Bienvenidos al blog de hábeas data financiero y protección de datos personales

Bienvenidos al blog de hábeas data financiero y protección de datos personales


Invito a participar en este espacio a los interesados en la protección de datos personales, con la finalidad del enriquecimiento conjunto y colaboración con la sociedad.

Toda persona tiene derecho a conocer sus datos personales, que se encuentren en archivos, bases o bancos de datos y en caso de falsedad o discriminación, exigir la supresión, rectificación, confidencialidad o actualización de aquéllos.

En Argentina, la protección de datos personales se rige principalmente por el artículo 43, párr. 3º de la Constitución Nacional, la ley 25.326 y su decreto reglamentario 1558/2001.


Pueden dejar comentarios, sugerencias o enviar artículos de interés para ser publicados en este blog.


E-mail: contacto@habeasdatafinanciero.com


sábado, 28 de noviembre de 2009

Fallo CNCom: Cusanelli c. BBVA-comentado

“Cusanelli Aníbal Pedro c/BBVA Banco Francés SA s/ amparo” CNCom. Sala A.
Buenos Aires, 14 de agosto de 2009.//-Y VISTOS:1.) La apelación.-Apeló el actor la sentencia dictada a fs. 111/115, toda vez que en ella no se condenó a la entidad bancaria demandada a notificar a las empresas de informes comerciales que toman información del Banco Central de la República Argentina (en adelante, BCRA) que debían rectificar los antecedentes que registraran sobre su persona.-Los agravios obran desarrollados a fs. 118/121 y fueron contestados a fs. 123/124.-2.) El accionante sostuvo que la información difundida por el demandado se encontraba desactualizada, contraviniendo el artículo 26, inciso 4°, de la ley N° 25.326 de Protección de los Datos Personales- (ver fs. 118 vta., primer y cuarto párrafos), no (…) obstante lo cual, según el criterio esgrimido por el Sr. Juez de grado, si deseara suprimir la información cuestionada de las empresas de informes comerciales, debería promover un proceso de habeas data contra cada una de esas empresas, que serían alrededor de 140 registradas en la D.N.B.D., lo que ocasionaría un indeseado aumento de la litigiosidad.-Agregó que, de conformidad a lo previsto en el artículo 11, inciso 4°, de la ley N° 25.326, el caso sub examine se trataría de un supuesto de cesión de información, siendo solidariamente responsables el Banco Francés -en su carácter de cedente-, el BCRA –cesionario- y, por interconexión con este último, todas las empresas de bases de datos que cuenten con información que identifique al demandado como acreedor del actor, lo que justificaría la legitimación pasiva del banco demandado y la extensión de la condena a las referidas empresas de informes comerciales.-3.) Los hechos del caso.-El actor instó la presente acción, a fs. 18/22, a los fines de que se ordenara a BBVA Banco Francés S.A. (en lo sucesivo, Banco Francés) suprimir los datos referidos a su persona que enviara a las bases de la Central de Deudores del BCRA y de Organización Veraz S.A. y que lo identificaban como deudor moroso en situación "5" (incobrable), por tratarse de información incorrecta, atento no haberse acreditado su origen, y porque –aún en caso de ser cierta- se encontraba excedido el plazo previsto por el artículo 26, inciso 4°, de la ley 25.326, con imposición de costas.-El emplazado contestó demanda, a fs. 51/53, señalando que, al 05/01/1994, el accionante mantenía una deuda con el banco por un monto de $ 10.000, a causa de un pagaré no cancelado, ascendiendo el saldo adeudado –a la fecha de la contestación de la demanda- a la suma de $ 37.415, en concepto de capital e intereses, lo que justificó que informara a Cusanelli como deudor en situación "5" (irrecuperable) ante la Central de Deudores del Sistema Financiero del BCRA, en cumplimiento de la normativa dispuesta por este último en su carácter de autoridad de superintendencia.-Explicó asimismo que, de conformidad con lo establecido por el artículo 26, inciso 4°, de la ley N° 25.326, procedió a dar de baja al accionante en la categoría "5", dejando de figurar en la Central de Riesgo Crediticio de Organización Veraz S.A. –a efectos de acreditar ello, acompañó un informe expedido por dicha empresa-, encontrándose en trámite la correspondiente baja en la Central de Deudores del BCRA.-Corrido el pertinente traslado de la referida contestación del emplazado, Cusanelli amplió su demanda -en los términos del artículo 42 de la ley N° 25.326-, a fs. 62/64, solicitando que se ordene a Banco Francés que comunique al BCRA, a Nosis Laboratorio de Investigación y Desarrollo S.A. y a todas las empresas proveedoras de informes comerciales, que cancelen y/o supriman de sus bases de datos la totalidad de la información generada por el requerido, inclusive la histórica, de la que surja que resulta acreedor del actor y que éste se encuentra incurso en mora.-Sustentó su pretensión en los informes emitidos por el BCRA y por Nosis que adjuntó, en los que se lo identifica como deudor en situación "5".-Asimismo, desconoció y negó la existencia del pagaré por $ 10.000 y que adeude a la demandada la suma de $ 37.415 en concepto de capital e intereses.-A su turno, Banco Francés contestó la ampliación de demanda, señalando que el accionante había sido dado de baja como deudor en categoría "5" en la base de deudores del BCRA, pasando a figurar sin deudas registradas, tal como surgiría del informe de esa entidad bancaria que acompañó.-Respecto a la pretensión de que notifique a todas las empresas que proveen información crediticia que eliminen de sus bases los datos referidos a la morosidad del actor, alegó que el banco no mantenía relación contractual que lo vincule con las entidades aludidas y que éstas recababan los datos para sus registros de la base de datos del BCRA.-Por último, manifestó que no se oponía a que oportunamente se oficie a las empresas de riesgo crediticio señaladas por la actora.-4.) El thema decidendum.-Delineado del modo expuesto el cuadro de situación de la controversia a la luz del agravio vertido por la parte actora en esta instancia, el thema decidendum en esta Alzada ha quedado centrado en determinar si resulta procedente la notificación a todas las entidades que proveen información crediticia el cese de la morosidad de Cusanelli respecto de Banco Francés.-5.) El amparo.-Como marco referencial, cabe señalar que el amparo es una acción de naturaleza excepcional, contemplada en la Constitucion Nacional para poner fin a situaciones de perjuicio que no pueden ser subsanadas por otra vía. Con acciones de este tipo se trata de restablecer rápidamente cierto orden quebrado, en un contexto de afectación de garantías constitucionales.-Entre las condiciones de procedencia de esta acción sumarísima se encuentran la necesidad de "reparación urgente del perjuicio" o "cesación inmediata de los efectos del acto lesivo" y que la cuestión "no deba sustanciarse por alguno de los procesos establecidos por este Código u otras leyes" (art. 321, CPCCN).-En este marco, destácase que la entidad bancaria demandada es un comerciante de alto grado de especialización, con obvia superioridad técnica sobre la actora. Ello la obliga a obrar con prudencia y conocimiento de su actividad profesional (conf. arts. 512, 902, y 909 Cód. Civil.;; CNCom., esta Sala, in re: "Jinkus, Juan c/ Citibank N.A", del 15/06/2004; idem, Sala B, in re: "Del Giovannino, Luis G. c/ Banco del Buen Ayre", del 01/11/2000, LL y ED, diarios del 12/12/2000, conf. Benélbaz, Héctor A., "Responsabilidad de los bancos comerciales...").-Consecuentemente, como principio, no es dable apreciar la conducta de la accionada con idénticos parámetros a los aplicables a un neófito, pues su actividad profesional debe ajustarse a un standard de responsabilidad agravada.-En este sentido, el cliente de un banco usuario de sus servicios se haya colocado, frente a la institución, en una situación de consumidor y, como pauta interpretativa general, autorizada doctrina sostuvo que el art. 954 del Código Civil admite una nueva lectura, en cuanto al consumidor: la inexperiencia es la ineptitud negocial, la falta de habitualidad en el intercambio y la ligereza surge nítida en la sociedad actual. No es ocioso destacar que el proveedor de bienes o servicios en estos tiempos no puede alegar el desconocimiento de errores o defectos, ni escudarse en su falta de intención maliciosa.-En tal línea de pensamiento, señala Mosset Iturraspe que el derecho del consumidor guarda relación íntima con el mercado y con sus "fallas"; cuanto mayor e importantes sean éstas, mayor será el rol que debe desempeñar como ordenamiento tuitivo (conf. CNCom., Sala B, in re: "Molinari Antonio Felipe c/ Tarrabuela Cía. Financiera S.A.", del 24/11/1999; conf. Mosset Iturraspe, Jorge, "Introducción al derecho al consumidor", en Revista del Derecho Privado y Comunitario, Ed. Rubinzal-Culzoni, 1996, Santa Fe, págs. 14 y 55, Doctrina Societaria, Ed. Errepar, Tomo XI, pág. 905).-6.) El llamado "derecho al olvido".-El artículo 26 de la ley N° 25.326 –publicada en el Boletín Oficial el 04/10/2000 y reglamentada por el decreto N° 1.558/2001, B.O. 03/12/2001-, ha consagrado en su inciso 4°, que "sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico-financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo extinga la obligación, debiéndose hacer constar dicho hecho".-De tal forma, se receptó legislativamente el llamado "derecho al olvido", disponiendo que la limitación temporal en el tratamiento de los datos relativos a la solvencia económica financiera de las personas tiene como plazo máximo los cinco (5) años.-Ha sostenido esta Sala que el "derecho al olvido" configura una limitación temporal para el acopio de la información crediticia de las personas, con el propósito de permitir la recuperación de aquel individuo que superó una situación adversa y procura reinsertarse en la actividad económica, circunstancia que resultaría prácticamente imposible si se permitiese que esta información se mantenga por un lapso indefinido de tiempo, ya que, como es de público conocimiento, es práctica generalizada que hoy en día, para efectuar cualquier solicitud de índole comercial, previamente, se suele requerir un informe crediticio de la persona en cuestión, obstaculizándose el acceso a créditos o la celebración de contratos en el caso de existir información negativa (conf. CNCom, esta Sala A, 30/09/2009, in re: "Yas Dardo Guido c/ Bankboston N.A. s/Sumarísimo").-Sentado ello, es posible sostener que este derecho tiene su principal fundamento en el hecho de que el mantenimiento de la información crediticia de un deudor en bancos de datos, cuando éste no ha incurrido en nuevos incumplimientos, lo perjudica en demasía, impidiéndole "volver a comenzar" (suerte de "fresh start") (conf. CNCom, esta Sala A, 30/09/2009, in re: "Yas...", op. cit.).-7.) Procedencia del agravio.-Hecho este encuadre de la acción de la que aquí se trata, como así también del obrar exigible a una entidad bancaria y del llamado "derecho al olvido", señálase que la presente demanda fue iniciada el 05/09/2007, siendo contestada por el emplazado con fecha 27/12/2007. En dicha presentación, Banco Francés afirmó que el accionante le adeudaba, al 05/01/1994, un pagaré no cancelado por un monto de $ 10.000, solicitando el rechazo de la acción en todas sus partes, no obstante lo cual, efectuó una suerte de allanamiento tácito a la pretensión del actor al proceder –de conformidad con lo solicitado en el escrito de inicio- a dejar de informarlo en situación "5" por haber transcurrido los cinco años previstos por el artículo 26, inciso 4°, de la ley N° 25.326, gestionando la baja de Cusanelli en la base de datos de Organización Veraz S.A. –lo cual acreditó con el informe agregado a fs. 50- y comprometiéndose a hacer lo propio respecto de la Central de Deudores del Sistema Financiero del BCRA. Respecto a esta última cuestión, sin embargo, se advierte que de la contestación brindada por el BCRA a fs. 96/103 surge que el actor fue calificado por el banco demandado como deudor moroso, por última vez, en noviembre de 2007, es decir, hasta el mes previo a la contestación de la demanda, por lo que el allanamiento podría reputarse efectivo, si bien ello no fue acreditado en la presentación referida.-Habiendo quedado demostrado en autos que Banco Francés informó al actor como deudor con calificación "5" (incobrable) ante el BCRA desde abril de 2003 hasta noviembre de 2007 (ver fs. 96/103), esto es -como se vio más arriba-, cuando la ley N° 25.326 (B.O. 02/11/2000) que consagró el derecho al olvido ya se encontraba vigente, y siendo que, según lo informado por el propio demandado, la deuda reclamada databa del 05/01/1994 –si bien esto no fue probado en autos, ello no fue materia de agravio-, el plazo de cinco años previsto por la norma para hacer efectivo el derecho al olvido había transcurrido holgadamente al momento de iniciarse el presente proceso (05/09/2007), no obstante lo cual, el informe comercial negativo subsistió, contraviniéndose de esta manera la normativa vigente al respecto.-Pues bien, el Sr. Juez de la anterior instancia declaró abstracta la presente acción de habeas data, al determinar que el demandado había demostrado haber rectificado la información que pretendía el actor con anterioridad al dictado de la sentencia, y desestimó la solicitud de que se condene al banco a notificar a cada una de las empresas que proveen información crediticia a efectos de que procedan a la actualización de sus antecedentes, por cuanto la normativa del BCRA nada ordena al respecto y en la base de deudores de éste, de la cual las entidades referidas extraen los datos para sus propias bases, el accionante ya no figuraba como deudor moroso. Finalizó aclarando que, en caso de que las aludidas empresas no procedieran a rectificar los datos cuestionados por el actor, éste podría proceder por la vía pertinente, si así lo creyera conveniente. Cabe señalar que se ha dicho -sin entrar en el debate doctrinario- que el habeas data y el amparo participan de la misma naturaleza jurídica, dado que el habeas data –como se ha visto-, procura la "reparación urgente del perjuicio" o la "cesación inmediata de los efectos del acto lesivo"; en el caso bajo estudio, ello se traduce en arbitrar los medios conducentes para rectificar los datos de las bases de las entidades de informes crediticios que, a todo evento, continúen identificando al actor como deudor moroso, lo cual no resulta sino una consecuencia del mantenimiento en el tiempo de la cuestionada calificación efectuada inicialmente por el banco demandado. En efecto, de presentarse eventualmente el supuesto aludido y seguirse la decisión criticada, se vería frustrada la finalidad de la acción, dilatando innecesariamente el mantenimiento de la calificación crediticia negativa de Cusanelli –con el consiguiente perjuicio que ello podría acarrear- y obligándolo a iniciar un nuevo proceso de hábeas data contra la/s empresa/s que mantuviera/n un dato desactualizado sobre su persona originado en el mismo informe que aquí se analiza y fuera mantenido por Banco Francés –como se vio- excediendo el plazo máximo permitido por la norma, violando su obligación de obrar con prudencia y conocimiento de su actividad profesional e impidiéndole al actor la posibilidad de volver a empezar, que propugna el "derecho al olvido", al obstaculizarle la celebración de contratos o el acceso al crédito.