AAIP reglamento registro de bases de datos

AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

Resolución 132/2018

RESOL-2018-132-APN-AAIP

Ciudad de Buenos Aires, 19/10/2018

VISTO el EX-2018- 07671904-APN-AAIP, la Ley N° 25.326, la Ley N° 27.275, el Decreto N° 1558 del 29 de noviembre de 2001, el Decreto N° 746 del 25 de septiembre de 2017, el Decreto N° 891 del 1° de noviembre de 2017, el Decreto N° 899 del 3 de noviembre de 2017, las Disposiciones de la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES Nros. 2 del 14 de febrero de 2005; 3 del 4 de abril 2005; 5 del 27 de febrero de 2006; 9 del 22 de agosto de 2006; 10 del 18 de septiembre de 2006; 4 del 14 de septiembre de 2012, y 56-E-APN del 25 de octubre 2016, y

CONSIDERANDO:

Que por el artículo 19 de Ley N° 27.275 se creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA como ente autárquico con autonomía funcional, en la órbita de la JEFATURA DE GABINETE DE MINISTROS.

Que por el Decreto N° 746 del 25 de septiembre de 2017 se sustituyó el artículo 19 de la Ley de Acceso a la Información Pública N° 27.275, atribuyendo a la referida Agencia la facultad de actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales N° 25.326, como así también en su artículo 13, se incorporó como inciso t) al artículo 24 de la de la Ley 27.275 de Derecho de Acceso a la Información Pública, la competencia de fiscalizar la protección integral de los datos personales asentados en archivos, registros, banco de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, y el acceso a la información que sobre las mismas se registre.

Que por el artículo 29 del ANEXO I del Decreto N° 1558 del 29 de noviembre de 2001, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES en el ámbito de la entonces SECRETARÍA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, para cumplir las funciones de órgano de control y autoridad de aplicación de la Ley de Protección de Datos Personales N° 25.326 y su reglamentación.

Que el Decreto N° 899 del 6 de noviembre 2017 reordenó el plexo regulatorio vigente en relación a las competencias asignadas a los organismos mencionados y de conformidad con los términos del artículo 19 de la Ley N° 27.275, sustituido por el artículo 11 del Decreto N° 746/17, atribuyó a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, el ejercicio de la función de órgano de control de la Ley N° 25.326, que hasta entonces detentaba la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

Que, en virtud de lo expuesto, el Decreto N° 899/17 dispuso en su artículo 2° que toda referencia normativa a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se considerará referida a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

Que, seguidamente por Disposición de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA, SEGURIDAD Y DERECHOS HUMANOS N° 2 del 14 de febrero de 2005 se implementó el REGISTRO NACIONAL DE BASES DE DATOS alcanzadas por la Ley Nº 25.326.

Que por las Disposiciones Nros. 3 del 4 de abril 2005 se aprobaron los formularios, instructivo y normas de procedimiento que utilizara la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES; 5 del 27 de febrero de 2006 se implementó el REGISTRO NACIONAL DE BASES DE DATOS a los fines de la inscripción de los archivos, registros, bancos o bases de datos públicos; 9 del 22 de agosto de 2006 se aprobaron los formularios de modificación y de baja del REGISTRO NACIONAL DE BASES DE DATOS; 10 del 18 de septiembre de 2006 se incorporó la inscripción de archivos, registros o bases o bancos públicos de datos personales pertenecientes a los entes públicos no estatales, que se encuentren interconectados en redes de alcance interjurisdiccional nacional o internacional; 04 del 14 de septiembre de 2012, se estableció la validez anual de la Inscripción en el REGISTRO NACIONAL DE BASES DE DATOS y 56-E-APN del 25 de octubre 2016 readecuó los formularios de inscripción, renovación y modificación de tratamientos de datos personales.

Que, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA es el organismo competente para dictar las normas que regulan el funcionamiento del REGISTRO NACIONAL DE BASES DE DATOS y los procedimientos que considere pertinentes para la aprobación, modificación y baja de las inscripciones de las bases de datos personales, que sean requeridas por parte de los responsables de su tratamiento.

Que el Decreto N° 1063 del 4 de octubre de 2016 aprobó la implementación de la Plataforma de Trámites a Distancia (TAD) como medio de interacción del ciudadano con la administración, a través de la recepción y remisión por medios electrónicos de presentaciones, solicitudes, escritos, notificaciones y comunicaciones, entre otros.

