DISPOSICION 5/2008. APRUEBANSE LAS NORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

Publicado en el Boletín Oficial el 04/06/2008  

Bs. As., 29/05/2008

VISTO

El Expediente MJSyDH Nº 164.321/08 y la competencia atribuida a esta DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES por la Ley Nº 25.326 y su reglamentación aprobada por Decreto Nº 1558/01, y

CONSIDERANDO:

Que entre las atribuciones asignadas a la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES se encuentra la de dictar las normas reglamentarias que se deben observar en el desarrollo de las actividades comprendidas por la Ley Nº 25.326.

Que en su carácter de Organo de Control de la Ley Nº 25.326, la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES tiene la función encomendada de atender las denuncias y reclamos interpuestos en relación al tratamiento de datos personales en los términos de la citada ley, según lo dispone el artículo 29, inciso 5, apartado a) de la reglamentación aprobada por el Decreto Nº 1558/01.

Que asimismo tiene la facultad de controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos. A tal efecto podrá solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la Ley Nº 25.326.

Que el artículo 4º, párrafo cuarto, de la reglamentación aprobada por el Decreto Nº 1558/01, establece que la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES efectuará controles de oficio sobre el cumplimiento de los principios de legitimidad del tratamiento, y aplicará las sanciones pertinentes al responsable o usuario en los casos que correspondiere.

Que en el párrafo quinto del artículo precedentemente citado se dispone que la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES procederá, ante el pedido de un interesado o de oficio ante la sospecha de una ilegalidad, a verificar el cumplimiento de las disposiciones legales y reglamentarias en orden a cada una de las siguientes etapas del uso y aprovechamiento de datos personales:

a) legalidad de la recolección o toma de información personal;

b) legalidad en el intercambio de datos y en la transmisión a terceros o en la interrelación entre ellos;

c) legalidad en la cesión propiamente dicha;

d) legalidad de los mecanismos de control interno y externo del archivo, registro, base o banco de datos.

Que también tiene asignada la misión de imponer las sanciones administrativas que correspondan por violación a las normas de la Ley Nº 25.326 y de las reglamentaciones que se dicten en su consecuencia.

Que de ello se desprende que la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES tiene a su cargo la facultad de llevar adelante inspecciones para verificar el cumplimiento de los principios y obligaciones impuestos por la Ley Nº 25.326.

Que por ello se estima conveniente establecer un procedimiento que regirá la actividad de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES en el desarrollo de las fiscalizaciones que lleve adelante en ejercicio de sus competencias.

Que corresponde en consecuencia establecer las NORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

Que ha tomado intervención el servicio jurídico de asesoramiento permanente de este Ministerio.

Que la presente medida se dicta en uso de las facultades conferidas en el artículo 29, inciso 1, apartado b) de la Ley Nº 25.326 y el artículo 29, inciso 5, apartado a) del Anexo I del Decreto Nº 1558/01.

Por ello,

EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES

DISPONE:

Art. 1º - Apruébanse las NORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, que como Anexo I forma parte del presente.

Art. 2º - El ejercicio de la facultad de fiscalización que tiene asignada la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES se desarrollará de oficio y cuando la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES estime corresponder, si bien podrá tener causa en una petición o denuncia de un órgano del Estado nacional, provincial, municipal o un particular.

Art. 3º - Las inspecciones y controles serán efectuados por un agente de la planta permanente de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES debida mente acreditado, quien revestirá el carácter de inspector y podrá estar acompañado por el personal técnico que sea designado a tal fin por el Director Nacional de Protección de Datos Personales a propuesta del titular del área requerida. En todos los casos y de considerarlo pertinente, el Director Nacional de Protección de Datos Personales podrá estar presente en la inspección.

Art. 4º - La iniciación de la inspección se instrumentará mediante decisión del Director Nacional de Protección de Datos Personales y será debidamente notificada al responsable de la base de datos sujeta a control con una antelación no inferior a DIEZ (10) días hábiles, salvo que se entienda que la previa notificación podrá afectar el resultado de la investigación, en cuyo caso deberá constar la pertinente justicación en el acto de apertura de la inspección. En caso de efectuarse notificación, la misma deberá ir acompañada por una copia del texto correspondiente a las NORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES aprobadas por el Anexo I de la presente.

