Circular Informativa A - 319/2006.

Buenos Aires, 30 de Enero de 2006.

 

Señor:

Gerente de la Cooperativa:

 

Ref.:     Ley 25.326 –Ley de protección de datos personales.

-------------------------------------------

 

Estimado Cooperador:

 

 

                                                           Por medio de la presente, nos dirigimos a Ud. a los efectos de recordarle algunas cuestiones vinculadas con la ley de referencia.

 

            La ley 25.326  de protección de datos personales fué sancionada el 04/10/2000 y reglamentada por Decreto  1558/01, del Poder Ejecutivo Nacional.

 

Objeto de la ley:

 El objeto de la misma es la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean estos públicos, o privados destinados a dar informes, para garantizar el honor y la intimidad de las personas, así como el acceso a la información que sobre las mismas se registre.

Las disposiciones de ley también son aplicables, en lo pertinente, a las personas jurídicas.

 

Marco normativo:

 El organismo de control es la Dirección Nacional de Protección de Datos Personales (DNPDP) dependiente de la Secretaría de Justicia de la Nación. Este organismo ha dictado sucesivas disposiciones referidas al tema.

En anexo a la presente se enumeran las normas aplicables.

 

Inscripción:

La ley dispone que los particulares que formen archivos, registros o bancos de datos que no sean para un uso exclusivamente personal, deberán registrarse en la Dirección Nacional de Protección de Datos Personales (DNPDP). De esta forma, la mayoría de las organizaciones quedan comprendidas, ya que al menos manejan datos de sus clientes, proveedores y personal en relación de dependencia, sobre los cuales, deben cumplir con diversos deberes de información ante la AFIP, Rentas y ANSES, entre otros.

 

La obligación de inscripción, comprende a las organizaciones y/o profesionales por las bases de datos que tengan en forma digital o en papel (por ejemplo las bases con datos de sus clientes, proveedores y personal, entre otras), ya sean propias, o transferidas por cuenta de terceros para su tratamiento.

 

Para inscribir las bases de datos existentes, hay que completar el formulario FA.01 (bases de datos propias) y/o FB 01 (bases de datos de terceros) en www.jus.gov.ar/datospersonales. El primero de ellos incluso para las cooperativas, de acuerdo a lo manifestado verbalmente por el jefe del Registro Nacional de Bases de Datos, porque realizan actividad comercial (no obstante, adviértase en la explicación del uso de los formularios que se adjuntan, que el FA 01 está concebido para organizaciones con fines de lucro, lo cual no es consistente con la posición que la doctrina y jurisprudencia la han asignado a las cooperativas).  Al registrarse, las empresas no comparten sus bases de datos, sino que sólo deben notificar que tipo de información almacenan, que uso le dan y a quien y como hay que dirigirse para conocer que información tienen de uno o si se quiere que la corrijan o supriman.

 

Consentimiento:

El tratamiento (o procesamiento) de los datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que debería contar por escrito, o por otro medio que se equipare.

No será necesario el consentimiento cuando los datos se obtengan de acceso público irrestricto, o se recaben por una obligación legal, o se limiten a nombre, documento, identificación tributaria o previsional, ocupación, fecha de nacimiento o domicilio, etc.

 

Infracciones y sanciones:

Están enumeradas en la ley, a la que nos remitimos.

 

Vigencia:

Mediante la Disposición N° 1/06 (DNPDP) del 18/1/06 se prorrogó el plazo de vencimiento para la inscripción, hasta el 31/03/06.

 

Aclaraciones:

Adjuntamos a la presente cuatro archivos impresos con algunas aclaraciones que, ante nuestra consulta, hemos recibido del Registro Nacional de Base de Datos, sobre :

a)      El motivo por el cual se debe registrar una bases de datos

b)      Formularios: breve explicación de los mismos

c)      Dudas frecuentes para completar los formularios

d)      Pasos para la inscripción de las bases de datos ante el Registro Nacional.

 

Asimismo sugerimos ingresar a la página Web www.jus.gov.ar/datospersonales en donde se puede acceder a toda la normativa vigente, para que los responsables de la administración de las cooperativas puedan dar debido cumplimiento a la misma, ya que la información contenida en esta Circular no abarca  todos los aspectos tratados por la ley y sus reglamentaciones.

