Archivos de la etiqueta: Derecho Informático Argentino

21Sep/24

Decreto 780/2024, 30 de agosto de 2024,

Decreto 780/2024, 30 de agosto de 2024, Derecho de Acceso a la información pública. Reglamento de la Ley nº 27.275. Modificación del Decreto nº 206/2017

Decreto 780/2024, de 30 de agosto de 2024, Derecho de Acceso a la información pública. Reglamento de la Ley nº 27.275. Modificación del Decreto nº 206/2017 (Fecha de publicación 02/09/2024)

VISTO el Expediente N° EX-2024-89633385-APN-CGD#SGP, la Ley Nº 27.275 y su modificatorio, el Decreto N° 206 del 27 de marzo de 2017 y su modificatorio y las Resoluciones de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA Nros. 76 del 27 de marzo de 2024 y 77 y 80, ambas del 3 de abril de 2024, y

CONSIDERANDO:

Que el derecho de acceso a la información pública se vincula estrechamente con el principio republicano de publicidad de los actos de gobierno y se infiere del propio texto y espíritu de la CONSTITUCIÓN NACIONAL.

Que constituye un objetivo primordial del PODER EJECUTIVO NACIONAL garantizar su ejercicio para fortalecer los pilares básicos del sistema republicano y la confianza de los ciudadanos en las instituciones.

Que la Ley Nº 27.275 de “Acceso a la Información Pública”, sancionada en el año 2016, tiene por objeto garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover la participación ciudadana y la transparencia de la gestión pública.

Que con el fin de asegurar el adecuado ejercicio de dicho derecho por parte de los ciudadanos, se dictó el Decreto N° 206/17 luego de la celebración de una consulta pública en la que se puso a consideración de la sociedad civil la necesidad de reglamentar algunos aspectos de la citada ley.

Que deviene imprescindible reglamentar el artículo 3° de la referida Ley Nº 27.275 y su modificatoria para clarificar el alcance del concepto de “información pública”, que comprende cuestiones de interés público ligadas a la actividad estatal y su control, y excluye por su propia naturaleza a la información que hace al ámbito privado del funcionario o magistrado, especialmente cuando la solicitud pretende ingresar a una esfera típicamente doméstica.

Que, en esa línea, las consultas sobre información que no estén ligadas a la gestión estatal exceden el objeto de la Ley N° 27.275 y su modificatoria y su tutela, y por tanto no generan obligación para la Administración Pública Nacional de suministrarla.

Que de acuerdo con lo establecido por el artículo 19 de la Ley Nº 27.275 y su modificatoria, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, organismo descentralizado actuante en el ámbito de la VICEJEFATURA DE GABINETE EJECUTIVA de la JEFATURA DE GABINETE DE MINISTROS, debe velar por el cumplimiento de los principios y procedimientos establecidos en la referida ley, garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover medidas de transparencia activa y actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales N° 25.326 y su modificatoria.

Que desde la entrada en vigencia de la mencionada Ley N° 27.275, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA dictó diversas resoluciones mediante las cuales estableció criterios orientadores y procedimentales para la correcta interpretación e implementación de la normativa mencionada y de su Decreto Reglamentario.

Que a efectos de evitar la fragmentación y dispersión normativa, mediante la Resolución de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA N° 80/24 fue aprobado, entre otros aspectos, en el Anexo III, el “Texto Ordenado de los Criterios Orientadores e Indicadores de Mejores Prácticas en la aplicación de la Ley N° 27.275”.

Que habiendo transcurrido SIETE (7) años desde la entrada en vigencia de esa ley, se advierte la necesidad de realizar las adecuaciones correspondientes a la Reglamentación de acuerdo con la experiencia práctica de su implementación con el fin de facilitar el acceso a la información pública de los ciudadanos.

Que, en ese marco, corresponde incorporar a la referida Reglamentación ciertos criterios establecidos por la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA en la Resolución N° 80/24, para garantizar que los derechos subjetivos sean ejercidos conforme al principio de buena fe y en su ámbito de funcionamiento razonable.

Que, en tal sentido, se torna necesario adoptar medidas para evitar la divulgación de toda información que, por su especificidad, pueda ser utilizada para identificar rutinas, desplazamientos y ubicaciones de una persona, así como la relacionada con denuncias o investigaciones en curso.

Que asimismo, en virtud del avance de las tecnologías vinculadas a la gestión de la información, resulta oportuno posibilitar la incorporación de mecanismos digitales que mejoren las condiciones de acceso a la información pública y garanticen un acceso eficaz y transparente.

Que resulta menester adaptar la plataforma tecnológica existente con el fin de que esta incorpore nuevas tecnologías que faciliten la interacción de los usuarios, amplíen las capacidades de exploración sobre la información transparentada y permitan un mejor análisis de métricas sobre el funcionamiento del Sistema de Transparencia y Acceso a la Información Pública establecido en la Resolución de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA N° 76/24.

Que la referida Resolución incorpora como un componente de dicho sistema el Portal Nacional de Transparencia, plataforma tecnológica destinada a brindar servicios a la ciudadanía para el acceso efectivo a la información pública y la transparencia activa.

Que a través de la Resolución de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA N° 77/24 se actualizaron los criterios y pautas de estandarización y publicación de la información que dan cumplimiento a las previsiones del artículo 32 de la Ley N° 27.275 y su modificatoria.

Que un régimen eficiente y eficaz mejorará la previsibilidad en la gestión, la promoción de la rendición de cuentas y el incremento de la información relacionada con la implementación de iniciativas vinculadas con la lucha contra la corrupción, entre otras.

Que la PROCURACIÓN DEL TESORO DE LA NACIÓN estimó razonable y conveniente incorporar las directrices y consideraciones vertidas en una eventual reglamentación del artículo 3º de la Ley Nº 27.275 (Dictámenes 330:86).

Que, en virtud de lo expuesto, deviene necesario reglamentar los artículos 1º, 3º, 4º, 8º, 24, 31 y 32 de la citada Ley N° 27.275 y su modificatoria y efectuar las adecuaciones correspondientes.

Que ha tomado la intervención de su competencia el servicio de asesoramiento jurídico pertinente.

Que la presente medida se dicta en uso de las atribuciones conferidas por el artículo 99, inciso 2 de la CONSTITUCIÓN NACIONAL.

Por ello,

EL PRESIDENTE DE LA NACIÓN ARGENTINA

DECRETA:

ARTÍCULO 1°.- Reglaméntase el último párrafo del artículo 1° de la Ley N° 27.275 y su modificatoria, e incorpórase como artículo 1° al Anexo I del Decreto N° 206 del 27 de marzo de 2017 y su modificatorio el siguiente texto:

“ARTÍCULO 1º.- “Buena fe: La violación al principio de buena fe por parte de todos los actores intervinientes configura el supuesto previsto en el artículo 10 del CÓDIGO CIVIL Y COMERCIAL DE LA NACIÓN”.

ARTÍCULO 2°.- Reglaméntase el artículo 3° de la Ley N° 27.275 y su modificatoria, e incorpórase como artículo 3° al Anexo I del Decreto N° 206 del 27 de marzo de 2017 y su modificatorio el siguiente texto:

“ARTÍCULO 3°.- Alcance de las definiciones.

a) Información Pública: No se entenderá como información pública a aquella que contenga datos de naturaleza privada que fueran generados, obtenidos, transformados, controlados o custodiados por personas humanas o jurídicas privadas o por la ausencia de un interés público comprometido, ajenos a la gestión de los sujetos obligados enumerados en el artículo 7° de la Ley N° 27.275 y su modificatoria.

b) Documento: La definición de documento establecida en la Ley Nº 27.275 y su modificatoria debe entenderse referida a todo registro que haya sido generado, que sea controlado o que sea custodiado en el marco de la actividad estatal.

Las deliberaciones preparatorias y papeles de trabajo, o el examen preliminar de un asunto, no serán considerados documentos de carácter público”.

ARTÍCULO 3°.- Reglaméntase el artículo 4° de la Ley N° 27.275 y su modificatoria, e incorpórase como artículo 4° al Anexo I del Decreto N° 206 del 27 de marzo de 2017 y su modificatorio el siguiente texto:

“ARTÍCULO 4º.- Legitimación activa. Requisitos formales de la solicitud: a la persona humana o jurídica, pública o privada, al momento de efectuar una solicitud únicamente se le podrán solicitar los siguientes requisitos:

a. En caso de tratarse de una persona humana, su nombre y apellido, documento de identidad, domicilio y correo electrónico;

b. En caso de tratarse de una persona jurídica, la razón social y C.U.I.T. y la identificación de su representante en los términos del inciso a). Adicionalmente, copia del poder legalizado vigente que acredite su condición de representante o autorizado a tales efectos”.

ARTÍCULO 4°.- Sustitúyese el artículo 8º del Anexo I del Decreto Nº 206 del 27 de marzo de 2017 y su modificatorio, el que quedará redactado de la siguiente manera:

“ARTÍCULO 8°.- Excepciones. A los efectos de su aplicación, se considerará:

a. El carácter reservado, confidencial o secreto de la información clasificada por razones de defensa, política exterior o seguridad interior debe ser dispuesto por normas que reglamenten el ejercicio de la actividad y por acto fundado de las respectivas autoridades competentes, de forma previa a la solicitud de información.

En caso de no existir previsión en contrario, la información clasificada como reservada, confidencial o secreta mantendrá ese estado durante DIEZ (10) años desde su producción, transcurridos los cuales, el sujeto obligado deberá formular un nuevo análisis respecto de la viabilidad de desclasificar la información con el fin de que alcance estado público.

b) Se encuentra específicamente protegido el secreto financiero contemplado en los artículos 39 y 40 de la Ley N° 21.526, sus modificaciones y normas complementarias y concordantes y toda aquella normativa que la modifique o reemplace.

c) Se entenderá como información cuya revelación pudiera perjudicar el nivel de competitividad o lesionar los intereses del sujeto obligado aquella que:

1. Sea secreta, en el sentido de que no fuera generalmente conocida ni fácilmente accesible para personas introducidas en los círculos en que normalmente se utiliza ese tipo de información, en todo o en las partes que la componen; y

2. Tenga un valor comercial por ser secreta; y

3. Sea objeto de medidas razonables para mantenerla secreta.

d) Sin reglamentar.

e) La información en poder de la UNIDAD DE INFORMACIÓN FINANCIERA exceptuada del acceso a la información pública comprende a toda aquella recibida, obtenida, producida, vinculada o utilizada para el desarrollo de sus actividades en las áreas de seguridad, sumarios, supervisión, análisis y asuntos internacionales y la información recibida de los sujetos obligados enumerados en el artículo 20 de la Ley N° 25.246 y sus modificatorias.

f) Sin reglamentar.

g) Sin reglamentar.

h) Sin reglamentar.

i) La excepción será inaplicable cuando el titular del dato haya prestado consentimiento para su divulgación o cuando los datos estén estrechamente relacionados con las competencias de los funcionarios públicos.

j) La excepción será aplicable a toda información que:

1. Por su especificidad, pueda ser utilizada para identificar rutinas, desplazamientos y ubicaciones de una persona; o

2. Su conocimiento público, difusión o divulgación pueda, directa o indirectamente, causar daños y perjuicios; o

3. Se encuentre relacionada con denuncias o investigaciones en curso que, de hacerse pública, pueda poner en riesgo a denunciantes, testigos, víctimas o cualquier otra persona involucrada.

k) Sin reglamentar.

l) Sin reglamentar.

m) Sin reglamentar.

En las causas judiciales donde se investiguen y juzguen casos de graves violaciones a los derechos humanos, genocidio, crímenes de guerra o delitos de lesa humanidad no serán aplicables las excepciones contenidas en este artículo, debiendo el sujeto obligado suministrar la información requerida en el marco de la causa”.

ARTÍCULO 5°.- Reglaméntase el artículo 24 de la Ley N° 27.275 y su modificatoria, e incorpórase como artículo 24 al Anexo I del Decreto N° 206 del 27 de marzo de 2017 y su modificatorio el siguiente texto:

“ARTÍCULO 24.- Competencias y funciones de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.

a) Sin reglamentar.

b) Sin reglamentar.

c) Sin reglamentar.

d) La plataforma tecnológica contendrá un registro que permita la identificación del solicitante, el contenido de la solicitud y la respuesta brindada con el fin de agilizar y facilitar la respuesta de nuevas solicitudes cuyo contenido coincida con el de otras evacuadas previamente.

e) Sin reglamentar.

f) Sin reglamentar.

g) Sin reglamentar.

h) La Agencia tendrá en consideración, a los efectos de la elaboración de estadísticas, aquellas solicitudes reiterativas que generen un dispendio innecesario de actividad administrativa por parte de los sujetos obligados, o que configuren un abuso en el ejercicio del derecho de acceso a la información pública por parte de los solicitantes.

i) Sin reglamentar.

j) Sin reglamentar.

k) Sin reglamentar.

l) Sin reglamentar.

m) Sin reglamentar.

n) Sin reglamentar.

o) Sin reglamentar.

p) Sin reglamentar.

q) Sin reglamentar.

r) Sin reglamentar.

s) Sin reglamentar.

t) Sin reglamentar”.

ARTÍCULO 6°.- Reglaméntase el artículo 31 de la Ley N° 27.275 y su modificatoria, e incorpórase como artículo 31 al Anexo I del Decreto N° 206 del 27 de marzo de 2017 y su modificatorio el siguiente texto:

“ARTÍCULO 31.- Funciones de los responsables de acceso a la información pública. Las funciones de los responsables de acceso a la información pública, en el ámbito de sus respectivas jurisdicciones, comprenderán:

a) Clasificar los distintos pedidos en razón de su objeto. En aquellos casos en los cuales existan solicitudes similares podrán ser agrupadas y remitidas al funcionario pertinente para su tramitación conjunta y la elaboración de una respuesta unificada.

b) En caso de que se verifique el ingreso de solicitudes que reiteren un pedido ya contestado o un manifiesto apartamiento del principio de buena fe, por parte de una misma persona, independientemente de la respuesta que elabore el sujeto obligado, adicionalmente se informará a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA para que adopte las medidas que estime necesarias con el fin de garantizar el efectivo ejercicio del derecho de acceso a la información pública en condiciones de igualdad a favor de todas las personas habilitadas a tal efecto.

c) Sin reglamentar.

d) Sin reglamentar.

e) Sin reglamentar.

f) Sin reglamentar.

g) Sin reglamentar.

h) Sin reglamentar.

i) Sin reglamentar.

j) Sin reglamentar.

k) Sin reglamentar”.

ARTÍCULO 7°.- Reglaméntase el primer párrafo del artículo 32 de la Ley N° 27.275 y su modificatoria, e incorpórase como artículo 32 al Anexo I del Decreto N° 206 del 27 de marzo de 2017 y su modificatorio el siguiente texto:

“ARTÍCULO 32.- Transparencia activa. Cuando una solicitud versare sobre información que se encuentre publicada en una página oficial de la red informática, esta se tendrá por satisfecha con la sola remisión a esa página. En caso de tratarse de información de actualización periódica, además de remitir al portal, se deberá indicar que este se encuentra sujeto a actualizaciones”.

a) Sin reglamentar.

b) Sin reglamentar.

c) Sin reglamentar.

d) Sin reglamentar.

e) Sin reglamentar.

f) Sin reglamentar.

g) Sin reglamentar.

h) Sin reglamentar.

i) Sin reglamentar.

j) Sin reglamentar.

k) Sin reglamentar.

l) Sin reglamentar.

m) Sin reglamentar.

n) Sin reglamentar.

o) Sin reglamentar.

p) Sin reglamentar.

q) Sin reglamentar.

r) Sin reglamentar.

s) Sin reglamentar.

t) Sin reglamentar”.

ARTÍCULO 8°.- La presente medida entrará en vigencia a partir de la fecha de su publicación en el BOLETÍN OFICIAL.

ARTÍCULO 9°.- Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.

MILEI – Guillermo Francos

21Sep/24

Resolución nº 80 del 3 de abril de 2024

Resolución nº 80 del 3 de abril de 2024 de la Agencia de Acceso a la Información (Publicada el 5 de abril de 2024)

AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESOL-2024-80-APN-AAIP

Ciudad de Buenos Aires, 03/04/2024

VISTO el Expediente N° EX-2023-141705823- -APN-AAIP; la Ley N° 27.275; el Decreto N° 206 del 27 de marzo de 2017; las Resoluciones de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA N° 4 del 2 de febrero de 2018, N° 5 del 5 de febrero de 2018, N° 48 del 30 de julio de 2018, N° 119 del 22 de julio 2019, N° 268 del 10 enero de 2020, N° 94 del 23 de mayo de 2023 y N° 76 del 27 de marzo de 2024; y

CONSIDERANDO:

Que la Ley de Acceso a la Información Pública N° 27.275 tiene por objeto garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover la participación ciudadana y la transparencia de la gestión pública.

Que, conforme las disposiciones del artículo 24 del mencionado cuerpo normativo, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (en adelante AAIP) se encuentra facultada para redactar y aprobar el Reglamento de Acceso a la Información Pública aplicable a todos los sujetos obligados (inc. c); requerir a dichos sujetos que modifiquen o adecuen su organización, procedimientos, sistemas de atención al público y recepción de correspondencia a la normativa aplicable a los fines de cumplir con el objeto de la citada ley (inc. e); coordinar el trabajo de los responsables de acceso a la información pública que designen los sujetos obligados conforme lo previsto en el artículo 30 de la mencionada ley (inc. g); elaborar criterios orientadores e indicadores de mejores prácticas destinados a los sujetos obligados (inc. k); y solicitar a los sujetos obligados expedientes, informes, documentos, antecedentes y cualquier otro elemento necesario a los efectos de ejercer su labor (inc. m); entre otras atribuciones.

Que el artículo 30 de la ley citada establece que cada sujeto obligado deberá nombrar a un responsable de acceso a la información, cuyas funciones y atribuciones específicas están definidas en el artículo 31, entre las que se encuentra tramitar las solicitudes de acceso dentro de su jurisdicción (inc. a), realizar el seguimiento y control de la correcta tramitación de las solicitudes de acceso a la información pública (inc. b), llevar un registro de las solicitudes de acceso a la información pública; promover la implementación de las resoluciones elaboradas por la AAIP (inc. d), brindar asistencia a los solicitantes en la elaboración de los pedidos de acceso a la información pública y orientarlos sobre las dependencias o entidades que pudieran poseer la información requerida (inc. e), promover prácticas de transparencia en la gestión pública y de publicación de la información (inc. f), elaborar informes mensuales para ser remitidos a la AAIP o a los organismos detallados en el artículo 28 de la Ley Nº 27.275, según corresponda, sobre la cantidad de solicitudes recibidas, los plazos de respuesta y las solicitudes respondidas y rechazadas (inc. g), publicar, en caso de corresponder, la información que hubiese sido desclasificada (inc. h), informar y mantener actualizadas a las distintas áreas de la jurisdicción correspondiente sobre la normativa vigente en materia de guarda, conservación y archivo de la información y promover prácticas en relación con dichas materias, con la publicación de la información y con el sistema de procesamiento de la información (inc. i), participar de las reuniones convocadas por la AAIP (inc. j) y todas aquellas que sean necesarias para asegurar una correcta implementación de las disposiciones de la Ley de Acceso a la Información Pública (inc. k).

