Presidencia de la Nación

AGENCIA DE ACCESO A LA INFORMACION PUBLICA


AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

Resolución 240/2022

RESOL-2022-240-APN-AAIP

Ciudad de Buenos Aires, 01/12/2022

VISTO el Expediente N° EX-2022-128350138- -APN-AAIP, las Leyes Nros. 25.32, 26.951 y 27.275, y sus reglamentaciones aprobadas por los Decretos Nros. 1558 del 29 de noviembre de 2001, 2501 del 17 de diciembre de 2014 y 206 del 27 de marzo de 2017, respectivamente, los Decretos Nros. 746 del 25 de septiembre de 2017 y 899 del 6 de noviembre de 2017, las Disposiciones DNPDP Nros. 1 del 25 de junio de 2003, 7 del 8 de noviembre de 2005 y 9 del 19 de febrero de 2015 y 13 del 10 de marzo de 2015, y

CONSIDERANDO:

Que la Ley N° 25.326 de Protección de Datos Personales en su artículo 1°, tiene por objeto “la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional”.

Que por el artículo 19 de la Ley Nº 27.275 y sus modificatorios se creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA como ente autárquico con autonomía funcional en el ámbito de JEFATURA DE GABINETE DE MINISTROS, con el objeto de velar por el cumplimiento de los principios y procedimientos establecidos en la Ley N° 27.275, garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover medidas de transparencia activa y actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales N° 25.326.

Que, asimismo, a través del artículo 9° de la Ley N° 26.951, sustituido por el artículo 14 del Decreto N°746 del 25 de septiembre de 2017, se estableció a la Agencia de Acceso a la Información Pública como autoridad de aplicación de dicha ley que crea el Registro Nacional “No llame”.

Que, entre las atribuciones asignadas a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA se encuentra la de dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por la Ley N° 25.326 en el artículo 29 apartado 1, inciso b.

Que, asimismo, entre sus competencias se encuentra la facultad de imponer las sanciones administrativas que correspondan ante la constatación de violaciones a las normas citadas y sus reglamentaciones, de acuerdo a lo previsto en el artículo 29, apartado 1, inciso f) de la misma ley.

Que a través de las Disposiciones de la Dirección Nacional de Protección de Datos Personales N° 1 del 25 de junio de 2003, derogada por la Disposición DNPDP N° 7/05, y posteriormente actualizada por la Disposición DNPDP N° 9/15, se estableció el régimen de clasificación de infracciones y la graduación de sanciones.

Que el desarrollo de las actividades de la Agencia de Acceso a la Información Pública en su carácter de Autoridad de Aplicación de las leyes N° 25.326 y N° 26.951, determinan la necesidad de incorporar nuevos hechos u omisiones que impliquen transgresiones a ambas normativas.

Que en atención a la dinámica que adquieren las transformaciones tecnológicas y el desarrollo de la economía digital, y su impacto en la generación de potenciales nuevas vulneraciones al derecho a la protección de datos personales y la privacidad, la Agencia de Acceso a la Información Pública considera oportuno establecer y clarificar el régimen y graduaciones de las sanciones.

Que al efecto, para afrontar tales transformaciones, resulta necesario actualizar los Anexos I y II de la Disposición DNPDP N° 9/15 que establecen, respectivamente, la clasificación de las infracciones en leves, graves y muy graves, y la graduación de las sanciones y, en consecuencia, formular un nuevo régimen de clasificación de infracciones y nuevos parámetros para la graduación de sanciones, para las conductas que se consideran violatorias de la Leyes N° 25.326 y 26.951 y su reglamentación.

Que, asimismo, se requiere mantener el REGISTRO DE INFRACTORES LEY N° 25.326, en su carácter de registro de los responsables de las infracciones contempladas en la presente medida, cuyo objetivo principal es establecer antecedentes para la evaluación de la cuantía de las sanciones, especialmente en materia de reincidencia.

