El Senado y Cámara de
Diputados de la Nación Argentina reunidos en Congreso, etc. sancionan con
fuerza de Ley:
LEY DE PROTECCIÓN DE
LOS DATOS PERSONALES
Capítulo I
Disposiciones Generales
ARTICULO 1° — (Objeto).
La presente ley tiene por objeto la protección
integral de los datos personales asentados en archivos, registros, bancos de
datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o
privados destinados a dar informes, para garantizar el derecho al honor y a la
intimidad de las personas, así como también el acceso a la información que
sobre las mismas se registre, de conformidad a lo establecido en el artículo
43, párrafo tercero de la Constitución Nacional.
Las disposiciones de la presente ley también
serán aplicables, en cuanto resulte pertinente, a los datos relativos a
personas de existencia ideal.
En ningún caso se podrán afectar la base de
datos ni las fuentes de información periodísticas.
ARTICULO 2° — (Definiciones).
A los fines de la presente ley se entiende por:
— Datos personales: Información de cualquier
tipo referida a personas físicas o de existencia ideal determinadas o
determinables.
— Datos sensibles: Datos personales que revelan
origen racial y étnico, opiniones políticas, convicciones religiosas,
filosóficas o morales, afiliación sindical e información referente a la salud o
a la vida sexual.
— Archivo, registro, base o banco de datos:
Indistintamente, designan al conjunto organizado de datos personales que sean
objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere
la modalidad de su formación, almacenamiento, organización o acceso.
— Tratamiento de datos: Operaciones y
procedimientos sistemáticos, electrónicos o no, que permitan la recolección,
conservación, ordenación, almacenamiento, modificación, relacionamiento,
evaluación, bloqueo, destrucción, y en general el procesamiento de datos
personales, así como también su cesión a terceros a través de comunicaciones,
consultas, interconexiones o transferencias.
— Responsable de archivo, registro, base o
banco de datos: Persona física o de existencia ideal pública o privada, que es
titular de un archivo, registro, base o banco de datos.
— Datos informatizados: Los datos personales
sometidos al tratamiento o procesamiento electrónico o automatizado.
— Titular de los datos: Toda persona física o
persona de existencia ideal con domicilio legal o delegaciones o sucursales en
el país, cuyos datos sean objeto del tratamiento al que se refiere la presente
ley.
— Usuario de datos: Toda persona, pública o
privada que realice a su arbitrio el tratamiento de datos, ya sea en archivos,
registros o bancos de datos propios o a través de conexión con los mismos.
— Disociación de datos: Todo tratamiento de
datos personales de manera que la información obtenida no pueda asociarse a
persona determinada o determinable.
Capítulo II
Principios generales
relativos a la protección de datos
ARTICULO 3° — (Archivos de datos –
Licitud).
La formación de archivos de datos será lícita
cuando se encuentren debidamente inscriptos, observando en su operación los
principios que establece la presente ley y las reglamentaciones que se dicten
en su consecuencia.
Los archivos de datos no pueden tener
finalidades contrarias a las leyes o a la moral pública.
ARTICULO 4° — (Calidad de los
datos).
1. Los datos personales que se recojan a los
efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no
excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.
2. La recolección de datos no puede hacerse por
medios desleales, fraudulentos o en forma contraria a las disposiciones de la
presente ley.
3. Los datos objeto de tratamiento no pueden
ser utilizados para finalidades distintas o incompatibles con aquellas que
motivaron su obtención.
4. Los datos deben ser exactos y actualizarse
en el caso de que ello fuere necesario.
5. Los datos total o parcialmente inexactos, o
que sean incompletos, deben ser suprimidos y sustituidos, o en su caso
completados, por el responsable del archivo o base de datos cuando se tenga
conocimiento de la inexactitud o carácter incompleto de la información de que
se trate, sin perjuicio de los derechos del titular establecidos en el artículo
16 de la presente ley.
6. Los datos deben ser almacenados de modo que
permitan el ejercicio del derecho de acceso de su titular.
7. Los datos deben ser destruidos cuando hayan
dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen
sido recolectados.
ARTICULO 5° — (Consentimiento).
1. El tratamiento de datos personales es
ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso
e informado, el que deberá constar por escrito, o por otro medio que permita se
le equipare, de acuerdo a las circunstancias.
El referido consentimiento prestado con otras
declaraciones, deberá figurar en forma expresa y destacada, previa notificación
al requerido de datos, de la información descrita en el artículo 6° de la
presente ley.
