Proyecto
PROYECTO DE TP
Expediente 1910-D-2017 Sumario: RESPONSABILIDAD DE INFORMAR ANTE VULNERACION DE SEGURIDAD DE BASES DE DATOS PERSONALES A LOS TITULARES. REGIMEN. Fecha: 21/04/2017 Publicado en: Trámite Parlamentario N° 33
El Senado y Cámara de Diputados...
RESPONSABILIDAD DE INFORMAR ANTE VULNERACIÓN DE SEGURIDAD DE BASES DE DATOS PERSONALES
Artículo 1°.- Objeto. La presente ley tiene por objeto establecer la responsabilidad de informar a los titulares de datos personales, ante casos de vulneración en la seguridad en infraestructuras de soporte de Bases de Datos Personales.
Artículo 2°.- Definiciones. A los efectos de la presente ley, se entenderá por:
a. Datos personales: Información de cualquier tipo referida a personas físicas o determinadas o determinables, inclusive los datos biométricos y los datos de hábito. Se entenderá por determinable la persona que pueda ser identificada, directa o indirectamente, mediante algún identificador o por uno o varios elementos característicos de la identidad física, fisiológica, genética (datos genéticos), psíquica, económica, cultural o social de dicha persona. No será considerada persona determinable cuando, para lograr su identificación, se requiera la aplicación de medidas o plazos desproporcionados o inviables. Los datos personales pueden, a su vez, ser datos sensibles.
b. Datos sensibles: Datos personales que afectan la esfera íntima de su titular con potencialidad de originar una discriminación ilícita o arbitraria, en particular, los que revelan origen racial o étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, participación o afiliación en una organización sindical, información referente a la salud o preferencia sexual.
c. Datos de hábito: Datos personales que hacen al hábito de una persona, como ser horarios de entrada y salida de su hogar y oficina, recorridos habituales con su vehículo o transporte público, etc.
d. Vulneración de Datos: toda violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público.
e. Responsable del tratamiento: Persona humana o jurídica, pública o privada, titular de la base de datos, que decide sobre el tratamiento de datos, sus finalidades y medios.
f. Base de datos: Conjunto organizado de datos personales que sean objeto de tratamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso. Indistintamente se la puede denominar también archivo, registro, fichero o banco de datos.
Artículo 3°.- Autoridad de Aplicación. El Poder Ejecutivo Nacional determinará la Autoridad de Aplicación de la presente ley.
Artículo 4°.- Procedimiento. Ante una vulneración en la seguridad de la infraestructura que soporta una Base de Datos, el responsable del tratamiento deberá informar a los titulares de los datos a la brevedad de lo ocurrido, en un lenguaje claro y sencillo, según los procedimientos impuestos por la Autoridad de Aplicación, por un medio fehaciente.
Artículo 5°.- Notificación. La notificación a que se refieren los incisos anteriores deberá contener, al menos, la siguiente información:
a. La naturaleza del incidente;
b. Los datos personales comprometidos, ya sean identificatorios, sensibles o de habito,
c. Las acciones correctivas realizadas de forma inmediata;
d. Las recomendaciones al titular de los datos acerca de las medidas que éste pueda adoptar para proteger sus intereses;
e. Los medios a disposición del titular de los datos para obtener mayor información al respecto.
f. Las acciones correctivas y preventivas que se adoptarán.
Artículo 6°.- Sanciones. Ante incumplimiento con lo dispuesto en la presente ley, se aplicarán sanciones que establecerá la Autoridad de Aplicación en la reglamentación.
Artículo 7°.- Reglamentación. La presente ley será reglamentada a los noventa (90) días luego de su publicación en el Boletín Oficial.
Artículo 8°.- Comuníquese al Poder Ejecutivo Nacional.
FUNDAMENTOS
Señor presidente:
Una violación de los datos personales puede causar, si no se toman medidas de manera rápida y adecuada, pérdidas económicas sustanciales y perjuicios sociales para el titular de los datos personales afectado, incluida la usurpación de la identidad.
Por consiguiente, tan pronto como el responsable de tratamiento de datos se percate de que se ha vulnerado de la seguridad de su infraestructura, debe informar a los titulares cuyos datos e intimidad puedan verse afectados negativamente por dichas violaciones quienes deberán recibir notificación inmediata para que puedan adoptar las precauciones necesarias.
Se debe considerar que una violación afecta negativamente a los datos y la intimidad del titular cuando conlleva, por ejemplo, fraude o usurpación de identidad, daños materiales, humillación grave o daño para la reputación.
La notificación debe incluir información sobre las medidas adoptadas por el responsable del tratamiento para reparar la vulneración, así como recomendaciones para el titular afectado.
Por los motivos expuestos, solicitamos a las Señoras Diputadas y a los Señores Diputados acompañen el presente proyecto de ley.
| Firmante | Distrito | Bloque |
|---|---|---|
| WECHSLER, MARCELO GERMAN | CIUDAD de BUENOS AIRES | UNION PRO |
| SCAGLIA, GISELA | SANTA FE | UNION PRO |
Giro a comisiones en Diputados
| Comisión |
|---|
| ASUNTOS CONSTITUCIONALES (Primera Competencia) |
Honorable Cámara de Diputados de la Nación Argentina | Congreso de la Nación Argentina
Av. Rivadavia 1864 - Ciudad Autónoma de Bs. As. (C.P.C1033AAV) | + 54 11 6075-0000
Nota: La información contenida en este sitio es de dominio público y puede ser utilizada libremente. Se solicita citar la fuente.