Que, asimismo, por Decreto N° 891 del 1° de noviembre de 2017, se aprobaron las BUENAS PRÁCTICAS EN MATERIA DE SIMPLIFICACIÓN NORMATIVA para el mejor funcionamiento del Sector Público Nacional, con el fin de agilizar procedimientos administrativos, simplificando normas de los diversos regímenes con el objetivo de brindar una respuesta rápida, flexible y transparente al ciudadano, en un marco de eficiencia, eficacia y calidad en la prestación del servicio.

Que, a tal fin, se estima pertinente derogar las disposiciones dictadas por la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, dependiente del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, que regulan los procedimientos para la inscripción, modificación y baja de las bases de datos personales públicas y privadas, para proceder a establecerse que, la inscripción, modificación y baja de las bases de datos personales de carácter privado, público estatal y público no estatal, deberán tramitarse a través de la plataforma “Trámites a Distancia” (TAD) o sistema de Gestión Documental Electrónica (GDE).

Que, la experiencia de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES a lo largo de los años en el marco de estos trámites, hace aconsejable suprimir a partir de la entrada en vigencia de la presente resolución, la imposición de cargos arancelarios, para efectivizar los trámites registrales citados precedentemente, en consonancia con las políticas contenidas en la normativa dictada por el PODER EJECUTIVO NACIONAL, a la que se hace mención en los considerandos precedentes.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que le compete, en los términos del artículo 6° de la Decisión Administrativa N° 1002 del 15 de noviembre de 2017.

Que, la presente medida se dicta en uso de las facultades conferidas por el artículo 29, inciso 1, apartados b) y c) de la Ley N° 25.326, modificatorios y complementarios.

Por ello,

EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1°: Establécese que la inscripción, modificación y baja de las bases de datos personales de carácter privado, público estatal y público no estatal, que habrán de cumplimentar los responsables de su tratamiento, ante el REGISTRO NACIONAL DE BASES DE DATOS de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, deberán tramitarse exclusivamente a través de la plataforma “Trámites a Distancia” (TAD) o sistema de Gestión Documental Electrónica (GDE):

1. Registro del Titular o Responsable de Base de Datos, Privada o Pública

2. Registro de Base de Datos Privada o Pública -estatal o no estatal-.

ARTÍCULO 2°: Deróganse los artículos 4°, 5°, 6°, 7° y 8° de la Disposición de la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS N° 02 del 14 de febrero de 2005 modificada por su similar N° 04 del 14 de septiembre de 2012.

ARTÍCULO 3°: Deróganse las Disposiciones N° 3 del 4 de abril 2005; N° 5 del 27 de febrero de 2006; N° 9 del 22 de agosto de 2006; N° 10 del 18 de septiembre de 2006; y N° 56-E-APN del 25 de octubre 2016, dictadas por el organismo citado en el considerando precedente.

ARTÍCULO 4°: Establécese la gratuidad de los trámites registrales a los que se hace referencia en los artículos precedentes, en virtud de los fundamentos expuestos en el considerando pertinente.

ARTÍCULO 5°: Los responsables de Archivos, Registros, Bases o Banco de Datos Personales de carácter privado ya inscriptos ante el REGISTRO NACIONAL DE BASES DE DATOS de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, deberán reempadronarlos en el marco del nuevo procedimiento técnico registral implementado, teniendo plazo para ello desde la entrada en vigencia de la presente resolución hasta el 31 de octubre de 2019.

ARTÍCULO 6°: Los responsables de Archivos, Registros, Bases o Banco de Datos Personales de carácter público estatal y público no estatal, deberán reempadronarse en el marco del nuevo procedimiento técnico registral implementado, teniendo plazo para ello desde la entrada en vigencia de la presente resolución hasta el 28 de febrero de 2019.

ARTÍCULO 7°: Sin perjuicio de los derechos de rectificación, actualización o supresión que ostenten los titulares de los datos personales, el responsable de los Archivos, Registros, Bases o Banco de Datos Personales, se encuentra obligado a implementar las medidas que considere pertinentes para mantenerlos debidamente actualizados ante el REGISTRO NACIONAL DE BASES DE DATOS de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.

ARTÍCULO 8°: La presente resolución entrará en vigencia a partir del día siguiente a su publicación en el Boletín Oficial de la República Argentina.

