Ley Hábeas Data: Ley de Protección de Datos Personales.

Transcripción

1 1 Ley Hábeas Data: Ley de Protección de Datos Personales. Disposiciones Generales: Objeto: La presente ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre. Las disposiciones de la presente también son aplicables a personas ideales. Definiciones: Datos personales: información de cualquier tipo, referida a personas físicas o de existencia ideal. Datos sensibles: datos personales que revelen: origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud y a la vida sexual. Archivo, registro, base o banco de datos: conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento electrónico o no, cualquiera fuere la modalidad de almacenamiento, organización y acceso. Tratamiento de Datos: operaciones y procesamientos sistemáticos o electrónicos, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción; así como también su sesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias. Responsable del archivo, registro, base o banco de datos: persona física o ideal, pública o privada, que es titular del mismo. Datos informatizados: datos personales sometidos al tratamiento electrónico o automatizado. Titular de los datos: persona física o ideal con domicilio legal, delegaciones o sucursales en el país, cuyos datos sean objeto de tratamiento. Usuario de datos: persona pública o privada que realice a su arbitrio el tratamiento de los datos, ya sea en archivos propios o a través de conexiones a los mismos. Disociación de datos: tratamiento de datos personales, de manera que la información obtenida no pueda asociarse a persona determinada. Principios Generales Relativos a la Protección de Datos: La formación de archivo de datos será lícita cuando se encuentre debidamente inscripto. Los archivos de datos no pueden tener finalidades diferentes a las leyes o a la moral pública. Los datos personales, objeto de tratamientos, deben ser; ciertos, adecuados, pertinentes y no excesivos, exactos y actualizados. Y no deben ser utilizados para finalidades distintas a las que motivaron su recolección. Los datos inexactos o incompletos, deben ser suprimidos y sustituidos o completados por el responsable del archivo.

2 2 Los datos deben ser almacenados de modo que permitan el acceso a su titular. Los datos deben ser destruidos cuando hayan dejado de ser necesarios. El tratamiento de datos personales es ilegal, cuando, el titular no presta su consentimiento libre y expreso. No será necesario el consentimiento cuando. Los datos se obtienen de fuentes públicas. Se trate de listados cuyos datos se limiten a: nombre, documento nacional de identidad, identificación tributaria, ocupación, fecha de nacimiento o domicilio. Deriven de una relación contractual, científica o profesional del titular y resulten necesarios para su desarrollo o cumplimiento. Cuando se recaben datos personales, se deberá informar a su titular en forma expresa y clara: la finalidad para la que serán tratados, y quienes pueden ser sus destinatarios. Además se deberá informar la existencia del archivo electrónico o de cualquier otro tipo y la identidad y domicilio de su responsable. En el caso de que se propongan cuestionarios, se debe informar el carácter obligatorio o facultativo de las respuestas. Como así también, las consecuencias de proporcionar los datos, de la negativa de hacerlo o de la inexactitud de los mismos. Ninguna persona puede ser obligada a proporcionar datos sensibles. Los cuales solo pueden ser recolectados y tratados cuando medien razones autorizadas por ley. También podrán ser tratados con finalidades estadísticas o científicas cuando no es posible identificar a sus titulares. El responsable o usuario del archivo de datos, debe adoptar todas las medidas técnicas y organizativas necesarias para garantizar la confidencialidad y seguridad de los datos personales; para evitar su: adulteración, pérdida, consulta o tratamiento no autorizado; y que permitan detectar desviaciones intencionales o no de información, provenientes de la acción humana o el medio técnico utilizado. Queda prohibido registrar datos personales en archivos, que no reúnan condiciones técnicas de seguridad y confidencialidad. El responsable y las personas que intervienen en cualquier fase del tratamiento de los datos personales, están obligados al secreto profesional de los mismos. La obligación continúa aún después de finalizada la relación con el titular de los datos. Aunque podrán ser relevados del deber de secreto por: resolución judicial, o cuando medien razones de seguridad pública o defensa nacional. Los datos personales, objeto de tratamiento, solo podrán ser cedidos para el cumplimiento de los fines relacionados con el interés legítimo del cedente y el cesionario y con el consentimiento del titular, al que se le debe informar sobre la finalidad de la sesión, identificar al cesionario y los elementos que permitan hacerlo. Asimismo el consentimiento para la sesión es revocable.

