Con fecha 24/05/2024 se publicó en el Boletín Oficial la Resolución 126/2024 de la Agencia de Acceso a la Información Pública (en adelante, la “AAIP”) que tiene por finalidad: (i) aprobar la “Clasificación de infracciones” y el “Régimen de graduación de las sanciones por infracciones a las Leyes N° 25.326[1] y N° 26.951[2]”; (ii) aprobar la implementación del Registro Nacional “No Llame” y su sistema de gestión a través del sitio web https://nollame.aaip.gob.ar; (iii) aprobar el “Procedimiento para el alta, baja y cambio de titularidad de líneas telefónicas en el Registro Nacional ‘No Llame’ y consulta de trámites y denuncias”; (iv) aprobar el “Formulario para solicitar la consulta de inscriptos en el Registro Nacional “No Llame” FC.01”; y (v) establecer que la Dirección Nacional de Protección de Datos Personales (en adelante, la “DNPDP”) administrará el Registro de infractores de las Leyes Nº 25.326 y N° 26.951.
El objetivo de la Resolución 126/2024 de la AAIP (en adelante, la “Resolución”) consiste en agilizar los procedimientos administrativos, simplificarlos y reducir la dispersión de normas aplicables, a fin de brindar una respuesta rápida y transparente.
A continuación me referiré brevemente a los puntos más relevantes de la Resolución.
1. Clasificación de las infracciones[3]
Siguiendo el criterio vigente, la Resolución clasifica a las infracciones en leves, graves y muy graves.
1.1. Serán consideradas infracciones leves las siguientes conductas:
a) Efectuar tratamiento de datos personales sin encontrarse inscripto ante el Registro Nacional de Bases de Datos[4];
b) No informar en tiempo y forma modificaciones, actualizaciones o bajas ante el Registro Nacional de Bases de Datos;
c) No proporcionar en tiempo y forma la información que solicite la DNPDP;
d) No acompañar en tiempo y forma la documentación requerida en el marco de un procedimiento de inspección;
e) No respetar el principio de gratuidad previsto en los artículos 14 y 19 de la Ley N° 25.326 para el ejercicio de los derechos de los titulares de datos personales;
f) No informar las medidas de seguridad y confidencialidad implementadas cuando fuere solicitado por la DNPDP; y
g) No informar y, en caso de corresponder, acreditar si da cumplimiento de los requisitos exigidos para realizar cesiones de datos personales.
Ante la comisión de una infracción considerada leve, la AAIP podrá aplicar hasta dos apercibimientos y/o una multa de $1.000 a $80.000.
1.2. Serán consideradas infracciones graves las siguientes conductas:
a) No inscribir la base de datos en el Registro Nacional de Bases de Datos, cuando haya sido requerido por la DNPDP;
b) Declarar datos falsos o inexactos al efectuar la registración ante el Registro Nacional de Bases de Datos[5];
c) Tratar datos personales sin contar con una base de legitimación adecuada[6];
d) Recoger datos personales sin proporcionar a los titulares de los mismos el derecho de información exigida por el artículo 6° de Ley N° 25.326[7];
e) No atender en tiempo y forma la solicitud de los titulares de los datos personales de los derechos de acceso, rectificación o supresión cuando legalmente proceda[8];
f) Proceder al tratamiento de datos personales que no reúnan las calidades de ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido[9];
g) Incumplir el deber de confidencialidad y seguridad[10];
h) Mantener bases de datos locales, programas o equipos que contengan datos personales sin las debidas condiciones de seguridad;
i) Mantener por más tiempo que el establecido legalmente, el registro, archivo o cesión de los datos significativos para evaluar la solvencia económico-financiera de los titulares de los datos;
j) Tratar, dentro de la prestación de servicios de información crediticia, datos personales patrimoniales que excedan la información relativa a la solvencia económica y al crédito del titular de tales datos;
k) No retirar o bloquear el nombre y dirección de correo electrónico de los bancos de datos destinados a publicidad cuando su titular lo solicite de conformidad con lo previsto en el artículo 27, inciso 3, de la Ley N° 25.326;
l) Contactar con el objeto de publicidad, oferta, venta o regalo de bienes o servicios utilizando los servicios de telefonía en cualquiera de sus modalidades a quienes se encuentren debidamente inscriptos ante el Registro Nacional “No Llame”;
m) Utilizar los servicios de telefonía en cualquiera de sus modalidades para publicitar, ofertar, vender o regalar bienes o servicios sin haber obtenido la habilitación de usuario autorizado para la descarga de la lista de inscriptos ante el Registro Nacional “No Llame”;
n) No adoptar las medidas que garanticen el cumplimiento de la Ley N° 26.951, en campañas donde se contraten empresas tanto en el país como en el exterior que utilicen los servicios de telefonía en cualquiera de sus modalidades para publicitar, ofertar, vender o regalar bienes o servicios;
o) Obstruir el ejercicio de la función de inspección y fiscalización a cargo de la DNPDP;
p) No dar respuesta a los requerimientos cursados por la DNPDP en el ejercicio de las competencias que tiene atribuidas; y
q) Hacer tratamiento de datos personales mediante videocámaras sin cumplir con los requisitos exigidos.
