Clasificación de las infracciones a la Ley de Protección de Datos Personales N° 25.326
Por Romina Iannello
AVOA Abogados

I. Introducción

 

En la República Argentina los datos personales tienen una protección especial dada por la Constitución Nacional (en adelante, la “CN”)[1] y la Ley Nº 25.326 de Protección de Datos Personales y Hábeas Data (en adelante, la “Ley de Protección de Datos Personales”)[2] que establece una serie de conceptos -presupuesto básico para que opere este marco de protección- y un conjunto de reglas y principios que procuran que los individuos tengan control sobre sus datos personales.

 

Frente al incumplimiento de dichas reglas y principios, el órgano de control tiene la atribución de imponer sanciones administrativas[3].

 

Recientemente, la Agencia de Acceso a la Información Pública -en su carácter de órgano de control de la Ley de Protección de Datos Personales a través de la Dirección Nacional de Protección de Datos Personales- (en adelante, la “AAIP”) dictó dos resoluciones que actualizan los criterios de gradualidad para imponer sanciones en caso de comprobarse infracciones a la Ley de Protección de Datos Personales. Me estoy refiriendo a (i) la Resolución N° 240/2022[4] (en adelante, la “Resolución 240/22”), que clasificó a las infracciones en leves, graves y muy graves y estableció un procedimiento de graduación de sanciones; y (ii) la Resolución N° 244/2022[5] (en adelante, la “Resolución 244/22” y conjuntamente con la Resolución 240/22, las “Resoluciones”), que modificó los topes máximos de las multas por infracciones a la Ley de Protección de Datos Personales cuando un acto administrativo condenatorio incluya más de una sanción pecuniaria por idéntica conducta sancionable dentro de cada uno de los niveles de “graduación de las sanciones”.

 

II. Clasificación de las infracciones por violación a la Ley de Protección de Datos Personales. Sanciones y topes máximos

 

Mediante el dictado de la Resolución 240/22, la AAIP clasificó las infracciones a la Ley de Protección de Datos Personales en leves, graves y muy graves[6], conforme se describe a continuación:

 

II. 1. Infracciones leves

 

Serán consideradas infracciones leves las siguientes conductas:

 

a) efectuar tratamiento de datos personales sin encontrarse inscripto ante el Registro Nacional de Bases Datos[7];

 

b) no informar en tiempo y forma modificaciones, actualizaciones o bajas de las bases de datos registradas ante el Registro Nacional de Bases de Datos;

 

c) No proporcionar en tiempo y forma la información que solicite la AAIP;

 

d) no acompañar en tiempo y forma la documentación requerida en el marco de un procedimiento de inspección;

 

e) no respetar el principio de gratuidad[8] para el ejercicio del titular de los datos personales de su derecho de rectificación, actualización o supresión de datos personales inexactos o incompletos que obren en registros públicos o privados;

 

Ante la comisión de una infracción considerada leve, la AAIP podrá aplicar hasta 2 (dos) apercibimientos y/o una multa[9] de $1.000 (mil pesos) a $80.000 (ochenta mil pesos)[10]. Sin perjuicio de ello, la AAIP podrá imponer a la sancionada una obligación de hacer con el objeto de que cese en el incumplimiento que diera origen a la sanción y la capacitación obligatoria en materia de protección de datos personales para evitar que la conducta que generó la infracción se produzca nuevamente.

 

II. 2. Infracciones graves

 

Por su parte, serán consideradas infracciones graves las siguientes acciones:

 

a) no inscribir la base de datos en el Registro Nacional de Bases de Datos cuando ello haya sido requerido por la AAIP;

 


b) declarar datos falsos o inexactos en las inscripciones ante el Registro Nacional de Bases de Datos[11];

c) tratar datos personales sin contar con una base de legitimación adecuada[12];

d) recolectar datos personales sin informar a los titulares de dichos datos personales[13]: (i) la finalidad para que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios; (ii) la existencia de la base de datos y la identidad y domicilio de su responsable; (iii) el carácter obligatorio o facultativo de brindar los datos personales solicitados; (iv) las consecuencias de proporcionar dichos datos o de la negativa a hacerlo o de la inexactitud de los mismos; y (v) la posibilidad del titular de los datos de ejercer los derechos de acceso, rectificación y supresión de los datos.

