PROTECCION DE DATOS PERSONALES

PROTECCION DE LOS DATOS PERSONALES

Decreto 1558/2001

Apruébase la reglamentación de la Ley Nº 25.326.

Principios generales relativos a la protección de datos. Derechos de

los titulares de los datos. Usuarios y responsables de archivos,

registros y bancos de datos. Control. Sanciones.

Bs. As., 29/11/2001

VISTO el expediente Nº 128.949/01 del registro del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, la Ley Nº 25.326, y

CONSIDERANDO:

Que el artículo 45 de la mencionada Ley establece

que el PODER EJECUTIVO NACIONAL deberá reglamentar la misma y

establecer el órgano de control a que se refiere su artículo 29 dentro

de los CIENTO OCHENTA (180) días de su promulgación.

Que el artículo 46 de la Ley citada establece que la

reglamentación fijará el plazo dentro del cual los archivos de datos

destinados a proporcionar informes existentes al momento de la sanción

de dicha Ley deberán inscribirse en el Registro a que se refiere su

artículo 21 y adecuarse a lo que dispone el régimen establecido en

dicha norma.

Que el artículo 31, inciso 2, de la Ley Nº 25.326

dispone que la reglamentación determinará las condiciones y

procedimientos para la aplicación de sanciones, en los términos que

dicha norma establece.

Que la DIRECCION GENERAL DE ASUNTOS JURIDICOS del

MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, la DIRECCION GENERAL DE

ASUNTOS JURIDICOS de la SUBSECRETARIA DE ASUNTOS LEGALES de la

SECRETARIA LEGAL Y TECNICA de la PRESIDENCIA DE LA NACION y la

PROCURACION DEL TESORO DE LA NACION han tomado la intervención que les

compete.

Que la presente medida se dicta en uso de las facultades conferidas por el artículo 99, inciso 2) de la CONSTITUCION NACIONAL.

Por ello,

EL PRESIDENTE DE LA NACION ARGENTINA

DECRETA:

Artículo 1º— Apruébase la

reglamentación de la Ley Nº 25.326 de Protección de los Datos

Personales, que como anexo I forma parte del presente.

Art. 2º— Establécese en CIENTO OCHENTA (180) días el plazo previsto en el artículo 46 de la Ley Nº 25.326.

Art. 3º— Invítase a las Provincias y

a la CIUDAD AUTONOMA DE BUENOS AIRES a adherir a las normas de

exclusiva aplicación nacional de esta reglamentación.

Art. 4º— Comuníquese, publíquese,

dése a la Dirección Nacional del Registro Oficial y archívese. —DE LA

RUA. — Chrystian G. Colombo. — Jorge E. De La Rúa.

(Nota Infoleg:por art. 2° delDecreto N° 899/2017B.O. 6/11/2017 *se establece que toda referencia normativa a la DIRECCIÓN NACIONAL DE

PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se

considerará referida a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA)*

ANEXO I

REGLAMENTACION DE LA LEY Nº 25.326

CAPITULO I

DISPOSICIONES GENERALES

ARTICULO 1º.- A los efectos de esta reglamentación,

quedan comprendidos en el concepto de archivos, registros, bases o

bancos de datos privados destinados a dar informes, aquellos que

exceden el uso exclusivamente personal y los que tienen como finalidad

la cesión o transferencia de datos personales, independientemente de

que la circulación del informe o la información producida sea a título

oneroso o gratuito.

ARTICULO 2º.- Sin reglamentar.

CAPITULO II

PRINCIPIOS GENERALES RELATIVOS A LA PROTECCION DE DATOS

ARTICULO 3º.- Sin reglamentar.

ARTICULO 4º.- Para determinar la lealtad y buena fe

en la obtención de los datos personales, así como el destino que a

ellos se asigne, se deberá analizar el procedimiento efectuado para la

recolección y, en particular, la información que se haya proporcionado

al titular de los datos de acuerdo con el artículo 6º de la Ley Nº

25.326.

