Archivos de la etiqueta: de la Dirección Nacional de Protección de Datos Personales (DNPDP)

08Jul/17

Disposición 17/2016, de 14 de julio de 2016, de la Dirección Nacional de Protección de Datos Personales (DNPDP)

Disposición 17/2016, de 14 de julio de 2016, de la Dirección Nacional de Protección de Datos Personales (DNPDP). Obligados ante el Registro Nacional «No llame»

Visto el Expediente nº S04:0012306/2016 del registro de este Ministerio, la Ley nº 26951 y su reglamentación aprobada por el Decreto nº 2501 del 17 de diciembre de 2014, las Disposiciones DNPDP nº 3 del 16 de enero de 2015 y 44 del 18 de agosto de 2015, y

CONSIDERANDO:

Que entre las atribuciones asignadas a esta Dirección Nacional se encuentra la de dictar las normas reglamentarias que se deben observar en el desarrollo de las actividades comprendidas por la Ley nº 26951 y el Decreto nº 2501/14.

Que la Ley mencionada crea en el ámbito de la Dirección Nacional de Protección de Datos Personales, el Registo Nacional «No llame» con el objeto de proteger a los titulares o usuarios autorizados de los servicios de telefonía, en cualquiera de sus modalidades, de los abusos del procedimiento de contacto, publicidad, oferta, venta y regalo de bienes o servicios no solicitados.

Que en virtud del artículo 7 de la Ley nº 26951, quienes publiciten, oferten, vendan o regalen bienes o servicios utilizando como medio de contacto los servicios de telefonía en cualquiera de sus modalidades, no podrán dirigirse a ninguno de los inscriptos en el Registro Nacional «No llame» y deberán consultar la lista de inscriptos proporcionada por la autoridad de aplicación con una periodicidad de TREINTA (30) días correspondiendo a la Autoridad de Aplicación determinar el procedimiento para dicha consulta.

Que por la Disposición DNPDP nº 003/15, se implementó el Registro Nacional «No llame», estableciéndose el procedimiento para la descarga del Formulario “C06 – Certificación de Requisitos de Obligados por el Registro Nacional No llame.- Ley 26.951«, el que habilita para la descarga de la lista de inscriptos en el Registro Nacional «No llame».

Que el objeto de dicho procedimiento es que esta Autoridad de Control verifique que los obligados por la Ley 26.951 cumplan con los requisitos legales que les son exigidos para poder consultar el citado Registro.

Que, entre otros requisitos, en su carácter de usuarios y responsables de archivos, registros y bancos de datos de acuerdo a lo establecido en la Ley nº 25326 y su modificatoria, deben encontrarse inscriptos ante el Registro Nacional de Bases de Datos habilitado por esta Dirección Nacional, según establece el artículo 7, párrafo tercero, del Anexo I al Decreto nº 2501/14.

Que el artículo 7 de la Disposición DNPDP nº 2 del 14 de febrero de 2005 establece que la inscripción en el Registro Nacional de Bases de Datos tendrá validez anual.

Que a los fines de mantener actualizada la nómina de obligados por el Registro Nacional «No llame», también resulta indispensable establecer un límite temporal a la validez de la misma.

Que por Disposición DNPDP nº° 44/15 se aprobó el “Sistema de Gestión de Denuncias”, cuya finalidad es determinar el trámite a ser asignado en cada caso y conformar las planillas con el detalle de las denuncias recibidas que se adjuntarán a las respectivas intimaciones.

Que es necesario fijar un criterio para los casos en que corresponda la apertura de actuaciones administrativas, a los fines de iniciar el procedimiento sancionatorio establecido en el artículo 31 , apartado 3 de la reglamentación de la Ley nº 25326 , aprobada por el Decreto nº 1558 del 29 de noviembre de 2001 y su modificatorio.

Que se considera apropiado iniciar actuaciones administrativas mensualmente, en concordancia con el plazo dispuesto en el artículo 7 de la Ley 26.951 para la consulta de inscripciones y bajas en el Registro Nacional «No llame».

Que teniendo en cuenta la experiencia de esta Dirección Nacional a UN (1) año de la vigencia de la Ley 26.951 y normas reglamentarias y complementarias, se considera conveniente, a fin de evitar un dispendio administrativo desmedido, que la apertura de actuaciones administrativas se realice no sólo mensualmente, sino también teniendo en cuenta una cantidad de denuncias por denunciado que permita mayor celeridad y sencillez en la atención del procedimiento aplicable y, consecuentemente, una mejor protección de los derechos amparados por la Ley 26.951.

Que las denuncias que correspondan a empresas denunciadas que no alcancen el número considerado para la apertura de actuaciones administrativas, se incluirán en los meses sucesivos.

