LEY DE PROTECCIÓN DE DATOS PERSONALES
TÍTULO I
DISPOSICIONES GENERALES
Artículo 1°.- Objeto - La presente ley tiene por objeto regular, dentro del
ámbito de la Ciudad de Buenos Aires, el tratamiento de datos personales referidos a personas
físicas o de existencia ideal, asentados o destinados a ser asentados en archivos, registros, bases o
bancos de datos del sector público de la Ciudad de Buenos Aires, a los fines de garantizar el derecho
al honor, a la intimidad y a la autodeterminación informativa, de conformidad a lo establecido por el
artículo 16 de la Constitución de la Ciudad de Buenos Aires.
Cuando los datos se refieran a información pública y no a datos personales
será de aplicación la Ley N° 104 de la Ciudad de Buenos Aires.
En ningún caso se podrán afectar la base de datos ni las fuentes de
información periodísticas.
Artículo 2°.- Ámbito de aplicación - A los fines de la presente ley se
consideran incluidos dentro del sector público de la Ciudad de Buenos Aires a todos los archivos,
registros, bases o bancos de datos de titularidad de los órganos pertenecientes a la administración
central, descentralizada, de entes autárquicos, empresas y sociedades del estado, sociedades anónimas
con participación estatal mayoritaria, sociedades de economía mixta y todas aquellas otras
organizaciones empresariales donde el Estado de la Ciudad de Buenos Aires tenga
participación en el capital o en la formación de las decisiones societarias, del Poder Legislativo y del
Judicial, en cuanto a suactividad administrativa, y de los demás órganos establecidos en el Libro
II de la Constitución de la Ciudad de Buenos Aires.
Artículo 3°.- Definiciones - A los fines de la presente ley se entiende
por:
Datos personales: Información de cualquier tipo referida a personas físicas
o de existencia ideal, determinadas o determinables.
Datos sensibles: Aquellos datos personales que revelan origen racial o
étnico, opiniones políticas, convicciones religiosas o morales, afiliación sindical, información
referente a la salud o a la vida sexual o cualquier otro dato que pueda producir, por su naturaleza o su
contexto, algún trato discriminatorio al titular de los datos.
Archivos, registros, bases o bancos de datos: Indistintamente, designan al
conjunto organizado de datos personales objeto de tratamiento, cualquiera sea la modalidad o forma
de su recolección, almacenamiento, organización o acceso, incluyendo tanto los automatizados
como los manuales.
Tratamiento de datos: Cualquier operación o conjunto de operaciones,
efectuadas o no mediante procedimientos automatizados, que permitan la recolección, conservación,
ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo,
destrucción, registro, organización, elaboración, extracción, utilización, cotejo, supresión, y en
general, el procesamiento de datos personales, así como también su cesión a terceros a través de todo
tipo de comunicación, consulta, interconexión, transferencia, difusión, o cualquier otro medio
que permita el acceso a los
mismos.
Titular de datos: Persona física o de existencia ideal cuyos datos sean
objeto de tratamiento.
Responsable del archivo, registro, base o banco de datos: Persona física o
de existencia ideal del sector público de la Ciudad de Buenos Aires que sea titular de un archivo,
registro, base o banco de datos.
Encargado del tratamiento: Persona física o de existencia ideal, autoridad
pública, dependencia u organismo que, solo o juntamente con otros, realice tratamientos de datos
personales por cuenta del responsable del archivo, registro, base o banco de datos.
Usuario de datos: Persona física que, en ocasión del trabajo y cumpliendo
sus tareas específicas, tenga acceso a los datos personales incluidos en cualquier archivo,
registro, base o banco de datos del sector público de la Ciudad de Buenos Aires.
Fuentes de acceso público irrestricto: Exclusivamente, se entienden por
tales a los boletines, diarios o repertorios oficiales, los medios de comunicación escritos, las
guías telefónicas en los términos previstos por su normativa específica y las listas de personas
pertenecientes a grupos de
profesionales que contengan únicamente los datos de nombre, título,
profesión, actividad, grado académico, dirección o cualquier otro dato que indique de su pertenencia al
grupo.
TÍTULO II
DEL RÉGIMEN DE LOS ARCHIVOS, REGISTROS, BASES O BANCOS DE DATOS
Artículo 4°.- Creación de archivos, registros, bases o bancos de datos
-
1. La creación y mantenimiento de archivos, registros, bases o bancos de
datos debe responder a un propósito general y usos específicos lícitos y socialmente aceptados.
Los archivos de datos no pueden tener finalidades contrarias a las leyes o a la moral
pública.
2. La formación de archivos de datos será lícita cuando se encuentren
debidamente inscriptos, observando en su operación los principios que establece la presente ley y
las reglamentaciones que se dicten en su consecuencia.
3. Las normas sobre creación, modificación o supresión de archivos,
registros, bases o bancos de datos pertenecientes a organismos públicos deberán publicarse en el
Boletín Oficial de la Ciudad de Buenos Aires e indicar:
a) Características y finalidad del archivo;
b) Personas respecto de las cuales se pretenda obtener datos y el carácter
facultativo u obligatorio de su suministro por parte de aquéllas;
c) Procedimiento de obtención y actualización de los datos;
d) Estructura básica del archivo, informatizado o no, y la descripción de
la naturaleza de los datos personales que contendrán;
e) Las cesiones, transferencias o interconexiones previstas;
f) Órgano responsable del archivo, precisando dependencia jerárquica en su
caso;
g) Dependencia ante la cual los ciudadanos pueden ejercer los derechos
reconocidos por la presente ley.
