Sistemas de Información para la Gestión

Transcripción

1 Unidad 2: Recursos de Tecnología de Información Información 1. La Información: Propiedades de la Información. Sistemas de Información. Bases de Datos. 2. Toma de decisiones y sistemas de información. Sistemas e apoyo a la toma de decisiones. Sistemas de apoyo a ejecutivos y en grupos 3. Bases de datos e información: Entorno tradicional de archivos. Bases de datos y toma de decisiones. 4. Impacto ético, social y legal en la gestión de los sistemas de información. Políticas de Información y aseguramiento de la calidad de datos. Impactos legales en los Sistemas de Información. Progra ma Unidad L y L 10ma Ed MC Práctica 1 Parte I Cap 1 a 4 P-Presentaciones DT-La Información v 2010 LyL LyL LyL LyL LyL LyL LyL

2 Índice de Contenido 1. El sistema de protección de datos personales Glosario Dirección Nacional de Protección de Datos Personales Principios Generales Seguridad de los datos Derechos de los titulares de datos Acción de protección de datos personales Fuentes de consultas

3 1. El sistema de protección de datos personales Introducción La protección de datos personales también conocido como habeas data (habeas traducido del latin significa guarda ; data traducido del inglés significa dato o información ) jurídicamente es una figura prevista en el articulo 43 de la constitución nacional que ha cobrado mayor relevancia como consecuencia del avance de la tecnología informática. Desde un enfoque organizativo el sistema de protección de datos personales es un conjunto de normas, políticas, técnicas, procedimientos, etc. destinadas a asegurar un contexto de seguridad, privacidad e integridad. Objetivos Asegurar un nivel adecuado al cumplimiento de las normas Ofrecer apoyo y asistencia a los interesados en el ejercicio de sus derechos Ofrecer vías adecuadas de recurso a quienes resulten perjudicados en el caso de que no se observen las normas Definición La protección integral de los datos personales garantiza el honor y la privacidad de la personas, como también el acceso a la información que sobre las mismas se registre. Escenario Jurídico El marco normativo vigente en nuestro país sobre protección de datos personales se compone de la siguiente forma: CONSTITUCION NACIONAL En su artículo 43 tenemos: toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquellos. No podrá afectarse el secreto de las fuentes de información periodística LEY Nº El 30 de Octubre de 2000 se promulga la ley de Protección de los datos personales por la cual se otorga al ciudadano común una facultad de control sobres sus datos personales mediante una serie de principios y derechos. Se establecen 3

4 obligaciones de los responsables de archivos. Se detallan sanciones; controles y en especial la acción de protección de los datos personales. DECRETO 1558/2001 Este decreto reglamenta la ley DISPOSICIONES DNPDP Comprende las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por la ley Son emitidas por la Dirección Nacional de Datos Personales (DNPDP) según el inciso b) del artículo 29 de la mencionada ley. 2. Glosario A continuación se transcribe el artículo 2 de la ley que establece a modo de glosario una serie de definiciones: Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables. Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual. Archivo, registro, base o banco de datos: Indistintamente, designan al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso. Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias. Responsable de archivo, registro, base o banco de datos: Persona física o de existencia ideal pública o privada, que es titular de un archivo, registro, base o banco de datos. Datos informatizados: Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado. 4

5 Titular de los datos: Toda persona física o persona de existencia ideal con domicilio legal o delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se refiere la presente ley. Usuario de datos: Toda persona, pública o privada que realice a su arbitrio el tratamiento de datos, ya sea en archivos, registros o bancos de datos propios o a través de conexión con los mismos. Disociación de datos: Todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable. 3. Dirección Nacional de Protección de Datos Personales La Dirección Nacional de Protección de Datos Personales es el órgano descentralizado del Ministerio de Justicia y Derechos Humanos de la Nación para el control de la Ley de Protección de Datos Personales. Ejerce las funciones encomendadas por la ley y su decreto reglamentario con plena independencia. Registro Nacional de Base de Datos Registro obligatorio de bases de datos públicas o privadas dispuesto en el inciso 1, articulo 21 de la Ley Nº Creado por la Dirección Nacional de Protección de Datos Personales. La obligación de registrarse alcanza a personas físicas o de existencia ideal privadas y públicas que sean titulares de bases de datos personales o realicen tratamiento de información personal Base de datos sujetas a inscripción Las bases de datos que deben inscribirse son las que excedan el uso exclusivamente personal y se destinen a dar informes. 4. Principios Generales El capítulo 2 de la ley de protección de datos establece una serie de principios generales que deben considerar tantos los responsables como usuarios de datos personales al momento de realizar tratamientos manuales y/o informáticos de los mismos. LICITUD BASE DE DATOS 5

