VISTO el Expediente nº 140.546/03 del registro del MINISTERIO DE JUSTICIA, SEGURIDAD Y DERECHOS HUMANOS, la LEY DE PROTECCION DE LOS DATOS PERSONALES nº 25.326 y su Decreto Reglamentario nº 1558 de fecha 29 de noviembre de 2001, y
CONSIDERANDO:
Que la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, organismo dependiente de la SUBSECRETARIA DE ASUNTOS REGISTRALES de la SECRETARIA DE ASUNTOS REGISTRALES del Ministerio citado en el Visto, su carácter de órgano de control de la Ley nº 25.326, tiene encomendada la función de investigar y controlar que el tratamiento de los datos personales se realice en los términos de la citada Ley.
Que, asimismo, tiene asignada la misión de imponer las sanciones administrativas que correspondan por violación a las normas de la Ley nº 25.326 y de las reglamentaciones que se dicten en su consecuencia.
Que por la Disposición nº 7 del 8 de noviembre de 2005 del registro de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, se aprobó la «Clasificación de Infracciones» y la «Graduación de las Sanciones» a aplicar ante violaciones a las normas antes mencionadas.
Que el inciso 2 del artículo 31 de la Ley nº 25.326 dispone que la reglamentación determinará el procedimiento para la aplicación de las sanciones previstas en el mismo artículo. Que el Anexo I del Decreto nº 1558/01, reglamentario de la Ley nº 25.326, estableció en el inciso 3 del artículo 31, las reglas a las que debía ajustarse el procedimiento.
Que resulta conveniente sustituir dicho precepto, estableciendo un procedimiento que, aun cuando mantiene el esquema actualmente vigente, regule con mayores precisiones y simplifique la actividad de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES relativa a sus funciones de investigación y control, con miras a la procedencia de la aplicación de sanciones, con resguardo de las reglas del debido proceso y del derecho de defensa.
Que asimismo, la antes citada Disposición DNPDP nº 7/05 creó el REGISTRO DE INFRACTORES Ley nº 25.326 con el objeto de organizar y mantener actualizado un registro de los responsables de la comisión de las infracciones contempladas en el Anexo I de la disposición mencionada.
Que se considera conveniente, en cumplimiento de la garantía de publicidad de los actos de gobierno, conforme lo prevé el Decreto nº 1172 de fecha 3 de diciembre de 2003, que las constancias del Registro mencionado en el considerando precedente, sean publicadas en la página web de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, siempre y cuando se trate de sanciones que se encuentren firmes.
Que han tomado la intervención que les compete la DIRECCION GENERAL DE ASUNTOS JURIDICOS del MINISTERIO DE JUSTICIA, SEGURIDAD Y DERECHOS HUMANOS y la PROCURACION DEL TESORO DE LA NACION.
Que la presente medida se dicta en uso de las atribuciones conferidas por el artículo 99, inciso 2 de la CONSTITUCION NACIONAL.
Por ello,
LA PRESIDENTA DE LA NACION ARGENTINA
DECRETA:
Artículo 1º .- Sustitúyese el inciso 3. del artículo 31 del Anexo I del Decreto nº 1558/01 por el siguiente: «3. El procedimiento se ajustará a las siguientes disposiciones:
a) La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES (DNPDP) iniciará actuaciones administrativas en caso de presuntas infracciones a las disposiciones de la Ley nº 25.326, sus normas reglamentarias y complementarias, de oficio o por denuncia de quien invocare un interés particular, del Defensor del Pueblo de la Nación o de asociaciones de consumidores o usuarios.
b) Para el cumplimiento de sus cometidos, la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES podrá: I) Comprobar la legitimidad de todas las operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.
II) Constatar el funcionamiento adecuado de los mecanismos de control interno y externo del archivo, registro, base o banco de datos para el efectivo resguardo de los datos personales que contiene.
III) Verificar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos.
IV) Velar por el cumplimiento de los plazos establecidos en los artículos 14 y 16 de la Ley nº 25.326 para el ejercicio de los derechos de acceso, rectificación, supresión, actualización y confidencialidad reconocidos a los titulares de datos personales.
V) Realizar investigaciones e inspecciones, así como requerir de los responsables o usuarios de bancos de datos personales y de su tratamiento, información, antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que estime necesario y también solicitar el auxilio de los cuerpos técnicos y/o, en su caso, la autorización judicial que corresponda, a sus efectos.
VI) Solicitar la presentación de informes a los responsables de bancos de datos y de su tratamiento.
VII) Formular requerimientos ante las autoridades nacionales, provinciales y municipales.
VIII) Realizar inspecciones y labrar el Acta de Inspección pertinente, la que junto con las comprobaciones técnicas que se dispusieren, constituirá prueba suficiente de los hechos así comprobados.
