APLICACIONES MÓVILES

Las aplicaciones desarrolladas para dispositivos móviles generalmente tendrán la limitación del tamaño de la pantalla.

Deberás ser creativo para poder mostrar la información de tu Políticade Privacidad de una manera que le resulte útil a los titulares dedatos con el desafío adicional que genera un espacio pequeño como lapantalla de un teléfono celular.

Algunos consejos que puedes aplicar:

a. Separar la información en distintas capas

Pocas personas estarán dispuestas a leer TREINTA (30) páginas de unaPolítica de Privacidad, y mucho menos en la pequeña pantalla de uncelular. Para evitarlo, deberás clasificar la información que brindasen tu Política de Privacidad, separarla en distintas capas y colocar lamás importante en las capas superiores. Luego ofrecer hipervínculospara aquellos que quieran profundizar más y conocer los detalles.

b. Proveer al titular del dato un tablero de privacidad

Podría ser útil ofrecer una herramienta de configuración de privacidad,con un diseño atractivo y amigable que le permita al titular del datoelegir fácilmente las opciones de privacidad.

c. Utilizar técnicas para llamar la atención del titular del dato

Debes procurar llamar la atención de tu titular del dato sobre la información importante de tu Política de Privacidad.

Para ello puedes recurrir a una serie de recursos que te brinda la plataforma móvil, como indicaciones visuales o sonoras:

1. Gráficos: utiliza íconos, etiquetas o imágenes que llamen laatención del titular del dato vinculada a un texto que provea másinformación. Esto puede resultar útil en determinado momento del uso dela aplicación, como cuando se disponga a utilizar los datos personalesdel titular del dato: por ejemplo, si se va a geolocalizar una foto, seactiva un símbolo que advierte de esto al titular del dato y de sernecesario, se recaba su consentimiento.

2. Colores: Llama la atención de los titulares de datos mediante el usode colores y la variación de intensidad de los mismos. La intensidaddel color puede ser proporcional a la importancia de la decisión osensibilidad de la información.

3. Sonidos: Otro modo apropiado de llamar la atención del titular deldato es a través de sonidos, cuando sea necesario una decisión deltitular del dato o debas proveerlo de información importante acerca deluso de sus datos personales.

7) USO DE APLICACIONES POR NIÑOS

Si tu aplicación puede ser usada por niños o adolescentes, deberás procurar un cuidado especial.

Se trata de un grupo que hace un uso intensivo de la tecnología, que lasaben manejar, pero que por su edad pueden carecer de la reflexióncrítica necesaria para identificar los peligros que el mal uso de suinformación personal puede aparejar. Son una población vulnerable, ypor lo tanto, será necesario que incorpores salvaguardas especialespara resguardarlos.

- Limita al máximo el tipo y la cantidad de información que sobre ellos recolectas.

- Contempla estrictas medidas de seguridad sobre la información que necesariamente debas recabar.

- Evita compartir información personal de menores con terceros.

- Bríndales información adecuada a su nivel de comprensión sobre el usoresponsable de sus datos y alerta sobre los peligros que se relacionana una mala utilización.

- Siempre que corresponda, obtén el consentimiento de sus padres.Establece mecanismos de resguardos para mantenerlos informados acercade los usos que se hacen de la información personal de los menores.

8) CONTACTO CON LA DNPDP Y LEGISLACION APLICABLE

La DNPDP es un órgano dependiente del MINISTERIO DE JUSTICIA Y DERECHOSHUMANOS, con sede en Sarmiento 1118, piso 5°, de la CIUDAD AUTÓNOMA DEBUENOS AIRES.

En la página web de la DNPDP (www.jus.gov.ar/datospersonales) podrásencontrar toda la normativa de protección de datos personales, queincluye la LPDP, su decreto reglamentario y todas las disposiciones delDirector Nacional de Protección de Datos Personales, así como muchainformación adicional sobre privacidad y protección de datos.

e. 16/04/2015 N° 25978/15 v. 16/04/2015