6 El principio de la Licitud de las bases de datos se establece en el artículo 3: La formación de archivos de datos será lícita cuando se encuentren debidamente inscriptos, observando en su operación los principios que establece la presente ley y las reglamentaciones que se dicten en su consecuencia. Los archivos de datos no pueden tener finalidades contrarias a las leyes o a la moral pública. CALIDAD DE LOS DATOS El principio de la Calidad de los datos se establece en el artículo 4: 1. Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido. 2. La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la presente ley. 3. Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención. 4. Los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario. 5. Los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y sustituidos, o en su caso completados, por el responsable del archivo o base de datos cuando se tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate, sin perjuicio de los derechos del titular establecidos en el artículo 16 de la presente ley. 6. Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular. 7. Los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados. CONSENTIMIENTO El principio del Consentimiento se establece en el artículo 5: 1. El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias. El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 6 de la presente ley. 6

7 2. No será necesario el consentimiento cuando: a) Los datos se obtengan de fuentes de acceso público irrestricto; b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; c) Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio; d) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento; e) Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley INFORMACIÓN El principio de Información se establece en el artículo 6: Cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa y clara: a) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios; b) La existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable; c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos referidos en el artículo siguiente; d) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos; e) La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos. CATEGORÍA DE DATOS El principio de Categoría de datos se establece en el artículo 7: 1. Ninguna persona puede ser obligada a proporcionar datos sensibles. 7

8 2. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley. También podrán ser tratados con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares. 3. Queda prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la Iglesia Católica, las asociaciones religiosas y las organizaciones políticas y sindicales podrán llevar un registro de sus miembros. 4. Los datos relativos a antecedentes penales o contravencionales sólo pueden ser objeto de tratamiento por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas. DATOS RELATIVOS A LA SALUD El principio Datos relativos a la salud se establece en el artículo 8: Los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional. DEBER DE CONFIDENCIALIDAD El principio Deber de confidencialidad se establece en el artículo 10: 1. El responsable y las personas que intervengan en cualquier fase del tratamiento de datos personales están obligados al secreto profesional respecto de los mismos. Tal obligación subsistirá aun después de finalizada su relación con el titular del archivo de datos. 2. El obligado podrá ser relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública. CESIÓN El principio de Cesión se establece en el artículo 11: 1. Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que 8

9 se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo. 2. El consentimiento para la cesión es revocable. 3. El consentimiento no es exigido cuando: a) Así lo disponga una ley; b) En los supuestos previstos en el artículo 5 inc iso 2; c) Se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias; d) Se trate de datos personales relativos a la salud, y sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados; e) Se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables. 4. El cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate. TRANSFERENCIA INTERNACIONAL El principio de Transferencia internacional se establece en el artículo 12: 1. Es prohibida la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados. 2. La prohibición no regirá en los siguientes supuestos: a) Colaboración judicial internacional; b) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica, en tanto se realice en los términos del inciso e) del artículo anterior; c) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable; 9

10 d) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte; e) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico. 5. Seguridad de los datos El principio de Seguridad de los datos merece un apartado propio porque se trata de un aspecto relevante y crítico para el logro de ese contexto de seguridad, privacidad e integridad. El artículo 9 establece: 1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. 2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad. Estas medidas técnicas y organizativas fueron normadas por la Dirección Nacional de Protección de datos personales a través de la disposición 11/2006 que aprueba las Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados. La Dirección Nacional clasifica las medidas de seguridad en tres niveles: MEDIDAS DE SEGURIDAD DE NIVEL BASICO: Comprende los archivos, registros, bases y bancos de datos que contengan datos de carácter personal. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO Comprende los archivos, registros, bases y bancos de datos de las empresas privadas que desarrollen actividades de prestación de servicios públicos, así como los archivos, registros, bases y bancos de datos pertenecientes a entidades que cumplan una función pública y/o privada que, más allá de lo dispuesto por el artículo 10 de la Ley N , deban guardar secreto de la informac ión personal por expresa disposición legal (v.g.: secreto bancario). MEDIDAS DE SEGURIDAD DE NIVEL CRITICO 10