2. No será necesario el consentimiento cuando:
a) Los datos se obtengan de fuentes de acceso
público irrestricto;
b) Se recaben para el ejercicio de funciones propias
de los poderes del Estado o en virtud de una obligación legal;
c) Se trate de listados cuyos datos se limiten
a nombre, documento nacional de identidad, identificación tributaria o
previsional, ocupación, fecha de nacimiento y domicilio;
d) Deriven de una relación contractual,
científica o profesional del titular de los datos, y resulten necesarios para
su desarrollo o cumplimiento;
e) Se trate de las operaciones que realicen las
entidades financieras y de las informaciones que reciban de sus clientes
conforme las disposiciones del artículo 39 de la Ley 21.526.
ARTICULO 6° — (Información).
Cuando se recaben datos personales se deberá
informar previamente a sus titulares en forma expresa y clara:
a) La finalidad para la que serán tratados y
quiénes pueden ser sus destinatarios o clase de destinatarios;
b) La existencia del archivo, registro, banco
de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad
y domicilio de su responsable;
c) El carácter obligatorio o facultativo de las
respuestas al cuestionario que se le proponga, en especial en cuanto a los
datos referidos en el artículo siguiente;
d) Las consecuencias de proporcionar los datos,
de la negativa a hacerlo o de la inexactitud de los mismos;
e) La posibilidad del interesado de ejercer los
derechos de acceso, rectificación y supresión de los datos.
ARTICULO 7° — (Categoría de datos).
1. Ninguna persona puede ser obligada a
proporcionar datos sensibles.
2. Los datos sensibles sólo pueden ser
recolectados y objeto de tratamiento cuando medien razones de interés general
autorizadas por ley. También podrán ser tratados con finalidades estadísticas o
científicas cuando no puedan ser identificados sus titulares.
3. Queda prohibida la formación de archivos,
bancos o registros que almacenen información que directa o indirectamente
revele datos sensibles. Sin perjuicio de ello, la Iglesia Católica, las
asociaciones religiosas y las organizaciones políticas y sindicales podrán
llevar un registro de sus miembros.
4. Los datos relativos a antecedentes penales o
contravencionales sólo pueden ser objeto de tratamiento por parte de las
autoridades públicas competentes, en el marco de las leyes y reglamentaciones
respectivas.
ARTICULO 8° — (Datos relativos a la
salud).
Los establecimientos sanitarios públicos o
privados y los profesionales vinculados a las ciencias de la salud pueden
recolectar y tratar los datos personales relativos a la salud física o mental
de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento
de aquéllos, respetando los principios del secreto profesional.
ARTICULO 9° — (Seguridad de los
datos).
1. El responsable o usuario del archivo de
datos debe adoptar las medidas técnicas y organizativas que resulten necesarias
para garantizar la seguridad y confidencialidad de los datos personales, de
modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado,
y que permitan detectar desviaciones, intencionales o no, de información, ya
sea que los riesgos provengan de la acción humana o del medio técnico
utilizado.
2. Queda prohibido registrar datos personales
en archivos, registros o bancos que no reúnan condiciones técnicas de
integridad y seguridad.
ARTICULO 10. — (Deber de
confidencialidad).
1. El responsable y las personas que
intervengan en cualquier fase del tratamiento de datos personales están
obligados al secreto profesional respecto de los mismos. Tal obligación
subsistirá aun después de finalizada su relación con el titular del archivo de
datos.
2. El obligado podrá ser relevado del deber de
secreto por resolución judicial y cuando medien razones fundadas relativas a la
seguridad pública, la defensa nacional o la salud pública.
ARTICULO 11. — (Cesión).
1. Los datos personales objeto de tratamiento
sólo pueden ser cedidos para el cumplimiento de los fines directamente
relacionados con el interés legítimo del cedente y del cesionario y con el
previo consentimiento del titular de los datos, al que se le debe informar
sobre la finalidad de la cesión e identificar al cesionario o los elementos que
permitan hacerlo.
2. El consentimiento para la cesión es
revocable.
3. El consentimiento no es exigido cuando:
a) Así lo disponga una ley;
b) En los supuestos previstos en el artículo 5°
inciso 2;
c) Se realice entre dependencias de los órganos
del Estado en forma directa, en la medida del cumplimiento de sus respectivas
competencias;
d) Se trate de datos personales relativos a la
salud, y sea necesario por razones de salud pública, de emergencia o para la
realización de estudios epidemiológicos, en tanto se preserve la identidad de
los titulares de los datos mediante mecanismos de disociación adecuados;
e) Se hubiera aplicado un procedimiento de
disociación de la información, de modo que los titulares de los datos sean
inidentificables.