ARTÍCULO 9°: Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese. Eduardo Andrés Bertoni

La AAIP dictamina que el registro whois de NIC AR contiene información pública

A contramano de lo que viene sucediendo en el resto del mundo (me refiero a  la pelea entre ICANN y la UE en relación a la aplicación del reglamento Europeo de Protección de Datos al registro whois de dominios, que en los tribunales ya le dio la razón al GDPR -ver FAQ de la OMPI para mayor info aquí-), la Agencia de Acceso a la información pública de de Argentina sostuvo que los datos del registro Who-is del NIC AR son información pública.

Estamos de acuerdo con la decisión de la AAIP. El registro whois siempre fue público y si bien desde el punto de vista de la protección de datos la información se brinda con una finalidad determinada (dependiendo del dato: identificar al titular o hacer funcionar el dominio), al sumistrarla al Estado, ésta se vuelve información pública bajo la LAIP.

Además el registro de nombres de domino es un registro de propiedad, y esa propiedad no es algo secreto o confidencial. Muchas veces el registro del nombre de dominio puede implicar una infracción marcaria, o violación a contenidos de derecho de autor y entonces es necesario acceder a esa información. En el pasado había mucho mas información públicamente disponible en NIC AR y esa disponibilidad fue retrocediendo, y cada vez nos encontramos con menos datos disponibles. Esto me parece contrario al principio de transparencia (regla general) que debe imperar en la administración pública.

Cierto es que también existe la posibilidad de querer usar el dominio en forma anónima para actividades lícitas relacionadas con la libertad de expresión, por ej. crítica al Estado, y sus políticas,  sus funcionarios, una empresa, cuestiones de interés público para consumidores, etc. Del texto del dominio parece que éste se refería a la baja de planes de auto ahorro de Volkswagen pero a la fecha no tiene contenido.

Si se quiere privacidad sobre esos datos de registro,  para eso se puede usar un privacy shield o un private who-is o registrarlo a nombre de un tercero que ofrezca esos servicios, los que están ampliamente disponibles a nivel de los gTLD, no así para el ccTLD del .com.ar. En Argentina estaría la posibilidad de usar un tercero para registrar el dominio. No conozco nadie que ofrezca ese servicio para el .com.ar pero es una buena oportunidad para armar el business plan.

La solución de la AAIP tal vez sea única porque a nivel de gTLD son todos registros privados, por lo tanto no se les aplica las leyes de acceso a la información pública lo que si sucede con NIC AR que depende del gobierno nacional.

DICTAMEN DE LA AAIP

El 11 de julio de 2018, un abogado especialista en marcas presentó una solicitud de acceso a la información pública ante la Dirección Nacional del Registro de Dominios de Internet (NIC AR). La finalidad del pedido implicaba revelar la totalidad de los datos declarados por el registrante al momento de solicitar un nombre de dominio del nivel “.com.ar”.

Al responder el pedido, NIC AR le informó al solicitante que solamente le podrían proporcionar la información disponible en la página web oficial de NIC AR – de acceso libre, gratuito e irrestricto – y no los datos suministrados al momento de solicitar el dominio.

Como consecuencia de la respuesta obtenida, el solicitante inició un reclamo ante la Agencia de Acceso a la Información Pública, en los términos de la Ley Nro. 27.275. Al resolver el caso, la Agencia coincidió con el solicitante y sostuvo que la información brindada era insuficiente en relación al pedido del solicitante. La Agencia sostuvo, con sustento en el artículo 13 de la Ley Nro. 27.275, que el silencio del sujeto obligado, así como la ambigüedad, inexactitud o entrega incompleta, serán considerados como una denegatoria injustificada. Además, resaltó el principio rector en materia de acceso a la información que exige a los sujetos obligados obrar de buena fe.

En base al incumplimiento de los principios y reglas establecidas por la Ley Nro. 25.275, la Agencia intimó a NIC Argentina a entregar la información requerida de manera completa.

Sumado a esto, la Agencia sostuvo que el consentimiento del titular de los datos no era necesario con sustento en el artículo 5 de la Ley Nro. 25.326 de Protección de Datos Personales, el cual excluye al domicilio de la clasificación de datos personales. Asimismo, la Agencia agregó que ciertos datos como el domicilio son de libre tratamiento y su publicidad no afecta la protección de datos personales.

Por último, la Agencia agregó que, si bien el artículo 8 de la Ley Nro. 25.27275 exceptúa la publicidad de información que contenga datos personales, la reglamentación del Decreto Nro. 206 indica que esa excepción será inaplicable cuando la información haya sido entregada por su titular con conocimiento de que la misma estaría sujeta a un régimen de publicidad de la gestión estatal.