4. En las disposiciones que se dicten para la supresión de los archivos,
registros, bases o bancos de datos se establecerá el destino de los mismos o las medidas que
se adopten para su destrucción.
5. Cuando se traten datos personales recolectados a través de internet, los
sitios interactivos de la Ciudad de Buenos Aires deberán informar al titular de los datos
personales los derechos que esta ley y la ley nacional les otorgan mediante una política de
privacidad ubicada en un lugar visible de la página web.
Artículo 5°.- Los contratos de prestación de servicios de tratamiento de
datos personales deberán contener los niveles de seguridad exigidos por la ley, así como también las
obligaciones que surgen para los locatarios en orden a la confidencialidad y reserva que
deben mantener sobre la información obtenida y cumplir con todas las provisiones de la presente ley
a los fines de evitar una disminución en el nivel de protección de los datos personales.
TÍTULO III
PRINCIPIOS GENERALES DE LA PROTECCIÓN DE DATOS PERSONALES
Artículo 6°.- Calidad de los datos - Los datos personales que se recojan a
los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en
relación al ámbito y
finalidad para los que se hubieren obtenido.
La recolección de datos no puede hacerse por medios desleales, fraudulentos
o en forma contraria a las disposiciones de la presente ley.
Los datos objeto de tratamiento no pueden ser utilizados para finalidades
distintas con aquéllas que motivaron su obtención.
Los datos deben ser exactos y actualizarse en el caso de que ello fuere
necesario para responder con veracidad a la situación de su titular.
Los datos total o parcialmente inexactos, o que sean incompletos, deben ser
suprimidos y sustituidos, o en su caso completados, por el responsable o usuario del
archivo, registro, base o banco de datos cuando se tenga conocimiento de la inexactitud o carácter
incompleto de la información de que se trate, sin perjuicio de los derechos del titular
establecidos en el artículo 13 de la presente ley.
Los datos deben ser almacenados de modo que permitan el ejercicio del
derecho de acceso de su titular.
Los datos personales deben ser destruidos cuando hayan dejado de ser
necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados, sin necesidad de que
lo requiera el titular de los mismos.
Artículo 7°.- Consentimiento -
1. El tratamiento de datos personales se considera ilícito cuando el
titular no hubiere prestado
su consentimiento libre, expreso e informado, el que deberá constar por
escrito, o por otro
medio que permita se le equipare, de acuerdo a las circunstancias.
2. El referido consentimiento prestado con otras declaraciones, deberá
figurar en forma expresa
y destacada, previa notificación al titular de datos, en forma adecuada a
su nivel social y cultural, de la información a que se refiere el artículo 18 inciso b) de la
presente ley.
3. El consentimiento puede ser revocado por cualquier medio y en cualquier
momento. Dicha revocación no tendrá efectos retroactivos.
4. No será necesario el consentimiento cuando:
.Los datos personales se recaben para el ejercicio de funciones propias de
los poderes de la Ciudad de Buenos Aires, o en virtud de una obligación legal;
.Los datos personales se obtengan de fuentes de acceso público
irrestricto;
.Se trate de datos personales relativos a la salud de las personas y su
tratamiento sea necesario por razones de salud pública y emergencia establecidas por
autoridad competente y debidamente fundadas;
.Se trate de listados cuyos datos se limiten a nombre, documento nacional
de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y
domicilio.
Artículo 8°.- Datos sensibles -
1. Ninguna persona puede ser obligada a proporcionar datos sensibles. En
particular no se podrá solicitar a ningún individuo datos sensibles como condición para su
ingreso o promoción dentro del sector público de la Ciudad de Buenos Aires.
2. Los datos sensibles sólo pueden ser tratados cuando medien razones de
interés general autorizadas por ley. También podrán ser tratados con finalidades
estadísticas o científicas, siempre y cuando no puedan ser identificados sus titulares.
3. Queda prohibida la formación de archivos, registros, bases o bancos de
datos que almacenen información que directa o indirectamente revele datos sensibles, salvo que
la presente ley o cualquier otra expresamente disponga lo contrario o medie el consentimiento
libre, previo, expreso, informado y por escrito del titular de los datos.
4. Los datos relativos a antecedentes penales o contravencionales o
infracciones administrativas sólo pueden ser objeto de tratamiento por parte de las
autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas.
Artículo 9°.- Datos relativos a la salud - Los establecimientos sanitarios
dependientes de la Ciudad de Buenos Aires y los profesionales vinculados a las ciencias de la salud
que presten servicios en los mismos pueden recolectar y tratar los datos personales relativos a la
salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo
tratamiento de aquéllos, respetando los principios del secreto profesional.
Artículo 10.- Cesión de datos -
1. Los datos personales objeto de tratamiento sólo pueden ser cedidos para
el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y
del cesionario y con el previo consentimiento del titular de los datos, al que se le debe
informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan
hacerlo.