4. El cesionario quedará sujeto a las mismas
obligaciones legales y reglamentarias del cedente y éste responderá solidaria y
conjuntamente por la observancia de las mismas ante el organismo de control y
el titular de los datos de que se trate.
ARTICULO 12. — (Transferencia
internacional).
1. Es prohibida la transferencia de datos
personales de cualquier tipo con países u organismos internacionales o
supranacionales, que no propocionen niveles de protección adecuados.
2. La prohibición no regirá en los siguientes
supuestos:
a) Colaboración judicial internacional;
b) Intercambio de datos de carácter médico,
cuando así lo exija el tratamiento del afectado, o una investigación
epidemiológica, en tanto se realice en los términos del inciso e) del artículo
anterior;
c) Transferencias bancarias o bursátiles, en lo
relativo a las transacciones respectivas y conforme la legislación que les
resulte aplicable;
d) Cuando la transferencia se hubiera acordado
en el marco de tratados internacionales en los cuales la República Argentina
sea parte;
e) Cuando la transferencia tenga por objeto la
cooperación internacional entre organismos de inteligencia para la lucha contra
el crimen organizado, el terrorismo y el narcotráfico.
Capítulo III
Derechos de los
titulares de datos
ARTICULO 13. — (Derecho de
Información).
Toda persona puede solicitar información al
organismo de control relativa a la existencia de archivos, registros, bases o
bancos de datos personales, sus finalidades y la identidad de sus responsables.
El registro que se lleve al efecto será de
consulta pública y gratuita.
ARTICULO 14. — (Derecho de acceso).
1. El titular de los datos, previa acreditación
de su identidad, tiene derecho a solicitar y obtener información de sus datos
personales incluidos en los bancos de datos públicos, o privados destinados a
proveer informes.
2. El responsable o usuario debe proporcionar
la información solicitada dentro de los diez días corridos de haber sido
intimado fehacientemente.
Vencido el plazo sin que se satisfaga el pedido,
o si evacuado el informe, éste se estimara insuficiente, quedará expedita la
acción de protección de los datos personales o de hábeas data prevista en esta
ley.
3. El derecho de acceso a que se refiere este
artículo sólo puede ser ejercido en forma gratuita a intervalos no inferiores a
seis meses, salvo que se acredite un interés legítimo al efecto.
4. El ejercicio del derecho al cual se refiere
este artículo en el caso de datos de personas fallecidas le corresponderá a sus
sucesores universales.
ARTICULO 15. — (Contenido de la
información).
1. La información debe ser suministrada en
forma clara, exenta de codificaciones y en su caso acompañada de una
explicación, en lenguaje accesible al conocimiento medio de la población, de
los términos que se utilicen.
2. La información debe ser amplia y versar
sobre la totalidad del registro perteneciente al titular, aun cuando el
requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso
el informe podrá revelar datos pertenecientes a terceros, aun cuando se
vinculen con el interesado.
3. La información, a opción del titular, podrá
suministrarse por escrito, por medios electrónicos, telefónicos, de imagen, u
otro idóneo a tal fin.
ARTICULO 16. — (Derecho de
rectificación, actualización o supresión).
1. Toda persona tiene derecho a que sean
rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a
confidencialidad los datos personales de los que sea titular, que estén
incluidos en un banco de datos.
2. El responsable o usuario del banco de datos,
debe proceder a la rectificación, supresión o actualización de los datos
personales del afectado, realizando las operaciones necesarias a tal fin en el
plazo máximo de cinco días hábiles de recibido el reclamo del titular de los
datos o advertido el error o falsedad.
3. El incumplimiento de esta obligación dentro
del término acordado en el inciso precedente, habilitará al interesado a
promover sin más la acción de protección de los datos personales o de hábeas
data prevista en la presente ley.
4. En el supuesto de cesión, o transferencia de
datos, el responsable o usuario del banco de datos debe notificar la
rectificación o supresión al cesionario dentro del quinto día hábil de
efectuado el tratamiento del dato.
5. La supresión no procede cuando pudiese
causar perjuicios a derechos o intereses legítimos de terceros, o cuando
existiera una obligación legal de conservar los datos.
6. Durante el proceso de verificación y
rectificación del error o falsedad de la información que se trate, el responsable
o usuario del banco de datos deberá o bien bloquear el archivo, o consignar al
proveer información relativa al mismo la circunstancia de que se encuentra
sometida a revisión.