COPIA DEL DICTAMEN: dictamen AAIP

 

California aprueba nueva ley de privacidad

El estado de california en Estados Unidos aprobó una nueva ley de privacidad, al estilo de la GPDR. No es lo mismo, pero en su lectura se aprecian varios elementos del regimen europeo. Al mismo tiempo, la Corte Suprema de ese país dictó sentencia en el caso Carpenter, donde se reconoció un derecho a la privacidad sobre la información que terceros tienen registrado en bases de datos respecto a la locación de teléfonos móviles.

Varios estudios jurídicos han elaborado guías sobre la nueva normativa, acá aparecen algunos:

Cooley FAQ

 

Argentina: nuevas medidas de seguridad para datos personales

La AAIP adoptó nuevas medidas de seguridad para datos personales a través de la Res. 47/2018. El texto de la norma esta al final de este post. Estas medidas eran muy esperadas porque la antigua reglamentación ya era bastante antigua (Disposiciones DNPDP 11 /2006 y 9/2008.). La medida es muy positiva por muchos aspectos. Van mis primeros comentarios.

Entre los puntos que destacamos es que  se implementa la notificación de incidentes de seguridad. Esto sumado a la reciente Res. 40 sobre posibilidad de nombrar un delegado en el sector público cada vez acerca mas la normativa argentina al modelo del RGPD europeo (y al proyecto que elaboró la DNPDP con amplia discusión de la industria y académicos).

Otro punto saliente es que son “medidas recomendadas” y no impuestas como hacía la anterior reglamentación. De alguna forma me parece que la AAIP nos empieza a adaptar a la responsabilidad proactiva que viene de la mano del RGPD europeo.

Me parece muy positivo que el estado no imponga estos temas. En el mundo que vivimos, el sector privado avanza mas rápido que muchos estados en temas de seguridad informática, con lo cual, que el Estado le imponga al sector privado ciertas medidas, es peligroso y complicado. Para cuando una norma estatal  las aprueba, las medidas ya son anticuadas.

Esto no significa que el tema seguridad quede fuera de la agenda. Una empresa que no tiene medidas de seguridad, y declara eso en el formulario de registro no podría registrar su base porque la ley en el art. 9 de la ley 25.326 exige que tenga medidas de seguridad internas. En una auditoria de la AAIP la empresa que no tenga mediadas de seguridad tendrá un aplazo. Pero queda claro que va a existir mas flexibilidad en el cumplimiento de estos recaudos. Por otra parte, leo las medidas que se sugieren implementar en los dos anexos y todas parece mas que lógicas. Me atrevo a decir que cualquier organización importante tiene que, como mínimo, implementar estas medidas. No tenerles sería como circular con un auto sin seguro a 200 KM por hora en una autopista. Hoy en día nadie lo hace, pero muchos implementan sistemas informáticos en grandes organizaciones sin medidas adecuadas de protección de los datos.

La nueva norma tiene dos anexos, uno para datos informatizados y otros no informatizados. Otro acierto mas de la norma. Las antiguas normas parecían mas enfocadas a bases de datos digitales, pero aun las organizaciones tienen muchos datos personales en papel que también son vulnerables.

 

TEXTO DE LA NORMA

AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

Resolución 47/2018

RESOL-2018-47-APN-AAIP

Ciudad de Buenos Aires, 23/07/2018

VISTO el EX-2018-33523527-APN-DNPDP#AAIP, la Ley N° 25.326, la Ley N° 27.275, el Decreto N° 1558 del 29 de noviembre de 2001 modificado por el Decreto N° 1160 del 11 de agosto de 2010, el Decreto N° 746 del 25 de septiembre de 2017, el Decreto N° 899 del 6 de noviembre de 2017, las Disposiciones de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES N° 11 del 22 de septiembre de 2006 y N° 9 del 3 de septiembre de 2008; y

CONSIDERANDO:

Que por el artículo 19 de Ley N° 27.275 se creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA como ente autárquico con autonomía funcional, en la órbita de la JEFATURA DE GABINETE DE MINISTROS.

