[Solar-general] O.T: Disposición 5/2008 de la Direccion Nacional de Proteccion de datos personales

Jue Jun 5 02:58:03 CEST 2008

buenas...

esta info me llego x otra lista de correo, y creo interesante compartirla....

(esto venia en un .doc.. por lo que preferi "copipastear" la data).

===================

DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES

Disposición 5/2008

Apruébanse las Normas de Inspección y Control de la mencionada
Dirección Nacional.

Bs. As., 29/5/2008

VISTO:

El Expediente MJSyDH Nº 164.321/08 y la competencia atribuida a esta
DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES por la Ley Nº
25.326 y su reglamentación aprobada por Decreto Nº 1558/01, y

CONSIDERANDO:

Que entre las atribuciones asignadas a la DIRECCION NACIONAL DE
PROTECCION DE DATOS PERSONALES se encuentra la de dictar las normas
reglamentarias que se deben observar en el desarrollo de las
actividades comprendidas por la Ley Nº 25.326.

Que en su carácter de Organo de Control de la Ley Nº 25.326, la
DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES tiene la función
encomendada de atender las denuncias y reclamos interpuestos en
relación al tratamiento de datos personales en los términos de la
citada ley, según lo dispone el artículo 29, inciso 5, apartado a) de
la reglamentación aprobada por el Decreto Nº 1558/01.

Que asimismo tiene la facultad de controlar la observancia de las
normas sobre integridad y seguridad de datos por parte de los
archivos, registros o bancos de datos. A tal efecto podrá solicitar
autorización judicial para acceder a locales, equipos, o programas de
tratamiento de datos a fin de verificar infracciones al cumplimiento
de la Ley Nº 25.326.

Que el artículo 4º, párrafo cuarto, de la reglamentación aprobada por
el Decreto Nº 1558/01, establece que la DIRECCION NACIONAL DE
PROTECCION DE DATOS PERSONALES efectuará controles de oficio sobre el
cumplimiento de los principios de legitimidad del tratamiento, y
aplicará las sanciones pertinentes al responsable o usuario en los
casos que correspondiere.

Que en el párrafo quinto del artículo precedentemente citado se
dispone que la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES
procederá, ante el pedido de un interesado o de oficio ante la
sospecha de una ilegalidad, a verificar el cumplimiento de las
disposiciones legales y reglamentarias en orden a cada una de las
siguientes etapas del uso y aprovechamiento de datos personales:

a) legalidad de la recolección o toma de información personal;

b) legalidad en el intercambio de datos y en la transmisión a terceros
o en la interrelación entre ellos;

c) legalidad en la cesión propiamente dicha;

d) legalidad de los mecanismos de control interno y externo del
archivo, registro, base o banco de datos.

Que también tiene asignada la misión de imponer las sanciones
administrativas que correspondan por violación a las normas de la Ley
Nº 25.326 y de las reglamentaciones que se dicten en su consecuencia.

Que de ello se desprende que la DIRECCION NACIONAL DE PROTECCION DE
DATOS PERSONALES tiene a su cargo la facultad de llevar adelante
inspecciones para verificar el cumplimiento de los principios y
obligaciones impuestos por la Ley Nº 25.326.

Que por ello se estima conveniente establecer un procedimiento que
regirá la actividad de la DIRECCION NACIONAL DE PROTECCION DE DATOS
PERSONALES en el desarrollo de las fiscalizaciones que lleve adelante
en ejercicio de sus competencias.

Que corresponde en consecuencia establecer las NORMAS DE INSPECCION Y
CONTROL DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES.

Que ha tomado intervención el servicio jurídico de asesoramiento
permanente de este Ministerio.

Que la presente medida se dicta en uso de las facultades conferidas en
el artículo 29, inciso 1, apartado b) de la Ley Nº 25.326 y el
artículo 29, inciso 5, apartado a) del Anexo I del Decreto Nº 1558/01.

