Circular Informativa A - 319/2006.
Buenos Aires, 30 de Enero de 2006.
Señor:
Gerente de la Cooperativa:
Ref.: Ley 25.326 –Ley de protección de datos personales.
-------------------------------------------
Estimado Cooperador:
Por medio de la presente, nos dirigimos a Ud. a los efectos de recordarle algunas cuestiones vinculadas con la ley de referencia.
La ley 25.326 de protección de datos personales fué sancionada el 04/10/2000 y reglamentada por Decreto 1558/01, del Poder Ejecutivo Nacional.
Objeto de la ley:
El objeto de la misma es la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean estos públicos, o privados destinados a dar informes, para garantizar el honor y la intimidad de las personas, así como el acceso a la información que sobre las mismas se registre.
Las disposiciones de ley también son aplicables, en lo pertinente, a las personas jurídicas.
Marco normativo:
El organismo de control es la Dirección Nacional de Protección de Datos Personales (DNPDP) dependiente de la Secretaría de Justicia de la Nación. Este organismo ha dictado sucesivas disposiciones referidas al tema.
En anexo a la presente se enumeran las normas aplicables.
Inscripción:
La ley dispone que los particulares que formen archivos, registros o bancos de datos que no sean para un uso exclusivamente personal, deberán registrarse en la Dirección Nacional de Protección de Datos Personales (DNPDP). De esta forma, la mayoría de las organizaciones quedan comprendidas, ya que al menos manejan datos de sus clientes, proveedores y personal en relación de dependencia, sobre los cuales, deben cumplir con diversos deberes de información ante la AFIP, Rentas y ANSES, entre otros.
La obligación de inscripción, comprende a las organizaciones y/o profesionales por las bases de datos que tengan en forma digital o en papel (por ejemplo las bases con datos de sus clientes, proveedores y personal, entre otras), ya sean propias, o transferidas por cuenta de terceros para su tratamiento.
Para inscribir las bases de datos existentes, hay que completar el formulario FA.01 (bases de datos propias) y/o FB 01 (bases de datos de terceros) en www.jus.gov.ar/datospersonales. El primero de ellos incluso para las cooperativas, de acuerdo a lo manifestado verbalmente por el jefe del Registro Nacional de Bases de Datos, porque realizan actividad comercial (no obstante, adviértase en la explicación del uso de los formularios que se adjuntan, que el FA 01 está concebido para organizaciones con fines de lucro, lo cual no es consistente con la posición que la doctrina y jurisprudencia la han asignado a las cooperativas). Al registrarse, las empresas no comparten sus bases de datos, sino que sólo deben notificar que tipo de información almacenan, que uso le dan y a quien y como hay que dirigirse para conocer que información tienen de uno o si se quiere que la corrijan o supriman.
Consentimiento:
El tratamiento (o procesamiento) de los datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que debería contar por escrito, o por otro medio que se equipare.
No será necesario el consentimiento cuando los datos se obtengan de acceso público irrestricto, o se recaben por una obligación legal, o se limiten a nombre, documento, identificación tributaria o previsional, ocupación, fecha de nacimiento o domicilio, etc.
Infracciones y sanciones:
Están enumeradas en la ley, a la que nos remitimos.
Vigencia:
Mediante la Disposición N° 1/06 (DNPDP) del 18/1/06 se prorrogó el plazo de vencimiento para la inscripción, hasta el 31/03/06.
Aclaraciones:
Adjuntamos a la presente cuatro archivos impresos con algunas aclaraciones que, ante nuestra consulta, hemos recibido del Registro Nacional de Base de Datos, sobre :
a) El motivo por el cual se debe registrar una bases de datos
b) Formularios: breve explicación de los mismos
c) Dudas frecuentes para completar los formularios
d) Pasos para la inscripción de las bases de datos ante el Registro Nacional.
Asimismo sugerimos ingresar a la página Web www.jus.gov.ar/datospersonales en donde se puede acceder a toda la normativa vigente, para que los responsables de la administración de las cooperativas puedan dar debido cumplimiento a la misma, ya que la información contenida en esta Circular no abarca todos los aspectos tratados por la ley y sus reglamentaciones.
Cordialmente.
Cr. Fernando L. Orecchia.
