VISTO el Expediente nº 024-99-80934419-0-526 del Registro de esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES), las Leyes nº 24.241 y nº 25.326, su Decreto reglamentario nº 1558 de fecha 29 de noviembre de 2001, el Decreto nº 1400 de fecha 4 de noviembre de 2001, la Disposición nº 1 del 25 de junio de 2003 de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, y
CONSIDERANDO:
Que esta ADMINISTRACION NACIONAL DE SEGURIDAD SOCIAL (ANSES) en cumplimiento de las funciones asignadas por la Ley 24.241, entre otras, genera, administra, modifica, y suministra información a terceros requirentes, respecto a la información contenida en las Bases de Datos, de la cual se sirve para los fines que le son propios.
Que en ejercicio de su competencia, recibe de los propios beneficiarios del Sistema Integrado de Jubilaciones y Pensiones, o de cualquier otro interesado, solicitudes de información o peticiones para acceder a las Bases de Datos de los más diversos órdenes.
Que a partir de la entrada en vigencia de la Ley nº 25.326, corresponde ajustar el suministro de los datos contenidos en las Bases de Datos de esta ADMINISTRACION NACIONAL DE LA SEGURIDAD (ANSES), a los términos y condiciones fijados en la misma.
Que la mencionada Ley nº 25.326 se refiere a la protección de los Datos Personales de usuarios y responsables de archivos y bancos de datos, afianzando y consolidando un derecho ya consagrado por la última reforma constitucional.
Que la manda legal define como Datos Personales a la «Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables».
Que el segundo párrafo del artículo 4° del Anexo I del Decreto nº 1558/2001 reglamentario de la Ley nº 25.326, expresa que cuando la obtención o recolección de los datos personales fuese lograda por interconexión o tratamiento de archivos, registros, bases o bancos de datos, se deberá analizar la fuente de información y el destino previsto por el responsable o usuario para los datos personales obtenidos.
Que el artículo 5° de la Ley nº 25.326 indica expresamente que el tratamiento de Datos Personales es ilícito, cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, y por escrito. Que del referido artículo 5° inc. 2°, también se desprende cuándo no será necesario el consentimiento, detallando expresamente qué datos pueden conferirse.
Que el Decreto nº 1558/2001 al reglamentar el artículo 5° de la Ley nº 25.326 dispone que el consentimiento dado para el tratamiento de datos personales, puede ser revocado en cualquier tiempo, no teniendo efectos retroactivos.
Que en consonancia con el artículo 5°, el artículo 6° de la Ley nº 25.326 dispone la notificación a los interesados de ciertos recaudos imponiendo a través del artículo 9°, al responsable o usuario del archivo arbitrar las medidas técnicas y de seguridad que garanticen la confidencialidad de los datos personales, a fin de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
Que el artículo 10° establece el deber de confidencialidad que se debe respecto de los datos personales.
Que el artículo 11° sienta la regla general según la cual los datos requeridos sólo pueden ser cedidos previo consentimiento del titular de los mismos, y establece las excepciones a aquélla (que así lo disponga una ley; que ocurra alguno de los supuestos previstos en el artículo 5° inciso 2; que se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias; que se
trate de datos personales relativos a la salud, y sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados; o que se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables).
Que respecto a la responsabilidad del cesionario, el precitado artículo 11° expresa que quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas, ante el organismo de control y el titular de los datos de que se trate.
Que la Ley nº 25.326 es de carácter restrictivo, avalando este criterio el artículo 17° al facultar a los responsables o usuarios de bancos de datos públicos, para que mediante decisión fundada, denieguen el acceso, rectificación o supresión, en función de la protección de los derechos e intereses de terceros, de la defensa de la Nación, el orden y la seguridad pública.
Que se impone definir teniendo en cuenta la diversidad de datos obrantes en las Bases de Datos de ANSES qué, a quiénes y cómo deben suministrarse los datos contenidos en ellas.