En el caso de las infracciones graves la sanción a aplicar será de hasta 4 apercibimientos, suspensión de 1 a 30 días y/o multa de $ 80.001 a $ 90.000.
1.3. Serán consideradas infracciones muy graves las siguientes conductas:
a) Omitir denunciar, con motivo del tratamiento de datos personales en Internet, el domicilio legal y demás datos identificativos del responsable, sea ante el Registro Nacional de Bases de Datos como así también en su política de privacidad, de modo tal que mediante dicha conducta afecte el ejercicio de los derechos del titular del dato y la actividad de contralor de la DNPDP;
b) Conformar un archivo de datos cuya finalidad sea contraria a las leyes o a la moral pública[11];
c) Recoger datos personales mediante ardid, engaño o fraude a la ley[12];
d) Tratar datos personales en forma ilegítima o con menosprecio de los principios y garantías establecidos en Ley N° 25.326 y normas reglamentarias;
e) Realizar acciones concretas tendientes a impedir u obstaculizar el ejercicio por parte del titular de los datos de los derechos reconocidos en la Ley N° 25.326;
f) Mantener datos personales inexactos o no efectuar las rectificaciones, actualizaciones o supresiones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares de datos personales y haya sido intimado previamente por DNPDP;
g) Transferir datos personales de cualquier tipo a países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados[13], salvo las excepciones legales previstas, sin haber cumplido los demás recaudos legales previstos;
h) Ceder ilegítimamente los datos personales fuera de los casos en que tal accionar esté permitido;
i) Recolectar y tratar datos sensibles sin que medie el consentimiento del titular de los datos, razones de interés general autorizadas por ley o sean tratados con finalidades estadísticas/ científicas sin la debida anonimización[14];
j) Formar bases de datos que almacenen información que directa o indirectamente revele datos sensibles;
k) Incumplir el deber de confidencialidad y seguridad respecto de los datos sensibles, así como de los que hayan sido recabados y tratados para fines penales y contravencionales;
l) No cesar en el uso y tratamiento ilegítimo de datos personales cuando sea requerido para ello por el titular y/o por la DNPDP; y
m) Realizar maniobras tendientes a sustraerse o impedir el desarrollo de la actividad de contralor de la DNPDP.
En el caso de infracciones muy graves se aplicarán hasta seis apercibimientos, suspensión de 31 a 365 días, clausura o cancelación de la base de datos y/o multa de $90.001 a $100.000[15].
En todos los casos, además de las sanciones que se apliquen, la Dirección Nacional de Protección de Datos Personales podrá imponer una obligación de hacer con el objeto de que cese en el incumplimiento que diera origen a la sanción, y disponer la capacitación obligatoria en materia de protección de datos personales para evitar que la conducta infractora se repita.