Que la Dirección de Asuntos Jurídicos ha tomado la intervención de su competencia.

Que la presente medida se dicta en uso de las facultades conferidas por los artículos 29, apartado 1, inciso b) de la Ley N° 25.326 y 29 del Anexo I al Decreto N° 1558/01 y 9° de la Ley N° 26.951.

Por ello,

LA DIRECTORA DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE

Artículo 1° — Deróganse las Disposiciones de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES N° 9 del 19 de febrero de 2015 y N° 13 del 10 de marzo de 2015.

Artículo 2° — Sustitúyense los Anexos I y II al artículo 2° de la Disposición de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES N° 7 del 8 de noviembre de 2005, los que quedarán redactados conforme lo establecido en los Anexos I (IF-2022-129382825-APN-AAIP) y II (IF-2022-129384886-APN-AAIP) que forman parte integrante de la presente medida.

Artículo 3° — Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.

Beatriz de Anchorena

NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-

e. 05/12/2022 N° 99318/22 v. 05/12/2022

(Nota Infoleg: Los anexos referenciados en la presente norma han sido extraídos de la edición web de Boletín Oficial)


ANEXO I

CLASIFICACIÓN DE LAS INFRACCIONES

1. - Serán consideradas INFRACCIONES LEVES, sin perjuicio de otras que a juicio de la Autoridad de Aplicación también las constituyan:

a) Efectuar tratamiento de datos personales sin encontrarse inscripto ante el REGISTRO NACIONAL DE BASES DE DATOS en infracción a lo dispuesto por el artículo 3° de la Ley N° 25.326.

b) No informar en tiempo y forma modificaciones, actualizaciones o bajas ante el REGISTRO NACIONAL DE BASES DE DATOS.

c) No proporcionar en tiempo y forma la información que solicite la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES en el ejercicio de las competencias que tiene atribuidas.

d) No acompañar en tiempo y forma la documentación requerida en el marco de un procedimiento de inspección.

e) No respetar el principio de gratuidad previsto en el artículo 19 de la Ley N° 25.326.

2. - Serán consideradas INFRACCIONES GRAVES, sin perjuicio de otras que a juicio de la Autoridad de Aplicación también las constituyan:

a) No inscribir la base de datos de carácter personal en el REGISTRO NACIONAL DE BASES DE DATOS, cuando haya sido requerido para ello por la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

b) Declarar datos falsos o inexactos al efectuar la registración ante el REGISTRO NACIONAL DE BASES DE DATOS.

c) Tratar datos de carácter personal sin contar con una base de legitimación adecuada.

d) Recoger datos de carácter personal sin proporcionar a los titulares de los mismos el derecho de información exigida por el artículo 6° de Ley N° 25.326.

e) No atender en tiempo y forma la solicitud de los titulares de los datos personales de los derechos de acceso, rectificación o supresión cuando legalmente proceda.

f) Proceder al tratamiento de datos de carácter personal que no reúnan las calidades de ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.

g) Incumplir el deber de confidencialidad y seguridad sobre los datos de carácter personal incorporados a registros, archivos, bancos o bases de datos.

h) Mantener bases de datos locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que la normativa determina.

i) Mantener por más tiempo que el establecido legalmente, el registro, archivo o cesión de los datos significativos para evaluar la solvencia económico-financiera de los titulares de los datos.

j) Tratar, dentro de la prestación de servicios de información crediticia, datos personales patrimoniales que excedan la información relativa a la solvencia económica y al crédito del titular de tales datos.

k) No retirar o bloquear el nombre y dirección de correo electrónico de los bancos de datos destinados a publicidad cuando su titular lo solicite de conformidad con lo previsto en el artículo 27, inciso 3 de la Ley N° 25.326.

l) Hacer ilegalmente uso del isologo creado a través de la Resolución AAIP 12/ 2018, por el que se identifica a los responsables inscriptos ante el REGISTRO NACIONAL DE BASES DE DATOS.

