Taller Cómo prepararse para una inspección de Habeas Data

¿Cómo prepararse para una ¿Cómo prepararse para una inspección de la Dirección inspección de la Dirección

Nacional Nacional de Protección de Datos de Protección de Datos

Personales?Personales?

amdiaamdiaNoviembreNoviembre, 2013, 2013

1. Introducción: Dinámica de la Inspección de la DNPDP

2. Licitud del tratamiento. Inscripción de las Bases de Datos ante la DNPDP

3. Medidas de Seguridad

4. Recolección y calidad de los datos

5. Actividades de Publicidad Directa

6. Cesión, Tratamiento de datos por cuenta de terceros y Transferencia Internacional

7. Derechos del Titular del Dato

8. Política de Privacidad y Capacitación del personal de la compañía

9. Casos Especiales

TEMASTEMAS

INSPECCIONES

¿Para qué?

(i) mejorar la gestión de datos personales por parte del responsable de la base de datos

(ii) permitir a la DNPDP ejercer sus facultades de control

(iii) mejorar la protección de los derechos del titular del dato

¿Cómo?

(i) tomando conocimiento sobre el tratamiento de datos, los medios y la forma

(ii) evaluando el grado de cumplimiento de la Ley Nº 25.326

(iii) realizando recomendaciones para el mejor desempeño del responsable

INTRODUCCIÓN: DINÁMICA DE LA INSPECCIÓN DE LA DNPDP – Disposición INTRODUCCIÓN: DINÁMICA DE LA INSPECCIÓN DE LA DNPDP – Disposición DNPDP N° 005/08DNPDP N° 005/08

INTRODUCCIÓN: DINÁMICA DE LA INSPECCIÓN DE LA DNPDP – Disposición INTRODUCCIÓN: DINÁMICA DE LA INSPECCIÓN DE LA DNPDP – Disposición DNPDP N° 005/08 (continuación)DNPDP N° 005/08 (continuación)

Recomendaciones básicas para una inspección

Completar el formulario de inspección en tiempo y forma

Encontrarse al día con la inscripción y renovación de los archivos en el Registro de Bases de Datos de la DNPDP

Tener manual de privacidad y seguridad

Prever los mecanismos necesarios para responder en tiempo y forma el ejercicio de los derechos del titular del dato

Dar adecuada y fluida respuesta a los requerimientos de la DNPDP (poseer un procedimiento y organismo/sector designado como interlocutor)

INTRODUCCIÓN: DINÁMICA DE LA INSPECCIÓN DE LA DNPDP – Disposición INTRODUCCIÓN: DINÁMICA DE LA INSPECCIÓN DE LA DNPDP – Disposición DNPDP N° 005/08 (continuación)DNPDP N° 005/08 (continuación)









9. Casos Especiales

TEMASTEMAS

REGISTRO NACIONAL DE BASES DE DATOS

Registro obligatorio de bases de datos personales dispuesto por la Ley 25.326

Objeto:(i) permite a la DNPDP conocer y controlar a los registros, archivos, bases o bancos

de datos; (ii) permite que cualquier persona conozca qué tipo de información trata cada base

de datos y quién es el responsable de la misma;

Asegura la efectiva tutela de los datos personales

Ejemplos prácticos de bases de datos que deben inscribirse

Bases de datos de clientes

Bases de datos de proveedores

Bases de datos de personal

LICITUD DEL TRATAMIENTO. INSCRIPCIÓN DE LAS BASES DE DATOS ANTE LA LICITUD DEL TRATAMIENTO. INSCRIPCIÓN DE LAS BASES DE DATOS ANTE LA DNPDP DNPDP

LICITUD DEL TRATAMIENTO. INSCRIPCIÓN DE LAS BASES DE DATOS ANTE LA LICITUD DEL TRATAMIENTO. INSCRIPCIÓN DE LAS BASES DE DATOS ANTE LA DNPDP (continuación) DNPDP (continuación)

LICITUD DEL TRATAMIENTO. INSCRIPCIÓN DE LAS BASES DE DATOS ANTE LA LICITUD DEL TRATAMIENTO. INSCRIPCIÓN DE LAS BASES DE DATOS ANTE LA DNPDP (continuación)DNPDP (continuación)

Preguntas pertinentes del formulario

¿Se encuentra inscripto en el REGISTRO NACIONAL DE BASES DE DATOS (RNBD)?