2. Al consentimiento para la cesión de datos personales le son aplicables
las disposiciones previstas en el artículo 7° de la presente ley.
3. El consentimiento no es exigido cuando:
a) Así lo disponga expresamente una ley especial referida a cuestiones
sensibles, en particular sobre salud pública, emergencias y seguridad.
b) En los supuestos previstos en el artículo 7° inciso 3° de la presente
ley;
c) Se realice entre órganos del sector público de la Ciudad de Buenos Aires
en forma directa, en la medida del cumplimiento de sus respectivas competencias;
d) Se trate de datos personales relativos a la salud, y sea necesario por
razones de salud pública, de emergencia o para la realización de estudios epidemiológicos,
en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de
disociación adecuados;
e) Se hubiera aplicado un procedimiento de disociación de la información,
de modo que los titulares de los datos sean inidentificables.
f) Cuando la información sea requerida por un magistrado del Poder
Judicial, el Defensor del Pueblo o el Ministerio Público, en el marco de una causa judicial en
particular.
4. El cesionario quedará sujeto a las mismas obligaciones legales y
reglamentarias del cedente y éste responderá solidaria y conjuntamente por la observancia de las
mismas ante el organismo de control y el titular de los datos de que se trate.
Artículo 11.- Transferencia interprovincial -
1. Es prohibida la transferencia de datos personales a cualquier provincia
o municipio cuya
administración pública no proporcione niveles de protección adecuados a los
establecidos por la Ley Nacional N° 25.326 y la presente ley.
2. La prohibición no regirá en los siguientes supuestos:
.Colaboración judicial interjurisdiccional;
.Intercambio de datos de carácter médico, cuando así lo exija el
tratamiento del afectado, o una investigación epidemiológica, en tanto se realice en los términos del
inciso 3°, apartado e) del artículo anterior;
.Transferencias bancarias, en lo relativo a las transacciones respectivas
y conforme la legislación que les resulte aplicable;
.Intercambio de información entre los respectivos organismos provinciales
o nacionales dentro del marco de sus competencias, a requerimiento de la autoridad judicial y
en el marco de una causa;
.Cuando la transferencia tenga por objeto la lucha contra el crimen
organizado, el terrorismo y el narcotráfico, y se realice a requerimiento de la autoridad judicial y en
el marco de una
causa;
.Consentimiento del titular de los datos.
Artículo 12.- Transferencia internacional -.
1. Es prohibida la transferencia de datos personales de cualquier tipo con
países u organismos internacionales o supranacionales, que no aseguren que los datos personales
contarán con una protección adecuada a la proporcionada por la presente ley.
2. La prohibición no regirá en los siguientes supuestos:
.Colaboración judicial internacional;
.Intercambio de datos de carácter médico, cuando así lo exija el
tratamiento del afectado, o una investigación epidemiológica, en tanto se realice en los términos del
inciso 3°, apartado e) del artículo 10 de la presente ley;
.Transferencias bancarias, en lo relativo a las transacciones respectivas
y conforme la legislación que les resulte aplicable;
.Cuando la transferencia se hubiera acordado en el marco de tratados
internacionales en los cuales la República Argentina sea parte y se realice a requerimiento de la
autoridad judicial y en el marco de una causa;
.Cuando la transferencia tenga por objeto la cooperación internacional
entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el
narcotráfico, y se realice a requerimiento de la autoridad judicial y en el marco de una
causa;
.Consentimiento del titular de los datos.
TÍTULO IV
DERECHOS DE LOS TITULARES DE DATOS PERSONALES
Artículo 13.- Asisten al titular de datos personales los siguientes
derechos -
a. Derecho de información:
Toda persona puede solicitar al organismo de control información relativa a
la existencia de archivos, registros, bases o bancos de datos de titularidad del sector
público de la Ciudad de Buenos Aires, su finalidad, identidad y domicilio de sus
responsables.
b. Derecho de acceso:
El titular de los datos, previa acreditación de su identidad, tiene derecho
a solicitar y obtener información relativa a los datos personales referidos a su persona que se
encuentren incluidos en los archivos, registros, bases o bancos de datos del sector
público de la Ciudad de Buenos Aires.
Asimismo, y del mismo modo, el titular de los datos podrá exigir que se le
informe acerca de la identidad de las personas a las que se le hubieran cedido datos
relativos a su persona, del origen de los datos incluidos en el archivo, registro, base o banco de
datos consultado, y de la lógica utilizada en los tratamientos automatizados de datos que se
hubieran realizado.
El responsable del archivo, registro, base o banco de datos consultado debe
proporcionar la información solicitada, sin restricciones ni requisitos de ningún tipo, en
un plazo no mayor de diez (10) días hábiles. El plazo se podrá prorrogar en forma excepcional
por otros diez (10) días hábiles de mediar circunstancias que hagan difícil reunir la
información solicitada. En su caso, el órgano requerido debe comunicar, antes del vencimiento del plazo
de diez (10) días, las razones por las cuales hará uso de la prórroga excepcional.
Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe,
éste se estimara insuficiente, quedará expedita la acción de protección de datos personales
prevista en la
presente ley.