7. Los datos personales deben ser conservados
durante los plazos previstos en las disposiciones aplicables o en su caso, en
las contractuales entre el responsable o usuario del banco de datos y el
titular de los datos.
ARTICULO 17. — (Excepciones).
1. Los responsables o usuarios de bancos de
datos públicos pueden, mediante decisión fundada, denegar el acceso,
rectificación o la supresión en función de la protección de la defensa de la
Nación, del orden y la seguridad públicos, o de la protección de los derechos e
intereses de terceros.
2. La información sobre datos personales también
puede ser denegada por los responsables o usuarios de bancos de datos públicos,
cuando de tal modo se pudieran obstaculizar actuaciones judiciales o
administrativas en curso vinculadas a la investigación sobre el cumplimiento de
obligaciones tributarias o previsionales, el desarrollo de funciones de control
de la salud y del medio ambiente, la investigación de delitos penales y la
verificación de infracciones administrativas. La resolución que así lo disponga
debe ser fundada y notificada al afectado.
3. Sin perjuicio de lo establecido en los
incisos anteriores, se deberá brindar acceso a los registros en cuestión en la
oportunidad en que el afectado tenga que ejercer su derecho de defensa.
ARTICULO 18. — (Comisiones
legislativas).
Las Comisiones de Defensa Nacional y la
Comisión Bicameral de Fiscalización de los Organos y Actividades de Seguridad
Interior e Inteligencia del Congreso de la Nación y la Comisión de Seguridad
Interior de la Cámara de Diputados de la Nación, o las que las sustituyan,
tendrán acceso a los archivos o bancos de datos referidos en el artículo 23
inciso 2 por razones fundadas y en aquellos aspectos que constituyan materia de
competencia de tales Comisiones.
ARTICULO 19. — (Gratuidad).
La rectificación, actualización o supresión de datos
personales inexactos o incompletos que obren en registros públicos o privados
se efectuará sin cargo alguno para el interesado.
ARTICULO 20. — (Impugnación de
valoraciones personales).
1. Las decisiones judiciales o los actos
administrativos que impliquen apreciación o valoración de conductas humanas, no
podrán tener como único fundamento el resultado del tratamiento informatizado
de datos personales que suministren una definición del perfil o personalidad
del interesado.
2. Los actos que resulten contrarios a la
disposición precedente serán insanablemente nulos.
Capítulo IV
Usuarios y responsables
de archivos, registros y bancos de datos
ARTICULO 21. — (Registro de archivos
de datos. Inscripción).
1. Todo archivo, registro, base o banco de
datos público, y privado destinado a proporcionar informes debe inscribirse en
el Registro que al efecto habilite el organismo de control.
2. El registro de archivos de datos debe
comprender como mínimo la siguiente información:
a) Nombre y domicilio del responsable;
b) Características y finalidad del archivo;
c) Naturaleza de los datos personales
contenidos en cada archivo;
d) Forma de recolección y actualización de
datos;
e) Destino de los datos y personas físicas o de
existencia ideal a las que pueden ser transmitidos;
f) Modo de interrelacionar la información
registrada;
g) Medios utilizados para garantizar la
seguridad de los datos, debiendo detallar la categoría de personas con acceso
al tratamiento de la información;
h) Tiempo de conservación de los datos;
i) Forma y condiciones en que las personas
pueden acceder a los datos referidos a ellas y los procedimientos a realizar
para la rectificación o actualización de los datos.
3) Ningún usuario de datos podrá poseer datos
personales de naturaleza distinta a los declarados en el registro.
El incumplimiento de estos requisitos dará
lugar a las sanciones administrativas previstas en el capítulo VI de la
presente ley.
ARTICULO 22. — (Archivos, registros
o bancos de datos públicos).
1. Las normas sobre creación, modificación o
supresión de archivos, registros o bancos de datos pertenecientes a organismos
públicos deben hacerse por medio de disposición general publicada en el Boletín
Oficial de la Nación o diario oficial.
2. Las disposiciones respectivas, deben
indicar:
a) Características y finalidad del archivo;
b) Personas respecto de las cuales se pretenda
obtener datos y el carácter facultativo u obligatorio de su suministro por
parte de aquéllas;
c) Procedimiento de obtención y actualización
de los datos;
d) Estructura básica del archivo, informatizado
o no, y la descripción de la naturaleza de los datos personales que contendrán;
e) Las cesiones, transferencias o
interconexiones previstas;
f) Organos responsables del archivo, precisando
dependencia jerárquica en su caso;
g) Las oficinas ante las que se pudiesen
efectuar las reclamaciones en ejercicio de los derechos de acceso,
rectificación o supresión.
