es +5411 4346-1000
·
info@eof.com.ar

Nuevo procedimiento de inspecciones en materia de protección de datos personales

8 enero, 2021
, ,

La Agencia de Acceso a la Información Pública aprobó un nuevo procedimiento de fiscalización administrativa en materia de protección de datos personales.

En relación con la fiscalización del cumplimiento de la Ley 25.326, su reglamentación y demás normativa relativa a la protección de datos personales, el 31 de diciembre de 2020 se publicó en el Boletín Oficial la Resolución 332/2020 de la Agencia de Acceso a la Información Pública (“AAIP”) mediante la cual se aprobó: (i) una nueva “Guía de fiscalización”; y, (ii) los “Lineamientos Jurídicos y Técnicos de Inspección”.

En estos documentos, se regula el procedimiento que debe seguir la autoridad administrativa, estableciéndose límites tales como la reserva de los expedientes, el deber de requerir intervención judicial para inspeccionar ciertos registros, etc. Asimismo, se reconocen importantes derechos que asisten al investigado, tales como los de confidencialidad y seguridad, derecho de defensa, etc.

Sin dudas resulta relevante que las entidades que realizan tratamiento de datos personales tomen en cuenta lo allí previsto para que, en caso de encontrarse sujetas a una inspección, puedan controlar adecuadamente que la autoridad administrativa cumpla con el procedimiento al que se encuentra sujeta y se puedan ejercer eficazmente los derechos que se les reconocen.

A continuación, nos referiremos separadamente a cada uno de los documentos aprobados por la Resolución AAIP 332/2020:

I – Guía de Fiscalización

La Guía de Fiscalización precisa que la inspecciones que realiza la AAIP tienen por objeto la fiscalización, investigación y control de las actividades del responsable o usuario del tratamiento de datos personales, evaluando el grado de cumplimiento de la normativa vigente en materia de protección de datos personales.

En cuanto a los alcances de las inspecciones, se prevé que abarcarán aspectos jurídicos y técnicos implementados para el tratamiento de los datos personales, evaluando los siguientes aspectos:

    • Licitud del tratamiento;
    • Calidad de los datos personales tratados;
    • Consentimiento del titular del dato;
    • Información;
    • Categorías especiales de datos;
    • Seguridad;
    • Confidencialidad;
    • Cesión y transferencia internacional de datos personales;
    • Prestación de servicios de información crediticia;
    • Tratamiento de datos con fines de publicidad;
    • Procedimientos para el ejercicio de los derechos de los titulares de los datos personales, acceso, rectificación, actualización o supresión.

Asimismo, en los casos que corresponda, se tendrán en cuenta los siguientes aspectos:

    • Existencia de una evaluación de impacto en materia de protección de datos personales;
    • Términos y condiciones y política de privacidad del responsable;
    • Actuación del Responsable o delegado de protección de datos;
    • Sistema de notificaciones a los titulares de datos y a la Agencia de Acceso a la Información Pública en caso de incidentes de seguridad.

Las inspecciones que ordene el Director de la AAIP podrán ser (i) planificadas, aquellas programadas y ordenadas anualmente por el Director de la AAIP, a los fines de verificar el cumplimiento de la normativa relacionada al tratamiento de los datos personales, conforme a criterios objetivos de selección, teniendo en cuenta las actividades relacionadas a determinados sectores; o bien, (ii) espontáneas, motivadas por el impacto negativo que podría tener el tratamiento de datos personales y resultar violatorio del derecho a la privacidad y la protección de datos personales y/o por la recepción de una denuncia por presunta actividad ilícita.

Con relación a las inspecciones planificadas se previó que la AAIP implementará una planificación anual de inspecciones. La selección de los responsables que serán inspeccionados se basará en criterios objetivos, podrán ordenarse por sectores o grupos, definiéndose la cantidad de inspecciones a efectuar, teniendo en cuenta los siguientes parámetros, sin perjuicio de otros que pudieren corresponder:

    • Impacto del tratamiento de datos en la privacidad de las personas;
    • Volumen de tratamiento de datos;
    • Clase de datos tratados;
    • Cantidad de denuncias recibidas;
    • Gravedad de las denuncias recibidas;
    • Actividad que desarrolla la entidad a inspeccionar.

