Presidencia de la Nación

AGENCIA DE ACCESO A LA INFORMACION PUBLICA


AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

Resolución 40/2018

Ciudad de Buenos Aires, 04/07/2018

VISTO el EX-2018-17133991-APN-AAIP, la Ley N° 25.326, la Ley N° 27.275, el Decreto N° 1558 del 29 de noviembre de 2001, el Decreto N° 746 del 25 de septiembre de 2017, el Decreto N° 899 del 3 de noviembre de 2017, y

CONSIDERANDO:

Que por el artículo 19 de Ley N° 27.275 se creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA como ente autárquico con autonomía funcional, en la órbita de la JEFATURA DE GABINETE DE MINISTROS.

Que por el Decreto N° 746 del 25 de septiembre de 2017 se sustituyó el artículo 19 de la Ley de Acceso a la Información Pública N° 27.275, atribuyendo a la referida Agencia la facultad de actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales N° 25.326, y se incorporó como inciso t) al artículo 24 del capítulo IV de la de la Ley 27.275 de Derecho de Acceso a la Información Pública, la competencia de fiscalizar la protección integral de los datos personales asentados en archivos, registros, banco de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, y el acceso a la información que sobre las mismas se registre.

Que por el artículo 29 del ANEXO I al Decreto N° 1558 del 29 de noviembre de 2001, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES en el ámbito de la entonces SECRETARÍA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, para cumplir las funciones de órgano de control y autoridad de aplicación de la Ley de Protección de Datos Personales N° 25.326 y su reglamentación.

Que el Decreto N° 899 del 6 de noviembre 2017 reordenó el plexo regulatorio vigente en relación a las competencias asignadas a los organismos mencionados y de conformidad con los términos del artículo 19 de la Ley N° 27.275, sustituido por el artículo 11 del Decreto N° 746/17, atribuyó a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, el ejercicio de la función de órgano de control de la Ley N° 25.326, que hasta entonces detentaba la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

Que en virtud de lo expuesto, el Decreto N° 899/17 dispuso en su artículo 2° que toda referencia normativa a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se considerará referida a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.

Que en virtud de lo dispuesto en el art. 29, inciso 1º, acápite b) de la Ley Nº 25.326, entre las facultades asignadas a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA se especifica la de “Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley”.

Que por el artículo 1° del Decisión Administrativa N° 1002 del 15 de noviembre de 2017 se aprobó la estructura organizativa de primer nivel operativo de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, y entre las acciones asignadas a través de su Anexo II a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, se especifica como punto 12 la de “Coordinar con organismos públicos o privados actividades de promoción y difusión de la protección de datos personales”.

Que con anterioridad a la presente la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS tomó medidas tendientes al afianzamiento de la cultura de protección de datos personales en los Organismos Públicos, en particular mediante la Disposición DNPDP Nº 7 del 22 de agosto de 2008 mediante la cual aprobó la “Guía de Buenas Prácticas en Políticas de Privacidad para las Bases de Datos del Ámbito Público” y la Disposición DNPDP Nº 5 del 27 de febrero de 2006 que aprobó el documento “Adecuación y Registro”.

Que se estima pertinente en esta nueva etapa profundizar la cultura de protección de datos personales en los Organismos Públicos a través de políticas específicas.

Que de acuerdo lo establecido por la Ley N° 25.326, artículo 5 inciso 2, apartado b), la recolección de datos personales para el ejercicio de las funciones propias de los poderes del Estado no requiere el consentimiento del titular de esos datos.

Que conforme el artículo 11 inciso 3, apartado c) de la Ley N°. 25.326, la cesión de datos personales entre organismos del Estado en forma directa tampoco requiere consentimiento del titular del dato en la medida que se realice en el cumplimiento de sus respectivas competencias. Sin embargo es recomendable que en un Estado de Derecho cualquier cesión entre organismos del Estado sea realizada con la mayor transparencia posible para un adecuado control de la ciudadanía y el pleno ejercicio de su derecho a la información, siendo indispensable a tal fin la publicidad de las cesiones y los eventuales convenios suscriptos.

