La Agencia de Acceso a la Información Pública (“AAIP”), mediante la Resolución N° 332/2020 1 (en adelante, la “Resolución”), aprobó la “Guía de fiscalización en materia de Datos Personales” (en adelante, la “Guía”) conjuntamente con los “Lineamientos Jurídicos y Técnicos de Inspección” (en adelante, los “Lineamientos”), con la finalidad de establecer el proceso de fiscalización de cumplimiento de la Ley N° 25.326 de Protección de Datos Personales (“LPDP”).
Seguidamente comentamos los aspectos más relevantes que introduce la Resolución:
Guía de fiscalización en materia de Datos Personales:
El objetivo de la Guía consiste en la fiscalización, investigación y control de las actividades del responsable o usuario del tratamiento de datos personales.
En cuanto a su alcance, las inspecciones abarcarán aspectos tanto jurídicos como técnicos para el tratamiento de datos personales. Estos se enumeran a continuación:
a. Licitud del tratamiento;
b. Calidad de los datos personales tratados;
c. Consentimiento del titular del dato;
d. Información;
e. Categorías especiales de datos;
f. Seguridad;
g. Confidencialidad;
h. Cesión y transferencia internacional de datos personales;
i. Prestación de servicios de información crediticia;
j. Tratamiento de datos con fines de publicidad;
k. Procedimientos para el ejercicio de los derechos de los titulares de los datos personales, acceso, rectificación, actualización o supresión.
Asimismo, en los casos que corresponda, se tendrán en cuenta los siguientes aspectos:
a. Existencia de una evaluación de impacto en materia de protección de datos personales;
b. Términos y condiciones y política de privacidad del responsable;
c. Actuación del responsable o delegado de protección de datos;
d. Sistema de notificaciones a los titulares de datos y a la AAIP en caso de incidentes de seguridad.
Las inspecciones a realizar por la AAIP podrán ser planificadas o espontáneas. En ambos casos, el Director designado, podrá decidir evaluar uno o varios aspectos de los indicados en el punto anterior, siempre que lo considere relevante y se fundamente en razones específicas.
La Guía establece también, cuál será el procedimiento de denuncias por presunta actividad ilícita, es decir, conductas violatorias de los principios y obligaciones impuestos por la LPDP.
Las denuncias podrán ser realizadas ante la AAIP, por personas públicas o privadas -quienes, en todos los casos, tendrán carácter de terceros y no de parte- y la Dirección Nacional de Protección de Datos Personales (en adelante, “DNPDP”) evaluará su admisión y, en caso de desestimarla, deberá notificar al denunciante los fundamentos. Si la denuncia fuera procedente, se iniciará el proceso de inspección espontánea.
Es importante destacar que, para preservar las identidades de los denunciantes, estos procesos serán de carácter reservado.
Para cumplir con los fines de la Resolución, la AAIP implementará una planificación anual de inspecciones, en la que seleccionarán quienes serán los responsables inspeccionados, teniendo en cuenta los siguientes criterios, entre otros que pudieran corresponder:
a. Impacto del tratamiento de datos en la privacidad de las personas;
b. Volumen de tratamiento de datos;
c. Clase de datos tratados;
d. Cantidad de denuncias recibidas por el organismo;
e. Gravedad de las denuncias recibidas;
f. Actividad que desarrolla.
Las inspecciones serán realizadas en el marco de un expediente administrativo que tramitará dentro de la DNPDP. Los inspectores a designar deberán ser idóneos en la materia, con capacidad y conocimientos específicos de sus funciones. Los investigados serán notificados por correo postal en el que se le indicará el domicilio electrónico constituido por la AAIP, como así también la información y/o documentación que deberá cumplimentar en el plazo de diez (10) días hábiles administrativos de recibida la notificación. Luego la Resolución indica como continuará el procedimiento, desde la programación de la visita del inspector, los parámetros a seguir en elaboración del acta de la inspección, las facultades de los inspectores, cuáles serán las técnicas de investigación (verbales, oculares, documentales, técnicas), y la elaboración del informe final y cierre final de la investigación, entre otras cuestiones.
Asimismo, tanto los inspectores como la AAIP deben asegurar la seguridad y confidencialidad de la información a la que accedan y de los elementos de prueba que hubieran recolectado.
Por último, se indica que se aplicará supletoriamente la Ley N° 19.549 de Procedimientos Administrativos, para todo lo que no esté previsto en esta Guía.
Lineamientos para fiscalizar responsables o usuarios de bases de datos:
Los lineamientos de fiscalización indicados en la Resolución se dividen en dos tipos: (i) Lineamientos para verificaciones jurídicas y; (ii) Lineamientos para verificaciones técnicas.
Se enumeran a continuación cuáles serán los Lineamientos para verificaciones jurídicas:
1. Licitud del tratamiento y categorías especiales (Licitud del tratamiento en caso de datos sensibles/Tratamientos relativos a condenas e infracciones penales.)
2. Calidad de los datos
3. Consentimiento/Consentimiento de niños
4. Información
5. Seguridad y confidencialidad
6. Cesión de datos
7. Transferencia internacional de datos
8. Prestación de servicios de información crediticia
9. Publicidad
10. Derechos del titular de datos.
Por su parte, los Lineamientos para verificaciones técnicas serán los siguientes:
1. Recolección de datos
2. Control de acceso
3. Control de cambios
4. Respaldo y recuperación
5. Gestión de vulnerabilidades
6. Destrucción de la información
7. Gestión de incidentes
Conclusión:
Es importante destacar que tanto la Guía como los Lineamientos, orientan a las empresas que efectúan tratamiento de datos personales, no solo a cumplir con la LPDP, las disposiciones, resoluciones de la AAIP y demás normativa de datos personales en general, sino, asimismo, a que ese cumplimiento sea eficaz y satisfactorio.
En ese sentido, la Guía y los Lineamentos identifican los aspectos que serán evaluados en una eventual inspección, lo que permitirá de forma preventiva a las empresas, revisar sus políticas de protección de datos personales, ajustando y mejorando las mismas, de modo de limitar la exposición a una eventual sanción.
Finalmente, mencionamos que la Resolución deroga el anterior procedimiento de inspección aprobado por la Disposición N° 55/2016 de la entonces Dirección Nacional de Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos.
Para acceder al texto completo de la resolución comentada, ingrese aquí.
Citas
1) Publicada en el Boletín Oficial de la Nación en fecha 31 de diciembre de 2020.
Opinión
Berton Moreno IP Law
opinión
ver todosDanone
RDA Legal Abogados
Alfaro Abogados
PASSBA