Cuando la obtención o recolección de los datos

personales fuese lograda por interconexión o tratamiento de archivos,

registros, bases o bancos de datos, se deberá analizar la fuente de

información y el destino previsto por el responsable o usuario para los

datos personales obtenidos.

El dato que hubiera perdido vigencia respecto de los

fines para los que se hubiese obtenido o recolectado debe ser suprimido

por el responsable o usuario sin necesidad de que lo requiera el

titular de los datos.

La DIRECCION NACIONAL DE PROTECCION DE DATOS

PERSONALES efectuará controles de oficio sobre el cumplimiento de este

principio legal, y aplicará las sanciones pertinentes al responsable o

usuario en los casos que correspondiere.

La DIRECCION NACIONAL DE PROTECCION DE DATOS

PERSONALES procederá, ante el pedido de un interesado o de oficio ante

la sospecha de una ilegalidad, a verificar el cumplimiento de las

disposiciones legales y reglamentarias en orden a cada una de las

siguientes etapas del uso y aprovechamiento de datos personales:

ARTICULO 5º.- El consentimiento informado es el que

está precedido de una explicación, al titular de los datos, en forma

adecuada a su nivel social y cultural, de la información a que se

refiere el artículo 6º de la Ley Nº 25.326.

La DIRECCION NACIONAL DE PROTECCION DE DATOS

PERSONALES establecerá los requisitos para que el consentimiento pueda

ser prestado por un medio distinto a la forma escrita, el cual deberá

asegurar la autoría e integridad de la declaración.

El consentimiento dado para el tratamiento de datos

personales puede ser revocado en cualquier tiempo. La revocación no

tiene efectos retroactivos.

A los efectos del artículo 5º, inciso 2 e), de la

Ley Nº 25.326 el concepto de entidad financiera comprende a las

personas alcanzadas por la Ley Nº 21.526 y a las empresas emisoras de

tarjetas de crédito, los fideicomisos financieros, las exentidades

financieras liquidadas por el BANCO CENTRAL DE LA REPUBLICA ARGENTINA y

los sujetos que expresamente incluya la Autoridad de Aplicación de la

mencionada Ley.

No es necesario el consentimiento para la

información que se describe en los incisos a), b), c) y d) del artículo

39 de la Ley Nº 21.526.

En ningún caso se afectará el secreto bancario,

quedando prohibida la divulgación de datos relativos a operaciones

pasivas que realicen las entidades financieras con sus clientes, de

conformidad con lo dispuesto en los artículos 39 y 40 de la Ley Nº

21.526.

ARTICULO 6º.- Sin reglamentar.

ARTICULO 7º.- Sin reglamentar.

ARTICULO 8º.- Sin reglamentar.

ARTICULO 9º.- La DIRECCION NACIONAL DE PROTECCION DE

DATOS PERSONALES promoverá la cooperación entre sectores públicos y

privados para la elaboración e implantación de medidas, prácticas y

procedimientos que susciten la confianza en los sistemas de

información, así como en sus modalidades de provisión y utilización.

ARTICULO 10.- Sin reglamentar.

ARTICULO 11.- Al consentimiento para la cesión de

los datos le son aplicables las disposiciones previstas en el artículo

5º de la Ley Nº 25.326 y el artículo 5º de esta reglamentación.

En el caso de archivos o bases de datos públicas

dependientes de un organismo oficial que por razón de sus funciones

específicas estén destinadas a la difusión al público en general, el

requisito relativo al interés legítimo del cesionario se considera

implícito en las razones de interés general que motivaron el acceso

público irrestricto.

La cesión masiva de datos personales de registros

públicos a registros privados sólo puede ser autorizada por ley o por

decisión del funcionario responsable, si los datos son de acceso

público y se ha garantizado el respeto a los principios de protección

establecidos en la Ley Nº 25.326. No es necesario acto administrativo

alguno en los casos en que la ley disponga el acceso a la base de datos

pública en forma irrestricta. Se entiende por cesión masiva de datos

personales la que comprende a un grupo colectivo de personas.