Enumere las bases de datos inscriptas en el RNBD

LICITUD DEL TRATAMIENTO. INSCRIPCIÓN DE LAS BASES DE DATOS ANTE LA LICITUD DEL TRATAMIENTO. INSCRIPCIÓN DE LAS BASES DE DATOS ANTE LA DNPDP (continuación)DNPDP (continuación)









9. Casos Especiales

TEMASTEMAS

PRINCIPIO DE SEGURIDAD: Obligación de responsables y usuarios de adoptar medidas de seguridad:

Se debe emitir un documento de seguridad de datos personales

Existen tres niveles de seguridad (básico – medio – crítico) con medidas de seguridad específicas para cada uno

Medidas de seguridad de Nivel Básico: para todas las bases que contengan información personal;

Medidas de seguridad de Nivel Medio: datos personales que recaben entidades públicas o privadas que deban guardar reserva de la misma. Ejemplo: antecedentes penales, secretos bancarios y servicios públicos;

Medidas de seguridad de Nivel Crítico: para los archivos que contengan datos sensibles;

MEDIDAS DE SEGURIDAD – MEDIDAS DE SEGURIDAD – DisposiciónDisposición 11/06 11/06

Ejemplos de medidas de seguridad de nivel básico:

Determinar funciones y obligaciones del personal; Establecer registros de incidentes de seguridad; Establecer procedimientos para efectuar copias de respaldo y recuperación de datos; Poseer control de acceso de usuarios a la información necesaria;

Ejemplos de medidas de seguridad de nivel medio:

Identificar al responsable de seguridad; Establecer límite a los intentos de acceso no autorizados; Implementar control de acceso físico; Los registros de incidentes de seguridad deben indicar quién recuperó y/o modificó los datos.

Ejemplos de medidas de seguridad de nivel crítico:

Datos cifrados si se distribuyen soportes; Copias de respaldo locales y externas en cajas ignífugas o de seguridad bancaria; Encriptación de datos que se transmitan a través de redes de comunicación;

MEDIDAS DE SEGURIDAD (MEDIDAS DE SEGURIDAD (continuacióncontinuación))


¿Adopta medidas de seguridad?

¿Posee Documento de Seguridad conforme Disp. DNPDP N° 11/06? En caso afirmativo, deberá adjuntarlo para su análisis.

¿Verifica el cumplimiento del deber de confidencialidad?

¿Posee convenios de confidencialidad firmados por todos los que intervienen en alguna fase del tratamiento de datos (empleados, proveedores, terceros)? En caso afirmativo, acompañarlo para su análisis.

MEDIDAS DE SEGURIDAD (MEDIDAS DE SEGURIDAD (continuacióncontinuación))









9. Casos Especiales

TEMASTEMAS

RECOLECCIÓN DE DATOS. CONSENTIMIENTO E INFORMACIÓN

Se debe obtener el consentimiento libre, expreso e informado del titular. A tal efecto se debe informar al titular:

(i) finalidad del tratamiento, destinatarios o clase de destinatarios;

(ii) existencia del banco de datos y la identidad y domicilio de su responsable;

(iii) carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles;

(iv) consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos;

(v) posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos;

RECOLECCIÓN Y CALIDAD DE LOS DATOSRECOLECCIÓN Y CALIDAD DE LOS DATOS

Datos recabados directamente del Titular (recolección directa):

Clientes y Proveedores: Formulario de alta y contrato. Empleados: Formulario de declaración de datos. Formulario de recolección de datos: Cláusulas específicas según la LPDP. Prospectos: Régimen especial para las bases de datos con fines publicitarios.

Recolección de datos de otras fuentes que no sean el Titular (recolección indirecta):

Datos de Proveedores que tienen las bases inscriptas: Contrato

Excepciones al requisito del consentimiento libre, expreso e informado:

(i) Fuentes de acceso público irrestricto;(ii) Listados que se limiten a nombre, DNI, CUIT/CUIL, ocupación, fecha de nacimiento y domicilio. (iii) Relación contractual, científica o profesional con el titular de los datos;

RECOLECCIÓN Y CALIDAD DE LOS DATOS (Continuación)RECOLECCIÓN Y CALIDAD DE LOS DATOS (Continuación)

Preguntas pertinentes del formulario ¿Recaba el consentimiento del titular del dato? Indicar el medio.