 

 

 

                                                                      Cordialmente.

 

 

 

                                                                                              Cr. Fernando L. Orecchia.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Marco normativo

 

         - Ley 25326

 

   - Decretos del Poder Ejecutivo Nacional (P.E.N.):

 

- Decreto 995/2000 – 22/11/2000: Régimen Legal.

- Decreto 1558/2001 – 3/12/2001: Ley 25326 – Reglamentación.

- Decreto 1187/2003 – 9/12/2003: Base de datos – Comisión de estudios.

 

- Disposiciones de la Dirección Nacional de Protección de Datos Personal:

 

   - Disposición 1/2003 – 30/6/2003: Clasificación infracciones – sanciones – aprobación.

   - Disposición 2/2003 – 27/11/2003: Su creación – Primer censo nacional.

   - Disposición 1/2004 – 26/2/2004: Primer censo nacional de archivos, registros, bases...

   - Disposición 4/2004 – 26/11/2004: Código ética asociación marketing directo...

   - Disposición 2/2005 – 18/2/2005: Formularios de inscripción.

   - Disposición 3/2005 – 13/4/2005: Formularios, instructivos y normas - aprobación.

   - Disposición 6/2005 – 7/9/2005: Diseño del isologotipo – aprobación.

   - Disposición 7/2005 – 11/11/2005: Clasificación de infracciones y graduación de las
                                                         sanciones – aprobación.

 

 - Resoluciones:

  

o Resolución 325/2002 Ministerio de Justicia y Derechos Humanos – 7/6/2002: Dirección
Nacional de Protección de datos personales.

o Resolución 40/2004 Secretaría de Comunicaciones – 16/2/2004: Datos filiatorios de clientes.

o Resolución 415/2004 Ministerio de Justicia, Seguridad y Derechos Humanos –  28/5/2004: Registro – Creación.

o Resolución 1133/2005 Administración Nacional de la Seguridad Social – 1/12/2005: Bases de datos – Adecuación.

o   Resolución 15/2005 Subsecretaria de Gestión Pública – 4/01/2006: Registro de Personal

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Por qué se debe registrar una base de datos.

 

 

 

 

Con respecto a las  inquietudes en cuanto al alcance de la Ley Nº 25.326 le podemos señalar lo siguiente:

 

 

            Que la citada norma legal es una ley de orden público que reglamenta la actividad informativa ejercida a través de bancos de datos, regulando el ejercicio del derecho a la autodeterminación informativa contenido implícitamente en el artículo 43 de la Constitución Nacional, así como el derecho a la intimidad y el honor de las personas. Se trata asimismo de un derecho humano instrumental que permite la protección de otros derechos (libertad informativa, derecho a la identidad, derechos patrimoniales, derecho al trabajo, etc.).

 

            El artículo 1º de la Ley Nº 25.326 define su alcance cuando señala que “... tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional”.

 

            Por su parte, el artículo 1º del Anexo I del Decreto Nº 1558/2001, reglamentario de la citada ley prevé: “A los efectos de esta reglamentación, quedan comprendidos en el concepto de archivos, registros, bases o bancos de datos privados destinados a dar informes, aquellos que exceden el uso exclusivamente personal y los que tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a título oneroso o gratuito”.

 

            Teniendo en cuenta lo hasta aquí expuesto y a fin de determinar el contenido y alcance del artículo 1º del Decreto 1558/2001, es necesario tener presente los siguientes conceptos determinantes:

 

1.      Destinado a dar informes:

 

            Debe entenderse por banco de datos destinado a proveer informes a aquel registro, archivo, base o banco de datos que permita obtener información sobre las personas, se transmitan o no a terceros; dado que el tratamiento implica un riesgo susceptible de causar un perjuicio al titular del dato.  Asimismo, al ser el derecho a controlar la información personal un derecho humano, exige una interpretación amplia de las normas que lo implementan.