3. En las disposiciones que se dicten para la
supresión de los registros informatizados se establecerá el destino de los
mismos o las medidas que se adopten para su destrucción.
ARTICULO 23. — (Supuestos
especiales).
1. Quedarán sujetos al régimen de la presente
ley, los datos personales que por haberse almacenado para fines
administrativos, deban ser objeto de registro permanente en los bancos de datos
de las fuerzas armadas, fuerzas de seguridad, organismos policiales o de
inteligencia; y aquellos sobre antecedentes personales que proporcionen dichos
bancos de datos a las autoridades administrativas o judiciales que los
requieran en virtud de disposiciones legales.
2. El tratamiento de datos personales con fines
de defensa nacional o seguridad pública por parte de las fuerzas armadas,
fuerzas de seguridad, organismos policiales o inteligencia, sin consentimiento
de los afectados, queda limitado a aquellos supuestos y categoría de datos que
resulten necesarios para el estricto cumplimiento de las misiones legalmente
asignadas a aquéllos para la defensa nacional, la seguridad pública o para la
represión de los delitos. Los archivos, en tales casos, deberán ser específicos
y establecidos al efecto, debiendo clasificarse por categorías, en función de
su grado de fiabilidad.
3. Los datos personales registrados con fines
policiales se cancelarán cuando no sean necesarios para las averiguaciones que
motivaron su almacenamiento.
ARTICULO 24. — (Archivos, registros
o bancos de datos privados).
Los particulares que formen archivos, registros
o bancos de datos que no sean para un uso exclusivamente personal deberán
registrarse conforme lo previsto en el artículo 21.
ARTICULO 25. — (Prestación de
servicios informatizados de datos personales).
1. Cuando por cuenta de terceros se presten
servicios de tratamiento de datos personales, éstos no podrán aplicarse o
utilizarse con un fin distinto al que figure en el contrato de servicios, ni
cederlos a otras personas, ni aun para su conservación.
2. Una vez cumplida la prestación contractual
los datos personales tratados deberán ser destruidos, salvo que medie
autorización expresa de aquel por cuenta de quien se prestan tales servicios
cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo
caso se podrá almacenar con las debidas condiciones de seguridad por un período
de hasta dos años.
ARTICULO 26. — (Prestación de servicios
de información crediticia).
1. En la prestación de servicios de información
crediticia sólo pueden tratarse datos personales de carácter patrimonial
relativos a la solvencia económica y al crédito, obtenidos de fuentes
accesibles al público o procedentes de informaciones facilitadas por el
interesado o con su consentimiento.
2. Pueden tratarse igualmente datos personales
relativos al cumplimiento o incumplimiento de obligaciones de contenido
patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o
interés.
3. A solicitud del titular de los datos, el
responsable o usuario del banco de datos, le comunicará las informaciones,
evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante
los últimos seis meses y y el nombre y domicilio del cesionario en el supuesto
de tratarse de datos obtenidos por cesión.
4. Sólo se podrán archivar, registrar o ceder
los datos personales que sean significativos para evaluar la solvencia
económico-financiera de los afectados durante los últimos cinco años. Dicho
plazo se reducirá a dos años cuando el deudor cancele o de otro modo extinga la
obligación, debiéndose hace constar dicho hecho.
5. La prestación de servicios de información
crediticia no requerirá el previo consentimiento del titular de los datos a los
efectos de su cesión, ni la ulterior comunicación de ésta, cuando estén
relacionados con el giro de las actividades comerciales o crediticias de los
cesionarios.
ARTICULO 27. — (Archivos, registros
o bancos de datos con fines de publicidad).
1. En la recopilación de domicilios, reparto de
documentos, publicidad o venta directa y otras actividades análogas, se podrán
tratar datos que sean aptos para establecer perfiles determinados con fines
promocionales, comerciales o publicitarios; o permitan establecer hábitos de
consumo, cuando éstos figuren en documentos accesibles al público o hayan sido
facilitados por los propios titulares u obtenidos con su consentimiento.
2. En los supuestos contemplados en el presente
artículo, el titular de los datos podrá ejercer el derecho de acceso sin cargo
alguno.
3. El titular podrá en cualquier momento
solicitar el retiro o bloqueo de su nombre de los bancos de datos a los que se
refiere el presente artículo.
ARTICULO 28. — (Archivos, registros
o bancos de datos relativos a encuestas).
