Proyecto de ley de adhesión a la ley nacional de protección de datos personales
LA LEGISLATURA DE LA PROVINCIA SANCIONA CON FUERZA DE LEY
Artículo 1º: Objeto.
La presente Ley tiene por objeto brindar efectiva vigencia a los derechos humanos amparados por el art. 43 de la Constitución nacional y la ley de protección de datos personales 25.326, y asimismo propender a la adecuación de la estructura jurídica y administrativa de la Provincia a los requerimientos emanados de dichas normas.
Artículo 2º: Adhesión.
Adhiérese a la ley nacional de protección de datos personales 25.326, de conformidad con lo prescripto en su art. 44 y con relación a normas en ella contenidas que no son de aplicación obligatoria en todo el territorio nacional; en concreto respecto de los arts. 30 (códigos de conducta), y 31 (sanciones administrativas).
Artículo 3º: Autoridad de Aplicación.
1. Desígnase como Autoridad de Aplicación de la presente Ley a la «Contraloría General de Protección de datos personales», la que se instituye como órgano de control extra poderes y la que será dotada de las atribuciones necesarias a fin de cumplir con los objetivos declarados en la ley nacional nº 25.326 y la presente.
2. La Contraloría gozará de autonomía funcional, tendrá la integración que determine la reglamentación, y será dirigida y administrada por un funcionario designado por el término de cuatro (4) años, por el Poder Ejecutivo con acuerdo de la Asamblea Legislativa.
3. El titular de la Contraloría, que será seleccionado por concurso público entre personas con antecedentes en la materia, tendrá dedicación exclusiva en su función, encontrándose alcanzado por las incompatibilidades fijadas por ley para los funcionarios públicos y sólo podrá ser removido por el voto de las dos terceras partes de la totalidad de los miembros de cada cámara por mal desempeño de sus funciones.
Artículo 4º: Funciones.
Corresponde a la Contraloría, además de las funciones que le adicione la reglamentación:
1. Realizar todas las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de la presente ley, en especial respecto de las bases y bancos de datos del sector público creados en la provincia, con excepción de los nacionales, y de los privados que excedan del uso estrictamente personal y no estén interconectados en redes interjurisdiccionales nacionales o internacionales.
2. Actuar en coordinación con el órgano de control designado por la ley 25.326, en especial respecto de los bancos de datos públicos nacionales y de los privados interconectados en redes interjurisdiccionales, nacionales o internacionales, pudiendo a tal efecto integrar la redes federales o internacionales de Protección de datos personales en cuanto fuera necesario para dar vigencia efectiva a los derechos comprometidos en el tratamiento de datos personales.
3. Establecer los requisitos y procedimientos que deberán cumplimentar los archivos, registros, bases o bancos de datos personales alcanzados por la ley 25.326 que estén fuera de la jurisdicción del órgano de control creado por aquella, y autorizar y habilitar su creación, uso y funcionamiento.
4. Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley.
5. Realizar un censo de archivos, registros o bancos de datos alcanzados por la ley y mantener el registro permanente de los mismos, el que será de acceso gratuito por los interesados.
6. Controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los sistemas de información alcanzados por la ley. A tal efecto podrá solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones.
7. Solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que se le requieran. En estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados.
8. Imponer las sanciones administrativas que en su caso correspondan por violación a las normas de la ley 25.326, de la presente ley y de las reglamentaciones que se dicten en consecuencia de ellas, en los casos en que los titulares, usuarios o encargados del tratamiento en los casos de los archivos, registros, bases o bancos de datos no alcanzados por la ley 25.326, incurrieran en las infracciones descriptas en el art. 31 de aquélla, en concreto los sistemas de información de titularidad privada no interconectados en redes interjurisdiccionales, nacionales o internacionales, y los archivos, registros, bases o bancos de datos del sector público de la Provincia de Santa Fe, entendiéndose por éstos a todos los de titularidad provincial, municipal o comunal, ya sea que pertenezcan a la administración central, descentralizada, de entes autárquicos, Empresas y Sociedades del Estado, sociedades anónimas con participación estatal mayoritaria, sociedades de economía mixta y todas aquellas otras organizaciones empresariales donde la provincia de Santa Fe, sus municipios o comunas tengan participación en el capital o en la formación de las decisiones societarias, pertenezcan al Poder Ejecutivo, Legislativo o Judicial, o a cualquiera de los demás órganos establecidos por la Constitución provincial.
9. Establecer los casos en que existe nivel de protección adecuado a los fines de la transferencia interjurisdiccional de datos personales.
10. Homologar los códigos de conducta que se presenten a su aprobación.
11. Formular advertencias, recomendaciones, recordatorios y propuestas a los responsables, usuarios y encargados de archivos, registros, bases o bancos de datos del sector público y privado.
