Obligaciones de los responsables y encargados de tratamiento
Los responsables y encargados de tratamiento deben cumplir con un conjunto de obligaciones, enmarcadas en principios definidos en la Ley. Existen obligaciones formales expresamente establecidas, como la inscripción de bases de datos, la designación de delegados de protección de datos (en determinados casos) y la comunicación de vulneraciones de seguridad (cuando éstas ocurren). Además, existen criterios para realizar el tratamiento de datos personales y para asegurar que las personas puedan ejercer adecuadamente sus derechos.
En el siguiente cuadro, se presentan distintas acciones que deben seguir los responsables y encargados para cumplir con los principios que establece la ley. Esto no excluye otras acciones que puedan adoptarse en cada caso concreto.
| Acciones | Cuando corresponde | A tener en cuenta | Forma de realizarlo - Herramientas disponibles |
| Inscripción de base de datos | Siempre que se cuente con bases de datos. | Plazo: 90 días desde el inicio de actividades. | A través del Sistema de Gestión de la URCDP.
|
| Actualización de base de datos | En los casos expresamente indicados y cuando ya exista una Base de Datos registrada. | Solo se deberá actualizar si: a) existe una alteración del 20% de los datos indicados en la solicitud; b) si existen modificaciones estructurales (agregado o supresión de un campo, cambio de la finalidad, alternación significativa de la información). | A través del Sistema de Gestión de la URCDP. |
| Definición de la finalidad | Siempre. | Se trata del para qué se recolectan los datos, qué va a realizar el responsable de la base de datos con ellos. Los datos que se obtienen no pueden ser utilizados para finalidades distintas o incompatibles con las que motivaron su obtención y no pueden conservarse datos si dejaron de ser necesarios. | Un ejemplo sobre la información de clientes puede ser: ¿se recolectan sus datos para ofrecerles publicidad? ¿para darles un beneficio particular?, ¿para hacer un registro de ventas?. Estas preguntas permitirán definir la finalidad y en consecuencia las categorías y la cantidad de datos que se van a solicitar. |
| Análisis de los datos recolectados o almacenados | Siempre. | Corresponde realizar una verificación en forma previa a recolectar los datos, para determinar si son verdaderos, ecuánimes, adecuados, imparciales, no excesivos y si se ajustan a la finalidad para los que se recolectaron. | La forma más sencilla es analizar los datos personales que la empresa solicita y determinar si son estrictamente necesarios para esa finalidad (por ejemplo, si se trata de datos de proveedores no se necesita conocer su estado civil). |
| Revisión de los datos personales | Siempre. | Además de la verificación previa, se debe contar con un proceso para la revisión y actualización permanente de la información personal. | Resulta conveniente establecer parámetros de revisión de datos personales, y un procedimiento que permita rectificar la información que perdió vigencia o .eliminar fácilmente la que dejó de ser necesaria. |
| Elaboración de cláusulas de consentimiento | Siempre que se use como base el consentimiento. | El consentimiento debe ser libre, previo, expreso, informado y documentado, y tiene ciertos requisitos para ser válido. El correcto armado de cláusulas de consentimiento es vital para asegurarse que los datos pueden ser tratados dentro de la ley. | Se encuentra disponible un modelo de cláusulas de consentimiento que deberán adaptarse al caso concreto. |
| Uso de datos personales en páginas web | Siempre que trate información personal en la web. | Si se recolecta información personal a través de páginas web, se deben establecer cláusulas de consentimiento específicas y una política de privacidad. | Se encuentran disponibles modelos de política de privacidad y de cláusulas de consentimiento. Estos modelos deben adaptarse al caso concreto. |