Que, desde la entrada en vigencia de la Ley N° 27.275, la AAIP dictó diversas resoluciones mediante las cuales estableció criterios orientadores y procedimentales para la correcta interpretación e implementación de la normativa mencionada y de su decreto reglamentario, entre las que cabe mencionar las Resoluciones de la AAIP N° 4/18, N° 5/18, N° 48/18, N° 119/19 y N° 268/19.

Que la Resolución de la AAIP N° 76/24 aprueba las pautas para la organización del Sistema de Transparencia y Acceso a la Información Pública.

Que en el marco del Plan Estratégico 2022-2026 de la AAIP (conf. su Resolución de la AAIP N° 94/23), y como parte de la actualización de normativa allí definida, resulta necesario sistematizar los criterios de interpretación y procedimentales en una única disposición de naturaleza reglamentaria.

Que la sistematización de la normativa reglamentaria y complementaria en materia de acceso a la información pública tiene el objetivo de garantizar el derecho humano de acceso a la información pública a partir de la definición precisa y el dictado de pautas claras para la gestión de solicitudes, la gestión de reclamos y el ordenamiento de los criterios orientadores y los lineamientos interpretativos existentes.

Que, con el objetivo antes explicitado, se propicia la aprobación de tres documentos donde se establecen los reglamentos para la Gestión de Solicitudes de Información Pública (Anexo I) y para la Gestión de Reclamos de Acceso a la Información Pública (Anexo II), así como el Texto Ordenado de los Criterios Orientadores e Indicadores de Mejores Prácticas en la aplicación de la Ley N° 27.275 (Anexo III).

Que, de esta manera, tanto los operadores del sistema de Transparencia y Acceso a la información, como las personas que ejercen un derecho que es presupuesto para una ciudadanía plena y participativa, contarán con una pauta clara de actuación a partir de la unificación y articulación de las disposiciones aplicables a los procedimientos de acceso, evitando la fragmentación y dispersión normativa.

Que la Dirección Nacional de Políticas de Acceso a la Información Pública emitió su Informe Técnico (IF-2024-29583845-APN-DCYNAI#AAIP).

Que la Unidad de Auditoría Interna de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA tomó la intervención previa de su competencia.

Que el Servicio Jurídico permanente de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA tomó la intervención previa de su competencia.

Que la presente medida se dicta en virtud de las facultades conferidas por el artículo 24, incisos c), e), g), k y m), de la Ley Nº 27.275.

Por ello,

LA DIRECTORA DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1º.- Aprobar el Reglamento de Gestión de Solicitudes de Información Pública (IF-2024-32179138-APN-DCYNAI#AAIP); el Reglamento de Gestión de Reclamos de Acceso a la Información Pública (IF-2024-31781893-APN-DGYCAIP#AAIP) y el Texto Ordenado de los Criterios Orientadores e Indicadores de Mejores Prácticas en la aplicación de la Ley N° 27.275 (IF-2024-33460362-APN-DCYNAI#AAIP) que, como Anexos I II y III, respectivamente, forman parte integrante de la presente medida.

ARTÍCULO 2º.- Derogar las Resoluciones de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA N° 4/18, N° 5/18, N° 48/18, N°119/19 y N° 268/20.

ARTÍCULO 3º.- Comuníquese, publíquese, dese a la Dirección Nacional del Registro Oficial y archívese.

Beatriz de Anchorena

21Sep/24

Resolución nº 77 del 3 de abril de 2024, de la Agencia de Acceso a la información

Resolución nº 77 del 3 de abril de 2024, de la Agencia de Acceso a la información (Publicada 5 de abril de 2024)

RESOL-2024-77-APN-AAIP

Ciudad de Buenos Aires, 03/04/2024

VISTO el Expediente N° EX-2024-00656543- -APN-AAIP, la Ley N° 27.275, las Resoluciones de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA N° 94 del 23 de mayo de 2023 y N° 76 del 27 de marzo de 2024, la Disposición de la Dirección Nacional de Acceso a la Información Pública N° 1 del 5 de septiembre de 2019, y

CONSIDERANDO:

Que la Ley Nº 27.275 tiene por objeto garantizar el efectivo ejercicio del derecho de acceso a la información pública y promover la participación ciudadana y la transparencia de la gestión pública (artículo 1°).

Que, por el artículo 19 de la referida ley, se creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP), como ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, con la misión de velar por el cumplimiento de los principios y procedimientos establecidos en la Ley N° 27.275, garantizar el efectivo ejercicio del derecho de acceso a la información pública y promover medidas de transparencia activa.

Que, mediante la Resolución de la AAIP N° 94/2023, se aprobó el Plan Estratégico 2022-2026 del organismo, resultado de una labor conjunta de planificación desarrollada por las distintas unidades orgánicas que lo integran, en el cual se traducen los objetivos estratégicos trazados por su titular en acciones y metas concretas.

Que entre los objetivos del Plan Estratégico se encuentra el de impulsar la transparencia y la participación ciudadana para acercar el Estado a la ciudadanía, a través de la promoción de mecanismos de transparencia activa y proactiva como dimensión sustantiva en todo el ciclo de políticas públicas.

Que la Ley N° 27.275 establece en su artículo 32 las obligaciones de transparencia activa de los sujetos obligados, indicando que deberán facilitar la búsqueda y el acceso a la información de una manera clara, estructurada y entendible para la ciudadanía, procurando remover toda barrera que obstaculice o dificulte su reutilización por parte de terceros.

Que la citada norma establece que la información debe ser publicada en forma completa, actualizada, por medios digitales y en formatos abiertos.

Que la Resolución de la AAIP N° 76/2024 articula los diversos componentes y procedimientos que se integran en el Sistema de Transparencia y Acceso a la Información Pública.

Que, desde la entrada en vigencia de la Ley N° 27.275, la AAIP dictó diversas resoluciones mediante las cuales estableció criterios orientadores y procedimentales para la correcta interpretación e implementación de la normativa mencionada y de su decreto reglamentario.

Que mediante la Disposición de la Dirección Nacional de Acceso a la Información Pública N° 1/2019 se aprobó el Instructivo de carga de información de Transparencia Activa para uso de los sujetos obligados de la ADMINISTRACIÓN PÚBLICA NACIONAL.

Que, a través del Índice de Transparencia Activa -herramienta de monitoreo de la información pública que divulgan los sujetos obligados en sus páginas web oficiales-, la AAIP realiza mediciones periódicas respecto del grado de cumplimiento de los criterios y pautas establecidas en la materia.

Que, transcurridos TRES (3) años desde la implementación del mencionado Índice, la Dirección Nacional de Evaluación de Políticas de Transparencia llevó adelante un proceso de evaluación a partir del cual se construyeron, de manera participativa, las bases para una nueva metodología y criterios de publicación de la información en cumplimiento del principio de transparencia activa, contemplando la heterogeneidad de los sujetos obligados y las mejores prácticas relevadas entre los organismos y entidades monitoreadas por la AAIP.

Que el proceso de evaluación del Índice se encuentra documentado en tres informes que dan cuenta de los resultados de implementación y de los aportes recibidos de los referentes de transparencia de los organismos públicos y de organizaciones de la sociedad civil.

Que, por tanto, resulta necesario actualizar los criterios y pautas de estandarización y publicación de la información que dan cumplimiento a las previsiones del artículo 32 de la Ley N° 27.275, así como la metodología del Índice de Transparencia, estrategia de monitoreo del cumplimiento de las citadas obligaciones.

Que la medida tiene como finalidad fortalecer la transversalidad del principio de transparencia a lo largo del ciclo de producción de las políticas públicas, mejorando la visibilidad de la administración de los recursos públicos, de las acciones que se impulsan y de los resultados que se obtienen.

Que existe un proceso de retroalimentación entre la participación ciudadana y la transparencia, toda vez que la transparencia brinda a la ciudadanía información que es imprescindible para participar y opinar, así como la participación es una vía por la cual se canalizan demandas de acceso a la información y que permite la circulación de información sobre el funcionamiento del gobierno y la administración.

Que, por tanto, la Dirección Nacional de Evaluación de Políticas de Transparencia propicia también la aprobación del Catálogo de Espacios de Participación y el Directorio Federal de Organizaciones de la sociedad civil con incidencia en políticas públicas de transparencia como instrumentos que contribuyen a fortalecer la participación de la ciudadanía y sus organizaciones en las políticas públicas, ya que ponen a disposición información útil para la intervención pública y el diseño de políticas públicas.

Que el nuevo estándar de transparencia implicará una mejora en el ejercicio efectivo del derecho de acceso a la información pública y promoverá la participación ciudadana.

Que la Dirección de Asuntos Jurídicos tomó la intervención de su competencia.

Que la presente medida se dicta en virtud de las competencias conferidas por el artículo 24, incisos g) y k), de la Ley N° 27.275.

Por ello,

LA DIRECTORA DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1°.- Aprobar el Instructivo para el cumplimiento de las obligaciones de Transparencia Activa y Proactiva por parte de los sujetos obligados de la Ley N° 27.275 de uso obligatorio para sujetos obligados alcanzados por el artículo 7° (incisos a, g, h, j, k, l, m, n, o y p) que, como Anexo I (IF-2024-31304703-APN-DNEPT#AAIP), que forma parte integrante de la presente medida.

ARTÍCULO 2°.- Establecer que los sujetos obligados deberán, dentro de un período CUARENTA Y CINCO (45) días corridos desde la fecha de publicación de la presente resolución, adaptar sus pestañas de transparencia a las pautas y criterios del Instructivo para el cumplimiento de las obligaciones de Transparencia Activa y Transparencia Proactiva.

ARTÍCULO 3°.- Aprobar el Mecanismo de Monitoreo de las Políticas de Transparencia que, como Anexo II (IF-2024-32161046-APN-DNEPT#AAIP), forma parte integrante de la presente medida.

ARTÍCULO 4°.- Aprobar los Instrumentos para la promoción de la participación ciudadana que, como Anexo III (IF-2024-32169052-APN-DNEPT#AAIP), forman parte integrante de la presente medida.

ARTÍCULO 5°.- Facultar a la Dirección Nacional de Evaluación de Políticas de Transparencia a dictar las normas complementarias y aclaratorias necesarias para la aplicación de la presente medida.

ARTÍCULO 6°.- Derogar la Disposición de la Dirección Nacional de Acceso a la Información Pública N° 1/2019.

ARTÍCULO 7°.- Comuníquese, publíquese, dese a la Dirección Nacional del Registro Oficial y archívese.

Beatriz de Anchorena

01Ago/24

Legislación Informática de Argentina, año 2024

Expediente 0805-D-2024. Proyecto de ley de responsabilidad algorítmica y promoción de la robótica, algoritmos verdes e inteligencia artificial, 18 de marzo de 2024

Resolución nº 76 del 27 de marzo de 2024 de la Agencia de Acceso a la Información (Publicada el 5 de abril de 2024)

Resolución nº 77 del 3 de abril de 2024 de la Agencia de Acceso a la Información (Publicada el 5 de abril de 2024)

Resolución nº 80 del 3 de abril de 2024 de la Agencia de Acceso a la Información (Publicada el 5 de abril de 2024)

Resolución 15/2024 de 5 de junio de 2024. (RESOL-2024-15-APN-SICYT#JGM) Se aprueban los “Lineamientos para el uso de herramientas digitales” en el Sector Público Nacional, con el objetivo de fortalecer la seguridad de la información y proteger los activos de información de la Administración Pública. Estos lineamientos serán de aplicación para todas las jurisdicciones y entidades del Sector Público Nacional. (Publicado el 7 de junio de 2024)

RESOL-2024-710-APN-MSG, Ciudad de Buenos Aires, del 26 de julio de 2024 por la que se crea en Argentina una Unidad de Inteligencia Artificial Aplicada a la Seguridad (UIAAS), cuya misión es la prevención, detención, Investigación y persecución del delito y sus conexiones mediante la utilización de IA

Decreto 780/2024, 30 de agosto de 2024, Derecho de Acceso a la información pública. Reglamento de la Ley nº 27.275. Modificación del Decreto nº 206/2017

Expediente 5924-D-2024, Proyecto de Ley de 9 de octubre de 2024. Programa Nacional de Información y Concientización en medios gráficos, virtuales, televisivos y radiales sobre la problemática del phishing.

Expediente 6318-D-2024. Proyecto de Ley de 23 de octubre de 2024. Código Penal de la Nación. Modificaciones sobre delito de hostigamiento digital.

Expediente 6319-D-2024. Proyecto de Ley de 23 de octubre de 2024. Código Penal de la Nación. Modificaciones sobre delito de suplantación de identidad digital.

08May/21

Anteproyecto de la Ley de Protección de Datos Personales de 2017.

Anteproyecto de la Ley de Protección de Datos Personales de 2017.

El Senado y Cámara de Diputados de la Nación Argentina reunidos en Congreso, …

Sancionan con fuerza de Ley

LEY DE PROTECCIÓN DE LOS DATOS PERSONALES

Capítulo 1. Disposiciones generales

ARTÍCULO 1°

Objeto. La presente ley tiene por objeto la protección integral de los datos personales a fin de garantizar el ejercicio pleno de los derechos de sus titulares, de conformidad a lo establecido en el artículo 43, párrafo tercero, de la CONSTITUCIÓN NACIONAL y los tratados de derechos humanos en los que la REPÚBLICA ARGENTINA sea parte.

ARTÍCULO 2°

Definiciones. A los fines de la presente ley se entiende por:

Autoridad de control: órgano que debe velar por el cumplimiento de los principios y procedimientos de la presente ley de acuerdo a lo establecido en el Capítulo 7.

– Base de datos: conjunto organizado de datos personales que sean objeto de tratamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso. Indistintamente se la puede denominar también archivo, registro, fichero o banco de datos.

– Datos personales: información de cualquier tipo referida a personas humanas determinadas o determinables, inclusive los datos biométricos. Se entenderá por determinable la persona que pueda ser identificada mediante algún identificador o por uno o varios elementos característicos de la identidad física, fisiológica, genética (datos genéticos), psíquica, económica, cultural o social de dicha persona. No será considerada persona determinable cuando, para lograr su identificación, se requiera la aplicación de medidas o plazos desproporcionados o inviables. Se entenderá por datos biométricos aquellos datos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan o confirmen su identificación única. Se entenderá por datos genéticos los relativos a las características genéticas heredadas o adquiridas de una persona humana que proporcionen una información sobre su fisiología o salud, obtenidos en particular del análisis de una muestra biológica.

Datos sensibles: datos personales que afectan la esfera íntima de su titular con potencialidad de originar una discriminación ilícita o arbitraria, en particular, los que revelan origen racial o étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, participación o afiliación en una organización sindical o política, información referente a la salud, preferencia o vida sexual.

Disociación de datos: el procedimiento que se aplica sobre los datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable. No será considerada persona determinable cuando el procedimiento que deba aplicarse para lograr su identificación requiera la aplicación de medidas o plazos desproporcionados o inviables.

Encargado del tratamiento: persona humana o jurídica, pública o privada, que trate datos personales por cuenta del responsable del tratamiento.

– Fuente de acceso público irrestricto: la que contiene información destinada a ser difundida al público, de libre acceso e intercambio por razones de interés general, accesible ya sea en forma gratuita o mediante una contraprestación.

Fuente de acceso público restricto: la que contiene información que no está sujeta a confidencialidad ni tampoco está destinada a ser difundida irrestrictamente al público y cuyo acceso a terceros resulta generalmente condicionado al cumplimiento de ciertos requisitos.

– Grupo económico: sociedades controlantes, controladas y aquellas vinculadas en las cuales se tenga influencia significativa en las decisiones, denominación, domicilio, actividad principal, participación patrimonial, porcentaje de votos y, para las controlantes, principales accionistas.

Incidente de seguridad de datos personales: hecho ocurrido en cualquier fase del tratamiento que implique la pérdida o destrucción no autorizado, el robo, extravío o copia no autorizada, el uso, acceso o tratamiento de datos no autorizado, o el daño, alteración o modificación no autorizada.

Responsable del tratamiento: persona humana o jurídica, pública o privada, titular de la base de datos, que decide sobre el tratamiento de datos, sus finalidades y medios.

Tercero: la persona humana o jurídica, pública o privada, distinta del titular de los datos, del responsable del tratamiento, del encargado del tratamiento o de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.

Titular de los datos: la persona humana cuyos datos sean objeto del tratamiento al que se refiere la presente ley.

Transferencia internacional: la transmisión de datos personales fuera del territorio nacional.

Tratamiento de datos: cualquier operación o procedimiento organizado, electrónico o no, que permita la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo o destrucción y, en general, el procesamiento de datos personales, así como también su cesión a través de comunicaciones, consultas, interconexiones o transferencias.

ARTÍCULO 3°

Excepciones a la aplicación de la ley. Queda exceptuado de los alcances de la presente ley el tratamiento de datos que efectúe una persona humana para su uso exclusivamente privado o de su grupo familiar.

La aplicación de la presente ley en ningún caso podrá afectar el secreto de las fuentes de información periodísticas. Tampoco podrá afectar al tratamiento de datos que realicen los medios de comunicación en el ejercicio de la libertad de expresión.

ARTÍCULO 4°

Ámbito de aplicación. Las normas de la presente ley serán de aplicación cuando:

a) el responsable del tratamiento se encuentre establecido en el territorio nacional, aun cuando el tratamiento de datos tenga lugar fuera de dicho territorio;

b) el responsable del tratamiento no se encuentre establecido en el territorio nacional, sino en un lugar en que se aplica la legislación nacional en virtud del derecho internacional;

c) el tratamiento de datos de titulares que residan en la REPÚBLICA ARGENTINA sea realizado por un responsable del tratamiento que no se encuentre establecido en el territorio nacional y las actividades de dicho tratamiento se encuentren relacionadas con la oferta de bienes o servicios a dichos titulares de los datos en la REPÚBLICA ARGENTINA, o con el seguimiento de sus actos, comportamientos o intereses.

Capítulo 2. Principios relativos al tratamiento de datos

ARTÍCULO 5º

Principio de licitud, lealtad y transparencia. Los datos personales deben ser tratados de manera lícita, leal y transparente. El tratamiento se considera leal cuando el responsable se abstenga de tratar los datos personales a través de medios engañosos o fraudulentos.

ARTÍCULO 6º

Principio de finalidad. Los datos personales deben ser recogidos con fines determinados, explícitos y legítimos, y no deben ser tratados de manera incompatible con dichos fines.

No se considerarán incompatibles con los fines iniciales tanto el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos, como tampoco el tratamiento de datos con fines que pudieron ser, de acuerdo al contexto, razonablemente presumidos por el titular de los datos.

ARTÍCULO 7º

Principio de minimización de datos. Los datos personales deben ser tratados de manera que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que fueron recolectados.

ARTÍCULO 8º

Principio de exactitud. Los datos personales deben ser tratados de modo que sean exactos y completos. Si fuera necesario adecuarlos, se adoptarán todas las medidas razonables para que se supriman o rectifiquen.

ARTÍCULO 9º

Limitación del plazo de conservación. Los datos personales no deben ser mantenidos más allá del tiempo estrictamente necesario para el cumplimiento de la finalidad del tratamiento. Los datos personales pueden conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone la presente ley a fin de proteger los derechos del titular de los datos.

ARTÍCULO 10.- Principio de responsabilidad proactiva. El responsable o encargado del tratamiento debe adoptar las medidas técnicas y organizativas apropiadas a fin de garantizar un tratamiento adecuado de los datos personales y el cumplimiento de las obligaciones dispuestas por la presente ley, y que le permitan demostrar a la autoridad de control su efectiva implementación.