2. Régimen de graduación de las sanciones
Conforme indica la Resolución, la aplicación y cuantía de las sanciones se graduará atendiendo a: a) la naturaleza y dimensión del daño o peligro de los derechos personales afectados; b) el beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción; c) la reincidencia en la comisión de la infracción; d) la resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la Autoridad de aplicación; e) el incumplimiento de los requerimientos u órdenes impartidas por la Autoridad de Aplicación; f) el reconocimiento o aceptación expresa que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar; g) la condición económica del infractor; h) la adopción demostrada de medidas correctivas y mecanismos y procedimientos internos capaces de minimizar el daño, tendientes al tratamiento seguro y adecuado de los datos; i) la proporcionalidad entre la gravedad de la falta y de la sanción; j) la afectación de datos personales de niños, niñas y adolescentes; k) el volumen de los datos tratados; l) la categoría de datos personales afectados; m) el grado de intencionalidad; n) los daños y perjuicios causados a las personas interesadas; o) ante incidentes de seguridad, se considerará como atenuante la colaboración con la DNPDP y la implementación demostrada de medidas preventivas y correctivas, así como los mecanismos y procedimientos internos capaces de minimizar el daño por parte del responsable o encargado de tratamiento; y p) otros que pueda considerar la Autoridad de Aplicación según la naturaleza del caso.
Asimismo, es importante destacar que: (i) cuando el acto administrativo condenatorio incluya más de una sanción pecuniaria por idéntica conducta sancionable, se aplicará un tope al monto total de la multa por dichas conductas equivalente al máximo de la escala que corresponda según la gravedad de las infracciones cometidas, multiplicado por 500 (quinientos); (ii) se considerará reincidencia cuando la infracción se vuelva a cometer dentro de los 3 (tres) años de la notificación de la primera infracción; (iii) si la multa se paga voluntariamente, dentro de los 20 (veinte) días hábiles de notificada, se reducirá en un 50% (cincuenta por ciento) y, si además de la multa, la sanción incluía una obligación de hacer, debe acreditarse el principio de cumplimiento de dicha obligación.
3. Registro Nacional No Llame
A través del sitio web https://nollame.aaip.gob.ar -previa acreditación de identidad por RENAPER o Mi Argentina- los titulares o usuarios de servicios de telefonía, en cualquiera de sus modalidades podrán realizar los trámites de alta, baja y cambio de titularidad.
A través del mismo sitio web podrán realizarse las denuncias las 24 horas del día. Es importante destacar que las actuaciones se abrirán cuando una persona humana o jurídica obtenga 100 denuncias en su contra, y podrán acumularse en un mismo expediente administrativo hasta un máximo de 500 denuncias.
La DNPDP podrá, previo informe fundado, seguir una pauta diferente en relación a la cantidad de denuncias acumuladas, siempre que medie justa causa.
En el caso en que las personas denunciadas no acumulen el mínimo de 100 denuncias en su contra, la DNPDP les informará, con una periodicidad anual, la cantidad de denuncias acumuladas con la finalidad de que adecuen su conducta a las pautas establecidas por la Ley N° 26.951. Las denuncias acumuladas no serán desestimadas pese a no alcanzarse el mínimo previsto en la norma.
Ahora bien, quienes publiciten, oferten, vendan o regalen bienes o servicios utilizando como medio de contacto los servicios de telefonía, en cualquiera de sus modalidades, se encuentran obligados a consultar, por lo menos cada 30 días las líneas incluidas en el Registro Nacional “No Llame”, en forma previa al procedimiento de contacto.
A tal efecto, los usuarios y/o responsables de la base de datos podrán utilizar un medio de consulta automatizado[16], puesto a disposición por la AAIP o realizar la consulta "uno a uno" utilizando el registro público disponible en el sitio web https://nollame.aaip.gob.ar.
4. Registro de Infractores
La Resolución establece que la Dirección Nacional de Protección de Datos Personales administrará el Registro de infractores de las Leyes Nº 25.326 y N° 26.951, el que tendrá como objetivos:
(a) Organizar y mantener actualizado un registro de los responsables de la comisión de infracciones a las Leyes Nº 25.326 y N° 26.951.; y (b) Hacer constar en el legajo que se instrumente al respecto la calidad de la falta cometida, la sanción aplicada, el grado de acatamiento de la misma, los recursos planteados, la decisión final recaída, la calidad de reincidente del infractor y todo otro elemento de juicio que sea de interés para la Dirección Nacional de Protección de Datos Personales.