El derecho de acceso sólo puede ser ejercido en forma gratuita a intervalos
no inferiores a dos meses, salvo que se acredite un interés legítimo al efecto, en cuyo
caso podrá ejercerse en cualquier momento.
La información que el responsable del archivo, registro, base o banco de
datos deba brindar al titular de los datos, deberá ser amplia y versar sobre la totalidad de
la información referida a su persona que se encuentre almacenada en el archivo, registro, base o
banco de datos consultado, aún cuando el requerimiento del titular sólo comprenda un
aspecto de sus datos personales.
La información, a opción del titular de los datos, podrá suministrarse por
escrito, por medios electrónicos, telefónicos, de imagen u otro medio idóneo a tal fin.
c. Derecho de rectificación, actualización o supresión:
Toda persona tiene derecho a que los datos personales a ella referidos sean
rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a
confidencialidad.
El responsable del archivo, registro, base o banco de datos debe proceder a
la rectificación, supresión o actualización de los datos personales, realizando las
operaciones necesarias a
tal fin en el plazo máximo de cinco (5) días hábiles de recibido el reclamo
presentado por el titular de los datos, o advertido el error o falsedad.
El incumplimiento de esta obligación dentro del término acordado en el
inciso precedente habilitará al interesado a promover sin más la acción de protección de
datos personales
prevista en la presente ley.
En el supuesto de cesión de datos personales a terceros, el responsable del
archivo, registro, base o banco de datos cedente debe notificar la rectificación,
actualización o supresión al cesionario dentro del quinto día hábil de efectuado el tratamiento del
dato, debiendo el cesionario tomar cuenta de ello dentro del plazo de dos días de recibida la
notificación.
La supresión no procede cuando pudiese causar perjuicios a derechos o
intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los
datos.
Durante el proceso de verificación y rectificación del error o falsedad de
la información que se trate, el responsable o usuario del banco de datos deberá o bien bloquear
el archivo, registro, base o banco de datos, o consignar al proveer información relativa al
titular de los datos que hubiera solicitado la rectificación, actualización o supresión, la
circunstancia de que dicha información se encuentra sometida a revisión.
El responsable del archivo, registro, base o banco de datos, no podrá
exigir contraprestación alguna para el ejercicio de los derechos de supresión, rectificación y
actualización.
Artículo 14.- El titular de los datos podrá ejercer los derechos que se le
reconocen en esta ley por sí o a través de sus representantes legales o convencionales. Se encuentran
facultados del mismo modo los sucesores de las personas físicas.
Artículo 15.- Excepciones - El responsable de un archivo, registro, base o
banco de datos puede denegar el acceso, rectificación, actualización, pedido de confidencialidad
o supresión solicitada por el titular del dato, en función del orden o la seguridad pública, o de
la protección de los derechos o intereses de terceros cuando así lo disponga una autoridad
judicial a partir de una medida cautelar inscripta.
Asimismo, si al responder al requerimiento del titular del dato existieran
medidas cautelares judiciales o administrativas, inscriptas, vinculadas a la investigación
sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones del
control de la salud o del medio ambiente, la investigación de delitos y la verificación de sanciones
administrativas.
La resolución que deniegue el ejercicio de los derechos reconocidos por la
presente ley debe ser dispuesta por un funcionario de jerarquía equivalente o superior a Director
General, en forma fundada explicitando la medida que ampara la negativa y notificada al
titular del dato.
Sin perjuicio de lo establecido en los incisos anteriores, se debe brindar
acceso a los archivos, registros, bases o bancos de datos en la oportunidad en que el titular de
los datos tenga que ejercer su derecho de defensa.
TÍTULO V
OBLIGACIONES RELACIONADAS CON LOS DATOS PERSONALES ASENTADOS EN ARCHIVOS, REGISTROS, BASES O BANCOS DE DATOS
Artículo 16.- Confidencialidad - El responsable del archivo, registro, base
o banco de datos, el encargado del tratamiento y los usuarios de datos están obligados al
secreto profesional respecto de los datos personales sujetos a tratamiento y a guardar dicho secreto,
una vez finalizadas las funciones o actividades en virtud de las cuales dichos datos fueron
sometidos a tratamiento.
En el caso del encargado del tratamiento y de los usuarios de datos, tal
deber subsistirá aun después de finalizada su relación con el responsable del archivo, registro,
base o banco de datos.
El deber de secreto podrá ser relevado por resolución judicial cuando
medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud
pública.
Artículo 17.- Seguridad - El tratamiento de datos personales se sujetará a
las medidas de seguridad establecidas en la correspondiente normativa nacional.
El responsable del archivo, registro, base o banco de datos, el encargado
del tratamiento y los usuarios de datos deben adoptar todas las medidas técnicas y de
organización necesarias y adecuadas que impidan la adulteración, pérdida, destrucción y el
tratamiento o acceso no autorizado a los datos incluidos en sus archivos, registros, bases o bancos
de datos. Dichas medidas deberán garantizar un nivel de seguridad apropiado en relación con
la tecnología aplicada
y sus avances, con la naturaleza de los datos tratados y con los riesgos
propios del tratamiento.
