Guía de fiscalización en materia de datos personales

El 31 de diciembre de 2020, se publicó en el Boletín Oficial la Resolución AAIP 332/2020 que aprobó una nueva guía de fiscalización en materia de datos personales junto con los lineamientos jurídicos y técnicos de inspección con el fin de controlar el cumplimiento de la Ley de Protección de Datos Personales No. 25326 (LPDP). Esta resolución deroga el viejo régimen de inspecciones.

 

1. Guía de fiscalización en materia de datos personales

 

El objetivo de la guía es que la Agencia de Acceso a la Información Pública (AAIP) fiscalice, investigue y controle las actividades del responsable o usuario que trata datos personales para determinar si cumple con la LPDP.

La fiscalización alcanza tanto aspectos jurídicos como técnicos y deben evaluarse los siguientes aspectos generales:

• licitud del tratamiento;
• calidad de los datos personales tratados;
• consentimiento del titular del dato;
• Información;
• categorías especiales de datos;
• seguridad;
• confidencialidad;
• cesión y transferencia internacional de datos personales;
• prestación de servicios de información crediticia;
• tratamiento de datos con fines de publicidad; y
• procedimientos para el ejercicio de los derechos de los titulares de los datos personales, acceso, rectificación, actualización o supresión.

 

Además, de corresponder, se tendrán en cuenta estos aspectos:

• La existencia de una evaluación de impacto en materia de protección de datos personales.
• Los términos y condiciones y política de privacidad del responsable.
• La actuación del responsable o delegado de protección de datos.
• El sistema de notificaciones a los titulares de datos y a la AAIP en caso de incidentes de seguridad.

 

En cuanto al tipo de inspecciones que puede llevar adelante la AAIP, la guía establece que estas pueden ser planificadas o espontáneas. En ambos casos, la AAIP puede determinar analizar únicamente ciertos aspectos (y no todos) relacionados con el tratamiento de los datos personales.

Asimismo, toda persona o compañía podrá presentar una denuncia ante la AAIP para que esta investigue la posible infracción a la LPDP. La Dirección de Protección de Datos Personales decidirá si corresponde avanzar con la investigación y, en su caso, le dará curso de inspección espontánea, manteniendo la denuncia en carácter reservado.

Asimismo, la AAIP deberá implementar una planificación anual de inspecciones y seleccionar los responsables por inspeccionar siguiendo criterios objetivos. Podrán ordenarse por sectores o grupos, y deberá también definirse la cantidad de inspecciones por efectuar. Asimismo, deberán tenerse en cuenta los siguientes parámetros, al margen de otros que pudieren corresponder:

• Impacto del tratamiento de datos en la privacidad de las personas.
• Volumen de tratamiento de datos.
• Clase de datos tratados.
• Cantidad de denuncias recibidas por el organismo.
• Gravedad de las denuncias recibidas.
• Actividad que desarrolla.

 

La selección de los responsables por inspeccionar deberá sustanciar en un expediente administrativo en el que el director de la AAIP dejará constancia de los criterios objetivos utilizados e identificará el sector o grupo que objeto de inspección.

En cuanto al procedimiento de inspección en sí, la AAIP iniciará un expediente por cada responsable inspeccionado, a quien se le notificará el inicio del trámite y se le informará la información/documentación que requiere presentar en un plazo de 10 días administrativos. Si el responsable cuenta con un responsable de protección de datos, deberá informarlo a la AAIP en su primera presentación. Una vez recibida la información requerida o vencido el plazo para hacerlo, se programará la visita de la inspección con al menos 5 días hábiles administrativos de antelación. De forma excepcional, ante una decisión fundada, se podrá omitir el requisito de notificación previa para la inspección.

Los inspectores asignados deberán presentarse en el domicilio del responsable, identificarse,  explicar el objetivo del procedimiento y verificar la identidad del responsable y/o su representante. Los inspectores que participen labrarán un acta en la que dejarán asentada su actuación, incluyendo las observaciones y requerimientos que correspondan, sin perjuicio de los que se puedan hacer de forma posterior. El acta debe ser firmada por el investigado y/o su representante, y por los inspectores. (Si el investigado y/o su representante se negara a serlo, deberán dejar constancia.)

Los inspectores podrán solicitar informes, documentación, realizar consultas e instar visitas adicionales en la medida en que resulten útiles para la investigación y hasta el momento del informe final.

Si los inspectores necesitaran acceder a locales, equipos o programas de tratamiento de datos, deberán contar con la cooperación y el consentimiento del investigado. Si el investigado se negara, la AAIP decidirá si corresponde requerir autorización judicial o iniciar el proceso sancionatorio. La autorización judicial podrá también pedirse de manera anticipada cuando se prevea la falta de cooperación del investigado. Dicha autorización también está prevista para el supuesto en el que investigado responsable de tratamiento se encuentre fuera del territorio argentino, supuestos en los que la AAIP podrá utilizar cualquiera de los mecanismos formales o informales de cooperación internacional que hayan sido habilitados por la normativa vigente.

En cuanto a las técnicas de investigación, la Guía prevé técnicas verbales (entrevistas), oculares (aquellas constatadas visualmente), documentales y técnicas (mediante acciones destinadas a controlar la observancia de las normas sobre integridad y seguridad aplicadas al tratamiento de datos personales).

Los inspectores deben asegurar la seguridad y confidencialidad de toda la información a la que acceden y de las pruebas que recolecten.

Por último, una vez terminadas la fiscalización y el control, en un plazo de 10 días hábiles administrativos, los inspectores deberán elaborar su informe final en el que establecerán el nivel de cumplimiento del investigado. Si no hubiera observaciones, se dará por terminado el procedimiento. Si existieren observaciones, se intimará al investigado a cumplir con las observaciones en un plazo de 10 días hábiles administrativos. Si el plazo para dar respuesta venciera, se elevará un informe a fin de evaluar si corresponde continuar con el procedimiento para verificar posibles infracciones.

 

2. Lineamientos jurídicos y técnicos de inspección

 

Por otro lado, los lineamientos jurídicos y técnicos de inspección contienen indican qué deben tener en cuenta los inspectores al realizar las inspecciones, en base a los distintos aspectos de la LPDP.

En ese sentido, establecen que deben verificar:

• La licitud del tratamiento de los datos de carácter general como de los datos sensibles y/o los antecedentes penales.
• La calidad de los datos.
• Si existe consentimiento (o excepciones aplicables), incluyendo el consentimiento en el caso de personas menores de edad.
• La información brindada a los titulares de los datos.
• Los aspectos de seguridad y confidencialidad.
• La cesión de los datos.
• Transferencia internacional.
• Prestación de servicios de información crediticia.
• Publicidad.
• Los derechos del titular de los datos.

 

Ambos documentos tendrán gran importancia en los futuros procedimientos de la AAIP, ya que sirven de guía no solo para los inspectores que lleven adelante las fiscalizaciones, sino también sirven para que los responsables de tratamiento puedan revisar de antemano sus prácticas y prepararse de la mejor manera por una posible inspección.

La falta de cumplimiento del régimen de la LPDP puede resultar en la imposición de sanciones de multa, clausura o cancelación del archivo, registro o banco de datos. El texto completo de la puede leerse aquí y el de los lineamientos jurídicos y técnicos de inspección, aquí.