Guía de Implementación del Marco de Ciberseguridad 5.0

PD.4 Principio de previo consentimiento informado

Requisito PD.4Principio de previo consentimiento informado
ObjetivoAsegurar que los individuos tengan pleno conocimiento y comprensión de cómo se tratarán sus datos personales antes de que otorguen su consentimiento previo e informado.
Controles

Nivel 1

  • PD.4-1: cuando corresponde, se incluye una cláusula de consentimiento libre, previa e informada en los medios utilizados para recabar los datos personales (formularios, grabaciones, sitios web, etc.).
  • PD.4-2: se conservan registros que evidencien el consentimiento otorgado por los titulares, siempre que sea exigido por la normativa.

Nivel 2

  • PD.4-3: se verifica, previo al tratamiento de datos personales, si el consentimiento del titular es requerido según lo establecido por la normativa vigente.
  • PD.4-4: los mecanismos que requieren consentimiento informado garantizan que la opción de aceptar o rechazar esté claramente visible y no preseleccionada.
  • PD.4-5: cuando el tratamiento se basa en el consentimiento, se han definido mecanismos que permiten a los titulares revocar el consentimiento otorgado en cualquier momento, sin afectar la licitud del tratamiento previo.

Nivel 3

  • PD.4-6: existen procedimientos documentados que establecen cómo identificar los casos en los que se requiere consentimiento, y cómo obtener, registrar y conservarlo de manera adecuada.
  • PD.4-7: los mecanismos para ejercer la revocación del consentimiento están disponibles públicamente y son fácilmente accesibles.

Nivel 4

  • PD.4-8: se ha incorporado la verificación del consentimiento informado como parte de las auditorías internas periódicas.
  • PD.4-9: se revisan y actualizan periódicamente los textos, formularios y canales utilizados para recabar el consentimiento informado.
Guía de implementación

La organización debe solicitar y registrar de manera libre, previa e informada el consentimiento del titular para tratar sus datos, pudiendo recabar dicho consentimiento a través de distintas formas como grabaciones, formularios o aceptación en sitios web, dependiendo del tipo de dato o mecanismo de comunicación.

Sin embargo, existen ciertas excepciones a la regla del previo consentimiento informado. Estas incluyen: los datos que provienen de fuentes públicas de información, como registros o publicaciones en medios masivos, definidos taxativamente en el artículo 9° bis de la Ley 18331; los datos recabados para funciones estatales o bajo obligación legal; y los datos incluidos en listados que, para personas físicas, se limitan a nombres, apellidos, documento de identidad, nacionalidad, domicilio y fecha de nacimiento, y para personas jurídicas, incluyen razón social, nombre de fantasía, registro único de contribuyentes, domicilio, teléfono e identidad de las personas a cargo. Además, se consideran excepciones los datos derivados de relaciones contractuales, científicas o profesionales necesarios para su desarrollo, así como aquellos recabados por individuos para uso personal, individual o doméstico.

Cabe destacar que, aunque la información del Diario Oficial, registros públicos y publicaciones en medios de comunicación son considerados fuentes públicas, Internet en su conjunto no califica como tal.

Es importante tener en cuenta los artículos 5° y 6° del decreto N°414/009, que estipulan requisitos especiales para la recolección del consentimiento. El artículo 5° especifica que se debe informar a los titulares de los datos personales sobre la finalidad específica del tratamiento de sus datos y el tipo de actividad que realiza el responsable de la base de datos o tratamiento. El incumplimiento de esta obligación de informar adecuadamente invalida el consentimiento obtenido.

Por último, el artículo 6° detalla las formas adecuadas para recabar el consentimiento, estableciendo que el deber de obtenerlo se considera cumplido cuando se ofrece al titular la elección entre dos opciones claramente identificadas, las cuales no deben estar premarcadas a favor o en contra, garantizando así una elección auténticamente libre e informada.

Instituciones de saludNo aplica
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Procesos y procedimientos de obtención de consentimientos informados por base de datos.
  • Listado de consentimientos informados obtenidos por base de datos.
Normativa asociada

Etiquetas