 

e) no atender en tiempo y forma la solicitud de los titulares de los datos personales de los derechos de acceso, rectificación o supresión cuando legalmente proceda[14];

 

f) Proceder al tratamiento de datos de carácter personal que no reúnan las calidades de ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido[15];

g) incumplir el deber de confidencialidad y seguridad sobre los datos personales incorporados en una base de datos[16];

 

h) mantener bases de datos locales, programas o equipos que contengan datos personales sin las debidas condiciones de seguridad que la normativa determina;

 

i) mantener por más tiempo que el establecido legalmente, el registro, archivo o cesión de los datos significativos para evaluar la solvencia económico-financiera de los titulares de los datos[17];

j) tratar, dentro de la prestación de servicios de información crediticia, datos personales patrimoniales que excedan la información relativa a la solvencia económica y al crédito del titular de tales datos;

 

k) no retirar o bloquear el nombre y dirección de correo electrónico de las bases de datos con finalidad de publicidad, cuando así lo solicite el titular de los datos[18];

 

l) usar ilegítimamente el isologo que identifica a los responsables inscriptos en el Registro Nacional de Bases de Datos[19];

 

m) contactar con el objeto de publicidad, oferta, venta o regalo de bienes o servicios utilizando los servicios de telefonía en cualquiera de sus modalidades a quienes se encuentren debidamente inscriptos ante el Registro Nacional “NO LLAME” creado por la Ley N° 26.951;

n) utilizar los servicios de telefonía en cualquiera de sus modalidades para publicitar, ofertar, vender o regalar bienes o servicios sin haber obtenido de la AAIP la habilitación de usuario autorizado para la descarga de la lista de inscriptos ante el Registro Nacional “NO LLAME”;

o) no adoptar las medidas que garanticen el cumplimiento de la Ley N° 26.951, en campañas donde se contraten empresas tanto en el país como en el exterior que utilicen los servicios de telefonía en cualquiera de sus modalidades para publicitar, ofertar, vender o regalar bienes o servicio;

p) obstruir el ejercicio de la función de inspección y fiscalización a cargo de la Dirección Nacional de Protección de Datos Personales; y

 

q) no dar respuesta a los requerimientos cursados por la AAIP en el ejercicio de las competencias que tiene atribuidas.

 

En el caso de las infracciones graves, la sanción a aplicar será de hasta 4 (cuatro) apercibimientos y/o suspensión de 1 (uno) a 30 (treinta) días y/o multas[20] que van de $80.001 (ochenta mil un pesos) a $90.000 (noventa mil pesos)[21].  Al igual que para el caso de las infracciones leves, la AAIP podrá, además, imponer a la sancionada una obligación de hacer con el objeto de que cese en el incumplimiento que diera origen a la sanción y la capacitación obligatoria en materia de protección de datos personales para evitar que la conducta que generó la infracción se produzca nuevamente.

 

II. 3. Infracciones muy graves

 

Finalmente, serán consideradas infracciones muy graves las acciones que se describen a continuación:

a) omitir denunciar, con motivo del tratamiento de datos personales en Internet, el domicilio legal y demás datos identificativos del responsable, sea ante el Registro Nacional de Bases de Datos como así también en su política de privacidad, de modo tal que mediante dicha conducta afecte el ejercicio de los derechos del titular del dato y la actividad de contralor de la AAIP;

 

b) formar una base de datos con una finalidad contraria a las leyes o a la moral pública[22];

 

c) recolectar datos personales mediante ardid, engaño o fraude a la ley[23].

d) tratar los datos personales en forma ilegítima o con menosprecio de los principios y garantías establecidos en Ley de Protección de Datos Personales;

