BUENOS AIRES,
VISTO el expediente número 128.949/01 del registro del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, la Ley número 25.326 y,
CONSIDERANDO:
Que el artículo 45 de la mencionada ley establece que el PODER EJECUTIVO NACIONAL deberá reglamentar la misma y establecer el órgano de control a que se refiere su artículo 29 dentro de los CIENTO OCHENTA (180) días de su promulgación.
Que el artículo 46 de la ley citada establece que la reglamentación fijará el plazo dentro del cual los archivos de datos destinados a proporcionar informes existentes al momento de la sanción de dicha ley deberán inscribirse en el registro a que se refiere su artículo 21 y adecuarse a lo que establece el régimen dispuesto por la ley.
Que el artículo 31º, inciso 2, de la Ley número 25.326 dispone que la reglamentación determinará las condiciones y procedimientos para la aplicación de sanciones, en los términos que dicha norma establece. Que la presente medida se dicta en uso de las facultades conferidas por el artículo 99, inciso 2 de la CONSTITUCIÓN NACIONAL.
Por ello, EL PRESIDENTE DE LA NACIÓN ARGENTINA DECRETA
ARTÍCULO 1º.- Apruébase la reglamentación de la Ley número 25.326 de Protección de los Datos Personales, conforme al anexo I que forma parte del presente.
ARTÍCULO 2º.- Establécese en CIENTO OCHENTA (180) días el plazo previsto en el artículo 46 de la Ley número 25.326.
ARTÍCULO 3º– Invítase a las Provincias y a la CIUDAD AUTÓNOMA DE BUENOS AIRES a adherir a las normas de exclusiva aplicación nacional de esta reglamentación.
ARTÍCULO 4º.– Comuníquese, publíquese, dese a la Dirección Nacional del Registro Oficial y archívese.
ANEXO I REGLAMENTACIÓN DE LA Ley número 25.326
CAPÍTULO I. DISPOSICIONES GENERALES
ARTÍCULO 1º.– A los efectos de esta reglamentación, quedan comprendidos en el concepto de archivos, registros, bases o bancos de datos privados destinados a dar informes, aquellos que tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a título oneroso o gratuito.
ARTÍCULO 2º.- Sin reglamentar.
CAPÍTULO II. PRINCIPIOS GENERALES RELATIVOS A LA PROTECCIÓN DE DATOS
ARTÍCULO 3º.- Sin reglamentar.
ARTÍCULO 4º.- El artículo 4º, inciso 1, de la Ley número 25.326, establece la buena fe en la recolección y el destino adecuado a la finalidad del archivo, registro, base o banco de datos. Para determinar la lealtad y buena fe en la obtención de los datos personales, así como el destino que a ellos se asigne, se deberá analizar el procedimiento efectuado para la recolección y, en particular, la información que se haya proporcionado al titular de los datos de acuerdo con el artículo 6º de la Ley número 25.326. Cuando la obtención o recolección de los datos personales fuese lograda por interconexión o tratamiento de archivos, registros, bases o bancos de datos, se deberá analizar la fuente de información y el destino previsto por el responsable o usuario para los datos personales obtenidos. El dato que hubiera perdido vigencia respecto de los fines para los que se hubiese obtenido o recolectado debe ser suprimido por el responsable o usuario sin necesidad de que lo requiera el titular de los datos. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES efectuará controles de oficio sobre el cumplimiento de este principio legal, y aplicará las sanciones pertinentes al responsable o usuario en los casos que correspondiere. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES procederá, ante el pedido de un interesado o de oficio ante la sospecha de una ilegalidad, a verificar el cumplimiento de las disposiciones legales y reglamentarias en orden a cada una de las siguientes etapas del uso y aprovechamiento de datos personales:
a) legalidad de la recolección o toma de información personal;
b) legalidad en el intercambio de datos y en la transmisión a terceros o en la interrelación entre ellos;
c) legalidad en la cesión propiamente dicha;
d) legalidad de los mecanismos de control interno y externo del archivo, registro, bases o bancos de datos.