Art. 5º - La inspección consistirá en una o más visitas presenciales del inspector en la que podrá acceder a la totalidad de los locales, equipos o programas de tratamientos de datos personales del responsable de la base de datos controlada. Dichas visitas se harán en días y horas hábiles administrativos sin perjuicio de lo cual de oficio o a petición de parte podrán habilitarse aquellos que no lo fueren.

Art. 6º - La inspección se desarrollará conforme lo disponen los puntos de las NORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, en forma total o parcial según el alcance objetivo o causal del control y a las características del tratamiento de datos bajo inspección. Podrán además solicitarse elementos adicionales siempre que las circunstancias fácticas y el tipo de tratamiento de datos así lo determinen.

Art. 7º - Los actos de inspección constarán en un acta que será labrada en duplicado por el inspector y suscripta por el mismo, por los técnicos que lo acompañen en su caso, y por el responsable de la base de datos controlada. El original se incorporá a las actuaciones que dieron origen a la inspección y el duplicado será entregado al responsable de la base de datos.

Art. 8º - En caso de que resultare necesario solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la Ley Nº 25.326, el inspector deberá elevar la respectiva petición al Director Nacional de Protección de Datos Personales, quien formulará el correspondiente requerimiento.

Art. 9º - Comuníquese, publíquese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL y archívese. — Juan A. Travieso.


ANEXO I

NORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES

1. Objetivo general.

1.1. Desarrollo de inspecciones que permitan mejorar la gestión de tratamiento de datos personales por parte del responsable de las Bases de Datos, el ejercicio de las facultades de control de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES y la mejor protección de los derechos del titular del dato.

2. Objetivos de la inspección.

2.1. Tomar conocimiento de las actividades del Responsable de la Base de Datos, los datos personales que administra, y los medios y la forma con los que lo hace.

2.2. Evaluar el grado de cumplimiento lo prescripto por la Ley Nº 25.326.

2.3. Realizar recomendaciones para el mejor desempeño del responsable dentro del marco legal.

3. Alcance de la inspección.

Se verificarán las medidas técnicas y organizativas desarrolladas por el Responsable de la Base de Datos en los siguientes campos:

3.1. Capacitación

3.1.1. Capacitación del personal

3.1.2. Títulos y acreditaciones de quien fuera designado como encargado de la Base de Datos y/o responsable u órgano específico de seguridad (Disposición DNPDP Nº 11/2006).

3.1.3. Inscripciones, habilitaciones, inhibiciones.

3.1.4. Participación en actividades de cámaras, asociaciones, organismos.

3.1.5. Publicaciones en medios.

3.1.6. Participación en actividades académicas.

3.2. Legalidad de los datos que posee y gestiona.

3.2.1. Licitud en la recolección de los datos.

3.2.2. Inscripción actualizada de sus Bases de Datos en el REGISTRO NACIONAL DE BASES DE DATOS de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

3.3. Idoneidad de los medios empleados en el tratamiento de los datos y en toda gestión anexa.

3.3.1. Materiales: instalaciones, medios de almacenamiento.

3.3.2. Sistemas, software.

3.3.3. Personal: diseño de sistemas, gestión de sistemas, atención a usuarios, legales.

3.3.4. Procedimentales: formas de gestión, atención de reclamos, corrección de errores, comunicación.

3.4. Correcto tratamiento de los datos personales.

3.4.1. Almacenamiento.

3.4.2. Interrelación de la información.

3.4.3. Modificación.

3.4.4. Ejercicio de los derechos que acuerda la ley a los titulares de los datos.

3.4.5. Destrucción.

3.4.6. Cesión a terceros y transferencia internacional.

3.4.7. Contratos de prestación de servicios de tratamiento de datos por o para terceros.

3.5. La publicidad y formas de comunicación hacia terceros que realiza y que involucre a los datos personales de los que es responsable.

La publicidad y comunicación que se realice de productos o servicios que involucren a los datos personales objeto de esta inspección, debe ser coherente con la realidad producida por el inspeccionado y no debe contradecir lo prescripto por la Ley 25.326.