- Decretos del Poder Ejecutivo Nacional (P.E.N.):
- Decreto
995/2000 – 22/11/2000: Régimen Legal.
- Decreto
1558/2001 – 3/12/2001: Ley 25326 – Reglamentación.
- Decreto
1187/2003 – 9/12/2003: Base de datos – Comisión de estudios.
- Disposiciones de la Dirección Nacional de Protección de Datos Personal:
- Disposición 1/2003 –
30/6/2003: Clasificación infracciones – sanciones – aprobación.
- Disposición 2/2003 –
27/11/2003: Su creación – Primer censo nacional.
- Disposición 1/2004 –
26/2/2004: Primer censo nacional de archivos, registros, bases...
- Disposición 4/2004 –
26/11/2004: Código ética asociación marketing directo...
- Disposición 2/2005 –
18/2/2005: Formularios de inscripción.
- Disposición 3/2005 –
13/4/2005: Formularios, instructivos y normas - aprobación.
- Disposición 6/2005 –
7/9/2005: Diseño del isologotipo – aprobación.
- Disposición 7/2005 –
11/11/2005: Clasificación de infracciones y graduación de las
sanciones
– aprobación.
- Resoluciones:
o Resolución
325/2002 Ministerio de Justicia y Derechos Humanos – 7/6/2002: Dirección
Nacional de Protección de datos personales.
o Resolución
40/2004 Secretaría de Comunicaciones – 16/2/2004: Datos filiatorios de
clientes.
o Resolución
415/2004 Ministerio de Justicia, Seguridad y Derechos Humanos – 28/5/2004: Registro – Creación.
o Resolución
1133/2005 Administración Nacional de la Seguridad Social – 1/12/2005: Bases
de datos – Adecuación.
o
Resolución 15/2005 Subsecretaria de Gestión Pública –
4/01/2006: Registro de Personal
Por qué se debe registrar una base de datos.
Con respecto a las inquietudes en cuanto al alcance de la Ley Nº 25.326 le podemos señalar lo siguiente:
Que la citada norma legal es una ley de orden público que reglamenta la actividad informativa ejercida a través de bancos de datos, regulando el ejercicio del derecho a la autodeterminación informativa contenido implícitamente en el artículo 43 de la Constitución Nacional, así como el derecho a la intimidad y el honor de las personas. Se trata asimismo de un derecho humano instrumental que permite la protección de otros derechos (libertad informativa, derecho a la identidad, derechos patrimoniales, derecho al trabajo, etc.).
El artículo 1º de la Ley Nº 25.326 define su alcance cuando señala que “... tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional”.
Por su parte, el artículo 1º del Anexo I del Decreto Nº 1558/2001, reglamentario de la citada ley prevé: “A los efectos de esta reglamentación, quedan comprendidos en el concepto de archivos, registros, bases o bancos de datos privados destinados a dar informes, aquellos que exceden el uso exclusivamente personal y los que tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a título oneroso o gratuito”.
Teniendo en cuenta lo hasta aquí expuesto y a fin de determinar el contenido y alcance del artículo 1º del Decreto 1558/2001, es necesario tener presente los siguientes conceptos determinantes:
1. Destinado a dar
informes:
Debe entenderse por banco de datos destinado a proveer informes a aquel registro, archivo, base o banco de datos que permita obtener información sobre las personas, se transmitan o no a terceros; dado que el tratamiento implica un riesgo susceptible de causar un perjuicio al titular del dato. Asimismo, al ser el derecho a controlar la información personal un derecho humano, exige una interpretación amplia de las normas que lo implementan.
Jurisprudencia: “Cabe precisar que, contrariamente a lo
sostenido por el a quo, el texto de la Constitución Nacional en materia de
hábeas data no se refiere a entidades privadas cuyo fin sea proveer informes,
sino a registros o bancos de datos privados destinados a proveer informes; y en
tal sentido, cabe considerar que la "historia clínica" -cuya copia se
persigue en autos- se adecua al concepto de "provisión de informes"
utilizado por el texto constitucional, ya que éste no se agota en el hecho de
proporcionar datos a terceros no relacionados con el sujeto respecto al cual se
informa, sino que abarca también casos como el presente, en que los datos
archivados
son de un carácter tal que pueden o deben ser conocidos por el afectado o sus médicos”. ("Bianchi de Saenz, Delia Angela c/ Sanatorio Greyton S.A. s/Amparo". Dictámen del Fiscal ante la Cámara. C.N.Civ., Sala F., julio 6-1995. ED, 165-255).