ARTÍCULO 5º.– El consentimiento informado es el que está precedido de una explicación, al titular de los datos, en forma adecuada a su nivel social y cultural, de la información a que se refiere el artículo 6º de la Ley número 25.326. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES establecerá los requisitos para que el consentimiento pueda ser prestado por un medio distinto a la forma escrita, el cual deberá asegurar la autoría e integridad de la declaración. El consentimiento dado para el tratamiento de datos personales puede ser revocado en cualquier tiempo. La revocación no tiene efectos retroactivos. A los efectos del artículo 5º, inciso 2 e), de la Ley número 25.326 el concepto de entidad financiera comprende a las personas alcanzadas por la Ley número 21.526 y a las empresas emisoras de tarjetas de crédito, los fideicomisos financieros, los deudores de ex-entidades financieras y los sujetos que expresamente incluya la autoridad de aplicación de la mencionada ley. No es necesario el consentimiento para la información que se describe en los incisos a), b), c) y d) del artículo 39 de la Ley número 21.526. En ningún caso se afectará el secreto bancario, quedando prohibida la divulgación de datos relativos a operaciones pasivas que realicen las entidades financieras con sus clientes, de conformidad con lo dispuesto en los artículos 39 y 40 de la Ley número 21.526.
ARTÍCULO 6º.– Sin reglamentar.
ARTÍCULO 7º.– Sin reglamentar.
ARTÍCULO 8º.– Sin reglamentar.
ARTÍCULO 9º.– La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES promoverá la cooperación entre sectores públicos y privados para la elaboración e implantación de medidas, prácticas y procedimientos que susciten la confianza en los sistemas de información, así como en sus modalidades de provisión y utilización.
ARTÍCULO 10.- Sin reglamentar.
ARTÍCULO 11.– Al consentimiento para la cesión de los datos le son aplicables las disposiciones previstas en el artículo 5º de la Ley número 25.326 y el artículo 5º de esta reglamentación. En el caso de archivos o bases de datos públicas dependientes de un organismo oficial que por razón de sus funciones específicas estén destinadas a la difusión al público en general, el requisito relativo al interés legítimo del cesionario se considera implícito en las razones de interés general que motivaron el acceso público irrestricto. La cesión masiva de datos personales de registros públicos a registros privados sólo puede ser autorizada por ley o por decisión del funcionario responsable, si los datos son de acceso público y se ha garantizado el respeto a los principios de protección establecidos en la Ley número 25.326. No es necesario acto administrativo alguno en los casos en que la ley disponga el acceso a la base de datos pública en forma irrestricta. Se entiende por cesión masiva de datos personales la que comprende a un grupo colectivo de personas. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES fijará los estándares de seguridad aplicables a los mecanismos de disociación de datos. El cesionario a que se refiere el artículo 11, inciso 4, de la Ley número 25.326, podrá ser eximido total o parcialmente de responsabilidad si demuestra que no se le puede imputar el hecho que ha producido el daño.
ARTÍCULO 12.- La prohibición de transferir datos personales hacia países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados, no rige cuando el titular de los datos hubiera consentido expresamente la cesión. No es necesario el consentimiento en caso de transferencia de datos desde un registro público que esté legalmente constituido para facilitar información al público y que esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones legales y reglamentarias para la consulta. Facúltase a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES a evaluar, de oficio o a pedido de parte interesada, el nivel de protección proporcionado por las normas de un Estado u organismo internacional. Si llegara a la conclusión de que un Estado u organismo no protege adecuadamente a los datos personales, elevará al PODER EJECUTIVO NACIONAL un proyecto de decreto para emitir tal declaración. El proyecto deberá ser refrendado por los Ministros de Justicia y Derechos Humanos y de Relaciones Exteriores, Comercio Internacional y Culto. El carácter adecuado del nivel de protección que ofrece un país u organismo internacional se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el lugar de destino final, las normas de derecho, generales o sectoriales, vigentes en el país de que se trate, así como las normas profesionales, códigos de conducta y las medidas de seguridad en vigor en dichos lugares, o que resulten aplicables a los organismos internacionales o supranacionales. Se entiende que un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente, o de sistemas de autorregulación, o del amparo que establezcan las cláusulas contractuales que prevean la protección de datos personales.