m) Contactar con el objeto de publicidad, oferta, venta o regalo de bienes o servicios utilizando los servicios de telefonía en cualquiera de sus modalidades a quienes se encuentren debidamente inscriptos ante el REGISTRO NACIONAL “NO LLAME” creado por la Ley N° 26.951.

n) Utilizar los servicios de telefonía en cualquiera de sus modalidades para publicitar, ofertar, vender o regalar bienes o servicios sin haber obtenido de la Autoridad de Aplicación la habilitación de usuario autorizado para la descarga de la lista de inscriptos ante el REGISTRO NACIONAL “NO LLAME”.

o) No adoptar las medidas que garanticen el cumplimiento de la Ley N° 26.951, en campañas donde se contraten empresas tanto en el país como en el exterior que utilicen los servicios de telefonía en cualquiera de sus modalidades para publicitar, ofertar, vender o regalar bienes o servicios.

p) Obstruir el ejercicio de la función de inspección y fiscalización a cargo de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

q) No dar respuesta a los requerimientos cursados por la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES en el ejercicio de las competencias que tiene atribuidas.

3.- Serán consideradas INFRACCIONES MUY GRAVES, sin perjuicio de otras que a juicio de la Autoridad de Aplicación también las constituyan:

a) Omitir denunciar, con motivo del tratamiento de datos personales en Internet, el domicilio legal y demás datos identificativos del responsable, sea ante el REGISTRO NACIONAL DE BASES DE DATOS como así también en su política de privacidad, de modo tal que mediante dicha conducta afecte el ejercicio de los derechos del titular del dato y la actividad de contralor que por la normativa vigente compete a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

b) Conformar un archivo de datos cuya finalidad sea contraria a las leyes o a la moral pública.

c) Recoger datos de carácter personal mediante ardid, engaño o fraude a la ley.

d) Tratar los datos de carácter personal en forma ilegítima o con menosprecio de los principios y garantías establecidos en Ley N° 25.326 y normas reglamentarias.

e) Realizar acciones concretas tendientes a impedir u obstaculizar el ejercicio por parte del titular de los datos de los derechos reconocidos en la Ley N° 25.326.

f) Mantener datos personales inexactos o no efectuar las rectificaciones, actualizaciones o supresiones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la Ley N° 25.326 ampara y haya sido intimado previamente por la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

g) Transferir datos personales de cualquier tipo a países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados, salvo las excepciones legales previstas en el artículo 12, inciso 2, de la Ley N° 25.326, sin haber cumplido los demás recaudos legales previstos en la citada ley y normativa complementaria.

h) Ceder ilegítimamente los datos de carácter personal fuera de los casos en que tal accionar esté permitido.

i) Recolectar y tratar datos sensibles sin que medie el consentimiento del titular de los datos, razones de interés general autorizadas por ley o sean tratados con finalidades estadísticas/ científicas sin la debida anonimización.

j) Formar archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles, salvo en los casos expresamente previstos en el artículo 7°, inciso 3 de la Ley N° 25.326.

k) Incumplir el deber de confidencialidad y seguridad respecto de los datos sensibles, así como de los que hayan sido recabados y tratados para fines penales y contravencionales.

l) No cesar en el uso y tratamiento ilegítimo de datos de carácter personal cuando sea requerido para ello por el titular y/o por la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

m) Realizar maniobras tendientes a sustraerse o impedir el desarrollo de la actividad de contralor de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.




ANEXO II

GRADUACIÓN DE LAS SANCIONES

1. Ante la comisión de INFRACCIONES LEVES se podrán aplicar hasta DOS (2) APERCIBIMIENTOS y/o una MULTA de PESOS UN MIL ($ 1.000,00) a PESOS OCHENTA MIL ($ 80.000,00).