Que los requerimientos efectuados por Terceros, para acceder a los datos contenidos en las Bases de Datos de ANSES, serán formalizados por medio de un CONVENIO suscripto por la Dirección Ejecutiva o responsable designado por ésta.
Que a tal efecto, resulta necesario la confección de un modelo de convenio, a fin de dar cumplimiento a lo expresado ut supra. Que dicho modelo tiene como objeto acordar mediante su firma, las condiciones de acceso a las Bases de Datos solicitados por los Terceros asegurando el cumplimiento de los criterios de confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información que brinda este Organismo, en un todo de acuerdo con las disposiciones de la Ley 25.326.
Que en virtud de lo expuesto en el considerando anterior, resulta procedente otorgar un plazo de TREINTA 30 días hábiles administrativos, contados a partir de la publicación de la presente, para que los usuarios de accesos autorizados con anterioridad a ésta, se adecuen a las condiciones estipuladas en esta normativa.
Que ANSES se reserva la facultad de auditar las condiciones establecidas en los considerandos de esta, los recursos técnicos de equipamiento y las emergentes del Convenio.
Que la presente Resolución deja sin efecto cualquier otra disposición de esta Administración, que se contraponga en cuanto a los datos a brindar y los solicitantes habilitados por la Ley nº 25.326.
Que por el artículo 2° del Decreto nº 1400/01 se creó el Registro de Personas, a fin de incorporar los Datos Personales correspondientes a todos los beneficiarios de alguno de los Sub-sistemas de la Seguridad Social, regulados por las Leyes nº 19.032, 23.660, 23.661, 24.013, 24.241, 24.557, y 24.714 y sus modificatorias.
Que por el artículo 4° del referido Decreto 1400/01, se creó la Base de Vínculos Familiares de la Seguridad Social, la cual contiene la información correspondiente a las relaciones familiares entre los individuos existentes, entre dos personas que dé derecho a la percepción de los beneficios contemplados en algunos de los Sub-sistemas de la Seguridad Social.
Que por el artículo 7° del Decreto 1400/01 se establece el derecho a que todas las personas físicas cuyos datos son objeto de tratamiento en el Registro de Personas y en la Base de Vínculos Familiares de la Seguridad Social, exijan el cumplimiento de los principios consagrados en la Ley 25.326.
Que esta ANSES, en virtud de lo dispuesto en el artículo 8° del precitado Decreto, es responsable de la gestión del Registro de Personas y de la Base de Vínculos Familiares de la Seguridad Social, conjuntamente con otros Organismos y Entidades.
Que en virtud de las responsabilidades conferidas a esta ANSES, respecto a ser la custodia, el soporte físico y la encargada de dictar las normas de ordenamiento de acceso a la información contenida en el Registro de Personas y en la Base de Vínculos Familiares de la Seguridad Social, resulta procedente aprobar la implementación para el suministro de los datos contenidos en las mismas a los organismos y/o Entidades autorizadas en el Decreto nº 1400/01.
Que la Disposición nº 1/2003 de la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, aprueba la Clasificación de Infracciones y la Graduación de las Sanciones que aplica esa Dirección, a cuya observancia se encuentra sometida esta Administración Nacional, en su carácter de responsable de la información contenida en sus Bases de Datos.
Que en atención a lo establecido en el artículo 29 punto 1 inciso d) de la Ley nº 25.326, la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES tiene como función la de controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos.
Que el Comité de Seguridad Informática de ANSES elaboró la norma de procedimiento para la implementación del circuito administrativo, la cual como Anexo II forma parte integrante de la presente.
Que la Gerencia de Asuntos Jurídicos ha tomado la intervención de su competencia, en el Dictamen nº 27561 de fecha 26 de noviembre de 2004 obrante a fs. 271/273.
Que la presente Resolución se dicta en uso de las facultades conferidas por el artículo 36 de Ley nº 24.241, el artículo 3° del Decreto nº 2741/91 y el Decreto nº 106/03.