Artículo 18.- Obligaciones del responsable del archivo, registro, base o
banco de datos -
Constituyen obligaciones del responsable del archivo, registro, base o
banco de datos, las siguientes:
a. Requerir y obtener el consentimiento del titular de los datos
personales, previo a su obtención y tratamiento, en los términos del artículo 7° de la presente ley.
b. Informar al titular de los datos, en forma expresa y clara, y bajo pena
de nulidad, previamente a recabar información referida a su persona, acerca de:
La existencia del archivo, registro, base o banco de datos, electrónico o
de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable;
La finalidad para la que serán tratados y quienes pueden ser sus
destinatarios o categorías de destinatarios.
El carácter obligatorio o facultativo de la respuesta a las preguntas que
le sean formuladas.
Las consecuencias que se deriven de proporcionar los datos, de la negativa
a hacerlo o de la inexactitud de los mismos.
La facultad y modo de ejercer los derechos de acceso, rectificación,
actualización y supresión de los datos que le confiere la presente ley.
Detalle sobre los órganos de aplicación de la presente ley.
c. Respetar en todo momento los principios generales de la protección de
datos personales.
d. Proceder en forma inmediata a la rectificación, actualización o
supresión, de los datos personales cuando fueran total o parcialmente inexactos, incompletos, o
desactualizados.
e. Registrar sus archivos, registros, bases o bancos de datos en el
Registro de Datos creado por el organismo de control.
Artículo 19.- Obligaciones del encargado del tratamiento de datos - Le
asisten al encargado del tratamiento de datos personales los mismos deberes y obligaciones exigidas
al responsable del archivo, registro, base o banco de datos tanto respecto de la
confidencialidad y reserva que debe mantener sobre la información obtenida, como del respeto y cumplimiento a
los principios generales de la protección de datos personales.
El encargado del tratamiento sólo actúa siguiendo instrucciones del
responsable del tratamiento y no podrá, bajo ningún concepto, ceder los datos personales sometidos a
tratamiento, ni aun para su conservación.
Artículo 20.- Obligaciones del usuario de datos - Todas las personas que
actúen, trabajen, o presten servicios de cualquier tipo en o para algún órgano del sector
público de la Ciudad de Buenos Aires sólo podrán tratar los datos personales incorporados en los
archivos, registros, bases o bancos de datos de titularidad del órgano para o en el que desempeñen su
tarea, cuando así lo disponga el responsable del archivo, registro, base o banco de datos de que
se trate o en virtud de una obligación legal.
Quedan sujetos, al igual que los encargados del tratamiento a los mismos
deberes y obligaciones exigidos al responsable del archivo, registro, base o banco de datos, tanto
respecto de la
confidencialidad y reserva que debe mantener sobre la información obtenida,
como del respeto y cumplimiento a los principios generales de la protección de datos
personales.
El usuario de datos sólo podrá ceder los datos personales sometidos a
tratamiento siguiendo expresas instrucciones del responsable del tratamiento.
Artículo 21.- Valoraciones - Son nulos e inválidos los actos y decisiones
administrativos que impliquen una valoración del comportamiento o de la personalidad de las
personas fundada en el tratamiento de sus datos personales. Asiste al titular de los datos el
derecho a impugnar tales actos y decisiones, sin perjuicio de las demás acciones que le pudieran
corresponder.
El titular de los datos personales siempre tendrá derecho a conocer la
lógica del proceso de decisión automatizada explicado en términos simples y adecuados a su nivel
social y cultural.
TÍTULO VI
CONTROL
Artículo 22.- Organismo de control - Desígnase a la Defensoría del Pueblo
de la Ciudad de Buenos Aires como organismo de control de la presente ley.
Artículo 23.- Registro de datos personales - Créase en el ámbito de la
Defensoría del Pueblo de la Ciudad de Buenos Aires el Registro de Datos Personales, que tendrá las
siguientes funciones:
Llevar un registro de los archivos, registros, bases o bancos de datos
creados por el sector público de la Ciudad de Buenos Aires. A tal fin, establecerá el procedimiento de
inscripción, su contenido, modificación, cancelación, y la forma en que los ciudadanos podrán
presentar sus reclamos, de conformidad con lo establecido en el art. 4°, inc. 3° de la presente
ley.
Garantizar el acceso gratuito al público de toda la información contenida
en su registro. Velar por el cumplimiento de las disposiciones de la presente ley y por el
respeto de los derechos al honor, la autodeterminación informativa y la intimidad de las
personas.
Formular advertencias, recomendaciones, recordatorios y propuestas a los
responsables, usuarios y encargados de archivos, registros, bases o bancos de datos del sector
público de la Ciudad de Buenos Aires, a los efectos de lograr una completa adecuación y
cumplimiento de los principios
contenidos en la presente ley.
Proponer la iniciación de procedimientos disciplinarios contra quien estime
responsable de la comisión de infracciones al régimen establecido por la presente ley.
Recibir denuncias.
Formular denuncias y reclamos judiciales por sí, cuando tuviere
conocimiento de manifiestos incumplimientos de lo estipulado en la presente ley por parte de los
responsables, usuarios y/o encargados de los archivos, registros, bases o bancos de datos del sector
público de la Ciudad de Buenos Aires.
