Taller Cómo prepararse para una inspección de Habeas Data

¿Cómo prepararse para una
inspección de la Dirección Nacional
de Protección de Datos Personales?
amdia
Noviembre, 2013

TEMAS

1.

Introducción: Dinámica de la Inspección de la DNPDP

2.

Licitud del tratamiento. Inscripción de las Bases de Datos ante la DNPDP

3.

Medidas de Seguridad

4.

Recolección y calidad de los datos

5.

Actividades de Publicidad Directa

6.

Cesión, Tratamiento de datos por cuenta de terceros y Transferencia Internacional

7.

Derechos del Titular del Dato

INTRODUCCIÓN: DINÁMICA DE LA INSPECCIÓN DE LA DNPDP – Disposición
DNPDP N° 005/08
INSPECCIONES
 ¿Para qué?
(i) mejorar la gestión de datos personales por parte del responsable de la base de datos
(ii) permitir a la DNPDP ejercer sus facultades de control
(iii) mejorar la protección de los derechos del titular del dato
 ¿Cómo?
(i) tomando conocimiento sobre el tratamiento de datos, los medios y la forma
(ii) evaluando el grado de cumplimiento de la Ley Nº 25.326
(iii) realizando recomendaciones para el mejor desempeño del responsable

DNPDP N° 005/08 (continuación)

DNPDP N° 005/08 (continuación)
Recomendaciones básicas para una inspección
 Completar el formulario de inspección en tiempo y forma
 Encontrarse al día con la inscripción y renovación de los archivos en el Registro de Bases
de Datos de la DNPDP
 Tener manual de privacidad y seguridad
 Prever los mecanismos necesarios para responder en tiempo y forma el ejercicio de los
derechos del titular del dato
 Dar adecuada y fluida respuesta a los requerimientos de la DNPDP (poseer un
procedimiento y organismo/sector designado como interlocutor)

LICITUD DEL TRATAMIENTO. INSCRIPCIÓN DE LAS BASES DE DATOS ANTE LA
DNPDP
REGISTRO NACIONAL DE BASES DE DATOS

Registro obligatorio de bases de datos personales dispuesto por la Ley 25.326
Objeto:

(i) permite a la DNPDP conocer y controlar a los registros, archivos, bases o bancos de datos;
(ii) permite que cualquier persona conozca qué tipo de información trata cada base de datos y
quién es el responsable de la misma;
Asegura la efectiva tutela de los datos personales

Ejemplos prácticos de bases de datos que deben inscribirse

Bases de datos de clientes
Bases de datos de proveedores
Bases de datos de personal

DNPDP (continuación)

DNPDP (continuación)

Preguntas pertinentes del formulario

¿Se encuentra inscripto en el REGISTRO NACIONAL DE BASES DE DATOS (RNBD)?
 Enumere las bases de datos inscriptas en el RNBD

MEDIDAS DE SEGURIDAD – Disposición 11/06

PRINCIPIO DE SEGURIDAD: Obligación de responsables y usuarios de
adoptar medidas de seguridad:
 Se debe emitir un documento de seguridad de datos personales
 Existen tres niveles de seguridad (básico – medio – crítico) con medidas de seguridad
específicas para cada uno
Medidas de seguridad de Nivel Básico: para todas las bases que contengan
información personal;
Medidas de seguridad de Nivel Medio: datos personales que recaben entidades
públicas o privadas que deban guardar reserva de la misma. Ejemplo:
antecedentes penales, secretos bancarios y servicios públicos;
Medidas de seguridad de Nivel Crítico: para los archivos que contengan datos
sensibles;

MEDIDAS DE SEGURIDAD ( continuación )
Ejemplos de medidas de seguridad de nivel básico:
 Determinar funciones y obligaciones del personal;
 Establecer registros de incidentes de seguridad;
 Establecer procedimientos para efectuar copias de respaldo y recuperación de datos;
 Poseer control de acceso de usuarios a la información necesaria;

Ejemplos de medidas de seguridad de nivel medio:
 Identificar al responsable de seguridad;

 Establecer límite a los intentos de acceso no autorizados;
 Implementar control de acceso físico;
 Los registros de incidentes de seguridad deben indicar quién recuperó y/o modificó los datos.