11 Comprende los archivos, registros, bases y bancos de datos que contengan datos personales, definidos como datos sensibles. De acuerdo al nivel de seguridad se deberán adoptar las medidas correspondientes. Con la particularidad de que son acumulativas, es decir, las medidas de nivel medio comprende las medidas de nivel básico y las medidas de nivel critico comprende las medidas de los niveles medio y básico. Detalle de Medidas de Seguridad de NIVEL BASICO Disponer del Documento de Seguridad de Datos Personales en el que se especifiquen, entre otros, los procedimientos y las medidas de seguridad a observar sobre los archivos, registros, bases y bancos que contengan datos de carácter personal. Deberá mantenerse en todo momento actualizado y ser revisado cuando se produzcan cambios en el sistema de información. Deberá contener: 1. Funciones y obligaciones del personal. 2. Descripción de los archivos con datos de carácter personal y los sistemas de información que los tratan. 3. Descripción de las rutinas de control de datos de los programas de ingreso de datos y las acciones a seguir ante los errores detectados a efectos de su corrección. Todos los programas de ingreso de datos, cualquiera sea su modo de procesamiento (batch, interactivo, etc.), deben incluir en su diseño, rutinas de control, que minimicen la posibilidad de incorporar al sistema de información, datos ilógicos, incorrectos o faltantes. 4. Registros de incidentes de seguridad Notificación, gestión y respuesta ante los incidentes de seguridad. 5. Procedimientos para efectuar las copias de respaldo y de recuperación de datos. 6. Relación actualizada entre Sistemas de Información y usuarios de datos con autorización para su uso. 7. Procedimientos de identificación y autenticación de los usuarios de datos autorizados para utilizar determinados sistemas de información. La relación entre el usuario autorizado y el/los sistemas de información a los que puede acceder debe mantenerse actualizada. En el caso en que el mecanismo de autenticación utilice contraseña, la misma será asignada por el responsable de seguridad de acuerdo a un procedimiento que garantice su confidencialidad. Este procedimiento deberá prever el cambio periódico de la contraseña (lapso máximo de vigencia) las que deberán estar almacenadas en forma ininteligible. 8. Control de acceso de usuarios a datos y recursos necesarios para la realización de sus tareas para lo cual deben estar autorizados. 9. Adoptar medidas de prevención a efectos de impedir amenazas de software malicioso (virus, troyanos, etc.) que puedan afectar archivos con datos de carácter personal. Entre otras: 1) Instalar y actualizar, con la periodicidad pertinente, software de detección y reparación de virus, ejecutándolo rutinariamente; 2) Verificar, antes de su uso, la 11

12 inexistencia de virus en archivos recibidos a través de la web, correo electrónico y otros cuyos orígenes sean inciertos. 10. Procedimiento que garantice una adecuada Gestión de los Soportes que contengan datos de carácter personal (identificación del tipo de información que contienen, almacenamiento en lugares de acceso restringidos, inventarios, autorización para su salida fuera del local en que están ubicados, destrucción de la información en desuso, etc.). Nota: Cuando los archivos, registros, bases y bancos contengan una serie de datos personales con los cuales, a través de un determinado tratamiento, se permita establecer el perfil de personalidad o determinadas conductas de la persona, se deberán garantizar las medidas de seguridad del presente nivel más las establecidas en los puntos 2, 3, 4 y 5 del siguiente. Detalle de Medidas de Seguridad de NIVEL MEDIO Los archivos, registros, bases y bancos de datos de las empresas privadas que desarrollen actividades de prestación de servicios públicos, así como los archivos, registros, bases y bancos de datos pertenecientes a entidades que cumplan una función pública y/o privada que, más allá de lo dispuesto por el artículo 10 de la Ley N , deban guardar secreto de la información personal por expresa disposición legal (v.g.: secreto bancario), además de las medidas de seguridad de nivel Básico, deberán adoptar las que a continuación se detallan: 1. El Instructivo de seguridad deberá identificar al Responsable (u órgano específico) de Seguridad. 2. Realización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad para datos personales. Los informes de auditoría pertinentes, serán presentados al Responsable del Archivo a efectos de que se adopten las medidas correctivas que correspondan. La Dirección Nacional de Protección de Datos Personales, en las inspecciones que realice, deberá considerar obligatoriamente, con carácter no vinculante, los resultados de las auditorías referidas precedentemente, siempre que las mismas hayan sido realizadas dentro de un período máximo de un año. 3. Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. 4. Se establecerá un control de acceso físico a los locales donde se encuentren situados los sistemas de información con datos de carácter personal. 5. Gestión de Soportes e información contenida en ellos, 5.1. Se dispondrá de un registro de entradas y salidas de los soportes informáticos de manera de identificar, día y hora de entrada y salida del soporte, receptor, emisor, forma de envío, etc Se adoptarán las medidas necesarias para impedir cualquier recuperación de la información con posterioridad a que un soporte vaya a ser desechado o reutilizado, o que la información deba ser destruida, por la causa que correspondiere. Asimismo se deberán adoptar similares medidas cuando los soportes, o la información (ej.: cuando se hacen copias de respaldo a través de una red de transmisión de datos, 12