ARTÍCULO 11.- Licitud del tratamiento de datos. El tratamiento de datos es lícito sólo si se cumple al menos UNA (1) de las siguientes condiciones:

a) el titular de los datos dio su consentimiento para el tratamiento de sus datos para uno o varios fines específicos conforme lo dispuesto en los artículos 12, 13 y 14;

b) el tratamiento de datos se realice sobre datos que figuren en fuentes de acceso público irrestricto;

c) el tratamiento de datos se realice en ejercicio de funciones propias de los poderes del Estado y sean necesarios para el cumplimiento estricto de sus competencias;

d) el tratamiento de datos sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

e) el tratamiento de datos derive de una relación jurídica entre el titular de los datos y

el responsable del tratamiento, y resulte necesario para su desarrollo o cumplimiento;

f) el tratamiento de datos resulte necesario para salvaguardar el interés vital del titular de los datos o de terceros, y el titular de los datos esté física o jurídicamente incapacitado para dar su consentimiento;

g) el tratamiento de datos sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos del titular de los datos, en particular cuando el titular sea un niño, niña o adolescente.

Lo dispuesto en el inciso g) no será de aplicación al tratamiento de datos realizado por las autoridades públicas en el ejercicio de sus funciones.

ARTÍCULO 12

Consentimiento. El tratamiento de datos, en cualquiera de sus formas, requiere del consentimiento libre e informado de su titular para una o varias finalidades específicas.

El consentimiento puede ser obtenido de forma expresa o tácita.

La forma del consentimiento depende de las circunstancias, el tipo de dato personal y las expectativas razonables del titular de los datos.

El consentimiento expreso, de acuerdo a las circunstancias particulares del tratamiento de datos del que se trate, puede ser obtenido por escrito, verbalmente, por medios electrónicos, así como por cualquier forma similar que la tecnología permita brindar. Para el tratamiento de datos sensibles se requiere el consentimiento expreso, salvo las excepciones establecidas por ley.

El consentimiento tácito es admitido cuando surja de manera manifiesta del contexto

del tratamiento de datos y la conducta del titular de los datos sea suficiente para demostrar la existencia de su autorización. Es admisible únicamente cuando los datos requeridos sean necesarios para la finalidad que motiva la recolección y se haya puesto a disposición del titular de los datos la información prevista en el artículo 15, sin que éste manifieste su oposición. El tratamiento de datos ulterior debe ser compatible con las finalidades manifiestas que surgen del contexto que originó la recolección. En ningún caso procede para el tratamiento de datos sensibles.

En todos los casos, el responsable del tratamiento tiene la carga de demostrar que el titular de los datos consintió el uso de sus datos personales.

ARTÍCULO 13

Revocación del consentimiento. El consentimiento puede ser revocado en cualquier momento. Dicha revocación no tiene efectos retroactivos. El responsable del tratamiento está obligado a facilitar la revocación mediante mecanismos sencillos, gratuitos y, al menos, de la misma forma por la que obtuvo el consentimiento.

ARTÍCULO 14

Excepciones al consentimiento previo. No es necesario el consentimiento para el tratamiento de datos cuando se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento, domicilio y correo electrónico.

El titular de los datos podrá oponerse a dicho tratamiento conforme el artículo 30 de la presente ley.

ARTÍCULO 15

Información al titular de los datos. El responsable del tratamiento debe brindar al titular de los datos, antes de la recolección, al menos, la siguiente información:

a) las finalidades del tratamiento de datos a las que se destinarán los datos personales recolectados;

b) la identidad y los datos de contacto del responsable del tratamiento;

c) los medios para ejercer los derechos previstos en esta ley;

d) en su caso, las cesiones o transferencias internacionales de datos que se efectúen o se prevea efectuar;

e) el carácter obligatorio o facultativo de proporcionar los datos personales y las consecuencias de proporcionarlos, o de la negativa a hacerlo, o de hacerlo en forma incompleta o defectuosa;

f) el derecho del titular de los datos a revocar el consentimiento;

g) el derecho a presentar una denuncia, a iniciar el trámite de protección de datos personales ante la autoridad de control, o a ejercer la acción de habeas data en caso de que el responsable o el encargado del tratamiento incumpla con la presente ley.

ARTÍCULO 16

Tratamiento de datos sensibles. Se prohíbe el tratamiento de datos sensibles, excepto cuando:

a) el titular de los datos haya dado su consentimiento expreso a dicho tratamiento, salvo en los casos en que por ley no sea requerido el otorgamiento de dicha autorización;

b) sea necesario para salvaguardar el interés vital del titular de los datos y éste se encuentre física o legalmente incapacitado para prestar el consentimiento y sus representantes legales no lo puedan realizar en tiempo oportuno;

c) sea efectuado por establecimientos sanitarios públicos o privados o por profesionales vinculados a la ciencia de la salud en el marco de un tratamiento médico específico de acuerdo a lo establecido por la Ley de Derechos del Paciente en su Relación con los Profesionales e Instituciones de la Salud nº 26.529;

d) se realice en el marco de las actividades legítimas que realice una fundación, asociación o cualquier otro organismo sin fines de lucro, cuyo objeto principal sea una actividad política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o beneficiarios o a las personas que mantengan un contacto regular por razón de su objeto principal;

e) se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;

f) tenga una finalidad histórica, estadística o científica. En estos dos últimos casos, debe adoptarse un procedimiento de disociación de datos;

g) se refiera a datos personales que el interesado haya hecho manifiestamente públicos;

h) sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular de los datos en el ámbito del Derecho laboral y de la seguridad y protección social;

i) sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios;

j) se realice en el marco de asistencia humanitaria en casos de desastres naturales.

ARTÍCULO 17

Tratamiento de antecedentes penales y contravencionales. El tratamiento de datos relativos a antecedentes penales o contravencionales con el objeto de brindar informes a terceros sólo puede ser realizado por parte de las autoridades públicas competentes o bajo su supervisión.

El empleador que conserve un certificado, documento o información de antecedentes penales o contravencionales de sus empleados no puede cederlo a terceros, salvo con el consentimiento expreso del titular de los datos.

ARTÍCULO 18

Tratamiento de datos de niños, niñas y adolescentes. En el tratamiento de datos personales de un niño, niña o adolescente, se debe privilegiar la protección del interés superior de éstos, conforme a la CONVENCIÓN SOBRE LOS DERECHOS DEL NIÑO y demás instrumentos internacionales que busquen su bienestar y protección integral.

Es válido el consentimiento de un niño, niña o adolescente cuando se aplique al tratamiento de datos vinculados a la utilización de servicios de la sociedad de la información específicamente diseñados o aptos para ellos. En estos casos, el consentimiento es lícito si el niño, niña o adolescente tiene como mínimo TRECE (13) años. Si el niño es menor de TRECE (13) años, tal tratamiento únicamente se considera lícito si el consentimiento fue otorgado por el titular de la responsabilidad parental o tutela sobre el niño, y sólo en la medida en que se dio o autorizó.

El responsable del tratamiento debe realizar esfuerzos razonables para verificar, en tales casos, que el consentimiento haya sido otorgado por el titular de la responsabilidad parental o tutela sobre el niño, niña o adolescente, teniendo en cuenta sus posibilidades para hacerlo.

ARTÍCULO 19

Principio de seguridad de los datos personales. El responsable del tratamiento y, en su caso, el encargado, deben adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

El responsable del tratamiento debe adoptar las medidas de seguridad aplicables a los datos personales que trate, considerando, al menos, los siguientes factores:

a) el riesgo inherente por el tipo de dato personal;

b) el carácter sensible de los datos personales tratados;

c) el desarrollo tecnológico;

d) las posibles consecuencias de un incidente de seguridad para los titulares de los datos;

e) los incidentes de seguridad previos ocurridos en los sistemas de tratamiento.

ARTÍCULO 20

Notificación de incidentes de seguridad. En caso de que ocurra un incidente de seguridad de datos personales, el responsable del tratamiento debe notificarlo a la autoridad de control sin dilación indebida y, de ser posible, a más tardar SETENTA Y DOS (72) horas después de que haya tenido constancia del incidente, a menos que sea improbable que dicho incidente de seguridad constituya un riesgo para los derechos de los titulares de los datos. Si la notificación a la autoridad de control no tiene lugar en el plazo de SETENTA Y DOS (72) horas, deberá ir acompañada de indicación de los motivos de la dilación.

De igual manera, el responsable del tratamiento también debe informar al titular de los datos sobre el incidente de seguridad ocurrido, en un lenguaje claro y sencillo,

cuando sea probable que entrañe altos riesgos a sus derechos.

La notificación debe contener, al menos, la siguiente información:

a) la naturaleza del incidente;

b) los datos personales que pueden estimarse comprometidos;

c) las acciones correctivas realizadas de forma inmediata;

d) las recomendaciones al titular de los datos acerca de las medidas que éste pueda adoptar para proteger sus intereses;

e) los medios a disposición del titular de los datos para obtener mayor información al respecto.

El responsable del tratamiento debe documentar todo incidente de seguridad que ponga en alto riesgo los derechos de los titulares de los datos personales ocurrido en cualquier fase del tratamiento de datos e identificar, de manera enunciativa pero no limitativa, la fecha en que ocurrió, el motivo del incidente, los hechos relacionados con éste y sus efectos y las medidas correctivas implementadas de forma inmediata y definitiva.

ARTÍCULO 21

Deber de confidencialidad. El responsable del tratamiento, el encargado y las demás personas que intervengan en cualquier fase del tratamiento de datos están obligados a la confidencialidad respecto de los datos personales. Tal obligación subsiste aun después de finalizada su relación con el titular de los datos, el responsable o el encargado del tratamiento, según corresponda.

El obligado puede ser relevado del deber de confidencialidad por resolución judicial.

ARTÍCULO 22

Cesión. Cuando el tratamiento de datos consiste en una cesión, el responsable del tratamiento a quien se ceden los datos personales queda sujeto a las mismas obligaciones legales y reglamentarias que el responsable cedente. Ambos responden por la observancia de aquéllas ante la autoridad de control y el titular de los datos de que se trate. En cualquier caso, podrán ser eximidos total o parcialmente de responsabilidad si demuestran que no se les puede imputar el hecho que ha producido el daño.

ARTÍCULO 23

Transferencia internacional. Toda transferencia internacional de datos personales es lícita si se cumple al menos UNA (1) de las siguientes condiciones:

a) cuente con el consentimiento expreso del titular de los datos;

b) el país u organismo internacional o supranacional receptor proporcione un nivel de protección adecuado;

c) se encuentre prevista en una ley o tratado en los que la REPÚBLICA ARGENTINA sea parte;

d) sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;

e) sea efectuada a cualquier sociedad del mismo grupo económico del responsable del tratamiento, en tanto los datos personales sean utilizados para finalidades que no sean incompatibles con las que originaron su recolección;

f) sea necesaria en virtud de un contrato celebrado o por celebrar en interés inequívoco del titular de los datos, por el responsable del tratamiento y un tercero;

g) sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;

h) sea necesaria para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;

i) sea necesaria para el mantenimiento o cumplimiento de una relación jurídica entre el responsable del tratamiento y el titular de los datos;

j) sea efectuada en los casos de colaboración judicial internacional;

k) sea requerida para concretar transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable;

l) tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo, el lavado de activos, los delitos informáticos y el narcotráfico;

m) el responsable del tratamiento transferente y el destinatario adopten mecanismos de autorregulación vinculante, siempre y cuando éstos sean acorde a las disposiciones previstas en esta ley;

n) se realice en el marco de cláusulas contractuales que contengan mecanismos de protección de los datos personales acordes con las disposiciones previstas en la presente ley.

El receptor de los datos personales asume las mismas obligaciones que corresponden al responsable del tratamiento que transfirió los datos personales.

ARTÍCULO 24

Carácter adecuado del país u organismo receptor. Se entiende que un país u organismo internacional o supranacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente.

El nivel de protección proporcionado por un país u organismo internacional o supranacional será evaluado por la autoridad de control, a pedido de parte interesada o de oficio y atendiendo a todas las circunstancias que concurran en una transferencia internacional; en particular, las normas de derecho, generales o especiales, vigentes en el país u organismo internacional o supranacional de que se trate, así como las normas profesionales, códigos de conducta y las medidas de seguridad que resulten aplicables.

ARTÍCULO 25

Prueba del cumplimiento de las obligaciones en materia de transferencias internacionales. A efectos de demostrar que la transferencia internacional se ha realizado conforme a lo que establece la presente ley, la carga de la prueba recae, en todos los casos, en el responsable del tratamiento que transfiere.

ARTÍCULO 26

Servicio de tratamiento de datos personales por medios tecnológicos tercerizados. El servicio de tratamiento de datos personales por medios tecnológicos tercerizados está permitido cuando se garantice el cumplimiento de los principios y obligaciones establecidos en la presente ley.

El responsable del tratamiento debe realizar esfuerzos razonables para elegir un proveedor de servicios que garantice el cumplimiento de la presente ley. El responsable del tratamiento responderá ante el titular de los datos y ante la autoridad de control por incumplimientos del proveedor.

En especial, el responsable del tratamiento debe realizar esfuerzos razonables para controlar que el proveedor del servicio de tratamiento de datos personales por medios tecnológicos tercerizados:

a) cuente con una política de protección de datos personales o condiciones de

servicio que no sean incompatibles con las disposiciones previstas en la presente ley, y que su aplicación sea efectiva, y además verificar que se prevean mecanismos para notificar los cambios que se produzcan sobre la política de protección de datos personales o condiciones de servicio;

b) informe los tipos de subcontrataciones que involucren los datos personales objeto del tratamiento sobre el que se presta el servicio, notificando al responsable del tratamiento de cualquier cambio que se produzca;

c) no incluya condiciones en la prestación del servicio que lo autoricen o permitan asumir la titularidad sobre las bases de datos tratados bajo esta modalidad.

Capítulo 3. Derechos de los titulares de los datos

ARTÍCULO 27

Derecho de acceso. El titular de los datos, previa acreditación de su identidad, tiene el derecho de solicitar y obtener el acceso a sus datos personales que sean objeto del tratamiento.

ARTÍCULO 28

Contenido de la información. La información debe ser suministrada en forma clara, exenta de codificaciones y, en su caso, acompañada de una explicación de los términos que se utilicen, en lenguaje accesible al conocimiento medio de la población, y debe versar sobre:

a) las finalidades del tratamiento de datos;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se cedieron o se prevean ceder los datos personales, en particular cuando se trate de una transferencia internacional;

d) el plazo previsto de conservación de los datos personales o, de no ser ello posible, los criterios utilizados para determinar este plazo;

e) la existencia del derecho a solicitar del responsable del tratamiento la rectificación, supresión de datos personales o a oponerse a dicho tratamiento;

f) el derecho a iniciar un trámite de protección de datos personales ante la autoridad de control;

g) cuando los datos personales no se hayan obtenido del titular de los datos, cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles a que se refiere el artículo 32 y, al menos en tales casos, información significativa sobre la lógica aplicada, sin que ello afecte derechos intelectuales del responsable del tratamiento.

En ningún caso el informe puede revelar datos pertenecientes a terceros, aun cuando se vinculen con el titular de los datos.

La información, a opción del titular de los datos, puede suministrarse por escrito, por medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin.

ARTÍCULO 29

Derecho de rectificación. El titular de los datos tiene el derecho a obtener del responsable del tratamiento la rectificación de sus datos personales, cuando éstos resulten ser inexactos, incompletos o no se encuentren actualizados.

En el supuesto de cesión o transferencia internacional de datos erróneos o desactualizados, el responsable del tratamiento debe notificar la rectificación al cesionario dentro del quinto día hábil de haber tomado conocimiento efectivo del error o la desactualización.

Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable del tratamiento debe bloquear el dato, o bien consignar, al proveer información relativa a éste, la circunstancia de que se encuentra sometido a revisión.

ARTÍCULO 30

Derecho de oposición. El titular de los datos puede oponerse al tratamiento de sus datos, o de una finalidad específica de éste, cuando no haya prestado consentimiento. El responsable del tratamiento debe dejar de tratar los datos personales objeto de oposición, salvo que existan motivos legítimos para el tratamiento que prevalezcan sobre los derechos del titular de los datos.

ARTÍCULO 31

Derecho de supresión. El titular de los datos tiene derecho a solicitar la supresión de sus datos personales de las bases de datos del responsable del tratamiento cuando el tratamiento no tenga un fin público, a fin de que los datos ya no estén en su posesión y dejen de ser tratados por este último.

La supresión procede cuando:

a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recolectados;

b) el titular de los datos revoque el consentimiento en que se basa el tratamiento de datos y éste no se ampare en otro fundamento jurídico;

c) el titular de los datos haya ejercido su derecho de oposición conforme al artículo 30, y no prevalezcan otros motivos legítimos para el tratamiento de sus datos;

d) los datos personales hayan sido tratados ilícitamente;

e) los datos personales deban suprimirse para el cumplimiento de una obligación legal.

La supresión no procederá cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, prevalezcan razones de interés público para el tratamiento de datos cuestionado, o los datos personales deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las contractuales entre el responsable o encargado del tratamiento y el titular de los datos.

La supresión tampoco procede cuando el tratamiento de datos sea necesario para ejercer el derecho a la libertad de expresión e información.

ARTÍCULO 32

Valoraciones personales automatizadas. El titular de los datos tiene derecho a oponerse a ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos, incluida la elaboración de perfiles, que le produzca efectos jurídicos perniciosos o lo afecte significativamente de forma negativa.

El titular de los datos no podrá ejercer este derecho si la decisión:

a) es necesaria para la celebración o la ejecución de un contrato entre el titular de los datos y el responsable del tratamiento;

b) está autorizada por ley;

c) se basa en su consentimiento expreso.

En los casos a que se refieren los incisos a) y c), el responsable del tratamiento debe adoptar las medidas adecuadas para salvaguardar los derechos del titular de los datos; como mínimo, el derecho a obtener intervención humana por parte del responsable del tratamiento, a expresar su punto de vista y a impugnar la decisión.

ARTÍCULO 33

Derecho a la portabilidad de datos personales. Si se brindan servicios en forma electrónica que incluyan el tratamiento de datos personales, el titular de los datos tiene derecho a obtener del responsable del tratamiento una copia de los datos personales objeto de tratamiento en un formato estructurado y comúnmente utilizado que le permita su ulterior utilización. El titular de los datos puede solicitar que sus datos personales se transfieran directamente de responsable a responsable cuando sea técnicamente posible.

Este derecho no procederá cuando:

a) su ejercicio imponga una carga financiera o técnica excesiva o irrazonable sobre el responsable o encargado del tratamiento;

b) vulnere la privacidad de otro titular de los datos;

c) vulnere las obligaciones legales del responsable o encargado del tratamiento;

d) impida que el responsable del tratamiento proteja sus derechos, su seguridad o sus bienes, o los derechos, seguridad y bienes del encargado del tratamiento, o del titular de los datos o de un tercero.

ARTÍCULO 34

Ejercicio de los derechos. El ejercicio de cualquiera de los derechos del titular de los datos no es requisito previo, ni impide el ejercicio de otro.

El responsable del tratamiento debe responder y, en su caso, satisfacer los derechos del titular de los datos dentro de los DIEZ (10) días hábiles de haber sido intimado fehacientemente.