3 3 El consentimiento no es exigido cuando: se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables. Derechos de los titulares de datos: Toda persona puede solicitar información al organismo de control relativo a la existencia de archivos de datos personales, sus finalidades y la identidad de sus responsables. El registro que se lleve al efecto será de consulta pública y gratuita. El titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales, de archivos públicos o privados. El responsable debe proporcionar la información dentro de los 10 días posteriores, corridos. Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, éste se estimara insuficiente, quedará expedita la acción de protección de los datos personales o de hábeas data prevista en esta ley. La información debe ser suministrada en forma clara, exenta de codificaciones y en su caso acompañada de una explicación, de los términos que se utilicen, en un lenguaje accesible. El responsable del banco de datos, debe proceder a la rectificación, supresión o actualización de los datos personales del afectado, realizando las operaciones necesarias a tal fin en el plazo máximo de cinco días hábiles de recibido el reclamo del titular de los datos o advertido el error o falsedad. Durante este proceso el responsable del archivo deberá bloquearlo. La operación se deberá realzar en forma gratuita. Los responsables de bases de datos públicas pueden, mediante decisión fundada, denegar el acceso a estas operaciones, en función de la protección de la defensa de la nación o derechos de terceros. Usuarios responsables de archivos de datos: Todo archivo público y privado destinado a brindar informes, debe inscribirse en el registro que al efecto habilite el organismo de control. El registro del archivo de datos debe comprender como mínimo la siguiente información: Nombre y domicilio del responsable Características y finalidad del archivo Naturaleza de los datos personales contenidos en el archivo Forma de recolección y actualización de datos Destino de los datos y personas físicas o ideales a las que pueden ser transmitidos. Modo de interrelacionar la información registrada. Medios utilizados para garantizar la seguridad de los datos. Tiempo de conservación de los datos. Formas y condiciones en que las personas pueden acceder a los datos referidos a ellas. Ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro. Los particulares que formen archivos que no sean para un uso exclusivamente personal deberán registrarse de igual manera.

4 4 En la prestación de servicios de información crediticia sólo pueden tratarse datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por el interesado o con su consentimiento. En cuanto a los archivos con fines de publicidad: el titular podrá en cualquier momento solicitar el retiro o bloqueo de su nombre. Las normas de la presente ley no se aplican a archivos de encuestas de opinión, mediciones y estadísticas (conforme a la ley 17622). El órgano de control será responsable de imponer las sanciones administrativas que correspondan, por la violación a las normas y reglamentaciones de la presente ley. Éste gozará de autonomía y actuará como órgano descentralizado en el ámbito del ministerio de justicia y derechos humanos de la nación. Las asociaciones o entidades representativas de los responsables de bancos de datos de titularidad privada, podrán elaborar códigos de conducta de práctica profesional, que establezcan normas, para asegurar y mejorar las condiciones de operación de los sistemas de información, en función de los principios establecidos por la presente ley. Dichos códigos deberán ser inscriptos en los registros que al efecto lleve el organismo de control, quien podrá denegar la inscripción cuando considere que no se ajustan a las disposiciones legales. Sanciones Penales: Será reprimido con la pena de prisión de un mes a dos años, el que, a sabiendas inserte o hiciere insertar datos falsos en un archivo de datos personales. La pena será de 6 meses a 3 años, para el que proporcione a sabiendas, a un tercero, información falsa contenida en un archivo de datos personales. Según el código penal, será reprimido con la pena de prisión de 1 mes a 2 años, el que: A sabiendas o violando sistemas de confidencialidad y seguridad de datos, acceda de cualquier forma a un archivo de datos personal. Revele a otros, información de un archivo de datos personal, cuyo secreto estuviere obligado por una ley. Si el autor es funcionario público sufrirá penas de inhabilitación de sus funciones.