-En consecuencia, y toda vez que en autos no se ha probado que las distintas bases de datos comerciales hayan procedido a rectificar la calidad de deudor en categoría "5" de Cusanelli que fuera informada en su momento por la entidad demandada, con excepción de las pertenecientes a Organización Veraz S.A. (ver fs. 50), Nosis Laboratrio de Investigación y Desarrollo S.A. (ver fs. 85/87) y el BCRA (ver fs. 96/103), corresponde hacer lugar al agravio vertido por el quejoso, por lo que cabrá que Banco Francés o el accionante, en su defecto, notifiquen dicha situación a las empresas que el último de los señalados indique que mantienen la inscripción desactualizada.-8.) Régimen de imposición de costas.-Habida cuenta que lo aquí expuesto determina la modificación –aunque más no sea parcial- de la sentencia de grado y que esa circunstancia impone adecuar la distribución de costas efectuada en la anterior instancia, corresponde que este Tribunal se expida nuevamente sobre el particular, en orden a lo previsto por el artículo 279 del CPCCN.-Sentado ello, recuerdo que el principio general en esta materia es que la parte vencida en el juicio deba pagar todos los gastos de la contraria, pues éstos son corolario del vencimiento y se imponen no como sanción sino como el resarcimiento de los gastos causídicos que debe reembolsar el vencido (conf. CNCom., esta Sala A, 01/09/1987, in re: "Iglesias Enrique c/ Pianotours S.R.L."; idem, 28/04/1989 "Servigas del Interior S.A. (en liquidación) c/ Agip Argentina S.A. s / Ordinario").-La Corte Suprema ha resuelto en reiteradas oportunidades que el artículo 68 del CPCCN consagra el principio del vencimiento como criterio rector en materia de costas, el cual encuentra su razón de ser en el hecho objetivo de la derrota, de modo que quien resulta vencido debe cargar con los gastos que debió realizar la contraria para obtener el reconocimiento de su derecho (CSJN, Fallos, 312:889, entre muchos otros).-En este marco conceptual, no puede sino concluirse en que las costas de primera instancia deben ser impuestas al demandado, en atención a que su conducta motivó que el actor promoviera la presente demanda para lograr la rectificación de los datos informados (arts. 68 y 70, inc. 1°, CPCCN).-Respecto a las costas de Alzada, también corresponde imponerlas al requerido, en su condición de vencido (art. 68, CPCCN).-9.) Por todo ello, esta Sala RESUELVE:a. Admitir el recurso interpuesto por la parte actora;b. En consecuencia, modificar la sentencia apelada, ordenándose al demandado efectuar las notificaciones previstas en el punto 7;c. Imponer las costas del proceso, tanto en esta como en la anterior instancia, del modo establecido en el punto 8.-Devuélvase a primera instancia, encomendándose al Sr. Juez a quo disponer las notificaciones del caso con copia de la presente resolución. La Señora Juez de Cámara Dra. Isabel Míguez no interviene en la presente resolución por encontrarse en uso de licencia (art. 109 del Reglamento para la Justicia Nacional).//-Fdo.: María Elsa Uzal, Alfredo Arturo Kölliker FrersAnte mí: Valeria C. Pereyra, Prosecretaria de Cámara
Comentario al fallo.
Por Matilde Martínez
El caso: El accionante interpuso demanda contra el BBVA Banco Francés SA. para que suprimiera la información que difundía sobre su persona, la cual, lo calificaba como deudor moroso en clasificación 5 (incobrable), con fundamento en que tal información era incorrecta y aún cuando pudiera ser cierta, había transcurrido el plazo de caducidad establecido por el artículo 26, inc. 4 de la ley 25.326, de cinco años.Conforme constancias del fallo en análisis, la presunta deuda databa del 05/01/1994, la demanda fue iniciada 05/09/2007 y la contestación de la demanda el 27/12/2007.El Banco, al contestar la demanda efectuó “una suerte de allanamiento tácito a la pretensión del actor”, en cuanto a que procedió a dejar de informarlo como deudor con calificación 5 con fundamento en el art. 26, inc. 4 de la LPDP, notificando tal baja en Organización Veraz SA. y comprometiéndose ha efectuarlo en la Central de Deudores del BCRA. Ante esta instancia el actor amplió la demanda conforme lo establece el art. 42 de la ley 25.326, solicitando que se ordenara al Banco demandado que notificara al BCRA, a Nosis Laboratorio de Investigación y Desarrollo SA. y a todas las empresas proveedoras de informes comerciales para que supriman de sus bases de datos la totalidad de la información generada por el demandado donde surja que resulta acreedor del actor y que éste se encuentra en mora.El Juez de 1ra. Instancia declaró abstracta la acción de hábeas data por considerar que el demandado había demostrado la rectificación de la información antes del dictado de la sentencia y la solicitud para que se condenara al Banco a notificar a cada una de las empresas que proveen informes a efectos de que actualizaran la información, fue desestimada.La Cámara Nacional de Apelaciones en lo Comercial, Sala A, hizo lugar a la pretensión del actor ordenando que el “Banco Francés o el accionante, es su defecto, notifiquen dicha situación a las empresas que el último de los señalados indique que mantienen la inscripción desactualizada.”La Cámara mencionada expresa que la naturaleza jurídica del hábeas data procura la “reparación urgente del perjuicio” o la “cesación inmediata de los efectos del acto lesivo”; lo que en el caso se traduce en arbitrar los medios necesarios para rectificar los datos en las bases de datos de las empresas que aún continúen informando al actor como deudor moroso, “lo cual no resulta sino una consecuencia del mantenimiento en el tiempo de la cuestionada calificación efectuada inicialmente por el banco demandado.Nuestra opinión: En primer lugar queremos expresar nuestra adhesión a los fundamentos del fallo de la Cámara interviniente, pues consideramos que es un pronunciamiento ajustado a derecho.En relación al caso, es relevante recordar algunas prescripciones de la ley 25.326 de Protección de los Datos Personales. Así el art. 4º de la LPDP, determina la calidad que deben contener los datos personales sujetos a tratamiento, estableciendo que los mismos deben ser ciertos, adecuados, pertinentes y no excesivos con relación al ámbito y finalidad para los que se hubieran obtenido” además, deben ser “exactos y actualizarse en el caso de que ello fuera necesario.” No podrán utilizarse para fines distintos o incompatibles con aquellos para los cuales se hubieran recabado. Esto responde al principio de pertinencia de los datos. La recolección no podrá realizarse por medios desleales, fraudulentos o de forma contraria a la normativa sobre protección de datos personales. Aquí, la ley se refiere a la lealtad y buena fe con la que deben obrar los responsables de bancos de datos o archivos en todas las fases del tratamiento de datos personales. Asimismo, dispone el artículo citado que los datos total o parcialmente inexactos, deben ser suprimidos o sustituidos, respectivamente. Los datos incompletos deben completarse. La ley pone esta obligación en cabeza de los responsables de archivos o base de datos cuando tengan conocimiento de la inexactitud o carácter incompleto de la información de que se trate. Circunstancia por la cual, éstos, deberán tomar todos los recaudos necesarios para el cumplimiento de esta obligación. No obstante, los titulares de los datos poseen el derecho de solicitar la rectificación, actualización o supresión conforme lo prescribe el artículo 16 de la misma ley. Por último, el artículo en análisis, prescribe que los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados. En este caso como en el anterior analizado, la ley obliga a los responsables de archivos o bancos de datos a eliminar aquellos que ya no sean necesarios o pertinentes para la finalidad para la cual fueron almacenados, como por ejemplo los que resultan obsoletos, sin necesidad de que el titular de los datos lo requiera.Asimismo, el decreto 1558/01, reglamentario de la LPDP, en su artículo 4º le impone el deber a la Dirección Nacional de Protección de Datos Personales, de efectuar los controles de oficio, acerca del cumplimiento de las prescripciones de la ley, la que además tendrá la facultad de aplicar las sanciones por los incumplimientos en los que incurrieren los responsables de archivos o bancos de datos personales.El artículo 11 de la ley 25.326 de Protección de los Datos Personales, se ocupa de reglar la cesión de los datos personales. Esto es, su transferencia, transmisión o comunicación. En primer lugar el artículo mencionado establece que los datos de carácter personal objeto de tratamiento sólo pueden ser cedidos con el interés legítimo del cedente y del cesionario. El inciso 4º del mismo artículo prescribe que el cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y que éste responderá solidaria y conjuntamente por la observancia de las mismas ante el Organismo de Control y el titular de los datos de que se trate. Esta responsabilidad solidaria y conjunta establecida expresamente por la ley, está vinculada con el interés legítimo del cedente y cesionario.Por su parte el artículo 26 de la ley 25.326, en su inciso 4º establece que “Sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico-financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo extinga la obligación, debiéndose hacer constar dicho hecho.”Ahora bien, las normas señaladas, se encuentran íntimamente vinculadas al caso “Cusanelli” que veníamos estudiando. Habíamos visto que la presunta deuda (ya que no quedó probada) se habría producido el 05/01/94, y que la demanda se había iniciado el 05/09/07. Adicionalmente, del fallo surge que el actor fue informado como deudor moroso por la demandada, por última vez, en noviembre de 2007.Como fuera señalado los datos deben ser ciertos, adecuados, pero también pertinentes y no excesivos con relación al ámbito y finalidad para los que se hubieran obtenido. En los casos en que hayan dejado de ser pertinentes, o que resulten excesivos de acuerdo al ámbito y finalidad para los que fueron almacenados, los responsables de los archivos tienen la obligación de eliminarlos. Los cedentes y cesionarios son responsables conjunta y solidariamente por todas las obligaciones legales y reglamentarias sobre protección de datos carácter personal, ante los titulares de los datos y la Dirección Nacional de Protección de Datos Personales. En tanto, el art. 26 de la LPDP establece la pertinencia de los datos con la finalidad de evaluar la solvencia económica financiera de los afectados, los datos significativos para ello, de los últimos cinco años, plazo que se reducirá a dos en caso que se cancele la obligación.En el caso que estamos analizando y conforme los datos arriba indicados el plazo de cinco años establecidos por la norma citada se había cumplido ampliamente para la fecha en que se interpuso la demanda, motivo por el cual los datos del actor sobre la supuesta deuda en mora con el demandado debieron haber sido eliminados de todos los archivos o bases de datos de información crediticia. Tanto cedentes como cesionarios tienen la obligación de observar y cumplir las normas legales y reglamentarias creadas al efecto de la protección de los datos personales, siendo conjunta y solidariamente responsables.Con toda lógica la Cámara interviniente se pronuncia haciendo lugar a la pretensión del actor, en cuanto éste solicita que se ordene al banco demandado que notifique a todas las empresas proveedoras de informes comerciales que supriman la información negativa.Tal hecho debió haber ocurrido, conforme lo establece la ley 25.326 y la reglamentación, con anterioridad a la interposición de la demanda y por lo tanto no haber dado lugar a la misma, pues los responsables de archivos o bancos de datos deben tomar todos los recaudos necesarios para que la información cumpla con la calidad establecida en la ley mencionada. En cambio este recaudo no lo había cumplido el cedente de la información demandado en la causa, pues como se ha visto lo informó por última vez en la Central de Riesgo del BCRA, en noviembre de 2007. Tampoco la DNPDP había efectuado las intervenciones que le competen, en relación a los datos negativos del actor, en ninguna de las bases de datos donde figuran los mismos. (No consta en el fallo).Así, al actor no le quedó otra alternativa que iniciar las acciones legales dispuestas por la legislación, contra el cedente del dato, quién, además fue el generador de la información negativa, y no la suprimió, ni la notificó a su cesionario directo y reconocido como el BCRA, sino como consecuencia de la interposición de la demanda.Ante esta situación, el criterio del Tribunal aparece como muy razonable, poniendo en cabeza del demandado (generador-cedente) la obligación de notificar a todas las empresas proveedoras de informes comerciales tales circunstancias. Caso contrario, tal como opinó el Juez de 1ra. Instancia en la causa que estamos analizando, el actor se hubiera visto obligado a interponer una demanda judicial de hábeas data por cada empresa, con el costo que ello implicaría para el actor, la administración de justicia y por lo tanto para la sociedad toda. Estas resoluciones judiciales son siempre bienvenidas.