En otro fallo (CNCom., Sala E, 15/5/2002, Becker, José c/Banco de la Provincia de Buenos Aires s/amparo), la fiscal ante la Cámara de Apelaciones en lo Comercial, Dra. Alejandra Gils Carbó dictaminó, con cita de jurisprudencia comparada: que “... hay archivos de uso interno que no están destinados a proveer informes a terceros pero que en cierto modo exceden el uso personal de quien los crea o administra porque su contenido puede servir para realizar evaluaciones o más simplemente para obtener información del interesado. Esta interpretación se ve confirmada con el art. 1ro. del decreto reglamentario y con la mención en la misma norma (art. 5.2.e) de las entidades financieras. La citada sala de la Cámara se remitió en su decisión a los argumentos de la fiscal” (citado por Palazzi, Pablo, Derecho y Nuevas Tecnologías, Nro. 4/5, Derechos Personalísimos, Edit. Ad.Hoc, Buenos Aires, 2003, trabajo titulado Ámbito de Aplicación de la ley de protección de datos personales, p. 123).
2. Uso Exclusivo
Personal:
El concepto de uso exclusivo personal debe interpretarse de la manera más favorable al ejercicio del derecho a controlar la información personal, dado el carácter de derecho humano fundamental que reviste.
Por ello, corresponde interpretar restrictivamente el ámbito de alcance del concepto “banco de datos de uso exclusivo personal”, lo que significa, literalmente, uso exclusivo de la persona titular del banco de datos, y limitarlo entonces a aquel tratamiento que por sus características quede comprendido dentro de lo que se llaman “acciones privadas” previstas en el artículo 19 de la Constitución Nacional (Ejemplo: computador personal con direcciones de amistades), entendidas como aquellas que por conservarse en la esfera íntima de la persona no trascienden a terceros y/o no tienen razonable potencialidad de dañar un derecho o interés legítimo del titular del dato.
Formularios:
breve explicación de los mismos
El Formulario FA01 es el denominado “general”. Mediante el mismo se registran las bases de datos que no quedan comprendidas en alguno de los demás Formularios denominados “específicos”.
Dentro de estos últimos se encuentran:
FB01: aplicable a las bases de datos correspondientes a prestación de servicios informatizados de datos personales (art. 25, Ley 25.326)
FC01: aplicable a las entidades del sector publicidad con Código de Conducta homologado (art. 27, Ley 25.326)
FD01: formulario de validación de la inscripción a completar por los asociados a entidades con Código de Conducta homologado.
FE01: aplicable a las bases de datos comprendidas en el artículo 27 que NO se encuentren adheridas a entidades del sector publicidad con código de conducta homologado.
FF01: aplicable a entidades sin fines de lucro que obtengan ingresos del tratamiento de datos.
FF07: aplicable a entidades sin fines de lucro que NO obtengan ingresos del tratamiento de datos.
Detalle del/los formularios a
utilizar según sea la actividad de la empresa/responsable.
1-
Si el
Responsable del Banco de Datos no es una organización sin fines de lucro y realiza actividades que no incluyen
tratamiento (procesamiento) de datos para terceros ni desarrollo de
operaciones de publicidad venta directa y similares, debe inscribir sus bases
de datos utilizando el formulario FA.01.
2-
Si el
Responsable no es una organización sin fines de lucro y realiza exclusivamente tareas de tratamiento
(procesamiento) de datos para terceros, que no sean empresas de publicidad
venta directa y similares, deberá inscribir sus bases de datos utilizando el formulario FB.01.
3-
Si el
Responsable tiene bases de datos que posean como finalidad exclusiva el
desarrollo de actividades de publicidad, venta directa y similares o realice
tareas de tratamiento (procesamiento) de datos exclusivamente para empresas de
publicidad venta directa y similares, estará habilitado para inscribirse ante
una entidad con Código de Conducta homologado. Si así lo hace debe validar dicha inscripción ante la DNPDP utilizando
el formulario FD.01. Caso contrario debe inscribirse ante esa Dirección
utilizando el formulario FE.01.