CAPÍTULO III. DERECHOS DE LOS TITULARES DE DATOS
ARTÍCULO 13.– Sin reglamentar.
ARTÍCULO 14.– La solicitud a que se refiere el artículo 14, inciso 1, de la Ley número 25.326, no requiere de fórmulas específicas, siempre que garantice la identificación del titular. Se puede efectuar de manera directa, presentándose el interesado ante el responsable o usuario del archivo, registro, bases o bancos de datos, o de manera indirecta, a través de la intimación fehaciente por medio escrito que deje constancia de recepción. También pueden ser utilizados otros servicios de acceso directo o semidirecto como los medios electrónicos, las líneas telefónicas, la recepción del reclamo en pantalla u otro medio idóneo a tal fin. En cada supuesto, se podrán ofrecer preferencias de medios para conocer la respuesta requerida. Si se tratara de archivos o bancos de datos públicos dependientes de un organismo oficial destinados a la difusión al público en general, las condiciones para el ejercicio del derecho de acceso podrán ser propuestas por el organismo y aprobadas por la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, la cual deberá asegurar que los procedimientos sugeridos no vulneren ni restrinjan en modo alguno las garantías propias de ese derecho. El derecho de acceso permitirá:
a) conocer si el titular de los datos se encuentra o no en el archivo, registro, base o bancos de datos;
b) conocer todos los datos relativos a su persona que constan en el archivo;
c) solicitar información sobre las fuentes y los medios a través de los cuales se obtuvieron sus datos;
d) solicitar las finalidades para las que se recabaron;
e) conocer el destino previsto para los datos personales;
f) saber si el archivo está registrado conforme a las exigencias de la Ley número 25.326. Vencido el plazo para contestar fijado en el artículo 14, inciso 2, de la Ley número 25.326, el interesado podrá ejercer la acción de protección de los datos personales y denunciar el hecho ante la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES a los fines del control pertinente de este organismo. En el caso de datos de personas fallecidas, deberá acreditarse el vínculo mediante la declaratoria de herederos correspondiente, o por documento fehaciente que verifique el carácter de sucesor universal del interesado.
ARTÍCULO 15.– El responsable o usuario del archivo, registro, base o banco de datos deberá contestar la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado, debiendo para ello valerse de cualquiera de los medios autorizados en el artículo 15, inciso 3, de la Ley número 25.326, a opción del titular de los datos, o las preferencias que el interesado hubiere expresamente manifestado al interponer el derecho de acceso. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES elaborará un formulario modelo que facilite el derecho de acceso de los interesados. Podrán ofrecerse como medios alternativos para responder el requerimiento, los siguientes:
a) visualización en pantalla;
b) informe escrito entregado en el domicilio del requerido;
c) informe escrito remitido al domicilio denunciado por el requirente;
d) transmisión electrónica de la respuesta, siempre que esté garantizada la identidad del interesado y la confidencialidad, integridad y recepción de la información;
e) cualquier otro procedimiento que sea adecuado a la configuración e implantación material del archivo, registro, base o banco de datos, ofrecido por el responsable o usuario del mismo.