Que por el Decreto N° 746 del 25 de septiembre de 2017 se sustituyó el artículo 19 de la Ley de Acceso a la Información Pública N° 27.275, atribuyendo a la referida Agencia la facultad de actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales N° 25.326, como así también en su artículo 13, se incorporó como inciso t) al artículo 24 del capítulo IV de la de la Ley 27.275 de Derecho de Acceso a la Información Pública, la competencia de “Fiscalizar la protección integral de los datos personales asentados en archivos, registros, banco de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, y el acceso a la información que sobre las mismas se registre”.

Que por el artículo 29 del ANEXO I al Decreto N° 1558 de fecha 29 de noviembre de 2001, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES en el ámbito de la entonces SECRETARÍA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, para cumplir las funciones de órgano de control y autoridad de aplicación de la Ley de Protección de Datos Personales N° 25.326 y su reglamentación.

Que el Decreto N° 899 de fecha 6 de noviembre 2017, reordenó el plexo regulatorio vigente en relación a las competencias asignadas a los organismos mencionados y de conformidad con los términos del artículo 19 de la Ley N° 27.275, sustituido por el artículo 11 del Decreto N° 746/17, atribuyó a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, el ejercicio de la función de órgano de control de la Ley N° 25.326, que hasta entonces detentaba la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES dependiente del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS.

Que, en virtud de lo expuesto, el Decreto N° 899/17 dispuso en su artículo 2° que “Toda referencia normativa a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se considerará referida a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA” .

Que, entre las atribuciones asignadas a la AGENCIA DE ACCESO A LA INFORMACIÓN PUBLICA se encuentra la de dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas en la Ley N° 25.326 artículo 29, inciso 1, apartado b), como así también, la de controlar la observancia de las normas sobre integridad y seguridad de los datos por parte de los archivos, registros o bancos de datos, artículo 29, inciso 1, apartado d), de la Ley N° 25.326.

Que, la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, dictó normas relativas a las condiciones de seguridad que deben observarse para los archivos, registros y bases o bancos de datos de carácter personal, y aprobó las medidas de seguridad para el tratamiento y conservación de los datos personales, que deben aplicar los responsables y usuarios de archivos, registros, bases y bancos de datos públicos no estatales y privados.

Que mediante Disposición N° 11 de fecha 22 de Septiembre 2006 la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES aprobó el documento “Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados”, como instrumento para la especificación de la normativa de seguridad, al que debían adecuarse los responsables y usuarios de archivos, registros, bases y banco de datos públicos no estatales y privados.

Que, asimismo, por Disposición DNPDP N° 9 de fecha 3 de Septiembre de 2008 se aprobó un modelo de “Documento de Seguridad de Datos Personales” que contenía los lineamientos indispensables mínimos que permitía a los obligados diseñar un instrumento que se adecue a las necesidades de su organización y cumpla con las normas dictadas en la materia.

Que el desarrollo de la tecnología e internet ha evolucionado a lo largo de los años a un ritmo vertiginoso, como así también las redes sociales, los servicios de mensajería instantánea y el comercio a través de la red. Ello pone en continuo riesgo la seguridad, integridad y confidencialidad de la información que contiene datos personales.

Que, conscientes de la importancia que reviste el resguardo de la integridad y seguridad de la información en materia de datos personales, se propicia actualizar las medidas de seguridad que deben observar quienes hagan tratamientos de datos personales en archivos, registros, bancos y bases de datos públicos y privados, con el objeto de eliminar y/o mitigar los riesgos de dicha información.

Que, de conformidad con lo prescripto por el artículo 9° de la Ley N° 25.326, el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales, a fin de evitar su adulteración, pérdida, consulta o tratamiento no autorizado y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

Que el Decreto Nº 891 de fecha 1 de noviembre de 2017, aprueba las “Buenas Prácticas en Materia de Simplificación”, propiciándose entre otras medidas, la simplificación normativa y la mejora continua de los procesos.

Que, esta AGENCIA DE ACCESO A LA INFORMACIÓN PUBLICA, en cumplimiento de las funciones asignadas por la Ley N° 25.326 y en su carácter de Órgano de Control, estima pertinente aprobar nuevas medidas de seguridad recomendadas, las que resultan acordes con los estándares internacionales a la fecha de su dictado, para la protección de la confidencialidad e integridad de la información que contiene datos de carácter personal en todo el proceso de tratamiento, desde su recolección hasta su destrucción.

Que a tal fin, resulta necesario establecer nuevas medidas de seguridad recomendadas para la administración, planificación, control y mejora continua de la seguridad de la información, respecto al tratamiento de los datos personales.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que le compete.

