La ley argentina de protección de datos personales establece el derecho a la protección de datos personales. Define datos personales y datos sensibles, y establece principios como el consentimiento, la finalidad y la seguridad de los datos. Los titulares de datos tienen derechos como el acceso, la rectificación y el olvido. La ley crea una autoridad de control y establece sanciones por infracciones. También regula la transferencia internacional de datos.

1. Perspectiva de Argentina: protección de datos personales Ley Federal de Protección de Datos Personales en Poder de los Particulares. Aprendiendo del Panorama Internacional: Diferencias y similitudes con respecto de la Ley Mexicana.

2. Derecho a la Privacidad o Intimidad Art. 18 y 19 Constitución Nacional Art. 1071 bis Código Civil ≠ Derecho a la Protección de Datos Personales o a la Autodeterminación Informativa Art. 43 Constitución Nacional (ref. año 1994)

3. Marco normativo √ Art. 43 C.N. √ Ley 25326 de Protección de Datos Personales (30/10/2000) > Reglamenta Art. 43 C.N. √ Decreto Reglamentario n° 1558/2001 > Reglamenta LPDP.

4. Objeto de la ley “ …la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre…”. “Las disposiciones de la presente ley también serán aplicables,.., a los datos relativos a personas de existencia ideal”.

5. Bases de datos sometidas a la aplicación de la ley Archivos de datos de titularidad pública. Bases de datos privadas destinadas a proveer informes. Cuando se utilicen procedimientos electrónicos o manuales. De titularidad tanto de personas físicas como jurídicas (ideales, morales).

6. Excluidos del régimen legal Datos personales almacenados en archivos de uso interno, personal o doméstico. Bases de datos de fuentes periodísticas. Archivos de datos recopilados con fines estadísticos, disociados de la identidad del titular.

7. Graduaciones de protección Datos de libre circulación: nombre, D.N.I., domicilio, profesión, etc. (Art. 5, inc. 2 LPDP) “datos públicos”. Datos de circulación restringida: crediticios, tributarios. Datos de recolección prohibida: origen racial y étnico, convicciones religiosas, salud, vida sexual, etc. (Art. 2 LPDP) “datos sensibles”.

8. Conceptos Básicos

9. Datos personales Información de cualquier tipo sobre personas físicas o de existencia ideal determinadas o determinables.

10. Datos sensibles Datos personales que revelan el origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

11. Archivos, registros, bases o bancos de datos Indistintamente designanal conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuese la modalidad de su formación, almacenamiento, organización o acceso.

12. Tratamiento de datos personales Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.

13. Responsable de archivo, registro, base o banco de datos Persona física o de existencia ideal pública o privada, que es titular de un archivo, registro, base o banco de datos.

14. Datos informatizados Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado.

15. Titular de los datos Toda persona física o de existencia ideal con domicilio legal o delegaciones o sucursales en el país cuyos datos sean objeto de tratamiento al que se refiere la presente ley.

16. Usuario de datos Toda persona, pública o privada, que realice a su arbitrio, el tratamiento de datos, ya sea en archivos, registros o banco de datos propios o a través de conexiones con los mismos.

17. Disociación de datos Todo tratamiento de Datos Personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable.

18. principios

19. Principio de legalidad La formación de archivos de datos será lícita cuando: 1. Se encuentren inscriptos (en el órgano de control – RNBD Art. 21 y 24). 2. En su operación cumplan con los principios de la ley y su reglamentación. 3. No tengan finalidad contraria a la ley o a la moral públicas.

20. Principio de calidad de datos Datos personales objeto de tratamiento: Ciertos, adecuados, pertinentes y no excesivos con relación al ámbito y finalidad para los que se hubieran obtenido. Exactos, actualizados y completos. La información debe ser correcta, libre de errores, equivocaciones o defectos. Además debe ser actualizada, que mantenga vigencia. Una información desactualizada, equivale a una información incorrecta.

21. Principio de lealtad en la recolección de datos y deber de información Cuando se recaben datos personales, se deberá informar a sus titulares en forma expresa y clara: a) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios. b) La existencia del archivo, registro, banco de datos, electrónicos o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable. c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga. d) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos. e) La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos.

22. Principio de finalidad Los datos que se recojan no pueden ser utilizados con finalidades distintas o incompatibles con aquellas que motivaron su obtención. Tanto en la recolección como en el mantenimiento de los datos. Destrucción del dato innecesario.

23. Principio del consentimiento Debe ser libre, expreso e informado y constar por escrito o por cualquier otro medio que permita que se le equipare. Doble consentimiento: Para la recolección y el tratamiento. Para la cesión o transferencia. Puede ser revocado en cualquier momento.

24. Excepciones al consentimiento Cuando los datos se obtengan de fuentes de acceso público irrestricto. Se recolecten para ejercicio de funciones propias del Estado o en virtud de obligación legal. Se trate de datos nominativos o de libre circulación (nombre, D.N.I., domicilio). Deriven de relación contractual, científica o profesional del titular. Se trate de operaciones de entidades financieras.

25. Interés legítimo Es el que determina la licitud en el tratamiento de los datos personales, de manera que no sólo la finalidad de la base de datos debe ser legítima, sino que la cesión de esos datos sólo puede hacerse para el cumplimiento de los fines directamente relacionados con los intereses legítimos del cedente y cesionario.