Las inspecciones espontáneas pueden originarse en denuncias, en cuanto se ha previsto que toda persona puede denunciar ante la AAIP conductas que podrían resultar violatorias de los principios y obligaciones impuestos por normativa de protección de datos personales.

En todos los casos, el denunciante tendrá calidad de tercero en el procedimiento y no de parte, motivo por el cual no debe acreditar una afectación de sus derechos. El denunciante tiene derecho a ser informado del resultado de su denuncia. Para preservar la investigación que pudiera corresponder, las denuncias tendrán carácter de reservadas.

Ahora bien, en relación al procedimiento de inspección se dispuso que por cada responsable de bases de datos sujeto a inspección, se procederá a ordenar la apertura de un expediente administrativo, que asignará a los inspectores a cargo de la investigación mediante un informe, y procederá a remitir el expediente para su tramitación. El investigado será notificado del inicio del procedimiento de inspección por correo postal, se le indicará el domicilio electrónico constituido por la AAIP, como así también la información y/o documentación que deberá cumplimentar en el plazo de diez (10) días hábiles administrativos de recibida la notificación.

El investigado deberá dar respuesta a la notificación recibida mediante su presentación ante la mesa de entradas o podrá realizar sus presentaciones al domicilio electrónico institucional constituido por la AAIP, a cuyo fin se designa la dirección inspecciones@aaip.gob.ar.

En su primera presentación, el investigado deberá hacer referencia al número de expediente asignado, constituir domicilio e indicar, en caso de no coincidir, el domicilio en el que deberá llevarse a cabo la inspección. Asimismo, deberá denunciar, con carácter de declaración jurada, un domicilio electrónico en el que serán válidas las notificaciones para remisión y recepción de documentación durante el procedimiento. Si el investigado cuenta con un responsable o delegado de protección de datos, deberá comunicarlo en su primera presentación.

Una vez recibida y analizada la documentación por parte de la AAIP, se programará la visita de inspección al domicilio denunciado al efecto. Se notificará el lugar, la fecha y el horario con una antelación no menor a cinco (5) días hábiles administrativos.

Aquí cabe destacar que la Guía de Fiscalización expresamente previó que podrá omitirse la notificación previa al inspeccionado cuando, a juicio de la DNPDP, se pueda afectar significativamente el resultado de la inspección debiéndose fundar debidamente tal decisión. Los inspectores procederán, directamente, a realizar su visita presencial, dejando constancia de todo lo actuado en el acta de inspección.

Los inspectores que se hagan presentes en el domicilio del investigado deberán identificarse e informar los objetivos del procedimiento que se llevará a cabo. Asimismo, verificarán la identidad del investigado o de su representante, corroborando la correspondiente personería o autorización. Los inspectores labrarán un acta de inspección, en la que dejarán constancia de todo lo actuado, formularán las observaciones y requerimientos que correspondan, sin perjuicio de los que pudieren surgir en etapas posteriores. El acta será suscripta por todos los inspectores intervinientes, por el investigado o al menos uno de sus representantes. Si el investigado o su representante se negaren a firmar, se dejará constancia de dicha circunstancia en la misma.

Cuando los inspectores precisen acceder a locales, equipos o programas de tratamiento de datos, deberán contar con la cooperación y el consentimiento del investigado, de lo contrario se dejará constancia de dicha circunstancia en el acta. En estos casos, la Dirección de Protección de la Privacidad elevará un informe a la DNPDP quien resolverá la necesidad de elevar la solicitud al Director de la AAIP, a efectos de iniciar el trámite para requerir la correspondiente autorización judicial.

Se aplicará supletoriamente la Ley N° 19.549 de Procedimientos Administrativos, para todo lo que no esté previsto en esta guía especial de inspección.

