PD.4 Principio de previo consentimiento informado
Requisito PD.4 | Principio de previo consentimiento informado |
---|---|
Objetivo | Asegurar que los individuos tengan pleno conocimiento y comprensión de cómo se tratarán sus datos personales antes de que otorguen su consentimiento previo e informado. |
Controles | Nivel 1
Nivel 2
Nivel 3
Nivel 4
|
Guía de implementación | La organización debe solicitar y registrar de manera libre, previa e informada el consentimiento del titular para tratar sus datos, pudiendo recabar dicho consentimiento a través de distintas formas como grabaciones, formularios o aceptación en sitios web, dependiendo del tipo de dato o mecanismo de comunicación. Sin embargo, existen ciertas excepciones a la regla del previo consentimiento informado. Estas incluyen: los datos que provienen de fuentes públicas de información, como registros o publicaciones en medios masivos, definidos taxativamente en el artículo 9° bis de la Ley 18331; los datos recabados para funciones estatales o bajo obligación legal; y los datos incluidos en listados que, para personas físicas, se limitan a nombres, apellidos, documento de identidad, nacionalidad, domicilio y fecha de nacimiento, y para personas jurídicas, incluyen razón social, nombre de fantasía, registro único de contribuyentes, domicilio, teléfono e identidad de las personas a cargo. Además, se consideran excepciones los datos derivados de relaciones contractuales, científicas o profesionales necesarios para su desarrollo, así como aquellos recabados por individuos para uso personal, individual o doméstico. Cabe destacar que, aunque la información del Diario Oficial, registros públicos y publicaciones en medios de comunicación son considerados fuentes públicas, Internet en su conjunto no califica como tal. Es importante tener en cuenta los artículos 5° y 6° del decreto N°414/009, que estipulan requisitos especiales para la recolección del consentimiento. El artículo 5° especifica que se debe informar a los titulares de los datos personales sobre la finalidad específica del tratamiento de sus datos y el tipo de actividad que realiza el responsable de la base de datos o tratamiento. El incumplimiento de esta obligación de informar adecuadamente invalida el consentimiento obtenido. Por último, el artículo 6° detalla las formas adecuadas para recabar el consentimiento, estableciendo que el deber de obtenerlo se considera cumplido cuando se ofrece al titular la elección entre dos opciones claramente identificadas, las cuales no deben estar premarcadas a favor o en contra, garantizando así una elección auténticamente libre e informada. |
Instituciones de salud | No aplica |
Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
Guía de evidencia para auditoría |
|
Normativa asociada |
|