Que se considera adecuado impulsar en los organismos del Estado, el diseño, la implementación y su consecuente publicidad, por los distintos medios de comunicación posibles, una política de tratamiento de datos personales.

Que para la eficacia de la política de tratamiento de datos personales es conveniente recomendar a los organismos estatales que posean bases de datos, la designación de un agente de planta permanente como “delegado de protección de datos personales” a fin de que cumpla la tarea de acompañar la implementación y control de cumplimiento de la política de protección de datos personales que se diseñe.

Que, asimismo, resulta necesario aprobar un documento modelo bajo el título de “POLÍTICA MODELO DE PROTECCIÓN DE DATOS PERSONALES PARA ORGANISMOS PÚBLICOS” que establezca las pautas básicas sugeridas en el diseño de las políticas de protección de datos personales que se propone en la presente resolución.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que le compete.

Que, la presente medida se dicta en uso de las facultades conferidas por el artículo 29, inciso 1, apartado b) de la Ley N° 25.326, modificatorios y complementarios.

Por ello,

EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1º.- Apruébase el documento “POLÍTICA MODELO DE PROTECCIÓN DE DATOS PERSONALES PARA ORGANISMOS PÚBLICOS”, que como Anexo I (IF-2018-31883807-APN-AAIP) forma parte integrante de la presente, como pauta básica sugerida para el diseño del documento que publicite la protección de datos personales de aquéllos organismos públicos titulares de bases de datos personales.

ARTÍCULO 2º.- Recomiéndase a los organismos públicos titulares de bases de datos personales la implementación de una política de protección de datos personales y su difusión en forma permanente y actualizada a través de los canales habituales de comunicación con el ciudadano que tenga a su disposición.

ARTÍCULO 3º.- Recomiéndase la designación de un agente de planta permanente como “delegado de protección de datos personales” a quien se le asignará la implementación y control de cumplimiento interno de la política de protección de datos personales indicada en el artículo 1º.

ARTÍCULO 4º.- Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese. Eduardo Andrés Bertoni

NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-

e. 06/07/2018 N° 48417/18 v. 06/07/2018

(Nota Infoleg: Los anexos referenciados en la presente norma han sido extraídos de la edición web de Boletín Oficial)


POLÍTICA MODELO DE PROTECCIÓN DE DATOS PERSONALES PARA ORGANISMOS PÚBLICOS

El tratamiento de datos personales que realiza [identificar el organismo público] del [identificar ámbito en el que opera el organismo público], se regirá por las siguientes pautas:

1. Objeto: La presente política se aplica a todo tratamiento de datos personales que realice [identificar el organismo público].

2. Identificación de tratamientos: [identificar el organismo público] recolecta los datos personales en su poder a través de [indicar si son recolectados personalmente en mesa de entradas o por otros canales, como por ejemplo formularios y/o por vía telefónica, y/o sistemas informáticos y/o sitios en Internet y/o por cesión de terceros, etc.].

3. Inscripción: Las bases de datos personales a cargo del [identificar el organismo público] se encuentran inscriptas ante el REGISTRO NACIONAL DE BASES DE DATOS de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, en cumplimiento de los artículos 21 y 22 de la Ley N° 25.326, modificatorios y complementarios.

4. Finalidad y calidad: Los datos serán recabados para el ejercicio de las funciones de [identificar el organismo público] y en el ámbito de su competencia, velando en forma permanente por la calidad de los mismos.

5. Caducidad: Los datos serán destruidos o archivados cuando hayan dejado de ser estrictamente necesarios o pertinentes a los fines de la competencia de [identificar el organismo público], conforme a la normativa específica de este Organismo.