 

e) realizar acciones concretas tendientes a impedir u obstaculizar el ejercicio por parte del titular de los datos de los derechos reconocidos en la Ley Protección de Datos Personales[24];

 

f) mantener datos personales inexactos o no efectuar las rectificaciones, actualizaciones o supresiones de los mismos cuando legalmente proceda y previamente hubiera sido intimado por la AAIP;

 

g) transferir datos personales a países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados[25];

 

h) ceder ilegítimamente los datos personales[26];

 

i) recolectar y tratar datos sensibles sin que medie el consentimiento del titular de los datos, razones de interés general autorizadas por ley o sean tratados con finalidades estadísticas/ científicas sin la debida anonimización;

 

j) formar bases de datos que directa o indirectamente revelen datos sensibles, salvo en los casos expresamente previstos en el art. 7, inc. 3 de la Ley de Protección de Datos Personales[27];

 

k) incumplir el deber de confidencialidad y seguridad respecto de los datos sensibles, así como de los que hayan sido recabados y tratados para fines penales y contravencionales;

l) no cesar en el uso y tratamiento ilegítimo de datos personales cuando sea requerido por el titular y/o por la AAIP; y

 

m) realizar maniobras tendientes a sustraerse o impedir el desarrollo de la actividad de contralor de la AAIP.

 

Para las infracciones muy graves la AAIP podrá aplicar hasta 6 (seis) apercibimientos[28] y/o suspensión de 31 (treinta y uno) a 365 (trescientos sesenta y cinco días) y/o clausura o cancelación de la base de datos y/o multa[29] de $90.001 (noventa mil un peso) a $100.000 (cien mil pesos)[30]. En este caso, la AAIP también podrá imponer a la sancionada una obligación de hacer con el objeto de que cese en el incumplimiento que diera origen a la sanción y la capacitación obligatoria en materia de protección de datos personales para evitar que la conducta que generó la infracción se produzca nuevamente.

 

II. 4. Gradualidad de las sanciones. Topes máximos

 

En el punto 6 del Anexo II de la Resolución 240/22 se establece que  la aplicación y cuantía de las sanciones se graduará atendiendo: (a) la naturaleza y dimensión del daño o peligro de los derechos personales afectados; (b) el beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción; (c) la reincidencia en la comisión de la infracción; (d) la resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la AAIP; (e) el incumplimiento de los requerimientos u órdenes impartidas por la AAIP; (f) el reconocimiento o aceptación expresa que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar; (g) la condición económica del infractor; (h) la adopción demostrada de medidas correctivas y mecanismos y procedimientos internos capaces de minimizar el daño, tendientes al tratamiento seguro y adecuado de los datos; (i) la proporcionalidad entre la gravedad de la falta y de la sanción; (j) si se han afectado datos personales de niños, niñas y adolescentes; (k) el volumen de los datos tratados; (l) la categoría de datos personales afectados, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas; y (m) la naturaleza del caso.

 

Asimismo, indica que, ante incidentes de seguridad, se considerará como atenuante la colaboración con la AAIP y la implementación demostrada de medidas correctivas, mecanismos y procedimientos internos capaces de minimizar el daño por parte del responsable o encargado de tratamiento.

 

Por su parte, en el punto 7 del Anexo II de la Resolución 240/22 se indica que cada infracción deberá ser sancionada en forma independiente, debiendo acumularse cuando varias conductas sancionables se den en las mismas actuaciones. Y, en los casos donde haya pluralidad de sujetos afectados y el acto administrativo condenatorio incluya más de una sanción pecuniaria por idéntica conducta sancionable, resultan aplicables los topes máximos previstos en la normativa vigente.

 

En este contexto, se dictó la Resolución 244/22 que modificó[31] los topes máximos de las multas por infracciones a la Ley de Protección de Datos Personales. Según dicha norma, cuando un acto administrativo condenatorio incluya más de una sanción pecuniaria por idéntica conducta sancionable, se considerarán los siguientes topes máximos: (a) para las infracciones leves: $ 3.000.000; (b) para las infracciones graves: $ 10.000.000; y (c) para las infracciones muy graves $15.000.000.