Vencido el plazo sin que se satisfaga el pedido, o si a juicio del titular de los datos, la respuesta se estimara insuficiente, quedará expedito el trámite de protección de los datos personales ante la autoridad de control en los términos del artículo 72 o, a elección del titular de los datos, podrá interponer la acción de habeas data prevista en el artículo 78 de la presente ley. En caso de optar por la acción de habeas data, o de haberla iniciado con anterioridad, no podrá iniciar el trámite de protección ante la autoridad de control.

El ejercicio de los derechos previstos en los artículos 27, 29, 30, 31, 32 y 33 en el caso de titulares de los datos de personas fallecidas les corresponde a sus sucesores universales.

El responsable del tratamiento debe establecer medios y procedimientos sencillos, expeditos, accesibles y gratuitos que permitan al titular de los datos ejercer los derechos previstos en esta ley.

El derecho de acceso a que se refiere el artículo 27 sólo puede ser ejercido en forma gratuita a intervalos no inferiores a SEIS (6) meses, salvo que se acredite la existencia de nuevas razones que justifiquen el pedido antes del vencimiento del plazo.

ARTÍCULO 35

Abuso de derecho. El ejercicio abusivo de los derechos enumerados en este capítulo no se encuentra amparado. Se considera tal el que contraría los fines de la presente ley, el que excede los límites impuestos por la buena fe o el que imponga sobre el obligado una carga técnica o financiera irrazonable.

ARTÍCULO 36

Excepciones al ejercicio de los derechos. Los responsables del tratamiento de bases de datos públicas pueden, mediante decisión fundada, denegar los derechos enumerados en los artículos 27, 29, 30, 31, 32 y 33 en función de la protección de la defensa de la Nación, del orden y la seguridad públicos, o de la protección de los derechos e intereses de terceros.

La información sobre datos personales también puede ser denegada por los responsables del tratamiento de bases de datos públicas, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. La resolución que así lo disponga debe ser fundada y notificada al titular de los datos.

En cualquier caso, el responsable del tratamiento debe brindar acceso a los datos en cuestión en la oportunidad en que el titular de los datos demuestre que son necesarios para ejercer su derecho de defensa.

Capítulo 4. Obligaciones de los responsables y encargados del tratamiento

ARTÍCULO 37

Medidas para el cumplimiento de la responsabilidad proactiva. Las medidas adoptadas para el cumplimiento de las disposiciones de la presente ley deben ser proporcionales a las modalidades y finalidades del tratamiento de datos, su contexto, el tipo y categoría de datos tratados, y el riesgo que el referido tratamiento pueda acarrear sobre los derechos de su titular.

Deben contemplar, como mínimo:

a) la adopción de procesos internos para llevar adelante de manera efectiva las medidas de responsabilidad;

b) la implementación de procedimientos para atender el ejercicio de los derechos por parte de los titulares de los datos;

c) la realización de supervisiones o auditorías, internas o externas, para controlar el cumplimiento de las medidas adoptadas.

Las medidas deben ser aplicadas de modo que permitan su demostración ante el requerimiento de la autoridad de control.

Se debe adoptar una política de privacidad o adherirse a mecanismos de autorregulación vinculantes, que serán valorados por la autoridad de control para verificar el cumplimiento de las obligaciones por parte del responsable del tratamiento.

ARTÍCULO 38

Protección de datos desde el diseño y por defecto. El responsable del tratamiento debe aplicar medidas tecnológicas y organizativas apropiadas tanto con anterioridad como durante el tratamiento de datos a fin de cumplir los principios y los derechos de los titulares de los datos establecidos en la presente ley. Las medidas deben ser adoptadas teniendo en cuenta el estado de la tecnología, los costos de la implementación y la naturaleza, ámbito, contexto y fines del tratamiento de datos, así como los riesgos que entraña el tratamiento para el derecho a la protección de los datos de sus titulares.

El responsable del tratamiento debe aplicar las medidas tecnológicas y organizativas apropiadas con miras a garantizar que, por defecto, sólo sean objeto de tratamiento de datos aquellos datos personales que sean necesarios para cada uno de los fines del tratamiento. Esta obligación se aplica a la cantidad y calidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas deben garantizar en particular que, por defecto, los datos personales no sean accesibles, sin la intervención del titular de los datos, a un número indeterminado de personas humanas.

ARTÍCULO 39

Tratamiento de datos por cuenta de terceros. La prestación de servicios de tratamiento de datos por cuenta de terceros entre un responsable y un encargado del tratamiento debe quedar formalizada mediante un contrato y no requiere del consentimiento del titular de los datos. El encargado del tratamiento se encuentra limitado a llevar a cabo sólo aquellos tratamientos de datos encomendados por el responsable del tratamiento. Los datos personales objeto de tratamiento no pueden aplicarse o utilizarse con un fin distinto al que figure en el contrato ni ser cedidos a otras personas, ni aun para su conservación, salvo autorización expresa del responsable del tratamiento.

Una vez cumplida la prestación contractual, los datos personales tratados deben ser destruidos, salvo que medie autorización expresa del responsable del tratamiento cuando razonablemente se pueda presumir la posibilidad de ulteriores encargos, en cuyo caso sólo podrán conservarse por un máximo de DOS (2) años.

El encargado puede suscribir un contrato para subcontratar servicios que impliquen el tratamiento de datos solamente cuando exista una autorización expresa del responsable del tratamiento. En estos casos el subcontratado asume el carácter de encargado en los términos y condiciones previstos en esta ley. Para el supuesto en que el subcontratado incumpla sus obligaciones y responsabilidades respecto al tratamiento de datos que lleve a cabo conforme a lo estipulado en el contrato, asumirá la calidad de responsable del tratamiento en los términos y condiciones previstos en la presente ley.

Los contratos previstos en este artículo deben estipular el objeto, alcance, contenido, duración, naturaleza y finalidad del tratamiento de datos, el tipo de datos personales, las categorías de titulares de los datos y las obligaciones y responsabilidades del responsable y encargado del tratamiento.

ARTÍCULO 40

Evaluación de impacto relativa a la protección de datos personales. Cuando el responsable del tratamiento prevea realizar algún tipo de tratamiento de datos que por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación a los derechos de los titulares de los datos amparados en la presente ley, deberá realizar, de manera previa a la implementación del tratamiento, una evaluación del impacto relativa a la protección de los datos personales.

La evaluación de impacto relativa a la protección de los datos es obligatoria en los siguientes casos, sin perjuicio de otros que establezca la autoridad de control:

a) evaluación sistemática y exhaustiva de aspectos personales de personas humanas que se base en un tratamiento de datos automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas humanas o que les afecten significativamente de modo similar;

b) tratamiento de datos sensibles a gran escala, o de datos relativos a antecedentes penales o contravencionales.

ARTÍCULO 41

Contenido de la evaluación de impacto. La evaluación debe incluir, como mínimo:

a) una descripción sistemática de las operaciones de tratamiento de datos previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento de datos con respecto a su finalidad;

c) una evaluación de los riesgos para la protección de los datos personales de los titulares de los datos a que se refiere el inciso a);

d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de los datos personales, y para demostrar la conformidad con la presente ley, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y de otras personas que pudieran verse potencialmente afectadas.

ARTÍCULO 42

Informe previo. El responsable del tratamiento debe informar a la autoridad de control antes de proceder al tratamiento de datos cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento de datos entrañaría un alto riesgo.

El informe a la autoridad de control debe incluir, como mínimo, la siguiente información:

a) las responsabilidades respectivas del responsable del tratamiento y los encargados del tratamiento, en particular en caso de tratamiento de datos dentro de un mismo grupo económico;

b) los fines y medios del tratamiento previsto;

c) las medidas y garantías establecidas para proteger los datos personales de sus titulares de conformidad con la presente ley;

d) en su caso, los datos de contacto del delegado de protección de datos;

e) la evaluación de impacto relativa a la protección de datos.

Cuando la autoridad de control considere que el tratamiento de datos previsto pueda infringir la presente ley, iniciará el procedimiento de verificación de oficio establecido en el artículo 73.

ARTÍCULO 43

Delegado de protección de datos. Los responsables y encargados del tratamiento deben designar un delegado de protección de datos en cualquiera de los siguientes supuestos:

a) cuando revistan el carácter de autoridades u organismos públicos;

b) se realice tratamiento de datos sensibles como parte de la actividad principal del responsable o encargado del tratamiento;

c) se realice tratamiento de datos a gran escala.

Cuando los responsables y encargados del tratamiento no se encuentren obligados a la designación de un delegado de protección de datos de acuerdo a lo previsto en este artículo, pero decidan designarlo de manera voluntaria o por orden expresa de la autoridad de control, el delegado de protección de datos designado tendrá las funciones previstas en el artículo 44.

Cuando se trate de una autoridad u organismo público con dependencias subordinadas, se puede designar un único delegado de protección de datos, teniendo en consideración su tamaño y estructura organizativa.

Un grupo económico puede nombrar un único delegado de protección de datos siempre que esté en contacto permanente con cada establecimiento.

La designación del delegado de protección de datos debe recaer en una persona que reúna los requisitos de idoneidad, capacidad y conocimientos específicos para el ejercicio de sus funciones.

Las funciones del delegado de protección de datos pueden ser desempeñadas por un empleado del responsable o encargado del tratamiento o en el marco de un contrato de locación de servicios. El delegado de protección de datos puede ejercer otras funciones siempre que no den lugar a conflictos de intereses.

En cualquier caso, el delegado debe ejercer sus funciones sin recibir instrucciones y sólo responde ante el más alto nivel jerárquico de la organización.

ARTÍCULO 44

Funciones del delegado de protección de datos. El delegado de protección de datos tiene las siguientes funciones, sin perjuicio de otras que se le asignen especialmente:

a) informar y asesorar a los responsables y encargados del tratamiento, así como a sus empleados, de las obligaciones que tienen, derivadas de la normativa de protección de datos;

b) promover y participar en el diseño y aplicación de una política de protección de datos que contemple los tratamientos de datos que realice el responsable o encargado del tratamiento;

c) supervisar el cumplimiento de la presente ley y de la política de protección de datos de un organismo público, empresa o entidad privada;

d) asignar responsabilidades, concientizar y formar al personal, y realizar las auditorías correspondientes;

e) ofrecer el asesoramiento que se le solicite para hacer una evaluación de impacto relativa a la protección de datos, cuando entrañe un alto riesgo de afectación para los derechos de los titulares de los datos, y supervisar luego su aplicación;

f) cooperar y actuar como referente ante la autoridad de control para cualquier consulta sobre el tratamiento de datos efectuado por el responsable o encargado del tratamiento.

ARTÍCULO 45

Mecanismos de autorregulación vinculantes. La autoridad de control alentará la elaboración de mecanismos de autorregulación vinculantes que tengan por objeto contribuir a la correcta aplicación de la presente ley, teniendo en cuenta las características específicas del tratamiento de datos que se realice, así como el efectivo ejercicio y respeto de los derechos del titular de los datos.

Los mecanismos de autorregulación vinculantes se pueden traducir en códigos de conducta, de buenas prácticas, normas corporativas vinculantes, sellos de confianza, certificaciones u otros mecanismos que coadyuven a contribuir los objetivos señalados.

Los responsables o encargados del tratamiento pueden adherirse, de manera voluntaria, a mecanismos de autorregulación vinculantes.

Las asociaciones u otras entidades representativas de categorías de responsables o encargados del tratamiento podrán adoptar mecanismos de autorregulación vinculantes que resulten obligatorios para todos sus miembros.

Los mecanismos de autorregulación vinculantes serán presentados a la homologación de la autoridad de control, la cual dictaminará si los mecanismos se adecuan a las disposiciones de la presente ley y, en su caso, los aprobará o indicará las correcciones que estime necesarias para su aprobación.

Los mecanismos de autorregulación vinculantes que resulten aprobados serán registrados y dados a publicidad por la autoridad de control.

Capítulo 5. Registro Nacional “No Llame

ARTÍCULO 46

Registro Nacional “No Llame”. Créase, en el ámbito de la autoridad de control de la presente ley, el Registro Nacional “No Llame”.

ARTÍCULO 47

Objeto y principio rector. El objeto del registro establecido por el artículo 46 es proteger los datos personales de los titulares o usuarios autorizados de los servicios de telefonía, en cualquiera de sus modalidades, del contacto, publicidad, oferta, venta y regalo de bienes o servicios no solicitados.

Las situaciones contempladas y reguladas en el presente capítulo se deben interpretar en todos los casos teniendo en cuenta el requerimiento del titular o usuario.

ARTÍCULO 48

Servicios de telefonía. A los efectos del presente capítulo, se entenderá por “servicios de telefonía” los servicios de telefonía básica, telefonía móvil, servicios de radiocomunicaciones móvil celular, de comunicaciones móviles y de voz IP, así como cualquier otro tipo de servicio similar que la tecnología permita brindar en el futuro.

ARTÍCULO 49

Inscripción. Puede inscribirse en el Registro Nacional “No Llame” toda persona humana titular o usuaria autorizada del servicio de telefonía en cualquiera de sus modalidades que manifieste su voluntad de no ser contactada por quien publicite, oferte, venda o regale bienes o servicios, sin perjuicio de lo dispuesto en el artículo 61 de la presente ley.

ARTÍCULO 50

Gratuidad y simplicidad. La inscripción y baja en el Registro Nacional “No Llame” es gratuita y debe ser implementada por medios eficaces y sencillos. Los trámites de inscripción y baja sólo pueden ser realizados por el titular o usuario de la línea telefónica.

La baja puede ser solicitada en cualquier momento y debe tener efectos inmediatos.

ARTÍCULO 51

Sujetos obligados e inscripción. Quienes publiciten, oferten, vendan o regalen bienes o servicios mediante recursos propios o a través de empresas tercerizadas o subcontratadas, utilizando como medio de contacto los servicios de telefonía en cualquiera de sus modalidades, son considerados responsables del tratamiento de datos y sujetos obligados al cumplimiento de lo previsto en el presente capítulo.

También son sujetos obligados aquellos que por cuenta de terceros realicen el contacto telefónico, sin perjuicio de la responsabilidad de quien resulte el contratante de la campaña o beneficiario directo de ésta, resultando aplicables, en el caso de corresponder, las previsiones del artículo 22.

Los sujetos obligados que contraten campañas en el exterior con efectos en el país deben adoptar las medidas apropiadas para que quien lleve a cabo la campaña publicitaria desde el extranjero dé cumplimiento a las disposiciones de la presente. Cualquier incumplimiento será atribuido al contratante o beneficiario directo de la campaña.

Es responsable solidario el titular de la línea telefónica de la que provenga el contacto de publicidad, oferta, venta y regalo de bienes o servicios no solicitados si se tratara de persona distinta a las indicadas en los párrafos precedentes. El titular de la línea telefónica podrá ser eximido total o parcialmente de responsabilidad si demuestra que no se le puede imputar el hecho que ha producido el daño.

Los sujetos obligados no pueden dirigirse a ninguno de los inscriptos en el Registro Nacional “No Llame”.

Quienes realicen efectivamente el contacto telefónico deben:

a) consultar las inscripciones vigentes que figuren en el Registro Nacional “No Llame” con una periodicidad de no más de TREINTA (30) días, en la forma que disponga la autoridad de control;

b) estar inscriptos en un registro habilitado por la autoridad de control para la consulta en el Registro Nacional “No Llame” prevista en el inciso a); la autoridad de control establecerá el procedimiento para esa inscripción.

En caso de duda, debe interpretarse que no corresponde el contacto telefónico con quien se hubiera inscripto en el Registro Nacional “No Llame”.

ARTÍCULO 52

Excepciones. Quedan exceptuadas de las disposiciones del presente capítulo:

a) las llamadas de quienes tienen una relación contractual vigente, siempre que se refieran al bien o servicio específico objeto del vínculo contractual;

b) las llamadas de quienes hayan sido expresamente permitidos por el titular o usuario autorizado de los servicios de telefonía en cualquiera de sus modalidades, inscripto en el Registro Nacional “No Llame”.

ARTÍCULO 53

Condiciones de contacto. Los contactos telefónicos de publicidad, oferta, venta y regalo de bienes o servicios no solicitados deben realizarse desde un número visible por el identificador de llamadas u otra tecnología que posea el titular o usuario de la línea telefónica.

En todos los casos, los contactos telefónicos, incluso a personas no inscriptas en el Registro Nacional “No Llame” o bajo el amparo de alguna de las excepciones previstas en el artículo 52, deben ser realizadas en forma y horario razonables y de acuerdo a la reglamentación.

ARTÍCULO 54

Denuncias. El titular o usuario autorizado del servicio de telefonía en cualquiera de sus modalidades puede realizar la denuncia por incumplimiento del presente capítulo ante la autoridad de control dentro del plazo de UN (1) mes contado desde el momento del contacto.

ARTÍCULO 55

Incumplimientos. La autoridad de control iniciará actuaciones administrativas en caso de presuntas infracciones a las disposiciones del presente capítulo, aplicando el procedimiento previsto en el artículo 72, párrafos tercero y cuarto. Verificada la existencia de la infracción, quienes la hayan cometido serán pasibles de las sanciones previstas en el artículo 76.

ARTÍCULO 56

Recepción de prueba. La autoridad de control, a los fines probatorios, tendrá en cuenta los elementos de hecho e indicios de carácter objetivos aportados por el denunciante que sustenten la situación fáctica debatida, quedando a cargo del denunciado acreditar que ha dado cumplimiento con las obligaciones establecidas en el presente capítulo.

A requerimiento de la autoridad de control, los sujetos obligados deberán brindar el registro de sus llamadas salientes provisto por la empresa prestadora del servicio de telecomunicaciones de la que fueran usuarios, quien lo debe proveer en un plazo máximo de DIEZ (10) días y en las condiciones que la autoridad de control disponga.

En el marco de un sumario administrativo por incumplimientos al presente capítulo, la autoridad de control podrá requerir en un plazo razonable informes a las empresas prestadoras del servicio de telecomunicaciones sobre:

a) la existencia del contacto telefónico cuestionado;

b) la información de la titularidad de una línea telefónica.

El incumplimiento de la requisitoria a que se refieren los párrafos segundo y tercero hará pasibles a las empresas prestadoras del servicio de telecomunicaciones de las sanciones previstas en el artículo 76, inciso b).

ARTÍCULO 57

Resolución. La autoridad de control dictará la resolución que corresponda dentro de los TREINTA (30) días de recibida la prueba y producidos los alegatos si corresponden. La autoridad de control podrá prorrogar este plazo cuando la complejidad del tema a resolver sea fundamento suficiente para esa prórroga.

La resolución de la autoridad de control podrá:

a) archivar la denuncia;

b) imponer una sanción en caso de que se hubiera verificado un incumplimiento al presente capítulo.

La resolución de la autoridad de control mencionada en el inciso b) agotará la vía administrativa a los efectos de lo previsto en la Ley Nacional de Procedimientos Administrativos nº 19.549. No procederá el recurso de alzada. Agotada la vía administrativa, la resolución será recurrible por ante la CÁMARA NACIONAL DE APELACIONES EN LO CONTENCIOSO ADMINISTRATIVO FEDERAL de la CAPITAL FEDERAL.

Capítulo 6. Supuestos especiales

ARTÍCULO 58

Bases de datos públicas. La creación, modificación o supresión de bases de datos pertenecientes a autoridades u organismos públicos debe hacerse por medio de norma de alcance general, publicada en el Boletín Oficial o diario oficial.

