BASES DE DATOS. OBLIGACIONES LEGALES DE SUS RESPONSABLES

BASES DE DATOS. OBLIGACIONES LEGALES DE SUS RESPONSABLES

Inscripción de bases de datos personales

Los archivos y bases de datos públicos y privados destinados a dar informes deben estar inscriptos en el Registro Nacional de Bases de Datos Personales. Incumplir con esta obligación puede ocasionar sanciones.

Los archivos de uso exclusivo personal están exceptuados de la obligación de inscripción (por ejemplo: computadora personal con direcciones de amistades y agendas).

¿Qué es una base de datos personales destinada a dar informes?

Es todo registro, archivo, base o banco de datos que permita obtener información sobre las personas, se transmitan o no a terceros.

La Real Academia Española define a la palabra "informe" como: "Descripción oral o escrita de las características o circunstancias de un suceso o asunto". Entonces "banco de datos destinado a dar informes" equivale a "banco de datos destinado a describir algo sobre las personas".

De esta manera, cuando se accede a una base que interrelaciona datos y produce una serie de informaciones acerca de una persona determinada, se configura la acción requerida por la norma: "brindar informe".

Para que rija la protección de la ley alcanza con que uno de los usos que se le da a la base de datos sea brindar información o describir algo sobre una persona determinada o determinable.

Tampoco la norma exige que el destinatario del informe deba ser una tercera persona ajena al responsable o usuario de la base de datos, sino que también abarca los usos internos de la información personal.

Información al titular del dato personal

Cuando se recaban datos personales se debe informar previamente a sus titulares en forma expresa y clara:

a) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios.

b) La existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable.

c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos referidos en el artículo siguiente.

d) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos.

e) La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos.

Esta información debe ser exhibida en un sitio visible de acuerdo a lo establecido en la Resolución AAIP 14/2018

 

Seguridad de la información

Las bases de datos personales deben garantizar la seguridad y confidencialidad de los datos personales, para ello deben adoptarse determinadas medidas técnicas y organizativas.

Medidas de seguridad recomendadas

Transferencia internacional de datos personales

La Ley 25326 prohíbe la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados.

Países con niveles de protección adecuada

Estados miembros de la Unión Europea y miembros del espacio económico europeo (EEE), Reino Unido De Gran Bretaña E Irlanda Del Norte, Confederación Suiza, Guernsey, Jersey, Isla de Man, Islas Feroe, Canadá sólo respecto de su sector privado, Principado de Andorra, Nueva Zelanda, República Oriental del Uruguay y Estado de Israel sólo respecto de los datos que reciban un tratamiento automatizado. (Disposición DNPDP 60/2016 y Resolución AAIP 34/2019).

¿Qué significa nivel de protección adecuado?

Se entiende que un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente, o de sistemas de autorregulación.

Excepciones

La prohibición de transferencia internacional, a países u organismos que no proporcionen niveles de protección adecuado, no rige en los siguientes casos:

  • Colaboración judicial internacional.
  • Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica.
  • Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable.
  • Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte.
  • Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.
  • Cuando el titular de los datos hubiera consentido expresamente la cesión.
  • Cuando existan cláusulas contractuales que brinden una protección similar a la de nuestra normativa.

Contratos modelo de transferencia internacional de datos personales

Procedimiento voluntario de solicitud de aprobación de cláusulas de contratos de transferencia internacional

• Redactá una nota de solicitud de aprobación de cláusulas.
• Explicá en qué puntos difiere el contrato que estás presentando de las cláusulas modelo (Disposición 60/2016) y cómo crees que es compatible con la Ley N° 25.326.
• Adjuntá fotocopia de las cláusulas.
• Presentá todo en la Dirección Nacional de Protección de Datos Personales, Av. Julio A. Roca 710 3° piso - Ciudad Autónoma de Buenos Aires.

Es necesario solicitar la autorización de la Dirección Nacional de Protección de Datos Personales respecto de un contrato de transferencia internacional de datos personales hacia países que no cuenten con legislación adecuada en caso que (i) el contrato difiera de los modelos aprobados en el la Disposición 60/2016 o (ii) el contrato no contenga los principios, garantías y contenidos relativos a la protección de los datos personales previstos en los modelos aprobados, dentro de los 30 días siguientes de efectuada la transferencia (ver Art. 2, Disposición DNPDP 60/2016).

Es necesario solicitar la autorización de la Dirección Nacional de Protección de Datos Personales respecto de la utilización de normas corporativas vinculantes para sustentar transferencias internacionales de datos personales hacia países que no cuenten con legislación adecuada en caso que las normas de autorregulación utilizadas difieran del documento obrante en el Anexo I de la Resolución AAIP 159/2018.

No es necesario instrumentar una transferencia internacional mediante un contrato/normas corporativas vinculantes si el país de destino posee legislación adecuada.

Normativa Relacionada