1. Las normas de la presente ley no se
aplicarán a las encuestas de opinión, mediciones y estadísticas relevadas
conforme a Ley 17.622, trabajos de prospección de mercados, investigaciones
científicas o médicas y actividades análogas, en la medida que los datos
recogidos no puedan atribuirse a una persona determinada o determinable.
2. Si en el proceso de recolección de datos no
resultara posible mantener el anonimato, se deberá utilizar una técnica de
disociación, de modo que no permita identificar a persona alguna.
Capítulo V
Control
ARTICULO 29. — (Organo de Control).
1. El órgano de control deberá realizar todas
las acciones necesarias para el cumplimiento de los objetivos y demás
disposiciones de la presente ley. A tales efectos tendrá las siguientes
funciones y atribuciones:
a) Asistir y asesorar a las personas que lo
requieran acerca de los alcances de la presente y de los medios legales de que
disponen para la defensa de los derechos que ésta garantiza;
b) Dictar las normas y reglamentaciones que se
deben observar en el desarrollo de las actividades comprendidas por esta ley;
c) Realizar un censo de archivos, registros o
bancos de datos alcanzados por la ley y mantener el registro permanente de los
mismos;
d) Controlar la observancia de las normas sobre
integridad y seguridad de datos por parte de los archivos, registros o bancos
de datos. A tal efecto podrá solicitar autorización judicial para acceder a
locales, equipos, o programas de tratamiento de datos a fin de verificar
infracciones al cumplimiento de la presente ley;
e) Solicitar información a las entidades
públicas y privadas, las que deberán proporcionar los antecedentes, documentos,
programas u otros elementos relativos al tratamiento de los datos personales
que se le requieran. En estos casos, la autoridad deberá garantizar la
seguridad y confidencialidad de la información y elementos suministrados;
f) Imponer las sanciones administrativas que en
su caso correspondan por violación a las normas de la presente ley y de las
reglamentaciones que se dicten en su consecuencia;
g) Constituirse en querellante en las acciones
penales que se promovieran por violaciones a la presente ley;
h) Controlar el cumplimiento de los requisitos
y garantías que deben reunir los archivos o bancos de datos privados destinados
a suministrar informes, para obtener la correspondiente inscripción en el
Registro creado por esta ley.
2.
El órgano de control gozará de autonomía funcional y actuará como órgano
descentralizado en el ámbito del Ministerio de Justicia y Derechos Humanos de
la Nación.
3.
El órgano de control será dirigido y administrado por un Director designado por
el término de cuatro (4) años, por el Poder Ejecutivo con acuerdo del Senado de
la Nación, debiendo ser seleccionado entre personas con antecedentes en la
materia.
El Director tendrá dedicación exclusiva en su
función, encontrándose alcanzado por las incompatibilidades fijadas por ley
para los funcionarios públicos y podrá ser removido por el Poder Ejecutivo por
mal desempeño de sus funciones.
ARTICULO 30. — (Códigos de
conducta).
1. Las asociaciones o entidades representativas
de responsables o usuarios de bancos de datos de titularidad privada podrán
elaborar códigos de conducta de práctica profesional, que establezcan normas
para el tratamiento de datos personales que tiendan a asegurar y mejorar las
condiciones de operación de los sistemas de información en función de los
principios establecidos en la presente ley.
2. Dichos códigos deberán ser inscriptos en el
registro que al efecto lleve el organismo de control, quien podrá denegar la
inscripción cuando considere que no se ajustan a las disposiciones legales y
reglamentarias sobre la materia.
Capítulo VI
Sanciones
ARTICULO 31. — (Sanciones
administrativas).
1. Sin perjuicio de las responsabilidades
administrativas que correspondan en los casos de responsables o usuarios de
bancos de datos públicos; de la responsabilidad por daños y perjuicios
derivados de la inobservancia de la presente ley, y de las sanciones penales
que correspondan, el organismo de control podrá aplicar las sanciones de
apercibimiento, suspensión, multa de mil pesos ($ 1.000.-) a cien mil pesos ($
100.000.-), clausura o cancelación del archivo, registro o banco de datos.
2. La reglamentación determinará las
condiciones y procedimientos para la aplicación de las sanciones previstas, las
que deberán graduarse en relación a la gravedad y extensión de la violación y
de los perjuicios derivados de la infracción, garantizando el principio del debido
proceso.
ARTICULO 32. — (Sanciones penales).
1. Incorpórase como artículo 117 bis del Código
Penal, el siguiente:
"1°. Será reprimido con la pena de prisión
de un mes a dos años el que insertara o hiciera insertar a sabiendas datos
falsos en un archivo de datos personales.