Representar a las personas titulares de los datos, cuando éstos se lo
requiriesen, a fin de hacer efectivo el derecho de acceso, rectificación, supresión y actualización,
cuando correspondiere, por ante el archivo, registro, base o banco de datos.
Asistir al titular de los datos, cuando éste se lo requiera, en los juicios
que, en virtud de lo establecido en la presente ley, entable por ante los tribunales de la
Ciudad de Buenos Aires.
Elaborar informes sobre los proyectos de ley de la Ciudad de Buenos Aires
que de alguna forma tengan impacto en el derecho a la privacidad y protección de los datos
personales.
Colaborar con la Dirección Nacional de Protección de Datos Personales y con
los correspondientes organismos de control provinciales en cuantas acciones y actividades sean
necesarias para aumentar el nivel de protección de los datos personales en el sector
público de la Ciudad de Buenos Aires.
Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Artículo 24.- Cualquier persona podrá conocer la existencia de archivos,
registros, bases o bancos de datos personales, su finalidad, la identidad y domicilio del
responsable, destinatarios y categorías de destinatarios, condiciones de organización, funcionamiento,
procedimientos aplicables, normas de seguridad, garantías para el ejercicio de los
derechos del titular de los datos así como toda otra información registrada.
El organismo de control procederá, ante el pedido de un interesado o de
oficio ante la sospecha de una ilegalidad, a verificar el cumplimiento de las disposiciones legales y
reglamentarias en orden a cada una de las siguientes etapas del uso y aprovechamiento de datos
personales:
a. Legalidad de la recolección o toma de información personal;
b. Legalidad en el intercambio de datos y en la transmisión a terceros o en
la interrelación entre ellos;
c. Legalidad en la cesión propiamente dicha;
d. Legalidad de los mecanismos de control interno y externo del archivo,
registro, base o banco de datos.
TÍTULO VII
INFRACCIONES
Artículo 25.- Se consideran infracciones las siguientes:
Realizar el tratamiento de datos desconociendo los principios establecidos
en los Títulos III y IV del presente cuerpo normativo.
Incumplir las obligaciones descriptas en el Título V.
No proceder a solicitud del titular de los datos, o del organismo de
control a la supresión, rectificación y actualización de los datos personales en los supuestos,
tiempo y forma establecidos en esta ley.
Obstaculizar o impedir el derecho de acceso reconocido en esta ley al
titular o al organismo de control en los supuestos, tiempo y forma que la misma estipula.
Ceder datos personales en infracción a los requisitos que se establecen en
la presente ley.
Crear archivos, registros, bases o bancos de datos, ponerlos en
funcionamiento y/o iniciar el tratamiento de datos personales sin el cumplimiento de los requisitos
establecidos en esta ley.
No cumplimentar los demás extremos o requisitos que esta ley establece, así
como aquellos que el organismo de control establezca en ejercicio de su competencia.
Obstruir las funciones que por esta ley se le reconocen al organismo de
control.
Tratar los datos de carácter personal de un modo que lesione, violente o
desconozca los derechos a la privacidad, autodeterminación informativa, imagen, identidad, honor
así como cualquier otro derecho de que sean titulares las personas físicas o de existencia
ideal.
La reglamentación determinará las condiciones y procedimientos para la
aplicación de las sanciones previstas, las que deberán graduarse en relación a la gravedad y
extensión de la violación y de los perjuicios derivados de la infracción, garantizando el
principio del debido proceso.
TÍTULO VIII
SANCIONES
Artículo 26.- Responsabilidad - Los responsables, usuarios, encargados o
cesionarios de archivos, registros, bases o bancos de datos del sector público de la Ciudad de
Buenos Aires que en forma arbitraria obstruyan el ejercicio de los derechos que la presente ley le
reconoce a los ciudadanos serán considerados incursos en falta grave.
En caso de comisión de alguna de las infracciones previstas en el art. 25
de esta ley, en la Ley Nacional N° 25.326, su reglamentación y/o sus modificaciones, y sin
perjuicio de las responsabilidades administrativas; de la responsabilidad por daños y
perjuicios y/o de las sanciones penales que pudieran corresponder, el organismo de control
dictará resolución recomendando al órgano del cual dependa jerárquicamente el archivo,
registro, base o banco de datos en el que se hubiera verificado la infracción:
a. La adopción de las medidas que proceda adoptar para que cesen o se
corrijan los efectos de la infracción. Dicha resolución se comunicará al responsable del archivo,
registro, base o banco de datos, al órgano del cual dependa jerárquicamente, al titular del
dato y, cuando corresponda, a los encargados del tratamiento y cesionarios de los datos
personales.
b. La aplicación de las pertinentes sanciones administrativas a los
responsables de la infracción individualizando al responsable, los hechos y los perjudicados.
c. En caso de comisión de alguna de las infracciones previstas en el art.