Por ello,

EL DIRECTOR NACIONAL DE PROTECCION DE DATOS PERSONALES

DISPONE:

Artículo 1º — Apruébanse las NORMAS DE INSPECCION Y CONTROL DE LA
DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, que como Anexo I
forma parte del presente.

Art. 2º — El ejercicio de la facultad de fiscalización que tiene
asignada la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES se
desarrollará de oficio y cuando la DIRECCION NACIONAL DE PROTECCION DE
DATOS PERSONALES estime corresponder, si bien podrá tener causa en una
petición o denuncia de un órgano del Estado nacional, provincial,
municipal o un particular.

Art. 3º — Las inspecciones y controles serán efectuados por un agente
de la planta permanente de la DIRECCION NACIONAL DE PROTECCION DE
DATOS PERSONALES debida mente acreditado, quien revestirá el carácter
de inspector y podrá estar acompañado por el personal técnico que sea
designado a tal fin por el Director Nacional de Protección de Datos
Personales a propuesta del titular del área requerida. En todos los
casos y de considerarlo pertinente, el Director Nacional de Protección
de Datos Personales podrá estar presente en la inspección.

Art. 4º — La iniciación de la inspección se instrumentará mediante
decisión del Director Nacional de Protección de Datos Personales y
será debidamente notificada al responsable de la base de datos sujeta
a control con una antelación no inferior a DIEZ (10) días hábiles,
salvo que se entienda que la previa notificación podrá afectar el
resultado de la investigación, en cuyo caso deberá constar la
pertinente justicación en el acto de apertura de la inspección. En
caso de efectuarse notificación, la misma deberá ir acompañada por una
copia del texto correspondiente a las NORMAS DE INSPECCION Y CONTROL
DE LA DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES aprobadas
por el Anexo I de la presente.

Art. 5º — La inspección consistirá en una o más visitas presenciales
del inspector en la que podrá acceder a la totalidad de los locales,
equipos o programas de tratamientos de datos personales del
responsable de la base de datos controlada. Dichas visitas se harán en
días y horas hábiles administrativos sin perjuicio de lo cual de
oficio o a petición de parte podrán habilitarse aquellos que no lo
fueren.

Art. 6º — La inspección se desarrollará conforme lo disponen los
puntos de las NORMAS DE INSPECCION Y CONTROL DE LA DIRECCION NACIONAL
DE PROTECCION DE DATOS PERSONALES, en forma total o parcial según el
alcance objetivo o causal del control y a las características del
tratamiento de datos bajo inspección. Podrán además solicitarse
elementos adicionales siempre que las circunstancias fácticas y el
tipo de tratamiento de datos así lo determinen.

Art. 7º — Los actos de inspección constarán en un acta que será
labrada en duplicado por el inspector y suscripta por el mismo, por
los técnicos que lo acompañen en su caso, y por el responsable de la
base de datos controlada. El original se incorporá a las actuaciones
que dieron origen a la inspección y el duplicado será entregado al
responsable de la base de datos.

Art. 8º — En caso de que resultare necesario solicitar autorización
judicial para acceder a locales, equipos, o programas de tratamiento
de datos a fin de verificar infracciones al cumplimiento de la Ley Nº
25.326, el inspector deberá elevar la respectiva petición al Director
Nacional de Protección de Datos Personales, quien formulará el
correspondiente requerimiento.

Art. 9º — Comuníquese, publíquese, dése a la DIRECCION NACIONAL DEL
REGISTRO OFICIAL y archívese. — Juan A. Travieso.

ANEXO I

NORMAS DE INSPECCION Y CONTROL

DE LA DIRECCION NACIONAL DE

PROTECCION DE DATOS PERSONALES

1. Objetivo general

1.1. Desarrollo de inspecciones que permitan mejorar la gestión de
tratamiento de datos personales por parte del responsable de las Bases
de Datos, el ejercicio de las facultades de control de la DIRECCION
NACIONAL DE PROTECCION DE DATOS PERSONALES y la mejor protección de
los derechos del titular del dato.