2°. La pena será de seis meses a tres años, al
que proporcionara a un tercero a sabiendas información falsa contenida en un
archivo de datos personales.
3°. La escala penal se aumentará en la mitad
del mínimo y del máximo, cuando del hecho se derive perjuicio a alguna persona.
4°. Cuando el autor o responsable del ilícito
sea funcionario público en ejercicio de sus funciones, se le aplicará la
accesoria de inhabilitación para el desempeño de cargos públicos por el doble
del tiempo que el de la condena".
2. Incorpórase como artículo 157 bis del Código
Penal el siguiente:
"Será reprimido con la pena de prisión de
un mes a dos años el que:
1°. A sabiendas e ilegítimamente, o violando
sistemas de confidencialidad y seguridad de datos, accediere, de cualquier
forma, a un banco de datos personales;
2°. Revelare a otro información registrada en
un banco de datos personales cuyo secreto estuviere obligado a preservar por
disposición de una ley.
Cuando el autor sea funcionario público
sufrirá, además, pena de inhabilitación especial de uno a cuatro años".
Capítulo VII
Acción de protección de
los datos personales
ARTICULO 33. — (Procedencia).
1. La acción de protección de los datos
personales o de hábeas data procederá:
a) para tomar conocimiento de los datos
personales almacenados en archivos, registros o bancos de datos públicos o
privados destinados a proporcionar informes, y de la finalidad de aquéllos;
b) en los casos en que se presuma la falsedad,
inexactitud, desactualización de la información de que se trata, o el
tratamiento de datos cuyo registro se encuentra prohibido en la presente ley,
para exigir su rectificación, supresión, confidencialidad o actualización.
ARTICULO 34. — (Legitimación
activa).
La acción de protección de los datos personales
o de hábeas data podrá ser ejercida por el afectado, sus tutores o curadores y
los sucesores de las personas físicas, sean en línea directa o colateral hasta
el segundo grado, por sí o por intermedio de apoderado.
Cuando la acción sea ejercida por personas de
existencia ideal, deberá ser interpuesta por sus representantes legales, o
apoderados que éstas designen al efecto.
En el proceso podrá intervenir en forma
coadyuvante el Defensor del Pueblo.
ARTICULO 35. — (Legitimación
pasiva).
La acción procederá respecto de los
responsables y usuarios de bancos de datos públicos, y de los privados
destinados a proveer informes.
ARTICULO 36. — (Competencia).
Será competente para entender en esta acción el
juez del domicilio del actor; el del domicilio del demandado; el del lugar en
el que el hecho o acto se exteriorice o pudiera tener efecto, a elección del
actor.
Procederá la competencia federal:
a) cuando se interponga en contra de archivos
de datos públicos de organismos nacionales, y
b) cuando los archivos de datos se encuentren
interconectados en redes interjurisdicciones, nacionales o internacionales.
ARTICULO 37. — (Procedimiento
aplicable).
La acción de hábeas data tramitará según las
disposiciones de la presente ley y por el procedimiento que corresponde a la
acción de amparo común y supletoriamente por las normas del Código Procesal
Civil y Comercial de la Nación, en lo atinente al juicio sumarísimo.
ARTICULO 38. — (Requisitos de la
demanda).
1. La demanda deberá interponerse por escrito,
individualizando con la mayor precisión posible el nombre y domicilio del
archivo, registro o banco de datos y, en su caso, el nombre del responsable o
usuario del mismo.
En el caso de los archivos, registros o bancos
públicos, se procurará establecer el organismo estatal del cual dependen.
2. El accionante deberá alegar las razones por
las cuales entiende que en el archivo, registro o banco de datos
individualizado obra información referida a su persona; los motivos por los
cuales considera que la información que le atañe resulta discriminatoria, falsa
o inexacta y justificar que se han cumplido los recaudos que hacen al ejercicio
de los derechos que le reconoce la presente ley.
3. El afectado podrá solicitar que mientras
dure el procedimiento, el registro o banco de datos asiente que la información
cuestionada está sometida a un proceso judicial.
4. El Juez podrá disponer el bloqueo
provisional del archivo en lo referente al dato personal motivo del juicio
cuando sea manifiesto el carácter discriminatorio, falso o inexacto de la
información de que se trate.
5. A los efectos de requerir información al
archivo, registro o banco de datos involucrado, el criterio judicial de
apreciación de las circunstancias requeridas en los puntos 1 y 2 debe ser
amplio.
ARTICULO 39. — (Trámite).