13 la información sale de un soporte local y viaja hasta otro remoto vía dicha red.), vaya a salir fuera de los locales en que se encuentren ubicados, 5.3. Deberá disponerse de un procedimiento de recuperación de la información de respaldo y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales. 6. Los registros de incidentes de seguridad, en el caso de tener que recuperar datos, deberán identificar la persona que recuperó y/o modificó dichos datos. Será necesaria la autorización en forma fehaciente del responsable del archivo informatizado. 7. Las pruebas de funcionamiento de los sistemas de información, realizadas con anterioridad a su puesta operativa no se realizarán con datos/archivos reales, a menos que se aseguren los niveles de seguridad correspondientes al tipo de datos informatizados tratados. Detalle de Medidas de Seguridad de NIVEL CRÍTICO Los archivos, registros, bases y bancos de datos que contengan datos personales, definidos como datos sensibles, con la excepción que se señalará más abajo, además de las medidas de seguridad de nivel Básico y Medio, deberán adoptar las que a continuación se detallan: 1. Distribución de soportes: cuando se distribuyan soportes que contengan archivos con datos de carácter personal incluidas las copias de respaldo, se deberán cifrar dichos datos (o utilizar cualquier otro mecanismo) a fin de garantizar que no puedan ser leídos o manipulados durante su transporte. 2. Registro de accesos: se deberá disponer de un registro de accesos con información que identifique al usuario que accedió, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificación, etc.). Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el término de un TRES (3) años. 3. Copias de respaldo: además de las que se mantengan en la localización donde residan los datos deberán implementarse copias de resguardo externas, situadas fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja de seguridad bancaria, cualquiera de ellas situadas a prudencial distancia de la aludida localización. Deberá disponerse de un procedimiento de recuperación de esa información y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales. 4. Transmisión de datos: los datos de carácter personal que se transmitan a través de redes de comunicación1, deberán serlo cifrados o utilizando cualquier otro mecanismo que impida su lectura y/o tratamiento por parte de personas no autorizadas. Nota: Quedan exceptuados de aplicar las medidas de seguridad de nivel crítico, los archivos, registros, bases y bancos de datos que deban efectuar el tratamiento de datos sensibles para fines administrativos o por obligación legal. No obstante, ello no excluye que igualmente deban contar con aquellas medidas de resguardo que sean necesarias y adecuadas al tipo de dato. 13

14 6. Derechos de los titulares de datos Como motor principal de la norma, la ley de protección de datos contempla en su capítulo 3 los derechos que le caben a los titulares de datos. DERECHO DE INFORMACIÓN El artículo 13 establece el Derecho de información de la siguiente manera: Toda persona puede solicitar información al organismo de control relativa a la existencia de archivos, registros, bases o bancos de datos personales, sus finalidades y la identidad de sus responsables. El registro que se lleve al efecto será de consulta pública y gratuita. DERECHO DE ACCESO El artículo 14 establece el Derecho de acceso de la siguiente manera: 1. El titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales incluidos en los bancos de datos públicos, o privados destinados a proveer informes. 2. El responsable o usuario debe proporcionar la información solicitada dentro de los diez días corridos de haber sido intimado fehacientemente. Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, éste se estimara insuficiente, quedará expedita la acción de protección de los datos personales o de hábeas data prevista en esta ley. 3. El derecho de acceso a que se refiere este artículo sólo puede ser ejercido en forma gratuita a intervalos no inferiores a seis meses, salvo que se acredite un interés legítimo al efecto. 4. El ejercicio del derecho al cual se refiere este artículo en el caso de datos de personas fallecidas le corresponderá a sus sucesores universales. DERECHO DE CONTENIDO DE LA INFORMACION El artículo 15 establece el Derecho de acceso de la siguiente manera: 14

