Guía de Fiscalización en materia de Datos Personales

El 31 de diciembre de 2020 se publicó en el Boletín Oficial, la Resolución 332/2020 de la Agencia de Acceso a la Información Pública (AAIP), en adelante la “Resolución”, en virtud de la cual se dispone la  derogación del Procedimiento de Inspección que fuera aprobado por la Disposición N° 55 del 25 de octubre de 2016 de la ex Dirección Nacional de Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos.
A su vez, se prevé la implementación de una Guía de Fiscalización en materia de datos personales, en adelante la “Guía”, como así también los Lineamientos Jurídicos y Técnicos de Inspección, en adelante los “Lineamientos”, que fueran aprobados como anexo de la mencionada Resolución.
Con relación a la Guía podemos mencionar los siguientes puntos relevantes:
- Se establece que los objetivos de llevar a cabo inspecciones son  “fiscalizar, investigar y controlar” las actividades de responsables o usuarios del tratamiento de datos personales, para determinar el grado de cumplimiento de la normativa vigente en cuanto a la protección de los datos personales.
- Las inspecciones recaerán tanto sobre aspectos técnicos como jurídicos implementados para el tratamiento de datos, y versarán sobre: a. Licitud del tratamiento; b. Calidad de los datos personales tratados; c. Consentimiento del titular del dato; d. Información; e. Categorías especiales de datos; f. Seguridad; g. Confidencialidad; h. Cesión y transferencia internacional de datos personales; i. Prestación de servicios de información crediticia; j. Tratamiento de datos con fines de publicidad; k. Procedimientos para el ejercicio de los derechos de los titulares de los datos personales, acceso, rectificación, actualización o supresión.
- Las inspecciones podrán ser planificadas (anuales) o espontáneas, conforme los términos de lo dispuesto en la Resolución.
- Toda persona pública o privada podrá realizar ante la AAIP, aquellas denuncias relativas a conductas que se consideren violatorias de la Ley de Protección de Datos Personales (nro. 25.326).
- Asimismo, la Guía establece el procedimiento relativo a las inspecciones planificadas por parte de AAIP, las cuales se realizarán una vez al año, determinando quienes serán los inspeccionados, la cantidad de inspecciones a efectuar, entre otros aspectos; todo ello bajo la adopción de criterios objetivos, y la conformación de un expediente administrativo. A dicho procedimiento se le aplicarán supletoriamente las disposiciones de la Ley de Procedimiento Administrativo (nro. 19.549).
- El sujeto sometido a investigación será notificado del inicio del procedimiento por correo postal y a su vez, se le indicará el domicilio electrónico constituido por la AAIP, como así también la información y/o documentación que deberá cumplimentar en el plazo de DIEZ (10) días hábiles administrativos de recibida dicha notificación.
- El inspeccionado tendrá que presentar también una declaración jurada de domicilio electrónico en el que serán válidas las notificaciones para emisión y recepción de documentación durante el procedimiento.
- Se establece la posibilidad de omitir, a criterio de la Dirección Nacional de Protección de Datos Personales, la notificación previa al inspeccionado, en aquellos casos que exista la posibilidad de afectar significativamente el resultado de la inspección.
- Se dispone que tanto la AAIP como los inspectores intervinientes deberán asegurar la seguridad y confidencialidad de la información a la que accedan y de los elementos de prueba que hubieran recolectado.
- Finalmente, una vez concluidas las actividades de fiscalización y control se elaborará el informe final, dentro de los 10 días hábiles administrativos, donde se dispondrá el nivel de cumplimiento del sujeto investigado. Dicho informe podrá ser observado en caso de corresponder. La Dirección Nacional de Protección de Datos Personales será la encargada de evaluar si corresponde ordenar la substanciación del sumario administrativo a fin de verificar la posible comisión de infracciones por incumplimiento a la normativa vigente.
Por su parte, en cuanto a los Lineamientos, el Anexo II de la Resolución dispone aquellos parámetros generales que deben tener en cuenta los Inspectores para llevar a cabo la fiscalización de las actividades de tratamiento de datos personales. Entre los lineamientos jurídicos se deben expedir sobre: la licitud en el tratamiento, fundamentalmente en caso de datos sensibles; calidad de los datos; consentimiento, incluso en el caso de niños; información que proporciona quien realiza tratamiento de datos; seguridad y confidencialidad; cesión de datos; transferencia internacional de datos; prestación de servicios de información crediticia; publicidad; derechos del titular de los datos.
Entre los lineamientos técnicos, el Anexo establece que los inspectores deberán expedirse sobre la recolección de datos; el control de acceso; control de cambios; lo relativo al respaldo y recuperación; gestión de vulnerabilidades; destrucción de la información; y gestión de incidentes.