3.5.1. Comunicación institucional

3.5.2. Publicidad comercial.

4. Metodología de la inspección.

4.1. Acreditaciones obligatorias del responsable.

4.1.1. Personería

4.1.2. Registro DNPDP

4.2. Acreditaciones optativas

4.2.1. ANSES

4.2.2. ART

4.2.3. Habilitación municipal

4.2.4. CUIT

4.3. Legalidad y corrección de los datos objeto de tratamiento.

4.3.1. Licitud del tratamiento de datos personales.

4.3.1.1. Tipos de datos que se gestionan.

4.3.1.2. Finalidad del tratamiento, servicios que se prestan.

4.3.1.3. Origen o fuente de los datos, formas de recolección. Verificación del consentimiento del titular para el tratamiento de sus datos.

4.3.1.3.1. Verificación de los procesos de incorporación de datos a la base.

4.3.1.3.2. Comprobación de los consentimientos firmados.

4.3.1.4. Cesiones a terceros. Cumplimiento de los requisitos legales.

4.3.1.5. Transferencias internacionales. Cumplimiento de los requisitos legales.

4.3.1.6. Mecanismos de disociación de la información personal.

4.3.1.7. Destrucción de la información.

4.3.1.7.1. Verificación de la utilidad o pertinencia de la información registrada

4.3.1.7.2. Periodicidad de la verificación.

4.3.1.7.3. Forma de destrucción.

4.3.2. Inscripciones vigentes en la DNPDP para los tratamientos de datos inspeccionados.

4.3.3. Medidas de seguridad de la información

4.3.3.1. Cumplimiento de la Disposición DNPDP Nº 11/06.

4.3.4. Política de privacidad y confidencialidad del responsable.

4.3.4.1. Se verificará si tiene una política de privacidad.

4.3.4.2. Grado de cumplimiento de la política de privacidad.

4.3.4.3. Publicidad y difusión de la política de privacidad.

4.3.4.4. Convenios de confidencialidad firmados por los empleados, usuarios o terceros que accedan a la información registrada en la base de datos.

4.3.4.5. Se verificará si el responsable adopta mecanismos para evaluar el cumplimiento de la política de privacidad y de los convenios de confidencialidad.

4.3.5. Casos especiales. Cumplimiento de la normativa específica.

4.3.5.1. Datos relativos a la salud.

4.3.5.1.1. Establecimientos sanitarios y profesionales de la salud.

4.3.5.1.2. Investigaciones clínicas, farmacológicas y farmacogenéticas.

4.3.5.1.2.1. Verificación que los consentimientos informados del paciente para los protocolos de investigación cuenten con la aprobación de la DNPDP.

4.3.5.1.2.2. El consentimiento libre, expreso por escrito, e informado brindado por el paciente. En caso de menores, conste la autorización de su representante legal y eventual asentimiento del menor.

4.3.5.1.2.3. La previa explicación al paciente en forma adecuada a su nivel sociocultural.

4.3.5.1.2.4. Respeto del secreto profesional y normas de confidencialidad para el tratamiento de los datos personales recolectados.

