El 31 de diciembre de 2020, el Boletín Oficial publicó la Resolución AAIP 332/2020, que aprobó la nueva Guía de Fiscalización en materia de datos personales, junto con los los Lineamientos Jurídicos y Técnicos de Inspección, con el fin de controlar el cumplimiento de la Ley de Protección de Datos Personales Nº 25.326 (en adelante, LPDP). Esta resolución deroga el viejo régimen de inspecciones.

1. Guía de fiscalización en materia de datos personales

La guía establece que el objetivo de la Agencia de Acceso a la Información Pública (AAIP) es la fiscalización, investigación y control de las actividades del usuario o responsable del tratamiento de datos personales, para determinar su cumplimiento de la LPDP.

La fiscalización abarca tanto aspectos jurídicos como técnicos. Los aspectos generales que deben evaluarse son:

• Licitud del tratamiento
• Calidad de los datos personales tratados
• Consentimiento del titular del dato
• Información
• Categorías especiales de datos
• Seguridad
• Confidencialidad
• Cesión y transferencia internacional de datos personales
• Prestación de servicios de información crediticia
• Tratamiento de datos con fines de publicidad
• Procedimientos para el ejercicio de los derechos de los titulares de los datos personales, acceso, rectificación, actualización o supresión.

Además, de corresponder, se tendrán en cuenta estos otros aspectos:

• Existencia de una evaluación de impacto en materia de protección de datos personales
• Términos, condiciones y política de privacidad del responsable
• Actuación del responsable o delegado de protección de datos
• Sistema de notificaciones a los titulares de datos y a la Agencia de Acceso a la Información Pública en caso de incidentes de seguridad.

En cuanto al tipo de inspecciones que puede llevar adelante la AAIP, la guía establece que pueden ser planificadas o espontáneas. En ambos casos, la AAIP puede determinar analizar únicamente ciertos aspectos relacionados al tratamiento de los datos personales.

Toda persona o compañía podrá presentar una denuncia ante la AAIP para que ésta investigue la posible infracción a la LPDP. La Dirección de Protección de Datos Personales decidirá si corresponde avanzar con la investigación, en cuyo caso le dará curso de inspección espontánea, manteniendo la denuncia en carácter reservado.

La AAIP deberá implementar una planificación anual de inspecciones y seleccionar los responsables a ser inspeccionados siguiendo criterios objetivos que pueden ordenarse por sectores o grupos. La cantidad de inspecciones a efectuarse se debe definir teniendo en cuenta los siguientes parámetros, sin perjuicio de otros que pudieren corresponder:

• Impacto del tratamiento de datos en la privacidad de las personas
• Volumen del tratamiento de datos
• Clase de datos tratados
• Cantidad de denuncias recibidas por el organismo
• Gravedad de las denuncias recibidas
• Actividad que desarrolla

El proceso de selección de los responsables a inspeccionarse se deberá sustanciar en un expediente administrativo, en el que el director de la AAIP, a propuesta de la Dirección Nacional de Protección de Datos Personales, dejará constancia de los criterios objetivos utilizados e identificará el sector o grupo que será objeto de inspección.

Para el procedimiento de inspección, la AAIP iniciará un expediente por cada responsable inspeccionado a quien se le notificará del inicio del trámite e indicará la información o documentación que deba presentar en un plazo de 10 días administrativos. Si el inspeccionado cuenta con un responsable de protección de datos, deberá informarlo a la AAIP en su primera presentación. Recibida la información requerida, o vencido el plazo para hacerlo, se programará la visita de la inspección con una antelación de al menos 5 días hábiles administrativos. De forma excepcional, ante una decisión fundada, se podrá omitir el requisito de notificación previa para la inspección.

Los inspectores asignados deberán presentarse en el domicilio del responsable, identificarse, explicar el objetivo del procedimiento y verificar la identidad del responsable y/o su representante. 

Los inspectores que participen elaborarán un acta en la que dejarán asentada su actuación, incluyendo las observaciones y requerimientos que correspondan, sin perjuicio de los que se puedan hacer de forma posterior. El acta debe ser firmada por el investigado y/o su representante, y por los inspectores (dejando constancia si el investigado y/o su representante se negase a firmar).

Los inspectores estarán facultados para solicitar informes o documentación, realizar consultas e instar visitas adicionales, en la medida en que resulten útiles para la investigación, hasta el momento del informe final.

Si los inspectores necesitasen acceder a locales, equipos o programas de tratamiento de datos, deberán contar con la cooperación y el consentimiento del investigado. Si el investigado se negase, la AAIP decidirá si corresponde solicitar autorización judicial o iniciar el proceso sancionatorio. La autorización judicial también podrá pedirse de manera anticipada en caso de falta de cooperación del investigado.

La autorización judicial también está prevista para el supuesto en el que el investigado responsable de tratamiento se encuentre fuera del territorio argentino, en cuyo caso la AAIP podrá utilizar cualquiera de los mecanismos formales o informales de cooperación internacional que hayan sido habilitados por la normativa vigente.

En cuanto a las técnicas de investigación, la Guía prevé las técnicas verbales (entrevistas), oculares (las que permitan ser constatadas visualmente), documentales y técnicas (mediante acciones destinadas a controlar la observancia de las normas de integridad y seguridad aplicadas al tratamiento de datos personales).

Los inspectores que intervengan deben garantizar la seguridad y confidencialidad de toda la información a la que acceden y de las pruebas que recolecten.

Por último, una vez terminadas las tareas de fiscalización y control, en un plazo de 10 días hábiles administrativos los inspectores deberán elaborar su informe final, en el que establecerán el nivel de cumplimiento del investigado. De no haber observaciones, se dará por terminado el procedimiento. De haber observaciones, se instará al investigado a cumplirlas en un plazo de 10 días hábiles administrativos. Vencido el plazo para dar respuesta, se levantará un informe para evaluar si corresponde continuar con el procedimiento, a fin de verificar posibles infracciones.

2. Lineamientos Jurídicos y Técnicos de Inspección

Por otro lado, los Lineamientos Jurídicos y Técnicos de Inspección contienen los lineamientos generales que los inspectores deben tener en cuenta para llevar adelante las inspecciones relativas a todos los aspectos de la LPDP.

En ese sentido, los lineamientos establecen que el inspector debe verificar:

• La licitud del tratamiento, tanto para los datos de carácter general como para los datos sensibles y/o los antecedentes penales
• Calidad de los datos
• La existencia de consentimiento (o excepciones aplicables), incluyendo el caso de menores de edad
• La información brindada a los titulares de los datos
• Aspectos de seguridad y confidencialidad
• Cesión de los datos
• Transferencia internacional
• Prestación de servicios de información crediticia
• Publicidad
• Derechos del titular de los datos

Ambos documentos tendrán gran importancia en los futuros procedimientos de la AAIP, ya que sirven de guía para los inspectores que lleven adelante las fiscalizaciones y permiten a los responsables de tratamiento revisar de antemano sus prácticas y prepararse para posibles inspecciones de la mejor manera.

El incumplimiento del régimen de la LPDP puede resultar en la imposición de sanciones de multa, clausura o cancelación del archivo, registro o banco de datos.

El texto completo de la Guía de Fiscalización en materia de datos personales puede leerse aquí.