4-
Si el
Responsable realiza tareas de tratamiento (procesamiento) de datos para
terceros y además tenga bases de datos con finalidades distintas, debe
inscribir las bases de datos correspondientes al procesamiento para terceros
utilizando el formulario FB.01 y las demás utilizando los formularios
pertinentes a las finalidades que denuncie.
5-
Si el
Responsable realiza tareas de publicidad pero no en forma exclusiva deberá
inscribir las bases de datos de publicidad mediante el formulario FE.01 o
validar mediante el FD.01 si es miembro de una Entidad con Código de Conducta
Homologado. Las demás bases de datos de dicho Responsable que tengan finalidades principales
distintas a la publicidad, venta directa y similares o al procesamiento de
datos exclusivamente para empresas de publicidad deberán
inscribirse mediante el formulario que corresponda.
6- Los formularios FF.01 y FF.07 se utilizan para organizaciones sin fines de lucro.
Dudas más frecuentes para
completar los formularios
1. b.
Identificar el Banco de Datos que registra
Usted
debe darle un nombre al Banco de Datos que registra. Ese nombre debe ilustrar
de qué se trata esa base. De esa forma le servirá para, al momento de la
renovación anual, actualizar más fácilmente los distintos Bancos de Datos que
complete.
Los ejemplos más comunes son: clientes / pacientes /
empleados o recursos humanos / proveedores.
3. a. ¿Trata datos sensibles (Art. 2º de la Ley Nº
25.326)? *
Le recordamos que datos sensibles son aquellos que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
En caso de hacer tratamiento de dichos datos deberá indicar la norma que lo
autoriza. Por ejemplo aquellos que poseen datos sobre la afiliación sindical,
si corresponde, lo pueden justificar en
la Ley Nº 23.551. La
autorización para que el empleador posea datos de salud de sus empleados surge
de la normativa laboral, etc.
Le recordamos que para los
establecimientos sanitarios públicos o privados y los profesionales vinculados
a las ciencias de la salud es el art. 8º de la Ley Nº 25.326 el que autoriza el
tratamiento de dichos datos.
4. a.2. ¿Los
datos deben ser facilitados por su titular de manera obligatoria? *
En este punto se entiende por obligatorio cuando existe una
norma legal que así lo dispone. No es el supuesto en que las partes facilitan
sus datos porque en caso contrario no puede llevarse adelante una relación
contractual.
5. a. Cesión de datos:
Se entiende por cesión de
datos toda comunicación de los mismos a un tercero. La misma abarca tanto la
transferencia por medios electrónicos como la divulgación verbal o visual. No
se incluyen las transferencias de datos al prestador de servicios de
tratamiento por cuenta del responsable, punto 13 del presente y art. 25 de la
Ley Nº 25.326.
7. Tiempo de
conservación de los datos.
Según
el inc. 7º del art. 4º de la Ley Nº 25326 los datos deben ser destruidos cuando
hayan dejado de ser necesarios o pertinentes a los fines para los cuales
hubiesen sido recolectados. Por este motivo es erróneo consignar en dicho punto
que los datos se conservan por tiempo indeterminado.
Si el tiempo de conservación no es determinado deberá explicar en la ventana del punto 7.b. el criterio de conservación que implementa, es decir, hasta cuándo son necesarios o pertinentes de acuerdo a la actividad que realizan.
8.c. Banco de Datos accedido en forma remota:
Se refiere al caso en que el Banco de Datos pueda ser accedido por personal
propio o terceros en forma remota (a través de una red propia de equipos
interconectados –Intranet-, o una red no propia –Internet-, o acceso vía
módem).
9. Modo en
que se relaciona la información registrada.
Se refiere a cuál es el dato principal que al ser ingresado
al software de la base de datos nos lleva al resto de la información que se
tiene sobre una persona física o jurídica. Generalmente suelen ser nombre y
apellido, DNI, legajo, etc.
