decreto protección de datos
TRANSCRIPT
LEY DE PROTECCIÓN DE DATOS PERSONALES
Decreto Reglamentario N°1377/2013
Diario Oficial N°48834/ 27 junio de 2013
Dr. Oscar Rodríguez Ortega
Director Jurídico Fenalco
CONTENIDO1. Definiciones
2. Políticas de tratamiento
3. Ejercicio de los derechos de titulares
4. Responsabilidades por el tratamiento de datos personales
• “Bases de Datos de contenido doméstico”
ACTORES DE LA LEY
Titulares
Responsables
Encargados
ÓRGANO DE PROTECCIÓN DE DATOS: SUPERINTENDENCIA DE INDUSTRIA Y
COMERCIO
RECOLECCIÓN DE DATOS PERSONALES
• Límites: libertad, finalidad, autodeterminación informática
• Calidad: pertinentes, adecuados
• Protección: SIC, sustentar procedimientos
• Prohibición: procedimientos usados, explicación sobre la necesidad de recolección, medios engañosos
DEFINICIONES
1. Aviso de privacidad
2. Dato público
3. Datos sensibles
4. Transferencia = transferencia
5. Transmisión = tratamiento
AUTORIZACIÓN
Artículos:
• 5 (Conceptos)
• 6 (sensibles)
• 7 (modo)
• 8 (prueba)
• 9 (revocatoria)
• 10 (recolectados con anterioridad)
AUTORIZACIÓN ARTÍCULO 5
• Momento de recolección de datos personales (excepción datos existentes)
• Explicación de la finalidad
• Cambios en la política de tratamiento
• Nueva autorización
AUTORIZACIÓN ARTÍCULO 6
Datos personales sensibles
• Límite: artículo 6 de la ley 1581/2012
Requisitos
• El titular no está obligado a entregarlos
• Información al titular, manifestación explícita y previa, finalidad, consentimiento expreso
AUTORIZACIÓN-LÍMITESTemporalidad Art. 11
• Razonabilidad
• Necesidad
• Finalidad
• Aspectos administrativos, contables, fiscales, jurídicos e históricos
Documentación de los procedimientos
Seguimiento a instrucciones SIC
Excepción, un deber legal o contractual
AUTORIZACIÓN ARTÍCULO 7
Mecanismos para obtener al autorización:
Predeterminados, a través de medios técnicos que prueben la
manifestación automatizada
1. Por escrito
2. De forma oral
3. Mediante conductas inequívocas
AUTORIZACIÓN ARTÍCULO 8
Prueba de la autorización
Conservación de prueba de la autorización
En todo momento el responsable tiene que permitirle al titular la consulta o el
acceso a la autorización
Consulta gratuita una vez por mes
REVOCATORIA ARTÍCULO 9
Revocatoria o supresión de la autorización
Condiciones y límites
• En todo momento
• Mecanismos gratuitos
• Segunda instancia SIC
Excepción, un deber legal o contractual
.
DATOS RECOLECTADOS CON ANTERIORIDAD ART. 10
¿Quienes?
A) Entidades sin carga desproporcionada
B) Entidades con carga desproporcionada, estabilidad financiera, viabilidad de su presupuesto, no cuente con datos de contacto, registros desactualizados, incompletos, incorrectos, inexactos
DATOS RECOLECTADOS CON ANTERIORIDAD ART. 10
¿Cómo?
A) Mecanismos eficientes de comunicación: los que usa en el curso ordinario
B) Mecanismo alternos: diarios de amplia circulación nacional o local, revistas, páginas de internet, carteles y otros
DATOS RECOLECTADOS CON ANTERIORIDAD ART. 10
Carga desproporcionada
Compromete estabilidad financiera, compromete presupuesto programado, capacidad económica,
número de titulares, antigüedad de los datos, ámbito territorial y sectorial, no contar con datos de
contacto, registros desactualizados, incorrectos, incompletos, inexactos.