2. Objetivos de la inspección.

2.1. Tomar conocimiento de las actividades del Responsable de la Base
de Datos, los datos personales que administra, y los medios y la forma
con los que lo hace.

2.2. Evaluar el grado de cumplimiento lo prescripto por la Ley Nº 25.326.

2.3. Realizar recomendaciones para el mejor desempeño del responsable
dentro del marco legal.

3. Alcance de la inspección

Se verificarán las medidas técnicas y organizativas desarrolladas por
el Responsable de la Base de Datos en los siguientes campos:

3.1. Capacitación

3.1.1. Capacitación del personal

3.1.2. Títulos y acreditaciones de quien fuera designado como
encargado de la Base de Datos y/o responsable u órgano específico de
seguridad (Disposición DNPDP Nº 11/2006).

3.1.3. Inscripciones, habilitaciones, inhibiciones.

3.1.4. Participación en actividades de cámaras, asociaciones, organismos.

3.1.5. Publicaciones en medios.

3.1.6. Participación en actividades académicas.

3.2. Legalidad de los datos que posee y gestiona.

3.2.1. Licitud en la recolección de los datos.

3.2.2. Inscripción actualizada de sus Bases de Datos en el REGISTRO
NACIONAL DE BASES DE DATOS de la DIRECCION NACIONAL DE PROTECCION DE
DATOS PERSONALES.

3.3. Idoneidad de los medios empleados en el tratamiento de los datos
y en toda gestión anexa.

3.3.1. Materiales: instalaciones, medios de almacenamiento.

3.3.2. Sistemas, software.

3.3.3. Personal: diseño de sistemas, gestión de sistemas, atención a
usuarios, legales.

3.3.4. Procedimentales: formas de gestión, atención de reclamos,
corrección de errores, comunicación.

3.4. Correcto tratamiento de los datos personales.

3.4.1. Almacenamiento.

3.4.2. Interrelación de la información.

3.4.3. Modificación.

3.4.4. Ejercicio de los derechos que acuerda la ley a los titulares de
los datos.

3.4.5. Destrucción.

3.4.6. Cesión a terceros y transferencia internacional.

3.4.7. Contratos de prestación de servicios de tratamiento de datos
por o para terceros.

3.5. La publicidad y formas de comunicación hacia terceros que realiza
y que involucre a los datos personales de los que es responsable.

La publicidad y comunicación que se realice de productos o servicios
que involucren a los datos personales objeto de esta inspección, debe
ser coherente con la realidad producida por el inspeccionado y no debe
contradecir lo prescripto por la Ley 25.326.

3.5.1. Comunicación institucional

3.5.2. Publicidad comercial.

4. Metodología de la inspección:

4.1. Acreditaciones obligatorias del responsable.

4.1.1. Personería

4.1.2. Registro DNPDP

4.2. Acreditaciones optativas

4.2.1. ANSES

4.2.2. ART

4.2.3. Habilitación municipal

4.2.4. CUIT

4.3. Legalidad y corrección de los datos objeto de tratamiento.

4.3.1. Licitud del tratamiento de datos personales.

4.3.1.1. Tipos de datos que se gestionan.

4.3.1.2. Finalidad del tratamiento, servicios que se prestan.

4.3.1.3. Origen o fuente de los datos, formas de recolección.
Verificación del consentimiento del titular para el tratamiento de sus
datos.

