"Para obtener resultados nunca antes logrados hay que usar métodos nunca antes utilizados"
 
 

 

Inscripción de Bases de Datos

Todas las organizaciones privadas que sean titulares de archivos, registros, bases o bancos de datos que contengan información de carácter personal referida a
  • personas físicas o
  • jurídicas,
deberán inscribirlas en el Registro Nacional de Bases de Datos Privadas:
  • las bases de datos privados existentes al 01/08/05: hasta el 31/03/06
  • Las nuevas bases de datos que se generen con posterioridad al 01/08/05 deben registrarse con carácter previo a su creación.

La instrumentación de este Registro Nacional de Bases de Datos llega cinco años después de la aprobación de la ley 25.326 (30-10-00), más conocida como "ley de hábeas data.".

Quienes están obligados y quienes no

En líneas generales se podría decir que absolutamente todas las bases de datos deben inscribirse en el Registro, salvo las destinadas al uso meramente privado (como son las agendas personales).

Resulta natural pensar que la legislación alcanza a todas las empresas que exterioricen datos de terceros como por ejemplo, centrales de riesgo crediticio, cámaras y asociaciones civiles, empresas de seguros, comerciales o industriales, bancos y entidades financieras, organismos estatales, entre otras.

Lo que no parece tan natural es pensar que también deben registrarse ciertas bases de datos que podrían ser conceptuadas como de uso interno administrativo de las empresas.

Efectivamente, si bien la Ley en su artículo 1ro. define como objeto la protección integral los datos personales asentados en bancos de datos destinados a dar informes a terceros, posteriormente a través del articulo 24 se amplia el mismo, al establecer que los particulares que formen archivos, registros o banco de datos que no sean para un uso exclusivamente personal deberán registrarse conforme lo hacen los demás usuarios y/o responsables de archivos y bancos de datos.

Si bien la ley no define específicamente qué significa informar y qué constituye el uso "exclusivamente personal de los datos" recordemos que puede considerarse que:

  • se producen informes cuando transferimos información a terceros, por ejemplo: cuando los bancos envían información al Banco Central de la República Argentina o cuando se las empresas tercerizan distintos tipos de actividades (v.g. liquidación de sueldos) y
  • se ceden datos cuando se envía información a la AFIP o al ANSES, etc.

Que bases de datos existen en las empresas:

En la Argentina existen miles de bases de datos, no solo en las grandes empresas, sino en las también en las pequeñas y medianas empresas, los clubes, colegios privados, medicina prepaga, los estudios contables y jurídicos, etc.

Toda organización tiene, en general, como mínimo tres bases de datos referidas a

  • clientes,
  • proveedores y
  • personal,

que debe inscribir. Ello sin contar con bases específicas utilizadas para marketing (potenciales clientes), o las bases que deben armar ciertas empresas para la detección de lavado de dinero..

No importa la cantidad de datos que almacene la base, en todos los casos debe registrarse. No hay mínimos para la obligatoriedad de registración.

Exigencias legales sobre las bases de datos

La adecuación a las exigencias de Ley de Habeas Data se sustenta en los siguientes pilares básicos:
  1. La Registración de los responsables de los bancos de datos.
  2. La adopción de medidas de seguridad de las bases.
  3. El derecho de acceso de los titulares de datos.
  4. Riesgos de incurrir en infracciones que impliquen multas, apercibimientos o sanciones administrativas y de tipo penal.

Además de

  • permitir el derecho a la supresión de los datos personales,
  • garantizar el derecho a que los datos recolectados sean destruídos una vez cumplidos el objetivo de nuestra tarea profesional y los plazos legales que corresponda, por ej.: los datos laborales que deben mantenerse durante dos años, que es el término de prescripción

Medidas de Seguridad sobre las bases de datos

Si bien aún no se han reglamentado las medidas de seguridad a implementar en las organizaciones, el criterio profesional indicará en todos los casos las medidas a adoptar. Las normas ISO/IEC 17799 constituyen un marco de "buenas practicas" para la gestión de la seguridad en la información. Estas normas definen la seguridad de la información como la preservación de:

  • Su confidencialidad.
  • Su integridad.
  • Su disponibilidad.

Sanciones a los Infractores de la Ley

Las infracciones previstas en la Disposición 7/2005 de la DNPDP, incluyen

  • no solicitar la inscripción de las bases,
  • no atender a los requerimientos del Organismo de Contralor,
  • no guardar el deber de confidencialidad,
  • mantener los datos por mas tiempo del establecido legalmente,
  • responsabilidad por el daño causado por mal uso de la información, que compromete el patrimonio del propietario de la base.

Las sanciones previstas van

  • Infracciones Leves: hasta DOS (2) apercibimientos y/o multa de PESOS UN MIL ($ 1.000.-) a PESOS TRES MIL ($ 3.000.- );
  • Infracciones Graves: hasta CUATRO (4) apercibimientos, suspensión de UNO (1) a TREINTA (30) días y/ o multa de PESOS TRES MIL UNO ($ 3.001.- ) a PESOS CINCUENTA MIL ($ 50.000.-) e
  • Infracciones muy Graves: hasta SEIS (6) apercibimientos, suspensión de TREINTA Y UN (31) a TRESCIENTOS SESENTA Y CINCO (365) días, clausura o cancelación del archivo, registro o banco de datos y/o multa de PESOS CINCUENTA MIL UNO ($50.001.- ) a PESOS CIEN MIL ($ 100.000.-).
  • además la Ley 25.326 incluye penas de prisión de un mes a dos años.