Ejemplos de medidas de seguridad de nivel crítico:
 Datos cifrados si se distribuyen soportes;

 Copias de respaldo locales y externas en cajas ignífugas o de seguridad bancaria;
 Encriptación de datos que se transmitan a través de redes de comunicación;

MEDIDAS DE SEGURIDAD ( continuación )

¿Adopta medidas de seguridad?
 ¿Posee Documento de Seguridad conforme Disp. DNPDP N° 11/06? En caso afirmativo,
deberá adjuntarlo para su análisis.
 ¿Verifica el cumplimiento del deber de confidencialidad?
 ¿Posee convenios de confidencialidad firmados por todos los que intervienen en alguna
fase del tratamiento de datos (empleados, proveedores, terceros)? En caso afirmativo,
acompañarlo para su análisis.

RECOLECCIÓN Y CALIDAD DE LOS DATOS
RECOLECCIÓN DE DATOS. CONSENTIMIENTO E INFORMACIÓN
 Se debe obtener el consentimiento libre, expreso e informado del titular. A tal efecto se
debe informar al titular:
(i) finalidad del tratamiento, destinatarios o clase de destinatarios;
(ii) existencia del banco de datos y la identidad y domicilio de su responsable;
(iii) carácter obligatorio o facultativo de las respuestas al cuestionario que se le
especial en cuanto a los datos sensibles;

proponga, en

(iv) consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los
mismos;
(v) posibilidad del interesado de ejercer los derechos de acceso, rectificación y
los datos;

supresión de

RECOLECCIÓN Y CALIDAD DE LOS DATOS (Continuación)
Datos recabados directamente del Titular (recolección directa):
 Clientes y Proveedores: Formulario de alta y contrato.
 Empleados: Formulario de declaración de datos.
 Formulario de recolección de datos : Cláusulas específicas según la LPDP.
 Prospectos: Régimen especial para las bases de datos con fines publicitarios.

Recolección de datos de otras fuentes que no sean el Titular (recolección indirecta):
 Datos de Proveedores que tienen las bases inscriptas : Contrato
Excepciones al requisito del consentimiento libre, expreso e informado:
(i) Fuentes de acceso público irrestricto;
(ii) Listados que se limiten a nombre, DNI, CUIT/CUIL, ocupación, fecha de
domicilio.
(iii) Relación contractual, científica o profesional con el titular de los datos;

nacimiento y

RECOLECCIÓN Y CALIDAD DE LOS DATOS (continuación)
 ¿Recaba el consentimiento del titular del dato? Indicar el medio.
 ¿Recolecta datos sin consentimiento en virtud de una o varias excepciones (art. 5°, inc.2)?
 ¿Recaba los datos directamente de su titular del dato?
 En caso afirmativo, ¿le brinda al titular del dato la información requerida por el art. 6° al
momento de la recolección?
 ¿Posee formularios de recolección de datos de empleados, proveedores y clientes (con la
inclusión de la finalidad de recolección y la Disposición DNPDP N° 10/08)? En caso
afirmativo, deberá anexarlos para su análisis.

CALIDAD DE LOS DATOS
 El usuario de una base de datos debe utilizar datos con finalidades definidas consistentes
con su actividad.
 Calidad de los datos se refiere a datos:

(i) ciertos, adecuados, pertinentes, actualizados; y
(ii) no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido

 Vías para verificar la calidad de los datos:

(i) contacto con el titular del dato en forma telefónica;
(ii) ejercicio del derecho de rectificación o actualización ejercido por el titular;
(iii) validación en fuentes de acceso público e irrestricto; y
(iv) procedimiento para verificar la utilidad de los datos en forma periódica.


 Los datos no pueden ser utilizados para finalidades distintas o incompatibles con
aquellas que motivaron su obtención. Por lo tanto, se deberá:
(i) suprimir los datos que hubiesen perdido vigencia
(ii) obtener el consentimiento del titular si la finalidad se modifica
 Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso
de su titular. Por lo tanto, se deberá:
(i) detallar los sistemas y procesos que permiten la accesibilidad a los datos

almacenados;

(ii) almacenar los datos de modo inteligible (forma directa, o a través de la utilización
procedimientos de decodificación que deben ponerse a disposición de los
titulares).

de

 ¿Verifica la veracidad, adecuación y pertinencia de los datos?
 ¿Verifica que la recolección se haga mediante medios leales, no fraudulentos y de acuerdo
a la ley? ¿Verifica el origen de los datos (fuentes) y su licitud?
 ¿Verifica que el uso de los datos sea acorde al motivo de recolección?
 ¿Verifica la exactitud y actualización de los datos?
 ¿Los datos son almacenados de manera tal que permiten el ejercicio de los derechos por
parte de su titular?
 ¿Verifica la utilidad, actualidad y exactitud de los datos en forma periódica? ¿Procede a su
destrucción o supresión?