¿Recolecta datos sin consentimiento en virtud de una o varias excepciones (art. 5°, inc.2)?

¿Recaba los datos directamente de su titular del dato?

En caso afirmativo, ¿le brinda al titular del dato la información requerida por el art. 6° al momento de la recolección?

¿Posee formularios de recolección de datos de empleados, proveedores y clientes (con la inclusión de la finalidad de recolección y la Disposición DNPDP N° 10/08)? En caso afirmativo, deberá anexarlos para su análisis.

RECOLECCIÓN Y CALIDAD DE LOS DATOS (continuación)RECOLECCIÓN Y CALIDAD DE LOS DATOS (continuación)

CALIDAD DE LOS DATOS El usuario de una base de datos debe utilizar datos con finalidades definidas

consistentes con su actividad.

Calidad de los datos se refiere a datos:(i) ciertos, adecuados, pertinentes, actualizados; y

(ii) no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido Vías para verificar la calidad de los datos:

(i) contacto con el titular del dato en forma telefónica;

(ii) ejercicio del derecho de rectificación o actualización ejercido por el titular;

(iii) validación en fuentes de acceso público e irrestricto; y

(iv) procedimiento para verificar la utilidad de los datos en forma periódica.


Los datos no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención. Por lo tanto, se deberá:

(i) suprimir los datos que hubiesen perdido vigencia

(ii) obtener el consentimiento del titular si la finalidad se modifica

Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular. Por lo tanto, se deberá:

(i) detallar los sistemas y procesos que permiten la accesibilidad a los datos almacenados;

(ii) almacenar los datos de modo inteligible (forma directa, o a través de la utilización de procedimientos de decodificación que deben ponerse a disposición de los titulares).


Preguntas pertinentes del formulario ¿Verifica la veracidad, adecuación y pertinencia de los datos?

¿Verifica que la recolección se haga mediante medios leales, no fraudulentos y de acuerdo a la ley? ¿Verifica el origen de los datos (fuentes) y su licitud?

¿Verifica que el uso de los datos sea acorde al motivo de recolección?

¿Verifica la exactitud y actualización de los datos?

¿Los datos son almacenados de manera tal que permiten el ejercicio de los derechos por parte de su titular?

¿Verifica la utilidad, actualidad y exactitud de los datos en forma periódica? ¿Procede a su destrucción o supresión?










9. Casos Especiales

TEMASTEMAS

REQUISITOS PARA LA RECOPILACIÓN, TRATAMIENTO Y CESIÓN DE DATOS CON FINES DE PUBLICIDAD:

Categorías autorizadas: los que permitan establecer perfiles determinados o hábitos de consumo, con más los datos individuales estrictamente necesarios para formular la oferta comerciales.

Fuentes y modalidad de obtención de los mismos: sólo podrán tratarse datos que "figuren en documentos accesibles al público o hayan sido facilitados por los propios titulares u obtenidos con su consentimiento”

Asimismo deben garantizarse los siguientes derechos:

(i) de acceso sin cargo;

(ii) de retiro o bloqueo de su nombre del bancos de datos (“opt out”);

(iii) de obtener información sobre el nombre del responsable o usuario del banco de datos que proveyó la información.

ACTIVIDADES DE PUBLICIDAD DIRECTAACTIVIDADES DE PUBLICIDAD DIRECTA

Comunicaciones con fines de publicidad: deben incluir “legales” específicos:

opt out, obligación de informar el nombre del responsable de la base, transcripción Art. 27 inc. 3 Ley PDP, Párrafo 3 Art. 27 Anexo 1 Decreto 1558/01, Art. 1y2 Disposición 10/08) Comunicaciones de publicidad directa no consentidas por el titular: deben indicar en forma destacada que se trata de una publicidad. En caso de correo electrónicos se debe insertar en su encabezado el término único “publicidad”.

Segmentación de la base: Se deberá contar con un sistema de supresión que sirva para

(i)bloquear nombres de los titulares que hubieran ejercido su derecho de “Opt Out”, (ii)bloquear nombres (en los casos de comunicaciones telefónicas) de aquellas personas titulares de una línea telefónica inscripta en el Registro “No Llame”.