sábado, 21 de noviembre de 2009

Diputados dio media sanción a la mediación obligatoria

La noticia del Patagónico, a la que abajo remitimos, expresa que con la ley de mediación que obtuvo media sanción en la Cámara de Diputados el 18 del corriente mes, quedan excluidos los procesos de hábeas data, entre otros. En relación a la exclusión de los procesos de hábeas data, deseamos expresar nuestra opinión. Si bien es cierto que tales acciones se encuentran excluidas en el proyecto de ley, como también en la Ley de Mediación y Conciliación aún vigente, no implica prohibición. Como sabemos, la ley 25.326 de Protección de los Datos Personales, establece un proceso prejudicial como medida previa a la interposición de la acción de hábeas data en sede judicial. Como consecuencia de esta exigencia de la ley, consideramos que el proceso de mediación es una vía apta para el cumplimiento de la medida prejudicial que dispone la LPDP. No obstante ello, queremos dejar en claro, que siempre será optativa para las partes y nunca obligatoria. Dentro del ámbito de la mediación se pueden plantear todas las cuestiones concernientes a las acciones de hábeas data. Así se podrá ejercer el derecho de acceso a la información, aclarar todas las dudas, datos y exponer todas las explicaciones necesarias, como también exigir, si corresponde, la supresión, rectificación, actualización, etc. Asimismo se podrán efectuar dentro de tal ámbito, los reclamos por daños y perjuicios ocasionados por la información inapropiada que se derive de las acciones de hábeas data. DIPUTADOS APRUEBA PROYECTO QUE ESTABLECE MEDIACION PREVIA OBLIGATORIA El Patagonico Tampoco podrán actuar en los procesos de inhabilitación, de declaración de incapacidad y de rehabilitación; amparos, hábeas corpus, hábeas data e ... http://www.elpatagonico.net/index.php?item=viewlast&ref=ultimas&id=43781&sec=pol

lunes, 16 de noviembre de 2009

Artículo 43 de la Constitución Nacional

Art. 43.- Toda persona puede interponer acción expedita y rápida de amparo, siempre que no exista otro medio judicial más idóneo, contra todo acto u omisión de autoridades públicas o de particulares, que en forma actual o inminente lesione, restrinja, altere o amenace, con arbitrariedad o ilegalidad manifiesta, derechos y garantías reconocidos por esta Constitución, un tratado o una ley. En el caso, el juez podrá declarar la inconstitucionalidad de la norma en que se funde el acto u omisión lesiva.
Podrán interponer esta acción contra cualquier forma de discriminación y en lo relativo a los derechos que protegen al ambiente, a la competencia, al usuario y al consumidor, así como a los derechos de incidencia colectiva en general, el afectado, el defensor del pueblo y las asociaciones que propendan a esos fines, registradas conforme a la ley, la que determinará los requisitos y formas de su organización.
Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las fuentes de información periodística.
Cuando el derecho lesionado, restringido, alterado o amenazado fuera la libertad física, o en caso de agravamiento ilegítimo en la forma o condiciones de detención, o en el de desaparición forzada de personas, la acción de hábeas corpus podrá ser interpuesta por el afectado o por cualquiera en su favor y el juez resolverá de inmediato, aun durante la vigencia del estado de sitio.

viernes, 13 de noviembre de 2009

Estándares Internacionales sobre Protección de Datos y Privacidad

XXXI Conferencia Internacional de Protección de Datos y Privacidad.

Resolución de Madrid

Presentación
Es para mí un placer presentar la Propuesta Conjunta para la Redacción de Estándares Internacionales para la protección de la Privacidad, en relación con el Tratamiento de Datos de carácter personal, acogida favorablemente por la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada el 5 de noviembre de 2009 en Madrid.
La labor conjunta de los garantes de la privacidad de casi cincuenta países, bajo coordinación de la Agencia Española de Protección de Datos, ha desembocado en un texto que trata de plasmar los múltiples enfoques que admite la protección de este derecho, integrando legislaciones de los cinco continentes. Su carácter consensuado aporta dos valores añadidos esencialmente novedosos: de un lado, enfatiza la vocación universal de los principios y garantías que configuran este derecho; del otro, reafirma la factibilidad de avanzar hacia un documento internacionalmente vinculante, que contribuya a una mayor protección de los derechos y libertades individuales en un mundo globalizado, y por ello, caracterizado por las transferencias internacionales de información.
Desde este momento, las autoridades de supervisión y control de la privacidad asumimos la exigente tarea de difusión y promoción desde nuestro firme compromiso de garantizar a nuestros ciudadanos una mejor protección de la privacidad y de los datos de carácter personal.

ARTEMI RALLO LOMBARTE
DIRECTOR DE LA AGENCIA
ESPAÑOLA DE PROTECCIÓN DE DATOS

Propuesta Conjunta para la Redacción de Estándares Internacionales para la Protección de la Privacidad en relación con el tratamiento de Datos de Carácter Personal

Parte I: Disposiciones Generales

1. Objeto

El objeto del presente Documento es:
a. Definir un conjunto de principios y derechos que garanticen la efectiva y uniforme protección de la privacidad a nivel internacional, en relación con el tratamiento de datos de carácter personal; y
b. Facilitar los flujos internacionales de datos de carácter personal, necesarios en un mundo globalizado.

2. Definiciones

En el contexto del presente Documento, se entenderá por:
a. “Dato de carácter personal”: cualquier información concerniente a una persona física identificada o que pueda ser identificada a través de medios que puedan ser razonablemente utilizados.
b. “Tratamiento”: cualquier operación o conjunto de operaciones, sean o no automatizadas, que se aplique a datos de carácter personal, en especial su recogida, conservación, utilización, revelación o supresión.
c. “Interesado”: persona física cuyos datos de carácter personal sean objeto de tratamiento.
d. “Persona responsable”: persona física o jurídica, de naturaleza pública o privada que, sola o
en compañía de otros, decida sobre el tratamiento.
e. “Prestador de servicios de tratamiento”: persona física o jurídica, distinta de la persona responsable, que lleve a cabo un tratamiento de datos de carácter personal por cuenta de dicha persona responsable.

3 . Medidas adicionales

1. Los Estados podrán completar el nivel de protección definido en el presente Documento con otras medidas adicionales que garanticen una mejor protección de la privacidad en relación con el tratamiento de datos de carácter personal.
2. Las disposiciones del presente Documento constituirán base apropiada para permitir las transferencias internacionales de datos de carácter personal, cuando éstas se realicen según lo indicado en el apartado 15 del presente Documento.

4. Ámbito de aplicación

1. El presente Documento está dirigido a su aplicación a todo tratamiento de datos de carácter personal, total o parcialmente automatizado, o realizado de forma estructurada en caso contrario, llevado a cabo tanto por el sector público como por el privado.
2. La legislación nacional aplicable podrá establecer que las disposiciones del presente Documento no sean de aplicación al tratamiento de datos de carácter personal realizado por una persona física en el ejercicio de actividades relacionadas exclusivamente con su vida privada y familiar.

5. Excepciones

Los Estados podrán limitar el alcance de las disposiciones recogidas en los apartados 7 a 10 y 16 a 18 del presente Documento cuando sea necesario, en una sociedad democrática, para preservar la seguridad nacional, la seguridad pública, la protección de la salud pública, o la protección de los derechos y las libertades de los demás. Tales limitaciones deberán estar expresamente previstas por el derecho interno, de tal modo que se establezcan sus límites y se prevean las garantías adecuadas para preservar los derechos de los interesados.

Parte II: Principios básicos

6. Principio de lealtad y legalidad

1. Los tratamientos de datos de carácter personal se deberán realizar de manera leal, respetando
la legislación nacional aplicable y los derechos y libertades de las personas, de conformidad con lo previsto en el presente Documento y con los fines y principios de la Declaración Universal de Derechos Humanos y del Pacto Internacional de Derechos Civiles y Políticos.
2. En particular, se considerarán desleales aquellos tratamientos de datos de carácter personal
que den lugar a una discriminación injusta o arbitraria contra los interesados.

7. Principio de lealtad y legalidad

1. El tratamiento de datos de carácter personal deberá limitarse al cumplimiento de las finalidades determinadas, explícitas y legítimas de la persona responsable.
2. La persona responsable se abstendrá de llevar a cabo tratamientos no compatibles con las finalidades para las que hubiese recabado los datos de carácter personal, a menos que cuente con el consentimiento inequívoco del interesado.

8. Principio de proporcionalidad

1. El tratamiento de datos de carácter personal deberá circunscribirse a aquellos que resulten adecuados, relevantes y no excesivos en relación con las finalidades previstas en el apartado anterior.
2. En particular, la persona responsable deberá realizar esfuerzos razonables para limitar los datos de carácter personal tratados al mínimo necesario.

9. Principio de calidad

1. La persona responsable deberá asegurar en todo momento que los datos de carácter personal sean exactos, así como que se mantengan tan completos y actualizados como sea necesario para el cumplimiento de las finalidades para las que sean tratados.
2. La persona responsable deberá limitar el periodo de conservación de los datos de carácter personal tratados al mínimo necesario. De este modo, cuando los datos de carácter personal hayan dejado de ser necesarios para el cumplimiento de las finalidades que legitimaron su tratamiento deberán ser cancelados o convertidos en anónimos.

10. Principio de Transparencia

1. Toda persona responsable deberá contar con políticas transparentes en lo que a los tratamientos de datos de carácter personal que realice se refiere.
2. La persona responsable deberá facilitar a los interesados, al menos, información acerca de su identidad, de la finalidad para la que pretende realizar el tratamiento, de los destinatarios a los que prevé ceder los datos de carácter personal y del modo en que los interesados podrán ejercer los derechos previstos en el presente Documento, así como cualquier otra información necesaria para garantizar el tratamiento leal de dichos datos de carácter personal.
3. Cuando los datos de carácter personal hayan sido obtenidos directamente del interesado, la información deberá ser facilitada en el momento de la recogida, salvo que se hubiera facilitado con anterioridad a la persona responsable.
4. Cuando los datos de carácter personal no hayan sido obtenidos directamente del interesado, la información deberá ser facilitada en un plazo prudencial de tiempo, si bien podrá sustituirse por medidas alternativas cuando su cumplimiento resulte imposible o exija un esfuerzo desproporcionado a la persona responsable.
5. Cualquier información que se proporcione al interesado deberá facilitarse de forma inteligible, empleando para ello un lenguaje claro y sencillo, y ello en especial en aquellos tratamientos dirigidos específicamente a menores de edad.
6. Cuando los datos de carácter personal sean recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones establecidas en el presente apartado podrán satisfacerse mediante la publicación de políticas de privacidad fácilmente accesibles e identificables, que incluyan todos los extremos anteriormente previstos.

11. Principio de Responsabilidad

La persona responsable deberá:
a. adoptar las medidas necesarias para cumplir con los principios y obligaciones establecidos en el presente Documento y en la legislación nacional aplicable, y
b. dotarse de aquellos mecanismos necesarios para evidenciar dicho cumplimiento, tanto ante los interesados como ante las autoridades de supervisión en el ejercicio de sus competencias, conforme a lo establecido en el apartado 23.

