jueves, enero 17, 2019

Criterios orientadores de la AAIP

 

AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

Resolución 4/2019

RESOL-2019-4-APN-AAIP

Ciudad de Buenos Aires, 13/01/2019

VISTO el EX-2018-52934591-APN-AAIP, la Ley Nº 25.326 de Protección de los Datos Personales, la Ley Nº 27.275, y los Decretos N° 206 del 27 de marzo de 2017 y Nº 746 del 25 de septiembre de 2017, y

CONSIDERANDO:

Que la Ley N° 25.326 de Protección de Datos Personales, tiene por objeto “la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional” (artículo 1°, Ley Nº 25.326).

Que mediante el Decreto N° 1558 del 29 de noviembre de 2001, reglamentario de la Ley N° 25.326, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, en la órbita de la SECRETARÍA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, como órgano de control de la mencionada Ley (Anexo I, artículo 29, Decreto N° 1558/01).

Que, por otro lado, la Ley Nº 27.275 de Derecho de Acceso a la Información Pública creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP) como ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS con el objeto de “velar por el cumplimiento de los principios y procedimientos establecidos en la Ley [N° 27.275], garantizar el efectivo ejercicio del derecho de acceso a la información pública y promover medidas de transparencia activa” (artículo 19, Ley N° 27.275).

Que el Decreto N° 746 del 25 de septiembre de 2017 sustituyó el artículo 19 de la Ley Nº 27.275, atribuyendo a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA la facultad de actuar como Autoridad de Aplicación de la Ley N° 25.326 y se incorporó como inciso t) al artículo 24 de la Ley Nº 27.275, la competencia de la AAIP de “[f]iscalizar la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre”.

Que, asimismo, el Decreto N°899 del 3 de noviembre de 2017 sustituyó el artículo 29 del Anexo I del Decreto Nº 1558/01, estableciendo que “la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, conforme los términos del artículo 19 de la Ley N° 27.275, sustituido por el artículo 11 del Decreto N° 746/17, es el órgano de control de la Ley Nº 25.326” (artículo 1°, Decreto N°899/17).

Que, entre las atribuciones asignadas a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA se encuentra la de dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por la Ley N° 25.326 (artículo 29 inciso 1, apartado b) de la Ley N° 25.326).

Que diversas entidades, tanto públicas como privadas, han solicitado a la AAIP, en carácter de autoridad de aplicación de la Ley N° 25.326, se expida sobre criterios orientadores para la correcta interpretación e implementación de la normativa en materia de protección de datos personales.

Que resulta necesario dejar establecidos estos criterios en un documento autónomo, de manera que puedan ser consultados por los responsables de bases de datos y la ciudadanía en general, dotando de mayor previsibilidad a la interpretación de la Ley N° 25.326 y fortaleciendo el ejercicio de los derechos que la ley protege.

Que la Ley N° 25.326 define el término “base de datos” en su artículo 2° como “[e]l conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso”.

Que los registros de imágenes captados por sistemas de video vigilancia constituyen una base de datos en los términos del artículo 2° de la Ley N° 25.326.

Que los artículos 14 y 15 de la Ley N° 25.326 establecen las condiciones para ejercer el derecho de acceso y su alcance.

Que el ejercicio del derecho de acceso en relación a datos personales que han sido recolectados mediante sistemas de video vigilancia puede generar ciertas dificultades prácticas para el responsable de la base de datos, por lo que la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA considera conveniente pronunciarse respecto del alcance de ese derecho y de las condiciones para ejercerlo.

Que, a su vez, el artículo 15 de la Ley N° 25.326, en su inciso 1, dispone que al ejercer el derecho de acceso, el responsable de la base de datos debe suministrar la información de forma clara, exenta de codificaciones y, en su caso, acompañada de una explicación, en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen.

Que en atención a que los cambios tecnológicos han permitido automatizar el tratamiento de datos y que ello podría acarrear riesgos a la persona, la AAIP considera importante establecer cuál sería el alcance del derecho de acceso del titular de los datos cuando el responsable de la base de datos tome decisiones basadas únicamente en el tratamiento automatizado de datos que le produzcan al titular de los datos efectos jurídicos perniciosos o lo afecten significativamente de forma negativa.

Que, asimismo, el artículo 2º de la Ley Nº 25.326 define la “disociación de datos” como “todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable”.

Que, para la correcta interpretación del término “disociación de datos”, corresponde a la AAIP definir qué se entiende por “persona determinable”.

Que, por otra parte, la Ley N° 25.326 define el término “datos personales” en su artículo 2° como “[i]nformación de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables”.

Que legislaciones más modernas han definido dentro del concepto de datos personales el término “dato biométrico” para adaptarse a las nuevas tecnologías de la era digital.

Que, en este sentido, la AAIP estima conveniente dejar sentado qué entiende por “datos biométricos” de acuerdo a la normativa aplicable en nuestro país en materia de privacidad y adaptarse de esta manera a la tendencia internacional.

Que, a su vez, la Ley N° 25.326 recepta en su artículo 5° el principio de consentimiento, que exige el consentimiento del titular de los datos como condición para que el tratamiento de sus datos personales sea lícito.

Que el artículo 5°, inciso 1 de la Ley N° 25.326 prevé que el consentimiento del titular de los datos deberá constar por escrito “o por otro medio que permita se le equipare, de acuerdo a las circunstancias”.

Que la Ley Nº 25.326 prevé la posibilidad de instrumentar el consentimiento del titular de los datos por otros medios que no sean el escrito, y, por ende, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA estima necesario sentar un criterio interpretativo para la implementación de esa disposición.

Que el artículo 11 de la Ley Nº 25.326 establece como principio general la obligación de requerir el consentimiento previo del titular para efectuar una cesión de datos personales.

Que a este principio se le aplican las excepciones reguladas en el inciso 3 del mismo artículo, cuyo apartado c) dispone que el consentimiento no será exigido cuando la cesión “se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias”.

Que entonces corresponde a la AAIP delimitar cuáles son las condiciones para realizar una cesión de datos personales entre organismos públicos, en los términos del artículo 11, inciso 3, apartado c).

Que la normativa internacional en materia de protección de datos personales ha adoptado previsiones específicas en relación al consentimiento que deben otorgar las niñas, niños y adolescentes para el tratamiento de sus datos.

Que el Código Civil y Comercial de la Nación ha receptado en los artículos 26 y 639 el principio de autonomía progresiva, que emerge de la Convención sobre los Derechos del Niño, el cual reconoce a los menores de edad la capacidad para ejercer por sí mismos sus derechos conforme con la evolución de sus facultades.

Que, en virtud de ello, es necesario establecer criterios orientadores para la obtención del consentimiento de los menores de edad para el tratamiento de sus datos personales.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que le compete.

Que la presente medida se dicta en virtud de las facultades conferidas por el artículo 29, inciso 1, aparatado b) de la Ley N° 25.326.

Por ello,

EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1°. - Apruébense los criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley Nº 25.326, siendo de observancia obligatoria para todos aquellos sujetos alcanzados por la Ley Nº 25.326, y que como Anexo I (IF-2019-01967621-APN-AAIP) forman parte integrante de la presente Resolución.

ARTÍCULO 2°. - Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese. Eduardo Andrés Bertoni

NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-

e. 16/01/2019 N° 2278/19 v. 16/01/2019

Fecha de publicación 16/01/2019