ACTIVIDADES DE PUBLICIDAD DIRECTA (ACTIVIDADES DE PUBLICIDAD DIRECTA (continuacióncontinuación))

Modalidades de registración de las bases de datos con fines de publicidad

Régimen de inscripción abreviada siempre que el registrante sea miembro de una asociación y/o colegio profesional que disponga de un Código de Conducta homologado por la DNPDP.

O

Régimen de inscripción ordinario.


¿Efectúa tratamiento de datos con fines de publicidad?

¿Recaba los datos de fuentes legítimas (inc. 1º art. 27 Ley 25.326 y Decreto)?

¿Respeta derecho de retiro o bloqueo del titular del dato (inc. 3º art. 27 Ley Nº 25.326)?

ACTIVIDADES DE PUBLICIDAD DIRECTA (ACTIVIDADES DE PUBLICIDAD DIRECTA (continuacióncontinuación))









9. Casos Especiales

TEMASTEMAS

CESIÓN DE DATOS Los datos personales pueden cederse:

(i) si existe un interés legítimo del cedente y cesionario; y(ii) con el previo consentimiento del titular de los datos, al que se le debe informar la finalidad de la cesión e identificar al cesionario.

Cedente y cesionario son solidariamente responsables.

El consentimiento de la cesión es revocable.

No se requiere consentimiento si:(i) los datos se obtienen de fuentes de acceso público irrestricto;(ii) listados que se limiten a nombre, DNI, CUIL o CUIT, ocupación, fecha de nacimiento y domicilio;(iii) existe una relación contractual, científica o profesional con el titula de los datos;

CESIÓN, TRANSFERENCIA INTERNACIONAL Y TRATAMIENTO DE DATOS POR CESIÓN, TRANSFERENCIA INTERNACIONAL Y TRATAMIENTO DE DATOS POR CUENTA DE TERCEROSCUENTA DE TERCEROS


¿Efectúa cesión de datos personales?

¿Verifica el cumplimiento del requisito del interés legítimo?

¿Recaba el consentimiento previo del titular del dato?

CESIÓN, TRANSFERENCIA INTERNACIONAL Y TRATAMIENTO DE DATOS POR CESIÓN, TRANSFERENCIA INTERNACIONAL Y TRATAMIENTO DE DATOS POR CUENTA DE TERCEROS (continuación)CUENTA DE TERCEROS (continuación)


TRANSFERENCIA INTERNACIONAL DE DATOS

Los datos personales pueden transferirse internacionalmente si:(i) el titular de los datos consintió expresamente la transferencia;

(ii) el receptor de los datos proporciona niveles de protección adecuados; o

(iii) se celebra un contrato con las cláusulas aprobadas por la DNPDP

No se requiere consentimiento del titular de los datos en caso de: (i) colaboración judicial internacional;

(ii) intercambio de datos médicos si se disocia la información del titular de los datos;

(iii) transferencias bancarias o bursátiles;

(iv) acuerdo en tratados internacionales en los cuales Argentina sea parte;

(v) cooperación internacional entre organismos de inteligencia;

(vi) registro público legalmente constituido para facilitar información al público.



¿Efectúa transferencia internacional de datos personales?

¿La realiza mediante contrato de transferencia internacional? Consignar si posee la aprobación de la DNPP

¿Aplica alguna de las excepciones previstas en el art. 12, inc. 2?

¿La realiza mediante consentimiento del titular del dato?










9. Casos Especiales

TEMASTEMAS

DERECHOS DE LOS TITULARES

Derechos de acceso: facultad de las personas de conocer qué información se registra sobre ellas

Derecho de rectificación: para corregir: (i) datos erróneos(ii) datos falsos (iii) datos incompletos (iv) datos desactualizados

Acción de Hábeas Data

El incumplimiento de los derechos de acceso, actualización, rectificación y supresión de los datos habilitará al interesado a promover una acción judicial de HÁBEAS DATA (art.14 y 16 de la ley 25.326)

DERECHOS DEL TITULAR DEL DATODERECHOS DEL TITULAR DEL DATO


¿Establece procedimientos y plazos de ley para el derecho de acceso?

¿Verifica que la información que brinda en el derecho de acceso sea clara para el titular del dato?

¿Verifica que la información sea amplia y que verse sobre la totalidad del registro perteneciente al titular ?

Enumerar los medios por los cuales brinda acceso (por escrito, telefónico, medios electrónicos, etc.)