Las normas respectivas, deben indicar:

a) órganos responsables de la base de datos, precisando dependencia jerárquica en su caso;

b) características y finalidad de los tratamientos de datos que se efectúen;

c) personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u obligatorio de su suministro por parte de aquéllas;

d) procedimiento de obtención y actualización de los datos;

e) estructura básica de la base y la descripción de la naturaleza de los datos personales que contendrán;

f) las cesiones, transferencias o interconexiones previstas;

g) las oficinas ante las que se pudiesen efectuar el ejercicio de los derechos previstos en la presente ley.

En las normas que se dicten para la supresión de las bases de datos se debe establecer el destino de éstas o las medidas que se adopten para su destrucción.

ARTÍCULO 59

Tratamiento de datos por organismos de seguridad e inteligencia. Las bases de datos de las fuerzas armadas, fuerzas de seguridad, organismos policiales o de inteligencia quedan sujetos a las disposiciones de la presente ley. Las Comisiones Bicamerales de FISCALIZACIÓN DE ORGANISMOS Y ACTIVIDADES DE INTELIGENCIA y de FISCALIZACIÓN DE ÓRGANOS Y ACTIVIDADES DE SEGURIDAD INTERIOR del CONGRESO DE LA NACIÓN y la COMISIÓN DE DEFENSA NACIONAL de la CÁMARA DE SENADORES DE LA NACIÓN, o las que las sustituyan, tienen acceso a las bases de datos mencionadas por razones fundadas y en aquellos aspectos que constituyan materia de competencia de tales comisiones.

El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, fuerzas de seguridad, organismos policiales o de inteligencia, cuando sea necesario realizar sin el consentimiento del titular, queda limitado a aquellos supuestos y categorías de datos que resulten necesarios para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos.

Se deben suprimir, aun si no medie solicitud del titular, los datos personales de las bases de datos mencionadas en el primer párrafo cuando no sean necesarios para los fines que motivaron su recolección.

ARTÍCULO 60

Prestación de servicios de información crediticia.

1. En la prestación de servicios de información crediticia sólo pueden tratarse datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes de acceso público irrestricto o restricto, o procedentes de informaciones facilitadas por el titular de los datos o con su consentimiento.

2. Pueden tratarse igualmente datos personales relativos al cumplimiento o incumplimiento de obligaciones de contenido patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o interés.

3. A solicitud del titular de los datos, el responsable o encargado del tratamiento debe comunicar a aquél en forma gratuita las informaciones, evaluaciones y apreciaciones que sobre él hayan sido comunicadas durante los últimos DOCE (12) meses y la fuente de la información, incluyendo nombre y domicilio, en caso de corresponder.

4. Sólo se pueden archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico-financiera de los afectados durante los últimos CINCO (5) años a contar desde la última información significativa. El plazo se reduce a UN (1) año cuando el deudor cancele o extinga la obligación, y a CUATRO (4) meses cuando la deuda sea igual o menor a UN (1) Salario Mínimo Vital y Móvil, a contar en ambos casos a partir de la fecha precisa en que se extingue la deuda.

5. Se considera información significativa:

a) el momento en que se produce la mora del deudor;

b) las distintas calificaciones que le otorgan al deudor las entidades financieras según normativa del BANCO CENTRAL DE LA REPÚBLICA ARGENTINA;

c) el inicio de la acción judicial de cobro;

d) la sentencia judicial que dispone el pago de la deuda;

e) la fecha de la apertura del concurso de acreedores o de la declaración de quiebra, en caso de deudas verificadas o en trámite de verificación en los procesos de concursos preventivos y quiebras respectivamente;

f) aquella otra información que defina el órgano de control.

6. No se considera última información significativa la asentada en una base de datos por el sólo hecho de ser la constancia final de una serie o sucesión de datos si se trata de una mera repetición de la misma información que, sin novedad o aditamento alguno, ha sido archivada durante los meses anteriores.

7. La prestación de servicios de información crediticia no requiere el previo consentimiento del titular de los datos a los efectos de su cesión, ni la ulterior comunicación de ésta, o de su transferencia internacional, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.

8. Las entidades financieras que obligatoriamente cedan información relativa al cumplimiento de obligaciones de contenido patrimonial al BANCO CENTRAL DE LA REPÚBLICA ARGENTINA, deben comunicar al titular de los datos la información a ceder al último domicilio por él denunciado o por un canal de comunicación habitual entre las partes que permita acreditar la recepción y su fecha. A tales fines, dicha comunicación puede remitirse por medio postal o electrónico y junto con otras comunicaciones, como ser la de sus consumos, movimientos de cuenta, recibos o facturas. En cualquier caso, el cedente tiene la carga de acreditar el cumplimiento de la comunicación aquí dispuesta. Esta comunicación se debe efectuar cuando las obligaciones pasen de cumplimiento normal a incumplimiento, sin que se deba comunicar al deudor la continuidad de tal incumplimiento y/o el agravamiento de la calificación, y dentro de los DIEZ (10) días hábiles de producida la nueva calificación.

9. Esta obligación no afectará el cumplimiento del régimen informativo del BANCO CENTRAL DE LA REPÚBLICA ARGENTINA, en su carácter de autoridad de aplicación de la Ley de Entidades Financieras nº 21.526.

10. En caso de disconformidad con el contenido de la información comunicada conforme al párrafo precedente, el titular de los datos puede ejercer cualquiera de los derechos que le otorga esta ley. Si el titular de los datos cumple con su obligación dentro de los DIEZ (10) días hábiles de notificado, las entidades financieras no podrán ceder la información del titular al BANCO CENTRAL DE LA REPÚBLICA ARGENTINA, quien no podrá difundirla al público.

11. Previo a ceder datos personales relativos al incumplimiento de obligaciones patrimoniales a responsables o encargados del tratamiento que prestan servicios de información crediticia, los cedentes deben comunicar al titular de los datos la información a ceder y sus cesionarios al último domicilio por él denunciado o por un canal de comunicación habitual entre las partes que permita acreditar la recepción y su fecha. A tales fines, dicha comunicación puede remitirse por medio postal o electrónico y junto con otras comunicaciones, como ser la de sus consumos, movimientos de cuenta, recibos o facturas. En cualquier caso, el cedente tiene la carga de acreditar el cumplimiento de la comunicación aquí dispuesta. Los tratamientos de datos efectuados por el Estado quedan exceptuados de la notificación dispuesta en el presente apartado.

12. En caso de disconformidad con el contenido de la información a ceder conforme al apartado precedente, el titular de los datos puede ejercer cualquiera de los derechos que le otorga esta ley. Una vez cursada dicha comunicación al titular de los datos, no se requiere una nueva para realizar otras cesiones referidas a la misma obligación. La información puede ser difundida por las empresas que prestan servicios de informes crediticios luego de transcurridos DIEZ (10) días hábiles de recibida la comunicación. Si el titular de los datos cumple con su obligación dentro de dicho plazo, no podrán cederse tales datos a las empresas que prestan servicios de información crediticia.

13. Las entidades financieras no están alcanzadas por la obligación dispuesta en los dos apartados precedentes en la medida en que hayan cumplido con lo previsto en los apartados 8 y 9 del presente artículo.

Cuando se deniegue al titular de los datos la celebración de un contrato, solicitud de trabajo, servicio, crédito comercial o financiero, sustentado en un informe crediticio, deberá informársele tal circunstancia, así como la empresa que proveyó dicho informe y hacerle entrega de una copia de éste.

14. Se debe suprimir la información relativa a los fiadores o avalistas cuando se haya cancelado o extinguido la obligación, previo pedido por parte del deudor, fiador o avalista ante la empresa de información crediticia, en la modalidad y plazos dispuestos por el artículo 34 de la presente ley.

ARTÍCULO 61

Bases destinadas a la publicidad. Pueden tratarse sin consentimiento de su titular datos personales con fines de publicidad, venta directa y otras actividades análogas, cuando estén destinados a la formación de perfiles determinados o que permitan establecer hábitos de consumo que categoricen preferencias y comportamientos similares de las personas, siempre que los titulares de los datos sólo se identifiquen por su pertenencia a tales grupos genéricos, con más los datos individuales estrictamente necesarios para formular la oferta a los destinatarios.

En toda comunicación con fines de publicidad que se realice por correo, teléfono, correo electrónico, Internet u otro medio que permita la tecnología en el futuro, el responsable o encargado del tratamiento debe implementar medidas razonables que informen al titular de los datos la posibilidad de ejercer los derechos previstos en la presente ley.

Los datos referentes a la salud sólo pueden ser tratados, a fin de realizar ofertas de bienes y servicios, cuando hubieran sido obtenidos de acuerdo con la presente ley y siempre que no causen discriminación, en el contexto de una relación entre el consumidor o usuario y los proveedores de servicios o tratamientos médicos y entidades sin fines de lucro. Estos datos no pueden cederse a terceros sin el consentimiento previo, expreso e informado del titular de los datos. A dicho fin, este último debe recibir una noticia clara del carácter sensible de los datos que proporciona y de que no está obligado a suministrarlos, junto con la información de los artículos 15 y la mención de su derecho a oponerse al tratamiento de sus datos.

En los supuestos contemplados en el presente artículo, el titular de los datos puede ejercer el derecho de acceso sin cargo ni limitación temporal alguna. La información a suministrársele debe incluir la fuente de la que se obtuvieron sus datos, indicando, en su caso, el nombre del responsable o encargado del tratamiento que proveyó la información.

Capítulo 7. Autoridad de control

ARTÍCULO 62

Autoridad de control. Créase la AGENCIA NACIONAL DE PROTECCIÓN DE DATOS PERSONALES (ANPDP) como órgano de control que debe velar por el cumplimiento de los principios y procedimientos establecidos en la presente ley.

La ANPDP será un ente descentralizado en el ámbito del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS DE LA NACIÓN, con autarquía económica financiera, personería jurídica propia y capacidad de actuación en el ámbito del derecho público y privado.

La ANPDP será dirigida, administrada y representada por un Director Ejecutivo designado por el término de CUATRO (4) años, por el PODER EJECUTIVO NACIONAL con posibilidad de ser reelegido por una única vez. El Director Ejecutivo a cargo de la ANPDP tendrá rango y jerarquía de secretario de Estado. El Director Ejecutivo tendrá dedicación exclusiva en su función, encontrándose alcanzado por las incompatibilidades fijadas por ley para los funcionarios públicos.

ARTÍCULO 63

Selección del Director Ejecutivo. El procedimiento de selección del Director Ejecutivo de la ANPDP se llevará a cabo de conformidad con lo dispuesto a continuación:

a) el PODER EJECUTIVO NACIONAL propondrá UNA (1) persona y publicará el nombre, apellido y sus antecedentes curriculares en el Boletín Oficial y en DOS (2) diarios de circulación nacional, durante TRES (3) días;

b) el candidato deberá presentar una declaración jurada, conforme la normativa prevista en la Ley de Ética en el Ejercicio de la Función Pública nº 25.188, y su reglamentación;

c) se requerirá a la ADMINISTRACIÓN FEDERAL DE INGRESOS PÚBLICOS (AFIP) un informe relativo al cumplimiento de las obligaciones impositivas del candidato;

d) los ciudadanos, las organizaciones no gubernamentales, los colegios, las asociaciones profesionales y las entidades académicas podrán, en el plazo de QUINCE (15) días contados desde la última publicación en el Boletín Oficial prevista en el inciso a) del presente artículo, presentar al organismo a cargo de la organización de la audiencia pública observaciones respecto del candidato, por escrito y de modo fundado y documentado.. Sin perjuicio de las presentaciones que se realicen, en el mismo plazo podrá requerirse opinión a organizaciones de relevancia en el ámbito profesional, judicial y académico a los fines de su valoración;

e) dentro de los QUINCE (15) días, contados desde el vencimiento del plazo establecido en el inciso d) del presente artículo, se deberá celebrar una audiencia pública para la evaluación de las observaciones presentadas. Con posterioridad y en un plazo de SIETE (7) días de celebrada la audiencia, el PODER EJECUTIVO NACIONAL tomará la decisión de confirmar o retirar la candidatura de la persona propuesta, debiendo en este último caso proponer a un nuevo candidato y reiniciar el procedimiento de selección.

ARTÍCULO 64

Cese de pleno derecho del Director Ejecutivo. El Director Ejecutivo cesará de pleno derecho en sus funciones de mediar alguna de las siguientes circunstancias:

a) aceptación de la renuncia;

b) expiración del plazo de designación;

c) fallecimiento.

ARTÍCULO 65

Remoción del Director Ejecutivo. El Director Ejecutivo podrá ser removido por estar comprendido en alguna situación que le genere incompatibilidad o inhabilidad, mal desempeño, por delito en el ejercicio de sus funciones o por crímenes comunes. El PODER EJECUTIVO NACIONAL llevará adelante el procedimiento de remoción del Director Ejecutivo de la ANPDP, dándole intervención a una comisión bicameral del HONORABLE CONGRESO DE LA NACIÓN, que será presidida por el presidente del SENADO y estará integrada por los presidentes de las Comisiones de ASUNTOS CONSTITUCIONALES y de DERECHOS Y GARANTÍAS de la HONORABLE CÁMARA DE SENADORES DE LA NACIÓN y las de ASUNTOS CONSTITUCIONALES y de DERECHOS HUMANOS Y GARANTÍAS de la HONORABLE CÁMARA DE DIPUTADOS DE LA NACIÓN, la cual emitirá un dictamen vinculante.

Producida la vacante, deberá seguirse el procedimiento de selección establecido en el artículo 63 para elegir a un nuevo Director en un plazo no mayor a TREINTA (30) días.

ARTÍCULO 66

Deberes y funciones del Director Ejecutivo. El Director Ejecutivo tendrá los siguientes deberes y funciones:

a) ejercer la representación, dirección y administración general de la ANPDP, suscribiendo a tal fin los actos administrativos pertinentes;

b) representar al Estado nacional o designar personal idóneo para su representación, en todos aquellos procesos que se desarrollen ante tribunales judiciales o arbitrales, o ante organismos con facultades jurisdiccionales en los que se debatan asuntos de competencia de la ANPDP;

c) dictar las normas reglamentarias necesarias para el funcionamiento operativo del organismo;

d) toda otra atribución necesaria para el cumplimiento de las funciones del organismo.

ARTÍCULO 67

Personal de la autoridad de control. La ANPDP deberá contar con el personal técnico y administrativo que establezca la Ley de Presupuesto General de la Administración Nacional. El personal estará obligado a guardar secreto respecto de los datos de carácter personal de los que tome conocimiento en el desarrollo de sus funciones.

ARTÍCULO 68

Financiación. LA ANPDP se financiará a través de:

a) lo que recaude en concepto de tasas que se fijen por ley por los servicios que preste;

b) el producido de las multas referidas en esta ley;

c) las asignaciones presupuestarias que se incluyan en la Ley de Presupuesto General de la Administración Nacional.

ARTÍCULO 69

Patrimonio. La ANPDP tendrá un patrimonio integrado con los siguientes bienes:

a) los adquiridos hasta la fecha de la sanción de la presente ley, que se encuentran incorporados al Estado nacional con afectación a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES;

b) los que adquiera la ANPDP posteriormente conforme a las disposiciones y leyes que le fueran aplicables.

ARTÍCULO 70

Facultades de la autoridad de control. La ANPDP deberá realizar todas las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de la presente ley. A tales efectos tendrá las siguientes funciones y atribuciones:

a) asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente ley y de los medios legales de que disponen para la defensa de sus derechos;

b) dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley; específicamente, dictar normas administrativas y de procedimiento relativas a las funciones a su cargo, y las normas y procedimientos técnicos relativos al tratamiento de datos y condiciones de seguridad de las bases de datos;

c) atender los requerimientos y denuncias interpuestos en relación al tratamiento de datos en los términos de la presente ley;

d) controlar el cumplimiento de los requisitos y garantías que deben reunir los tratamientos de datos de conformidad con la presente ley y las reglamentaciones que dicte la autoridad de control; a tal efecto, podrá solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de esta ley;

e) solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de datos que se le requieran; en estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados;

f) imponer las sanciones administrativas que, en su caso, correspondan por violación a las normas de la presente ley y de las reglamentaciones que se dicten en su consecuencia;

g) percibir las tasas que se fijen por ley por los servicios de inscripción y otros que preste;

h) constituirse en querellante en las acciones penales que se promovieran por violaciones a la presente ley;

i) homologar los mecanismos de autorregulación vinculantes y supervisar su cumplimiento;

j) diseñar su estructura orgánica de funcionamiento y designar a su planta de agentes;

k) elaborar su presupuesto anual;

l) solicitar información a los delegados de protección de datos, en los términos de lo previsto en la presente ley;

m) publicar un informe anual de rendición de cuentas de gestión;

n) elaborar y presentar ante el HONORABLE CONGRESO DE LA NACIÓN propuestas de reforma legislativa respecto de su área de competencia;

ñ) celebrar convenios de cooperación y contratos con organizaciones públicas o privadas, nacionales o extranjeras, en el ámbito de su competencia, para el cumplimiento de sus funciones.

Capítulo 8. Procedimientos y sanciones

ARTÍCULO 71

Procedimiento. A los efectos de constatar el cumplimiento de las disposiciones de la presente ley, la autoridad de control podrá iniciar procedimientos:

a) a instancias del titular de los datos o de su representante legal;

b) de verificación de oficio;

c) de verificación por denuncia de un tercero.

La autoridad de control podrá en cualquier momento del procedimiento buscar una conciliación entre el titular de los datos y el responsable del tratamiento.

De llegarse a un acuerdo de conciliación entre ambos, esté se hará constar por escrito y tendrá efectos vinculantes.

La autoridad de control determinará el procedimiento que se aplicará a la conciliación.

ARTÍCULO 72

Trámite de protección de los datos personales. El titular de los datos o su representante legal puede iniciar un trámite de protección de los datos personales presentando ante la autoridad de control una solicitud, de manera escrita y por cualquier medio habilitado por la autoridad de control, expresando con claridad el contenido de su requerimiento y de los preceptos de esta ley que se consideran vulnerados. La presentación debe realizarse ante la autoridad de control dentro de los TREINTA (30) días siguientes a la fecha en que se comunique la respuesta al titular de los datos por parte del responsable del tratamiento, de acuerdo a lo previsto en el artículo 34, párrafos segundo y tercero, de la presente ley.

En el caso de que el titular de los datos no reciba respuesta por parte del responsable del tratamiento dentro de los DIEZ (10) días hábiles de haberlo intimado fehacientemente, basta que el titular de los datos acredite la fecha en que presentó la solicitud ante el responsable del tratamiento.

Iniciado el trámite de protección de los datos personales previsto en este artículo ante la autoridad de control, se dará traslado de aquél al responsable del tratamiento, para que en el plazo de DIEZ (10) días hábiles, emita respuesta, ofrezca las pruebas que estime pertinentes y manifieste por escrito lo que a su derecho convenga.

La autoridad de control admitirá las pruebas que estime pertinentes. Asimismo, podrá solicitar del responsable del tratamiento las demás pruebas que considere necesarias. Concluida la recepción de pruebas, la autoridad de control notificará al responsable del tratamiento el derecho que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los CINCO (5) días hábiles siguientes a su notificación.

ARTÍCULO 73

Trámite de verificación de oficio o por denuncia de un tercero. La autoridad de control verificará el cumplimiento de la presente ley y de la normativa que de ésta derive. La verificación podrá iniciarse de oficio o por denuncia de un tercero.