Parte III: Legitimación para el tratamiento

12. Principio general de legitimación

1. Como regla general, los datos de carácter personal sólo podrán ser tratados cuando concurra
alguno de los siguientes supuestos:
a. Previa obtención del consentimiento libre, inequívoco e informado del interesado.
b. Cuando un interés legítimo de la persona responsable justifique el tratamiento, siempre y cuando no prevalezcan los intereses legítimos, derechos o libertades de los interesados;
c. Cuando el tratamiento sea preciso para el mantenimiento o cumplimiento de una relación jurídica entre la persona responsable y el interesado;
d. Cuando el tratamiento sea necesario para el cumplimiento de una obligación impuesta sobre la persona responsable por la legislación nacional aplicable, o sea llevado a cabo por una Administración Pública que así lo precise para el legítimo ejercicio de sus competencias;
e. Cuando concurran situaciones excepcionales que pongan en peligro la vida, la salud o la seguridad del interesado o de otra persona.
2. La persona responsable deberá habilitar procedimientos sencillos, ágiles y eficaces que permitan a los interesados revocar su consentimiento en cualquier momento, y que no impliquen demoras o costes indebidos, ni ingreso alguno para la persona responsable.

13 . Datos sensibles

1. Serán considerados sensibles aquellos datos de carácter personal:
a. Que afecten a la esfera más íntima del interesado; o
b. Cuya utilización indebida pueda:
i. Dar origen a una discriminación ilegal o arbitraria, o
ii Conllevar un riesgo grave para el interesado.
2. En particular, serán considerados sensibles aquellos datos de carácter personal que puedan revelar aspectos como el origen racial o étnico, las opiniones políticas o las convicciones religiosas o filosóficas; así como los datos relativos a la salud o a la sexualidad. La legislación nacional aplicable podrá establecer otras categorías de datos sensibles en caso de que concurran las circunstancias a las que se refiere el párrafo anterior.
3. La legislación nacional aplicable deberá establecer las garantías necesarias para preservar los derechos de los interesados, que deberán fijar condiciones adicionales para el tratamiento de datos de carácter personal considerados sensibles.

14 . Prestación de servicios de tratamiento

La persona responsable podrá realizar tratamientos de datos de carácter personal a través de uno
o varios prestadores de servicios de tratamiento, debiendo para ello:
a. Velar por que cada prestador de servicios de tratamiento garantice, al menos, el nivel de protección previsto en el presente Documento y en la legislación nacional aplicable; y
b. Articular la relación jurídica a través de un contrato u otro instrumento jurídico que permita acreditar su existencia, alcance y contenido, y que establezca el compromiso del prestador de servicios de tratamiento de cumplir con estas garantías y de asegurar que los datos de carácter personal sean tratados siguiendo las instrucciones de la persona responsable.


15. Transferencias Internacionales

1. Como regla general, podrán realizarse transferencias internacionales de datos de carácter personal cuando el Estado al que se transfieran dichos datos ofrezca, cuando menos, el nivel de protección previsto en el presente Documento.
2. Será posible realizar transferencias internacionales de datos de carácter personal a Estados que no ofrezcan el nivel de protección previsto en el presente Documento, cuando quien pretenda transferir dichos datos garantice que el destinatario ofrecerá dicho nivel de protección; dicha garantía podrá derivarse, por ejemplo, de cláusulas contractuales apropiadas. En particular, cuando la transferencia se lleve a cabo en el seno de organizaciones o de grupos multinacionales, dicha garantía podrán consistir en la existencia de normas internas de privacidad cuya observancia resulte vinculante.
3. Asimismo, cuando sea necesario en el marco de una relación contractual en beneficio del interesado, o para proteger un interés vital del interesado o de otra persona, o para el cumplimiento de una obligación legal para la salvaguarda de un importante interés público, la legislación nacional aplicable a quien pretenda transferir datos de carácter personal podrá permitir la transferencia internacional de datos de carácter personal a Estados que no ofrezcan el nivel de protección previsto en el presente Documento.
4. La legislación nacional aplicable podrá atribuir a las autoridades de supervisión previstas en el apartado 23 la facultad de autorizar, con carácter previo a su realización, todas o algunas de las transferencias internacionales de datos de carácter personal originadas en su jurisdicción. En todo caso, quien pretenda realizar una transferencia internacional de datos de carácter personal deberá poder acreditar que la transferencia cumple las garantías establecidas en el presente Documento, y en particular cuando así le fuera requerido por las autoridades de supervisión en cumplimiento de las facultades previstas en el apartado 23.2.


Parte IV: Derechos del interesado

16. Derecho de Acceso

1. El interesado tendrá derecho a recabar de la persona responsable, cuando así lo solicite, información relativa a los concretos datos de carácter personal objeto de tratamiento, así como al origen de dichos datos, a las finalidades de los correspondientes tratamientos y a los destinatarios o las categorías de destinatarios a quienes se comuniquen o pretendan comunicar dichos datos.
2. Cualquier información que se proporcione al interesado deberá facilitarse de forma inteligible, empleando para ello un lenguaje claro y sencillo.
3. La legislación nacional aplicable podrá limitar el ejercicio reiterado de estos derechos, que obligaría a la persona responsable a responder múltiples solicitudes en intervalos cortos de tiempo, excepto en aquellos casos en los que el interesado haga constar en su solicitud un interés legítimo.

17. Derecho de Rectificación y cancelación

1. El interesado tendrá derecho a solicitar a la persona responsable la rectificación o cancelación de los datos de carácter personal que pudieran resultar incompletos, inexactos, innecesarios o excesivos.
2. Cuando proceda, la persona responsable rectificará o cancelará los datos de carácter personal conforme a lo solicitado. Deberá, además, notificar este extremo a los terceros a quienes se hayan comunicado los datos de carácter personal, siempre que los mismos fueran conocidos.
3. La cancelación no procederá cuando los datos de carácter personal deban ser conservados para el cumplimiento de una obligación impuesta sobre la persona responsable por la legislación
nacional aplicable o, en su caso, por las relaciones contractuales entre la persona responsable y el interesado.

18 . Derecho de oposición

1. El interesado podrá oponerse al tratamiento de sus datos de carácter personal cuando concurra una razón legítima derivada de su concreta situación personal.
2. No procederá el ejercicio de este derecho de oposición en aquellos casos en los que el tratamiento sea necesario para el cumplimiento de una obligación impuesta sobre la persona responsable por la legislación nacional aplicable.
3. Cualquier interesado podrá oponerse, igualmente, a aquellas decisiones que conlleven efectos jurídicos basadas únicamente en un tratamiento automatizado de datos de carácter personal, excepto cuando la decisión hubiese sido expresamente solicitada por el interesado o sea precisa para el establecimiento, mantenimiento o cumplimiento de una relación jurídica entre la persona responsable y el propio interesado. En este último caso, el interesado debe tener la posibilidad de hacer valer su punto de vista, a fin de defender su derecho o interés.

18. Ejercicio de estos derechos

1. Los derechos previstos en los apartados 16 a 18 del presente Documento podrán ser ejercidos:
a. Directamente por el interesado, que deberá acreditar adecuadamente su identidad ante la persona responsable.
b. Por medio de representante, que deberá acreditar adecuadamente tal condición ante la persona
responsable.
2. La persona responsable deberá implementar procedimientos que permitan a los interesados ejercer los derechos previstos en los apartados 16 a 18 del presente documento de forma sencilla, ágil y eficaz, y que no conlleven demoras o costes indebidos, ni ingreso alguno para la persona responsable.
3. Cuando la persona responsable aprecie que, de acuerdo con la legislación nacional aplicable, no procede el ejercicio de los derechos previstos en la presente Parte, informará cumplidamente al interesado de los motivos que concurran en su apreciación.

Parte V: Seguridad

20. Derecho de oposición

1. Tanto la persona responsable como los prestadores de servicios de tratamiento deberán proteger los datos de carácter personal que sometan a tratamiento mediante aquellas medidas técnicas y organizativas que resulten idóneas en cada momento para garantizar su integridad, confidencialidad y disponibilidad. Tales medidas dependerán del riesgo existente, de sus posibles consecuencias para los interesados, del carácter especialmente sensible de los datos de carácter personal, del estado de la técnica y del contexto en el que se efectúe el tratamiento, así como de las obligaciones establecidas en la legislación nacional aplicable.
2. Los interesados deberán ser informados por parte de quienes intervengan en cualquier fase del tratamiento de cualquier infracción de seguridad que pudiese afectar de forma significativa a sus derechos patrimoniales o extrapatrimoniales, así como de las medidas adoptadas para su resolución.
Esta información deberá ser facilitada con antelación suficiente, para permitir la reacción de los interesados en defensa de sus derechos.

21. Deber de confidencialidad

La persona responsable y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal deberán respetar la confidencialidad de los mismos, obligación que subsistirá aun después de finalizar sus relaciones con el interesado o, en su caso, con la persona responsable.

Parte VI: Cumplimiento y Supervisión

22. Medidas proactivas

Los Estados incentivarán, a través de su derecho interno, el establecimiento por quienes intervengan en cualquier fase del tratamiento de medidas que promuevan el mejor cumplimiento de la legislación que resulte aplicable en materia de protección de datos. Entre dichas medidas podrán encontrarse, entre otras:
a. El establecimiento de procedimientos destinados a prevenir y detectar infracciones, que podrán basarse en modelos estandarizados de gobierno y/o gestión de la seguridad de la información.
b. La designación, de uno o varios oficiales de privacidad o de protección de datos, con cualificación, recursos y competencias suficientes para ejercer adecuadamente sus funciones de
supervisión.
c. La realización periódica de programas de concienciación, educación y formación entre los miembros de la organización destinados al mejor conocimiento de la legislación que resulte aplicable en materia de protección de la privacidad en relación con el tratamiento de datos de carácter personal, así como de los procedimientos establecidos por la organización a tal efecto.
d. La realización periódica de auditorías transparentes por parte de sujetos cualificados y preferentemente independientes, que verifiquen el cumplimiento de la legislación que resulte aplicable en materia de protección de la privacidad en relación con el tratamiento de datos de carácter personal, así como de los procedimientos establecidos por la organización a tal efecto.
e. La adaptación de aquellos sistemas y/o tecnologías de información destinados al tratamiento de datos de carácter personal a la legislación que resulte aplicable en materia de protección de la privacidad en relación con el tratamiento de datos de carácter personal, en particular al decidir acerca de sus especificaciones técnicas y en su desarrollo e implementación.
f. La puesta en práctica de estudios de impacto sobre la privacidad previos a la implementación de nuevos sistemas y/o tecnologías de información destinados al tratamiento de datos de carácter personal, así como a la puesta en práctica de nuevas modalidades de tratamiento de datos de carácter personal o a la realización de modificaciones sustanciales en tratamientos ya existentes.
g. La adhesión a acuerdos de autorregulación cuya observancia resulte vinculante, que contengan elementos que permitan medir sus niveles de eficacia en cuanto al cumplimiento y grado de protección de los datos de carácter personal, y establezcan medidas efectivas en caso de incumplimiento.
h. La implementación de planes de contingencias que establezca unas pautas de actuación en caso de que se verifique un incumplimiento de la legislación que resulte aplicable en materia de protección de la privacidad en relación con el tratamiento de datos de carácter personal, y que incluya al menos la obligación de determinar la causa y alcance de la vulneración que se haya producido, de describir sus efectos negativos y de adoptar las medidas necesarias para evitar que se reproduzca en el futuro.

23. Supervisión

1. En cada Estado existirán una o más o autoridades de supervisión que, de acuerdo con su derecho interno, serán responsables de supervisar la observancia de los principios establecidos en el presente Documento.
2. Dichas autoridades de supervisión deberán ser imparciales e independientes, y contarán con la cualificación técnica, las competencias suficientes y los recursos adecuados para conocer de las reclamaciones que le sean dirigidas por los interesados, y para realizar las investigaciones e intervenciones que resulten necesarias para garantizar el cumplimiento de la legislación nacional aplicable en materia de protección de la privacidad en relación con el tratamiento de datos de carácter personal.
3. En todo caso, y sin perjuicio de los recursos administrativos ante las citadas autoridades de supervisión, incluyendo el control jurisdiccional de sus decisiones, el interesado podrá acudir directamente a la vía jurisdiccional para hacer valer sus derechos conforme a las previsiones establecidas en la legislación nacional aplicable.

24. Cooperación y coordinación

1. Las autoridades de supervisión previstas en el apartado anterior procurarán cooperar entre sí en aras a una más uniforme protección de la privacidad en relación con el tratamiento de datos de carácter personal, tanto a nivel nacional como internacional. A los efectos de facilitar esta cooperación, los Estados deberán estar en disposición en todo momento de identificar las autoridades de supervisión competentes en su territorio.
2. Dichas autoridades realizarán, particularmente, los mayores esfuerzos para:
a. Compartir estudios, técnicas de investigación, estrategias comunicativas y de regulación y demás información que resulte de utilidad para el más eficaz ejercicio de sus funciones, en especial tras recibir una petición de apoyo por parte de otra autoridad de supervisión en el marco de una investigación o intervención;
b. Realizar investigaciones o intervenciones coordinadas, tanto a nivel nacional como internacional, en asuntos en los que concurra el interés de dos o más autoridades de supervisión;
c. Participar en asociaciones, grupos de trabajo y foros conjuntos, así como en seminarios, talleres o cursos que contribuyan a adoptar posturas comunes o a mejorar la cualificación técnica del personal que preste sus servicios a dichas autoridades de supervisión;
d. Mantener los niveles apropiados de confidencialidad con respecto a la información intercambiada en el curso de esta cooperación.
3. Los Estados impulsarán la creación de convenios de colaboración entre autoridades de supervisión, tanto regionales como nacionales o internacionales, que contribuyan a una más eficaz observancia del presente apartado.