4.3.1.3.1. Verificación de los procesos de incorporación de datos a la base.

4.3.1.3.2. Comprobación de los consentimientos firmados.

4.3.1.4. Cesiones a terceros. Cumplimiento de los requisitos legales.

4.3.1.5. Transferencias internacionales. Cumplimiento de los requisitos legales.

4.3.1.6. Mecanismos de disociación de la información personal.

4.3.1.7. Destrucción de la información.

4.3.1.7.1. Verificación de la utilidad o pertinencia de la información
registrada

4.3.1.7.2. Periodicidad de la verificación.

4.3.1.7.3. Forma de destrucción.

4.3.2. Inscripciones vigentes en la DNPDP para los tratamientos de
datos inspeccionados.

4.3.3. Medidas de seguridad de la información

4.3.3.1. Cumplimiento de la Disposición DNPDP Nº 11/06.

4.3.4. Política de privacidad y confidencialidad del responsable.

4.3.4.1. Se verificará si tiene una política de privacidad.

4.3.4.2. Grado de cumplimiento de la política de privacidad.

4.3.4.3. Publicidad y difusión de la política de privacidad.

4.3.4.4. Convenios de confidencialidad firmados por los empleados,
usuarios o terceros que accedan a la información registrada en la base
de datos.

4.3.4.5. Se verificará si el responsable adopta mecanismos para
evaluar el cumplimiento de la política de privacidad y de los
convenios de confidencialidad.

4.3.5. Casos especiales. Cumplimiento de la normativa específica.

4.3.5.1. Datos relativos a la salud.

4.3.5.1.1. Establecimientos sanitarios y profesionales de la salud.

4.3.5.1.2. Investigaciones clínicas, farmacológicas y farmacogenéticas.

4.3.5.1.2.1. Verificación que los consentimientos informados del
paciente para los protocolos de investigación cuenten con la
aprobación de la DNPDP.

4.3.5.1.2.2. El consentimiento libre, expreso por escrito, e informado
brindado por el paciente. En caso de menores, conste la autorización
de su representante legal y eventual asentimiento del menor.

4.3.5.1.2.3. La previa explicación al paciente en forma adecuada a su
nivel sociocultural.

4.3.5.1.2.4. Respeto del secreto profesional y normas de
confidencialidad para el tratamiento de los datos personales
recolectados.

4.3.5.1.2.5. Respeto de la revocabilidad del consentimiento para el
tratamiento de los datos personales.

4.3.5.1.2.6. Cesionarios o receptores en caso de cesión o
transferencia internacional de datos personales.

4.3.5.1.2.7. Análisis de los mecanismos de disociación de los datos personales.

4.3.5.2. Tratamiento de datos por cuenta de terceros.

4.3.5.2.1. Contrato de servicio

4.3.5.2.2. Uso posterior de los datos una vez cumplido el contrato.
Conservación o destrucción.

4.3.5.3. Bases de datos destinadas a la información crediticia.

4.3.5.3.1. Análisis de las fuentes legítimas.

4.3.5.3.2. Estricto cumplimiento del tipo de información que el
artículo 26 habilita tratar.

4.3.5.3.3. Aplicación de los plazos de caducidad para la publicidad de
la información del artículo 26, inciso 4.

4.3.5.4. Bases de datos destinadas a la publicidad.

4.3.5.4.1. Origen de los datos.

4.3.5.4.2. Información al titular de los datos

4.3.5.4.3. Mecanismo previsto para el ejercicio del derecho de bloqueo
del artículo 27, inciso 3.

4.3.5.5. Bases de datos destinados a las encuestas de opinión.

4.4. Idoneidad de los medios empleados en el tratamiento de los datos
y en gestiones anexas.

4.4.1. Materiales: instalaciones y medios de almacenamiento.

4.4.1.1. Compartidas o exclusivas.

4.4.1.2. Grado de privacidad / seguridad en las operaciones.

4.4.2. Sistemas, software:

4.4.2.1. Medios de seguridad contra acciones no permitidas.

4.4.3. Personal. Se entrevista al personal de las áreas de:

4.4.3.1. Diseño de sistemas y gestión de sistemas: calificación del personal.

4.4.3.1.1. Conocimiento de la responsabilidad vinculada al tratamiento
de datos personales.

4.4.3.1.2. Estudios básicos.

4.4.3.1.3. Estudios y formación vinculados a la protección de datos personales.

4.4.3.1.3.1. Cursos al ingreso Cursos actualización

4.4.3.1.3.2. Internos, en la organización.

4.4.3.1.3.3. Externos.

4.4.3.2. Atención a titulares y usuarios: calificación del personal.

4.4.3.2.1. Conocimiento de responsabilidad vinculada al tratamiento de
datos personales, los derechos de los titulares y las obligaciones de
la Ley 25.326

