Según la ley, existen de dos tipos: sanciones administrativas y penales. A continuación se mostrarán los subtipos existentes y los criterios de graduación aplicables por la Dirección Nacional de Protección de Datos Personales (DNPDP). Luego, se enunciarán la sanciones tipificadas en el Código Penal.
En líneas generales, la Ley de Protección de Datos Personales (Ley 25.326) prevé la obligación de registrar los archivos, registros, bases o bancos de datos públicos, y privados destinados a proporcionar informes.
El concepto de "archivo, registro, base o banco de dato" es tan amplio que existe obligación de registrar desde un simple archivo de facturas en formato papel a bases de datos informatizadas, encontrándose solamente excluidos los que tengan el carácter de uso personal (Ej. Agenda de teléfonos). Según la ley, se incluyen en tal concepto "al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso".
Hecha esta breve aclaración pasemos al tema que nos ocupa.
Sanciones administrativas
La aplicación y cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad.
Según la Disposición 7/2005 de la DNPDP, las infracciones se clasifican en tres tipos, sin perjuicio de considerar otras no enumeradas:
Infracciones leves
- No atender la solicitud de acceso, rectificación o supresión de los datos personales objeto de tratamiento cuando legalmente proceda.
- No proporcionar la información que solicite la DNPDP en el ejercicio de las competencias que tiene atribuidas.
- No solicitar la inscripción de las bases de datos personales tanto públicas como privadas cuyo registro sea obligatorio.
- Recoger datos de carácter personal sin proporcionar a los titulares de los mismos la información que señala el artículo 6º de Ley Nº 25.326 o sin recabar su consentimiento libre, expreso e informado en los casos en que ello sea exigible.
- Incumplir el deber de secreto establecido en el artículo 10 de la Ley Nº 25.326, salvo que constituya la infracción grave prevista en el punto 2, apartado d) o la infracción muy grave contemplada en el punto 3, apartado g) o el delito contemplado en el artículo 157 bis, inciso 2) del Código Penal.
- No respetar el principio de gratuidad previsto en el artículo 19 de la Ley Nº 25.326.
- Mantener por más tiempo que el establecido legalmente, el registro, archivo o cesión de los datos significativos para evaluar la solvencia económico- financiera de los titulares de los datos.
- Tratar, dentro de la prestación de servicios de información crediticia, datos personales patrimoniales que excedan la información relativa a la solvencia económica y al crédito del titular de tales datos.
- Tratar, en los archivos, registros o bancos de datos con fines publicitarios, datos que excedan la calidad de aptos para establecer perfiles con fines promocionales o hábitos de consumo.
- No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido por el titular. Entiéndese incluida en este supuesto la negativa a retirar o bloquear el nombre y dirección de correo electrónico de los bancos de datos destinados a publicidad cuando su titular lo solicite de conformidad con lo previsto en el último párrafo del artículo 27 de la Ley Nº 25.326.
- Proceder al tratamiento de datos de carácter personal que no reúnan las calidades de ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.
|
Infracciones graves
- Tratar los datos de carácter personal en forma ilegítima o con menosprecio de los principios y garantías establecidos en Ley Nº 25.326 y normas reglamentarias.
- Realizar acciones concretas tendientes a impedir u obstaculizar el ejercicio por parte del titular de los datos del derecho de acceso o negarse a facilitarle la información que sea solicitada.
- Mantener datos de carácter personal inexactos o no efectuar las rectificaciones, actualizaciones o supresiones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la Ley Nº 25.326 ampara y haya sido intimado previamente por la DNPDP.
- Vulnerar el deber de guardar el deber de confidencialidad exigido por el artículo 10 de la Ley Nº 25.326 sobre los datos de carácter personal incorporados a registros, archivos, bancos o bases de datos.
- Mantener bases de datos locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
- Obstruir el ejercicio de la función de inspección y fiscalización a cargo de la DNPDP.
- No inscribir la base de datos de carácter personal en el registro correspondiente, cuando haya sido requerido para ello por la DNPDP.
- No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por la DNPDP.
- Recoger datos de carácter personal mediante ardid o engaño.
|
Infracciones muy graves
- Conformar un archivo de datos cuya finalidad sea contraria a las leyes o a la moral pública.
- Transferir datos personales de cualquier tipo a países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados, salvo las excepciones legales previstas en el artículo 12, inciso 2, de la Ley Nº 25.326, sin haber cumplido los demás recaudos legales previstos en la citada ley y su reglamentación.
- Ceder ilegítimamente los datos de carácter personal fuera de los casos en que tal accionar esté permitido.
- Recolectar y tratar los datos sensibles sin que medien razones de interés general autorizadas por ley o tratarlos con finalidades estadísticas o científicas sin hacerlo en forma disociada.
- Formar archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles, salvo en los casos expresamente previstos en el artículo 7º, inciso 3), de la Ley Nº 25.326.
- Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías reconocidos en nuestra Carta Magna, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.
- Vulnerar el deber de guardar secreto sobre los datos sensibles, así como de los que hayan sido recabados y tratados para fines penales y contravencionales.
|
Sanciones aplicables
| Sanción | Infracción |
|---|
| Leve | Grave | Muy grave |
|---|
| Apercibimiento |
hasta 2 |
hasta 4 |
hasta 6 |
|---|
| Multa |
de $1.000 a $3.000 |
de $3.001 a $50.000 |
de $50.001 a $100.000 |
|---|
| Suspención |
|
de 1 a 30 días |
de 31 a 365 días |
|---|
| Cancelación |
|
|
Sí |
|---|
Sanciones penales
Según el Código Penal, modificado por leyes 25326 y 26388, se aplicará la pena de prisión a quienes cometan los siguientes delitos:
- Proporcionar a un tercero a sabiendas información falsa contenida en un archivo de datos personales.
- Acceder, de cualquier forma, a un banco de datos personales a sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos.
- Proporcionar o revelar, en forma ilegítima, a otro información registrada en un archivo o en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de la ley.
- Insertar o hiciere insertar datos, en forma ilegítima, en un archivo de datos personales.
La pena se agrava con inhabilitación si el que cometiere el delito es un funcionario público.
La pena de prisión varia de seis meses a cuatro años y medio, dependiendo del delito cometido y la gravedad del mismo.