25. Responsabilidad

1. La persona responsable será responsable de aquellos daños y/o perjuicios, tanto morales como materiales, que hubiesen causado a los interesados como consecuencia de un tratamiento de datos de carácter personal que hubiese vulnerado la legislación aplicable en materia protección de datos, a menos que pueda demostrar que el daño no le puede ser atribuido. Ello sin perjuicio de cualquier acción que la persona responsable pueda ejercer contra los prestadores de servicios de tratamiento que intervengan en cualquier fase del tratamiento.
2. Los Estados promoverán las medidas adecuadas para facilitar el acceso de los interesados a los correspondientes procesos, judiciales o administrativos, que les permitan obtener la reparación de los daños y/o perjuicios anteriormente mencionados.

3. La responsabilidad prevista en los párrafos anteriores existirá sin perjuicio de las sanciones penales, civiles o administrativas previstas, en su caso, por violación de la legislación nacional aplicable en materia de protección de la privacidad en relación con el tratamiento de datos de carácter personal.
4. La adopción de medidas proactivas como las previstas en el apartado 22 del presente Documento será tenida en cuenta al fijar la responsabilidad y las sanciones previstas en el presente apartado.

Resolución sobre Estándares Internacionales de Privacidad

PROPONENTES:
Agencia Española de Protección de Datos
Comisario Federal de Protección de Datos y la transparencia (Suiza)
Supervisor Europeo de Protección de Datos
Comisión Nacional de la Informática y de las Libertades (Francia)
Comisario de Protección de Datos de Irlanda
Oficina del Comisario de Privacidad de Canadá
Oficina para la Protección de los Datos Personales (República Checa)
Comisario Federal para la Protección de Datos (Alemania)
Garante para la Protección de Datos Personales (Italia)
Autoridad Holandesa de Protección de Datos
Comisario de Privacidad de Nueva Zelanda
Oficina del Comisario de Información (Reino Unido)

COPROPONENTES:
Agencia de Protección de Datos de Andorra
Agencia Catalana de Protección de Datos
Agencia de Protección de Datos de la Comunidad de Madrid
Agencia Vasca de Protección de Datos
Oficina del Supervisor de Protección de Datos la Isla de Man
Inspección de Protección de Datos de Estonia
Inspección Estatal de Protección de Datos (Lituania)
Comisario para la Protección de Datos de Berlín (Alemania)
Comisario de Protección de Datos de Schleswig-Holstein (Alemania)
Director Nacional de Protección de Datos Personales (Argentina)
Comisario de Protección de Datos (Malta)
Comisión de la Informática y las Libertades (Burkina-Faso)
Comisario de Protección de Datos Personales (Chipre)
Defensor de la Protección de Datos (Finlandia)
Comisario de Información (Eslovenia
Autoridad Griega de Protección de Datos

domingo, 1 de noviembre de 2009

Ley 1845. LPDP. CABA

Ley Nº 1845
Buenos Aires, 24 de noviembre de 2005.-

La Legislatura de la Ciudad Autónoma de Buenos Aires sanciona con fuerza de Ley

Ley de Protección de Datos Personales
Título I
Disposiciones Generales
Artículo 1°.- Objeto. La presente ley tiene por objeto regular, dentro del ámbito de la Ciudad de Buenos Aires, el tratamiento de datos personales referidos a personas físicas o de existencia ideal, asentados o destinados a ser asentados en archivos, registros, bases o bancos de datos del sector público de la Ciudad de Buenos Aires, a los fines de garantizar el derecho al honor, a la intimidad y a la autodeterminación informativa, de conformidad a lo establecido por el artículo 16 de la Constitución de la Ciudad de Buenos Aires.
Cuando los datos se refieran a información pública y no a datos personales será de aplicación la Ley N° 104 de la Ciudad de Buenos Aires.
En ningún caso se podrán afectar la base de datos ni las fuentes de información periodísticas.
Artículo 2°.- Ámbito de aplicación. A los fines de la presente ley se consideran incluidos dentro del sector público de la Ciudad de Buenos Aires a todos los archivos, registros, bases o bancos de datos de titularidad de los órganos pertenecientes a la administración central, descentralizada, de entes autárquicos, empresas y sociedades del estado, sociedades anónimas con participación estatal mayoritaria, sociedades de economía mixta y todas aquellas otras organizaciones empresariales donde el Estado de la Ciudad de Buenos Aires tenga participación en el capital o en la formación de las decisiones societarias, del Poder Legislativo y del Judicial, en cuanto a su actividad administrativa, y de los demás órganos establecidos en el Libro II de la Constitución de la Ciudad de Buenos Aires.
Artículo 3°.- Definiciones. A los fines de la presente ley se entiende por:
Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal, determinadas o determinables.
Datos sensibles: Aquellos datos personales que revelan origen racial o étnico, opiniones políticas, convicciones religiosas o morales, afiliación sindical, información referente a la salud o a la vida sexual o cualquier otro dato que pueda producir, por su naturaleza o su contexto, algún trato discriminatorio al titular de los datos.
Archivos, registros, bases o bancos de datos: Indistintamente, designan al conjunto organizado de datos personales objeto de tratamiento, cualquiera sea la modalidad o forma de su recolección, almacenamiento, organización o acceso, incluyendo tanto los automatizados como los manuales.
Tratamiento de datos: Cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, registro, organización, elaboración, extracción, utilización, cotejo, supresión, y en general, el procesamiento de datos personales, así como también su cesión a terceros a través de todo tipo de comunicación, consulta, interconexión, transferencia, difusión, o cualquier otro medio que permita el acceso a los mismos.
Titular de datos: Persona física o de existencia ideal cuyos datos sean objeto de tratamiento.
Responsable del archivo, registro, base o banco de datos: Persona física o de existencia ideal del sector público de la Ciudad de Buenos Aires que sea titular de un archivo, registro, base o banco de datos.
Encargado del tratamiento: Persona física o de existencia ideal, autoridad pública, dependencia u organismo que, solo o juntamente con otros, realice tratamientos de datos personales por cuenta del responsable del archivo, registro, base o banco de datos.
Usuario de datos: Persona física que, en ocasión del trabajo y cumpliendo sus tareas específicas, tenga acceso a los datos personales incluidos en cualquier archivo, registro, base o banco de datos del sector público de la Ciudad de Buenos Aires.
Fuentes de acceso público irrestricto: Exclusivamente, se entienden por tales a los boletines, diarios o repertorios oficiales, los medios de comunicación escritos, las guías telefónicas en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección o cualquier otro dato que indique de su pertenencia al grupo.
Título II
Del Régimen de los Archivos, Registros, Bases o Bancos de Datos
Artículo 4°.- Creación de archivos, registros, bases o bancos de datos:
1. La creación y mantenimiento de archivos, registros, bases o bancos de datos debe responder a un propósito general y usos específicos lícitos y socialmente aceptados. Los archivos de datos no pueden tener finalidades contrarias a las leyes o a la moral pública.
2. La formación de archivos de datos será lícita cuando se encuentren debidamente inscriptos, observando en su operación los principios que establece la presente ley y las reglamentaciones que se dicten en su consecuencia.
3. Las normas sobre creación, modificación o supresión de archivos, registros, bases o bancos de datos pertenecientes a organismos públicos deberán publicarse en el Boletín Oficial de la Ciudad de Buenos Aires e indicar:
a. Características y finalidad del archivo;
b. Personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u obligatorio de su suministro por parte de aquéllas;
c. Procedimiento de obtención y actualización de los datos;
d. Estructura básica del archivo, informatizado o no, y la descripción de la naturaleza de los datos personales que contendrán;
e. Las cesiones, transferencias o interconexiones previstas;
f. Órgano responsable del archivo, precisando dependencia jerárquica en su caso;
g. Dependencia ante la cual los ciudadanos pueden ejercer los derechos reconocidos por la presente ley.
4. En las disposiciones que se dicten para la supresión de los archivos, registros, bases o bancos de datos se establecerá el destino de los mismos o las medidas que se adopten para su destrucción.
5. Cuando se traten datos personales recolectados a través de internet, los sitios interactivos de la Ciudad de Buenos Aires deberán informar al titular de los datos personales los derechos que esta ley y la ley nacional les otorgan mediante una política de privacidad ubicada en un lugar visible de la página web.
Artículo 5°.- Tratamiento de datos personales efectuados por terceros. Cuando el responsable de un archivo, registro, base o banco de datos decida encargar a un tercero la prestación de servicios de tratamiento de datos personales, deberá requerir previamente la autorización del organismo de control, a cuyo efecto deberá fundar los motivos que justifican dicho tratamiento.
Los tratamientos de datos personales por terceros que sean aprobados por el organismo de control no podrán aplicarse o utilizarse con un fin distinto al que figure en la norma de creación de archivos, registros, bases o bancos de datos.
Los contratos de prestación de servicios de tratamiento de datos personales deberán contener los niveles de seguridad exigidos por la ley, así como también las obligaciones que surgen para los locatarios en orden a la confidencialidad y reserva que deben mantener sobre la información obtenida y cumplir con todas las provisiones de la presente ley a los fines de evitar una disminución en el nivel de protección de los datos personales.

Título III

Principios Generales de la Protección de Datos Personales
Artículo 6°.- Calidad de los datos. Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.
La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la presente ley.
Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas con aquéllas que motivaron su obtención.
Los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario para responder con veracidad a la situación de su titular.
Los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y sustituidos, o en su caso completados, por el responsable o usuario del archivo, registro, base o banco de datos cuando se tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate, sin perjuicio de los derechos del titular establecidos en el artículo 13 de la presente ley.
Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular.
Los datos personales deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados, sin necesidad de que lo requiera el titular de los mismos.
Artículo 7°.- Consentimiento.
1. El tratamiento de datos personales se considera ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias.
El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al titular de datos, en forma adecuada a su nivel social y cultural, de la información a que se refiere el artículo 18 inciso b) de la presente ley.
2. El consentimiento puede ser revocado por cualquier medio y en cualquier momento. Dicha revocación no tendrá efectos retroactivos.
3. No será necesario el consentimiento cuando:
Los datos personales se recaben para el ejercicio de funciones propias de los poderes de la Ciudad de Buenos Aires, o en virtud de una obligación legal;
Los datos personales se obtengan de fuentes de acceso público irrestricto;
Se trate de datos personales relativos a la salud de las personas y su tratamiento sea necesario por razones de salud pública y emergencia establecidas por autoridad competente y debidamente fundadas;
Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio;
Artículo 8°.- Datos sensibles.
1. Ninguna persona puede ser obligada a proporcionar datos sensibles. En particular no se podrá solicitar a ningún individuo datos sensibles como condición para su ingreso o promoción dentro del sector público de la Ciudad de Buenos Aires.
2. Los datos sensibles sólo pueden ser tratados cuando medien razones de interés general autorizadas por ley. También podrán ser tratados con finalidades estadísticas o científicas, siempre y cuando no puedan ser identificados sus titulares.
3. Queda prohibida la formación de archivos, registros, bases o bancos de datos que almacenen información que directa o indirectamente revele datos sensibles, salvo que la presente ley o cualquier otra expresamente disponga lo contrario o medie el consentimiento libre, previo, expreso, informado y por escrito del titular de los datos.
4. Los datos relativos a antecedentes penales o contravencionales o infracciones administrativas sólo pueden ser objeto de tratamiento por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas.
Artículo 9°.- Datos relativos a la salud. Los establecimientos sanitarios dependientes de la Ciudad de Buenos Aires y los profesionales vinculados a las ciencias de la salud que presten servicios en los mismos pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional.
Artículo 10.- Cesión de datos.
1. Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.
2. Al consentimiento para la cesión de datos personales le son aplicables las disposiciones previstas en el artículo 7° de la presente ley.
3. El consentimiento no es exigido cuando:
a. Así lo disponga expresamente una ley especial referida a cuestiones sensibles, en particular sobre salud pública, emergencias y seguridad.
b. En los supuestos previstos en el artículo 7° inciso 3° de la presente ley;
c. Se realice entre órganos del sector público de la Ciudad de Buenos Aires en forma directa, en la medida del cumplimiento de sus respectivas competencias;
d. Se trate de datos personales relativos a la salud, y sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados;
e. Se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables.
f. Cuando la información sea requerida por un magistrado del Poder Judicial, el Defensor del Pueblo o el Ministerio Público, en el marco de una causa judicial en particular.
4. El cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate.
Artículo 11.- Transferencia interprovincial.
1. Es prohibida la transferencia de datos personales a cualquier provincia o municipio cuya administración pública no proporcione niveles de protección adecuados a los establecidos por la Ley Nacional N° 25.326 y la presente ley.
2. La prohibición no regirá en los siguientes supuestos:
Colaboración judicial interjurisdiccional;
Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica, en tanto se realice en los términos del inciso 3°, apartado e) del artículo anterior;
Transferencias bancarias, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable;
Intercambio de información entre los respectivos organismos provinciales o nacionales dentro del marco de sus competencias, a requerimiento de la autoridad judicial y en el marco de una causa;
Cuando la transferencia tenga por objeto la lucha contra el crimen organizado, el terrorismo y el narcotráfico, y se realice a requerimiento de la autoridad judicial y en el marco de una causa;
Consentimiento del titular de los datos.
Artículo 12.- Transferencia internacional.
1. Es prohibida la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no aseguren que los datos personales contarán con una protección adecuada a la proporcionada por la presente ley.
2. La prohibición no regirá en los siguientes supuestos:
Colaboración judicial internacional;
Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica, en tanto se realice en los términos del inciso 3°, apartado e) del artículo 10 de la presente ley;
Transferencias bancarias, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable;
Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte y se realice a requerimiento de la autoridad judicial y en el marco de una causa;
Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico, y se realice a requerimiento de la autoridad judicial y en el marco de una causa.
Consentimiento del titular de los datos.
Título IV