ACTIVIDADES DE PUBLICIDAD DIRECTA
REQUISITOS PARA LA RECOPILACIÓN, TRATAMIENTO Y CESIÓN DE DATOS
CON FINES DE PUBLICIDAD:
Categorías autorizadas: los que permitan establecer perfiles determinados o hábitos de
consumo, con más los datos individuales estrictamente necesarios para formular la oferta
comerciales.
Fuentes y modalidad de obtención de los mismos: sólo podrán tratarse datos que "figuren en
documentos accesibles al público o hayan sido facilitados por los propios titulares u
obtenidos con su consentimiento”
 Asimismo deben garantizarse los siguientes derechos:
(i) de acceso sin cargo;
(ii) de retiro o bloqueo de su nombre del bancos de datos (“opt out”);
(iii) de obtener información sobre el nombre del responsable o usuario del banco de
proveyó la información.

datos que

ACTIVIDADES DE PUBLICIDAD DIRECTA ( continuación )
Comunicaciones con fines de publicidad : deben incluir “legales” específicos:
opt out,
obligación de informar el nombre del responsable de la base,
transcripción Art. 27 inc. 3 Ley PDP, Párrafo 3 Art. 27 Anexo 1 Decreto 1558/01, Art. 1y2 Disposición
10/08)

Comunicaciones de publicidad directa no consentidas por el titular : deben indicar en
forma destacada que se trata de una publicidad. En caso de correo electrónicos se debe insertar en su
encabezado el término único “publicidad”.

Segmentación de la base: Se deberá contar con un sistema de supresión que sirva para
(i)bloquear nombres de los titulares que hubieran ejercido su derecho de “Opt Out”,
(ii)bloquear nombres (en los casos de comunicaciones telefónicas) de aquellas personas titulares de una
línea telefónica inscripta en el Registro “No Llame”.

ACTIVIDADES DE PUBLICIDAD DIRECTA ( continuación )
Modalidades de registración de las bases de datos con fines de publicidad
 Régimen de inscripción abreviada siempre que el registrante sea miembro de una asociación
y/o colegio profesional que disponga de un Código de Conducta homologado por la DNPDP.

O
 Régimen de inscripción ordinario.
 ¿Efectúa tratamiento de datos con fines de publicidad?
 ¿Recaba los datos de fuentes legítimas (inc. 1º art. 27 Ley 25.326 y Decreto)?
 ¿Respeta derecho de retiro o bloqueo del titular del dato (inc. 3º art. 27 Ley Nº 25.326)?

CESIÓN, TRANSFERENCIA INTERNACIONAL Y TRATAMIENTO DE DATOS POR
CUENTA DE TERCEROS
CESIÓN DE DATOS
 Los datos personales pueden cederse:
(i) si existe un interés legítimo del cedente y cesionario; y
(ii) con el previo consentimiento del titular de los datos, al que se le debe informar
finalidad de la cesión e identificar al cesionario.

la

 Cedente y cesionario son solidariamente responsables.
 El consentimiento de la cesión es revocable.
 No se requiere consentimiento si:
(i) los datos se obtienen de fuentes de acceso público irrestricto;
(ii) listados que se limiten a nombre, DNI, CUIL o CUIT, ocupación, fecha de
nacimiento y domicilio;
(iii) existe una relación contractual, científica o profesional con el titula de los datos;

CUENTA DE TERCEROS (continuación)
 ¿Efectúa cesión de datos personales?
 ¿Verifica el cumplimiento del requisito del interés legítimo?
 ¿Recaba el consentimiento previo del titular del dato?

TRANSFERENCIA INTERNACIONAL DE DATOS
 Los datos personales pueden transferirse internacionalmente si:
(i) el titular de los datos consintió expresamente la transferencia;
(ii) el receptor de los datos proporciona niveles de protección adecuados; o
(iii) se celebra un contrato con las cláusulas aprobadas por la DNPDP

 No se requiere consentimiento del titular de los datos en caso de:
(i) colaboración judicial internacional;

(ii) intercambio de datos médicos si se disocia la información del titular de los datos;
(iii) transferencias bancarias o bursátiles;
(iv) acuerdo en tratados internacionales en los cuales Argentina sea parte;
(v) cooperación internacional entre organismos de inteligencia;
(vi) registro público legalmente constituido para facilitar información al público.