A efectos de practicar la verificación, la autoridad de control tendrá acceso a la información y documentación que considere necesarias, de acuerdo a lo previsto en la presente ley y a la reglamentación correspondiente.

En caso de que corresponda, se aplicará al trámite lo previsto en el artículo 72, párrafos tercero y cuarto, de la presente ley.

ARTÍCULO 74

Resolución. La resolución de la autoridad de control podrá:

a) archivar los trámites mencionados en los artículos 72 y 73 de la presente ley;

b) en caso de considerar que asiste derecho al titular de los datos, requerirle al responsable del tratamiento que haga efectivo el ejercicio de los derechos objeto de protección, debiendo dar cuenta por escrito de dicho cumplimiento a la autoridad de control dentro de los QUINCE (15) días hábiles de efectuado;

c) de verificarse incumplimientos a la presente ley, imponer una sanción de las previstas en el artículo 76.

d) La autoridad de control dictará la resolución que corresponda dentro de un plazo razonable, atendiendo a la complejidad del tema a resolver.

ARTÍCULO 75

Recursos. Las resoluciones de la autoridad de control agotarán la vía administrativa a los efectos de lo previsto en la Ley Nacional de Procedimientos Administrativos nº 19.549. No procederá el recurso de alzada. Agotada la vía administrativa, las resoluciones previstas en el artículo 76 serán recurribles por ante la CÁMARA NACIONAL DE APELACIONES EN LO CONTENCIOSO ADMINISTRATIVO FEDERAL de la CAPITAL FEDERAL.

ARTÍCULO 76

Sanciones. Una vez establecido el incumplimiento de las disposiciones de la presente ley por parte del responsable del tratamiento o del encargado del tratamiento, la autoridad de control impondrá las medidas o las sanciones correspondientes.

La autoridad de control podrá imponer a los responsables y encargados del tratamiento las siguientes sanciones:

a) apercibimiento;

b) multa que podrá alcanzar el equivalente a QUINIENTOS (500) Salarios Mínimo Vital y Móvil vigentes al momento de la imposición de la sanción;

c) suspensión de las actividades relacionadas con el tratamiento de datos hasta por un término de SEIS (6) meses; en el acto de suspensión se indicarán los correctivos que se deberán adoptar;

d) cierre temporal de las operaciones relacionadas con el tratamiento de datos una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la autoridad de control;

e) cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.

Al ordenar la suspensión o cierres previstos en los incisos c), d) y e) la autoridad de control podrá ordenar que, de manera temporal o definitiva, se retire, bloquee, suspenda y/o inhabilite el acceso a los datos personales a los que los responsables del tratamiento den acceso, interconecten, transmitan o direccionen, almacenen, alojen, intermedien, enlacen o busquen, que lesionen derechos legalmente reconocidos. A tal efecto, la autoridad de control deberá precisar, de acuerdo a lo informado por el titular de los datos, el enlace en el que se encuentren alojados los datos personales o los procedimientos para acceder a aquél. En ningún caso, estas medidas podrán afectar el derecho a la libertad de expresión e información.

Las sanciones indicadas en el presente artículo sólo se aplican para las personas de naturaleza privada. En el caso en el cual la autoridad de control advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la autoridad que corresponda para que inicie la investigación respectiva.

En todos los casos, la autoridad de control podrá disponer, a costa del responsable, la publicación de la resolución en el diario de mayor circulación de la jurisdicción donde se encuentre establecido el responsable.

ARTÍCULO 77

Gradación. Las sanciones por infracciones a las que se refiere el artículo 76 se graduarán atendiendo los siguientes criterios, en cuanto resulten aplicables:

a) la dimensión del daño o peligro a los intereses jurídicos tutelados por la presente ley;

b) el beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción;

c) la reincidencia en la comisión de la infracción;

d) la resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la autoridad de control;

e) el incumplimiento de los requerimientos u órdenes impartidas por la autoridad de control;

f) el reconocimiento o aceptación expreso que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar.

La designación voluntaria de un delegado de protección de datos, la adopción de mecanismos de autorregulación vinculantes, la realización de una evaluación de impacto en los términos del artículo 40 y la notificación oportuna de incidentes de seguridad, serán merituados como atenuantes de la sanción que corresponda, sin perjuicio de otros que pueda considerar la autoridad de control.

Capítulo 9. Acción de habeas data

ARTÍCULO 78

Procedencia. La acción de habeas data procede para tutelar los derechos que resulten restringidos, alterados, lesionados o amenazados por un tratamiento de datos personales contrario a la presente ley por parte de las autoridades públicas o por particulares. Esta acción procederá especialmente para ejercer los derechos de acceso, rectificación, oposición, cancelación y portabilidad de los datos previstos en la presente ley.

En los casos en que se presuma o se hubiera verificado la falsedad, inexactitud, desactualización de la información de que se trata, o se hubiera realizado un tratamiento de datos ilícito o prohibido, la acción de habeas data procederá para ejercer los derechos de rectificación, de oposición, o de supresión previstos en los artículos 29, 30 y 31; el derecho de oposición también podrá ser ejercido en los supuestos del artículo 32 de la presente ley.

ARTÍCULO 79

Legitimación activa y pasiva. La acción de habeas data podrá ser ejercida por el titular de los datos afectado, sus tutores, curadores o por el titular de la responsabilidad parental o tutela en caso de niños, niñas o adolescentes. En el caso de las personas humanas fallecidas, la acción podrá ser ejercida por sus sucesores universales.

La acción podrá ser también intentada en representación plural, sectorial o colectiva, siempre que su objeto se limite a la impugnación de tratamientos que conlleven violaciones generalizadas, pero en tal caso los promotores de tales acciones no podrán tener acceso a los datos de las demás personas que integran el colectivo por ellas representados, sino sólo a los datos propios. Tendrán legitimación para interponer esta acción el titular de los datos, el Defensor del Pueblo, las asociaciones sectoriales, la autoridad de control y el Ministerio Público.

En el proceso podrá intervenir, en forma coadyuvante y cuando corresponda, la autoridad de control, quien será notificada del inicio de la acción de habeas data.

La acción procede respecto de los responsables del tratamiento. Excepcionalmente los responsables del tratamiento podrán interponer la acción contra otros responsables o encargados del tratamiento cuando éstos últimos incumplan con sus obligaciones legales o convencionales y esto pueda acarrearles perjuicio.

ARTÍCULO 80

Competencia. Será competente para entender en esta acción el juez del domicilio del actor o del demandado, a elección del actor.

Procederá la competencia federal cuando la acción:

a) se interponga en contra de los responsables del tratamiento que sean parte de la Administración Pública Nacional;

b) se interponga en contra del responsable del tratamiento de datos accesibles en redes interjurisdiccionales, nacionales o internacionales.

ARTÍCULO 81

Procedimiento aplicable. La acción de habeas data tramitará según las disposiciones de la presente ley y, supletoriamente, según el procedimiento que corresponde a la acción de amparo común y según las normas del CÓDIGO PROCESAL CIVIL Y COMERCIAL DE LA NACIÓN, en lo atinente al juicio sumarísimo.

El juez dispondrá de amplias facultades para adaptar los procedimientos de acuerdo a las circunstancias particulares del caso y a fin de dar mayor eficacia tuitiva al proceso.

ARTÍCULO 82

Requisitos de la demanda. La demanda deberá interponerse por escrito, individualizando con la mayor precisión posible el nombre y domicilio del responsable del tratamiento y, en su caso, el nombre de la base de datos o cualquier otra información que pudiera ser útil a efectos de identificarla. En el caso de bases de datos públicas, se procurará establecer autoridad u organismo público del cual dependan el responsable o el encargado del tratamiento.

El accionante deberá alegar las razones por las cuales entienda que se esté

efectuando tratamiento de datos referido a su persona y los motivos por los cuales considere que procede el ejercicio de los derechos que le reconoce la presente ley. Deberá asimismo justificar el cumplimiento de los recaudos que hacen al ejercicio de tales derechos.

El accionante podrá solicitar al Juez que, mientras dure el procedimiento, el responsable o el encargado del tratamiento informe que la información cuestionada está sometida a un proceso judicial.

El juez podrá disponer el bloqueo provisional del acceso a la base de datos en lo referente a los datos personales motivo del juicio cuando sea manifiesto el carácter ilícito del tratamiento de esos datos o ellos sean inequívocamente falsos o inexactos.

ARTÍCULO 83

Trámite. Admitida la acción, el juez requerirá al responsable del tratamiento la remisión de la información concerniente al accionante y el ofrecimiento de la prueba pertinente. Podrá asimismo solicitar, en caso que corresponda, esa información al encargado del tratamiento o al delegado de protección de datos. También podrá requerir informes sobre el soporte técnico de datos, documentación de base relativa a la recolección y cualquier otro aspecto que resulte conducente a la resolución de la causa que estime procedente.

El plazo para contestar el informe no podrá ser mayor de CINCO (5) días hábiles, el que podrá ser ampliado prudencialmente por el juez.

Los responsables o encargados del tratamiento o delegados de protección de datos no podrán alegar la confidencialidad de la información que se les requiere, salvo el caso en que se afecten las fuentes de información periodística.

Cuando un responsable o encargado del tratamiento o delegado de protección de datos se oponga a la remisión del informe solicitado, con invocación de las excepciones autorizadas por la presente ley o por una ley específica, deberá acreditar los extremos que hacen aplicable la excepción legal. En tales casos, el juez podrá tomar conocimiento personal y directo de la información requerida manteniendo su confidencialidad.

ARTÍCULO 84

Contestación del informe. Al contestar el informe, el responsable o encargado del tratamiento o el delegado de protección de datos deberá expresar las razones por las cuales efectuó el tratamiento cuestionado y, en su caso, aquellas razones por las que no evacuó el pedido efectuado por el accionante.

ARTÍCULO 85

Ampliación de la demanda. Contestado el informe, el actor podrá, en el término de TRES (3) días, ampliar el objeto de la demanda, ofreciendo en el mismo acto la prueba pertinente. De esta presentación se dará traslado al demandado por igual término para que conteste y ofrezca prueba.

ARTÍCULO 86

Sentencia. Vencido el plazo para la contestación del informe o contestado éste, y en el supuesto del artículo 85, luego de contestada la ampliación y en su caso, habiendo sido producida la prueba, el juez dictará sentencia.

En el caso de estimarse procedente la acción, se especificará si la información debe ser bloqueada, suprimida, rectificada, o actualizada, estableciendo un plazo para su cumplimiento. En ningún caso, la sentencia podrá afectar el derecho a la libertad de expresión e información.

El rechazo de la acción no constituye presunción respecto de la responsabilidad en que hubiera podido incurrir el demandado.

En cualquier caso, la sentencia deberá ser comunicada a la autoridad de control.

Contra la sentencia procede el recurso de apelación.

Capítulo 10. Disposiciones transitorias

ARTÍCULO 87

Estructura organizativa. En el plazo de CIENTO OCHENTA (180) días hábiles posteriores a la asunción de su cargo, el Director Ejecutivo de la ANPDP presentará un proyecto de estructura organizativa y reglamentación interna, para su aprobación por el PODER EJECUTIVO NACIONAL y publicación en el Boletín Oficial.

Incorpórese a la planta de personal de la ANPDP a quienes, a la fecha de entrada en vigencia de la presente ley, cumplan funciones en la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES y hayan sido contratados en el marco de las Leyes nros. 23.283 y 25.164. A dicho personal se le respetarán los beneficios y condiciones laborales actuales. El personal contratado en el marco de la Ley nº 23.283, que a la fecha de entrada en vigencia de la presente ley, se encuentre cumpliendo funciones en la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES y no acepte ser incorporado a la planta de la ANPDP, tendrá derecho a percibir la indemnización correspondiente por cese laboral en los términos de lo previsto por la Ley nº 20.744, la que será solventada por el Fondo de Cooperación Técnica y Financiera previsto en el artículo 8° de la Ley nº 23.283.

ARTÍCULO 88

Presupuesto. Instrúyase al Jefe de Gabinete de Ministros para que, en uso de sus facultades, efectúe las reestructuraciones presupuestarias que fueren necesarias a los efectos de asignar los créditos, cargos y cualquier otra adecuación necesaria para el financiamiento de la ANPDP.

Deberá preverse en el presupuesto correspondiente la incorporación de los recursos necesarios para el correcto cumplimiento de las funciones de la ANPDP.

Transfiérase la totalidad de los bienes, presupuesto vigente, activos, patrimonio y personal de la actual DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

Una vez canceladas las deudas que en la actualidad mantenga el ente cooperador que hubieran sido autorizadas conforme la normativa vigente, los saldos resultantes del fondo de cooperación técnica y financiera serán ingresados a la cuenta de Rentas Generales del Tesoro de la Nación, la cual generará las correspondientes partidas presupuestarias con afectación específica a la ANPDP.

ARTÍCULO 89

Reglamentación. El PODER EJECUTIVO NACIONAL reglamentará la presente ley dentro de los CIENTO OCHENTA (180) días desde su promulgación.

ARTÍCULO 90

Vigencia. Las disposiciones de la presente ley entrarán en vigencia a los DOS (2) años de su publicación en el Boletín Oficial.

Los responsables y encargados del tratamiento contarán con el plazo máximo de DOS (2) años desde la publicación de la presente ley en el Boletín Oficial, para adaptarse a las obligaciones contenidas en ella. En dicho plazo, conservarán plena vigencia las Leyes nros. 25.326, 26.343 y 26.951, sus normas reglamentarias y las demás disposiciones de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

El Registro Nacional “No Llame”, creado por la Ley nº 26.951, será transferido al nuevo registro creado por el artículo 46 de la presente ley de acuerdo a lo que prevea su reglamentación.

Capítulo 11. Disposiciones finales

ARTÍCULO 91

Orden público y jurisdicción federal. Las normas de la presente ley contenidas en los Capítulos 1, 2, 3, 4, y 6 son de orden público y de aplicación en lo pertinente en todo el territorio nacional.

Se invita a las provincias a adherir a las normas de esta ley que fueren de aplicación exclusiva en jurisdicción nacional.

La competencia federal regirá respecto de:

a) los tratamientos de datos efectuados por las autoridades u organismos públicos pertenecientes a la Administración Pública Nacional;

b) los tratamientos de datos efectuados por el sector privado, cuando los datos se encuentren accesibles en redes interjurisdiccionales, nacionales o internacionales.

ARTÍCULO 92

Referencias. Las referencias de aquellas normas que hagan mención a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se considerarán hechas a la ANPDP, su competencia o sus autoridades, respectivamente.

ARTÍCULO 93

Derogación. Deróganse las Leyes nros 25.326, 26.343 y 26.951.

ARTÍCULO 94

Comuníquese al PODER EJECUTIVO NACIONAL.

29Nov/19

Resolución 197/2019, de 8 de octubre de 2019, de la Agencia de Acceso a la Información Pública

Resolución 197/2019, de 8 de octubre de 2019, de la Agencia de Acceso a la Información Pública. Resol-2019-197-APN-AAIP

Ciudad de Buenos Aires, 8 de octubre de 2019

VISTO el Expediente EX-2019-76009495- -APN-ONEP#JGM, el Presupuesto General de la Administración Nacional para el Ejercicio 2019 aprobado por la Ley n° 27.467, el Convenio Colectivo de Trabajo Sectorial del Personal del Sistema Nacional de Empleo Público (SI.N.E.P.), homologado por el Decreto n° 2.098 de fecha 3 de diciembre de 2008 y sus modificatorios, el Decreto n° 355 de fecha 22 de mayo de 2017, modificado por su similar n° 859 de fecha 26 de septiembre de 2018, el Decreto n° 1035 del 8 de noviembre de 2018, la Decisión Administrativa n° 338 del 16 de marzo de 2018, la Resolución RESOL- 2017-82-APN-SECEP#MM de fecha 25 de agosto de 2017, de la SECRETARÍA DE EMPLEO PÚBLICO del entonces MINISTERIO DE MODERNIZACIÓN y las Resoluciones RESOL- 2019-86-APN-SECEP#JGM del 21 de marzo de 2019 y RESOL- 2019-120-APN-SECEP#JGM del 26 de abril de 2019, ambas de la SECRETARÍA DE EMPLEO PÚBLICO de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS, y

CONSIDERANDO:

Que por la Ley nº 27.467 se aprobó el Presupuesto General de la Administración Nacional para el Ejercicio 2019, distribuido por la Decisión Administrativa nº 12 de fecha 10 de enero de 2019 y sus modificatorias.

Que por el Decreto n° 2.098 de fecha 3 de diciembre de 2008 y sus modificatorios, se homologó el Convenio Colectivo de Trabajo Sectorial del Personal del SISTEMA NACIONAL DE EMPLEO PUBLICO (SI.N.E.P.).

Que el Artículo 34 del Anexo del citado Decreto nº 2.098/08 establece que los concursos se realizarán mediante procesos de oposición y antecedentes que permitan comprobar y valorar fehacientemente la idoneidad y las competencias laborales de los candidatos, conforme al perfil del puesto o función a cubrir, el nivel escalafonario y el agrupamiento respectivo.

Que mediante la Resolución N° RESOL-2017-82-APN-SECEP#MM se aprobó el “Régimen de Selección para la cobertura de cargos con Función Ejecutiva” para el personal encuadrado en el SISTEMA NACIONAL DE EMPLEO PÚBLICO (SI.N.E.P.).

Que por la Resolución n° RESOL-2019-86-APN-SECEP#JGM se dio inicio al proceso de selección para la cobertura de CUATRO (4) cargos de la planta permanente distribuidos entre la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, la DIRECCIÓN DE PROTECCIÓN DE LA PRIVACIDAD, la DIRECCIÓN NACIONAL DE ACCESO A LA INFORMACIÓN PÚBLICA , y la DIRECCIÓN DE POLÍTICAS DE INFORMACIÓN PÚBLICA y se designó a los integrantes del Comité de Selección y Coordinador Concursal, conforme lo establecido por el Artículo 8° del Anexo a la citada Resolución n° RESOL-2017-82-APN- SECEP#MM, registrado con el n° IF-2017-16221163-APN-SECEP#MM.

Que por la citada Resolución n° RESOL-2019-86-APN-SECEP#JGM se designó al Comité de Selección n° 1 para llevar a cabo el proceso para la cobertura de los cargos de “Director Nacional Protección de Datos Personales”, “Director Protección de la Privacidad”, “Director Nacional Acceso a la Información Pública” y “Director de Políticas de Información Pública”.

Que mediante la Resolución n° RESOL-2019-120-APN-SECEP#JGM de fecha 26 de abril de 2019 de la SECRETARÍA DE EMPLEO PÚBICO de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS, se aprobaron las bases del concurso y el llamado a convocatoria para la cobertura de los cargos mencionados.

Que dicho Comité de Selección se expidió respecto a la recomendación de los grados a asignar, conforme los Artículos 24, 31 y 128 del Convenio Colectivo Sectorial citado, y elevó el Orden de Mérito correspondiente al cargo de Director Nacional de Acceso a la Información Pública, el que fue aprobado mediante Acta nº 17 de fecha 10 de julio de 2019, conforme surge del Informe Gráfico nº RE-2019-82931453-APN- DTA#AAIP.