Derechos de los Titulares de Datos Personales
Artículo 13.- Asisten al titular de datos personales los siguientes derechos:
a. Derecho de información:
Toda persona puede solicitar al organismo de control información relativa a la existencia de archivos, registros, bases o bancos de datos de titularidad del sector público de la Ciudad de Buenos Aires, su finalidad, identidad y domicilio de sus responsables.
b. Derecho de acceso:
El titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información relativa a los datos personales referidos a su persona que se encuentren incluidos en los archivos, registros, bases o bancos de datos del sector público de la Ciudad de Buenos Aires.
Asimismo, y del mismo modo, el titular de los datos podrá exigir que se le informe acerca de la identidad de las personas a las que se le hubieran cedido datos relativos a su persona, del origen de los datos incluidos en el archivo, registro, base o banco de datos consultado, y de la lógica utilizada en los tratamientos automatizados de datos que se hubieran realizado.
El responsable del archivo, registro, base o banco de datos consultado debe proporcionar la información solicitada, sin restricciones ni requisitos de ningún tipo, en un plazo no mayor de diez (10) días hábiles. El plazo se podrá prorrogar en forma excepcional por otros diez (10) días hábiles de mediar circunstancias que hagan difícil reunir la información solicitada. En su caso, el órgano requerido debe comunicar, antes del vencimiento del plazo de diez (10) días, las razones por las cuales hará uso de la prórroga excepcional.
Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, éste se estimara insuficiente, quedará expedita la acción de protección de datos personales prevista en la presente ley.
El derecho de acceso sólo puede ser ejercido en forma gratuita a intervalos no inferiores a dos meses, salvo que se acredite un interés legítimo al efecto, en cuyo caso podrá ejercerse en cualquier momento.
La información que el responsable del archivo, registro, base o banco de datos deba brindar al titular de los datos, deberá ser amplia y versar sobre la totalidad de la información referida a su persona que se encuentre almacenada en el archivo, registro, base o banco de datos consultado, aún cuando el requerimiento del titular sólo comprenda un aspecto de sus datos personales.
La información, a opción del titular de los datos, podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen u otro medio idóneo a tal fin.
c. Derecho de rectificación, actualización o supresión:
Toda persona tiene derecho a que los datos personales a ella referidos sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad.
El responsable del archivo, registro, base o banco de datos debe proceder a la rectificación, supresión o actualización de los datos personales, realizando las operaciones necesarias a tal fin en el plazo máximo de cinco (5) días hábiles de recibido el reclamo presentado por el titular de los datos, o advertido el error o falsedad.
El incumplimiento de esta obligación dentro del término acordado en el inciso precedente habilitará al interesado a promover sin más la acción de protección de datos personales prevista en la presente ley.
En el supuesto de cesión de datos personales a terceros, el responsable del archivo, registro, base o banco de datos cedente debe notificar la rectificación, actualización o supresión al cesionario dentro del quinto día hábil de efectuado el tratamiento del dato, debiendo el cesionario tomar cuenta de ello dentro del plazo de dos días de recibida la notificación.
La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.
Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del banco de datos deberá o bien bloquear el archivo, registro, base o banco de datos, o consignar al proveer información relativa al titular de los datos que hubiera solicitado la rectificación, actualización o supresión, la circunstancia de que dicha información se encuentra sometida a revisión.
El responsable del archivo, registro, base o banco de datos, no podrá exigir contraprestación alguna para el ejercicio de los derechos de supresión, rectificación y actualización.
Artículo 14.- El titular de los datos podrá ejercer los derechos que se le reconocen en esta ley por sí o a través de sus representantes legales o convencionales. Se encuentran facultados del mismo modo los sucesores de las personas físicas.
Artículo 15.- Excepciones. El responsable de un archivo, registro, base o banco de datos puede denegar el acceso, rectificación, actualización, pedido de confidencialidad o supresión solicitada por el titular del dato, en función del orden o la seguridad pública, o de la protección de los derechos o intereses de terceros cuando así lo disponga una autoridad judicial a partir de una medida cautelar inscripta.
Asimismo, si al responder al requerimiento del titular del dato existieran medidas cautelares judiciales o administrativas, inscriptas, vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones del control de la salud o del medio ambiente, la investigación de delitos y la verificación de sanciones administrativas.
La resolución que deniegue el ejercicio de los derechos reconocidos por la presente ley debe ser dispuesta por un funcionario de jerarquía equivalente o superior a Director General, en forma fundada explicitando la medida que ampara la negativa y notificada al titular del dato.
Sin perjuicio de lo establecido en los incisos anteriores, se debe brindar acceso a los archivos, registros, bases o bancos de datos en la oportunidad en que el titular de los datos tenga que ejercer su derecho de defensa.

Título V

Obligaciones Relacionadas con los Datos Personales Asentados en Archivos, Registros, Bases o Bancos de Datos
Artículo 16.- Confidencialidad. El responsable del archivo, registro, base o banco de datos, el encargado del tratamiento y los usuarios de datos están obligados al secreto profesional respecto de los datos personales sujetos a tratamiento y a guardar dicho secreto, una vez finalizadas las funciones o actividades en virtud de las cuales dichos datos fueron sometidos a tratamiento.
En el caso del encargado del tratamiento y de los usuarios de datos, tal deber subsistirá aun después de finalizada su relación con el responsable del archivo, registro, base o banco de datos.
El deber de secreto podrá ser relevado por resolución judicial cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública.
Artículo 17.- Seguridad. El tratamiento de datos personales se sujetará a las medidas de seguridad establecidas en la correspondiente normativa nacional.
El responsable del archivo, registro, base o banco de datos, el encargado del tratamiento y los usuarios de datos deben adoptar todas las medidas técnicas y de organización necesarias y adecuadas que impidan la adulteración, pérdida, destrucción y el tratamiento o acceso no autorizado a los datos incluidos en sus archivos, registros, bases o bancos de datos. Dichas medidas deberán garantizar un nivel de seguridad apropiado en relación con la tecnología aplicada y sus avances, con la naturaleza de los datos tratados y con los riesgos propios del tratamiento.
Artículo 18.- Obligaciones del responsable del archivo, registro, base o banco de datos. Constituyen obligaciones del responsable del archivo, registro, base o banco de datos, las siguientes:
a. Requerir y obtener el consentimiento del titular de los datos personales, previo a su obtención y tratamiento, en los términos del artículo 7° de la presente ley.
b. Informar al titular de los datos, en forma expresa y clara, y bajo pena de nulidad, previamente a recabar información referida a su persona, acerca de:
La existencia del archivo, registro, base o banco de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable;
La finalidad para la que serán tratados y quienes pueden ser sus destinatarios o categorías de destinatarios.
El carácter obligatorio o facultativo de la respuesta a las preguntas que le sean formuladas.
Las consecuencias que se deriven de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos.
La facultad y modo de ejercer los derechos de acceso, rectificación, actualización y supresión de los datos que le confiere la presente ley.
Detalle sobre los órganos de aplicación de la presente ley.
c. Respetar en todo momento los principios generales de la protección de datos personales.
d. Proceder en forma inmediata a la rectificación, actualización o supresión, de los datos personales cuando fueran total o parcialmente inexactos, incompletos, o desactualizados.
e. Registrar sus archivos, registros, bases o bancos de datos en el Registro de Datos creado por el organismo de control.
Artículo 19.- Obligaciones del encargado del tratamiento de datos. Le asisten al encargado del tratamiento de datos personales los mismos deberes y obligaciones exigidas al responsable del archivo, registro, base o banco de datos tanto respecto de la confidencialidad y reserva que debe mantener sobre la información obtenida, como del respeto y cumplimiento a los principios generales de la protección de datos personales.
El encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento y no podrá, bajo ningún concepto, ceder los datos personales sometidos a tratamiento, ni aun para su conservación.
Artículo 20.- Obligaciones del usuario de datos. Todas las personas que actúen, trabajen, o presten servicios de cualquier tipo en o para algún órgano del sector público de la Ciudad de Buenos Aires sólo podrán tratar los datos personales incorporados en los archivos, registros, bases o bancos de datos de titularidad del órgano para o en el que desempeñen su tarea, cuando así lo disponga el responsable del archivo, registro, base o banco de datos de que se trate o en virtud de una obligación legal.
Quedan sujetos, al igual que los encargados del tratamiento a los mismos deberes y obligaciones exigidos al responsable del archivo, registro, base o banco de datos, tanto respecto de la confidencialidad y reserva que debe mantener sobre la información obtenida, como del respeto y cumplimiento a los principios generales de la protección de datos personales.
El usuario de datos sólo podrá ceder los datos personales sometidos a tratamiento siguiendo expresas instrucciones del responsable del tratamiento.
Artículo 21.- Valoraciones. Son nulos e inválidos los actos y decisiones administrativos que impliquen una valoración del comportamiento o de la personalidad de las personas fundada en el tratamiento de sus datos personales. Asiste al titular de los datos el derecho a impugnar tales actos y decisiones, sin perjuicio de las demás acciones que le pudieran corresponder.
El titular de los datos personales siempre tendrá derecho a conocer la lógica del proceso de decisión automatizada explicado en términos simples y adecuados a su nivel social y cultural.

Título VI

Control
Artículo 22.- Organismo de control. Desígnase a la Defensoría del Pueblo de la Ciudad de Buenos Aires como organismo de control de la presente ley.
Artículo 23.- Registro de datos personales. Créase en el ámbito de la Defensoría del Pueblo de la Ciudad de Buenos Aires el Registro de Datos Personales, que tendrá las siguientes funciones:
Autorizar y habilitar la creación, uso y funcionamiento de los archivos, registros, bases y bancos de datos personales del sector público de la Ciudad de Buenos Aires de conformidad con lo preceptuado en la presente ley.
Establecer los requisitos y procedimientos que deberán cumplimentar los archivos, registros, bases o bancos de datos del sector público de la Ciudad de Buenos Aires relativos al proceso de recolección de datos, diseño general del sistema, incluyendo los mecanismos de seguridad y control necesarios, equipamiento técnico, mecanismos adoptados para garantizar los derechos de acceso, supresión, rectificación y actualización así como demás extremos pertinentes.
Llevar un registro de los archivos, registros, bases o bancos de datos creados por el sector público de la Ciudad de Buenos Aires. A tal fin, establecerá el procedimiento de inscripción, su contenido, modificación, cancelación, y la forma en que los ciudadanos podrán presentar sus reclamos, de conformidad con lo establecido en el art. 4°, inc. 3° de la presente ley.
Garantizar el acceso gratuito al público de toda la información contenida en su registro.
Velar por el cumplimiento de las disposiciones de la presente ley y por el respeto de los derechos al honor, la autodeterminación informativa y la intimidad de las personas.
Formular advertencias, recomendaciones, recordatorios y propuestas a los responsables, usuarios y encargados de archivos, registros, bases o bancos de datos del sector público de la Ciudad de Buenos Aires, a los efectos de lograr una completa adecuación y cumplimiento de los principios contenidos en la presente ley.
Proponer la iniciación de procedimientos disciplinarios contra quien estime responsable de la comisión de infracciones al régimen establecido por la presente ley.
Recibir denuncias.
Formular denuncias y reclamos judiciales por sí, cuando tuviere conocimiento de manifiestos incumplimientos de lo estipulado en la presente ley por parte de los responsables, usuarios y/o encargados de los archivos, registros, bases o bancos de datos del sector público de la Ciudad de Buenos Aires.
Representar a las personas titulares de los datos, cuando éstos se lo requiriesen, a fin de hacer efectivo el derecho de acceso, rectificación, supresión y actualización, cuando correspondiere, por ante el archivo, registro, base o banco de datos.