4.3.5.1.2.5. Respeto de la revocabilidad del consentimiento para el tratamiento de los datos personales.

4.3.5.1.2.6. Cesionarios o receptores en caso de cesión o transferencia internacional de datos personales.

4.3.5.1.2.7. Análisis de los mecanismos de disociación de los datos personales.

4.3.5.2. Tratamiento de datos por cuenta de terceros.

4.3.5.2.1. Contrato de servicio

4.3.5.2.2. Uso posterior de los datos una vez cumplido el contrato. Conservación o destrucción.

4.3.5.3. Bases de datos destinadas a la información crediticia.

4.3.5.3.1. Análisis de las fuentes legítimas.

4.3.5.3.2. Estricto cumplimiento del tipo de información que el artículo 26 habilita tratar.

4.3.5.3.3. Aplicación de los plazos de caducidad para la publicidad de la información del artículo 26, inciso 4.

4.3.5.4. Bases de datos destinadas a la publicidad.

4.3.5.4.1. Origen de los datos.

4.3.5.4.2. Información al titular de los datos

4.3.5.4.3. Mecanismo previsto para el ejercicio del derecho de bloqueo del artículo 27, inciso 3.

4.3.5.5. Bases de datos destinados a las encuestas de opinión.

4.4. Idoneidad de los medios empleados en el tratamiento de los datos y en gestiones anexas.

4.4.1. Materiales: instalaciones y medios de almacenamiento.

4.4.1.1. Compartidas o exclusivas.

4.4.1.2. Grado de privacidad / seguridad en las operaciones.

4.4.2. Sistemas, software:

4.4.2.1. Medios de seguridad contra acciones no permitidas.

4.4.3. Personal. Se entrevista al personal de las áreas de:

4.4.3.1. Diseño de sistemas y gestión de sistemas: calificación del personal.

4.4.3.1.1. Conocimiento de la responsabilidad vinculada al tratamiento de datos personales.

4.4.3.1.2. Estudios básicos.

4.4.3.1.3. Estudios y formación vinculados a la protección de datos personales.

4.4.3.1.3.1. Cursos al ingreso Cursos actualización

4.4.3.1.3.2. Internos, en la organización.

4.4.3.1.3.3. Externos.

4.4.3.2. Atención a titulares y usuarios: calificación del personal.

4.4.3.2.1. Conocimiento de responsabilidad vinculada al tratamiento de datos personales, los derechos de los titulares y las obligaciones de la Ley 25.326

4.4.3.2.2. Tiempo de antigüedad en la actividad.

4.4.3.2.3. Estudios básicos.

4.4.3.2.4. Estudios y formación vinculados a la protección de datos personales.

4.4.3.2.4.1. Cursos al ingreso Cursos actualización

4.4.3.2.4.2. Internos, en la organización

4.4.3.2.4.3. Externos.

4.4.3.2.5. Capacidad de trato.

4.4.3.2.6. Actitud frente a reclamos.

4.4.3.2.7. Capacidad de comunicación.

4.4.3.2.8. Idiomas, cuáles, grado de conocimiento.

4.4.3.3. Legales, calificación del personal

4.4.3.3.1. Conocimiento de la responsabilidad vinculada al tratamiento de datos personales.

4.4.3.3.2. Tiempo de antigüedad en la actividad.

4.4.3.3.3. Estudios básicos.

4.4.3.3.4. Estudios y formación vinculados a la protección de datos personales.

4.4.3.3.4.1. Cursos al ingreso Cursos actualización

4.4.3.3.4.2. Internos, en la organización.

4.4.3.3.4.3. Externos.

4.4.3.3.5. Capacidad de trato.

4.4.3.3.6. Actitud frente a reclamos.

4.4.3.3.7. Capacidad de comunicación.

4.4.4. Procedimentales: atención de reclamos, corrección de errores, comunicación.

Se verifican procedimientos específicos por ejemplo:

4.4.4.1. Procedimiento: Derecho de acceso

4.4.4.1.1. Personas a cargo, calificación.

4.4.4.1.2. Recepción de solicitud: Formas Lugar Horario

4.4.4.1.3. Verificación de la identidad del solicitante.

4.4.4.1.4. Elaboración de la respuesta, colección de la información, redacción, presentación (papel, archivo).

4.4.4.1.5. Entrega de la respuesta, formas y procedimiento (correo, email, fax).

4.4.4.1.6. Registro del caso (ticket, archivo).

4.4.4.1.7. Seguimiento.

4.4.4.1.8. Tiempo transcurrido entre la solicitud y la recepción de la respuesta. Análisis de casos testigo.

4.4.4.2. Procedimiento: Rectificación Actualización Supresión Bloqueo.

4.4.4.2.1. Personas a cargo, calificación.

4.4.4.2.2. Verificación de la identidad del solicitante.

4.4.4.2.3. Recepción de solicitud: Formas Lugar Horario

4.4.4.2.4. Elaboración de la respuesta, colección de la información, redacción, presentación (papel, archivo).

4.4.4.2.5. Entrega de la respuesta, formas y procedimiento (correo, email, fax).

4.4.4.2.6. Registro del caso (ticket, archivo).

4.4.4.2.7. Seguimiento.

4.4.4.2.8. Tiempo transcurrido entre la solicitud y la recepción de la respuesta.

4.5. Acatamiento de las disposiciones de la DNPDP

4.5.1. Disposiciones generales

4.5.2. Disposiciones particulares acaecidas en sumarios tramitados ante la DNPDP en los que el responsable de la base de datos haya sido parte.