10. a. Adopta medidas de seguridad: Las medidas
de seguridad pueden ser físicas o lógicas. Deberá marcar afirmativamente en
dicho punto del cuestionario ya que el art. 9º de la Ley establece que: El responsable o usuario
del archivo de datos debe adoptar las medidas técnicas y organizativas que
resulten necesarias para garantizar la seguridad y confidencialidad de los
datos personales, de modo de evitar su adulteración, pérdida, consulta o
tratamiento no autorizado, y que permitan detectar desviaciones, intencionales
o no, de información, ya sea que los riesgos provengan de la acción humana o
del medio técnico utilizado.
Igual respuesta deberá darse al punto 10.b.
11. b. Indicar las condiciones que debe cumplir el titular
del dato para acceder a sus datos
Normalmente el titular del dato deberá dirigirse a ustedes
por alguno de los medios que establecieron en el punto 11. a. Deberá
posteriormente acreditar su identidad.
11. c. Derecho de confidencialidad, rectificación,
actualización y supresión: Indicar el procedimiento establecido para el
ejercicio de los derechos de rectificación, actualización, supresión y
confidencialidad.
El procedimiento correcto es recibir el pedido por la vía
establecida en el punto 11.a y, habiendo cumplido el interesado con los requisitos
del punto 11.b, en caso de corresponder, realizar la rectificación /
actualización / supresión en el plazo que estable el art. 16 de la Ley Nº
25.326 (no más de 5 días hábiles)
13. Contratación de servicios de tratamiento de datos con
terceros.
Debe contestarse en caso de contratarse, por ejemplo, una
liquidación de sueldos por un tercero, el hosting de una página web, servicio
de call center, etc.
Pasos para la inscripción de las
bases de datos ante este Registro Nacional:
1) Ingresar
en la página www.jus.gov.ar/datospersonales
2) Sobre la
columna izquierda, en el área “Servicios”, hacer click en el link
"Registro Nacional".
3) De las
opciones que aparecerán sobre la derecha hacer click en "Formulario de
Inscripción"
4) El
sistema le solicitará, la primera vez, que genere un nuevo usuario y
contraseña. Luego de realizado ello deberá ingresar dicho usuario y contraseña
para continuar.
5) Ya en la
página del Registro propiamente dicha deberá hacer elegir del menú (parte
superior izquierda de la pantalla) la opción Nuevo Formulario, luego
Inscripción y posteriormente ingresar en el Formulario que corresponda de
acuerdo a la base de datos que quiera registrar (ante la duda consultar a
datospersonales@jus.gov.ar).
6) Ya
dentro del Formulario primero deberá completar los datos del Responsable y
procesarlos (hacer click en "Procesar"). Luego de esto, en el punto
1.b, deberá hacer click en "abrir ventana" para ingresar la
información relacionada con la primera base de datos que quiera registrar.
7) Al abrir
la ventana aparecerán los 13 puntos que debe completar del Formulario.
8) Luego de
procesar los datos completados en el Formulario volverá a la página anterior
donde había completado los datos del Responsable. Si no tiene otra base de
datos por registrar (recordar que bajo un único Responsable y dentro de un
mismo Formulario puede volver a hacer click en "abrir ventana" e
informar otras bases de datos) deberá hacer click en "Confirmar la carga del Formulario" en la parte inferior de la
pantalla.
(Atención:
al confirmar la carga ya no podrá modificar el Formulario salvo pequeñas
rectificaciones vía correo electrónico)
9) Se
generará automáticamente un archivo en formato PDF para imprimir.
10) Dicho
documento impreso consta del Formulario ya completado, una Nota de Solicitud y,
si el Formulario tiene algún costo, el monto a depositar o transferir y los
datos de la cuenta del Banco Nación.
11) Deberá
enviar a esta Dirección Nacional el Formulario, la Nota de Solicitud con firma
y personería certificadas por escribano o entidad bancaria y copia
del comprobante de pago si correspondiera.
Aquellos
que posean página web podrán adjuntar a la Nota de Solicitud el pedido de
autorización para la utilización de un isologotipo (Disposición DNPDP 6/05) que
tiene por función acreditar el cumplimiento del deber de registro y que
oportunamente les será enviado por correo electrónico.
12)
Posteriormente, de no haber observaciones al Formulario, se hará entrega del
correspondiente Certificado de Inscripción.
Atentamente
Registro
Nacional de Base de Datos
Dirección
Nacional de Protección de Datos Personales
Ministerio
de Justicia y Derechos Humanos.