Por ello,
EL DIRECTOR EJECUTIVO DE LA ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL
RESUELVE:
Artículo 1°.- Adécuese el suministro de los datos contenidos en las Bases de esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES) a los términos y condiciones fijados en la Ley nº 25.326, el Decreto nº 1558/01, el Decreto 1400/01.
Artículo 2°.- Establécese que la Gerencia Normatización de Prestaciones y Servicios deberá dictar la normativa correspondiente a efectos de realizar el seguimiento por las áreas operativas en el marco de sus respectivas competencias.
Artículo 3°.- Resérvese esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES), el otorgamiento al acceso de las Bases de Datos solicitado por los Terceros requirentes, previa evaluación de su factibilidad técnica, operativa y económica por parte de las áreas competentes de esta Administración.
Artículo 4°.- Deléguese en la Gerencia General el dictado de la Resolución para la denegación de la solicitud de acceso a los datos contenidos en las Bases de esta Administración Nacional, cuando considere que dicha petición de información vulnera la protección de los derechos e intereses de terceros, la defensa de la Nación, del orden y la seguridad pública.
Artículo 5°.– Deniéguese la solicitud de acceso a las Bases de Datos de esta Administración, cuando dicha información precise el consentimiento del titular; o no se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio; o no se recaben para el ejercicio de funciones propias del Estado o en virtud de una obligación legal, o no sea dispuesta por una Ley.
Artículo 6°.– Sujétese el cesionario a las mismas obligaciones legales y reglamentarias que posee esta Administración, respondiendo solidaria y conjuntamente por la observancia de las mismas, ante la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES y el titular de los datos de que se trate.
Artículo 7°.- Apruébese el modelo de CONVENIO de acceso a la información contenida en las Bases de Datos, de esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES) por parte de terceros, que como Anexo I forma parte integrante de la presente, siendo el mismo de suscripción obligatoria a partir de la entrada en vigencia de esta Resolución.
Artículo 8°.- Facúltese a la Gerencia General en representación de esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES), a suscribir los convenios que se hagan en base al modelo que se aprueba por el artículo anterior.
Artículo 9°.- Confiérase un plazo de TREINTA (30) días hábiles administrativos para que los usuarios de accesos autorizados con anterioridad a la entrada en vigencia de la presente resolución, adecuen los accesos otorgados a las condiciones aquí estipuladas.
En caso de incumplimiento dentro del plazo concedido, ANSES procederá a dar de baja al acceso otorgado oportunamente.
Artículo 10.- Establécese que el responsable o las personas que intervengan en cualquier fase del tratamiento de Datos Personales, deberá mantener el deber de confidencialidad respecto de los mismos.
Artículo 11.- Resérvese esta ANSES la facultad de auditar las condiciones establecidas en los artículos anteriores, los recursos técnicos de equipamiento de los requirentes de acceso a las Bases de Datos y las emergentes del Convenio.
Artículo 12.- Apruébase la implementación para el acceso a los datos contenidos en el Registro de Personas y en la Base de Vínculos Familiares de la Seguridad Social, a los organismos y/o Entidades autorizadas en el Decreto 1400/01.
Artículo 13.- Dése intervención a la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, ante el conocimiento de hechos que configuren infracciones que se encuentran clasificadas en las sanciones previstas por la Disposición nº 1°/03 de la referida Dirección.
Artículo 14.- Déjase sin efecto cualquier otra disposición de esta ANSES, que se contraponga con la presente en cuanto a los datos a brindar y los solicitantes autorizados.
Artículo 15.- Apruébese la norma de procedimiento, para la implementación del circuito administrativo, la que como Anexo II forma parte integrante de la presente.
Artículo 16.- Comuníquese, publíquese, regístrese, dése a la Dirección Nacional del Registro Oficial y archívese.
EDUARDO BUSTOS VILLAR, Gerente General, a/c Dirección Ejecutiva.