25 de esta ley por parte de un tercero encargado de realizar tratamientos de datos personales en
virtud a un contrato celebrado de acuerdo a lo previsto por el art. 5° de esta ley, de acuerdo
al tipo de infracción de que se trate, serán de aplicación con respecto al contratista infractor,
las sanciones establecidas por la Ley Nacional N° 25.326, su reglamentación y/o sus
modificaciones.
d. Cumplida la recomendación del organismo de control, el Poder Ejecutivo
deberá abrir un sumario administrativo para determinar si existió o no una infracción a la
presente ley y dicha conclusión deberá ser informada a la Defensoría del Pueblo.
Artículo 27.- Inmovilización de archivos, registros, bases o bancos de
datos - En los supuestos constitutivos de infracción contemplados en los incisos e) y f) del
artículo 25 de la presente ley, el organismo de control podrá requerir al órgano del cual dependa
jerárquicamente el archivo, registro, base o banco de datos en el que se hubiera cometido la
infracción, la cesación en la utilización o cesión ilícita de los datos personales y, en caso de
corresponder, la inmovilización del archivo, registro, base o banco de datos hasta tanto se restablezcan los
derechos de los titulares de datos afectados.
TÍTULO IX
ACCIÓN DE PROTECCIÓN DE DATOS
Artículo 28.- Procedencia - La acción de protección de los datos personales
o de hábeas data, de conformidad con lo dispuesto por el art. 16 de la Constitución de la Ciudad
de Buenos Aires procederá:
a. Para tomar conocimiento de los datos personales almacenados en archivos,
registros o bancos de datos del sector público de la Ciudad de Buenos Aires, su fuente,
origen, finalidad o uso que del mismo se haga.
b. En los casos en que se presuma la falsedad, inexactitud,
desactualización de la información de que se trata, o el tratamiento de datos en infracción de la Ley Nacional
N° 25.326 o la presente ley, para exigir su rectificación, supresión, confidencialidad o
actualización.
c. En los casos de incumplimiento de las disposiciones previstas en la
presente ley.
El ejercicio de este derecho no afecta el secreto de la fuente de
información periodística. Cuando el pedido de acceso sea relativo a información pública y no a datos
personales, será de aplicación la Ley N° 104 de la Ciudad de Buenos Aires.
Artículo 29.- Legitimación activa - La acción de protección de los datos
personales o de hábeas data podrá ser ejercida por el afectado, sus tutores o curadores y los
sucesores de las personas físicas, sean en línea directa o colateral hasta el segundo grado, por sí o
por intermedio de apoderado.
Cuando la acción sea ejercida por personas de existencia ideal, deberá ser
interpuesta por sus representantes legales, o apoderados que éstas designen al efecto.
En el proceso podrá intervenir en forma coadyuvante el organismo de control
designado por esta ley.
Artículo 30.- Jurisdicción y procedimiento aplicable - La acción de
protección de datos tramitará según las disposiciones de la presente ley y supletoriamente por el
procedimiento que corresponde a la acción de amparo ante el Fuero Contencioso Administrativo de la Ciudad
de Buenos Aires, las disposiciones del Código Procesal Contencioso, Administrativo y Tributario
de la Ciudad de Buenos Aires relativas al procedimiento sumarísimo.
Artículo 31.- Requisitos de la demanda -
1. La demanda deberá interponerse por escrito, individualizando con la
mayor precisión posible el nombre y domicilio del archivo, registro o banco de datos y, en su caso,
el nombre del responsable y/o encargado y/o usuario del mismo y el organismo del cual,
eventualmente, dependan.
2. El accionante deberá alegar las razones por las cuales entiende que en
el archivo, registro o banco de datos individualizado obra información referida a su persona, en
los casos del art. 28 inc. b); los motivos por los cuales considera que la información que le
atañe resulta discriminatoria, falsa o inexacta y justificar que se han cumplido los
recaudos que hacen al ejercicio de los derechos que le reconoce la presente ley. Deberá acompañar
con el escrito de demanda la prueba documental que funde su pedido.
3. El accionante podrá solicitar que mientras dure el procedimiento, el
registro o banco de datos asiente que la información cuestionada está sometida a un proceso
judicial.
4. El juez podrá disponer el bloqueo provisional del archivo en lo
referente al dato personal motivo del juicio cuando sea manifiesto el carácter discriminatorio, falso
o inexacto de la
información de que se trate.
5. A los efectos de requerir información al archivo, registro o banco de
datos involucrado, el criterio judicial de apreciación de las circunstancias requeridas en los
puntos 1 y 2 debe ser
amplio.
Artículo 32.- Trámite -
1. Interpuesta la acción, el juez deberá pronunciarse en el término de tres
(3) días sobre su procedencia formal, pudiendo dar vista al fiscal. Esta vista no suspende el
curso del plazo.
2. Admitida la acción el juez requerirá al archivo, registro o banco de
datos la remisión de la información concerniente al accionante. Podrá asimismo solicitar informes
sobre el soporte técnico de datos, documentación de base relativa a la recolección y
cualquier otro aspecto que resulte conducente a la resolución de la causa que estime
procedente.
3. El plazo para contestar el informe no podrá ser mayor de cinco días
hábiles, el que podrá ser ampliado prudencialmente por el juez.