La DIRECCION NACIONAL DE PROTECCION DE DATOS

PERSONALES fijará los estándares de seguridad aplicables a los

mecanismos de disociación de datos.

El cesionario a que se refiere el artículo 11,

inciso 4, de la Ley Nº 25.326, podrá ser eximido total o parcialmente

de responsabilidad si demuestra que no se le puede imputar el hecho que

ha producido el daño.

ARTICULO 12.- La prohibición de transferir datos

personales hacia países u organismos internacionales o supranacionales

que no proporcionen niveles de protección adecuados, no rige cuando el

titular de los datos hubiera consentido expresamente la cesión.

No es necesario el consentimiento en caso de

transferencia de datos desde un registro público que esté legalmente

constituido para facilitar información al público y que esté abierto a

la consulta por el público en general o por cualquier persona que pueda

demostrar un interés legítimo, siempre que se cumplan, en cada caso

particular, las condiciones legales y reglamentarias para la consulta.

Facúltase a la DIRECCION NACIONAL DE PROTECCION DE

DATOS PERSONALES a evaluar, de oficio o a pedido de parte interesada,

el nivel de protección proporcionado por las normas de un Estado u

organismo internacional. Si llegara a la conclusión de que un Estado u

organismo no protege adecuadamente a los datos personales, elevará al

PODER EJECUTIVO NACIONAL un proyecto de decreto para emitir tal

declaración. El proyecto deberá ser refrendado por los Ministros de

Justicia y Derechos Humanos y de Relaciones Exteriores, Comercio

Internacional y Culto.

El carácter adecuado del nivel de protección que

ofrece un país u organismo internacional se evaluará atendiendo a todas

las circunstancias que concurran en una transferencia o en una

categoría de transferencias de datos; en particular, se tomará en

consideración la naturaleza de los datos, la finalidad y la duración de

tratamiento o de los tratamientos previstos, el lugar de destino final,

las normas de derecho, generales o sectoriales, vigentes en el país de

que se trate, así como las normas profesionales, códigos de conducta y

las medidas de seguridad en vigor en dichos lugares, o que resulten

aplicables a los organismos internacionales o supranacionales.

Se entiende que un Estado u organismo internacional

proporciona un nivel adecuado de protección cuando dicha tutela se

deriva directamente del ordenamiento jurídico vigente, o de sistemas de

autorregulación, o del amparo que establezcan las cláusulas

contractuales que prevean la protección de datos personales.

CAPITULO III

DERECHOS DE LOS TITULARES DE DATOS

ARTICULO 13.- Sin reglamentar.

ARTICULO 14.- La solicitud a que se refiere el

artículo 14, inciso 1, de la Ley Nº 25.326, no requiere de fórmulas

específicas, siempre que garantice la identificación del titular. Se

puede efectuar de manera directa, presentándose el interesado ante el

responsable o usuario del archivo, registro, base o banco de datos, o

de manera indirecta, a través de la intimación fehaciente por medio

escrito que deje constancia de recepción. También pueden ser utilizados

otros servicios de acceso directo o semidirecto como los medios

electrónicos, las líneas telefónicas, la recepción del reclamo en

pantalla u otro medio idóneo a tal fin. En cada supuesto, se podrán

ofrecer preferencias de medios para conocer la respuesta requerida.

Si se tratara de archivos o bancos de datos públicos

dependientes de un organismo oficial destinados a la difusión al

público en general, las condiciones para el ejercicio del derecho de

acceso podrán ser propuestas por el organismo y aprobadas por la

DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, la cual deberá

asegurar que los procedimientos sugeridos no vulneren ni restrinjan en

modo alguno las garantías propias de ese derecho.

El derecho de acceso permitirá:

Vencido el plazo para contestar fijado en el

artículo 14, inciso 2 de la Ley Nº 25.326, el interesado podrá ejercer

la acción de protección de los datos personales y denunciar el hecho

ante la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES a los

fines del control pertinente de este organismo.