Asistir al titular de los datos, cuando éste se lo requiera, en los juicios que, en virtud de lo establecido en la presente ley, entable por ante los tribunales de la Ciudad de Buenos Aires.
Elaborar informes sobre los proyectos de ley de la Ciudad de Buenos Aires que de alguna forma tengan impacto en el derecho a la privacidad y protección de los datos personales.
Elevar un informe anual a la Legislatura sobre el desarrollo de la protección de los datos personales en la Ciudad de Buenos Aires.
Colaborar con la Dirección Nacional de Protección de Datos Personales y con los correspondientes organismos de control provinciales en cuantas acciones y actividades sean necesarias para aumentar el nivel de protección de los datos personales en el sector público de la Ciudad de Buenos Aires.
Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Artículo 24.- Cualquier persona podrá conocer la existencia de archivos, registros, bases o bancos de datos personales, su finalidad, la identidad y domicilio del responsable, destinatarios y categorías de destinatarios, condiciones de organización, funcionamiento, procedimientos aplicables, normas de seguridad, garantías para el ejercicio de los derechos del titular de los datos así como toda otra información registrada.
El organismo de control procederá, ante el pedido de un interesado o de oficio ante la sospecha de una ilegalidad, a verificar el cumplimiento de las disposiciones legales y reglamentarias en orden a cada una de las siguientes etapas del uso y aprovechamiento de datos personales:
a. Legalidad de la recolección o toma de información personal;
b. Legalidad en el intercambio de datos y en la transmisión a terceros o en la interrelación entre ellos;
c. Legalidad en la cesión propiamente dicha;
d. Legalidad de los mecanismos de control interno y externo del archivo, registro, base o banco de datos.
Título VII

Infracciones
Artículo 25.- Se consideran infracciones las siguientes:
Realizar el tratamiento de datos desconociendo los principios establecidos en los Títulos III y IV del presente cuerpo normativo.
Incumplir las obligaciones descriptas en el Título V.
No proceder a solicitud del titular de los datos, o del organismo de control a la supresión, rectificación y actualización de los datos personales en los supuestos, tiempo y forma establecidos en esta ley.
Obstaculizar o impedir el derecho de acceso reconocido en esta ley al titular o al organismo de control en los supuestos, tiempo y forma que la misma estipula.
Ceder datos personales en infracción a los requisitos que se establecen en la presente ley.
Crear archivos, registros, bases o bancos de datos, ponerlos en funcionamiento y/o iniciar el tratamiento de datos personales sin el cumplimiento de los requisitos establecidos en esta ley.
No cumplimentar los demás extremos o requisitos que esta ley establece, así como aquellos que el organismo de control establezca en ejercicio de su competencia.
Obstruir las funciones que por esta ley se le reconocen al organismo de control.
Tratar los datos de carácter personal de un modo que lesione, violente o desconozca los derechos a la privacidad, autodeterminación informativa, imagen, identidad, honor así como cualquier otro derecho de que sean titulares las personas físicas o de existencia ideal.
La reglamentación determinará las condiciones y procedimientos para la aplicación de las sanciones previstas, las que deberán graduarse en relación a la gravedad y extensión de la violación y de los perjuicios derivados de la infracción, garantizando el principio del debido proceso.

Título VIII

Sanciones
Artículo 26.- Responsabilidad. Los responsables, usuarios, encargados o cesionarios de archivos, registros, bases o bancos de datos del sector público de la Ciudad de Buenos Aires que en forma arbitraria obstruyan el ejercicio de los derechos que la presente ley le reconoce a los ciudadanos serán considerados incursos en falta grave.
En caso de comisión de alguna de las infracciones previstas en el art. 25 de esta ley, en la Ley Nacional N° 25.326, su reglamentación y/o sus modificaciones, y sin perjuicio de las responsabilidades administrativas; de la responsabilidad por daños y perjuicios y/o de las sanciones penales que pudieran corresponder, el organismo de control dictará resolución recomendando al órgano del cual dependa jerárquicamente el archivo, registro, base o banco de datos en el que se hubiera verificado la infracción:
a. La adopción de las medidas que proceda adoptar para que cesen o se corrijan los efectos de la infracción. Dicha resolución se comunicará al responsable del archivo, registro, base o banco de datos, al órgano del cual dependa jerárquicamente, al titular del dato y, cuando corresponda, a los encargados del tratamiento y cesionarios de los datos personales.
b. La aplicación de las pertinentes sanciones administrativas a los responsables de la infracción individualizando al responsable, los hechos y los perjudicados.
c. En caso de comisión de alguna de las infracciones previstas en el art. 25 de esta ley por parte de un tercero encargado de realizar tratamientos de datos personales en virtud a un contrato celebrado de acuerdo a lo previsto por el art. 5° de esta ley, de acuerdo al tipo de infracción de que se trate, serán de aplicación con respecto al contratista infractor, las sanciones establecidas por la Ley Nacional N° 25.326, su reglamentación y/o sus modificaciones.
d. Cumplida la recomendación del organismo de control, el Poder Ejecutivo deberá abrir un sumario administrativo para determinar si existió o no una infracción a la presente ley y dicha conclusión deberá ser informada a la Defensoría del Pueblo.
Artículo 27.- Inmovilización de archivos, registros, bases o bancos de datos. En los supuestos constitutivos de infracción contemplados en los incisos e) y f) del artículo 25 de la presente ley, el organismo de control podrá requerir al órgano del cual dependa jerárquicamente el archivo, registro, base o banco de datos en el que se hubiera cometido la infracción, la cesación en la utilización o cesión ilícita de los datos personales y, en caso de corresponder, la inmovilización del archivo, registro, base o banco de datos hasta tanto se restablezcan los derechos de los titulares de datos afectados.

Título IX

Acción de protección de datos
Artículo 28.- Procedencia. La acción de protección de los datos personales o de hábeas data, de conformidad con lo dispuesto por el art. 16 de la Constitución de la Ciudad de Buenos Aires procederá:
a. Para tomar conocimiento de los datos personales almacenados en archivos, registros o bancos de datos del sector público de la Ciudad de Buenos Aires, su fuente, origen, finalidad o uso que del mismo se haga.
b. En los casos en que se presuma la falsedad, inexactitud, desactualización de la información de que se trata, o el tratamiento de datos en infracción de la Ley Nacional N° 25.326 o la presente ley, para exigir su rectificación, supresión, confidencialidad o actualización.
c. En los casos de incumplimiento de las disposiciones previstas en la presente ley.
El ejercicio de este derecho no afecta el secreto de la fuente de información periodística.
Cuando el pedido de acceso sea relativo a información pública y no a datos personales, será de aplicación la Ley N° 104 de la Ciudad de Buenos Aires.
Artículo 29.- Legitimación activa. La acción de protección de los datos personales o de hábeas data podrá ser ejercida por el afectado, sus tutores o curadores y los sucesores de las personas físicas, sean en línea directa o colateral hasta el segundo grado, por sí o por intermedio de apoderado.
Cuando la acción sea ejercida por personas de existencia ideal, deberá ser interpuesta por sus representantes legales, o apoderados que éstas designen al efecto.
En el proceso podrá intervenir en forma coadyuvante el organismo de control designado por esta ley.
Artículo 30.- Legitimación pasiva. La acción procederá respecto de los responsables y/o encargados de tratamiento de archivos, registros, bases o bancos de datos del sector público de la Ciudad de Buenos Aires, a elección del titular de los datos.
Artículo 31.- Jurisdicción y procedimiento aplicable. La acción de protección de datos tramitará según las disposiciones de la presente ley y supletoriamente por el procedimiento que corresponde a la acción de amparo ante el Fuero Contencioso Administrativo de la Ciudad de Buenos Aires, las disposiciones del Código Procesal Contencioso, Administrativo y Tributario de la Ciudad de Buenos Aires relativas al procedimiento sumarísimo.
Artículo 32.- Requisitos de la demanda.
1. La demanda deberá interponerse por escrito, individualizando con la mayor precisión posible el nombre y domicilio del archivo, registro o banco de datos y, en su caso, el nombre del responsable y/o encargado y/o usuario del mismo y el organismo del cual, eventualmente, dependan.
2. El accionante deberá alegar las razones por las cuales entiende que en el archivo, registro o banco de datos individualizado obra información referida a su persona, en los casos del art. 28 inc. b); los motivos por los cuales considera que la información que le atañe resulta discriminatoria, falsa o inexacta y justificar que se han cumplido los recaudos que hacen al ejercicio de los derechos que le reconoce la presente ley. Deberá acompañar con el escrito de demanda la prueba documental que funde su pedido.
3. El accionante podrá solicitar que mientras dure el procedimiento, el registro o banco de datos asiente que la información cuestionada está sometida a un proceso judicial.
4. El juez podrá disponer el bloqueo provisional del archivo en lo referente al dato personal motivo del juicio cuando sea manifiesto el carácter discriminatorio, falso o inexacto de la información de que se trate.
5. A los efectos de requerir información al archivo, registro o banco de datos involucrado, el criterio judicial de apreciación de las circunstancias requeridas en los puntos 1 y 2 debe ser amplio.
Artículo 33.- Trámite.
1. Interpuesta la acción, el juez deberá pronunciarse en el término de tres (3) días sobre su procedencia formal, pudiendo dar vista al fiscal. Esta vista no suspende el curso del plazo.
2. Admitida la acción el juez requerirá al archivo, registro o banco de datos la remisión de la información concerniente al accionante. Podrá asimismo solicitar informes sobre el soporte técnico de datos, documentación de base relativa a la recolección y cualquier otro aspecto que resulte conducente a la resolución de la causa que estime procedente.
3. El plazo para contestar el informe no podrá ser mayor de cinco días hábiles, el que podrá ser ampliado prudencialmente por el juez.
Artículo 34.- Confidencialidad de la información. Cuando el responsable y/o encargado y/o usuario de un archivo, registro o banco de datos público se oponga a la remisión del informe solicitado con invocación de las excepciones al derecho de acceso, rectificación o supresión, autorizadas por la presente ley o por una ley específica; deberá acreditar los extremos que hacen aplicable la excepción legal. En tales casos, el juez podrá tomar conocimiento personal y directo de los datos solicitados asegurando el mantenimiento de su confidencialidad.
El juez de la causa evaluará con criterio restrictivo toda oposición al envío de la información sustentada en las causales mencionadas. La resolución judicial que insista con la remisión de dato será apelable dentro del segundo día de notificada. El recurso se interpondrá fundado. La apelación será denegada o concedida en ambos efectos dentro del segundo día. En caso de ser concedida será elevada a la Cámara de Apelaciones dentro del mismo día.
Artículo 35.- Contestación del informe. Al contestar el informe, el responsable y/o encargado y/o usuario del archivo, registro o banco de datos deberá expresar las razones por las cuales incluyó la información cuestionada y aquellas por las que no evacuó el pedido efectuado por el interesado, de conformidad a lo establecido en los artículos 13 a 15 de la ley.
Artículo 36.- Ampliación de la demanda. Contestado el informe, el actor podrá, en el término de tres días, ampliar el objeto de la demanda solicitando la supresión, rectificación, confidencialidad o actualización de sus datos personales, en los casos que resulte procedente a tenor de la presente ley, ofreciendo en el mismo acto la prueba pertinente. De esta presentación se dará traslado al demandado por el término de tres (3) días.
En caso de que el requerido manifestara que no existe en el registro o banco de datos información sobre el accionante y éste acreditará por algún medio de prueba que tomó conocimiento de ello, podrá solicitar las medidas cautelares que estime corresponder de conformidad con las prescripciones del Código Contencioso Administrativo y Tributario.
Artículo 37.- Sentencia.
1. Vencido el plazo para la contestación del informe o contestado el mismo, y en el supuesto del artículo 36, luego de contestada la ampliación, y habiendo sido producida en su caso la prueba, el juez dictará sentencia.
2. En el caso de estimarse procedente la acción, se especificará si la información debe ser suprimida, rectificada, actualizada o declarada confidencial, estableciendo un plazo para su cumplimiento.
3. El rechazo de la acción no constituye presunción respecto de la responsabilidad en que hubiera podido incurrir el accionante.
4. Sólo serán apelables para ambas partes la sentencia definitiva, y en caso del accionante, también la que declare la inadmisibilidad formal de la acción.
5. En cualquier caso, la sentencia deberá ser comunicada al organismo de control designado por esta ley, que deberá llevar un registro al efecto e incluir el caso en el informe anual previsto por el art. 23, inciso n).
6. En caso de incumplirse con la sentencia, y sin perjuicio de su ejecución forzosa, el juez podrá disponer, a pedido de parte, la aplicación de sanciones conminatorias o astreintes.
Título X