En cuanto a la metodología de investigación a aplicar, la Guía de Fiscalización estableció que deberán incluirse las siguientes técnicas de verificaciones:

    • Verbales: se llevarán a cabo entrevistas al personal que cumpla funciones en dependencias del inspeccionado para obtener información sobre los tratamientos de datos efectuados;
    • Oculares: mediante la observación, se constatará el cumplimiento de las obligaciones que permitan ser corroboradas visualmente;
    • Documentales: se analizarán los documentos aportados por el investigado;
    • Técnicas: mediante acciones destinadas a controlar la observancia de las normas sobre integridad y seguridad aplicadas al tratamiento de datos personales.

La AAIP y los inspectores intervinientes en el procedimiento deberán asegurar la seguridad y confidencialidad de la información a la que accedan y de los elementos de prueba que hubieran recolectado.

Finalmente, los inspectores elaborarán, en el plazo de diez (10) días hábiles administrativos, un informe final en el que establecerán el nivel de cumplimiento del investigado. Para el caso que en el informe final no se hubieran formulado observaciones, la Dirección de Protección de la Privacidad dará por terminadas las actuaciones mediante un informe de cierre y procederá a ponerlo en conocimiento de la DNPDP quien podrá proponer el archivo de las actuaciones al Director de la AAIP. Este último podrá ordenar el archivo y las notificaciones que correspondan.

En caso de que en el informe final se hubieren efectuado observaciones, la Dirección de Protección de la Privacidad intimará por el plazo de diez (10) días hábiles administrativos, a cumplir los requerimientos efectuados. A dicha intimación el investigado deberá dar respuesta, indicando las medidas adoptadas para el cumplimiento de los requerimientos y/u observaciones efectuados. Una vez vencido el plazo para dar respuesta, la Dirección de Protección de la Privacidad elevará el expediente, con un informe de todo lo actuado y su resultado, indicando si el inspeccionado acreditó el cumplimiento, a la DNPDP, quien evaluará si corresponde ordenar la sustanciación del sumario administrativo a fin de verificar la posible comisión de infracciones por incumplimiento a la normativa vigente.

 

II – Lineamientos Jurídicos y Técnicos de Inspección

Este documento contiene los lineamientos generales a tener en cuenta por los inspectores para la fiscalización de las actividades de tratamiento de datos personales.

Contiene las bases de fiscalización, constituido por las verificaciones técnicas jurídicas y organizativas, que se llevan a cabo al momento de la visita al responsable o usuario de las bases de datos.

En general se contienen, específicamente, aspectos que los inspectores deben verificar relacionados a:

    • Licitud del tratamiento;
    • Calidad de lo datos;
    • Consentimiento;
    • Información;
    • Seguridad y confidencialidad;
    • Cesión de datos;
    • Transferencia internacional de datos;
    • Prestación de servicios de información crediticia;
    • Publicidad;
    • Derechos del titular de los datos.

Cabe recordar que si de las inspecciones realizadas surgieran incumplimientos a la normativa de protección de datos personales, éstos serán pasibles de la aplicación de sanciones de multa, clausura o cancelación del archivo, registro o banco de datos.

Asimismo, entendemos que los documentos que aprobó la AAIP constituyen una oportunidad para que las empresas que efectúan tratamiento de datos personales puedan readaptar y mejorar su funcionamiento, atento a que se están especificando concretamente qué puntos serán evaluados a la hora de una eventual inspección.

Esto otorga a las empresas la posibilidad de revisar al respecto sus programas de compliance, protocolos para incidentes de seguridad (data breach) y estado de situación de sus bases de datos y documentación asociada a ello, entre otros aspectos

 

El Estudio O’Farrell cuenta con un equipo de abogados altamente especializados en asuntos de privacidad y protección de datos personales, con amplia experiencia en el asesoramiento de clientes nacionales e internaciones que efectúan tratamiento de datos personales a gran escala, el cual se encuentra a disposición.

Acceda al texto completo de la AAIP 332/2020 y sus anexos aquí.

Esta publicación no constituye una opinión legal sobre asuntos específicos. En caso de ser necesario, deberá procurarse asesoría legal especializada en el Departamento de Derecho Público y Regulación Económica del Estudio O´Farrell.

Para más información comunicarse con:

Jorge Muratorio

MuratorioJ@eof.com.ar

Juan Franco Raparo Faure

FaureJ@eof.com.ar