ARTÍCULO 16.– En las disposiciones de los artículos 16 a 22 y 38 a 43 de la Ley número 25.326 en que se menciona a algunos de los derechos de rectificación, actualización, supresión y confidencialidad, se entiende que tales normas se refieren a todos ellos. En el caso de los archivos o bases de datos públicas conformadas por cesión de información suministrada por entidades financieras, administradoras de fondos de jubilaciones y pensiones y entidades aseguradoras, de conformidad con el artículo 5º, inciso 2, de la Ley número 25.326, los derechos de rectificación, actualización, supresión y confidencialidad deben ejercerse ante la entidad cedente que sea parte en la relación jurídica a que se refiere el dato impugnado. Si procediera el reclamo, la entidad respectiva debe solicitar al BANCO CENTRAL DE LA REPÚBLICA ARGENTINA, a la SUPERINTENDENCIA DE AFJP o a la SUPERINTENDENCIA DE SEGUROS DE LA NACIÓN, según el caso, que sean practicadas las modificaciones necesarias en sus bases de datos. Toda modificación debe ser comunicada a través de los mismos medios empleados para la divulgación de la información. Los responsables o usuarios de archivos o bases de datos públicos de acceso público irrestricto pueden cumplir la notificación a que se refiere el artículo 16, inciso 4, de la Ley número 25.326 mediante la modificación de los datos realizada a través de los mismos medios empleados para su divulgación.
ARTÍCULO 17.– Sin reglamentar.
ARTÍCULO 18.– Sin reglamentar.
ARTÍCULO 19.– Sin reglamentar.
ARTÍCULO 20.- Sin reglamentar.
CAPÍTULO IV. USUARIOS Y RESPONSABLES DE ARCHIVOS, REGISTROS Y BANCOS DE DATOS
ARTÍCULO 21.– El registro e inscripción de archivos, registros, bases o bancos de datos públicos, y privados destinados a dar información, se habilitará una vez publicada esta reglamentación en el Boletín Oficial. Cuando el archivo, registro, base o banco de datos privado se constituya con el fin de proporcionar información de datos personales dentro de un mismo grupo económico de empresas controladas y controlantes, en los términos de la Ley número 19.550, no será obligatoria la inscripción, sin perjuicio de ser alcanzados por las sanciones previstas en el Capítulo VI de la Ley número 25.326 cuando se verifique la cesión o transferencia de los datos a personas no vinculadas. Esta disposición no alcanzará a las Uniones Transitorias de Empresas. Deben inscribirse los archivos, registros, bases o bancos de datos públicos y los privados a que se refiere el artículo 1º de esta reglamentación. A los fines de la inscripción de los archivos, registros y bases de datos con fines de publicidad, los responsables deben proceder de acuerdo con lo establecido en el artículo 27, cuarto párrafo, de esta reglamentación.
ARTÍCULO 22.– Sin reglamentar.
ARTÍCULO 23.– Sin reglamentar.
ARTÍCULO 24.- Sin reglamentar.
ARTÍCULO 25.– Los contratos de prestación de servicios de tratamiento de datos personales deberán contener los niveles de seguridad previstos en la Ley número 25.326, esta reglamentación y las normas complementarias que dicte la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, como así también las obligaciones que surgen para los locatarios en orden a la confidencialidad y reserva que deben mantener sobre la información obtenida. La realización de tratamientos por encargo deberá estar regulada por un contrato que vincule al encargado del tratamiento con el responsable o usuario del tratamiento y que disponga, en particular:
a) que el encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento;
b) que las obligaciones del artículo 9º de la Ley número 25.326 incumben también a éste.