12. Proponer la iniciación de procedimientos disciplinarios contra quien estime responsable de la comisión de infracciones al régimen de protección de datos personales.
13. Elaborar informes sobre los proyectos de Ley de la Legislatura provincial que de alguna forma tengan impacto en el derecho a la protección de los datos personales.
14. Elevar un informe anual a la Legislatura sobre el desarrollo de la protección de los datos personales en la Provincia de Santa Fe.
15. Recibir denuncias sobre violaciones a la presente ley o a la ley 25.326, tramitándolas en su seno o derivándolas al órgano competente.
16. Asistir y asesorar a las personas que lo requieran acerca de los alcances de las normas sobre protección de datos personales y de los medios legales de que disponen para la defensa de sus derechos.
17. Formular denuncias y reclamos judiciales por sí, cuando tuviere conocimiento de manifiestos incumplimientos respecto de las reglas de tratamiento de datos personales por parte de los sujetos obligados a su observancia.
18. Articular la acción de hábeas data respecto del tratamiento de masivo de datos personales en contravención de las reglas vigentes al respecto.
19. Desarrollar cuantas otras funciones le sean atribuidas por normas legales o reglamentarias.
Artículo 5º: Transferencia interprovincial.
1. Es prohibida la transferencia de datos personales a cualquier provincia o municipio cuya administración pública no proporcione niveles de protección adecuados a los establecidos por la Ley Nacional 25.326 y la presente ley.
2. La prohibición no regirá en los supuestos de colaboración judicial interjurisdiccional y en los previstos en el art. 12 de la ley 25.326.
Artículo 6º: Acción de hábeas data.
Por vía de esta acción se podrá demandar la plena vigencia del derecho a la protección de los datos de carácter personal, la que procederá:
a) para tomar conocimiento de los datos, de su finalidad, de la forma en que se encuentran tratados, del autor de los mismos, y de las transferencias que se hubieren realizado, cuando éstos se encuentren almacenados en archivos, registros, bases o bancos públicos de datos, o en los privados que excedan del uso exclusivamente personal;
b) para operar sobre los datos o sobre los sistemas de información en los casos en que se acredite el tratamiento ilegal o arbitrario de aquellos, de conformidad con lo dispuesto en los artículos siguientes.
Artículo 7º: Procedimiento.
La acción de hábeas data se sujetará al procedimiento que a continuación se establece, y se regirá subsidiariamente por las reglas referentes al amparo individual o, en su caso, el colectivo, según la naturaleza y características de la acción incoada, en todo aquello que no neutralice o disminuya el carácter expedito, rápido y tuitivo de la acción.
Artículo 8º: Legitimación activa.
La acción de hábeas data podrá ser interpuesta por el afectado, de manera individual o en representación sectorial o colectiva; el Defensor del Pueblo; el titular de la Contraloría; el Ministerio Público; las asociaciones sectoriales entre cuyas finalidades estatutarias se incluya la defensa de los derechos que se pretendan tutelar con la demanda, y las organizaciones no gubernamentales destinadas a los fines específicos por cuya tutela se demande.
En el caso de personas fallecidas o ausentes, podrá ser incoada por los sucesores universales de las personas físicas, y por sus herederos en línea directa o colateral hasta el segundo grado.
Artículo 9º: Legitimación pasiva.
La acción procederá respecto de los tratantes de datos de carácter personal cuyo sistema de información exceda del uso exclusivamente personal.
Artículo 10: Competencia.
Será competente para entender en esta acción el juez del domicilio del actor; el del domicilio del demandado; el del lugar en el que el hecho o acto se exteriorice o pudiera tener efecto, a elección del actor.
Procederá la competencia provincial:
a) cuando la demanda no se interponga contra de archivos de datos públicos de organismos nacionales, y
b) cuando los sistemas de información no se encuentren interconectados en redes interjurisdiccionales, nacionales o internacionales.
Artículo 11: Requisitos de la demanda.
La demanda deberá interponerse por escrito, individualizando con la mayor precisión posible el sistema de información sobre el que se pretende operar, y, en su caso, el nombre de su responsable.
En el caso de los sistemas públicos de información, se procurará establecer el organismo estatal del cual dependen.
El accionante deberá alegar las razones por las cuales entiende que en el archivo, registro o banco de datos individualizado obra información referida a su persona; los motivos por los cuales considera que la información que le atañe resulta lesiva, y justificar que se han cumplido los recaudos que hacen al ejercicio de los derechos que le reconoce la ley 25.326.
Artículo 12: Trámite.