 

            Jurisprudencia: “Cabe precisar que, contrariamente a lo sostenido por el a quo, el texto de la Constitución Nacional en materia de hábeas data no se refiere a entidades privadas cuyo fin sea proveer informes, sino a registros o bancos de datos privados destinados a proveer informes; y en tal sentido, cabe considerar que la "historia clínica" -cuya copia se persigue en autos- se adecua al concepto de "provisión de informes" utilizado por el texto constitucional, ya que éste no se agota en el hecho de proporcionar datos a terceros no relacionados con el sujeto respecto al cual se informa, sino que abarca también casos como el presente, en que los datos archivados

son de un carácter tal que pueden o deben ser conocidos por el afectado o sus médicos”. ("Bianchi de Saenz, Delia Angela c/ Sanatorio Greyton S.A. s/Amparo". Dictámen del Fiscal ante la Cámara. C.N.Civ., Sala F., julio 6-1995. ED, 165-255).

 

            En otro fallo (CNCom., Sala E, 15/5/2002, Becker, José c/Banco de la Provincia de Buenos Aires s/amparo), la fiscal ante la Cámara de Apelaciones en lo Comercial, Dra. Alejandra Gils Carbó dictaminó, con cita de jurisprudencia comparada: que “... hay archivos de uso interno que no están destinados a proveer informes a terceros pero que en cierto modo exceden el uso personal de quien los crea o administra porque su contenido puede servir para realizar evaluaciones o más simplemente para obtener información del interesado. Esta interpretación se ve confirmada con el art. 1ro. del decreto reglamentario y con la mención en la misma norma (art. 5.2.e) de las entidades financieras. La citada sala de la Cámara se remitió en su decisión a los argumentos de la fiscal” (citado por Palazzi, Pablo, Derecho y Nuevas Tecnologías, Nro. 4/5, Derechos Personalísimos, Edit. Ad.Hoc, Buenos Aires, 2003, trabajo titulado Ámbito de Aplicación de la ley de protección de datos personales, p. 123).

 

2. Uso Exclusivo Personal:

 

            El concepto de uso exclusivo personal debe interpretarse de la manera más favorable al ejercicio del derecho a controlar la información personal, dado el carácter de derecho humano fundamental que reviste.

 

            Por ello, corresponde interpretar restrictivamente el ámbito de alcance del concepto “banco de datos de uso exclusivo personal”, lo que significa, literalmente, uso exclusivo de la persona titular del banco de datos, y limitarlo entonces a aquel tratamiento que por sus características quede comprendido dentro de lo que se llaman “acciones privadas” previstas en el artículo 19 de la Constitución Nacional (Ejemplo: computador personal con direcciones de amistades), entendidas como aquellas que por conservarse en la esfera íntima de la persona no trascienden a terceros y/o no tienen razonable potencialidad de dañar un derecho o interés legítimo del titular del dato.

 

 

           

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

            Formularios:  breve explicación de los mismos

 

 

 

El Formulario FA01 es el denominado “general”. Mediante el mismo se registran las bases de datos que no quedan comprendidas en alguno de los demás Formularios denominados “específicos”.

 

Dentro de estos últimos se encuentran:

 

FB01: aplicable a las bases de datos correspondientes a prestación de servicios informatizados de datos personales (art. 25, Ley 25.326)

 

FC01: aplicable a las entidades del sector publicidad con Código de Conducta homologado (art. 27, Ley 25.326)

 

FD01: formulario de validación  de la inscripción a completar por los asociados a entidades con Código de Conducta homologado.

 

FE01: aplicable a las bases de datos comprendidas en el artículo 27 que NO se encuentren adheridas a entidades del sector publicidad con código de conducta homologado.

 

FF01: aplicable a entidades sin fines de lucro que obtengan ingresos del tratamiento de datos.

 

FF07: aplicable a entidades sin fines de lucro que NO obtengan ingresos del tratamiento de datos.

 

 

Detalle del/los formularios a utilizar según sea la actividad de la empresa/responsable.

 

1-      Si el Responsable del Banco de Datos no es una organización sin fines de lucro y realiza actividades que no incluyen tratamiento (procesamiento) de datos para terceros ni desarrollo de operaciones de publicidad venta directa y similares, debe inscribir sus bases de datos utilizando el formulario FA.01.

2-      Si el Responsable no es una organización sin fines de lucro y realiza exclusivamente tareas de tratamiento (procesamiento) de datos para terceros, que no sean empresas de publicidad venta directa y similares, deberá inscribir sus bases de datos utilizando el formulario FB.01.