ARTÍCULO 26.- A los efectos del artículo 26, inciso 2, de la Ley número 25.326, se consideran datos relativos al cumplimiento o incumplimiento de obligaciones los referentes a los contratos de mutuo, cuenta corriente, tarjetas de crédito, fideicomiso, leasing, de créditos en general y toda otra obligación de contenido patrimonial, así como aquellos que permitan conocer el nivel de cumplimiento y la calificación a fin de precisar, de manera indubitable, el contenido de la información emitida. En el caso de archivos o bases de datos públicos dependientes de un organismo oficial destinadas a la difusión al público en general, se tendrán por cumplidas las obligaciones que surgen del artículo 26, inciso 3, de la Ley nº 25.326 en tanto el responsable de la base de datos le comunique al titular de los datos las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido difundidas durante los últimos SEIS (6) meses. Para apreciar la solvencia económico-financiera de una persona, conforme lo establecido en el artículo 26, inciso 4, de la Ley número 25.326, se tendrá en cuenta toda la información disponible desde el nacimiento de cada obligación hasta su extinción. En el cómputo de CINCO (5) años, éstos se contarán a partir de la fecha de la última información adversa archivada que revele que dicha deuda era exigible. Si el deudor acredita que la última información disponible coincide con la extinción de la deuda, el plazo de reducirá a DOS (2) años. Para los datos de cumplimiento sin mora no operará plazo alguno para la eliminación. A los efectos del cálculo del plazo de DOS (2) años para conservación de los datos cuando el deudor hubiere cancelado o extinguido la obligación, se tendrá en cuenta la fecha precisa en que se extingue la deuda. A los efectos de dar cumplimiento a lo dispuesto por el artículo 26, inciso 5, de la Ley número 25.326, el BANCO CENTRAL DE LA REPÚBLICA ARGENTINA deberá restringir el acceso a sus bases de datos disponibles en Internet, para el caso de información sobre personas físicas, exigiendo el ingreso del número de documento nacional de identidad o código único de identificación tributaria o laboral del titular de los datos, obtenidos por el cesionario a través de una relación contractual o comercial previa.
ARTÍCULO 27.- Podrán recopilarse, tratarse y cederse datos con fines de publicidad sin consentimiento de su titular, cuando estén destinados a la formación de perfiles determinados, que categoricen preferencias y comportamientos similares de las personas, siempre que los titulares de los datos sólo se identifiquen por su pertenencia a tales grupos genéricos, con más los datos individuales estrictamente necesarios para formular la oferta a los destinatarios. Las cámaras, asociaciones y colegios profesionales del sector que dispongan de un Código de Conducta homologado por la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, al que por estatuto adhieran obligatoriamente todos sus miembros, junto con la autoridad de aplicación, implementarán, dentro de los NOVENTA (90) días siguientes a la publicación de esta reglamentación, un sistema de retiro o bloqueo a favor del titular del dato que quiera ser excluido de las bases de datos con fines de publicidad. El retiro podrá ser total o parcial, bloqueando exclusivamente, a requerimiento del titular, el uso de alguno o algunos de los medios de comunicación en particular, como el correo, el teléfono, el correo electrónico u otros. En toda comunicación con fines de publicidad que se realice por correo, teléfono, correo electrónico, Internet u otro medio a distancia a conocer, se deberá indicar, en forma expresa y destacada, la posibilidad del titular del dato de solicitar el retiro o bloqueo, total o parcial, de su nombre de la base de datos. A pedido del interesado, se deberá informar el nombre del responsable o usuario del banco de datos que proveyó la información. A los fines de garantizar el derecho de información del artículo 13 de la Ley número 25.326, se inscribirán únicamente las cámaras, asociaciones y colegios profesionales del sector que dispongan de un Código de Conducta homologado por la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, al que por estatuto adhieran obligatoriamente todos sus miembros. Al inscribirse, las cámaras, asociaciones y colegios profesionales deberán acompañar una nómina de sus asociados indicando nombre y domicilio. Los responsables o usuarios de archivos, registros, bancos o bases de datos con fines de publicidad que no se encuentren adheridos a ningún Código de Conducta, cumplirán el deber de información inscribiéndose en el Registro a que se refiere el artículo 21 de la Ley número 25.326. Podrán tratarse datos sensibles obtenidos legalmente, a los fines de realizar ofertas de bienes y servicios, cuando ello no cause discriminación y de acuerdo a los parámetros que fije la autoridad de aplicación. Estos datos no pueden ser cedidos a terceros sin el consentimiento previo de su titular.
ARTÍCULO 28.- Los archivos, registros, bases o bancos de datos mencionados en el artículo 28 de la Ley número 25.326 son responsables y pasibles de las multas previstas en el artículo 31 de la ley citada cuando infrinjan sus disposiciones.
