Disposición E 55/2016

Texto Original

MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS

DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES

Disposición 55 - E/2016

Ciudad de Buenos Aires, 25/10/2016

VISTO el Expediente N° EX-2016-00206789- -APN-DNPDP#MJ del registro deeste Ministerio, la Ley N° 25.326 y su Decreto Reglamentario N° 1558del 29 de noviembre de 2001, modificado por su similar N° 1160 del 11de agosto de 2010 y la Disposición N° 3 del 31 de julio de 2012 de estaDirección Nacional, y

CONSIDERANDO:

Que la Ley N° 25.326 tiene por objeto la protección integral de losdatos personales asentados en archivos, registros, bancos de datos, uotros medios técnicos de tratamiento de datos, sean éstos públicos, oprivados destinados a dar informes, para garantizar el derecho al honory a la intimidad de las personas, así como también el acceso a lainformación que sobre las mismas se registre, de conformidad a loestablecido en el artículo 43, párrafo tercero de la ConstituciónNacional.

Que es facultad de esta Dirección Nacional diseñar los instrumentos queconsidere adecuados para la mejor protección de los datos personales ypara el cumplimiento de sus funciones y atribuciones.

Que de conformidad con lo establecido en el artículo 29, inciso 1,apartados b) y e), de la Ley N° 25.326, se encuentran entre susfunciones y atribuciones, las de dictar las normas y reglamentacionesque se deben observar en el desarrollo de sus actividades; y las desolicitar la información pertinente a las entidades públicas yprivadas, en orden a proporcionar los antecedentes, documentos,programas u otros elementos relativos al tratamiento de los datos quese le requieran.

Que asimismo tiene la facultad de controlar la observancia de lasnormas sobre integridad y seguridad de datos por parte de los archivos,registros o bancos de datos. A tal efecto podrá solicitar autorizaciónjudicial para acceder a locales, equipos, o programas de tratamiento dedatos a fin de verificar infracciones al cumplimiento de la Ley N°25.326, conforme el artículo 29, inciso 1, apartado d), de lamencionada norma.

Que se ha iniciado un proceso de revisión interna de los procedimientossobre inspecciones a efectos de hacerlo más eficiente y fortalecer elrol de órgano de control de esta Dirección Nacional.

Que, con la sanción de la Ley N° 26.951, que crea el REGISTRO NACIONAL“NO LLAME”, se establece que esta Dirección Nacional es su autoridad deaplicación, conforme su artículo 9°.

Que, por lo tanto, se impone ampliar el control que lleva a cabo esteorganismo a fin de fiscalizar el cumplimiento de las obligaciones queimpone la norma citada en el párrafo precedente.

Que, por todo lo expuesto, deviene necesario derogar el procedimientode inspección aprobado por la Disposición DNPDP N° 3/12, aprobando unnuevo procedimiento de inspección y control.

Que ha tomado la intervención que le compete la DIRECCION GENERAL DE ASUNTOS JURIDICOS de este Ministerio.

Que la presente medida se dicta en uso de las facultades conferidas enel artículo 29, inciso 1, apartado b) de la Ley N° 25.326 y el artículo29, inciso 5, apartado a) del Anexo I del Decreto N° 1558/01 y sumodificatorio.

Por ello,

EL DIRECTOR NACIONAL DE PROTECCIÓN DE DATOS PERSONALES

DISPONE:

ARTÍCULO 1° — Derógase la Disposición DNPDP N° 3 del 31 de julio de 2012.

ARTÍCULO 2° — Apruébase el “PROCEDIMIENTO DE INSPECCION Y CONTROL DE LADIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES” que se dispone enel Anexo IF-2016-02519312-APN-DNPDP#MJ y que forma parte de la presente.

ARTÍCULO 3° — Comuníquese, publíquese, dése a la Dirección Nacional delRegistro Oficial y archívese. — EDUARDO BERTONI, Director Nacional,Dirección Nacional de Protección de Datos Personales, Ministerio deJusticia y Derechos Humanos.

ANEXO I

“PROCEDIMIENTO DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES”

1) Objetivos de las inspecciones

a) Fiscalizar y controlar las actividades del responsable deltratamiento de datos, los datos personales que administra, y los mediosy la forma en que lo hace.

b) Evaluar el grado de cumplimiento conforme lo dispuesto por la Ley N°25.326, la Ley N° 26.951, y demás normativa aplicable en el marco de lacompetencia de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES(DNPDP), con el objeto de: I) detectar incumplimientos a la normativavigente; y II) realizar los requerimientos necesarios para adecuar eltratamiento de datos a la normativa vigente.

