A través de la Resolución 126/2024 la AAIP aprobó una nueva Clasificación de infracciones a las Leyes Nº 25.326 y Nº 26.951.
a) Efectuar tratamiento de datos personales sin encontrarse inscripto ante el Registro Nacional de Bases de Datos en infracción a lo dispuesto por el artículo 3° de la Ley N° 25.326;
b) No informar en tiempo y forma modificaciones, actualizaciones o bajas ante el Registro Nacional de Bases de Datos.
c) No proporcionar en tiempo y forma la información que solicite la Dirección Nacional de Protección de Datos Personales en el ejercicio de las competencias que tiene atribuidas.
d) No acompañar en tiempo y forma la documentación requerida en el marco de un procedimiento de inspección.
e) No respetar el principio de gratuidad previsto en los artículos 14 y 19 de la Ley N° 25.326.
f) No informar las medidas de seguridad y confidencialidad implementadas cuando fuere solicitado por la Dirección Nacional de Protección de Datos Personales en el ejercicio de las competencias que tiene atribuidas.
g) No informar y, en caso de corresponder, acreditar si da cumplimiento de los requisitos exigidos por el artículo 11 de la Ley Nº 25.326 para realizar cesiones de datos personales.
Asimismo, se considerarán INFRACCIONES GRAVES:
a) No inscribir la base de datos de carácter personal en el Registro Nacional de Bases de Datos, cuando haya sido requerido para ello por la Dirección Nacional de Protección de Datos Personales.
b)
Declarar datos falsos o inexactos al efectuar la registración ante el Registro
Nacional de Bases de Datos.
c)
Tratar datos de carácter personal sin contar con una base de legitimación
adecuada.
d) Recoger datos de carácter personal sin proporcionar a los titulares de los mismos el derecho de información exigida por el artículo 6° de Ley N° 25.326.
e) No atender en tiempo y forma la solicitud de los titulares de los datos personales de los derechos de acceso, rectificación o supresión cuando legalmente proceda.
f) Proceder al tratamiento de datos de carácter personal que no reúnan las calidades de ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.
g) Incumplir el deber de confidencialidad y seguridad sobre los datos de carácter personal incorporados a registros, archivos, bancos o bases de datos.
h) Mantener bases de datos locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que la normativa determina.
i) Mantener por más tiempo que el establecido legalmente, el registro, archivo o cesión de los datos significativos para evaluar la solvencia económico-financiera de los titulares de los datos.
j) Tratar, dentro de la prestación de servicios de información crediticia, datos personales patrimoniales que excedan la información relativa a la solvencia económica y al crédito del titular de tales datos.
k) No retirar o bloquear el nombre y dirección de correo electrónico de los bancos de datos destinados a publicidad cuando su titular lo solicite de conformidad con lo previsto en el artículo 27, inciso 3, de la Ley N° 25.326.
l) Contactar con el objeto de publicidad, oferta, venta o regalo de bienes o servicios utilizando los servicios de telefonía en cualquiera de sus modalidades a quienes se encuentren debidamente inscriptos ante el Registro Nacional “No Llame”, creado por la Ley N° 26.951.
m) Utilizar los servicios de telefonía en cualquiera de sus modalidades para publicitar, ofertar, vender o regalar bienes o servicios sin haber obtenido de la Autoridad de Aplicación la habilitación de usuario autorizado para la descarga de la lista de inscriptos ante el Registro Nacional “No Llame”.
n) No adoptar las medidas que garanticen el cumplimiento de la Ley N° 26.951, en campañas donde se contraten empresas tanto en el país como en el exterior que utilicen los servicios de telefonía en cualquiera de sus modalidades para publicitar, ofertar, vender o regalar bienes o servicios.
o) Obstruir el ejercicio de la función de inspección y fiscalización a cargo de la Dirección Nacional de Protección de Datos Personales.
p) No dar respuesta a los requerimientos cursados por la Dirección Nacional de Protección de Datos Personales en el ejercicio de las competencias que tiene atribuidas.
q) Hacer tratamiento de datos personales mediante videocámaras sin dar cumplimiento a las condiciones previstas en la Ley Nº 25.326 y normativa complementaria.
Finalmente, se considerarán INFRACCIONES MUY GRAVES:
a) Omitir denunciar, con motivo del tratamiento de datos personales en Internet, el domicilio legal y demás datos identificativos del responsable, sea ante el Registro Nacional de Bases de Datos como así también en su política de privacidad, de modo tal que mediante dicha conducta afecte el ejercicio de los derechos del titular del dato y la actividad de contralor que por la normativa vigente compete a la Dirección Nacional de Protección de Datos Personales.
b) Conformar un archivo de datos cuya finalidad sea contraria a las leyes o a la moral pública.
c) Recoger datos de carácter personal mediante ardid, engaño o fraude a la ley.
d) Tratar los datos de carácter personal en forma ilegítima o con menosprecio de los principios y garantías establecidos en Ley N° 25.326 y normas reglamentarias.
e) Realizar acciones concretas tendientes a impedir u obstaculizar el ejercicio por parte del titular de los datos de los derechos reconocidos en la Ley N° 25.326.
f) Mantener datos personales inexactos o no efectuar las rectificaciones, actualizaciones o supresiones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la Ley N° 25.326 ampara y haya sido intimado previamente por la Dirección Nacional de Protección de Datos Personales.
g) Transferir datos personales de cualquier tipo a países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados, salvo las excepciones legales previstas en el artículo 12, inciso 2, de la Ley N° 25.326, sin haber cumplido los demás recaudos legales previstos en la citada ley y normativa complementaria.
h)
Ceder ilegítimamente los datos de carácter personal fuera de los casos en que
tal accionar esté permitido.
i) Recolectar y tratar datos sensibles sin que medie el consentimiento del titular de los datos, razones de interés general autorizadas por ley o sean tratados con finalidades estadísticas/ científicas sin la debida anonimización.
j) Formar archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles, salvo en los casos expresamente previstos en el artículo 7°, inciso 3, de la Ley N° 25.326.
k) Incumplir el deber de confidencialidad y seguridad respecto de los datos sensibles, así como de los que hayan sido recabados y tratados para fines penales y contravencionales.
l) No cesar en el uso y tratamiento ilegítimo de datos de carácter personal cuando sea requerido para ello por el titular y/o por la Dirección Nacional de Protección de Datos Personales.
m) Realizar maniobras tendientes a sustraerse o impedir el desarrollo de la actividad de contralor de la Dirección Nacional de Protección de Datos Personales.