15 1. La información debe ser suministrada en forma clara, exenta de codificaciones y en su caso acompañada de una explicación, en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen. 2. La información debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado. 3. La información, a opción del titular, podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin. DERECHO DE RECTIFICACIÓN, ACTUALIZACIÓN O SUPRESIÓN El artículo 16 establece el Derecho de rectificación, actualización o supresión en los siguientes términos: 1. Toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad los datos personales de los que sea titular, que estén incluidos en un banco de datos. 2. El responsable o usuario del banco de datos, debe proceder a la rectificación, supresión o actualización de los datos personales del afectado, realizando las operaciones necesarias a tal fin en el plazo máximo de cinco días hábiles de recibido el reclamo del titular de los datos o advertido el error o falsedad. 3. El incumplimiento de esta obligación dentro del término acordado en el inciso precedente, habilitará al interesado a promover sin más la acción de protección de los datos personales o de hábeas data prevista en la presente ley. 4. En el supuesto de cesión, o transferencia de datos, el responsable o usuario del banco de datos debe notificar la rectificación o supresión al cesionario dentro del quinto día hábil de efectuado el tratamiento del dato. 5. La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos. 6. Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del banco de datos deberá o bien bloquear el archivo, o consignar al proveer información relativa al mismo la circunstancia de que se encuentra sometida a revisión. 7. Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos. 15

16 EXCEPCIONES El articulo 17 contempla una serie de excepciones a los derechos de acceso, rectificación o supresión de datos. Ellas son: 1. Los responsables o usuarios de bancos de datos públicos pueden, mediante decisión fundada, denegar el acceso, rectificación o la supresión en función de la protección de la defensa de la Nación, del orden y la seguridad públicos, o de la protección de los derechos e intereses de terceros. 2. La información sobre datos personales también puede ser denegada por los responsables o usuarios de bancos de datos públicos, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. La resolución que así lo disponga debe ser fundada y notificada al afectado. 3. Sin perjuicio de lo establecido en los incisos anteriores, se deberá brindar acceso a los registros en cuestión en la oportunidad en que el afectado tenga que ejercer su derecho de defensa. GRATUIDAD El artículo 19 establece que la rectificación, actualización o supresión de datos personales inexactos o incompletos que obren en registros públicos o privados se efectuará sin cargo alguno para el interesado. 7. Acción de protección de datos personales El capítulo 7 de la ley de protección de datos personales regula la procedencia, la legitimación activa y pasiva de la acción de habeas data a saber: Procedencia según el artículo 33: La acción de protección de los datos personales o de hábeas data procederá: a) para tomar conocimiento de los datos personales almacenados en archivos, registros o bancos de datos públicos o privados destinados a proporcionar informes, y de la finalidad de aquéllos; 16

17 b) en los casos en que se presuma la falsedad, inexactitud, desactualización de la información de que se trata, o el tratamiento de datos cuyo registro se encuentra prohibido en la presente ley, para exigir su rectificación, supresión, confidencialidad o actualización. Legitimación activa según el artículo 34: La acción de protección de los datos personales o de hábeas data podrá ser ejercida por el afectado, sus tutores o curadores y los sucesores de las personas físicas, sean en línea directa o colateral hasta el segundo grado, por sí o por intermedio de apoderado. Cuando la acción sea ejercida por personas de existencia ideal, deberá ser interpuesta por sus representantes legales, o apoderados que éstas designen al efecto. En el proceso podrá intervenir en forma coadyuvante el Defensor del Pueblo. Legitimación pasiva según el artículo 35: La acción procederá respecto de los responsables y usuarios de bancos de datos públicos, y de los privados destinados a proveer informes. 8. Fuentes de consultas Constitución Nacional Ley N de Protección de los Datos Personales, promulgada el 30 de Octubre de Ley N de Protección de los Datos Personales. Modificación ley , promulgada el 08 de Enero de Disposiciones Varias de la Dirección Nacional de Protección de Datos Personales Palazzi Pablo, La protección de los datos personales en la Argentina, Errepar, Argentina, 1 edición,