Que, la presente medida se dicta en uso de las facultades conferidas por el artículo 29, inciso 1, apartados b) y d) de la Ley N° 25.326, modificatorios y complementarios.

Por ello,

EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1º.- Deróguense las Disposiciones de la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS N° 11 del 22 de setiembre de 2006 y N° 09 del 3 de septiembre de 2008.

ARTÍCULO 2°.- Apruébese el documento denominado “MEDIDAS DE SEGURIDAD RECOMENDADAS PARA EL TRATAMIENTO Y CONSERVACION DE LOS DATOS PERSONALES EN MEDIOS INFORMATIZADOS”, cuyo texto forma parte integrante de la presente como Anexo I (IF-2018-34800234-APN-AAIP).

ARTÍCULO 3°.- Apruébese el documento denominado “MEDIDAS DE SEGURIDAD RECOMENDADAS PARA EL TRATAMIENTO Y CONSERVACION DE LOS DATOS PERSONALES EN MEDIOS NO INFORMATIZADOS” cuyo texto forma parte integrante de la presente como Anexo II (IF-2018-34800290-APN-AAIP).

ARTÍCULO 4º.- Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese. Eduardo Andrés Bertoni

AnexoI – res47-01

AnexoII – res47-02

 

 

 

Acuerdo de datos personales entre Unión Europea y Japón

Comisión Europea – Comunicado de prensa

La Unión Europea y Japón acuerdan crear el mayor espacio de circulación segura de datos del mundo

La UE y Japón han finalizado hoy con éxito las negociaciones sobre adecuación recíproca. La UE y Japón han acordado reconocer mutuamente como «equivalentes» sus sistemas respectivos de protección de datos, gracias a lo cual los datos podrán circular de modo seguro entre la UE y Japón.

 

Continuar leyendo “Acuerdo de datos personales entre Unión Europea y Japón”

La AAIP aprueba una resolución que invita a designar delegado de protección de datos en el sector público

por Pablo Palazzi

La AAIP, a cargo de implementar la ley 25.326 en el sector público y privado acaba de aprobar una norma mediante la cual se introducen dos novedades. La mas importante es que recomienda a los organismos estatales que posean bases de datos, la designación de un agente de planta permanente como “delegado de protección de datos personales” a fin de que cumpla la tarea de acompañar la implementación y control de cumplimiento de la política de protección de datos personales que se diseñe. Asimismo se aprueba un documento modelo bajo el título de “POLÍTICA MODELO DE PROTECCIÓN DE DATOS PERSONALES PARA ORGANISMOS PÚBLICOS” que se incluye en un Anexo  de la norma.

 

TEXTO DE LA NORMA
AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

Resolución 40/2018

Ciudad de Buenos Aires, 04/07/2018

VISTO el EX-2018-17133991-APN-AAIP, la Ley N° 25.326, la Ley N° 27.275, el Decreto N° 1558 del 29 de noviembre de 2001, el Decreto N° 746 del 25 de septiembre de 2017, el Decreto N° 899 del 3 de noviembre de 2017, y

CONSIDERANDO:

Que por el artículo 19 de Ley N° 27.275 se creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA como ente autárquico con autonomía funcional, en la órbita de la JEFATURA DE GABINETE DE MINISTROS.

Que por el Decreto N° 746 del 25 de septiembre de 2017 se sustituyó el artículo 19 de la Ley de Acceso a la Información Pública N° 27.275, atribuyendo a la referida Agencia la facultad de actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales N° 25.326, y se incorporó como inciso t) al artículo 24 del capítulo IV de la de la Ley 27.275 de Derecho de Acceso a la Información Pública, la competencia de fiscalizar la protección integral de los datos personales asentados en archivos, registros, banco de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, y el acceso a la información que sobre las mismas se registre.

Que por el artículo 29 del ANEXO I al Decreto N° 1558 del 29 de noviembre de 2001, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES en el ámbito de la entonces SECRETARÍA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, para cumplir las funciones de órgano de control y autoridad de aplicación de la Ley de Protección de Datos Personales N° 25.326 y su reglamentación.

Que el Decreto N° 899 del 6 de noviembre 2017 reordenó el plexo regulatorio vigente en relación a las competencias asignadas a los organismos mencionados y de conformidad con los términos del artículo 19 de la Ley N° 27.275, sustituido por el artículo 11 del Decreto N° 746/17, atribuyó a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, el ejercicio de la función de órgano de control de la Ley N° 25.326, que hasta entonces detentaba la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

Que en virtud de lo expuesto, el Decreto N° 899/17 dispuso en su artículo 2° que toda referencia normativa a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se considerará referida a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.

