Agencia de acceso a la información pública: Guía de fiscalización en materia de datos personales
Abeledo Gottheil Abogados

La Agencia de Acceso a la Información Pública (“AAIP”), mediante la Resolución N° 332/2020 1 (en adelante, la “Resolución”), aprobó la “Guía de fiscalización en materia de Datos Personales” (en adelante, la “Guía”) conjuntamente con los “Lineamientos Jurídicos y Técnicos de Inspección” (en adelante, los “Lineamientos”), con la finalidad de establecer el proceso de fiscalización de cumplimiento de la Ley N° 25.326 de Protección de Datos Personales (“LPDP”).

 

Seguidamente comentamos los aspectos más relevantes que introduce la Resolución:

 

Guía de fiscalización en materia de Datos Personales:

 

  • El objetivo de la Guía consiste en la fiscalización, investigación y control de las actividades del responsable o usuario del tratamiento de datos personales.

     

  • En cuanto a su alcance, las inspecciones abarcarán aspectos tanto jurídicos como técnicos para el tratamiento de datos personales. Estos se enumeran a continuación:

     

a. Licitud del tratamiento;

 

b. Calidad de los datos personales tratados;

 

c. Consentimiento del titular del dato;

 

d. Información;

 

e. Categorías especiales de datos;

 

f. Seguridad;

 

g. Confidencialidad;

 

h. Cesión y transferencia internacional de datos personales;

 

i. Prestación de servicios de información crediticia;

 

j. Tratamiento de datos con fines de publicidad;

 

k. Procedimientos para el ejercicio de los derechos de los titulares de los datos personales, acceso, rectificación, actualización o supresión.

 

Asimismo, en los casos que corresponda, se tendrán en cuenta los siguientes aspectos:

 

a. Existencia de una evaluación de impacto en materia de protección de datos personales;

 

b. Términos y condiciones y política de privacidad del responsable;

 

c. Actuación del responsable o delegado de protección de datos;

 

d. Sistema de notificaciones a los titulares de datos y a la AAIP en caso de incidentes de seguridad.

 

  • Las inspecciones a realizar por la AAIP podrán ser planificadas o espontáneas. En ambos casos, el Director designado, podrá decidir evaluar uno o varios aspectos de los indicados en el punto anterior, siempre que lo considere relevante y se fundamente en razones específicas.

     

  • La Guía establece también, cuál será el procedimiento de denuncias por presunta actividad ilícita, es decir, conductas violatorias de los principios y obligaciones impuestos por la LPDP.

     

Las denuncias podrán ser realizadas ante la AAIP, por personas públicas o privadas -quienes, en todos los casos, tendrán carácter de terceros y no de parte- y la Dirección Nacional de Protección de Datos Personales (en adelante, “DNPDP”) evaluará su admisión y, en caso de desestimarla, deberá notificar al denunciante los fundamentos. Si la denuncia fuera procedente, se iniciará el proceso de inspección espontánea.

 

Es importante destacar que, para preservar las identidades de los denunciantes, estos procesos serán de carácter reservado.

 

  • Para cumplir con los fines de la Resolución, la AAIP implementará una planificación anual de inspecciones, en la que seleccionarán quienes serán los responsables inspeccionados, teniendo en cuenta los siguientes criterios, entre otros que pudieran corresponder:

     

a. Impacto del tratamiento de datos en la privacidad de las personas;

 

b. Volumen de tratamiento de datos;

 

c. Clase de datos tratados;

 

d. Cantidad de denuncias recibidas por el organismo;

 

e. Gravedad de las denuncias recibidas;

 

f. Actividad que desarrolla.

 

  • Las inspecciones serán realizadas en el marco de un expediente administrativo que tramitará dentro de la DNPDP. Los inspectores a designar deberán ser idóneos en la materia, con capacidad y conocimientos específicos de sus funciones. Los investigados serán notificados por correo postal en el que se le indicará el domicilio electrónico constituido por la AAIP, como así también la información y/o documentación que deberá cumplimentar en el plazo de diez (10) días hábiles administrativos de recibida la notificación. Luego la Resolución indica como continuará el procedimiento, desde la programación de la visita del inspector, los parámetros a seguir en elaboración del acta de la inspección, las facultades de los inspectores, cuáles serán las técnicas de investigación (verbales, oculares, documentales, técnicas), y la elaboración del informe final y cierre final de la investigación, entre otras cuestiones.

     

  • Asimismo, tanto los inspectores como la AAIP deben asegurar la seguridad y confidencialidad de la información a la que accedan y de los elementos de prueba que hubieran recolectado.

