DECRETO (Poder Ejecutivo) 1160/2010
Se modifica la reglamentación de la ley de protección de datos personales -establecida por D. 1558/2001-, implantando un nuevo procedimiento para regular la actividad de la Dirección Nacional de Protección de Datos Personales respecto de la procedencia de aplicación de sanciones, con resguardo de las reglas del debido proceso y del derecho de defensa. Asimismo, se establece que el registro de los responsables de la comisión de infracciones debe ser publicado en la página Web del citado organismo, siempre y cuando se trate de sanciones que se encuentren firmes.
VISTO:
El expediente 140.546/03 del registro del MINISTERIO DE JUSTICIA, SEGURIDAD Y DERECHOS HUMANOS, la LEY DE PROTECCIÓN DE LOS DATOS PERSONALES 25326 y su decreto reglamentario 1558 de fecha 29 de noviembre de 2001, y
CONSIDERANDO:
Que la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, organismo dependiente de la SUBSECRETARÍA DE ASUNTOS REGISTRALES de la SECRETARÍA DE ASUNTOS REGISTRALES del Ministerio citado en el Visto, su carácter de órgano de control de la ley 25326, tiene encomendada la función de investigar y controlar que el tratamiento de los datos personales se realice en los términos de la citada ley.
Que, asimismo, tiene asignada la misión de imponer las sanciones administrativas que correspondan por violación a las normas de la ley 25326 y de las reglamentaciones que se dicten en su consecuencia.
Que por la disposición 7 del 8 de noviembre de 2005 del registro de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, se aprobó la “Clasificación de Infracciones” y la “Graduación de las Sanciones” a aplicar ante violaciones a las normas antes mencionadas.
Que el inciso 2) del artículo 31 de la ley 25326 dispone que la reglamentación determinará el procedimiento para la aplicación de las sanciones previstas en el mismo artículo.
Que el Anexo I del decreto 1558/2001, reglamentario de la ley 25326, estableció en el inciso 3) del artículo 31, las reglas a las que debía ajustarse el procedimiento.
Que resulta conveniente sustituir dicho precepto, estableciendo un procedimiento que, aun cuando mantiene el esquema actualmente vigente, regule con mayores precisiones y simplifique la actividad de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES relativa a sus funciones de investigación y control, con miras a la procedencia de la aplicación de sanciones, con resguardo de las reglas del debido proceso y del derecho de defensa.
Que asimismo, la antes citada disposición (DNPDP) 7/2005 creó el REGISTRO DE INFRACTORES LEY 25326 con el objeto de organizar y mantener actualizado un registro de los responsables de la comisión de las infracciones contempladas en el Anexo I de la disposición mencionada.
Que se considera conveniente, en cumplimiento de la garantía de publicidad de los actos de gobierno, conforme lo prevé el decreto 1172 de fecha 3 de diciembre de 2003, que las constancias del Registro mencionado en el considerando precedente, sean publicadas en la página Web de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, siempre y cuando se trate de sanciones que se encuentren firmes.
Que han tomado la intervención que les compete la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS del MINISTERIO DE JUSTICIA, SEGURIDAD Y DERECHOS HUMANOS y la PROCURACIÓN DEL TESORO DE LA NACIÓN.
Que la presente medida se dicta en uso de las atribuciones conferidas por el artículo 99, inciso 2) de la CONSTITUCIÓN NACIONAL.
Por ello,
LA PRESIDENTA DE LA NACIÓN ARGENTINA
DECRETA:
Art. 1 - Sustitúyese el inciso 3) del artículo 31 del Anexo I del decreto 1558/2001 por el siguiente:
“3. El procedimiento se ajustará a las siguientes disposiciones:
a) La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES (DNPDP) iniciará actuaciones administrativas en caso de presuntas infracciones a las disposiciones de la ley 25326, sus normas reglamentarias y complementarias, de oficio o por denuncia de quien invocare un interés particular, del Defensor del Pueblo de la Nación o de asociaciones de consumidores o usuarios.
b) Para el cumplimiento de sus cometidos, la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES podrá:
I) Comprobar la legitimidad de todas las operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.
II) Constatar el funcionamiento adecuado de los mecanismos de control interno y externo del archivo, registro, base o banco de datos para el efectivo resguardo de los datos personales que contiene.
III) Verificar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos.
IV) Velar por el cumplimiento de los plazos establecidos en los artículos 14 y 16 de la ley 25326 para el ejercicio de los derechos de acceso, rectificación, supresión, actualización y confidencialidad reconocidos a los titulares de datos personales.
V) Realizar investigaciones e inspecciones, así como requerir de los responsables o usuarios de bancos de datos personales y de su tratamiento, información, antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que estime necesario y también solicitar el auxilio de los cuerpos técnicos y/o, en su caso, la autorización judicial que corresponda, a sus efectos.