2. En el caso de las INFRACCIONES GRAVES la sanción a aplicar será de hasta CUATRO (4) APERCIBIMIENTOS, SUSPENSION DE UNO (1) a TREINTA (30) DÍAS y/o MULTA de PESOS OCHENTA MIL UNO ($ 80.001,00) a PESOS NOVENTA MIL ($ 90.000,00).

3. En el caso de INFRACCIONES MUY GRAVES se aplicarán hasta SEIS (6) APERCIBIMIENTOS, SUSPENSIÓN DE TREINTA Y UNO (31) a TRESCIENTOS SESENTA Y CINCO (365) DÍAS, CLAUSURA o CANCELACIÓN DEL ARCHIVO, REGISTRO O BANCO DE DATOS y/o MULTA de PESOS NOVENTA MIL UNO ($ 90.001,00) a PESOS CIEN MIL ($ 100.000,00).

4. Superados los SEIS (6) APERCIBIMIENTOS no podrá aplicarse nuevamente este tipo de sanción.

5. Las sanciones previstas precedentemente serán de aplicación a los responsables o usuarios de archivos, registros, bases o bancos de datos públicos y privados destinados a dar informes, se hubieren inscripto o no en el REGISTRO NACIONAL DE BASES DE DATOS correspondiente, ello sin perjuicio de las responsabilidades administrativas que pudieran corresponder a los responsables o usuarios de bancos de datos públicos; de la responsabilidad por daños y perjuicios derivados de la inobservancia de la presente ley y de las sanciones penales que correspondan.

6. La aplicación y cuantía de las sanciones se graduará atendiendo:

a. la naturaleza y dimensión del daño o peligro de los derechos personales afectados;

b. el beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción;

c. la reincidencia en la comisión de la infracción;

d. la resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la Autoridad de aplicación;

e. el incumplimiento de los requerimientos u órdenes impartidas por la Autoridad de aplicación;

f. el reconocimiento o aceptación expresa que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar;

g. la condición económica del infractor;

h. la adopción demostrada de medidas correctivas y mecanismos y procedimientos internos capaces de minimizar el daño, tendientes al tratamiento seguro y adecuado de los datos;

i. la proporcionalidad entre la gravedad de la falta y de la sanción;

j. si se han afectado datos personales de niños, niñas y adolescentes;

k. el volumen de los datos tratados;

l. la categoría de datos personales afectados, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas;

m. otros que pueda considerar la Autoridad de aplicación según la naturaleza del caso.

n. Ante incidentes de seguridad, se considerará como atenuante la colaboración con la autoridad de control y la implementación demostrada de medidas correctivas, mecanismos y procedimientos internos capaces de minimizar el daño por parte del responsable o encargado de tratamiento.

7. Cada infracción deberá ser sancionada en forma independiente, debiendo acumularse cuando varias conductas sancionables se den en las mismas actuaciones.

En los casos donde haya pluralidad de sujetos afectados y el acto administrativo condenatorio incluya más de una sanción pecuniaria por idéntica conducta sancionable, resultan aplicables los topes máximos previstos en la normativa vigente.

8. La reincidencia se configurará cuando quien habiendo sido sancionado por alguna de las infracciones previstas en las Leyes Nros. 25.326 y 26.951 y/o sus reglamentaciones, incurriera en otra de similar conducta sancionable dentro del término de DOS (2) años, a contar desde la notificación del acto administrativo que aplica la sanción.

9. La multa deberá ser abonada dentro de los DIEZ (10) días hábiles administrativos desde su notificación.

10. La falta de pago de las multas aplicadas hará exigible su cobro por ejecución fiscal, constituyendo suficiente título ejecutivo el testimonio autenticado de la resolución condenatoria firme.

11. Sin perjuicio de las sanciones que se apliquen, la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES podrá imponer a la sancionada una obligación de hacer con el objeto de que cese en el incumplimiento que diera origen a la sanción y la capacitación obligatoria en materia de protección de datos personales para evitar que la conducta infraccional se produzca nuevamente.

Scroll hacia arriba