2) Competencia

Las facultades de la DNPDP para llevar adelante las inspecciones están establecidas en las siguientes normas:

Artículo 29, inciso 1, apartado d), Ley N° 25.326: “Controlar laobservancia de las normas sobre integridad y seguridad de datos porparte de los archivos, registros o bancos de datos. A tal efecto podrásolicitar autorización judicial para acceder a locales, equipos, oprogramas de tratamiento de datos a fin de verificar infracciones alcumplimiento de la presente ley”.

Artículo 29, inciso 1, apartado e), Ley N° 25.326: “Solicitarinformación a las entidades públicas y privadas, las que deberánproporcionar los antecedentes, documentos, programas u otros elementosrelativos al tratamiento de los datos personales que se le requieran.En estos casos, la autoridad deberá garantizar la seguridad yconfidencialidad de la información y elementos suministrados”.

3) Alcance de la inspección

Las inspecciones abarcarán los siguientes aspectos, sin perjuicio deotros que puedan contemplarse al momento de llevarse a cabo:

a) Licitud de las bases de datos (artículos 3°, 21 y 24, Ley N° 25.326).

b) Calidad de los datos tratados (artículo 4°, Ley N° 25.326).

c) Consentimiento del titular del dato e información (artículos 5° y 6°, Ley N° 25.326).

d) Cumpliento de los principios de categrías de datos, seguridad y confidencialidad (artículos 7°, 9° y 10, Ley N° 25.326).

e) Requisitos de la cesión de datos y transferencia internacional de datos (artículos 11 y 12, Ley N° 25.326).

f) Ejercicio de los derechos de los titulares del dato (artículos 14, 15, 16 y 19, Ley N° 25.326).

g) Prestación de servicios de información crediticia (artículo 25, Ley N° 25.326).

h) Tratamiento de datos con fines de publicidad (artículo 27, Ley N° 25.326; Ley N° 26.951).

4) Tipos de inspección

a) De oficio: aquellas que la DNPDP inicia en ejercicio de sus facultades de fiscalización. Se dividen en:

I) Planificadas: las que surgen de la planificación anual.

II) Espontáneas: las que se originan en razones que llegan aconocimiento de la DNPDP, y que pueden impactar en la protección dedatos personales y en el derecho a la privacidad.

b) Por denuncia: aquellas que se inician en el marco de unainvestigación que se sustancia a raiz de una denuncia interpuesta antela DNPDP. La inspección en este caso tiene el carácter de medidaprobatoria del sumario administrativo.

5) Planificación de las inspecciones

La DNPDP implementará una planificación de las inspecciones que sellevarán a cabo durante un período determinado, sin perjuicio de otrasque puedan ser ordenadas de forma espontánea o como consecuencia de unsumario administrativo.

La selección de los sujetos a inspeccionar estará basada en criteriosobjetivos de selección, tales como categorías de datos procesados;impacto del tratamiento de datos sobre la privacidad; cantidad dedenuncias recibidas; tipo de denuncias recibidas; incumplimiento deldeber de inscripción o renovación ante el RNBD.

El proceso de selección se sustanciará mediante un expedienteadministrativo y tendrá el objeto de identificar a los responsables detratamientos de datos, sectores o grupos sobre los cuáles se llevaran acabo las inspecciones. En las actuaciones se dejará constancia del olos criterios objetivos de selección utilizados.

6) Procedimiento de la inspección

a) Apertura del expediente y notificación al responsable sujeto a inspección

Se procederá a la apertura de un expediente administrativo por cada responsable sujeto a inspección seleccionado.

Mediante una providencia se identificarán los inspectores a cargo decada actuación, quienes actuarán en forma conjunta y/o indistinta.

Se notificará la apertura del procedimiento y se requerirá completar yremitir en un plazo de QUINCE (15) días hábiles administrativos elFormulario de Inspección, debiendo el inspeccionado adjuntar ladocumentación respaldatoria de sus respuestas. El formulario serápuesto a disposición del inspeccionado como anexo de la primeranotificación o a través de la página web de la DNPDP, mediante laindicación de su URL para su descarga.

En los casos en los que se considere que la notificación previa puedaafectar el resultado de la inspección, aquella podrá omitirse medianteacto fundado. En estos casos se procederá directamente a llevar a cabola visita presencial de los inspectores prevista en el punto 6.c de lapresente.

b) Programación y notificación de las visitas presenciales

Recibido el formulario de inspección, se programarán las visitas presenciales que llevaran a cabo los inspectores.