 

Teniendo en cuenta los avances tecnológicos y el nuevo paradigma del mercado, es importante que la AAIP haya actualizado la clasificación de las infracciones por incumplimiento a la Ley de Protección de Datos Personales -haciendo mención específica a infracciones por el tratamiento de datos en Internet- como así también la actualización de los montos de las multas. Las sanciones que la AAIP aplique deben, por un lado, sancionar las acciones violatorias a la Ley de Protección de Datos Personales y por otro, disuadir y desalentar conductas similares en el futuro.

 

Por otra parte, también es importante que dentro de los criterios que se tomarán en consideración para la graduación de las sanciones se consideren las medidas adoptadas por el infractor y los mecanismos de corrección y/o prevención que pueda acreditar haber realizado. Esto es, en definitiva, comenzar a transitar el camino de la responsabilidad proactiva adoptada por el Reglamento Europeo de Protección de Datos Personales.

 

 

AVOA Abogados
Ver Perfil
Citas

[1] Con la reforma constitucional del año 1994 se incorporó en el artículo 43 de la CN la acción de habeas data como una acción de amparo con la finalidad de que todas las personas puedan tomar conocimiento de los datos que sobre ella tengan y de su finalidad, siempre que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos.

[2] Sancionada en el año 2000 y reglamentada por el Decreto 1558/2001 de la Dirección Nacional de Protección de Datos Personales. Actualmente hay un proyecto de reforma y actualización de la Ley de Protección de Datos Personales presentado por la AAIP.

[3] Conforme art. 29 inc. f de la Ley de Protección de Datos Personales.

[4] Publicada en el Boletín Oficial el 5/12/2022.

[5] Publicada en el Boletín Oficial el 7/12/2022.

[6] La Resolución 240/22 derogó las Disposiciones de la Dirección Nacional de Protección de Datos Personales N° 9/2015 y N° 13/2015 y sustituyó los Anexos I y II de la Disposición de la Dirección Nacional de Datos Personales N°7/2005.

[7] La obligación de inscripción de las bases de datos con datos personales ante el Registro Nacional de Bases de Datos surge del art. 3 de la Ley de Protección de Datos Personales.

[8] Conforme art. 19 de la Ley de Protección de Datos Personales.

[9] Las multas deberán ser abonadas dentro de los 10 (diez) días hábiles administrativos desde su notificación. La falta de pago hará exigible su cobro por ejecución fiscal, constituyendo suficiente título ejecutivo el testimonio autenticado de la resolución condenatoria firme.

[10] En el punto 5 del Anexo II de la Resolución 240/22 se indica que las sanciones serán de aplicadas a los responsables o usuarios de bases de datos  públicos y privados destinados a dar informes, se hubieren inscripto o no en el Registro Nacional de Bases de Datos, ello sin perjuicio de las responsabilidades administrativas que pudieran corresponder a los responsables o usuarios de bases de datos públicos; de la responsabilidad por daños y perjuicios derivados de la inobservancia de la presente ley y de las sanciones penales que correspondan.

[11] Es importante destacar que esta conducta podría ser, además, ser encuadrada en el delito del art. 157 bis del Código Penal.

[12] El art. 5 de la Ley de Protección de Datos Personales establece que el tratamiento de datos personales es lícito cuando se obtienen con su consentimiento libre, expreso e informado. No obstante, en el mismo artículo se describen una serie de excepciones en las que puede ampararse el responsable del tratamiento para tratar datos personales sin el consentimiento de su titular.  Adicionalmente, la Resolución AAIP 4/2019 incorporó el requisito de validación de identidad. En consecuencia, el responsable de la base de datos deberá acreditar que quien prestó el consentimiento sea el titular de los datos requeridos y no otra persona.

[13] Conforme surge del art. 6 de la Ley de Protección de Datos Personales.

[14] Conforme art. 14 y 16 de la Ley de Protección de Datos Personales.