Que ha tomado intervención el servicio permanente de asesoramiento jurídico de este Ministerio.

Que la presente medida se dicta en uso de las facultades conferidas en el artículo 9 de la Ley nº 26.951 y el artículo 2 del Anexo I al Decreto nº 2501 del 17 de diciembre de 2014.

Por ello,

 

EL DIRECTOR NACIONAL DE PROTECCIÓN DE DATOS PERSONALES

 

DISPONE:

Artículo 1.- La habilitación de obligados ante el Registro Nacional «No llame» tendrá validez anual. Dentro del plazo de CUARENTA Y CINCO (45) días corridos anteriores a la fecha de vencimiento de dicha inscripción, deberá solicitarse su renovación, completando el Formulario “C06 – Certificación de Requisitos de Obligados por el Registro Nacional No llame. Ley 26.951«.

 

Artículo 2.- Las habilitaciones que cuenten con más de UN (1) año desde su aprobación, deberán regularizar su situación dentro de los CUARENTA Y CINCO (45) días desde la entrada en vigencia de la presente.

 

Artículo 3.- La apertura de actuaciones administrativas se hará mensualmente, teniendo en cuenta una cantidad de denuncias por denunciado que permita mayor celeridad y sencillez en la atención del procedimiento aplicable. Las denuncias que correspondan a empresas denunciadas que no alcancen el número considerado para la apertura de actuaciones administrativas, se incluirán en los meses sucesivos.

 

Artículo 4.- Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.-

 

EDUARDO BERTONI, Director, Dirección Nacional de Protección de Datos Personales, Ministerio de Justicia y Derechos Humanos.

08Jul/17

Disposición 55-E/2016, de 25 de octubre de 2016, de la Dirección Nacional de Protección de Datos Personales (DNPDP)

Disposición 55-E/2016, de 25 de octubre de 2016, de la Dirección Nacional de Protección de Datos Personales (DNPDP), que aprueba el «Procedimiento de Inspección y Control de la Dirección Nacional de Protección de Datos Personales» de 2016.

MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS

DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES

Disposición 55-E/2016

Ciudad de Buenos Aires, 25 de octubre de 2016

VISTO el Expediente nº EX-2016-00206789- -APN-DNPDP del registro de este Ministerio, la Ley nº 25.326 y su Decreto Reglamentario nº 1558 del 29 de noviembre de 2001, modificado por su similar nº 1160 del 11 de agosto de 2010 y la Disposición nº 3 del 31 de julio de 2012 de esta Dirección Nacional, y

CONSIDERANDO:

Que la Ley nº 25.326 tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional.

Que es facultad de esta Dirección Nacional diseñar los instrumentos que considere adecuados para la mejor protección de los datos personales y para el cumplimiento de sus funciones y atribuciones.

Que de conformidad con lo establecido en el artículo 29, inciso 1, apartados b) y e), de la Ley nº 25.326, se encuentran entre sus funciones y atribuciones, las de dictar las normas y reglamentaciones que se deben observar en el desarrollo de sus actividades; y las de solicitar la información pertinente a las entidades públicas y privadas, en orden a proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos que se le requieran.

Que asimismo tiene la facultad de controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos. A tal efecto podrá solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la Ley nº 25.326, conforme el artículo 29, inciso 1, apartado d), de la mencionada norma.

Que se ha iniciado un proceso de revisión interna de los procedimientos sobre inspecciones a efectos de hacerlo más eficiente y fortalecer el rol de órgano de control de esta Dirección Nacional.

Que, con la sanción de la Ley nº 26.951, que crea el Registro Nacional «No llame», se establece que esta Dirección Nacional es su autoridad de aplicación, conforme su artículo 9°.

Que, por lo tanto, se impone ampliar el control que lleva a cabo este organismo a fin de fiscalizar el cumplimiento de las obligaciones que impone la norma citada en el párrafo precedente.

Que, por todo lo expuesto, deviene necesario derogar el procedimiento de inspección aprobado por la Disposición DNPDP nº 3/12, aprobando un nuevo procedimiento de inspección y control.

Que ha tomado la intervención que le compete la Dirección General de Asuntos Jurídicos de este Ministerio.

Que la presente medida se dicta en uso de las facultades conferidas en el artículo 29, inciso 1, apartado b) de la Ley nº 25.326 y el artículo 29, inciso 5, apartado a) del Anexo I del Decreto nº 1558/01 y su modificatorio.

Por ello,

EL DIRECTOR NACIONAL DE PROTECCIÓN DE DATOS PERSONALES

DISPONE:

Artículo 1°.- Derógase la Disposición DNPDP N° 3 del 31 de julio de 2012.