Admitida la acción el juez requerirá al archivo, registro o banco de datos la remisión de la información concerniente al accionante. Podrá asimismo solicitar informes sobre el soporte técnico de datos, documentación de base relativa a la recolección y cualquier otro aspecto que resulte conducente a la resolución de la causa que estime procedente.
El plazo para contestar el informe será fijado prudencialmente por el juez tratando de no exceder de cinco días hábiles.
Artículo 13º: Excepciones al derecho de acceso.
Los registros, archivos o bancos de datos privados no podrán alegar la confidencialidad de la información que se les requiere salvo el caso en que se afecten las fuentes de información periodística.
Cuando un archivo, registro o banco de datos público se oponga a la remisión del informe solicitado con invocación de las excepciones al derecho de acceso, rectificación o supresión, autorizadas por la ley, deberá acreditar los extremos que hacen aplicable la excepción legal. En tales casos, el juez podrá tomar conocimiento personal y directo de los datos solicitados asegurando el mantenimiento de su confidencialidad.
Artículo 14: Medidas cautelares específicas.
El afectado podrá solicitar que mientras dure el procedimiento, el registro o banco de datos asiente que la información cuestionada está sometida a un proceso judicial.
Cuando sea manifiesto el carácter discriminatorio, falso o inexacto de la información de que se trate, el Juez podrá disponer el bloqueo provisional del archivo en lo referente al dato personal motivo del juicio.
Artículo 15: Contestación del informe.
Al contestar el informe, el archivo, registro o banco de datos deberá expresar las razones por las cuales incluyó la información cuestionada y aquellas por las que no evacuó el pedido efectuado por el interesado, de conformidad a lo establecido en los artículos 13 a 15 de la ley 25.326.
Artículo 16: Ampliación de la demanda.
Contestado el informe, el actor podrá, en el término de tres días, ampliar el objeto de la demanda solicitando se realicen las operaciones sobre los datos o sobre los sistemas de información que considere pertinentes, ofreciendo en el mismo acto la prueba pertinente. De esta presentación se dará traslado al demandado por el término de tres días.
Artículo 17: Sentencia.
Vencido el plazo para la contestación del informe o contestado el mismo, y en el supuesto ampliación, luego de contestada ésta, y habiendo sido producida en su caso la prueba, el juez dictará sentencia.
En el caso de estimarse procedente la acción, se especificará si la información debe ser modificada, estableciendo un plazo para su cumplimiento.
El rechazo de la acción no constituye presunción respecto de la responsabilidad en que hubiera podido incurrir el demandante.
Artículo 18: Reglamentación.
La presente Ley deberá ser reglamentada dentro de los noventa (90) días a contar desde su sanción.
Artículo 19: Vigencia.
La presente Ley entrará en vigencia desde el día de su publicación en el Boletín Oficial de la Provincia.
Artículo 20: Disposiciones Finales.
Autorízase al Poder Ejecutivo para efectuar en el Presupuesto para el ejercicio vigente las adecuaciones presupuestarias que resulten pertinentes para el cumplimiento de la presente Ley.
Artículo 21: Comuníquese al Poder Ejecutivo.
Señor Presidente:
Como consecuencia de la reglamentación del art. 43 de la Constitución nacional, realizada por la ley 25.326 (de protección de datos personales), existen a la fecha normas de aplicación obligatoria en las provincias (art. 44, párr. 1°) y otras a las que éstas deben adherir (art. 44, párr. 2°), a fin de que las reglas pergeñadas por el constituyente y el legislador nacional tengan aplicación efectiva en todo el territorio nacional.
Para ello, la Provincia de Santa Fe debe dictar una serie de normas, en especial respecto de los mecanismos de control que deben llevarse a cabo, tanto en la esfera administrativa, como en la judicial, lo que requiere, por un lado, de la creación de un órgano de control con fuerte independencia del Poder Ejecutivo (que sin embargo interviene en su designación) y, por el otro, de la adecuación de las reglas procesales vigentes, en concreto a través de la creación de la figura del hábeas data, ausente en nuestra legislación provincial pese a su incorporación, desde hace más de una década, en el art. 43 de la Constitución nacional.
Por tal motivo, se promueve la adhesión, del modo que se propone en este proyecto, a la mayoría de las normas emanadas de la ley 25.326 que no son de aplicación obligatoria en todo el territorio nacional y que no presentan incompatibilidad alguna con la legislación local, creando entonces la Contraloría de Datos Personales e incorporando legislativamente la figura de la acción de hábeas data, con perfiles similares al establecido en el plano nacional.
Por lo expuesto, se solicita a las Sras. y Sres. Diputados el acompañamiento de la presente iniciativa.
Lic. MARCELO LUIS GASTALDI
DIPUTADO PROVINCIAL PJ