VI) Solicitar la presentación de informes a los responsables de bancos de datos y de su tratamiento.
VII) Formular requerimientos ante las autoridades nacionales, provinciales y municipales.
VIII) Realizar inspecciones y labrar el Acta de Inspección pertinente, la que junto con las comprobaciones técnicas que se dispusieren, constituirá prueba suficiente de los hechos así comprobados.
IX) Solicitar al juez competente el auxilio de la fuerza pública para realizar el allanamiento de domicilios; la Clausura de registros; el secuestro de documentación y toda otra medida tendiente al cabal cumplimiento de la actividad investigativa.
c) Para el inicio del procedimiento, el denunciante deberá presentar ante la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES un escrito, el que deberá contener fecha, firma y aclaración; documento de identidad (DNI-CUIL-CUIT), domicilio, la relación del hecho denunciado con las circunstancias de lugar, tiempo y modo de ejecución y demás elementos que puedan conducir a su comprobación, como mínimo. Deberá acompañar en el mismo acto la documentación y antecedentes que confirmen sus dichos y acreditar en el momento de la interposición de la denuncia, las gestiones previas ante el responsable de la base de datos, cuando se tratare de cuestiones referidas a los derechos de acceso, actualización, rectificación, supresión, confidencialidad o bloqueo, regulados en los artículos 14, 16 y 27 de la ley 25326.
La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES podrá habilitar un sistema telemático para facilitar la interposición de la denuncia.
d) Iniciado el procedimiento, se requerirá del responsable de la base de datos sobre la que recae la denuncia, un informe acerca de los antecedentes y circunstancias que hicieren al objeto de la denuncia o actuación de oficio, así como de otros elementos de juicio que permitan dilucidar la cuestión sujeta a investigación o control. La información requerida deberá ser contestada dentro de los DIEZ (10) días hábiles, salvo que el denunciado solicite en tiempo y forma una prórroga la que no podrá superar los DIEZ (10) días hábiles. Este plazo podrá ampliarse en casos debidamente justificados teniendo en cuenta la magnitud y dimensión de la base de datos. En su primera presentación, el denunciado deberá acreditar personería y constituir domicilio legal.
e) El funcionario actuante admitirá las pruebas que estime pertinentes sólo cuando existieren hechos controvertidos y siempre que no resultaren manifiestamente inconducentes. La denegatoria de las medidas de prueba no será recurrible.
f) En las distintas etapas del procedimiento, se podrá requerir al denunciante que aporte información o documentación que sea pertinente para la dilucidación de la investigación.
g) Cuando se considere prima facie que se han transgredido algunos de los preceptos de la ley 25326, sus normas reglamentarias y complementarias, se labrará un Acta de Constatación, la que deberá contener: lugar y fecha, nombre, apellido y documento de identidad del denunciante; una relación sucinta de los hechos; la indicación de las diligencias realizadas y su resultado y la o las disposiciones presuntamente infringidas, como mínimo. En ésta se dispondrá citar al presunto infractor para que, dentro del plazo de DIEZ (10) días hábiles, presente por escrito su descargo y, en caso de corresponder, acompañe las pruebas que hagan a su derecho.
h) Concluida la investigación y previo dictamen del servicio permanente de asesoramiento jurídico del MINISTERIO DE JUSTICIA, SEGURIDAD Y DERECHOS HUMANOS, el Director Nacional de Protección de Datos Personales dictará la respectiva disposición, la que deberá declarar:
I) que los hechos investigados no constituyen una irregularidad, o
II) que los hechos investigados constituyen una infracción, quiénes son sus responsables y cuál es la sanción administrativa que corresponde aplicar, conforme lo dispuesto en la ley 25326, sus normas reglamentarias y complementarias y lo establecido en la disposición (DNPDP) 7 de fecha 8 de noviembre de 2005.
La resolución que se dicte deberá ser notificada al infractor.
i) Contra la resolución definitiva procederá la vía recursiva prevista en el REGLAMENTO DE PROCEDIMIENTOS ADMINISTRATIVOS (D. 1759/1972 - t.o. 1991) y sus modificatorios.
j) Dictada la resolución que impone una sanción administrativa, la constancia de la misma deberá ser incorporada en el REGISTRO DE INFRACTORES LEY 25326, que lleva la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES. Las constancias de dicho Registro relativas a aquellas sanciones aplicadas que se encuentren firmes deberán publicarse en el sitio de Internet de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES (www.jus.gov.ar/dnpdpnew).
k) Resultarán de aplicación supletoria la LEY NACIONAL DE PROCEDIMIENTOS ADMINISTRATIVOS 19549; el REGLAMENTO DE PROCEDIMIENTOS ADMINISTRATIVOS (D. 1759/1972 - t.o. 1991) y sus modificatorios y el CÓDIGO PROCESAL CIVIL Y COMERCIAL DE LA NACIÓN”.
Art. 2 - De forma.