En el caso de datos de personas fallecidas, deberá

acreditarse el vínculo mediante la declaratoria de herederos

correspondiente, o por documento fehaciente que verifique el carácter

de sucesor universal del interesado.

ARTICULO 15.- El responsable o usuario del archivo,

registro, base o banco de datos deberá contestar la solicitud que se le

dirija, con independencia de que figuren o no datos personales del

afectado, debiendo para ello valerse de cualquiera de los medios

autorizados en el artículo 15, inciso 3, de la Ley Nº 25.326, a opción

del titular de los datos, o las preferencias que el interesado hubiere

expresamente manifestado al interponer el derecho de acceso.

La DIRECCION NACIONAL DE PROTECCION DE DATOS

PERSONALES elaborará un formulario modelo que facilite el derecho de

acceso de los interesados.

Podrán ofrecerse como medios alternativos para responder el requerimiento, los siguientes:

que esté garantizada la identidad del interesado y la confidencialidad,

integridad y recepción de la información;

la configuración e implantación material del archivo, registro, base o

banco de datos, ofrecido por el responsable o usuario del mismo.

ARTICULO 16.- En las disposiciones de los artículos

16 a 22 y 38 a 43 de la Ley Nº 25.326 en que se menciona a algunos de

los derechos de rectificación, actualización, supresión y

confidencialidad, se entiende que tales normas se refieren a todos

ellos.

En el caso de los archivos o bases de datos públicas

conformadas por cesión de información suministrada por entidades

financieras, administradoras de fondos de jubilaciones y pensiones y

entidades aseguradoras, de conformidad con el artículo 5º, inciso 2, de

la Ley Nº 25.326, los derechos de rectificación, actualización,

supresión y confidencialidad deben ejercerse ante la entidad cedente

que sea parte en la relación jurídica a que se refiere el dato

impugnado. Si procediera el reclamo, la entidad respectiva debe

solicitar al BANCO CENTRAL DE LA REPUBLICA ARGENTINA, a la

SUPERINTENDENCIA DE ADMINISTRADORAS DE FONDOS DE JUBILACIONES Y

PENSIONES o a la SUPERINTENDENCIA DE SEGUROS DE LA NACION, según el

caso, que sean practicadas las modificaciones necesarias en sus bases

de datos. Toda modificación debe ser comunicada a través de los mismos

medios empleados para la divulgación de la información.

Los responsables o usuarios de archivos o bases de

datos públicos de acceso público irrestricto pueden cumplir la

notificación a que se refiere el artículo 16, inciso 4, de la Ley Nº

25.326 mediante la modificación de los datos realizada a través de los

mismos medios empleados para su divulgación.

ARTICULO 17.- Sin reglamentar.

ARTICULO 18.- Sin reglamentar.

ARTICULO 19.- Sin reglamentar.

ARTICULO 20.- Sin reglamentar.

CAPITULO IV

USUARIOS Y RESPONSABLES DE ARCHIVOS, REGISTROS Y BANCOS DE DATOS

ARTICULO 21.- El registro e inscripción de archivos,

registros, bases o bancos de datos públicos, y privados destinados a

dar información, se habilitará una vez publicada esta reglamentación en

el Boletín Oficial.

Deben inscribirse los archivos, registros, bases o

bancos de datos públicos y los privados a que se refiere el artículo 1º

de esta reglamentación.

A los fines de la inscripción de los archivos,

registros, bases y bancos de datos con fines de publicidad, los

responsables deben proceder de acuerdo con lo establecido en el

artículo 27, cuarto párrafo, de esta reglamentación.

ARTICULO 22.- Sin reglamentar.

ARTICULO 23.- Sin reglamentar.

ARTICULO 24.- Sin reglamentar.

ARTICULO 25.- Los contratos de prestación de

servicios de tratamiento de datos personales deberán contener los

niveles de seguridad previstos en la Ley Nº 25.326, esta reglamentación

y las normas complementarias que dicte la DIRECCION NACIONAL DE

PROTECCION DE DATOS PERSONALES, como así también las obligaciones que