Que en virtud de lo dispuesto en el art. 29, inciso 1º, acápite b) de la Ley Nº 25.326, entre las facultades asignadas a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA se especifica la de “Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley”.

Que por el artículo 1° del Decisión Administrativa N° 1002 del 15 de noviembre de 2017 se aprobó la estructura organizativa de primer nivel operativo de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, y entre las acciones asignadas a través de su Anexo II a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, se especifica como punto 12 la de “Coordinar con organismos públicos o privados actividades de promoción y difusión de la protección de datos personales”.

Que con anterioridad a la presente la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS tomó medidas tendientes al afianzamiento de la cultura de protección de datos personales en los Organismos Públicos, en particular mediante la Disposición DNPDP Nº 7 del 22 de agosto de 2008 mediante la cual aprobó la “Guía de Buenas Prácticas en Políticas de Privacidad para las Bases de Datos del Ámbito Público” y la Disposición DNPDP Nº 5 del 27 de febrero de 2006 que aprobó el documento “Adecuación y Registro”.

Que se estima pertinente en esta nueva etapa profundizar la cultura de protección de datos personales en los Organismos Públicos a través de políticas específicas.

Que de acuerdo lo establecido por la Ley N° 25.326, artículo 5 inciso 2, apartado b), la recolección de datos personales para el ejercicio de las funciones propias de los poderes del Estado no requiere el consentimiento del titular de esos datos.

Que conforme el artículo 11 inciso 3, apartado c) de la Ley N°. 25.326, la cesión de datos personales entre organismos del Estado en forma directa tampoco requiere consentimiento del titular del dato en la medida que se realice en el cumplimiento de sus respectivas competencias. Sin embargo es recomendable que en un Estado de Derecho cualquier cesión entre organismos del Estado sea realizada con la mayor transparencia posible para un adecuado control de la ciudadanía y el pleno ejercicio de su derecho a la información, siendo indispensable a tal fin la publicidad de las cesiones y los eventuales convenios suscriptos.

Que se considera adecuado impulsar en los organismos del Estado, el diseño, la implementación y su consecuente publicidad, por los distintos medios de comunicación posibles, una política de tratamiento de datos personales.

Que para la eficacia de la política de tratamiento de datos personales es conveniente recomendar a los organismos estatales que posean bases de datos, la designación de un agente de planta permanente como “delegado de protección de datos personales” a fin de que cumpla la tarea de acompañar la implementación y control de cumplimiento de la política de protección de datos personales que se diseñe.

Que, asimismo, resulta necesario aprobar un documento modelo bajo el título de “POLÍTICA MODELO DE PROTECCIÓN DE DATOS PERSONALES PARA ORGANISMOS PÚBLICOS” que establezca las pautas básicas sugeridas en el diseño de las políticas de protección de datos personales que se propone en la presente resolución.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que le compete.

Que, la presente medida se dicta en uso de las facultades conferidas por el artículo 29, inciso 1, apartado b) de la Ley N° 25.326, modificatorios y complementarios.

Por ello,

EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1º.- Apruébase el documento “POLÍTICA MODELO DE PROTECCIÓN DE DATOS PERSONALES PARA ORGANISMOS PÚBLICOS”, que como Anexo I (IF-2018-31883807-APN-AAIP) forma parte integrante de la presente, como pauta básica sugerida para el diseño del documento que publicite la protección de datos personales de aquéllos organismos públicos titulares de bases de datos personales.

ARTÍCULO 2º.- Recomiéndase a los organismos públicos titulares de bases de datos personales la implementación de una política de protección de datos personales y su difusión en forma permanente y actualizada a través de los canales habituales de comunicación con el ciudadano que tenga a su disposición.

ARTÍCULO 3º.- Recomiéndase la designación de un agente de planta permanente como “delegado de protección de datos personales” a quien se le asignará la implementación y control de cumplimiento interno de la política de protección de datos personales indicada en el artículo 1º.

ARTÍCULO 4º.- Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese. Eduardo Andrés Bertoni

NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-

e. 06/07/2018 N° 48417/18 v. 06/07/2018

Fecha de publicación 06/07/2018

Anexo I