3-      Si el Responsable tiene bases de datos que posean como finalidad exclusiva el desarrollo de actividades de publicidad, venta directa y similares o realice tareas de tratamiento (procesamiento) de datos exclusivamente para empresas de publicidad venta directa y similares, estará habilitado para inscribirse ante una entidad con Código de Conducta homologado. Si así lo hace debe validar dicha inscripción ante la DNPDP utilizando el formulario FD.01. Caso contrario debe inscribirse ante esa Dirección utilizando el formulario FE.01.

4-      Si el Responsable realiza tareas de tratamiento (procesamiento) de datos para terceros y además tenga bases de datos con finalidades distintas, debe inscribir las bases de datos correspondientes al procesamiento para terceros utilizando el formulario FB.01 y las demás utilizando los formularios pertinentes a las finalidades que denuncie.

5-      Si el Responsable realiza tareas de publicidad pero no en forma exclusiva deberá inscribir las bases de datos de publicidad mediante el formulario FE.01 o validar mediante el FD.01 si es miembro de una Entidad con Código de Conducta Homologado. Las demás bases de datos de dicho Responsable que tengan finalidades principales distintas a la publicidad, venta directa y similares o al procesamiento de datos exclusivamente para empresas de publicidad deberán inscribirse mediante el formulario que corresponda.

6-     Los formularios FF.01 y FF.07 se utilizan para organizaciones sin fines de lucro.

 

 

 

Dudas más frecuentes para completar los formularios

 

1. b. Identificar el Banco de Datos que registra

Usted debe darle un nombre al Banco de Datos que registra. Ese nombre debe ilustrar de qué se trata esa base. De esa forma le servirá para, al momento de la renovación anual, actualizar más fácilmente los distintos Bancos de Datos que complete.

Los ejemplos más comunes son: clientes / pacientes / empleados o recursos humanos / proveedores.

 

3. a. ¿Trata datos sensibles (Art. 2º de la Ley Nº 25.326)? *

Le recordamos que datos sensibles son aquellos que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

En caso de hacer tratamiento de dichos datos deberá indicar la norma que lo autoriza. Por ejemplo aquellos que poseen datos sobre la afiliación sindical, si corresponde,  lo pueden justificar en la Ley Nº 23.551. La autorización para que el empleador posea datos de salud de sus empleados surge de la normativa laboral, etc.

Le recordamos que para los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud es el art. 8º de la Ley Nº 25.326 el que autoriza el tratamiento de dichos datos.

 

 

4. a.2. ¿Los datos deben ser facilitados por su titular de manera obligatoria? *

 

En este punto se entiende por obligatorio cuando existe una norma legal que así lo dispone. No es el supuesto en que las partes facilitan sus datos porque en caso contrario no puede llevarse adelante una relación contractual.

 

 

5. a. Cesión de datos:

Se entiende por cesión de datos toda comunicación de los mismos a un tercero. La misma abarca tanto la transferencia por medios electrónicos como la divulgación verbal o visual. No se incluyen las transferencias de datos al prestador de servicios de tratamiento por cuenta del responsable, punto 13 del presente y art. 25 de la Ley Nº 25.326.

 

 

 

7. Tiempo de conservación de los datos.

 

Según el inc. 7º del art. 4º de la Ley Nº 25326 los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados. Por este motivo es erróneo consignar en dicho punto que los datos se conservan por tiempo indeterminado.

 

Si el tiempo de conservación no es determinado deberá explicar en la ventana del punto 7.b. el criterio de conservación que implementa, es decir, hasta cuándo son necesarios o pertinentes de acuerdo a la actividad que realizan.

 

 

8.c. Banco de Datos accedido en forma remota: Se refiere al caso en que el Banco de Datos pueda ser accedido por personal propio o terceros en forma remota (a través de una red propia de equipos interconectados –Intranet-, o una red no propia –Internet-, o acceso vía módem).

 

 

9. Modo en que se relaciona la información registrada.

 

Se refiere a cuál es el dato principal que al ser ingresado al software de la base de datos nos lleva al resto de la información que se tiene sobre una persona física o jurídica. Generalmente suelen ser nombre y apellido, DNI, legajo, etc.