     

  • Por último, se indica que se aplicará supletoriamente la Ley N° 19.549 de Procedimientos Administrativos, para todo lo que no esté previsto en esta Guía.

     

Lineamientos para fiscalizar responsables o usuarios de bases de datos:

 

  • Los lineamientos de fiscalización indicados en la Resolución se dividen en dos tipos: (i) Lineamientos para verificaciones jurídicas y; (ii) Lineamientos para verificaciones técnicas.

     

  • Se enumeran a continuación cuáles serán los Lineamientos para verificaciones jurídicas:

     

1. Licitud del tratamiento y categorías especiales (Licitud del tratamiento en caso de datos sensibles/Tratamientos relativos a condenas e infracciones penales.)

 

2. Calidad de los datos

 

3. Consentimiento/Consentimiento de niños

 

4. Información

 

5. Seguridad y confidencialidad

 

6. Cesión de datos

 

7. Transferencia internacional de datos

 

8. Prestación de servicios de información crediticia

 

9. Publicidad

 

10. Derechos del titular de datos.

 

  • Por su parte, los Lineamientos para verificaciones técnicas serán los siguientes:

     

1. Recolección de datos

 

2. Control de acceso

 

3. Control de cambios

 

4. Respaldo y recuperación

 

5. Gestión de vulnerabilidades

 

6. Destrucción de la información

 

7. Gestión de incidentes

 

Conclusión:

 

Es importante destacar que tanto la Guía como los Lineamientos, orientan a las empresas que efectúan tratamiento de datos personales, no solo a cumplir con la LPDP, las disposiciones, resoluciones de la AAIP y demás normativa de datos personales en general, sino, asimismo, a que ese cumplimiento sea eficaz y satisfactorio.

 

En ese sentido, la Guía y los Lineamentos identifican los aspectos que serán evaluados en una eventual inspección, lo que permitirá de forma preventiva a las empresas, revisar sus políticas de protección de datos personales, ajustando y mejorando las mismas, de modo de limitar la exposición a una eventual sanción.

 

Finalmente, mencionamos que la Resolución deroga el anterior procedimiento de inspección aprobado por la Disposición N° 55/2016 de la entonces Dirección Nacional de Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos.

 

Para acceder al texto completo de la resolución comentada, ingrese aquí.

 

 

Abeledo Gottheil Abogados
Ver Perfil
Citas

1) Publicada en el Boletín Oficial de la Nación en fecha 31 de diciembre de 2020.

Artículos

Nueva normativa sobre lavado de activos - Creación del Registro de Proveedores de Servicios de Activos Virtuales
TCA Tanoira Cassagne
empleos
opinión
ver todos
Cambiar cambios que cambien … así las cosas …. no cambian
Por Santiago A. Gonzalez
Gonzalez & Schindler

El impago de la provisión de fondos del arbitraje: tres salidas del impasse
Por Esther Romay Jove (*)
Dunning Rievman & Macdonald LLP

Un nuevo pronunciamiento de la Corte Suprema de Justicia de la Nación sobre discriminación
Por Lucas J. Battiston
PASBBA Abogados

Responsabilidad de socios y administradores por créditos laborales – Alternativa disponible al abuso de jurisdicción
Por Juan Martin Crespo
Brons & Salas

detrás del traje
Gustavo Ariel Atta
De AVOA ABOGADOS
Nos apoyan
.
Bruchou & Funes de Rioja junto con TCA Tanoira Cassagne asesoran en la emisión de Obligaciones Negociables Clase XIV y XV de YPF Energía Eléctrica S.A.
.
Marval O’ Farrell Mairal y TCA Tanoira Cassagne asesoraron en la emisión de obligaciones negociables de Edenor por un monto de US$ 100.000.000
.
TCA asesoró en la compra de Evolución SGR
Paraguay
FERRERE asesora a familia Arréllaga en la formalización de su protocolo familiar
El despido directo en los términos del art. 247 LCT
La competencia de los juzgados contenciosos administrativos federales y los criterios material y normativo
La unificación de la responsabilidad contractual y extracontractual y la prescripción
La CNAT aplicó la jurisprudencia de la CSJN que limitó la forma de calcular los intereses en indemnizaciones laborales
Nueva normativa sobre lavado de activos - Creación del Registro de Proveedores de Servicios de Activos Virtuales
Teletrabajo en Zonas Francas: se flexibilizan condiciones para su implementación
Multas y daños punitivos: ¿qué pasó a un año de la modificación a la Ley de Defensa del Consumidor?
Reputación empresarial en peligro ante casos de violencia laboral. Cómo prevenirlo. Necesaria interacción entre las áreas de Compliance y recursos humanos