jueves, 14 de mayo de 2009

BASE DE DATOS







Mesa de Ayuda para Bases de Datos Públicas
Sarmiento 1118 5º piso
C1041AAX - Ciudad Autónoma de Buenos Aires

Teléfonos Mesa de Ayuda: 54-11-4383-8512 al 4383-8515 Interno: 116











Instrucciones y Preguntas Frecuentes
--------------------------------------------------------------------------------

¿Qué es el Registro?

¿Porqué se debe registrar una base de datos?

Pasos a seguir para Registrarse

Formulario de Inscripción





--------------------------------------------------------------------------------


¿Qué es el Registro?


Es el medio que la ley otorga para conocer y controlar a los registros, archivos, bases o bancos de datos que traten datos personales. El acceso para consultas al RNBD es público y gratuito.


Por medio de él todas las personas podrán conocer qué tipo de información es la que maneja cada base de datos y quién es el responsable de la misma.

Asimismo, la inscripción significará, para las bases de datos, cumplir con uno de los requisitos de licitud que exige la Ley Nº 25.326 (art. 3º y 21 inciso 1).
De este modo se asegura la efectiva tutela de los datos personales. Los particulares podrán acudir a la DNPDP a efectos de conocer qué bases de datos pueden tener sus datos, quién es el responsable, y luego acudir a dichos registros, archivos, bases o bancos de datos para corregir, suprimir o rectificar el asiento.

¿Porqué se debe registrar una base de datos?
¿Por qué debo inscribirme en el Registro?
La Ley 25.326 es una norma de orden público que regula la actividad de las bases de datos que registran información de carácter personal. Su objeto es garantizar a las personas el control del uso de sus datos personales.

El Registro Nacional de Bases de Datos

La Ley 25.326 establece que será lícita la formación de una base de datos si se encuentra debidamente inscripta (artículo 3º). La no inscripción puede acarrear responsabilidades administrativas, civiles y penales.

Luego dispone que toda base de datos pública y privada destinada a proporcionar informes debe inscribirse en el Registro que al efecto habilite la Dirección Nacional de Protección de Datos Personales (artículo 21).

Posteriormente prescribe que los particulares que formen bases de datos que no sean para un uso exclusivamente personal deberán registrarlas (artículo 24).

La Dirección Nacional de Protección de Datos Personales ha implementado el Registro Nacional de Bases de Datos y se plantea entonces la necesidad de determinar cuáles son las bases de datos obligadas a inscribirse.

La obligación de inscribir las bases de datos


Dos conceptos de la Ley 25.326 son fundamentales para determinar la obligatoriedad de la inscripción en el Registro: 1) base de datos privada destinada a dar informes, que incluye la cesión y transferencia de datos (art. 1º y 21); y 2) uso exclusivamente personal de la base de datos (art. 24).


Destinado a dar informes:

Debe entenderse por banco de datos destinado a proveer informes a aquel registro, archivo, base o banco de datos que permita obtener información sobre las personas, se transmitan o no a terceros; dado que el tratamiento implica un riesgo susceptible de causar un perjuicio al titular del dato. Asimismo, al ser el derecho a controlar la información personal un derecho humano, debe interpretarse a favor de las personas.

La Real Academia Española define a la palabra "informe" como: "Descripción oral o escrita de las características o circunstancias de un suceso o asunto". Entonces "banco de datos destinado a dar informes" equivale a "banco de datos destinado a describir algo sobre las personas".

De esta manera, cuando se accede a una base que interrelaciona datos y produce una serie de informaciones acerca de una persona determinada, se configura la acción requerida por la norma: "brindar informe".

En ninguna parte de la norma se indica que para que la protección de la ley adquiera virtualidad debe tratarse de un destino único y exclusivo de brindar informes. Alcanza con que uno de los usos que se le da a la base de datos sea brindar información o describir algo sobre una persona determinada o determinable para que rija la protección de la ley.

Tampoco la norma exige que el destinatario del informe deba ser una tercera persona ajena al responsable o usuario de la base de datos, sino que también abarca los usos internos de la información personal.

Uso Exclusivo Personal:

Como se señalara, se obliga a inscribir en el Registro las bases de datos que no sean para un uso exclusivo personal (art. 24).