Que mediante la Resolución n° RESOL-2019-233-APN-SECEP#JGM de la SECRETARÍA DE EMPLEO PÚBLICO de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS se aprobó el orden de mérito correspondiente al proceso de selección convocado mediante la citada Resolución nº RESOL-2019-86-APN-SECEP#JGM, para la cobertura del cargo de “Director Nacional de Acceso a la Información Pública”, Nivel escalafonario A, Función Ejecutiva I, perteneciente a la planta permanente de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.

Que la persona propuesta para cubrir el cargo de Director Nacional de Acceso a la Información Pública ha cumplimentado los requisitos establecidos en la reglamentación vigente.

Que a fin de dar cumplimiento a las funciones asignadas a la Dirección Nacional de Acceso a la Información Pública de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, resulta necesario proceder a la designación del titular del cargo de la mencionada.

Que mediante el Decreto n° 355/17 y su modificatorio, se asignaron mayores competencias en materia de personal a los Ministros, Secretarios de la PRESIDENCIA DE LA NACIÓN, Secretarios de Gobierno y a las máximas autoridades de organismos descentralizados.

Que dicho decreto prevé que la designación del personal ingresante a la planta permanente como asimismo la promoción del personal que revista en la planta permanente, luego de la sustanciación de los respectivos procesos de selección, en cargos vacantes y financiados presupuestariamente en el ámbito de la Administración Pública Nacional centralizada en cargos de las estructuras organizativas, serán efectuadas en sus respectivas Jurisdicciones por los Ministros, los Secretarios de la PRESIDENCIA DE LA NACIÓN, los Secretarios de Gobierno y a las máximas autoridades de organismos descentralizados.

Que la Dirección Técnico Administrativa de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA ha certificado la vacancia de los cargos concursados.

Que la Dirección Técnico Administrativa de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, ha certificado la existencia de crédito suficiente en el presente Ejercicio para hacer frente al gasto que demande la presente medida.

Que la Coordinación de Asuntos Jurídicos de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA ha tomado la intervención de su competencia.

Que la presente medida se dicta en uso de las facultades conferidas por los Decretos nros. 355 y sus modificatorios y complementarios.

Por ello,

EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1°.

Desígnase en la planta permanente de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, a la Licenciada Eugenia Braguinsky (M.I. n° 24.560.995) en el cargo de Director Nacional de Acceso a la Información Pública en un cargo Nivel A, Grado 0, autorizándose el correspondiente pago de la Función Ejecutiva Nivel I, del Convenio Colectivo de Trabajo Sectorial del Personal del SISTEMA NACIONAL DE EMPLEO PÚBLICO (SI.N.E.P.), homologado por el Decreto n° 2.098 de fecha 3 de diciembre de 2008 y sus modificatorios.

ARTÍCULO 2°

El gasto que demande el cumplimiento de la presente medida será imputado a las Partidas Presupuestarias específicas del ejercicio 2019 del Servicio Administrativo Financiero 209 de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, de conformidad con la Ley de Presupuesto General de la Administración Nacional nº 27.467.

ARTÍCULO 3°

Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.

Eduardo Andrés Bertoni

24Ago/19

Resolución nº 4/2019, de 16 de enero de 2019, de la Agencia de Acceso a la Información Pública

Resolución nº 4/2019, de 16 de enero de 2019, de la Agencia de Acceso a la Información Pública, sobre los Criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley nº 25.326

VISTO el EX-2018-52934591-APN-AAIP, la Ley nº 25.326 de Protección de los Datos Personales, la Ley nº 27.275 , y los Decretos n° 206 del 27 de marzo de 2017 y nº 746 del 25 de septiembre de 2017, y

CONSIDERANDO:

Que la Ley n° 25.326 de Protección de Datos Personales, tiene por objeto “la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional(artículo 1°, Ley nº 25.326).

Que mediante el Decreto n° 1558 del 29 de noviembre de 2001, reglamentario de la Ley n° 25.326, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, en la órbita de la SECRETARÍA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, como órgano de control de la mencionada Ley (Anexo I, artículo 29, Decreto n° 1558/01).

Que, por otro lado, la Ley nº 27.275 de Derecho de Acceso a la Información Pública creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP) como ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS con el objeto de “velar por el cumplimiento de los principios y procedimientos establecidos en la Ley, garantizar el efectivo ejercicio del derecho de acceso a la información pública y promover medidas de transparencia activa” (artículo 19, Ley n° 27.275).

Que el Decreto n° 746 del 25 de septiembre de 2017 sustituyó el artículo 19 de la Ley nº 27.275, atribuyendo a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA la facultad de actuar como Autoridad de Aplicación de la Ley n° 25.326 y se incorporó como inciso t) al artículo 24 de la Ley nº 27.275, la competencia de la AAIP de “fiscalizar la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre”.

Que, asimismo, el Decreto n° 899 del 3 de noviembre de 2017 sustituyó el artículo 29 del Anexo I del Decreto nº 1558/01, estableciendo que “la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, conforme los términos del artículo 19 de la Ley n° 27.275, sustituido por el artículo 11 del Decreto n° 746/17, es el órgano de control de la Ley nº 25.326” (artículo 1°, Decreto n° 899/17).

Que, entre las atribuciones asignadas a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA se encuentra la de dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por la Ley n° 25.326 (artículo 29 inciso 1, apartado b) de la Ley n° 25.326).

Que diversas entidades, tanto públicas como privadas, han solicitado a la AAIP, en carácter de autoridad de aplicación de la Ley n° 25.326, se expida sobre criterios orientadores para la correcta interpretación e implementación de la normativa en materia de protección de datos personales.

Que resulta necesario dejar establecidos estos criterios en un documento autónomo, de manera que puedan ser consultados por los responsables de bases de datos y la ciudadanía en general, dotando de mayor previsibilidad a la interpretación de la Ley n° 25.326 y fortaleciendo el ejercicio de los derechos que la ley protege.

Que la Ley n° 25.326 define el término “base de datos” en su artículo 2° como “el conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso”.

Que los registros de imágenes captados por sistemas de video vigilancia constituyen una base de datos en los términos del artículo 2° de la Ley n° 25.326.

Que los artículos 14 y 15 de la Ley n° 25.326 establecen las condiciones para ejercer el derecho de acceso y su alcance.

Que el ejercicio del derecho de acceso en relación a datos personales que han sido recolectados mediante sistemas de video vigilancia puede generar ciertas dificultades prácticas para el responsable de la base de datos, por lo que la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA considera conveniente pronunciarse respecto del alcance de ese derecho y de las condiciones para ejercerlo.

Que, a su vez, el artículo 15 de la Ley n° 25.326, en su inciso 1, dispone que al ejercer el derecho de acceso, el responsable de la base de datos debe suministrar la información de forma clara, exenta de codificaciones y, en su caso, acompañada de una explicación, en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen.

Que en atención a que los cambios tecnológicos han permitido automatizar el tratamiento de datos y que ello podría acarrear riesgos a la persona, la AAIP considera importante establecer cuál sería el alcance del derecho de acceso del titular de los datos cuando el responsable de la base de datos tome decisiones basadas únicamente en el tratamiento automatizado de datos que le produzcan al titular de los datos efectos jurídicos perniciosos o lo afecten significativamente de forma negativa.

Que, asimismo, el artículo 2º de la Ley nº 25.326 define la “disociación de datos” como “todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable”.

Que, para la correcta interpretación del término “disociación de datos”, corresponde a la AAIP definir qué se entiende por “persona determinable”.

Que, por otra parte, la Ley n° 25.326 define el término “datos personales” en su artículo 2° como “información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables”.

Que legislaciones más modernas han definido dentro del concepto de datos personales el término “dato biométrico” para adaptarse a las nuevas tecnologías de la era digital.

Que, en este sentido, la AAIP estima conveniente dejar sentado qué entiende por “datos biométricos” de acuerdo a la normativa aplicable en nuestro país en materia de privacidad y adaptarse de esta manera a la tendencia internacional.

Que, a su vez, la Ley n° 25.326 recepta en su artículo 5° el principio de consentimiento, que exige el consentimiento del titular de los datos como condición para que el tratamiento de sus datos personales sea lícito.

Que el artículo 5°, inciso 1 de la Ley n° 25.326 prevé que el consentimiento del titular de los datos deberá constar por escrito “o por otro medio que permita se le equipare, de acuerdo a las circunstancias”.

Que la Ley nº 25.326 prevé la posibilidad de instrumentar el consentimiento del titular de los datos por otros medios que no sean el escrito, y, por ende, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA estima necesario sentar un criterio interpretativo para la implementación de esa disposición.

Que el artículo 11 de la Ley nº 25.326 establece como principio general la obligación de requerir el consentimiento previo del titular para efectuar una cesión de datos personales.

Que a este principio se le aplican las excepciones reguladas en el inciso 3 del mismo artículo, cuyo apartado c) dispone que el consentimiento no será exigido cuando la cesión “se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias”.

Que entonces corresponde a la AAIP delimitar cuáles son las condiciones para realizar una cesión de datos personales entre organismos públicos, en los términos del artículo 11, inciso 3, apartado c).

Que la normativa internacional en materia de protección de datos personales ha adoptado previsiones específicas en relación al consentimiento que deben otorgar las niñas, niños y adolescentes para el tratamiento de sus datos.

Que el Código Civil y Comercial de la Nación ha receptado en los artículos 26 y 639 el principio de autonomía progresiva, que emerge de la Convención sobre los Derechos del Niño, el cual reconoce a los menores de edad la capacidad para ejercer por sí mismos sus derechos conforme con la evolución de sus facultades.

Que, en virtud de ello, es necesario establecer criterios orientadores para la obtención del consentimiento de los menores de edad para el tratamiento de sus datos personales.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que le compete.

Que la presente medida se dicta en virtud de las facultades conferidas por el artículo 29, inciso 1, aparatado b) de la Ley n° 25.326.

Por ello,

EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1°

Apruébense los criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley nº 25.326 , siendo de observancia obligatoria para todos aquellos sujetos alcanzados por la Ley nº 25.326, y que como Anexo I (IF-2019-01967621-APN-AAIP) forman parte integrante de la presente Resolución.

ARTÍCULO 2°

Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese.

Eduardo Andrés Bertoni

Anexo I.- Criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley nº 25.326

Criterio 1

Derecho de acceso a datos personales recolectados mediante sistemas de video vigilancia

Ante una solicitud del titular de los datos de acceder a sus datos personales recolectados mediante sistemas de video vigilancia (su imagen personal), se debe tener en consideración las siguientes pautas:

i) El titular de los datos debe acreditar su identidad mediante DNI, indicar fecha y hora aproximada en la que pudo haber sido captada su imagen e información necesaria para identificarla.

ii) El responsable de la base de datos debe proporcionar los datos personales en forma clara, acompañados de una explicación del tiempo en que se registró al titular de los datos, lugar en el que el sistema de video vigilancia lo registrara, finalidad, eventuales cesiones y/o destino de los datos, indicando si el banco de datos se encuentra inscripto en el Registro Nacional de Bases de Datos de la Dirección Nacional de Protección de Datos Personales, dependiente de la Agencia de Acceso a la Información Pública.

iii) Excepcionalmente el responsable de la base de datos debe proporcionar la imagen (impresión o archivo en formato digital) en caso que el titular de los datos funde debidamente el motivo de obtenerla en dicha modalidad y cancele el costo que irrogue el trámite. En caso que la imagen brindada permita identificar a algún tercero, el responsable de la base de datos deberá aplicar alguna técnica de disociación de forma tal que solo pueda ser identificado el titular de los datos.

iv) El responsable de la base de datos debe informar en forma expresa y clara al titular de los datos que, en caso de disconformidad con la respuesta brindada, podrá presentar su reclamo ante la Dirección Nacional de Protección de Datos Personales en los términos del artículo 31, inciso 3 del Decreto nº 1558/01, sin perjuicio de tener disponible la acción de habeas data.

Criterio 2

Tratamiento automatizado de datos

En caso que el responsable de la base de datos tome decisiones basadas únicamente en el tratamiento automatizado de datos que le produzcan al titular de los datos efectos jurídicos perniciosos o lo afecten significativamente de forma negativa, el titular de los datos tendrá derecho a solicitar al responsable de la base de datos una explicación sobre la lógica aplicada en aquella decisión, de conformidad con el artículo 15, inciso 1 de la Ley nº 25.326.

Criterio 3

Disociación de datos

No será considerada persona determinable, en los términos del artículo 2 de la Ley nº 25.326, cuando el procedimiento que deba aplicarse para lograr su identificación requiera la aplicación de medidas o plazos desproporcionados o inviables.

Criterio 4

Datos biométricos

Los datos biométricos son aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan o confirmen su identificación única.

Los datos biométricos que identifican a una persona se considerarán datos sensibles (conforme el artículo 2°, Ley n° 25.326) únicamente cuando puedan revelar datos adicionales cuyo uso pueda resultar potencialmente discriminatorio para su titular (v.g. datos que revelen origen étnico o información referente a la salud).

Criterio 5

Consentimiento

Cualquiera sea la modalidad del consentimiento que se adopte, conforme el artículo 5, inciso 1 de la Ley nº 25.326, el responsable de la base de datos debe acreditar que quien haya prestado tal consentimiento sea efectivamente el titular de los datos requeridos y no otra persona, esto es, que cuente con mecanismos de validación de identidad eficaces.

En relación a la cesión de datos personales entre organismos públicos, no se requiere el consentimiento del titular de los datos y se cumple con las condiciones de licitud, en la medida en que

(i) el cedente haya obtenido los datos en ejercicio de sus funciones,

(ii) el cesionario utilice los datos pretendidos para una finalidad que se encuentre dentro del marco de su competencia y, por último,

(iii) los datos involucrados sean adecuados y no excedan el límite de lo necesario en relación a esta última finalidad.

En caso de tratamiento de datos personales de niñas, niños y adolescentes, se debe tener en cuenta lo siguiente:

i) De conformidad con el principio de autonomía progresiva receptado en los artículos 26 y 639 del Código Civil y Comercial, el menor de edad podrá prestar consentimiento informado en relación al tratamiento de sus datos personales teniendo en consideración sus características psicofísicas, aptitudes y desarrollo.

ii) Si el menor de edad no posee la capacidad suficiente para prestar el consentimiento informado, el titular de la responsabilidad parental o tutela sobre la niña, niño o adolescente, deberá prestar el consentimiento para el tratamiento de sus datos personales. En tal caso, el responsable de la base de datos deberá realizar esfuerzos razonables para verificar que el consentimiento haya sido efectivamente otorgado por el titular de la responsabilidad parental o tutela sobre el menor de edad, teniendo en cuenta sus posibilidades para hacerlo.

12Ago/19

Disposición 56-E/16, de 25 de octubre de 2016, de la Dirección Nacional de Protección de Datos Personales (DNPDP), que aprueba la Protección de datos personales. Bases de datos propias y de terceros. Entes públicos estatales y no estatales. Inscripción. Baja. Formularios. Su aprobación.

VISTO el Expediente EX-2016-00206907- -APN-DNPDP#MJ, la Ley n° 25.326 y su Decreto Reglamentario n° 1558 del 29 de noviembre de 2001, y

CONSIDERANDO:

Que por Disposición DNPDP nº 2 del 14 de febrero de 2005 se implementó el REGISTRO NACIONAL DE BASES DE DATOS alcanzadas por la Ley nº 25.326 y se aprobó el contenido del Formulario FA.01 de Inscripción de Archivos, Registros, Bases o Bancos de Datos Privados (Anexo I).

Que por Disposición DNPDP nº 3 del 4 de abril de 2005 se aprobaron los restantes formularios a utilizar ante el REGISTRO NACIONAL DE BASES DE DATOS dependientes de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

Que esta Dirección Nacional ha iniciado un proceso de revisión interna de los procedimientos registrales a efectos de hacerlos más eficientes y fortalecer su rol de autoridad de aplicación de la Ley n° 25.326.

Que mediante el Decreto n° 561 del 6 de abril de 2016, se aprobó la implementación del sistema de Gestión Documental Electrónica —GDE— como sistema integrado de caratulación, numeración, seguimiento y registración de movimientos de todas las actuaciones y expedientes del Sector Público Nacional.

Que resulta entonces necesario reemplazar el sistema informático del REGISTRO NACIONAL DE BASES DE DATOS por uno que se incorpore al mencionado sistema de Gestión Documental Electrónica.

Que en ese contexto, y tomando en consideración la experiencia acumulada por esta Dirección Nacional, se estima oportuno readecuar los formularios de inscripción del citado Registro, unificando los mismos a fin de facilitar los trámites a los responsables de tratamientos de datos personales obligados.

Que por consiguiente resulta necesario aprobar los formularios que se serán utilizados a partir de la implementación del nuevo sistema informático, así como también sus respectivos instructivos.

Que el valor de los formularios que se aprueban por el presente acto será oportunamente determinado por el MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS.

Que hasta tanto se implemente el nuevo sistema informático, corresponde mantener la vigencia de los formularios, instructivos y procedimientos aprobados por las Disposiciones DNPDP números 2/05 y 3/05.

Que la DIRECCION GENERAL DE ASUNTOS JURIDICOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS ha tomado la intervención que le compete.

Que la presente medida se dicta en uso de las facultades conferidas por el artículo 29, inciso 1, apartado b) de la Ley n° 25.326 y el artículo 29, inciso 5, apartado d) del Anexo I del Decreto nº 1558 del 29 de noviembre de 2001.

Por ello,

EL DIRECTOR NACIONAL

DE PROTECCION DE DATOS PERSONALES

DISPONE:

ARTÍCULO 1º

Apruébanse los Formularios FI-A “INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS PROPIAS”, FI-B “INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS DE TERCEROS”, y FI-P “INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES DE ENTES PÚBLICOS ESTATALES Y NO ESTATALES” que como Anexo IF-2016-02470398-APN-DNPDP#MJ, IF-2016-01427512-APN- DNPDP#MJ y IF-2016-01427599-APN-DNPDP#MJ respectivamente forman parte integrante del presente acto.

ARTÍCULO 2º

Apruébanse los Formularios FR-A “RENOVACIÓN DE INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS PROPIAS” y FR-B “RENOVACIÓN DE INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS DE TERCEROS”, que como Anexo IF-2016-02470395-APN-DNPDP#MJ y IF-2016-01427721-APN-DNPDP#MJ respectivamente forman parte integrante del presente acto.

ARTÍCULO 3º

Apruébanse los Formularios FM-A “MODIFICACIÓN DE INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS PROPIAS”, FM-B “MODIFICACIÓN DE INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS DE TERCEROS”, y FM-P “MODIFICACIÓN DE INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES DE ENTES PÚBLICOS ESTATALES Y NO ESTATALES” que como Anexo IF-2016-02470391-APN-DNPDP#MJ, IF-2016-01427798-APN- DNPDP#MJ y IF-2016-01427828-APN-DNPDP#MJ respectivamente forman parte integrante del presente acto.

ARTÍCULO 4º

Apruébase el Formulario FB “BAJA DE INSCRIPCIÓN” que como Anexo IF-2016-01428972-APN-DNPDP#MJ forma parte integrante del presente acto.

ARTÍCULO 5º

La implementación de los formularios aprobados por los artículos precedentes será dispuesta oportunamente en el mismo acto administrativo que apruebe la implementación del nuevo sistema informático y el correspondiente procedimiento registral, manteniéndose hasta entonces en vigencia los formularios, instructivos y procedimientos aprobados por las Disposiciones DNPDP números 2/2005 y 3/2005.

ARTÍCULO 6º

El valor de los Formularios aprobados por la presente disposición será determinado por el MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS.