Finalmente, es importante mencionar que la Resolución entrará en vigencia el 1/06/2024[17].
Citas
[1] Ley de Protección de Datos Personales y Habeas Data
[2] Creación del Registro Nacional No Llame
[3]
[4] La obligación de inscripción de las bases de datos con datos personales ante el Registro Nacional de Bases de Datos surge del artículo 3 de la Ley N° 25.326.
[5] Es importante destacar que esta conducta podría ser, además, ser encuadrada en el delito del artículo 157 bis del Código Penal.
[6] El artículo 5 de la Ley de Protección de Datos Personales establece que el tratamiento de datos personales es lícito cuando se obtienen con su consentimiento libre, expreso e informado. No obstante, en el mismo artículo se describen una serie de excepciones en las que puede ampararse el responsable del tratamiento para tratar datos personales sin el consentimiento de su titular. Adicionalmente, la Resolución AAIP 4/2019 incorporó el requisito de validación de identidad. En consecuencia, el responsable de la base de datos deberá acreditar que quien prestó el consentimiento sea el titular de los datos requeridos y no otra persona.
[7] Es decir: i) la finalidad para que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios; (ii) la existencia de la base de datos y la identidad y domicilio de su responsable; (iii) el carácter obligatorio o facultativo de brindar los datos personales solicitados; (iv) las consecuencias de proporcionar dichos datos o de la negativa a hacerlo o de la inexactitud de los mismos; y (v) la posibilidad del titular de los datos de ejercer los derechos de acceso, rectificación y supresión de los datos.
[8] Conforme artículos 14 y 16 de la Ley N° 25.326.
[9] Conforme artículo 4 de la Ley N° 25.326.
[10] Conforme artículos 9 y 10 de la Ley N° 25.326.
[11] El artículo 3 de la Ley N°25.326 indica que “(…) Los archivos de datos no pueden tener finalidades contrarias a las leyes o a la moral pública”.
[12] El artículo 4, inc. 2 de la Ley N°25.326 establece que “La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la presente ley”.
[13] La Disposición 60/2016 enumera como países con legislación adecuada a: “Estados miembros de la Unión Europea y miembros del espacio económico europeo (EEE), Reino Unido de Gran Bretaña e Irlanda del Norte, Confederación Suiza, Guernsey, Jersey, Isla de Man, Isla Feroe, Canadá sólo respecto de su sector privado, Principado de Andorra, Nueva Zelanda, República Oriental del Uruguay y Estado de Israel sólo respecto de los datos que reciban un tratamiento automatizado”. Asimismo, dispone un contrato modelo para celebrar en aquellos casos dónde la transferencia se realice a países no adecuados. De este modo, se equipara contractualmente la falta de legislación adecuada.
[14] Es importante destacar que el inc. 3 del artículo 7 de la Ley N° 25.326 indica que: “Queda prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la Iglesia Católica, las asociaciones religiosas y las organizaciones políticas y sindicales podrán llevar un registro de sus miembros”.
[15] Es importante destacar que, conforme el artículo 31 de la Ley N° 25.326, se podrán aplicar las sanciones de apercibimiento, suspensión, multa de $ 1.000 $ 100.000, clausura o cancelación de las bases de datos.
[16] Para ello deberán encontrarse debidamente inscripto en el Registro Nacional de Bases de Datos Personales y haber declarado la base de datos que utilizará para realizar campañas publicitarias telefónicas, completar la solicitud y acompañar la documentación y/o información que se indique. El trámite se realizará por única vez, pero es de carácter obligatorio mantener los datos declarados actualizados.
[17] A partir de la entrada en vigencia de la Resolución quedan derogadas la Disposición de la DNPDP N° 7/05 y las Resoluciones de la AAIP Nº 12/18; N° 240/22; N° 243/19 y N° 244/22.
Opinión
Brons & Salas
opinión
ver todosKabas & Martorell
PASBBA
NORDELTA S.A.