5 5 Ley Sarbanes Oxley: SOX: La ley estadounidense Sarbanes-Oxley Act tiene como objetivo generar un marco de transparencia para las actividades y reportes financieros de las empresas que cotizan en Bolsa, y darle mayor certidumbre y confianza a inversionistas y al propio Estado. Además, aborda los defectos y lagunas del sistema de información financiera empresarial, que permitió por ejemplo, los escándalos fiscales de Enron, Global Crossing y WorldCOM. Afecta directamente a toda empresa pública de los Estados Unidos y sus subsidiarias en todo el mundo, así como a empresas extranjeras que coticen en cualquier Bolsa de Valores en los Estados Unidos. Fue propuesta por el diputado Michael G. Oxley y el Senador Paul S. Sarbanes en el Congreso estadounidense para el control de las auditorias financieras. SOX contempla una revisión rigurosa de los datos que una empresa declara en sus estados financiero contables, que utiliza para sus controles internos, y no solamente abarca fraudes por falsedad en las declaraciones, sino también por inferencia, y todos los casos de fraude en los que se desvirtúen de manera importante los estados financieros, como la malversación de activos, corrupción, entre otros. Las multas por proveer información falsa o incorrecta son muy severas, y pueden llegar al extremo de encarcelar a los ejecutivos de la empresa, o que ésta sea retirada de la Bolsa de Valores en que cotiza. Además exige contar con un canal de denuncias de irregularidades por parte de los empleados, accionistas proveedores, etc. para que las mismas sean tratadas por el Comité de Auditoría. Requisitos principales: Los requisitos más importantes que exige la nueva ley son los siguientes: Establecer un nuevo consejo de vigilancia, supervisado por la SEC (Security Exchange Comisión - Comisión de Valores de Estados Unidos). Definir nuevas funciones y responsabilidades para el comité de auditoría, que debe tener miembros independientes a la administración. Nuevas reglas para la conformación de los Consejos de Administración, para que incluyan personas ajenas al grupo de control de la empresa. Que los directivos acompañen los reportes con una certificación personal, en general se incrementan las responsabilidades de los directores generales y de los directores de finanzas. Código de ética para los altos funcionarios de la organización. Definir un esquema de medición del control interno que se aplique constantemente. Que los directivos certifiquen el buen funcionamiento de sus sistemas de control interno. Establecer nuevos requerimientos de información, que abarcan cuestiones no financieras y financieras que no aparecen en los estados respectivos. El auditor externo tiene que verificar la certificación del control interno y emitir un dictamen al respecto. Rotación de los auditores cada cinco años. Especificar los servicios que no podrán ser realizados por los auditores externos. Reforzar penas por fraudes corporativos y de personal administrativo. Emitir reglas sobre conflictos de interés. Nuevos esquemas de administración de riesgos.