CAPÍTULO V. CONTROL
ARTÍCULO 29.-
1. Créase la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, en el ámbito de la SECRETARIA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, como órgano de control de la Ley número 25.326. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES dictará su propio reglamento dentro de los SESENTA (60) días de entrada en vigencia la presente reglamentación, el cual deberá ser aprobado por el PODER EJECUTIVO NACIONAL y publicado en el Boletín Oficial. El Director tendrá dedicación exclusiva en su función, ejercerá sus funciones con plena independencia, no estará sujeto a instrucciones y sus decisiones no son susceptibles de recurso jerárquico.
2. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES se integrará inicialmente con un Director Nacional, un Subdirector Nacional y con el personal jerárquico y administrativo que se designe. Facúltase al Ministro de Justicia y Derechos Humanos a efectuar las designaciones correspondientes con carácter transitorio, como excepción a lo dispuesto por el ANEXO I del Decreto número 993/91. En el plazo de TREINTA (30) días hábiles posteriores a la asunción de su cargo, el Director Nacional deberá proponer al Ministro de Justicia y Derechos Humanos un proyecto de su estructura organizativa, debiendo privilegiar el aprovechamiento de los recursos humanos ya existentes en la Administración Pública Nacional. El personal de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES está obligado a guardar secreto respecto de los datos de carácter personal de que conozca en el desarrollo de su función.
3. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES se financiará a través de: a) lo que recaude en concepto de tasas por los servicios que preste; b) el producido de las multas previstas en el artículo 31 de la Ley número 25.326; c) las asignaciones presupuestarias que se incluyan en las previsiones anuales del gobierno a partir del año 2002. Transitoriamente, desde la entrada en vigencia de la presente reglamentación y hasta el 31 de diciembre de 2001, el costo de la estructura será afrontado con el crédito presupuestario correspondiente al MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS para el año 2001, sin perjuicio de lo dispuesto en los subincisos a) y b) del párrafo anterior.
4. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES contará con un Consejo Consultivo, que se desempeñará «ad honorem», encargado de asesorar al Director Nacional en los asuntos de importancia, integrado por: a) un representante del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS;
b) un magistrado del MINISTERIO PÚBLICO FISCAL con especialidad en la materia;
c) un representante de los archivos privados destinados a dar información designado por la cámara que agrupe a las entidades nacionales de información crediticia;
d) un representante del BANCO CENTRAL DE LA REPÚBLICA ARGENTINA;
e) un representante de las empresas dedicadas al objeto previsto en el artículo 27 de la Ley número 25.326, designado por las Cámaras respectivas de común acuerdo, unificando en una persona la representación;
f) un representante de los usuarios y consumidores, seleccionado del modo que se establezca reglamentariamente;
g) un representante del CONSEJO FEDERAL DEL CONSUMO;
h) un representante de la Comisión Bicameral de Fiscalización de los Órganos y Actividades de Seguridad Interior e Inteligencia del HONORABLE CONGRESO DE LA NACIÓN.
5. Son funciones de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, además de las que surgen de la Ley número 25.326 y de las que establezca su reglamento:
a) dictar normas administrativas y de procedimiento relativas a los trámites registrales y demás funciones a su cargo, y las normas y procedimientos técnicos relativos al tratamiento y condiciones de seguridad de los archivos, registros y bases o bancos de datos públicos y privados;
b) atender las denuncias y reclamaciones interpuestas en relación al tratamiento de datos personales en los términos de la Ley número 25.326;
c) percibir las tasas que se fijen por los servicios de inscripción y otros que preste;
d) organizar y proveer lo necesario para el adecuado funcionamiento del Registro de archivos, registros y bases o bancos de datos públicos y privados previsto en el artículo 21 de la Ley número 25.326;
e) diseñar los instrumentos adecuados para la mejor protección de los datos personales de los ciudadanos y el mejor cumplimiento de la legislación de aplicación;
f) homologar los códigos de conducta que se presenten de acuerdo a lo establecido por el artículo 30 de la ley 25.326, previo dictamen del Consejo Consultivo, teniendo en cuenta su adecuación a los principios reguladores del tratamiento de datos personales, la representatividad que ejerza la asociación y organismo que elabora el código y su eficacia ejecutiva con relación a los operadores del sector mediante la previsión de sanciones o mecanismos adecuados.