 ¿Efectúa transferencia internacional de datos personales?
 ¿La realiza mediante contrato de transferencia internacional? Consignar si posee la
aprobación de la DNPP
 ¿Aplica alguna de las excepciones previstas en el art. 12, inc. 2?
 ¿La realiza mediante consentimiento del titular del dato?

DERECHOS DEL TITULAR DEL DATO
DERECHOS DE LOS TITULARES
 Derechos de acceso: facultad de las personas de conocer qué información se registra
sobre ellas
 Derecho de rectificación: para corregir:
(i) datos erróneos
(ii) datos falsos
(iii) datos incompletos
(iv) datos desactualizados
Acción de Hábeas Data
 El incumplimiento de los derechos de acceso, actualización, rectificación y supresión de los
datos habilitará al interesado a promover una acción judicial de HÁBEAS DATA (art.14 y 16
de la ley 25.326)

DERECHOS DEL TITULAR DEL DATO (continuación)
 ¿Establece procedimientos y plazos de ley para el derecho de acceso?
 ¿Verifica que la información que brinda en el derecho de acceso sea clara para el titular del
dato?
 ¿Verifica que la información sea amplia y que verse sobre la totalidad del registro
perteneciente al titular ?
 Enumerar los medios por los cuales brinda acceso (por escrito, telefónico, medios
electrónicos, etc.)
 ¿Establece procedimientos y plazos de ley para el derecho de rectificación, actualización o
supresión?

POLÍTICA DE PRIVACIDAD Y CAPACITACIÓN DEL PERSONAL DE LA COMPAÑÍA
 Requerimientos ley local & Lineamientos Globales.
 Contenido de la Política:
(i) definición del objeto;

(ii) principios de protección de datos personales
(iii) convenios de confidencialidad del personal y terceros
(iv) manual de seguridad
(v) transferencia internacional de datos personales
(vi) publicidad directa
(vii) tratamiento de datos por cuenta de terceros
(viii) derechos de los titulares y procedimientos
(ix) designación de un Encargado de Protección de Datos por parte del Directorio
(x) implementación y ejecución de la política en la empresa
(xi) capacitación
(xii) auditoría sobre su cumplimiento. Notificación de incidentes
(xiii) determinación de responsabilidades en caso de incumplimiento

 ¿Posee una política de privacidad? En caso de poseerla deberá adjuntarla para su análisis .

CASOS ESPECIALES
DATOS SENSIBLES
 Datos personales sobre origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o
morales, afiliación sindical e información referente a la salud o a la vida sexual.

 Los Datos Sensibles, en principio no pueden ser recolectados ni objeto de tratamiento, salvo:
(i) razones de interés general autorizadas por ley; y
(ii) finalidades estadísticas o científicas si no pueden ser identificados sus titulares.

Tratamiento de datos vinculados a la salud, con fines publicitarios

 Datos vinculados a la salud (constituyen datos sensibles): excepcionalmente, podrán ser objeto de
tratamiento para realizar ofertas de marketing directo.
 Deberá verificarse previamente el consentimiento del titular.

 ¿Trata datos sensibles (art. 2 y 7 Ley Nº 25.326)?
 ¿Trata datos de antecedentes penales o contravencionales?

CASOS ESPECIALES
DATOS RELATIVOS A LA SALUD
 Los establecimientos sanitarios y los profesionales vinculados a la salud pueden recolectar y
tratar los datos sensibles de sus pacientes mientras se respete el secreto profesional.
 Establecimientos sanitarios y médicos: ¿en caso que se trate de un establecimiento sanitario,
¿toma medidas que garanticen el secreto profesional?
 Investigaciones clínicas, farmacológicas y farmacogenénicas: ¿utiliza modelos de
consentimiento informado aprobados por la DNPDP

EJERCICIO PRÁCTICO

COMPLETE los puntos 4, 5, 6, 9, 10, 12, 14, 15, 2del FORMULARIO de INSPECCIÓN que se
encuentra en su Carpeta.
RECUERDE las recomendaciones efectuadas sobre cada punto y APLIQUE las mismas a la
realidad de su Empresa
CONSULTE a los expositores. NO SE QUEDE CON NINGUNA DUDA !

FIN DE LA PRESENTACIÓN

¿PREGUNTAS?

Taller Cómo prepararse para una inspección de Habeas Data

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Taller Cómo prepararse para una inspección de Habeas Data

Ähnlich wie Taller Cómo prepararse para una inspección de Habeas Data (20)

Mehr von amdia

Mehr von amdia (20)

Taller Cómo prepararse para una inspección de Habeas Data