INSPECCIONES A LAS BASES DE DATOS. (LEY 25.326)


No cabe duda que con la sanción de la Ley 25.326 de Protección de Datos Personales, su Decreto Reglamentario 1558/01 y las sucesivas disposiciones que la Dirección Nacional de Protección de Datos Personales (DNPDP) ha dictado desde su creación, la Argentina se ha propuesto firmemente garantizar la protección de los datos personales.
Ver más...
Para ello y con el claro afán de que este derecho no quede en la categoría de expresión de deseos, como tantos otros de nuestras constituciones, la DNPDP ha sido dotada de distintas prerrogativas en su carácter de órgano de control de la Ley 25.326.
La más reciente de ellas, contenida en la Disposición 5/2008, es la de efectuar inspecciones que consistirán en una o más visitas presénciales del inspector y de personal técnico debidamente acreditado, quienes verificaran in situ -pudiendo acceder a la totalidad de los locales, equipos o programas de tratamiento de datos personales del responsable de la base de datos controlada- el cumplimiento de las disposiciones legales y reglamentarias vigentes.
Se ha previsto que este procedimiento pueda iniciarse de oficio, a discreción de la DNPDP o por denuncia de otro organismo estatal o de un particular. El espacio para estas denuncias es generado por la propia DNPDP a través de su página web (www.jus.gov.ar/dnpdpnew/ ), que contiene todas las instrucciones para reportar abusos en el tratamiento de los datos personales del denunciante.
Por regla, la inspección será notificada al responsable de la base de datos con una antelación de 10 días hábiles, salvo que se considere que la previa notificación puede afectar el resultado, en cuyo caso y siempre de modo fundado, se omitirá este aviso con el objeto de preservar el estado de cosas que quiere constatarse. La inspección finalizará con un acta que quedará en poder del inspeccionado y otra que se agregará al expediente.
Un minucioso detalle del alcance, procedimientos y objetivos de la inspección está contenido en el Anexo I de la disposición comentada.
Los objetivos enunciados en el Anexo son dos: evaluar el grado de cumplimiento de lo prescripto por la Ley 25.326 y realizar recomendaciones para el mejor desempeño del responsable de la base de datos. Pero no debe pensarse que esto queda allí, ya que teniendo la DNPDP facultades sancionatorias, puede darse el caso que luego de constatarse la violación corresponda imponer alguna de las sanciones previstas en la Disposición 7/2005 y que, según la gravedad de la falta, pueden consistir en apercibimientos, multas de entre $3.001 y $100.000 y clausuras.
En cuanto al alcance y procedimientos, las facultades de fiscalización conferidas parecen elevar el estándar vigente, ampliando el universo de conductas deseables por parte de quienes utilizan bases de datos. Esta asimetría, posiblemente genere conflictos interpretativos entre lo deseado por la administración pública y lo exigible conforme a la legislación vigente.
En concreto, se verificarán las medidas técnicas y organizativas en los siguientes campos: capacitación del personal, legalidad de los datos que posee y gestiona, idoneidad de los tratamientos de datos y en toda gestión anexa y correcto tratamiento de los datos personales, mediante el análisis de documentación y entrevistas con el personal de las áreas de sistemas, de atención a titulares y usuarios y de legales.
A tal efecto, la DNPDP puede requerir:
-Acreditaciones de personería, CUIT, ANSES, municipalidad e inscripción y renovación de las Bases de Datos.
-Se pruebe la licitud en la recolección de los datos, su origen y que se ha informado la finalidad del tratamiento a los titulares, como así también los derechos que les caben.
-Que la empresa demuestre que posee una política de privacidad y confidencialidad y que ha instrumentado mecanismos para cumplirla.
-La presentación de los contratos de confidencialidad firmados por los empleados, usuarios o terceros.
-Constancias de que los titulares han prestado el consentimiento para el tratamiento y cesión de los datos.
-El Documento de Seguridad de Datos Personales y la adopción de medidas técnicas y organizativas relativas a la incorporación y destrucción de datos, la idoneidad de los medios de tratamiento de datos, software y hardware y en general todas las contenidas en la Disposición 11/2006.
-Se demuestre la capacitación del personal, para lo que se evaluaran títulos y acreditaciones del responsable de la base de datos, su participación en actividades académicas, las publicaciones efectuadas por el mismo y sus inscripciones, inhabilitaciones e inhibiciones, capacitaciones internas y externas del personal, estudios básicos y relacionados a datos personales, conocimiento de los empleados de sus responsabilidades vinculadas al tratamiento de los datos personales, capacidad de trato y respuesta ante reclamos.
-Verificar procedimientos de atención a usuarios y de reclamos, personas a cargo, recepción de solicitudes, verificación de identidad del solicitante, respuesta al titular de los datos, registro y seguimiento del caso, procedimientos internos de rectificación, actualización, supresión y bloqueo, plazos de respuesta, etc.
Es evidente que la situación que se muestre al inspector debe coincidir con las manifestaciones efectuadas en el formulario de inscripción o renovación de datos, que tiene carácter de declaración jurada. Por lo que, para enfrentar con éxito estas inspecciones será indispensable un sinceramiento de las empresas en cuanto al estado real de sus bases de datos con la finalidad de adoptar medidas correctivas y preventivas cuanto antes.
Y es que, disparados los mecanismos de control, no habrá lugares donde esconderse. Por ello entendemos que la política de la empresa no puede ser la de buscar el resquicio legal para ampararse o la de confiar en la quietud del Estado. La política de la empresa no puede ser otra que la de transformar sus comportamientos, acercándolos poco a poco a las best practicas internacionales en la materia.
Fuente: www.carranzatorres.com.ar
Fecha de publicación de la nota: 10/10/2008

 

0