Artículo 33.- Confidencialidad de la información - Cuando el responsable
y/o encargado y/o usuario de un archivo, registro o banco de datos público se oponga a la remisión
del informe solicitado con invocación de las excepciones al derecho de acceso, rectificación o
supresión, autorizadas por la presente ley o por una ley específica; deberá acreditar los extremos que
hacen aplicable la excepción legal. En tales casos, el juez podrá tomar conocimiento personal
y directo de los datos solicitados asegurando el mantenimiento de su confidencialidad.
El juez de la causa evaluará con criterio restrictivo toda oposición al
envío de la información sustentada en las causales mencionadas. La resolución judicial que insista
con la remisión de dato será apelable dentro del segundo día de notificada. El recurso se
interpondrá fundado. La apelación será denegada o concedida en ambos efectos dentro del segundo
día. En caso de ser concedida será elevada a la Cámara de Apelaciones dentro del mismo
día.
Artículo 34.- Contestación del informe - Al contestar el informe, el
responsable y/o encargado y/o usuario del archivo, registro o banco de datos deberá expresar las razones
por las cuales incluyó la información cuestionada y aquellas por las que no evacuó el pedido
efectuado por el interesado, de conformidad a lo establecido en los artículos 13 a 15 de la ley.
Artículo 35.- Ampliación de la demanda - Contestado el informe, el actor
podrá, en el término de tres días, ampliar el objeto de la demanda solicitando la supresión,
rectificación, confidencialidad o actualización de sus datos personales, en los casos que resulte procedente
a tenor de la presente ley, ofreciendo en el mismo acto la prueba pertinente. De esta presentación
se dará traslado al demandado por el término de tres (3) días.
En caso de que el requerido manifestara que no existe en el registro o
banco de datos información sobre el accionante y éste acreditará por algún medio de prueba que tomó
conocimiento de ello, podrá solicitar las medidas cautelares que estime corresponder de
conformidad con las prescripciones del Código Contencioso Administrativo y Tributario.
Artículo 36.- Sentencia -
1. Vencido el plazo para la contestación del informe o contestado el mismo,
y en el supuesto del
artículo 35, luego de contestada la ampliación, y habiendo sido producida
en su caso la
prueba, el juez dictará sentencia.
2. En el caso de estimarse procedente la acción, se especificará si la
información debe ser suprimida, rectificada, actualizada o declarada confidencial, estableciendo
un plazo para su cumplimiento.
3. El rechazo de la acción no constituye presunción respecto de la
responsabilidad en que hubiera podido incurrir el accionante.
4. Sólo serán apelables para ambas partes la sentencia definitiva, y en
caso del accionante, también la que declare la inadmisibilidad formal de la acción.
5. En cualquier caso, la sentencia deberá ser comunicada al organismo de
control designado por esta ley, que deberá llevar un registro al efecto e incluir el caso en
el informe anual previsto por el art. 23, inciso n).
6. En caso de incumplirse con la sentencia, y sin perjuicio de su ejecución
forzosa, el juez podrá disponer, a pedido de parte, la aplicación de sanciones conminatorias o
astreintes.
TÍTULO X
DISPOSICIONES PARTICULARES
Artículo 37.- Prestación de servicios sobre solvencia patrimonial y de
crédito - Los organismos, empresas o dependencias del sector público de la Ciudad de Buenos Aires que
se dediquen a la prestación de servicios de información sobre solvencia patrimonial y de
crédito quedan sujetos al
régimen de la presente ley y, en lo que a la prestación de dichos servicios
se refiere, a las disposiciones específicas de la Ley Nacional N° 25.326, la que resulte
más favorable al titular del dato registrado.
Artículo 38.- Privacidad laboral en el ámbito del sector público de la
Ciudad de Buenos Aires - Se entiende por correo electrónico toda correspondencia, mensaje, archivo,
dato u otra información electrónica que se transmite a una o más personas por medio de una red de
interconexión entre computadoras o dispositivos equiparables.
Cuando el correo electrónico sea provisto por un organismo del sector
público de la Ciudad de Buenos Aires a sus dependientes en función de una relación laboral, se
entenderá que la titularidad del mismo corresponde al empleador, independientemente del nombre y clave
de acceso que sean necesarias para su uso.
El empleador se encuentra facultado para acceder y controlar toda la
información que circule por dicho correo electrónico laboral, como asimismo a prohibir su uso para
fines personales.
El ejercicio de estas facultades por parte del empleador, así como las
condiciones de uso y acceso al correo electrónico laboral, deberá ser notificado por escrito al
trabajador, al momento de poner a su disposición el correo electrónico o en cualquier oportunidad posterior,
como requisito previo a su
ejercicio.
El empleador deberá asimismo notificar fehacientemente a sus dependientes,
la política establecida respecto del acceso y uso de correo electrónico personal, así
como del uso de internet en el lugar de trabajo.
El incumplimiento de las órdenes emanadas del superior con respecto a la
política de uso de correo electrónico y de internet en lugar de trabajo según lo previsto en esta
norma, será sancionado de conformidad con lo dispuesto en los arts. 10 y 47 de la Ley N° 471 (Ley de
Relaciones Laborales en la Administración Pública de la Ciudad Autónoma de Buenos Aires).
Abogacía Digital - Información útil para el ejercicio contemporáneo de la Abogacía.