IX) Solicitar al juez competente el auxilio de la fuerza pública para realizar el allanamiento de domicilios; la Clausura de registros; el secuestro de documentación y toda otra medida tendiente al cabal cumplimiento de la actividad investigativa.
c) Para el inicio del procedimiento, el denunciante deberá presentar ante la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES un escrito, el que deberá contener fecha, firma y aclaración; documento de identidad (DNI-CUIL-CUIT), domicilio, la relación del hecho denunciado con las circunstancias de lugar, tiempo y modo de ejecución y demás elementos que puedan conducir a su comprobación, como mínimo. Deberá acompañar en el mismo acto la documentación y antecedentes que confirmen sus dichos y acreditar en el momento de la interposición de la denuncia, las gestiones previas ante el responsable de la base de datos, cuando se tratare de cuestiones referidas a los derechos de acceso, actualización, rectificación, supresión, confidencialidad o bloqueo, regulados en los artículos 14, 16 y 27 de la Ley nº 25.326.
La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES podrá habilitar un sistema telemático para facilitar la interposición de la denuncia.
d) Iniciado el procedimiento, se requerirá del responsable de la base de datos sobre la que recae la denuncia, un informe acerca de los antecedentes y circunstancias que hicieren al objeto de la denuncia o actuación de oficio, así como de otros elementos de juicio que permitan dilucidar la cuestión sujeta a investigación o control.
La información requerida deberá ser contestada dentro de los DIEZ (10) días hábiles, salvo que el denunciado solicite en tiempo y forma una prórroga la que no podrá superar los DIEZ (10) días hábiles. Este plazo podrá ampliarse en casos debidamente justificados teniendo en cuenta la magnitud y dimensión de la base de datos. En su primera presentación, el denunciado deberá acreditar personería y constituir domicilio legal.
e) El funcionario actuante admitirá las pruebas que estime pertinentes sólo cuando existieren hechos controvertidos y siempre que no resultaren manifiestamente inconducentes. La denegatoria de las medidas de prueba no será recurrible.
f) En las distintas etapas del procedimiento, se podrá requerir al denunciante que aporte información o documentación que sea pertinente para la dilucidación de la investigación.
g) Cuando se considere «prima facie» que se han transgredido algunos de los preceptos de la Ley nº 25.326, sus normas reglamentarias y complementarias, se labrará un Acta de Constatación, la que deberá contener: lugar y fecha, nombre, apellido y documento de identidad del denunciante; una relación sucinta de los hechos; la indicación de las diligencias realizadas y su resultado y la o las disposiciones presuntamente infringidas, como mínimo. En ésta se dispondrá citar al presunto infractor para que, dentro del plazo de DIEZ (10) días hábiles, presente por escrito su descargo y, en caso de corresponder, acompañe las pruebas que hagan a su derecho.
h) Concluida la investigación y previo dictamen del servicio permanente de asesoramiento jurídico del MINISTERIO DE JUSTICIA, SEGURIDAD Y DERECHOS HUMANOS, el Director Nacional de Protección de Datos Personales dictará la respectiva disposición, la que deberá declarar: I) que los hechos investigados no constituyen una irregularidad, o II) que los hechos investigados constituyen una infracción, quiénes son sus responsables y cuál es la sanción administrativa que corresponde aplicar, conforme lo dispuesto en la Ley nº 25.326, sus normas reglamentarias y complementarias y lo establecido en la Disposición DNPDP nº 7 de fecha 8 de noviembre de 2005.
La resolución que se dicte deberá ser notificada al infractor.
i) Contra la resolución definitiva procederá la vía recursiva prevista en el REGLAMENTO DE PROCEDIMIENTOS ADMINISTRATIVOS (Decreto nº 1759/72 – T.O. 1991) y sus modificatorios.
j) Dictada la resolución que impone una sanción administrativa, la constancia de la misma deberá ser incorporada en el REGISTRO DE INFRACTORES Ley nº 25.326, que lleva la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES. Las constancias de dicho Registro relativas a aquellas sanciones aplicadas que se encuentren firmes deberán publicarse en el sitio de Internet de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES (www.jus.gov.ar/dnpdpnew).
k) Resultarán de aplicación supletoria la LEY NACIONAL DE PROCEDIMIENTOS ADMINISTRATIVOS nº 19.549; el REGLAMENTO DE PROCEDIMIENTOS ADMINISTRATIVOS (Decreto nº 1759/72 – T.O. 1991) y sus modificatorios y el CODIGO PROCESAL CIVIL Y COMERCIAL DE LA NACION».
Artículo 2º.- Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.
FERNANDEZ DE KIRCHNER. Aníbal D. Fernández. Julio C. Alak.