26. Principio de seguridad Presupuesto indispensable para que la tutela legal sea efectiva. Abarca a las medidas técnicas y de organización. Trasgresión de normas de seguridad y confidencialidad: delito penal.

27. Deber de confidencialidad De los datos personales que son objeto de tratamiento, a cargo del responsable y de todas las personas que intervienen en cualquier fase del procedimiento, que se mantiene aún después de finalizada la vinculación. Es común requerir firma de Compromisos de Confidencialidad.

28. Permitir el ejercicio de los derechos del titular Conformado por un plexo de derechos: Derecho a conocer (Righttoknow). Derecho a acceder (Righttoacces). Derecho a rectificar (Righttocorrect). -”Derecho al olvido”. Hacia ese fin están enfocadas las normas de la LPDP.

29. Derecho a conocer (art. 13 LPDP) Es el derecho que tiene toda persona de solicitar al organismo de control información relativa a la existencia de archivos de información personal, su finalidad registrada y la identidad y domicilio del titular. Limitado a la información que posee la Autoridad de Control.

30. Derecho de acceso (art. 14 LPDP) Es lo que la doctrina ha llamado Habeas Data. Puede presentarse como reclamo entre particulares (si se trata de registro privado) como reclamo administrativo, si el registro es público o mediante acción judicial. Finalidad: tomar conocimiento del contenido de los datos almacenados. Procedimiento, la información se puede reunir por etapas (Autoridad de Control – Base de Datos). Modalidad de su ejercicio: pedido puede ser verbal o escrito, mediante formularios, CD, etc., al responsable de la base previa acreditación de identidad del titular.

31. Formulario modelo elaborado por la Autoridad de Control y que se puede obtener de su sitio web para ejercicio del derecho. Contestación: clara, en lenguaje accesible y no puede estar codificada. Otorgarse en plazo de 10 días. Medios de contestación: visualización en pantalla, informe escrito, transmisión electrónica, etc. Beneficio de gratuidad, en intervalos de seis meses o menos en caso de interés legítimo.

32. Derecho de rectificación, actualización, supresión o bloqueo (art. 16 LPDP) Derechos del titular: Rectificar, los datos falsos, erróneos o inexactos. Suprimir, datos inadecuados, impertinentes o excesivos, de acuerdo a los principios de calidad o sujeción al fin del registro o los que resulten caducos o innecesarios. Exigir confidencialidad o bloqueo, por ejemplo, como solución provisional que puede adoptar el responsable del archivo mientras dura el proceso de verificación del dato. Actualizar, los datos obsoletos o vetustos.

33. Procedimiento: presentado el reclamo por el titular al responsable, éste tiene cinco días para obrar y comprobar la exactitud y veracidad del reclamo. Si el responsable o usuario del banco de datos no da cumplimiento a lo requerido en el plazo indicado quedará expedita la vía judicial.

34. -derecho al olvido (art. 26 LPDP) Principio en virtud del cual ciertas informaciones deben ser eliminadas de los archivos, transcurrido un determinado lapso de tiempo desde el momento en que acaeció el hecho a que se refieren. Es un modo de solicitar la supresión de datos por el sólo hecho del transcurso del tiempo (5 años: obligaciones impagas - 2 años: cancelación de la obligación). Tiene lugar cuando se eliminan datos ciertos del archivo (de lo contrario procede Habeas Data por falsedad).

35. Autoridad de control Dirección Nacional de Protección de Datos Personales (Art. 29 LPDP y Decr. Regl.). Órgano unipersonal en el ámbito de la Secretaría de Justicia y Asuntos Legislativos del Ministerio de Justicia y Derechos Humanos. Funciones: de asesoramiento, reglamentarias y registrales (controlar el cumplimiento de los requisitos y garantías que deben cumplir los archivos para obtener la inscripción en el registro) de inspección, para controlar la observancia de la normativa vigente de investigación, para verificar infracciones y facultades disciplinarias, es decir que debe imponer sanciones administrativas ante una violación a la LPDP. Capítulo de LPDP: no tiene aplicación directa en las provincias.

36. Sanciones (art. 31 LPDP) La DNPDP podrá aplicar como sanciones: apercibimiento suspensión multa clausura o cancelación del archivo, registro o banco de datos.

37. Transferencia internacional de datos personales (Art. 12 LPDP) Es prohibida la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados. La prohibición no regirá en los siguientes supuestos: Colaboración judicial internacional. Intercambio de datos de carácter médico, cuando lo exija el tratamiento del afectado, o una investigación epidemiológica. Transferencias bancarias o bursátiles. Transferencia acordada en el marco de tratados internacionales en los cuales la Argentina sea parte. Transferencia que tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.

38. Dictamen 4/2002 sobre Nivel de Protección de Datos Personales en Argentina del Grupo de Trabajo del Art. 29 uE Argentina garantiza un nivel de protección adecuado en relación a la Directiva 95/46/CE relativa a la protección de personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos. Invita a las autoridades argentinas a tomar las medidas necesarias para solucionar los puntos débiles de los actuales instrumentos legales. Decisión de la Comisión de las Comunidades Europeas del 30/06/2003con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección de los Datos Personales en Argentina: se considera que Argentina garantiza un nivel de protección en lo que respecta a los datos personales transferidos desde la Comunidad.

39. Muchas gracias…. Ab. Fátima Cambronero @facambronero presidencia@ar.ageiadensi.org http://ar.ageiadensi.org/