El concepto de uso exclusivo personal se interpreta unánimemente de la manera más favorable al ejercicio del derecho a controlar la información personal. Por ello, corresponde interpretar este concepto como uso exclusivo de la persona titular del banco de datos, entendidas como aquellas que por conservarse en la esfera íntima de la persona no trascienden a terceros y/o no tienen razonable potencialidad de dañar un derecho del titular del dato (ejemplo: computador personal con direcciones de amistades).

Ejemplos prácticos

Hay numerosos casos de bases de datos en el ámbito empresario, que dan información y que exceden un uso exclusivamente personal en virtud de las cesiones o transferencias de información que reali . Algunos ejemplos de las más habituales, entre otras, son:

Base de datos de clientes: con esta base de datos se llevan a cabo diversas cesiones de datos personales como la emisión de facturación, se hacen retenciones y liquidaciones a AFIP, IIBB, se puede informar morosidad.

Base de datos de proveedores: se llevan a cabo diversas cesiones de datos personales como las retenciones de tributos, emisión de recibos, informaciones a las cámaras, en suma, un serie de cesiones de información que exceden el uso personal de la base.

Base de datos de personal: se producen cesiones de información cuando se liquidan cargas sociales a ANSES, impuesto a las ganancias a AFIP, se transfiere información al banco para depositar el sueldo, a la ART (implica cesión de datos sensibles, art. 7º Ley 25.326), al sindicato si el empleado se encuentra afiliado (implica cesión de datos sensibles, art. 7º Ley 25.326).

Base de datos de marketing: la utilización de bases de datos con fines de publicidad y/o marketing directo se encuentra específicamente regulada por el art. 27 de la Ley 25.326. En razón de ello dicha base debe estar inscripta.

Ventajas de la inscripción en el Registro

El cumplimiento de la ley y la licitud de la base de datos.

Frente a eventuales denuncias por ejercicio de los derechos de acceso, rectificación, supresión o bloqueo (arts. 14, 16 y 27 Ley 25.326) o problemas en el tratamiento de datos personales, una base de datos no inscripta en el Registro adolece de otra condición de licitud lo que acarreará responsabilidades y sanciones más severas, al contrario que una base de datos debidamente inscripta.

Implica una ventaja competitiva detentar la condición de inscripto y el isologotipo frente a una empresa de la competencia que no lo tenga.

Debe además tenerse muy en cuenta que cuando la Ley 25.326 regula la cesión de datos establece la responsabilidad solidaria y conjunta de cedente y cesionario por la observancia de las normas ante el organismo de control y el titular de los datos (art. 11, inc. 4). En virtud de ello, frente a un incumplimiento de quien cedió será solidariamente responsable el cesionario y viceversa. Entonces será necesario asegurarse que quien nos cede o a quien le cedemos información sea un buen tratador de datos y la mejor carta de presentación es la inscripción en el Registro. Por este motivo la DNPDP ha diseñado el Certificado de Inscripción con la Casa de Moneda con medidas para la inviolabilidad del instrumento. Ello puede dar lugar a responsabilidades administrativas (hasta $100.000 de multa y/o la clausura de la base), civiles (indemnizaciones) y penales.

Sin perjuicio de las responsabilidades civiles y penales que correspondan por el incumplimiento de las obligaciones legales, la DNPDP aplicará las sanciones establecidas por el artículo 31 de la Ley 25.326 y la Disposición DNPDP Nº 7/05 (B.O. 11/11/05), que prevén multas de hasta $50.000 por la no inscripción de la base de datos.


PROTECCIÓN DE LOS DATOS PERSONALES.

1- ¿Cuáles son las normas aplicables para la protección de los datos personales?
a) Marco normativo:-
Constitución Nacional:(Art. 43)… “

Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquellos. No podrá afectarse el secreto de las fuentes de información periodística

…”-
Ley de Protección de Datos Personales Nº 25.326“

ARTÍCULO 1º (Objeto): La presente ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional.

Las disposiciones de la presente ley también serán aplicables, en cuanto resulte pertinente, a los datos relativos a personas de existencia ideal.
En ningún caso se podrán afectar la base de datos ni las fuentes de información periodísticas”

Decreto Reglamentario Nº 1558/2001:“ARTÍCULO 1º: A los efectos de esta reglamentación, quedan comprendidos en el concepto de archivos, registros, bases o bancos de datos privados destinados a dar informes, aquellos que exceden el uso exclusivamente personal y los que tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a título oneroso o gratuito”-
Disposiciones del Órgano de Contralor y complementarias.