1. Admitida la acción el juez requerirá al
archivo, registro o banco de datos la remisión de la información concerniente
al accionante. Podrá asimismo solicitar informes sobre el soporte técnico de
datos, documentación de base relativa a la recolección y cualquier otro aspecto
que resulte conducente a la resolución de la causa que estime procedente.
2. El plazo para contestar el informe no podrá
ser mayor de cinco días hábiles, el que podrá ser ampliado prudencialmente por
el juez.
ARTICULO 40. — (Confidencialidad de
la información).
1. Los registros, archivos o bancos de datos
privados no podrán alegar la confidencialidad de la información que se les
requiere salvo el caso en que se afecten las fuentes de información
periodística.
2. Cuando un archivo, registro o banco de datos
público se oponga a la remisión del informe solicitado con invocación de las
excepciones al derecho de acceso, rectificación o supresión, autorizadas por la
presente ley o por una ley específica; deberá acreditar los extremos que hacen
aplicable la excepción legal. En tales casos, el juez podrá tomar conocimiento
personal y directo de los datos solicitados asegurando el mantenimiento de su
confidencialidad.
ARTICULO 41. — (Contestación del
informe).
Al contestar el informe, el archivo, registro o
banco de datos deberá expresar las razones por las cuales incluyó la
información cuestionada y aquellas por las que no evacuó el pedido efectuado
por el interesado, de conformidad a lo establecido en los artículos 13 a 15 de
la ley.
ARTICULO 42. — (Ampliación de la
demanda).
Contestado el informe, el actor podrá, en el
término de tres días, ampliar el objeto de la demanda solicitando la supresión,
rectificación, confidencialidad o actualización de sus datos personales, en los
casos que resulte procedente a tenor de la presente ley, ofreciendo en el mismo
acto la prueba pertinente. De esta presentación se dará traslado al demandado
por el término de tres días.
ARTICULO 43. — (Sentencia).
1. Vencido el plazo para la contestación del
informe o contestado el mismo, y en el supuesto del artículo 42, luego de
contestada la ampliación, y habiendo sido producida en su caso la prueba, el
juez dictará sentencia.
2. En el caso de estimarse procedente la
acción, se especificará si la información debe ser suprimida, rectificada,
actualizada o declarada confidencial, estableciendo un plazo para su
cumplimiento.
3. El rechazo de la acción no constituye
presunción respecto de la responsabilidad en que hubiera podido incurrir el
demandante.
4. En cualquier caso, la sentencia deberá ser
comunicada al organismo de control, que deberá llevar un registro al efecto.
ARTICULO 44. — (Ambito de
aplicación).
Las normas de la presente ley contenidas en los
Capítulos I, II, III y IV, y artículo 32 son de orden público y de aplicación
en lo pertinente en todo el territorio nacional.
Se invita a las provincias a adherir a las
normas de esta ley que fueren de aplicación exclusiva en jurisdicción nacional.
La jurisdicción federal regirá respecto de los
registros, archivos, bases o bancos de datos interconectados en redes de
alcance interjurisdiccional, nacional o internacional.
ARTICULO 45. — El Poder Ejecutivo
Nacional deberá reglamentar la presente ley y establecer el organismo de
control dentro de los ciento ochenta días de su promulgación.
ARTICULO 46. — (Disposiciones
transitorias).
Los archivos, registros, bases o bancos de
datos destinados a proporcionar informes, existentes al momento de la sanción
de la presente ley, deberán inscribirse en el registro que se habilite conforme
a lo dispuesto en el artículo 21 y adecuarse a lo que dispone el presente
régimen dentro del plazo que al efecto establezca la reglamentación.
ARTICULO
47. — Los bancos de datos prestadores de servicios de información crediticia
deberán suprimir, o en su caso, omitir asentar, todo dato referido al
incumplimiento o mora en el pago de una obligación, si ésta hubiere sido
cancelada al momento de la entrada en vigencia de la presente ley.
ARTICULO 48. — Comuníquese al Poder
Ejecutivo.
DADA EN LA SALA DE
SESIONES DEL CONGRESO ARGENTINO, EN BUENOS AIRES, A LOS CUATRO DIAS DEL MES DE
OCTUBRE DEL AÑO DOS MIL.
— REGISTRADO BAJO EL N°
25.326 —
RAFAEL PASCUAL. — JOSE GENOUD. — Guillermo
Aramburu. — Mario L. Pontaquarto.
NOTA: Los textos en negrita fueron observados.
Fuente: http://servicios.infoleg.gob.ar/infolegInternet/anexos/60000-64999/64790/norma.htm