| Uso de aplicaciones de mensajería para el contacto con los clientes | Siempre que se establezcan canales de contacto a través de aplicaciones de mensajería. | Debe tenerse en cuenta que el uso de estas aplicaciones puede significar la recolección de datos personales, no sólo por parte de la empresa, sino también del proveedor de la aplicación, por lo que es importante que las personas conozcan esta situación, y darles la posibilidad de contactarse a través de mecanismos alternativos. | Se encuentran disponibles recomendaciones específicas en el documento sobre "Consideraciones respecto al uso de aplicaciones de mensajería" |
| Poner en práctica medidas de seguridad de los datos personales | Siempre. | El primer aspecto a considerar es poner en práctica medidas de seguridad físicas y lógicas para la protección de los datos personales que se traten Ejemplos de estas medidas son guardar en lugares seguros bases físicas, establecer accesos diferenciados para bases de datos en formato digital, utilizar herramientas informáticas adecuadas, contratar servicios de nube de proveedores confiables. | En el documento sobre el “Marco de Ciberseguridad” se podrán encontrar un conjunto de medidas al respecto. |
| Comunicar vulneraciones de seguridad | Cuando se produzcan vulneraciones de seguridad. | Se deben realizar diversas comunicaciones cuando sucede alguna vulneración de seguridad en las bases de datos que contienen datos personales de los titulares, dentro de un plazo de 24 horas a la Unidad, y por los medios puestos a disposición por ésta. | La comunicación se puede realizar a través del Sistema de Gestión de la URCDP. Por más información se encuentra disponible la “Guía de comunicación de vulneraciones de seguridad" |
| Mantener reserva de la información personal | Siempre. | Se debe mantener la reserva de la información personal de terceros obtenida por el vínculo con la empresa, sin limitación de tiempo. La sanción en caso de incumplimiento es de carácter penal. | Sin perjuicio de que se trata de una obligación legal, resulta conveniente incluir esta previsión en los contratos con el personal y con otros terceros que puedan trabajar para la empresa. |
| Privacidad por diseño y por defecto | Siempre. | Siempre que se vaya a desarrollar un nuevo tratamiento de datos personales se deben incorporar medidas de privacidad por diseño y por defecto, que implica poner en práctica en todo el ciclo de vida de los datos mecanismos que protejan estos datos. | Los artículos 7° y 8° del Decreto N° 64/020, de 17 de febrero de 2020 dan algunos ejemplos (tales como el uso de técnicas de disociación, seudonimización y minimización de datos, mecanismos para asegurar el ejercicio de los derechos de los titulares, documentación de los consentimientos, etcétera). |
| Evaluaciones de impacto | En los casos expresamente previstos por la normativa (tratamiento de datos sensibles, de personas vulnerables, especialmente protegidos, de más de 35.000 personas, cuando se transfieran datos personales a países no adecuados, cuando se traten datos biométricos, entre otros). | Las evaluaciones de impacto tienen como objetivo determinar los posibles riesgos para las personas en el tratamiento de su información personal y tomar medidas para mitigar esos riesgos. | Para saber cómo realizar una evaluación de impacto puede consultarse la "Guia para la realización de Evaluaciones de Impacto" de la URCDP y Agencia de Acceso a la Información Pública de Argentina. |
| Designación de delegado de protección de datos | Sólo corresponde obligatoriamente si se tratan datos sensibles como negocio principal (origen racial y étnico, preferencias políticas, convicciones religiosas o morales, afiliación sindical e información referente a la salud o a la vida sexual) o si se tratan datos de más de 35.000 personas. También se puede designar en forma voluntaria como una medida de responsabilidad proactiva. | En el primer caso, puede tratarse de un laboratorio, un consultorio médico, una organización que nuclee personas de determinado origen étnico, entre otros. En el segundo caso, deberá considerarse toda la información que se gestiona en las distintas bases de datos de la empresa, y determinar si se excede o no el límite de 35.000 personas establecido por la reglamentación. | En caso de corresponder la designación, el delegado debe tener determinadas características y cumplir las funciones indicadas en la normativa y comunicarse su designación a través del Sistema de Gestión de la Unidad |