Disposiciones particulares
Artículo 38.- Prestación de servicios sobre solvencia patrimonial y de crédito. Los organismos, empresas o dependencias del sector público de la Ciudad de Buenos Aires que se dediquen a la prestación de servicios de información sobre solvencia patrimonial y de crédito quedan sujetos al régimen de la presente ley y, en lo que a la prestación de dichos servicios se refiere, a las disposiciones específicas de la Ley Nacional N° 25.326, la que resulte más favorable al titular del dato registrado.
Artículo 39.- Privacidad laboral en el ámbito del sector público de la Ciudad de Buenos Aires. Se entiende por correo electrónico toda correspondencia, mensaje, archivo, dato u otra información electrónica que se transmite a una o más personas por medio de una red de interconexión entre computadoras o dispositivos equiparables.
Cuando el correo electrónico sea provisto por un organismo del sector público de la Ciudad de Buenos Aires a sus dependientes en función de una relación laboral, se entenderá que la titularidad del mismo corresponde al empleador, independientemente del nombre y clave de acceso que sean necesarias para su uso.
El empleador se encuentra facultado para acceder y controlar toda la información que circule por dicho correo electrónico laboral, como asimismo a prohibir su uso para fines personales.
El ejercicio de estas facultades por parte del empleador, así como las condiciones de uso y acceso al correo electrónico laboral, deberá ser notificado por escrito al trabajador, al momento de poner a su disposición el correo electrónico o en cualquier oportunidad posterior, como requisito previo a su ejercicio.
El empleador deberá asimismo notificar fehacientemente a sus dependientes, la política establecida respecto del acceso y uso de correo electrónico personal, así como del uso de internet en el lugar de trabajo.
El incumplimiento de las órdenes emanadas del superior con respecto a la política de uso de correo electrónico y de internet en lugar de trabajo según lo previsto en esta norma, será sancionado de conformidad con lo dispuesto en los arts. 10 y 47 de la Ley N° 471 (Ley de Relaciones Laborales en la Administración Pública de la Ciudad Autónoma de Buenos Aires).
Disposiciones transitorias
PRIMERA: En un plazo de ciento ochenta (180) días a contar desde la vigencia de la presente ley se procederá a la reglamentación de la presente ley.
SEGUNDA: En un plazo de ciento ochenta (180) días a contar desde la reglamentación, los responsables de archivos, registros, bases o bancos de datos del sector público de la Ciudad de Buenos Aires que realicen las actividades que por esta ley se regulan, deberán proceder a obtener la respectiva habilitación y a su consecuente inscripción en el Registro de Datos Personales.
Artículo 40.- Comuníquese, etc.
NOTA: Los artículos en negrita y bastardilla fueron vetados por el Decreto N° 1.914/05, B.O. N° 2351 del 04/01/2006.
SANTIAGO DE ESTRADA
ALICIA BELLO

LEY N° 1.845
Sanción: 24/11/2006
Vetada Parcialmente: Decreto Nº 1.914/005 del 04/01/2006; aceptado por Resolución N° 233 - LCABA
Publicación: BOCBA N° 2494 del 03/08/2006
Reglamentación: Decreto Nº 725/007 del 18/05/2007
Publicación: BOCBA Nº 2691 del 24/05/2007


DECRETO N° 725

Reglamentación Ley N° 1.845
Buenos Aires, 18 de mayo de 2007.
Visto la Ley N° 1.845 de Protección de Datos Personales, el Expediente N° 80.380/06, y
CONSIDERANDO:
Que el artículo 16 de la Constitución de la Ciudad Autónoma de Buenos Aires resguarda el libre acceso a todo registro, archivo o banco de datos que conste en organismos públicos o en los privados destinados a proveer informes, para que los ciudadanos puedan conocer cualquier asiento sobre su persona, su fuente, origen, finalidad o uso que del mismo se haga, pudiendo requerir su actualización, rectificación, confidencialidad o supresión cuando esa información lesione o restrinja algún derecho;
Que la Ley N° 1.845 de Protección de Datos Personales regula el tratamiento de datos personales asentados o destinados a ser asentados en archivos, registros, bases o bancos de datos del sector público de la Ciudad de Buenos Aires, para garantizar el derecho al honor, la intimidad y la autodeterminación informativa de las personas;
Que, a efectos de su aplicación, resulta necesario aprobar la reglamentación de la Ley N° 1.845;
Que la Procuración General de la Ciudad tomó intervención conforme lo establece la Ley N° 1.218;
Por ello, y en uso de las atribuciones que le son propias (artículo 102 de la Constitución de la Ciudad Autónoma de Buenos Aires),

EL JEFE DE GOBIERNO DE LA CIUDAD AUTÓNOMA DE BUENOS AIRES
DECRETA:
Artículo 1°.- Apruébase la reglamentación de la Ley N° 1.845 de Protección de Datos Personales, que como Anexo I forma parte integrante del presente decreto.
Artículo 2°.- El presente decreto es refrendado por los señores Ministros de Gobierno, de Gestión Pública y Descentralización y de Hacienda.
Artículo 3°.- Dése al Registro, publíquese en el Boletín Oficial de la Ciudad de Buenos Aires, comuníquese a la Defensoría del Pueblo de la Ciudad de Buenos Aires y a todos los Ministerios y Secretarías del Poder Ejecutivo de la Ciudad. Cumplido, archívese. TELERMAN - Gorgal - Cortina - Beros
ANEXO I
Art. 1°.- Sin reglamentar.
Art. 2°.- Sin reglamentar.
Art 3°.- Se entiende que la expresión "medios de comunicación escritos" incluida dentro del concepto de "Fuentes de acceso público irrestricto", incluye las publicaciones efectuadas a través de Internet en páginas web públicas y oficiales, así como las reproducciones de publicaciones efectuadas en soporte papel.
Art.4°.- En los casos de archivos, registros, bases o bancos de datos que, por su naturaleza, poseen un plazo de vigencia y/o de prescripción, las normas de creación y/o modificación deben indicar el plazo durante el cual serán sometidos a tratamiento los datos personales incorporados.
Art. 5°.- Sin reglamentar.
Art. 6°.- Sin reglamentar.
Art. 7°.
1) En el caso que la recolección de datos personales se efectúe en la forma prevista por el artículo 4º, inciso 5) de la Ley Nº 1.845, se considerará cumplido el requisito del consentimiento previo cuando el titular del dato acepte la política de privacidad publicada en el sitio de Internet a través del cual se recolecten sus datos.
2) La revocación del consentimiento del titular de datos surtirá efectos a partir de la fecha de su recepción, la que deberá constar en debida forma.
Los listados mencionados en el artículo 7º, inciso 3) in fine de la Ley N° 1.845 son aquellos que no permiten inferir en forma directa o indirecta ningún otro tipo de dato personal asociado al titular del dato.
Art. 8°.- Sin reglamentar.
Art. 9°.- Sin reglamentar.
Art. 10.- En el caso de archivos, registros, bancos o bases de datos públicos dependientes de un organismo oficial que por razón de sus funciones específicas estén destinados a la difusión al público en general, el requisito relativo al interés legitimo del cesionario se considera implicito en las razones de interés general que motivaron el acceso público irrestricto y la difusión de sus datos.
La cesión de datos personales que comprenda a un grupo colectivo de personas efectuada desde archivos, registros, bases o bancos de datos públicos a archivos, registros, bases o bancos de datos privados debe ser autorizada mediante acto administrativo emitido por el titular de la jurisdicción. No será necesario acto administrativo alguno en los casos en que la ley disponga el acceso a la base de datos pública en forma irrestricta.
A los efectos de lo establecido en el art. 10, inciso 3, apartado b) de la Ley N° 1.845, se entiende que la cesión de datos personales incluidos en los listados mencionados en el art. 7º, inciso 3) in fine de dicha Ley, sólo podrárealizarse entre organismos pertenecientes al sector público.
El consentimiento para la cesión de datos personales será nulo cuando no recaiga sobre un cesionario determinado o determinable, o si no constase con claridad la finalidad de la cesión que se consiente.
Art. 11.- Se presume que una provincia o municipio proporciona un nivel adecuado de protección cuando al menos se haya adherido a la normativa sobre protección de datos personales que se encuentre vigente en la República Argentina al momento de la transferencia.
No es necesario el consentimiento en caso de transferencia de datos desde un registro público que esté legalmente constituido para facilitar información al público y que esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legitimo, siempre que se cumplan, en cada caso particular, las condiciones legales y reglamentarias para la consulta.
Art. 12.- Se presume que un Estado u organismo internacional o supranacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva direclamente del ordenamiento jurídico vigente, o de sistemas de autorregulación, o del amparo que establezcan las cláusulas contractuales que prevean la protección de datos personales.
No es necesario el consentimiento en caso de transferencia de datos desde un registro público que esté legalmente constituido para facilitar información al público y que esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legitimo, siempre que se cumplan, en cada caso particular, las condiciones legales y reglamentarias para la consulta.
Art. 13.- El ejercicio del derecho de acceso a que se refiere el artículo 13, inciso b) de la Ley N° 1.845 no requiere de fórmulas especificas, siempre que garantice la identificación del titular del dato y/o de sus representantes legales. Se podrá efectuar de manera directa, presentándose el titular del dato, sus representantes o sucesores ante el responsable o usuario del archivo, registro, base o banco de datos, o de manera indirecta, a través de la intimación fehaciente por medio escrito que deje constancia de recepción. Los responsables de las bases de datos podrán disponer de otros servicios de acceso como los medios electrónicos, las líneas telefónicas, la recepción del reclamo en pantalla u otro medio idóneo a tal fin. En cada supuesto, el encargado del registro podrá ofrecer preferencia de medios para conocer la respuesta requerida, a opción del titular de los datos.
A fin de permitir que el titular de los datos tome conocimiento de la rectificación, actualización, supresión o confidencialidad de sus datos personales efectuada por el responsable del archivo, registro, base o banco de datos, el órgano requerido deberá comunicar al titular de los datos que ha procedido a rectificar, actualizar, suprimir o someter a confidencialidad los datos personales solicitados, en un plazo máximo de cinco (5) días hábiles contados a partir del vencimiento del plazo establecido por el articulo 13, inc. c) de la Ley N° 1.845.
A los efectos de cumplir con lo establecido en el penúltimo párrafo del artículo 13, inciso c) de la Ley N° 1.845, al proveer información relativa al titular de los datos que hubiera solicitado la rectificación, actualización, supresión o confidencialidad de sus datos personales, el responsable o usuario del archivo, registro, base o banco de datos deberá consignar el siguiente mensaje "Esta información está sujeta a revisión por petición del titular de los datos personales en virtud de lo establecido por el art. 13 de la Ley N° 1.845".
Art. 14.- Sin reglamentar.
Art. 15.- Sin reglamentar.
Art. 16.- Sin reglamentar.
Art. 17.- Sin reglamentar.
Art. 18.- Todas las oficinas públicas donde se recolecten datos personales que vayan a ser objeto de tratamiento deberán tener expuesta, en lugar visible y de modo claro, una advertencia indicativa de las obligaciones de información previstas por el artículo 18, inciso b) de la Ley N° 1.845.
Igualmente, si la recolección de datos se realizara mediante cuestionarios, formularios, encuestas o similares impresos o incluidos en un sitio de Internet, éstos deberán contener en lugar visible y de
modo claro, la información exigida por el artículo 18, inciso b) de la Ley N° 1.845.
Art. 19.- Sin reglamentar.
Art. 20.- Como requisito previo al tratamiento de los datos personales incorporados en los archivos, registros, bases o bancos de datos de titularidad del órgano en o para el que desempeñen su tarea, los usuarios de datos deberán aceptar la política de seguridad a la que se refiere el artículo 17 de la Ley N° 1.845.
Art. 21.- Sin reglamentar.
Art. 22.- Sin reglamentar.
Art. 23.- En los casos en que el tratamiento de datos sea efectuado por terceros, los contratos de prestación de servicios que se celebren deberán informarse al órgano de control a los efectos de permitir que lleve un registro de prestadores de servicios de tratamiento de datos.
Art. 24.- Sin reglamentar.
Art. 25.- A los efectos de lo dispuesto en el último párrafo del art. 25 de la Ley N° 1.845, se entiende que la graduación y aplicación de las sanciones previstas por el articulo 26 de la Ley N° 1.845, se realizará según el régimen que le corresponda a cada infractor.
En el caso que la conducta que eventualmente sea pasible de la aplicación de una sanción, fuere cometida por un agente de la Administración Central o sus organismos descentralizados, deberá sustanciarse el pertinente sumario administrativo, otorgándosele al imputado el derecho de defensa y de producir las pruebas que hacen a su derecho.
Art. 26.- Sin reglamentar.
Art. 27.- Sin reglamentar.
Art. 28.- Sin reglamentar.
Art. 29.- Sin reglamentar.
Art. 30.- Sin reglamentar.
Art. 31.- Sin reglamentar.
Art. 32.- Sin reglamentar.
Art. 33.- Sin reglamentar.
Art. 34.- Sin reglamentar.
Art. 35.- Sin reglamentar.
Art. 36.- Sin reglamentar.
Art. 37.- Sin reglamentar.
Art. 38.- Sin reglamentar.
Art. 39.- Sin reglamentar.