ARTÍCULO 30.– La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES alentará la elaboración de códigos de conducta destinados a contribuir, en función de las particularidades de cada sector, a la correcta aplicación de las disposiciones nacionales adoptadas por la Ley número 25.326 y esta reglamentación. Las asociaciones de profesionales y las demás organizaciones representantes de otras categorías de responsables o usuarios de archivos, registros, bases o bancos de datos públicos o privados, que hayan elaborado proyectos de códigos éticos, o que tengan la intención de modificar o prorrogar códigos nacionales existentes, pueden someterlos a consideración de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, la cual aprobará el ordenamiento o sugerirá las correcciones que se estimen necesarias para su aprobación.
CAPÍTULO VI. SANCIONES
ARTÍCULO 31.–
1. Las sanciones administrativas establecidas en el artículo 31 de la ley 25.326 serán aplicadas a los responsables o usuarios de archivos, registros, bases o bancos de datos públicos, y privados destinados a dar información, se hubieren inscripto o no en el registro correspondiente. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceros, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuricidad y de culpabilidad presentes en la concreta actuación infractora. Se considerará reincidente a quien habiendo sido sancionado por una infracción a la Ley número 25.326 o sus reglamentaciones incurriera en otra de similar naturaleza dentro del término de TRES (3) años.
2. El producido de las multas a que se refiere el artículo 31 de la Ley número 25.326 se aplicará al financiamiento de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.
3. El procedimiento se ajustará a las siguientes disposiciones:
a) La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES iniciará actuaciones administrativas en caso de presuntas infracciones a las disposiciones de la Ley número 25.326 y sus normas reglamentarias, de oficio o por denuncia de quien invocare un interés particular, del Defensor del Pueblo de la Nación o de asociaciones de consumidores o usuarios.
b) Se procederá a labrar acta en la que se dejará constancia del hecho denunciado o verificado y de la disposición presuntamente infringida. En la misma acta se dispondrá agregar la documentación acompañada y citar al presunto infractor para que, dentro del plazo de CINCO (5) días hábiles, presente por escrito su descargo y ofrezca las pruebas que hacen a su derecho. Si se tratare de un acta de inspección, en que fuere necesaria una comprobación técnica posterior a los efectos de la determinación de la presunta infracción y que resultare positiva, se procederá a notificar al presunto responsable la infracción verificada, intimándolo para que en el plazo de CINCO (5) días hábiles presente por escrito su descargo. En su primera presentación, el presunto infractor deberá constituir domicilio y acreditar personería. La constancia del acta labrada conforme a lo previsto en este artículo, así como las comprobaciones técnicas que se dispusieren, constituirán prueba suficiente de los hechos así comprobados, salvo en los casos en que resultaren desvirtuados por otras pruebas.
c) Las pruebas se admitirán solamente en caso de existir hechos controvertidos y siempre que no resulten manifiestamente inconducentes. Contra la resolución que deniegue medidas de prueba sólo se concederá recurso de reconsideración. La prueba deberá producirse dentro del término de DIEZ (10) días hábiles, prorrogables cuando haya causas justificadas, teniéndose por desistidas aquellas no producidas dentro de dicho plazo por causa imputable al infractor. Concluidas las diligencias sumariales, se dictará la resolución definitiva dentro del término de VEINTE (20) días hábiles.
ARTÍCULO 32.- Sin reglamentar.
CAPÍTULO VII. ACCIÓN DE PROTECCIÓN DE LOS DATOS PERSONALES
ARTÍCULOS 33 a 46.- Sin reglamentar.