DATOS RECOLECTADOS CON ANTERIORIDAD ART. 10
¿Cuándo?
Los mecanismo alternos podrán ser usados dentro del mes siguientes a la publicación del Decreto 1377 /2013
Carga: comunicar a la SIC dentro de los 5 días siguientes al uso del mecanismo alterno
DATOS RECOLECTADOS CON ANTERIORIDAD ART. 10
Consecuencias:
1. Los responsables y encargados podrán seguir usando los datos
2. Dentro de los 30 días siguientes a la implementación de los mecanismos alternos, los titulares de información podrán solicitar la supresión de sus datos personales
3. Todo ellos sin perjuicio de que el titular del dato en cualquier momento pueda pedir su eliminación. REVOCATORIA.
“Los responsables y encargados deben toda la normatividad de ley”
DATOS DE NIÑOS Y NIÑAS ART. 12
• Requisitos
1. Responder y respetar el interés superior de los niños, niñas ya adolescentes.
2. Asegurar el respeto de los derechos fundamentales
3. Autorización otorgada por el representante legal
4. Derecho a escuchar la opinión del menos: madurez, autonomía y capacidad
POLÍTICAS DE TRATAMIENTO
• Medios: físico o electrónico, en lenguaje sencillo y puestas en conocimiento de titulares
• Mínimos de la información:
1. Nombre, domicilio, dirección, teléfono y correo electrónico del responsable
2. Tratamiento y finalidad de los datos
3. Derechos de los titulares
4. Persona o áreas responsable del tratamiento
5. Procedimiento para ejercer derechos (conocer, rectificar, actualizar, suprimir y revocar)
6. Fecha- vigencia y comunicar cambios
AVISO DE PRIVACIDAD ART. 14
• Contenido mínimo
1. Nombre y datos de contacto del responsable
2. El tratamiento y la finalidad de los datos
3. Derechos del titular
4. Mecanismos para conocer la política- como acceder consultar
5. Conservación del modelo: puede hacerlo en cualquier medio electrónico
6. Modo: formatos electrónicos ½ verbales o cualquier tecnología
EJERCICIO DE LOS DERECHOS DE LOS TITULARES
A través de quien:
1. Titular
2. Causahabientes
3. Representante o apoderado
4. Estipulación a favor de otro o para otro
5. Representantes legales (niños y niñas)
DERECHOS DE LOS TITULARES
1. Acceso: permanente y a través de mecanismos sencillos y ágiles
2. Actualización, rectificación y supresión: con medios razonables, precisos y suficientes
Debe existir una persona o área que asuma la función de protección de datos.
RESPONSABILIDAD EN EL TRATAMIENTO ART. 26
Lectura general: en cualquier momento se debe ser capaz de demostrar a la SIC la implementación de medidas apropiadas
y efectivas para el tratamiento, atendiendo a:
1. Naturaleza jurídica, tamaño empresarial (micro, pequeña, mediana o gran empresa)
2. Naturaleza de los datos objeto de tratamiento
3. Tipo de tratamiento
4. Los riesgos potenciales de los derechos
Todo esto lo puede requerir la SIC sumado a los niveles de seguridad
MEDIDAS APROPIADAS Y EFECTIVAS DE TRATAMIENTO
Requisitos
En la política deberá reflejarse:
1. La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial
2. La adopción de mecanismos internos que hagan efectivas las políticas (herramientas, entrenamiento y programas de
educación)
3. Adopción de procesos para atención de respuesta a consultas, peticiones y reclamos de los titulares
La SIC en cada caso concreto evaluará las medidas y las políticas a efecto de imponer sanciones
OTRAS DISPOSICIONES
En la transferencia y transmisión internacional de datos personales se exigirá un contrato que deberá señalar:
El alcance del tratamiento y actividades que podrá realizar el encargado, quien se obliga a:
1. Dar tratamiento responsable a la información
2. Salvaguardar la seguridad
3. Guardar confidencialidad
GRACIAS