6 6 Los siguientes son 3 de los artículos mas comentados de esta ley: 1. Artículo 203 Responsabilidad de la Compañía por los Reportes Financieros : establece los lineamientos bajo los cuales los CEOs (Gerente General) y CFOs (Gerente General de Finanzas) deberán realizar la certificación anual del control interno implementado en las compañías; deben: Hacerse responsable por la certificación de controles y procedimientos Diseñar o supervisar el diseño de la certificación de controles, para conocer la información contenida. Evaluar la eficiencia de los controles, procedimientos y cambios importantes realizados en el control interno para la emisión de los estados financieros. Presentar sus conclusiones en relación con la efectividad del control interno. Informar al comité de auditoría y a los auditores externos cualquier deficiencia en el control interno, debilidad material y actos de fraude que involucren a la gerencia o a otros empleados que realicen actividades de control interno. Indicar en el archivo de documentación cualquier cambio realizado en el control interno. 2. Artículo 404 Evaluación de la Gerencia de los Controles Internos : establece obligaciones por parte de la Gerencia de la compañía, en emitir un informe anual sobre la evaluación del control interno de cada uno de los procesos de negocio y cómo se asegura la adecuada emisión de los reportes financieros de la corporación. El informe a ser emitido, debe contener los siguientes componentes: Una declaración de que la Gerencia de la compañía es responsable por el diseño, aplicación y mantenimiento de un control interno adecuado sobre la emisión de reportes financieros. Una declaración que explique el marco de control interno adoptado por la compañía para la evaluación de la efectividad del control interno sobre la emisión de reportes financieros. Una evaluación y juicio sobre el diseño y efectividad del control interno de la compañía sobre la emisión de reportes financieros. Una declaración de cualquier debilidad material detectada durante la evaluación del control interno de la compañía sobre la emisión de los reportes financieros. Un informe de los auditores externos de la compañía opinando con relación a la evaluación realizada por la Gerencia de la compañía sobre el control interno para la emisión de los reportes financieros Las organizaciones no sólo deben asegurar el adecuado funcionamiento del control interno, incluyendo los controles de Tecnología de Información (IT), sino que también deberán proveer a sus auditores externos la documentación necesaria que respalde la evaluación y la decisión final de la alta Gerencia sobre el control interno. 3. Artículo 409 Tiempo Real de Relevaciones del Emisor : establece a las compañías identificar y revelar puntualmente los cambios en su situación u

7 7 operaciones financieras, con el fin de proteger a sus inversionistas y el interés público. El marco de control interno sugerido para cumplir con los lineamientos establecidos por la Ley SOX, es el diseñado por el Comité of Sponsoring Organization of Treadway Comision (COSO), Marco de Control Interno COSO. Cuyos Componentes son: Ambiente de Control: entre los factores que pudiesen incidir se encuentran: integridad y valores morales del personal, compromiso para contratar y mantener personal de calidad, capacidad para identificar riesgos operacionales, adiestramiento especializado para la aplicación de controles internos y los roles desempeñados por la junta y el comité de auditoría. Evaluación de Riesgos: Incluye procedimientos para identificar cambios externos que puedan afectar el negocio, herramientas y metodologías para la identificación, evaluación y medición de los riesgos operacionales y evaluación periódica de dichos riesgos en las diversas áreas de la organización. En este sentido, se establecen los siguientes objetivos de la evaluación del riesgo: existencia, totalidad, derechos y obligaciones, evaluación, presentación, divulgación y segregación de funciones. Actividades de Control: La Ley SOX requiere la evaluación de las actividades de control para cada actividad relevante del negocio. Las actividades de control incluyen administración de los riesgos operacionales en los procesos de negocio, control de acceso a los sistemas de información y recursos informáticos, así como la existencia de controles para mitigar errores operacionales. Adicionalmente, exige una evaluación de los controles generales de cómputo, asociados al área de IT. Información y Comunicación: Incluye el despliegue de información suficiente para la toma de decisiones, información adecuada y oportuna de los sistemas de información, comunicación apropiada entre los Departamentos para la coordinación de actividades conjuntas, así como la disponibilidad de medios para comunicar irregularidades y resultados a la Alta Gerencia de la organización. Monitoreo: Un sistema de control necesita ser monitoreado para asegurar que el mismo continúa operando efectivamente. Esto incluye actividades de supervisión, así como la labor desempeñada por Auditoría Interna. El seguimiento incluye el monitoreo permanente entre los indicadores de riesgos operacionales y situaciones críticas, seguimiento periódico a la efectividad de los controles implantados, así como la disponibilidad de herramientas para el monitoreo de los riesgos operacionales y su impacto.