Artículo 2°.- Apruébase el “Procedimiento de Inspección y Control de la Dirección Nacional de Protección de Datos Personales” que se dispone en el Anexo IF-2016-02519312-APN-DNPDP y que forma parte de la presente.

Artículo 3°.- Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.

EDUARDO BERTONI, Director Nacional, Dirección Nacional de Protección de Datos Personales, Ministerio de Justicia y Derechos Humanos.

ANEXO I.- “PROCEDIMIENTO DE INSPECCIÓN Y CONTROL DE LA DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES”

1) Objetivos de las inspecciones

a) Fiscalizar y controlar las actividades del responsable del tratamiento de datos, los datos personales que administra, y los medios y la forma en que lo hace.

b) Evaluar el grado de cumplimiento conforme lo dispuesto por la Ley nº 25.326, la Ley nº 26.951, y demás normativa aplicable en el marco de la competencia de la Dirección Nacional de Protección de Datos Personales (DNPDP), con el objeto de:

I) detectar incumplimientos a la normativa vigente; y

II) realizar los requerimientos necesarios para adecuar el tratamiento de datos a la normativa vigente.

2) Competencia

Las facultades de la DNPDP para llevar adelante las inspecciones están establecidas en las siguientes normas:

Artículo 29, inciso 1, apartado d), Ley nº 25.326: “Controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos. A tal efecto podrá solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la presente ley”.

Artículo 29, inciso 1, apartado e), Ley nº 25.326: “Solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que se le requieran. En estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados”.

3) Alcance de la inspección

Las inspecciones abarcarán los siguientes aspectos, sin perjuicio de otros que puedan contemplarse al momento de llevarse a cabo:

a) Licitud de las bases de datos (artículos 3°, 21 y 24, Ley nº 25.326).

b) Calidad de los datos tratados (artículo 4°, Ley nº 25.326).

c) Consentimiento del titular del dato e información (artículos 5° y 6°, Ley nº 25.326).

d) Cumpliento de los principios de categrías de datos, seguridad y confidencialidad (artículos 7°, 9° y 10, Ley nº 25.326).

e) Requisitos de la cesión de datos y transferencia internacional de datos (artículos 11 y 12, Ley nº 25.326).

f) Ejercicio de los derechos de los titulares del dato (artículos 14, 15, 16 y 19, Ley nº 25.326).

g) Prestación de servicios de información crediticia (artículo 25, Ley nº 25.326).

h) Tratamiento de datos con fines de publicidad (artículo 27, Ley nº 25.326; Ley N° 26.951).

4) Tipos de inspección

a) De oficio: aquellas que la DNPDP inicia en ejercicio de sus facultades de fiscalización. Se dividen en:

I) Planificadas: las que surgen de la planificación anual.

II) Espontáneas: las que se originan en razones que llegan a conocimiento de la DNPDP, y que pueden impactar en la protección de datos personales y en el derecho a la privacidad.

b) Por denuncia: aquellas que se inician en el marco de una investigación que se sustancia a raiz de una denuncia interpuesta ante la DNPDP. La inspección en este caso tiene el carácter de medida probatoria del sumario administrativo.

5) Planificación de las inspecciones

La DNPDP implementará una planificación de las inspecciones que se llevarán a cabo durante un período determinado, sin perjuicio de otras que puedan ser ordenadas de forma espontánea o como consecuencia de un sumario administrativo.

La selección de los sujetos a inspeccionar estará basada en criterios objetivos de selección, tales como categorías de datos procesados; impacto del tratamiento de datos sobre la privacidad; cantidad de denuncias recibidas; tipo de denuncias recibidas; incumplimiento del deber de inscripción o renovación ante el RNBD.

El proceso de selección se sustanciará mediante un expediente administrativo y tendrá el objeto de identificar a los responsables de tratamientos de datos, sectores o grupos sobre los cuáles se llevaran a cabo las inspecciones. En las actuaciones se dejará constancia del o los criterios objetivos de selección utilizados.

6) Procedimiento de la inspección

a) Apertura del expediente y notificación al responsable sujeto a inspección

Se procederá a la apertura de un expediente administrativo por cada responsable sujeto a inspección seleccionado.

Mediante una providencia se identificarán los inspectores a cargo de cada actuación, quienes actuarán en forma conjunta y/o indistinta.

Se notificará la apertura del procedimiento y se requerirá completar y remitir en un plazo de QUINCE (15) días hábiles administrativos el Formulario de Inspección, debiendo el inspeccionado adjuntar la documentación respaldatoria de sus respuestas. El formulario será puesto a disposición del inspeccionado como anexo de la primera notificación o a través de la página web de la DNPDP, mediante la indicación de su URL para su descarga.