ARTÍCULO 7º

Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.

EDUARDO BERTONI, Director Nacional, Dirección Nacional de Protección de Datos Personales, Ministerio de Justicia y Derechos Humanos.

11Ago/19

Resolución 132/2018, de 19 de octubre de 2018, de la Agencia de Acceso a la Información Pública. RESOL-2018-132-APN-AAIP

Ciudad de Buenos Aires, 19 de Octubre de 2018

VISTO el EX-2018- 07671904-APN-AAIP, la Ley n° 25.326, la Ley n° 27.275, el Decreto n° 1558 del 29 de noviembre de 2001, el Decreto n° 746 del 25 de septiembre de 2017, el Decreto n° 891 del 1° de noviembre de 2017, el Decreto n° 899 del 3 de noviembre de 2017, las Disposiciones de la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES números 2 del 14 de febrero de 2005; 3 del 4 de abril 2005; 5 del 27 de febrero de 2006; 9 del 22 de agosto de 2006; 10 del 18 de septiembre de 2006; 4 del 14 de septiembre de 2012, y 56-E-APN del 25 de octubre 2016,

y CONSIDERANDO:

Que por el artículo 19 de Ley n° 27.275 se creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA como ente autárquico con autonomía funcional, en la órbita de la JEFATURA DE GABINETE DE MINISTROS.

Que por el Decreto n° 746 del 25 de septiembre de 2017 se sustituyó el artículo 19 de la Ley de Acceso a la Información Pública n° 27.275, atribuyendo a la referida Agencia la facultad de actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales n° 25.326, como así también en su artículo 13, se incorporó como inciso t) al artículo 24 de la de la Ley 27.275 de Derecho de Acceso a la Información Pública, la competencia de fiscalizar la protección integral de los datos personales asentados en archivos, registros, banco de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, y el acceso a la información que sobre las mismas se registre.

Que por el artículo 29 del ANEXO I del Decreto n° 1558 del 29 de noviembre de 2001, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES en el ámbito de la entonces SECRETARÍA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, para cumplir las funciones de órgano de control y autoridad de aplicación de la Ley de Protección de Datos Personales n° 25.326 y su reglamentación.

Que el Decreto n° 899 del 6 de noviembre 2017 reordenó el plexo regulatorio vigente en relación a las competencias asignadas a los organismos mencionados y de conformidad con los términos del artículo 19 de la Ley n° 27.275, sustituido por el artículo 11 del Decreto n° 746/17, atribuyó a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, el ejercicio de la función de órgano de control de la Ley n° 25.326, que hasta entonces detentaba la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

Que, en virtud de lo expuesto, el Decreto n° 899/17 dispuso en su artículo 2° que toda referencia normativa a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se considerará referida a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA Que, seguidamente por Disposición de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA, SEGURIDAD Y DERECHOS HUMANOS n° 2 del 14 de febrero de 2005 se implementó el REGISTRO NACIONAL DE BASES DE DATOS alcanzadas por la Ley nº 25.326.

Que por las Disposiciones números 3 del 4 de abril 2005 se aprobaron los formularios, instructivo y normas de procedimiento que utilizara la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES; 5 del 27 de febrero de 2006 se implementó el REGISTRO NACIONAL DE BASES DE DATOS a los fines de la inscripción de los archivos, registros, bancos o bases de datos públicos; 9 del 22 de agosto de 2006 se aprobaron los formularios de modificación y de baja del REGISTRO NACIONAL DE BASES DE DATOS; 10 del 18 de septiembre de 2006 se incorporó la inscripción de archivos, registros o bases o bancos públicos de datos personales pertenecientes a los entes públicos no estatales, que se encuentren interconectados en redes de alcance interjurisdiccional nacional o internacional; 04 del 14 de septiembre de 2012, se estableció la validez anual de la Inscripción en el REGISTRO NACIONAL DE BASES DE DATOS y 56-E-APN del 25 de octubre 2016 readecuó los formularios de inscripción, renovación y modificación de tratamientos de datos personales.

Que, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA es el organismo competente para dictar las normas que regulan el funcionamiento del REGISTRO NACIONAL DE BASES DE DATOS y los procedimientos que considere pertinentes para la aprobación, modificación y baja de las inscripciones de las bases de datos personales, que sean requeridas por parte de los responsables de su tratamiento.

Que el Decreto n° 1063 del 4 de octubre de 2016 aprobó la implementación de la Plataforma de Trámites a Distancia (TAD) como medio de interacción del ciudadano con la administración, a través de la recepción y remisión por medios electrónicos de presentaciones, solicitudes, escritos, notificaciones y comunicaciones, entre otros.

Que, asimismo, por Decreto n° 891 del 1° de noviembre de 2017, se aprobaron las BUENAS PRÁCTICAS EN MATERIA DE SIMPLIFICACIÓN NORMATIVA para el mejor funcionamiento del Sector Público Nacional, con el fin de agilizar procedimientos administrativos, simplificando normas de los diversos regímenes con el objetivo de brindar una respuesta rápida, flexible y transparente al ciudadano, en un marco de eficiencia, eficacia y calidad en la prestación del servicio.

Que, a tal fin, se estima pertinente derogar las disposiciones dictadas por la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, dependiente del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, que regulan los procedimientos para la inscripción, modificación y baja de las bases de datos personales públicas y privadas, para proceder a establecerse que, la inscripción, modificación y baja de las bases de datos personales de carácter privado, público estatal y público no estatal, deberán tramitarse a través de la plataforma “Trámites a Distancia” (TAD) o sistema de Gestión Documental Electrónica (GDE).

Que, la experiencia de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES a lo largo de los años en el marco de estos trámites, hace aconsejable suprimir a partir de la entrada en vigencia de la presente resolución, la imposición de cargos arancelarios, para efectivizar los trámites registrales citados precedentemente, en consonancia con las políticas contenidas en la normativa dictada por el PODER EJECUTIVO NACIONAL, a la que se hace mención en los considerandos precedentes.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que le compete, en los términos del artículo 6° de la Decisión Administrativa n° 1002 del 15 de noviembre de 2017.

Que, la presente medida se dicta en uso de las facultades conferidas por el artículo 29, inciso 1, apartados b) y c) de la Ley n° 25.326, modificatorios y complementarios.

Por ello, EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA RESUELVE:

ARTÍCULO 1°: Establécese que la inscripción, modificación y baja de las bases de datos personales de carácter privado, público estatal y público no estatal, que habrán de cumplimentar los responsables de su tratamiento, ante el REGISTRO NACIONAL DE BASES DE DATOS de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, deberán tramitarse exclusivamente a través de la plataforma “Trámites a Distancia” (TAD) o sistema de Gestión Documental Electrónica (GDE):

Registro del Titular o Responsable de Base de Datos, Privada o Pública

Registro de Base de Datos Privada o Pública -estatal o no estatal-.

ARTÍCULO 2°: Deróganse los artículos 4°, 5°, 6°, 7° y 8° de la Disposición de la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS n° 02 del 14 de febrero de 2005 modificada por su similar n° 04 del 14 de septiembre de 2012.

ARTÍCULO 3°: Deróganse las Disposiciones n° 3 del 4 de abril 2005; n° 5 del 27 de febrero de 2006; n° 9 del 22 de agosto de 2006; n° 10 del 18 de septiembre de 2006; y n° 56-E-APN del 25 de octubre 2016, dictadas por el organismo citado en el considerando precedente.

ARTÍCULO 4°: Establécese la gratuidad de los trámites registrales a los que se hace referencia en los artículos precedentes, en virtud de los fundamentos expuestos en el considerando pertinente.

ARTÍCULO 5°: Los responsables de Archivos, Registros, Bases o Banco de Datos Personales de carácter privado ya inscriptos ante el REGISTRO NACIONAL DE BASES DE DATOS de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, deberán reempadronarlos en el marco del nuevo procedimiento técnico registral implementado, teniendo plazo para ello desde la entrada en vigencia de la presente resolución hasta el 31 de octubre de 2019.

ARTÍCULO 6°: Los responsables de Archivos, Registros, Bases o Banco de Datos Personales de carácter público estatal y público no estatal, deberán reempadronarse en el marco del nuevo procedimiento técnico registral implementado, teniendo plazo para ello desde la entrada en vigencia de la presente resolución hasta el 28 de febrero de 2019.

ARTÍCULO 7°: Sin perjuicio de los derechos de rectificación, actualización o supresión que ostenten los titulares de los datos personales, el responsable de los Archivos, Registros, Bases o Banco de Datos Personales, se encuentra obligado a implementar las medidas que considere pertinentes para mantenerlos debidamente actualizados ante el REGISTRO NACIONAL DE BASES DE DATOS de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.

ARTÍCULO 8°: La presente resolución entrará en vigencia a partir del día siguiente a su publicación en el Boletín Oficial de la República Argentina.

ARTÍCULO 9°: Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.

Eduardo Andrés Bertoni

11Ago/19

Resolución 40/2018 de 4 de julio de 2018, de la Agencia de Acceso a la Información Pública

Ciudad de Buenos Aires, 4 de julio de 2018

VISTO el EX-2018-17133991-APN-AAIP, la Ley n° 25.326, la Ley n° 27.275, el Decreto n° 1558 del 29 de noviembre de 2001, el Decreto n° 746 del 25 de septiembre de 2017, el Decreto n° 899 del 3 de noviembre de 2017, y

CONSIDERANDO:

Que por el artículo 19 de Ley n° 27.275 se creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA como ente autárquico con autonomía funcional, en la órbita de la JEFATURA DE GABINETE DE MINISTROS.

Que por el Decreto n° 746 del 25 de septiembre de 2017 se sustituyó el artículo 19 de la Ley de Acceso a la Información Pública n° 27.275, atribuyendo a la referida Agencia la facultad de actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales n° 25.326, y se incorporó como inciso t) al artículo 24 del capítulo IV de la de la Ley 27.275 de Derecho de Acceso a la Información Pública, la competencia de fiscalizar la protección integral de los datos personales asentados en archivos, registros, banco de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, y el acceso a la información que sobre las mismas se registre.

Que por el artículo 29 del ANEXO I al Decreto n° 1558 del 29 de noviembre de 2001, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES en el ámbito de la entonces SECRETARÍA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, para cumplir las funciones de órgano de control y autoridad de aplicación de la Ley de Protección de Datos Personales n° 25.326 y su reglamentación.

Que el Decreto n° 899 del 6 de noviembre 2017 reordenó el plexo regulatorio vigente en relación a las competencias asignadas a los organismos mencionados y de conformidad con los términos del artículo 19 de la Ley n° 27.275, sustituido por el artículo 11 del Decreto n° 746/17, atribuyó a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, el ejercicio de la función de órgano de control de la Ley n° 25.326, que hasta entonces detentaba la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

Que en virtud de lo expuesto, el Decreto n° 899/17 dispuso en su artículo 2° que toda referencia normativa a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se considerará referida a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.

Que en virtud de lo dispuesto en el art. 29, inciso 1º, acápite b) de la Ley nº 25.326, entre las facultades asignadas a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA se especifica la de “Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley”.

Que por el artículo 1° del Decisión Administrativa n° 1002 del 15 de noviembre de 2017 se aprobó la estructura organizativa de primer nivel operativo de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, y entre las acciones asignadas a través de su Anexo II a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, se especifica como punto 12 la de “Coordinar con organismos públicos o privados actividades de promoción y difusión de la protección de datos personales”.

Que con anterioridad a la presente la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS tomó medidas tendientes al afianzamiento de la cultura de protección de datos personales en los Organismos Públicos, en particular mediante la Disposición DNPDP nº 7 del 22 de agosto de 2008 mediante la cual aprobó la “Guía de Buenas Prácticas en Políticas de Privacidad para las Bases de Datos del Ámbito Público” y la Disposición DNPDP nº 5 del 27 de febrero de 2006 que aprobó el documento “Adecuación y Registro”.

Que se estima pertinente en esta nueva etapa profundizar la cultura de protección de datos personales en los Organismos Públicos a través de políticas específicas.

Que de acuerdo lo establecido por la Ley n° 25.326, artículo 5 inciso 2, apartado b), la recolección de datos personales para el ejercicio de las funciones propias de los poderes del Estado no requiere el consentimiento del titular de esos datos.

Que conforme el artículo 11 inciso 3, apartado c) de la Ley n°. 25.326, la cesión de datos personales entre organismos del Estado en forma directa tampoco requiere consentimiento del titular del dato en la medida que se realice en el cumplimiento de sus respectivas competencias. Sin embargo es recomendable que en un Estado de Derecho cualquier cesión entre organismos del Estado sea realizada con la mayor transparencia posible para un adecuado control de la ciudadanía y el pleno ejercicio de su derecho a la información, siendo indispensable a tal fin la publicidad de las cesiones y los eventuales convenios suscriptos.

Que se considera adecuado impulsar en los organismos del Estado, el diseño, la implementación y su consecuente publicidad, por los distintos medios de comunicación posibles, una política de tratamiento de datos personales.

Que para la eficacia de la política de tratamiento de datos personales es conveniente recomendar a los organismos estatales que posean bases de datos, la designación de un agente de planta permanente como “delegado de protección de datos personales” a fin de que cumpla la tarea de acompañar la implementación y control de cumplimiento de la política de protección de datos personales que se diseñe.

Que, asimismo, resulta necesario aprobar un documento modelo bajo el título de “POLÍTICA MODELO DE PROTECCIÓN DE DATOS PERSONALES PARA ORGANISMOS PÚBLICOS” que establezca las pautas básicas sugeridas en el diseño de las políticas de protección de datos personales que se propone en la presente resolución.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que le compete.

Que, la presente medida se dicta en uso de las facultades conferidas por el artículo 29, inciso 1, apartado b) de la Ley n° 25.326, modificatorios y complementarios.

Por ello,

EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1º.- Apruébase el documento “POLÍTICA MODELO DE PROTECCIÓN DE DATOS PERSONALES PARA ORGANISMOS PÚBLICOS”, que como Anexo I (IF-2018-31883807-APN-AAIP) forma parte integrante de la presente, como pauta básica sugerida para el diseño del documento que publicite la protección de datos personales de aquéllos organismos públicos titulares de bases de datos personales.

ARTÍCULO 2º.- Recomiéndase a los organismos públicos titulares de bases de datos personales la implementación de una política de protección de datos personales y su difusión en forma permanente y actualizada a través de los canales habituales de comunicación con el ciudadano que tenga a su disposición.

ARTÍCULO 3º.- Recomiéndase la designación de un agente de planta permanente como “delegado de protección de datos personales” a quien se le asignará la implementación y control de cumplimiento interno de la política de protección de datos personales indicada en el artículo 1º.

ARTÍCULO 4º.- Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese.

Eduardo Andrés Bertoni

23Jul/19

Decisión Administrativa 360/2019, de 9 de mayo de 2019, de la Agencia de Acceso a la Información Pública. DA-2019-360-APN-JGM – Facultades.

VISTO el Expediente EX-2019-14124676- -APN-DGDYD#JGM, las Leyes números 25.326, 26.951 y 27.275, los Decretos números 1558 de fecha 29 de noviembre de 2001 y modificatorios, 746 de fecha 25 de septiembre de 2017 y 899 de fecha 3 de noviembre de 2017, las Decisiones Administrativas números 1002 de fecha 15 de noviembre de 2017 y 295 de fecha 9 marzo de 2018 y modificatorias, y la Resolución de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA nº 1 de fecha 5 de diciembre de 2017; y

CONSIDERANDO:

Que el artículo 19 de la Ley nº 27.275, modificado por el Decreto nº 746 de fecha 25 de septiembre de 2017, creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA como ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, para velar por el cumplimiento de los principios y procedimientos establecidos en dicha ley, garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover medidas de transparencia activa y actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales nº 25.326.

Que por la Decisión Administrativa nº 1002/17 se aprobó la estructura de primer nivel operativo de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.

Que resulta menester facultar al titular de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, organismo descentralizado en la órbita de la JEFATURA DE GABINETE DE MINISTROS, a incorporar un cargo de nivel Coordinación a la estructura de segundo nivel operativo de la misma, aprobada por la Resolución de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA nº 1/17, la que será incorporada en el Nomenclador de Funciones Ejecutivas del Convenio Colectivo de Trabajo Sectorial del Personal del Sistema Nacional de Empleo Público (SINEP) de la citada Agencia, con Nivel IV.

Que por la Decisión Administrativa n° 295/18 y modificatorias se aprobó la estructura organizativa de primer y segundo nivel operativo de la JEFATURA DE GABINETE DE MINISTROS y se incorporaron, homologaron, reasignaron y derogaron cargos en el Nomenclador de Funciones Ejecutivas del Convenio Colectivo de Trabajo Sectorial del Personal del Sistema Nacional de Empleo Público (SINEP), homologado por el Decreto n° 2098/08 y modificatorios.

Que deviene necesario efectuar modificaciones en el citado Nomenclador de Funciones Ejecutivas del Convenio Colectivo de Trabajo Sectorial del Personal del Sistema Nacional de Empleo Público (SINEP), correspondiente a la JEFATURA DE GABINETE DE MINISTROS, mediante la sustitución de la Planilla anexa al artículo 3º de la Decisión Administrativa nº 295/18 y modificatorias.

Que han tomado la intervención de su competencia la DIRECCIÓN NACIONAL DE DISEÑO ORGANIZACIONAL de la JEFATURA DE GABINETE DE MINISTROS y la SECRETARÍA DE HACIENDA del MINISTERIO DE HACIENDA.

Que los Servicios Jurídicos Permanentes de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA y de la JEFATURA DE GABINETE DE MINISTROS han tomado la intervención de su competencia.

Que la presente medida se dicta en ejercicio de las facultades conferidas por el artículo 100, inciso 1, de la CONSTITUCIÓN NACIONAL, y por el artículo 16, inciso 31, de la Ley de Ministerios nº 22.520 (texto ordenado por Decreto n° 438/92) y sus modificatorias.

Por ello,

EL JEFE DE GABINETE DE MINISTROS

DECIDE:

ARTÍCULO 1º.- Facúltase al titular de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, organismo descentralizado actuante en la órbita de la JEFATURA DE GABINETE DE MINISTROS, a incorporar a la estructura organizativa de nivel inferior aprobada mediante la Resolución nº 1 de fecha 5 de diciembre de 2017, la Coordinación de Relaciones Institucionales y Comunicación, que a través de dicho acto será incorporada en el Nomenclador de Funciones Ejecutivas del Convenio Colectivo de Trabajo Sectorial del Personal del Sistema Nacional de Empleo Público (SINEP), homologado por el Decreto n° 2098/08 y modificatorios, de la citada Agencia, con Nivel IV.

ARTÍCULO 2º.- Sustitúyese la Planilla Anexa al artículo 3° de la Decisión Administrativa nº 295 de fecha 9 de marzo de 2018 y modificatorias, por la que, con igual denominación, obra en la planilla anexa al presente artículo (IF-2019-40586608-APN-DNDO#JGM), que forma parte integrante de la presente decisión administrativa.

ARTÍCULO 3º.- El gasto que demande el cumplimiento de la presente medida, será imputado con cargo a las partidas específicas del presupuesto vigente para el corriente ejercicio de la Jurisdicción 25 – JEFATURA DE GABINETE DE MINISTROS- y de la Entidad 209 – AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.

ARTÍCULO 4º.- Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.

Marcos Peña

Rogelio Frigerio