¿Establece procedimientos y plazos de ley para el derecho de rectificación, actualización o supresión?

DERECHOS DEL TITULAR DEL DATO (continuación)DERECHOS DEL TITULAR DEL DATO (continuación)

1.1. Introducción: Dinámica de la Inspección de la DNPDPIntroducción: Dinámica de la Inspección de la DNPDP

2.2. Licitud del tratamiento. Inscripción de las Bases de Datos ante la DNPDPLicitud del tratamiento. Inscripción de las Bases de Datos ante la DNPDP

3.3. Medidas de SeguridadMedidas de Seguridad

4.4. Recolección y calidad de los datosRecolección y calidad de los datos

5.5. Actividades de Publicidad DirectaActividades de Publicidad Directa

6.6. Cesión, Tratamiento de datos por cuenta de terceros y Transferencia Cesión, Tratamiento de datos por cuenta de terceros y Transferencia Internacional Internacional

7.7. Derechos del Titular del DatoDerechos del Titular del Dato

8.8. Política de Privacidad y Capacitación del personal de la compañía Política de Privacidad y Capacitación del personal de la compañía

9.9. Casos EspecialesCasos Especiales

TEMASTEMAS

Requerimientos ley local & Lineamientos Globales.

Contenido de la Política:(i) definición del objeto;(ii) principios de protección de datos personales(iii) convenios de confidencialidad del personal y terceros(iv) manual de seguridad(v) transferencia internacional de datos personales(vi) publicidad directa(vii) tratamiento de datos por cuenta de terceros(viii) derechos de los titulares y procedimientos (ix) designación de un Encargado de Protección de Datos por parte del

Directorio(x) implementación y ejecución de la política en la empresa(xi) capacitación (xii) auditoría sobre su cumplimiento. Notificación de incidentes(xiii) determinación de responsabilidades en caso de incumplimiento


¿Posee una política de privacidad? En caso de poseerla deberá adjuntarla para su análisis.

POLÍTICA DE PRIVACIDAD Y CAPACITACIÓN DEL PERSONAL DE LA COMPAÑÍAPOLÍTICA DE PRIVACIDAD Y CAPACITACIÓN DEL PERSONAL DE LA COMPAÑÍA









9. Casos Especiales

TEMASTEMAS

DATOS SENSIBLES

Datos personales sobre origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

Los Datos Sensibles, en principio no pueden ser recolectados ni objeto de tratamiento, salvo:

(i) razones de interés general autorizadas por ley; y(ii) finalidades estadísticas o científicas si no pueden ser identificados sus titulares.

Tratamiento de datos vinculados a la salud, con fines publicitarios

Datos vinculados a la salud (constituyen datos sensibles): excepcionalmente, podrán ser objeto de tratamiento para realizar ofertas de marketing directo.

Deberá verificarse previamente el consentimiento del titular.


¿Trata datos sensibles (art. 2 y 7 Ley Nº 25.326)? ¿Trata datos de antecedentes penales o contravencionales?

CASOS ESPECIALESCASOS ESPECIALES

DATOS RELATIVOS A LA SALUD

Los establecimientos sanitarios y los profesionales vinculados a la salud pueden recolectar y tratar los datos sensibles de sus pacientes mientras se respete el secreto profesional.


Establecimientos sanitarios y médicos: ¿en caso que se trate de un establecimiento sanitario, ¿toma medidas que garanticen el secreto profesional?

Investigaciones clínicas, farmacológicas y farmacogenénicas: ¿utiliza modelos de consentimiento informado aprobados por la DNPDP

CASOS ESPECIALESCASOS ESPECIALES

COMPLETE los puntos 4, 5, 6, 9, 10, 12, 14, 15, 2del FORMULARIO de INSPECCIÓN que se encuentra en su Carpeta.

RECUERDE las recomendaciones efectuadas sobre cada punto y APLIQUE las mismas a la realidad de su Empresa

CONSULTE a los expositores. NO SE QUEDE CON NINGUNA DUDA !

EJERCICIO PRÁCTICOEJERCICIO PRÁCTICO

FIN DE LA PRESENTACIÓNFIN DE LA PRESENTACIÓN

¿PREGUNTAS?¿PREGUNTAS?

Marketing

Taller Cómo prepararse para una inspección de Habeas Data