4.4.3.2.2. Tiempo de antigüedad en la actividad.

4.4.3.2.3. Estudios básicos.

4.4.3.2.4. Estudios y formación vinculados a la protección de datos personales.

4.4.3.2.4.1. Cursos al ingreso Cursos actualización

4.4.3.2.4.2. Internos, en la organización

4.4.3.2.4.3. Externos.

4.4.3.2.5. Capacidad de trato.

4.4.3.2.6. Actitud frente a reclamos.

4.4.3.2.7. Capacidad de comunicación.

4.4.3.2.8. Idiomas, cuáles, grado de conocimiento.

4.4.3.3. Legales, calificación del personal

4.4.3.3.1. Conocimiento de la responsabilidad vinculada al tratamiento
de datos personales.

4.4.3.3.2. Tiempo de antigüedad en la actividad.

4.4.3.3.3. Estudios básicos.

4.4.3.3.4. Estudios y formación vinculados a la protección de datos personales.

4.4.3.3.4.1. Cursos al ingreso Cursos actualización

4.4.3.3.4.2. Internos, en la organización.

4.4.3.3.4.3. Externos.

4.4.3.3.5. Capacidad de trato.

4.4.3.3.6. Actitud frente a reclamos.

4.4.3.3.7. Capacidad de comunicación.

4.4.4. Procedimentales: atención de reclamos, corrección de errores,
comunicación.

Se verifican procedimientos específicos por ejemplo:

4.4.4.1. Procedimiento: Derecho de acceso

4.4.4.1.1. Personas a cargo, calificación.

4.4.4.1.2. Recepción de solicitud: Formas Lugar Horario

4.4.4.1.3. Verificación de la identidad del solicitante.

4.4.4.1.4. Elaboración de la respuesta, colección de la información,
redacción, presentación (papel, archivo).

4.4.4.1.5. Entrega de la respuesta, formas y procedimiento (correo, email, fax).

4.4.4.1.6. Registro del caso (ticket, archivo).

4.4.4.1.7. Seguimiento.

4.4.4.1.8. Tiempo transcurrido entre la solicitud y la recepción de la
respuesta. Análisis de casos testigo.

4.4.4.2. Procedimiento: Rectificación Actualización Supresión Bloqueo.

4.4.4.2.1. Personas a cargo, calificación.

4.4.4.2.2. Verificación de la identidad del solicitante.

4.4.4.2.3. Recepción de solicitud: Formas Lugar Horario

4.4.4.2.4. Elaboración de la respuesta, colección de la información,
redacción, presentación (papel, archivo).

4.4.4.2.5. Entrega de la respuesta, formas y procedimiento (correo, email, fax).

4.4.4.2.6. Registro del caso (ticket, archivo).

4.4.4.2.7. Seguimiento.

4.4.4.2.8. Tiempo transcurrido entre la solicitud y la recepción de la
respuesta.

4.5. Acatamiento de las disposiciones de la DNPDP

4.5.1. Disposiciones generales

4.5.2. Disposiciones particulares acaecidas en sumarios tramitados
ante la DNPDP en los que el responsable de la base de datos haya sido
parte.

-- 
 Marco Antonio de Hoyos
 15-5-157-2322 // 4268-1557
Claypole - Pcia. de Bs. As.- Argentina
ICQ#92702911 / jabber: mhoyos en jabber.org
 ------------------------------------------------------------------
> software is like sex, it´s better when it´s free <
 (Linus Torvalds)
 ------------------------------------------------------------------
 http://tecnicoslinux.com.ar ~ https://ututo.org
 "Mas vale dichoso en burro, ke infeliz a caballo"