La fecha, hora y lugar de la visita presencial se notificará con unaantelación no menor a DIEZ (10) días hábiles administrativos. En lanotificación podrán incluirse los requerimientos que a criterio delinspector resulten necesarios, y que podrán cumplirse por elinspeccionado hasta la fecha de la visita presencial.

c) Visita presencial

Los inspectores se harán presentes en domicilio denunciado por elinspeccionado, a los fines de la visita presencial, para acceder alocales, equipos o programas de tratamientos de datos personales yverificar el correcto cumplimiento de las obligaciones establecidas porla Ley 25.326.

Presentación: Los inspectores, previa acreditación, procederán ainformar los objetivos y procedimiento de la inspección y verificaránlas identidades de los representantes del responsable de tratamiento,corroborando la correspondiente personería o autorización.

Alcance: La inspección abarcará los aspectos jurídicos y técnicos deltratamiento de datos personales y su adecuación a las exigencias de lanormativa vigente.

Para la realización de la inspección técnica, se podrán llevar a cabotodas las acciones destinadas a controlar la observancia de las normassobre integridad y seguridad de datos.

Metodología: Con el objeto de formar un juicio objetivo, se emplearánlas siguientes técnicas: I) Verificaciones verbales: se llevarán a caboentrevistas al personal del inspeccionado para obtener informaciónverbal sobre los tratamientos de datos efectuados; II) Verificacionesoculares: mediante la observación, se constatará el cumplimiento deaquellas obligaciones que permitan ser corroboradas visualmente; III)Verificaciones documentales: análisis de los documentos aportados; IV)Verificaciones técnicas: mediante las acciones destinadas a controlarla observancia de las normas sobre integridad y seguridad de datos.

Acta: En la visita presencial se labrará un Acta de Inspección, quepodrá contener observaciones y requerimientos que a criterio delinspector sean necesarios, sin perjuicio de otros que eventualmentesurjan en etapas procedimentales posteriores.

El Acta será suscripta por todos por los inspectores intervinientes ypor al menos un representante del inspeccionado que acredite personeríao autorización. Si el representante del inspeccionado se negare afirmar, se dejará debida constancia en el Acta, la que será suscriptasólo por los inspectores intervinientes.

En el caso que la inspección técnica deba realizarse en un localdistinto al de la visita presencial, se hará constar dichacircunstancia en el Acta, determinando fecha y lugar de realización. Almomento de realizar la inspección técnica en local distinto, se labraránueva Acta.

Autorización judicial para acceso a locales, equipos y programas: Encaso de que resultare necesario solicitar autorización judicial paraacceder a locales, equipos, o programas de tratamiento de datos a finde verificar infracciones al cumplimiento de la Ley N° 25.326, elinspector deberá elaborar un informe al Jefe de Departamento deInvestigación y Difusión, o la unidad orgánica que eventualmente losustituya, quién elevará la respectiva petición al Director Nacional.En caso de compartir el criterio, se formulará el correspondienterequerimiento.

d) Cierre de la inspección

Con la información obtenida en las distintas etapas del procedimientode inspección, los inspectores elaborarán y suscribirán un InformeFinal en el que se establezca el nivel de cumplimiento del responsableinspeccionado.

Incorporado el Informe Final a las actuaciones, se procederá al cierrede la inspección mediante un acto que será subscripto por el Jefe deDepartamento de Investigación y Difusión, o la unidad orgánica queeventualmente lo sustituya. Tanto el Informe Final como el acto decierre serán notificados al inspeccionado.

Si en el Informe Final no se hubieran formulado observaciones, seprocederá al archivo de las actuaciones. En caso contrario, lasactuaciones pasarán a la etapa de seguimiento, sin perjuicio de lapotestad del Director Nacional de ordenar la sustanciación de unsumario administrativo a fin de verificar la posible comisión deinfracciones conforme Disposición DNPDP N° 7/15, concordantes ymodificatorias.

e) Seguimiento de las inspecciones

En esta etapa se controlorá que el inspeccionado de cumplimiento a losrequerimientos dispuestos para subsanar las observaciones señaladas enel Informe Final. A esos efectos, se lo intimará por el plazo de QUINCE(15) días hábiles administrativos.

En aquellos casos en los que el responsable no acredite su cumplimientoen tiempo y forma, se promoverá la sustanciación del correspondientesumario administrativo.

Cumplidos la totalidad de los requerimientos en tiempo y forma, se dispondrá el archivo las actuaciones.

IF-2016-02519312-APN-DNPDP#MJ

e. 07/11/2016 N° 83416/16 v. 07/11/2016