 

10. a. Adopta medidas de seguridad: Las medidas de seguridad pueden ser físicas o lógicas. Deberá marcar afirmativamente en dicho punto del cuestionario ya que el art. 9º de la Ley establece que: El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

Igual respuesta deberá darse al punto 10.b.

 

 

11. b. Indicar las condiciones que debe cumplir el titular del dato para acceder a sus datos

 

Normalmente el titular del dato deberá dirigirse a ustedes por alguno de los medios que establecieron en el punto 11. a. Deberá posteriormente acreditar su identidad.

 

11. c. Derecho de confidencialidad, rectificación, actualización y supresión: Indicar el procedimiento establecido para el ejercicio de los derechos de rectificación, actualización, supresión y confidencialidad.

 

 

El procedimiento correcto es recibir el pedido por la vía establecida en el punto 11.a y, habiendo cumplido el interesado con los requisitos del punto 11.b, en caso de corresponder, realizar la rectificación / actualización / supresión en el plazo que estable el art. 16 de la Ley Nº 25.326 (no más de 5 días hábiles)

 

 

13. Contratación de servicios de tratamiento de datos con terceros.

 

 

Debe contestarse en caso de contratarse, por ejemplo, una liquidación de sueldos por un tercero, el hosting de una página web, servicio de call center, etc.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Pasos para la inscripción de las bases de datos ante este Registro Nacional:

 

 

 

1) Ingresar en la página www.jus.gov.ar/datospersonales

 

2) Sobre la columna izquierda, en el área “Servicios”, hacer click en el link "Registro Nacional".

 

 

3) De las opciones que aparecerán sobre la derecha hacer click en "Formulario de Inscripción"

 

 

 

 

4) El sistema le solicitará, la primera vez, que genere un nuevo usuario y contraseña. Luego de realizado ello deberá ingresar dicho usuario y contraseña para continuar.

 

 

5) Ya en la página del Registro propiamente dicha deberá hacer elegir del menú (parte superior izquierda de la pantalla) la opción Nuevo Formulario, luego Inscripción y posteriormente ingresar en el Formulario que corresponda de acuerdo a la base de datos que quiera registrar (ante la duda consultar a datospersonales@jus.gov.ar).

 

 

 

6) Ya dentro del Formulario primero deberá completar los datos del Responsable y procesarlos (hacer click en "Procesar"). Luego de esto, en el punto 1.b, deberá hacer click en "abrir ventana" para ingresar la información relacionada con la primera base de datos que quiera registrar.

 

 

 

7) Al abrir la ventana aparecerán los 13 puntos que debe completar del Formulario.

 

8) Luego de procesar los datos completados en el Formulario volverá a la página anterior donde había completado los datos del Responsable. Si no tiene otra base de datos por registrar (recordar que bajo un único Responsable y dentro de un mismo Formulario puede volver a hacer click en "abrir ventana" e informar otras bases de datos) deberá hacer click en "Confirmar la carga del Formulario" en la parte inferior de la pantalla.

(Atención: al confirmar la carga ya no podrá modificar el Formulario salvo pequeñas rectificaciones vía correo electrónico)

 

9) Se generará automáticamente un archivo en formato PDF para imprimir.

 

10) Dicho documento impreso consta del Formulario ya completado, una Nota de Solicitud y, si el Formulario tiene algún costo, el monto a depositar o transferir y los datos de la cuenta del Banco Nación.

 

 

11) Deberá enviar a esta Dirección Nacional el Formulario, la Nota de Solicitud con firma y personería certificadas por escribano o entidad bancaria y copia del comprobante de pago si correspondiera.

 

Aquellos que posean página web podrán adjuntar a la Nota de Solicitud el pedido de autorización para la utilización de un isologotipo (Disposición DNPDP 6/05) que tiene por función acreditar el cumplimiento del deber de registro y que oportunamente les será enviado por correo electrónico.

 

 

12) Posteriormente, de no haber observaciones al Formulario, se hará entrega del correspondiente Certificado de Inscripción. 

 

 

 

Atentamente

 

Registro Nacional de Base de Datos

Dirección Nacional de Protección de Datos Personales

Ministerio de Justicia y Derechos Humanos.