En los casos en los que se considere que la notificación previa pueda afectar el resultado de la inspección, aquella podrá omitirse mediante acto fundado. En estos casos se procederá directamente a llevar a cabo la visita presencial de los inspectores prevista en el punto 6.c de la presente.

b) Programación y notificación de las visitas presenciales

Recibido el formulario de inspección, se programarán las visitas presenciales que llevaran a cabo los inspectores.

La fecha, hora y lugar de la visita presencial se notificará con una antelación no menor a DIEZ (10) días hábiles administrativos. En la notificación podrán incluirse los requerimientos que a criterio del inspector resulten necesarios, y que podrán cumplirse por el inspeccionado hasta la fecha de la visita presencial.

c) Visita presencial

Los inspectores se harán presentes en domicilio denunciado por el inspeccionado, a los fines de la visita presencial, para acceder a locales, equipos o programas de tratamientos de datos personales y verificar el correcto cumplimiento de las obligaciones establecidas por la Ley nº 25.326.

Presentación: Los inspectores, previa acreditación, procederán a informar los objetivos y procedimiento de la inspección y verificarán las identidades de los representantes del responsable de tratamiento, corroborando la correspondiente personería o autorización.

Alcance: La inspección abarcará los aspectos jurídicos y técnicos del tratamiento de datos personales y su adecuación a las exigencias de la normativa vigente.

Para la realización de la inspección técnica, se podrán llevar a cabo todas las acciones destinadas a controlar la observancia de las normas sobre integridad y seguridad de datos.

Metodología: Con el objeto de formar un juicio objetivo, se emplearán las siguientes técnicas:

I) Verificaciones verbales: se llevarán a cabo entrevistas al personal del inspeccionado para obtener información verbal sobre los tratamientos de datos efectuados;

II) Verificaciones oculares: mediante la observación, se constatará el cumplimiento de aquellas obligaciones que permitan ser corroboradas visualmente;

III) Verificaciones documentales: análisis de los documentos aportados;

IV) Verificaciones técnicas: mediante las acciones destinadas a controlar la observancia de las normas sobre integridad y seguridad de datos.

Acta: En la visita presencial se labrará un Acta de Inspección, que podrá contener observaciones y requerimientos que a criterio del inspector sean necesarios, sin perjuicio de otros que eventualmente surjan en etapas procedimentales posteriores.

El Acta será suscripta por todos por los inspectores intervinientes y por al menos un representante del inspeccionado que acredite personería o autorización. Si el representante del inspeccionado se negare a firmar, se dejará debida constancia en el Acta, la que será suscripta sólo por los inspectores intervinientes.

En el caso que la inspección técnica deba realizarse en un local distinto al de la visita presencial, se hará constar dicha circunstancia en el Acta, determinando fecha y lugar de realización. Al momento de realizar la inspección técnica en local distinto, se labrará nueva Acta.

Autorización judicial para acceso a locales, equipos y programas: En caso de que resultare necesario solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la Ley nº 25.326, el inspector deberá elaborar un informe al Jefe de Departamento de Investigación y Difusión, o la unidad orgánica que eventualmente lo sustituya, quién elevará la respectiva petición al Director Nacional. En caso de compartir el criterio, se formulará el correspondiente requerimiento.

d) Cierre de la inspección

Con la información obtenida en las distintas etapas del procedimiento de inspección, los inspectores elaborarán y suscribirán un Informe Final en el que se establezca el nivel de cumplimiento del responsable inspeccionado.

Incorporado el Informe Final a las actuaciones, se procederá al cierre de la inspección mediante un acto que será subscripto por el Jefe de Departamento de Investigación y Difusión, o la unidad orgánica que eventualmente lo sustituya. Tanto el Informe Final como el acto de cierre serán notificados al inspeccionado.

Si en el Informe Final no se hubieran formulado observaciones, se procederá al archivo de las actuaciones. En caso contrario, las actuaciones pasarán a la etapa de seguimiento, sin perjuicio de la potestad del Director Nacional de ordenar la sustanciación de un sumario administrativo a fin de verificar la posible comisión de infracciones conforme Disposición DNPDP nº 7/15, concordantes y modificatorias.

e) Seguimiento de las inspecciones

En esta etapa se controlorá que el inspeccionado de cumplimiento a los requerimientos dispuestos para subsanar las observaciones señaladas en el Informe Final. A esos efectos, se lo intimará por el plazo de QUINCE (15) días hábiles administrativos.

En aquellos casos en los que el responsable no acredite su cumplimiento en tiempo y forma, se promoverá la sustanciación del correspondiente sumario administrativo.

Cumplidos la totalidad de los requerimientos en tiempo y forma, se dispondrá el archivo las actuaciones.