[15] Conforme art. 4 de la Ley de Protección de Datos Personales.

[16] Conforme art. 9 y 11 de la Ley de Protección de Datos Personales.

[17] Conforme art. 26 de la Ley de Protección de Datos Personales.

[18] Conforme art. 27, inc. 3 de la Ley de Protección de Datos Personales y la Disposición DNPDP N° 4/2009.

[19] El isologo fue aprobado por la Resolución AAIP N° 12/2018 y todos los responsables que tengan bases de datos registradas en el Registro Nacional de Bases de Datos pueden utilizarlo en sus sitios web como constancia de cumplimiento de la obligación de inscripción de las bases de datos.

[20] Me remito al comentario de la nota N° 9.

[21] Me remito al comentario de la nota N° 10.

[22] El art. 3 de la Ley de Protección de Datos Personales indica que “(…) Los archivos de datos no pueden tener finalidades contrarias a las leyes o a la moral pública”.

[23] El art. 4, inc. 2 de la Ley de Protección de Datos Personales establece que “La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la presente ley”.

[24] Todos los titulares de datos personales tienen los derechos de información, acceso, rectificación, actualización y supresión. Ello se encuentra regulado en los art. 13 a 20 de la Ley de Protección de Datos Personales. Adicionalmente, existen algunas limitaciones para el tratamiento automatizado de datos personales. En este sentido, con relación al ámbito público, la Ley de Protección de Datos Personales específicamente indica en el art. 20 que “Las decisiones judiciales o los actos administrativos que impliquen apreciación o valoración de conductas humanas, no podrán tener como único fundamento el resultado del tratamiento informatizado de datos personales que suministren una definición del perfil o personalidad del interesado. Los actos que resulten contrarios a la disposición precedente serán insanablemente nulos”. Si bien no existe una una previsión similar para el tratamiento automatizado en el ámbito privado, a través de la Resolución AAIP 4/2019 se previó que cuando se adopte una decisión basada en el tratamiento informatizado de datos personales que resulte perjudicial para su titular, éste podrá requerir una explicación sobre la lógica aplicada para adoptar dicha decisión. Si bien la Resolución 240/22 no indica expresamente si este último supuesto estaría incluido, una interpretación armónica del marco regulatorio en su conjunto permitiría sostener que una infracción a dicho supuesto también debería ser considerada una infracción muy grave.

[25] La Disposición 60/2016 enumera como países con legislación adecuada a: “Estados miembros de la Unión Europea y miembros del espacio económico europeo (EEE), Reino Unido de Gran Bretaña e Irlanda del Norte, Confederación Suiza, Guernsey, Jersey, Isla de Man, Isla Feroe, Canadá sólo respecto de su sector privado, Principado de Andorra, Nueva Zelanda, República Oriental del Uruguay y Estado de Israel sólo respecto de los datos que reciban un tratamiento automatizado”. Asimismo, dispone un contrato modelo para celebrar en aquellos casos dónde la transferencia se realice a países no adecuados. De este modo, se equipara contractualmente la falta de legislación adecuada.

[26] El articulo 11 inc. 1 de la Ley de Protección de Datos Personales establece que “Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo”.

[27] Es importante destacar que el inc. 3 del art. 7 de la Ley de Protección de Datos Personales indica que: “Queda prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la Iglesia Católica, las asociaciones religiosas y las organizaciones políticas y sindicales podrán llevar un registro de sus miembros”.

[28] La Resolución 240/22 indica que superados los 6 apercibimientos no podrá aplicarse nuevamente esta sanción.

[29] Me remito al comentario de la nota N° 9.

[30] Me remito al comentario de la nota N° 10.

[31] También derogó la Disposición DNPDP N° 71/2016.

Opinión

Aportes irrevocables a cuenta de futuras suscripciones de acciones y nuevas normas de la IGJ: ¿resurgimiento como opción de financiamiento?
Por Dolores M. Gallo
Barreiro
detrás del traje
Diego Palacio
De PALACIO & ASOCIADOS
Nos apoyan