Obligaciones de los responsables de bases de datos personales
Inscripción de bases de datos personales
Los archivos y bases de datos públicos y privados destinados a dar informes deben estar inscriptos en el Registro Nacional de Bases de Datos Personales. Incumplir con esta obligación puede ocasionar sanciones.
Los archivos de uso exclusivo personal están exceptuados de la obligación de inscripción (por ejemplo: computadora personal con direcciones de amistades y agendas).
Iniciá un trámite ante el Registro Nacional de Bases de Datos Personales
Información al titular del dato personal
Cuando se recaban datos personales se debe informar previamente a sus titulares en forma expresa y clara:
a) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios.
b) La existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable.
c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos referidos en el artículo siguiente.
d) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos.
e) La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos.
Esta información debe ser exhibida en un sitio visible de acuerdo a lo establecido en la Resolución AAIP 14/2018
Seguridad de la información
Las bases de datos personales deben garantizar la seguridad y confidencialidad de los datos personales, para ello deben adoptarse determinadas medidas técnicas y organizativas.
Medidas de seguridad recomendadas
Transferencia internacional de datos personales
La Ley 25326 prohíbe la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados.
Países con niveles de protección adecuada
Estados miembros de la Unión Europea y miembros del espacio económico europeo (EEE), Reino Unido De Gran Bretaña E Irlanda Del Norte, Confederación Suiza, Guernsey, Jersey, Isla de Man, Islas Feroe, Canadá sólo respecto de su sector privado, Principado de Andorra, Nueva Zelanda, República Oriental del Uruguay y Estado de Israel sólo respecto de los datos que reciban un tratamiento automatizado. (Disposición DNPDP 60/2016 y Resolución AAIP 34/2019).
¿Qué significa nivel de protección adecuado?
Se entiende que un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente, o de sistemas de autorregulación.
Excepciones
La prohibición de transferencia internacional, a países u organismos que no proporcionen niveles de protección adecuado, no rige en los siguientes casos:
- Colaboración judicial internacional.
- Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica.
- Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable.
- Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte.
- Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.
- Cuando el titular de los datos hubiera consentido expresamente la cesión.
- Cuando existan cláusulas contractuales que brinden una protección similar a la de nuestra normativa.
Contratos modelo de transferencia internacional de datos personales
Procedimiento voluntario de solicitud de aprobación de cláusulas de contratos de transferencia internacional
• Redactá una nota de solicitud de aprobación de cláusulas.
• Explicá en qué puntos difiere el contrato que estás presentando de las cláusulas modelo (Disposición 60/2016) y cómo crees que es compatible con la Ley N° 25.326.
• Adjuntá fotocopia de las cláusulas.
• Presentá todo en la Dirección Nacional de Protección de Datos Personales, Av. Julio A. Roca 710 3° piso - Ciudad Autónoma de Buenos Aires.
Es necesario solicitar la autorización de la Dirección Nacional de Protección de Datos Personales respecto de un contrato de transferencia internacional de datos personales hacia países que no cuenten con legislación adecuada en caso que (i) el contrato difiera de los modelos aprobados en el la Disposición 60/2016 o (ii) el contrato no contenga los principios, garantías y contenidos relativos a la protección de los datos personales previstos en los modelos aprobados, dentro de los 30 días siguientes de efectuada la transferencia (ver Art. 2, Disposición DNPDP 60/2016).
Es necesario solicitar la autorización de la Dirección Nacional de Protección de Datos Personales respecto de la utilización de normas corporativas vinculantes para sustentar transferencias internacionales de datos personales hacia países que no cuenten con legislación adecuada en caso que las normas de autorregulación utilizadas difieran del documento obrante en el Anexo I de la Resolución AAIP 159/2018.
No es necesario instrumentar una transferencia internacional mediante un contrato/normas corporativas vinculantes si el país de destino posee legislación adecuada.
Normativa Relacionada
- Normas generales: Ley N° 25.326 (Art. 12) y Decreto 1588/2001 (Art. 12) y Convenio 108.
- Cláusulas contractuales: Disposición DNPDP 60/2016 ( Resolución AAIP 34/2019)
- Normas corporativas vinculantes: Resolución AAIP 159/2018