6. Confidencialidad: [identificar el organismo público] requiere la firma de convenios de confidencialidad por parte del personal, terceros que presten servicios y demás funcionarios que acceden al contenido de las bases de datos.

7. Seguridad: [identificar el organismo público] adopta las medidas necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

En caso de detectarse un incidente de seguridad y que éste implique un riesgo significativo para el titular del dato, se comunicará sin dilación, tal evento a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, junto con las medidas correctivas y paliativas implementadas y/o a implementar.

8. Cesión de datos personales: Los datos podrán ser cedidos a otros organismos del Estado en forma directa, en la medida que el cesionario lo requiera en el marco de su competencia y el tratamiento de los datos que lleve a cabo sea compatible con sus funciones.

Los datos podrán ser cedidos a particulares siempre y cuando sean de acceso público (verificando que no afecte derechos de terceros), lo permita la competencia del Organismo, y el cesionario acredite interés legítimo para ello, que se considerará implícito cuando el pedido se vincule al control de la gestión pública.

Se podrá comunicar a terceros información meramente estadística elaborada a partir de los datos personales objeto de tratamiento, sin consentimiento de los titulares de los datos, cuando no sea razonablemente posible identificarlos.

Las cesiones de datos personales y convenios suscriptos a tales fines serán publicados mediante los canales habituales de comunicación con el ciudadano que el [identificar el organismo público] tenga a su disposición.

9. Transferencia Internacional de datos personales: [indicar si se prevé la transferencia internacional de datos personales, indicando el país u organismo destinatario, la normativa que la admite y las garantías previstas].

10. Prestaciones de servicios de tratamiento de datos por cuenta de terceros: A los fines del adecuado tratamiento de la información [señalar la opción correcta SI/NO] se contratan servicios prestados por terceros. Para dicha contratación se evalúan empresas de reconocido prestigio y experiencia en el mercado. Los contratos que se celebran para estos fines estipulan el objeto, alcance, contenido, duración, naturaleza y finalidad del tratamiento de datos, el tipo de datos personales, las categorías de titulares de los datos y las obligaciones y responsabilidades del [identificar el organismo público] y de los terceros contratados.

11. Derechos de los titulares de los datos, y procedimientos para responder a su ejercicio: El titular del dato podrá ejercer sus derechos de acceso, rectificación, supresión, y confidencialidad respecto de sus datos personales.

12. Designación de un Delegado de Protección de Datos: [identificar el organismo público] [SI/NO] ha designado delegado de la aplicación y control de la presente política y la relación con la autoridad de aplicación de la Ley de Protección de Datos Personales vigente, al agente [precisar], a quien se puede contactar mediante los siguientes medios [detallar].

13. Datos sensibles: [identificar el organismo público] sólo tratará datos sensibles (origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual), en caso que exista una autorización legal expresa fundada en interés general.

Al respecto, le comunicamos que [SI/NO, indicar lo que corresponda] tratamos datos sensibles [en caso afirmativo indicar la normativa que lo habilita].

14. Capacitación: El personal de [identificar el organismo público] cuyas funciones están relacionadas al tratamiento de datos personales es permanentemente capacitado a fin de garantizar una mejor protección de los datos personales y los derechos de sus titulares.

15. Sitios en Internet: Los sitios de titularidad de [identificar el organismo público] pueden contener enlaces a sitios de terceros, cuyas políticas de privacidad son ajenas a [identificar el organismo público].

La recolección de datos personales de usuarios o visitantes de los sitios en Internet de [identificar el organismo público], se realizará sólo en caso de ser estrictamente necesario y se le hará saber tal circunstancia a los mismos; y su eventual identificación no tendrá por finalidad la evaluación de sus conductas o seguimiento de navegación, sino la finalidad de brindar un adecuado servicio y seguridad del sitio. No obstante, se podrán utilizar los datos recolectados para estudios estadísticos o evaluación de conductas en la medida que no permitan identificar a su titular.


Scroll hacia arriba