2) ¿En qué consisten los datos personales?

Según el Art. 2 de la Ley se entiende por datos personales la información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.

3) ¿Qué son los datos sensibles?

Son los datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.


4) ¿Qué es un archivo, registro, base o banco de datos?

Conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera fuere la modalidad de su formación, almacenamiento, organización o acceso.

5- ¿Cuándo es lícita la formación de archivos? (Art. 3 Ley)

La formación de archivos de datos será lícita cuando los mismos se encuentren debidamente inscriptos.


6- Al registrar la base de datos, ¿debo informar al Registro los datos de las personas que la componen?

No, el Registro se limita a obtener información general como por ejemplo del responsable de la base, las características y finalidad de la misma, naturaleza de los datos, cantidad de personas registradas, etc.

7- ¿Cómo deben ser los datos personales?

Deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.


8- ¿Cómo se debe efectuar la recolección de los datos personales?

La recolección de los datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la ley.


9- ¿Se pueden usar los datos personales para otras finalidades distintas a la que motivan su obtención?

No pueden ser usados para finalidades distintas o incompatibles con aquellas que motivaron su obtención.

10- ¿Durante cuánto tiempo debo mantener los datos personales?

Estos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados.

11- ¿Es necesario mi consentimiento para que se puedan tratar datos sobre mi persona?

El tratamiento de datos es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado.- El consentimiento informado está precedido de una explicación al titular de acuerdo a su nivel social y cultural.

12- ¿En qué casos no es necesario el consentimiento?

No será necesario el consentimiento cuando:

(I). Los datos se obtengan de fuentes de acceso público irrestricto;
(II). Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal;
(III). Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio;
(IV). Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento;

13- ¿Qué información debo requerir antes de suministrar datos personales?

Se deberá informar previamente al titular en forma expresa y clara:
(I). Finalidad, y quiénes pueden ser sus destinatarios;
(II). Existencia del banco de datos, electrónico o no, y la identidad y domicilio del responsable;
(III). Carácter facultativo u obligatorio de las respuestas al cuestionario que se le proponga;
(IV). Las consecuencias de proporcionar los datos, negativa a hacerlo o inexactitud de los mismos;
(V). Posibilidad de ejercer los derechos de acceso, rectificación y supresión de los datos.


14- ¿Estoy obligado a proporcionar datos sensibles?

Ninguna persona puede ser obligada a proporcionar datos sensibles.- Los establecimientos sanitarios y los profesionales de la salud pueden recolectar y tratar los datos personales relativos a la salud, respetando el secreto profesional.

15- ¿Qué se debe hacer para asegurar los datos personales?

El responsable del archivo debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos.- Queda prohibido registrar datos en archivos que no reúnan condiciones técnicas de integridad y seguridad.

16- ¿Se pueden ceder o transferir datos personales?

Los datos sólo pueden ser cedidos con el previo consentimiento del titular- El consentimiento es revocable- Es prohibida la transferencia de datos con países y organismos que no tengan niveles de protección adecuados.- Se admiten excepciones tales como colaboración judicial, transferencias bancarias, cooperación internacional entre organismos de inteligencia, etc.

17- ¿Qué derechos tengo como titular de datos personales?

Derecho de información.Derecho de acceso.Derecho de rectificación, actualización o supresión.

18- ¿Cuál es la autoridad de aplicación y cuáles son sus funciones? (Art. 29 Ley)

El Órgano de Control es la Dirección Nacional de Protección de Datos Personales con las siguientes funciones:a)…b)…c) Realizar un censo de archivos, registro o banco de datos alcanzados por la ley y mantener el registro permanente de los mismos;d) Imponer sanciones.

19- ¿Qué sanciones pueden aplicarse en caso de incumplimiento?- Apercibimiento, suspensión, multas – ($1.000) a ($100.000)-, clausura o cancelación del archivo, registro o banco de datos.- Responsabilidades administrativas, daños y perjuicios, sanciones penales.

No hay comentarios: