Ley de protección de datos personales. Veto Parcial.

Buenos Aires, 24 de noviembre de 2005

La Legislatura de la Ciudad Autónoma de Buenos Aires

sanciona con fuerza de Ley

Ley de Protección de Datos Personales
Título I
Disposiciones Generales

Artículo 1°.- Objeto. La presente
ley tiene por objeto regular, dentro del ámbito de la Ciudad de Buenos
Aires, el tratamiento de datos personales referidos a personas físicas
o de existencia ideal, asentados o destinados a ser asentados en archivos, registros,
bases o bancos de datos del sector público de la Ciudad de Buenos Aires,
a los fines de garantizar el derecho al honor, a la intimidad y a la autodeterminación
informativa, de conformidad a lo establecido por el artículo 16 de la
Constitución de la Ciudad de Buenos Aires.

Cuando los datos se refieran a información pública
y no a datos personales será de aplicación la Ley N° 104 de
la Ciudad de Buenos Aires.

En ningún caso se podrán afectar la base de datos
ni las fuentes de información periodísticas.

Artículo 2°.- Ámbito de
aplicación. A los fines de la presente ley se consideran incluidos dentro
del sector público de la Ciudad de Buenos Aires a todos los archivos,
registros, bases o bancos de datos de titularidad de los órganos pertenecientes
a la administración central, descentralizada, de entes autárquicos,
empresas y sociedades del estado, sociedades anónimas con participación
estatal mayoritaria, sociedades de economía mixta y todas aquellas otras
organizaciones empresariales donde el Estado de la Ciudad de Buenos Aires tenga
participación en el capital o en la formación de las decisiones
societarias, del Poder Legislativo y del Judicial, en cuanto a su actividad
administrativa, y de los demás órganos establecidos en el Libro
II de la Constitución de la Ciudad de Buenos Aires.

Artículo 3°.- Definiciones. A los
fines de la presente ley se entiende por:

Datos personales: Información de cualquier tipo referida
a personas físicas o de existencia ideal, determinadas o determinables.

Datos sensibles: Aquellos datos personales que revelan origen
racial o étnico, opiniones políticas, convicciones religiosas
o morales, afiliación sindical, información referente a la salud
o a la vida sexual o cualquier otro dato que pueda producir, por su naturaleza
o su contexto, algún trato discriminatorio al titular de los datos.

Archivos, registros, bases o bancos de datos: Indistintamente,
designan al conjunto organizado de datos personales objeto de tratamiento, cualquiera
sea la modalidad o forma de su recolección, almacenamiento, organización
o acceso, incluyendo tanto los automatizados como los manuales.

Tratamiento de datos: Cualquier operación o conjunto
de operaciones, efectuadas o no mediante procedimientos automatizados, que permitan
la recolección, conservación, ordenación, almacenamiento,
modificación, relacionamiento, evaluación, bloqueo, destrucción,
registro, organización, elaboración, extracción, utilización,
cotejo, supresión, y en general, el procesamiento de datos personales,
así como también su cesión a terceros a través de
todo tipo de comunicación, consulta, interconexión, transferencia,
difusión, o cualquier otro medio que permita el acceso a los mismos.

Titular de datos: Persona física o de existencia ideal
cuyos datos sean objeto de tratamiento.

Responsable del archivo, registro, base o banco de datos: Persona
física o de existencia ideal del sector público de la Ciudad de
Buenos Aires que sea titular de un archivo, registro, base o banco de datos.

Encargado del tratamiento: Persona física o de existencia
ideal, autoridad pública, dependencia u organismo que, solo o juntamente
con otros, realice tratamientos de datos personales por cuenta del responsable
del archivo, registro, base o banco de datos.

Usuario de datos: Persona física que, en ocasión
del trabajo y cumpliendo sus tareas específicas, tenga acceso a los datos
personales incluidos en cualquier archivo, registro, base o banco de datos del
sector público de la Ciudad de Buenos Aires.

Fuentes de acceso público irrestricto: Exclusivamente,
se entienden por tales a los boletines, diarios o repertorios oficiales, los
medios de comunicación escritos, las guías telefónicas
en los términos previstos por su normativa específica y las listas
de personas pertenecientes a grupos de profesionales que contengan únicamente
los datos de nombre, título, profesión, actividad, grado académico,
dirección o cualquier otro dato que indique de su pertenencia al grupo.

Título II
Del Régimen de los Archivos, Registros, Bases
o Bancos de Datos

Artículo 4°.- Creación de
archivos, registros, bases o bancos de datos:

La creación y mantenimiento de archivos, registros, bases o bancos
de datos debe responder a un propósito general y usos específicos
lícitos y socialmente aceptados. Los archivos de datos no pueden tener
finalidades contrarias a las leyes o a la moral pública.
La formación de archivos de datos será lícita cuando
se encuentren debidamente inscriptos, observando en su operación los
principios que establece la presente ley y las reglamentaciones que se dicten
en su consecuencia.
Las normas sobre creación, modificación o supresión
de archivos, registros, bases o bancos de datos pertenecientes a organismos
públicos deberán publicarse en el Boletín Oficial de
la Ciudad de Buenos Aires e indicar:
1. Características y finalidad del archivo;
2. Personas respecto de las cuales se pretenda obtener datos y el carácter
  facultativo u obligatorio de su suministro por parte de aquéllas;
3. Procedimiento de obtención y actualización de los datos;
4. Estructura básica del archivo, informatizado o no, y la descripción
  de la naturaleza de los datos personales que contendrán;
5. Las cesiones, transferencias o interconexiones previstas;
6. Órgano responsable del archivo, precisando dependencia jerárquica
  en su caso;
7. Dependencia ante la cual los ciudadanos pueden ejercer los derechos
  reconocidos por la presente ley.
En las disposiciones que se dicten para la supresión de los archivos,
registros, bases o bancos de datos se establecerá el destino de los
mismos o las medidas que se adopten para su destrucción.
Cuando se traten datos personales recolectados a través de internet,
los sitios interactivos de la Ciudad de Buenos Aires deberán informar
al titular de los datos personales los derechos que esta ley y la ley nacional
les otorgan mediante una política de privacidad ubicada en un lugar
visible de la página web.

Artículo 5°.- Tratamiento de datos personales
efectuados por terceros. Cuando el responsable de un archivo, registro, base
o banco de datos decida encargar a un tercero la prestación de servicios
de tratamiento de datos personales, deberá requerir previamente la autorización
del organismo de control, a cuyo efecto deberá fundar los motivos que
justifican dicho tratamiento.

Los tratamientos de datos personales por terceros que
sean aprobados por el organismo de control no podrán aplicarse o utilizarse
con un fin distinto al que figure en la norma de creación de archivos,
registros, bases o bancos de datos.

Los contratos de prestación de servicios
de tratamiento de datos personales deberán contener los niveles de seguridad
exigidos por la ley, así como también las obligaciones que surgen
para los locatarios en orden a la confidencialidad y reserva que deben mantener
sobre la información obtenida y cumplir con todas las provisiones de
la presente ley a los fines de evitar una disminución en el nivel de
protección de los datos personales.

Título III
Principios Generales de la Protección
de Datos Personales

Artículo 6°.- Calidad de los datos.
Los datos personales que se recojan a los efectos de su tratamiento deben ser
ciertos, adecuados, pertinentes y no excesivos en relación al ámbito
y finalidad para los que se hubieren obtenido.

La recolección de datos no puede hacerse por medios
desleales, fraudulentos o en forma contraria a las disposiciones de la presente
ley.

Los datos objeto de tratamiento no pueden ser utilizados para
finalidades distintas con aquéllas que motivaron su obtención.

Los datos deben ser exactos y actualizarse en el caso de que
ello fuere necesario para responder con veracidad a la situación de su
titular.

Los datos total o parcialmente inexactos, o que sean incompletos,
deben ser suprimidos y sustituidos, o en su caso completados, por el responsable
o usuario del archivo, registro, base o banco de datos cuando se tenga conocimiento
de la inexactitud o carácter incompleto de la información de que
se trate, sin perjuicio de los derechos del titular establecidos en el artículo
13 de la presente ley.

Los datos deben ser almacenados de modo que permitan el ejercicio
del derecho de acceso de su titular.

Los datos personales deben ser destruidos cuando hayan dejado
de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados,
sin necesidad de que lo requiera el titular de los mismos.

Artículo 7°.- Consentimiento.

El tratamiento de datos personales se considera ilícito cuando el
titular no hubiere prestado su consentimiento libre, expreso e informado,
el que deberá constar por escrito, o por otro medio que permita se
le equipare, de acuerdo a las circunstancias.
El referido consentimiento prestado con otras declaraciones, deberá
figurar en forma expresa y destacada, previa notificación al titular
de datos, en forma adecuada a su nivel social y cultural, de la información
a que se refiere el artículo 18 inciso b) de la presente ley.

El consentimiento puede ser revocado por cualquier medio y en cualquier
momento. Dicha revocación no tendrá efectos retroactivos.

No será necesario el consentimiento cuando:
Los datos personales se recaben para el ejercicio de funciones propias de
los poderes de la Ciudad de Buenos Aires, o en virtud de una obligación
legal;
Los datos personales se obtengan de fuentes de acceso público irrestricto;
Se trate de datos personales relativos a la salud de las personas y su tratamiento
sea necesario por razones de salud pública y emergencia establecidas
por autoridad competente y debidamente fundadas;
Se trate de listados cuyos datos se limiten a nombre, documento nacional de
identidad, identificación tributaria o previsional, ocupación,
fecha de nacimiento y domicilio;

Artículo 8°.- Datos sensibles.

Ninguna persona puede ser obligada a proporcionar datos sensibles. En particular
no se podrá solicitar a ningún individuo datos sensibles como
condición para su ingreso o promoción dentro del sector público
de la Ciudad de Buenos Aires.

Los datos sensibles sólo pueden ser tratados cuando medien razones
de interés general autorizadas por ley. También podrán
ser tratados con finalidades estadísticas o científicas, siempre
y cuando no puedan ser identificados sus titulares.

Queda prohibida la formación de archivos, registros, bases o bancos
de datos que almacenen información que directa o indirectamente revele
datos sensibles, salvo que la presente ley o cualquier otra expresamente disponga
lo contrario o medie el consentimiento libre, previo, expreso, informado y
por escrito del titular de los datos.

Los datos relativos a antecedentes penales o contravencionales o infracciones
administrativas sólo pueden ser objeto de tratamiento por parte de
las autoridades públicas competentes, en el marco de las leyes y reglamentaciones
respectivas.

Artículo 9°.- Datos relativos a
la salud. Los establecimientos sanitarios dependientes de la Ciudad de Buenos
Aires y los profesionales vinculados a las ciencias de la salud que presten
servicios en los mismos pueden recolectar y tratar los datos personales relativos
a la salud física o mental de los pacientes que acudan a los mismos o
que estén o hubieren estado bajo tratamiento de aquéllos, respetando
los principios del secreto profesional.

Artículo 10.- Cesión de datos.

Los datos personales objeto de tratamiento sólo pueden ser cedidos
para el cumplimiento de los fines directamente relacionados con el interés
legítimo del cedente y del cesionario y con el previo consentimiento
del titular de los datos, al que se le debe informar sobre la finalidad de
la cesión e identificar al cesionario o los elementos que permitan
hacerlo.

Al consentimiento para la cesión de datos personales le son aplicables
las disposiciones previstas en el artículo 7° de la presente ley.

El consentimiento no es exigido cuando:

Así lo disponga expresamente una ley especial referida a cuestiones
sensibles, en particular sobre salud pública, emergencias y seguridad.

En los supuestos previstos en el artículo 7° inciso 3°
de la presente ley;

Se realice entre órganos del sector público de la Ciudad
de Buenos Aires en forma directa, en la medida del cumplimiento de sus
respectivas competencias;

Se trate de datos personales relativos a la salud, y sea necesario
por razones de salud pública, de emergencia o para la realización
de estudios epidemiológicos, en tanto se preserve la identidad
de los titulares de los datos mediante mecanismos de disociación
adecuados;

Se hubiera aplicado un procedimiento de disociación de la información,
de modo que los titulares de los datos sean inidentificables.

Cuando la información sea requerida por un magistrado del Poder
Judicial, el Defensor del Pueblo o el Ministerio Público, en el
marco de una causa judicial en particular.

El cesionario quedará sujeto a las mismas obligaciones legales y
reglamentarias del cedente y éste responderá solidaria y conjuntamente
por la observancia de las mismas ante el organismo de control y el titular
de los datos de que se trate.

Artículo 11.- Transferencia interprovincial.

Es prohibida la transferencia de datos personales a cualquier provincia
o municipio cuya administración pública no proporcione niveles
de protección adecuados a los establecidos por la Ley Nacional N°
25.326 y la presente ley.

La prohibición no regirá en los siguientes supuestos:
Colaboración judicial interjurisdiccional;
Intercambio de datos de carácter médico, cuando así lo
exija el tratamiento del afectado, o una investigación epidemiológica,
en tanto se realice en los términos del inciso 3°, apartado e)
del artículo anterior;
Transferencias bancarias, en lo relativo a las transacciones respectivas y
conforme la legislación que les resulte aplicable;
Intercambio de información entre los respectivos organismos provinciales
o nacionales dentro del marco de sus competencias, a requerimiento de la autoridad
judicial y en el marco de una causa;
Cuando la transferencia tenga por objeto la lucha contra el crimen organizado,
el terrorismo y el narcotráfico, y se realice a requerimiento de la
autoridad judicial y en el marco de una causa;
Consentimiento del titular de los datos.

Artículo 12.- Transferencia internacional.

Es prohibida la transferencia de datos personales de cualquier tipo con
países u organismos internacionales o supranacionales, que no aseguren
que los datos personales contarán con una protección adecuada
a la proporcionada por la presente ley.

La prohibición no regirá en los siguientes supuestos:
Colaboración judicial internacional;
Intercambio de datos de carácter médico, cuando así lo
exija el tratamiento del afectado, o una investigación epidemiológica,
en tanto se realice en los términos del inciso 3°, apartado e)
del artículo 10 de la presente ley;
Transferencias bancarias, en lo relativo a las transacciones respectivas y
conforme la legislación que les resulte aplicable;
Cuando la transferencia se hubiera acordado en el marco de tratados internacionales
en los cuales la República Argentina sea parte y se realice a requerimiento
de la autoridad judicial y en el marco de una causa;
Cuando la transferencia tenga por objeto la cooperación internacional
entre organismos de inteligencia para la lucha contra el crimen organizado,
el terrorismo y el narcotráfico, y se realice a requerimiento de la
autoridad judicial y en el marco de una causa.
Consentimiento del titular de los datos.

Título IV
Derechos de los Titulares de Datos Personales

Artículo 13.- Asisten al titular de
datos personales los siguientes derechos:

Derecho de información:
Toda persona puede solicitar al organismo de control información relativa
a la existencia de archivos, registros, bases o bancos de datos de titularidad
del sector público de la Ciudad de Buenos Aires, su finalidad, identidad
y domicilio de sus responsables.

Derecho de acceso:
El titular de los datos, previa acreditación de su identidad, tiene
derecho a solicitar y obtener información relativa a los datos personales
referidos a su persona que se encuentren incluidos en los archivos, registros,
bases o bancos de datos del sector público de la Ciudad de Buenos Aires.
Asimismo, y del mismo modo, el titular de los datos podrá exigir que
se le informe acerca de la identidad de las personas a las que se le hubieran
cedido datos relativos a su persona, del origen de los datos incluidos en
el archivo, registro, base o banco de datos consultado, y de la lógica
utilizada en los tratamientos automatizados de datos que se hubieran realizado.
El responsable del archivo, registro, base o banco de datos consultado debe
proporcionar la información solicitada, sin restricciones ni requisitos
de ningún tipo, en un plazo no mayor de diez (10) días hábiles.
El plazo se podrá prorrogar en forma excepcional por otros diez (10)
días hábiles de mediar circunstancias que hagan difícil
reunir la información solicitada. En su caso, el órgano requerido
debe comunicar, antes del vencimiento del plazo de diez (10) días,
las razones por las cuales hará uso de la prórroga excepcional.
Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe,
éste se estimara insuficiente, quedará expedita la acción
de protección de datos personales prevista en la presente ley.
El derecho de acceso sólo puede ser ejercido en forma gratuita a intervalos
no inferiores a dos meses, salvo que se acredite un interés legítimo
al efecto, en cuyo caso podrá ejercerse en cualquier momento.
La información que el responsable del archivo, registro, base o banco
de datos deba brindar al titular de los datos, deberá ser amplia y
versar sobre la totalidad de la información referida a su persona que
se encuentre almacenada en el archivo, registro, base o banco de datos consultado,
aún cuando el requerimiento del titular sólo comprenda un aspecto
de sus datos personales.
La información, a opción del titular de los datos, podrá
suministrarse por escrito, por medios electrónicos, telefónicos,
de imagen u otro medio idóneo a tal fin.

Derecho de rectificación, actualización o supresión:
Toda persona tiene derecho a que los datos personales a ella referidos sean
rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a
confidencialidad.
El responsable del archivo, registro, base o banco de datos debe proceder
a la rectificación, supresión o actualización de los
datos personales, realizando las operaciones necesarias a tal fin en el plazo
máximo de cinco (5) días hábiles de recibido el reclamo
presentado por el titular de los datos, o advertido el error o falsedad.
El incumplimiento de esta obligación dentro del término acordado
en el inciso precedente habilitará al interesado a promover sin más
la acción de protección de datos personales prevista en la presente
ley.
En el supuesto de cesión de datos personales a terceros, el responsable
del archivo, registro, base o banco de datos cedente debe notificar la rectificación,
actualización o supresión al cesionario dentro del quinto día
hábil de efectuado el tratamiento del dato, debiendo el cesionario
tomar cuenta de ello dentro del plazo de dos días de recibida la notificación.
La supresión no procede cuando pudiese causar perjuicios a derechos
o intereses legítimos de terceros, o cuando existiera una obligación
legal de conservar los datos.
Durante el proceso de verificación y rectificación del error
o falsedad de la información que se trate, el responsable o usuario
del banco de datos deberá o bien bloquear el archivo, registro, base
o banco de datos, o consignar al proveer información relativa al titular
de los datos que hubiera solicitado la rectificación, actualización
o supresión, la circunstancia de que dicha información se encuentra
sometida a revisión.
El responsable del archivo, registro, base o banco de datos, no podrá
exigir contraprestación alguna para el ejercicio de los derechos de
supresión, rectificación y actualización.

Artículo 14.- El titular de los datos
podrá ejercer los derechos que se le reconocen en esta ley por sí
o a través de sus representantes legales o convencionales. Se encuentran
facultados del mismo modo los sucesores de las personas físicas.

Artículo 15.- Excepciones. El responsable
de un archivo, registro, base o banco de datos puede denegar el acceso, rectificación,
actualización, pedido de confidencialidad o supresión solicitada
por el titular del dato, en función del orden o la seguridad pública,
o de la protección de los derechos o intereses de terceros cuando así
lo disponga una autoridad judicial a partir de una medida cautelar inscripta.

Asimismo, si al responder al requerimiento del titular del
dato existieran medidas cautelares judiciales o administrativas, inscriptas,
vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias
o previsionales, el desarrollo de funciones del control de la salud o del medio
ambiente, la investigación de delitos y la verificación de sanciones
administrativas.

La resolución que deniegue el ejercicio de los derechos
reconocidos por la presente ley debe ser dispuesta por un funcionario de jerarquía
equivalente o superior a Director General, en forma fundada explicitando la
medida que ampara la negativa y notificada al titular del dato.

Sin perjuicio de lo establecido en los incisos anteriores,
se debe brindar acceso a los archivos, registros, bases o bancos de datos en
la oportunidad en que el titular de los datos tenga que ejercer su derecho de
defensa.

Título V
Obligaciones Relacionadas con los Datos Personales
Asentados en Archivos, Registros, Bases o Bancos de Datos

Artículo 16.- Confidencialidad. El
responsable del archivo, registro, base o banco de datos, el encargado del tratamiento
y los usuarios de datos están obligados al secreto profesional respecto
de los datos personales sujetos a tratamiento y a guardar dicho secreto, una
vez finalizadas las funciones o actividades en virtud de las cuales dichos datos
fueron sometidos a tratamiento.

En el caso del encargado del tratamiento y de los usuarios
de datos, tal deber subsistirá aun después de finalizada su relación
con el responsable del archivo, registro, base o banco de datos.

El deber de secreto podrá ser relevado por resolución
judicial cuando medien razones fundadas relativas a la seguridad pública,
la defensa nacional o la salud pública.

Artículo 17.- Seguridad. El tratamiento
de datos personales se sujetará a las medidas de seguridad establecidas
en la correspondiente normativa nacional.

El responsable del archivo, registro, base o banco de datos,
el encargado del tratamiento y los usuarios de datos deben adoptar todas las
medidas técnicas y de organización necesarias y adecuadas que
impidan la adulteración, pérdida, destrucción y el tratamiento
o acceso no autorizado a los datos incluidos en sus archivos, registros, bases
o bancos de datos. Dichas medidas deberán garantizar un nivel de seguridad
apropiado en relación con la tecnología aplicada y sus avances,
con la naturaleza de los datos tratados y con los riesgos propios del tratamiento.

Artículo 18.- Obligaciones del responsable
del archivo, registro, base o banco de datos. Constituyen obligaciones del responsable
del archivo, registro, base o banco de datos, las siguientes:

Requerir y obtener el consentimiento del titular de los datos personales,
previo a su obtención y tratamiento, en los términos del artículo
7° de la presente ley.

Informar al titular de los datos, en forma expresa y clara, y bajo pena
de nulidad, previamente a recabar información referida a su persona,
acerca de:
La existencia del archivo, registro, base o banco de datos, electrónico
o de cualquier otro tipo, de que se trate y la identidad y domicilio de su
responsable;
La finalidad para la que serán tratados y quienes pueden ser sus destinatarios
o categorías de destinatarios.
El carácter obligatorio o facultativo de la respuesta a las preguntas
que le sean formuladas.
Las consecuencias que se deriven de proporcionar los datos, de la negativa
a hacerlo o de la inexactitud de los mismos.
La facultad y modo de ejercer los derechos de acceso, rectificación,
actualización y supresión de los datos que le confiere la presente
ley.
Detalle sobre los órganos de aplicación de la presente ley.

Respetar en todo momento los principios generales de la protección
de datos personales.

Proceder en forma inmediata a la rectificación, actualización
o supresión, de los datos personales cuando fueran total o parcialmente
inexactos, incompletos, o desactualizados.

Registrar sus archivos, registros, bases o bancos de datos en el Registro
de Datos creado por el organismo de control.

Artículo 19.- Obligaciones del encargado
del tratamiento de datos. Le asisten al encargado del tratamiento de datos personales
los mismos deberes y obligaciones exigidas al responsable del archivo, registro,
base o banco de datos tanto respecto de la confidencialidad y reserva que debe
mantener sobre la información obtenida, como del respeto y cumplimiento
a los principios generales de la protección de datos personales.

El encargado del tratamiento sólo actúa siguiendo
instrucciones del responsable del tratamiento y no podrá, bajo ningún
concepto, ceder los datos personales sometidos a tratamiento, ni aun para su
conservación.

Artículo 20.- Obligaciones del usuario
de datos. Todas las personas que actúen, trabajen, o presten servicios
de cualquier tipo en o para algún órgano del sector público
de la Ciudad de Buenos Aires sólo podrán tratar los datos personales
incorporados en los archivos, registros, bases o bancos de datos de titularidad
del órgano para o en el que desempeñen su tarea, cuando así
lo disponga el responsable del archivo, registro, base o banco de datos de que
se trate o en virtud de una obligación legal.

Quedan sujetos, al igual que los encargados del tratamiento
a los mismos deberes y obligaciones exigidos al responsable del archivo, registro,
base o banco de datos, tanto respecto de la confidencialidad y reserva que debe
mantener sobre la información obtenida, como del respeto y cumplimiento
a los principios generales de la protección de datos personales.

El usuario de datos sólo podrá ceder los datos
personales sometidos a tratamiento siguiendo expresas instrucciones del responsable
del tratamiento.

Artículo 21.- Valoraciones. Son nulos
e inválidos los actos y decisiones administrativos que impliquen una
valoración del comportamiento o de la personalidad de las personas fundada
en el tratamiento de sus datos personales. Asiste al titular de los datos el
derecho a impugnar tales actos y decisiones, sin perjuicio de las demás
acciones que le pudieran corresponder.

El titular de los datos personales siempre tendrá derecho
a conocer la lógica del proceso de decisión automatizada explicado
en términos simples y adecuados a su nivel social y cultural.

Título VI
Control

Artículo 22.- Organismo de control.
Desígnase a la Defensoría del Pueblo de la Ciudad de Buenos Aires
como organismo de control de la presente ley.

Artículo 23.- Registro de datos personales.
Créase en el ámbito de la Defensoría del Pueblo de la Ciudad
de Buenos Aires el Registro de Datos Personales, que tendrá las siguientes
funciones:

Autorizar y habilitar la creación, uso y
funcionamiento de los archivos, registros, bases y bancos de datos personales
del sector público de la Ciudad de Buenos Aires de conformidad con lo
preceptuado en la presente ley.

Establecer los requisitos y procedimientos que
deberán cumplimentar los archivos, registros, bases o bancos de datos
del sector público de la Ciudad de Buenos Aires relativos al proceso
de recolección de datos, diseño general del sistema, incluyendo
los mecanismos de seguridad y control necesarios, equipamiento técnico,
mecanismos adoptados para garantizar los derechos de acceso, supresión,
rectificación y actualización así como demás extremos
pertinentes.

Llevar un registro de los archivos, registros,
bases o bancos de datos creados por el sector público de la Ciudad de
Buenos Aires. A tal fin, establecerá el procedimiento de inscripción,
su contenido, modificación, cancelación, y la forma en que los
ciudadanos podrán presentar sus reclamos, de conformidad con lo establecido
en el art. 4°, inc. 3° de la presente ley.

Garantizar el acceso gratuito al público de toda la
información contenida en su registro.

Velar por el cumplimiento de las disposiciones de la presente
ley y por el respeto de los derechos al honor, la autodeterminación informativa
y la intimidad de las personas.

Formular advertencias, recomendaciones, recordatorios y propuestas
a los responsables, usuarios y encargados de archivos, registros, bases o bancos
de datos del sector público de la Ciudad de Buenos Aires, a los efectos
de lograr una completa adecuación y cumplimiento de los principios contenidos
en la presente ley.

Proponer la iniciación de procedimientos disciplinarios
contra quien estime responsable de la comisión de infracciones al régimen
establecido por la presente ley.

Recibir denuncias.

Formular denuncias y reclamos judiciales por sí, cuando
tuviere conocimiento de manifiestos incumplimientos de lo estipulado en la presente
ley por parte de los responsables, usuarios y/o encargados de los archivos,
registros, bases o bancos de datos del sector público de la Ciudad de
Buenos Aires.

Representar a las personas titulares de los datos, cuando éstos
se lo requiriesen, a fin de hacer efectivo el derecho de acceso, rectificación,
supresión y actualización, cuando correspondiere, por ante el
archivo, registro, base o banco de datos.
Asistir al titular de los datos, cuando éste se lo requiera, en los juicios
que, en virtud de lo establecido en la presente ley, entable por ante los tribunales
de la Ciudad de Buenos Aires.

Elaborar informes sobre los proyectos de ley de la Ciudad de
Buenos Aires que de alguna forma tengan impacto en el derecho a la privacidad
y protección de los datos personales.

Elevar un informe anual a la Legislatura sobre
el desarrollo de la protección de los datos personales en la Ciudad de
Buenos Aires.

Colaborar con la Dirección Nacional de Protección
de Datos Personales y con los correspondientes organismos de control provinciales
en cuantas acciones y actividades sean necesarias para aumentar el nivel de
protección de los datos personales en el sector público de la
Ciudad de Buenos Aires.

Cuantas otras le sean atribuidas por normas legales o reglamentarias.

Artículo 24.- Cualquier persona podrá
conocer la existencia de archivos, registros, bases o bancos de datos personales,
su finalidad, la identidad y domicilio del responsable, destinatarios y categorías
de destinatarios, condiciones de organización, funcionamiento, procedimientos
aplicables, normas de seguridad, garantías para el ejercicio de los derechos
del titular de los datos así como toda otra información registrada.

El organismo de control procederá, ante el pedido de
un interesado o de oficio ante la sospecha de una ilegalidad, a verificar el
cumplimiento de las disposiciones legales y reglamentarias en orden a cada una
de las siguientes etapas del uso y aprovechamiento de datos personales:

Legalidad de la recolección o toma de información personal;

Legalidad en el intercambio de datos y en la transmisión a terceros
o en la interrelación entre ellos;

Legalidad en la cesión propiamente dicha;

Legalidad de los mecanismos de control interno y externo del archivo, registro,
base o banco de datos.

Título VII
Infracciones

Artículo 25.- Se consideran infracciones
las siguientes:

Realizar el tratamiento de datos desconociendo los principios
establecidos en los Títulos III y IV del presente cuerpo normativo.

Incumplir las obligaciones descriptas en el Título V.

No proceder a solicitud del titular de los datos, o del organismo
de control a la supresión, rectificación y actualización
de los datos personales en los supuestos, tiempo y forma establecidos en esta
ley.

Obstaculizar o impedir el derecho de acceso reconocido en esta
ley al titular o al organismo de control en los supuestos, tiempo y forma que
la misma estipula.

Ceder datos personales en infracción a los requisitos
que se establecen en la presente ley.

Crear archivos, registros, bases o bancos de datos, ponerlos
en funcionamiento y/o iniciar el tratamiento de datos personales sin el cumplimiento
de los requisitos establecidos en esta ley.

No cumplimentar los demás extremos o requisitos que
esta ley establece, así como aquellos que el organismo de control establezca
en ejercicio de su competencia.

Obstruir las funciones que por esta ley se le reconocen al
organismo de control.

Tratar los datos de carácter personal de un modo que
lesione, violente o desconozca los derechos a la privacidad, autodeterminación
informativa, imagen, identidad, honor así como cualquier otro derecho
de que sean titulares las personas físicas o de existencia ideal.

La reglamentación determinará las condiciones
y procedimientos para la aplicación de las sanciones previstas, las que
deberán graduarse en relación a la gravedad y extensión
de la violación y de los perjuicios derivados de la infracción,
garantizando el principio del debido proceso.

Título VIII
Sanciones

Artículo 26.- Responsabilidad. Los
responsables, usuarios, encargados o cesionarios de archivos, registros, bases
o bancos de datos del sector público de la Ciudad de Buenos Aires que
en forma arbitraria obstruyan el ejercicio de los derechos que la presente ley
le reconoce a los ciudadanos serán considerados incursos en falta grave.

En caso de comisión de alguna de las infracciones previstas
en el art. 25 de esta ley, en la Ley Nacional N° 25.326, su reglamentación
y/o sus modificaciones, y sin perjuicio de las responsabilidades administrativas;
de la responsabilidad por daños y perjuicios y/o de las sanciones penales
que pudieran corresponder, el organismo de control dictará resolución
recomendando al órgano del cual dependa jerárquicamente el archivo,
registro, base o banco de datos en el que se hubiera verificado la infracción:

La adopción de las medidas que proceda adoptar para que cesen o
se corrijan los efectos de la infracción. Dicha resolución se
comunicará al responsable del archivo, registro, base o banco de datos,
al órgano del cual dependa jerárquicamente, al titular del dato
y, cuando corresponda, a los encargados del tratamiento y cesionarios de los
datos personales.

La aplicación de las pertinentes sanciones administrativas a los
responsables de la infracción individualizando al responsable, los
hechos y los perjudicados.

En caso de comisión de alguna de las infracciones previstas en el
art. 25 de esta ley por parte de un tercero encargado de realizar tratamientos
de datos personales en virtud a un contrato celebrado de acuerdo a lo previsto
por el art. 5° de esta ley, de acuerdo al tipo de infracción de
que se trate, serán de aplicación con respecto al contratista
infractor, las sanciones establecidas por la Ley Nacional N° 25.326, su
reglamentación y/o sus modificaciones.

Cumplida la recomendación del organismo de control, el Poder Ejecutivo
deberá abrir un sumario administrativo para determinar si existió
o no una infracción a la presente ley y dicha conclusión deberá
ser informada a la Defensoría del Pueblo.

Artículo 27.- Inmovilización
de archivos, registros, bases o bancos de datos. En los supuestos constitutivos
de infracción contemplados en los incisos e) y f) del artículo
25 de la presente ley, el organismo de control podrá requerir al órgano
del cual dependa jerárquicamente el archivo, registro, base o banco de
datos en el que se hubiera cometido la infracción, la cesación
en la utilización o cesión ilícita de los datos personales
y, en caso de corresponder, la inmovilización del archivo, registro,
base o banco de datos hasta tanto se restablezcan los derechos de los titulares
de datos afectados.

Título IX
Acción de protección de datos

Artículo 28.- Procedencia. La acción
de protección de los datos personales o de hábeas data, de conformidad
con lo dispuesto por el art. 16 de la Constitución de la Ciudad de Buenos
Aires procederá:

Para tomar conocimiento de los datos personales almacenados en archivos,
registros o bancos de datos del sector público de la Ciudad de Buenos
Aires, su fuente, origen, finalidad o uso que del mismo se haga.

En los casos en que se presuma la falsedad, inexactitud, desactualización
de la información de que se trata, o el tratamiento de datos en infracción
de la Ley Nacional N° 25.326 o la presente ley, para exigir su rectificación,
supresión, confidencialidad o actualización.

En los casos de incumplimiento de las disposiciones previstas en la presente
ley.
El ejercicio de este derecho no afecta el secreto de la fuente de información
periodística.
Cuando el pedido de acceso sea relativo a información pública
y no a datos personales, será de aplicación la Ley N° 104
de la Ciudad de Buenos Aires.

Artículo 29.- Legitimación activa.
La acción de protección de los datos personales o de hábeas
data podrá ser ejercida por el afectado, sus tutores o curadores y los
sucesores de las personas físicas, sean en línea directa o colateral
hasta el segundo grado, por sí o por intermedio de apoderado.

Cuando la acción sea ejercida por personas de existencia
ideal, deberá ser interpuesta por sus representantes legales, o apoderados
que éstas designen al efecto.

En el proceso podrá intervenir en forma coadyuvante
el organismo de control designado por esta ley.

Artículo 30.- Legitimación pasiva.
La acción procederá respecto de los responsables y/o encargados
de tratamiento de archivos, registros, bases o bancos de datos del sector público
de la Ciudad de Buenos Aires, a elección del titular de los datos.

Artículo 31.- Jurisdicción y
procedimiento aplicable. La acción de protección de datos tramitará
según las disposiciones de la presente ley y supletoriamente por el procedimiento
que corresponde a la acción de amparo ante el Fuero Contencioso Administrativo
de la Ciudad de Buenos Aires, las disposiciones del Código Procesal Contencioso,
Administrativo y Tributario de la Ciudad de Buenos Aires relativas al procedimiento
sumarísimo.

Artículo 32.- Requisitos de la demanda.

La demanda deberá interponerse por escrito, individualizando con
la mayor precisión posible el nombre y domicilio del archivo, registro
o banco de datos y, en su caso, el nombre del responsable y/o encargado y/o
usuario del mismo y el organismo del cual, eventualmente, dependan.

El accionante deberá alegar las razones por las cuales entiende
que en el archivo, registro o banco de datos individualizado obra información
referida a su persona, en los casos del art. 28 inc. b); los motivos por los
cuales considera que la información que le atañe resulta discriminatoria,
falsa o inexacta y justificar que se han cumplido los recaudos que hacen al
ejercicio de los derechos que le reconoce la presente ley. Deberá acompañar
con el escrito de demanda la prueba documental que funde su pedido.

El accionante podrá solicitar que mientras dure el procedimiento,
el registro o banco de datos asiente que la información cuestionada
está sometida a un proceso judicial.

El juez podrá disponer el bloqueo provisional del archivo en lo
referente al dato personal motivo del juicio cuando sea manifiesto el carácter
discriminatorio, falso o inexacto de la información de que se trate.

A los efectos de requerir información al archivo, registro o banco
de datos involucrado, el criterio judicial de apreciación de las circunstancias
requeridas en los puntos 1 y 2 debe ser amplio.

Artículo 33.- Trámite.

Interpuesta la acción, el juez deberá pronunciarse en el
término de tres (3) días sobre su procedencia formal, pudiendo
dar vista al fiscal. Esta vista no suspende el curso del plazo.

Admitida la acción el juez requerirá al archivo, registro
o banco de datos la remisión de la información concerniente
al accionante. Podrá asimismo solicitar informes sobre el soporte técnico
de datos, documentación de base relativa a la recolección y
cualquier otro aspecto que resulte conducente a la resolución de la
causa que estime procedente.

El plazo para contestar el informe no podrá ser mayor de cinco días
hábiles, el que podrá ser ampliado prudencialmente por el juez.

Artículo 34.- Confidencialidad de la
información. Cuando el responsable y/o encargado y/o usuario de un archivo,
registro o banco de datos público se oponga a la remisión del
informe solicitado con invocación de las excepciones al derecho de acceso,
rectificación o supresión, autorizadas por la presente ley o por
una ley específica; deberá acreditar los extremos que hacen aplicable
la excepción legal. En tales casos, el juez podrá tomar conocimiento
personal y directo de los datos solicitados asegurando el mantenimiento de su
confidencialidad.

El juez de la causa evaluará con criterio restrictivo
toda oposición al envío de la información sustentada en
las causales mencionadas. La resolución judicial que insista con la remisión
de dato será apelable dentro del segundo día de notificada. El
recurso se interpondrá fundado. La apelación será denegada
o concedida en ambos efectos dentro del segundo día. En caso de ser concedida
será elevada a la Cámara de Apelaciones dentro del mismo día.

Artículo 35.- Contestación del
informe. Al contestar el informe, el responsable y/o encargado y/o usuario del
archivo, registro o banco de datos deberá expresar las razones por las
cuales incluyó la información cuestionada y aquellas por las que
no evacuó el pedido efectuado por el interesado, de conformidad a lo
establecido en los artículos 13 a 15 de la ley.

Artículo 36.- Ampliación de
la demanda. Contestado el informe, el actor podrá, en el término
de tres días, ampliar el objeto de la demanda solicitando la supresión,
rectificación, confidencialidad o actualización de sus datos personales,
en los casos que resulte procedente a tenor de la presente ley, ofreciendo en
el mismo acto la prueba pertinente. De esta presentación se dará
traslado al demandado por el término de tres (3) días.

En caso de que el requerido manifestara que no existe en el
registro o banco de datos información sobre el accionante y éste
acreditará por algún medio de prueba que tomó conocimiento
de ello, podrá solicitar las medidas cautelares que estime corresponder
de conformidad con las prescripciones del Código Contencioso Administrativo
y Tributario.

Artículo 37.- Sentencia.

Vencido el plazo para la contestación del informe o contestado el
mismo, y en el supuesto del artículo 36, luego de contestada la ampliación,
y habiendo sido producida en su caso la prueba, el juez dictará sentencia.

En el caso de estimarse procedente la acción, se especificará
si la información debe ser suprimida, rectificada, actualizada o declarada
confidencial, estableciendo un plazo para su cumplimiento.

El rechazo de la acción no constituye presunción respecto
de la responsabilidad en que hubiera podido incurrir el accionante.

Sólo serán apelables para ambas partes la sentencia definitiva,
y en caso del accionante, también la que declare la inadmisibilidad
formal de la acción.

En cualquier caso, la sentencia deberá ser comunicada al organismo
de control designado por esta ley, que deberá llevar un registro al
efecto e incluir el caso en el informe anual previsto por el art. 23, inciso
n).

En caso de incumplirse con la sentencia, y sin perjuicio de su ejecución
forzosa, el juez podrá disponer, a pedido de parte, la aplicación
de sanciones conminatorias o astreintes.

Título X
Disposiciones particulares

Artículo 38.- Prestación de
servicios sobre solvencia patrimonial y de crédito. Los organismos, empresas
o dependencias del sector público de la Ciudad de Buenos Aires que se
dediquen a la prestación de servicios de información sobre solvencia
patrimonial y de crédito quedan sujetos al régimen de la presente
ley y, en lo que a la prestación de dichos servicios se refiere, a las
disposiciones específicas de la Ley Nacional N° 25.326, la que resulte
más favorable al titular del dato registrado.

Artículo 39.- Privacidad laboral en
el ámbito del sector público de la Ciudad de Buenos Aires. Se
entiende por correo electrónico toda correspondencia, mensaje, archivo,
dato u otra información electrónica que se transmite a una o más
personas por medio de una red de interconexión entre computadoras o dispositivos
equiparables.

Cuando el correo electrónico sea provisto por un organismo
del sector público de la Ciudad de Buenos Aires a sus dependientes en
función de una relación laboral, se entenderá que la titularidad
del mismo corresponde al empleador, independientemente del nombre y clave de
acceso que sean necesarias para su uso.

El empleador se encuentra facultado para acceder y controlar
toda la información que circule por dicho correo electrónico laboral,
como asimismo a prohibir su uso para fines personales.

El ejercicio de estas facultades por parte del empleador, así
como las condiciones de uso y acceso al correo electrónico laboral, deberá
ser notificado por escrito al trabajador, al momento de poner a su disposición
el correo electrónico o en cualquier oportunidad posterior, como requisito
previo a su ejercicio.

El empleador deberá asimismo notificar fehacientemente
a sus dependientes, la política establecida respecto del acceso y uso
de correo electrónico personal, así como del uso de internet en
el lugar de trabajo.

El incumplimiento de las órdenes emanadas del superior
con respecto a la política de uso de correo electrónico y de internet
en lugar de trabajo según lo previsto en esta norma, será sancionado
de conformidad con lo dispuesto en los arts. 10 y 47 de la Ley N° 471 (Ley
de Relaciones Laborales en la Administración Pública de la Ciudad
Autónoma de Buenos Aires).

Disposiciones transitorias

PRIMERA: En un plazo de ciento ochenta (180)
días a contar desde la vigencia de la presente ley se procederá
a la reglamentación de la presente ley.

SEGUNDA: En un plazo de ciento ochenta (180)
días a contar desde la reglamentación, los responsables de archivos,
registros, bases o bancos de datos del sector público de la Ciudad de
Buenos Aires que realicen las actividades que por esta ley se regulan, deberán
proceder a obtener la respectiva habilitación y a su consecuente inscripción
en el Registro de Datos Personales.

Artículo 40.- Comuníquese, etc.

Nota de Redacción: Los artículos en negrita y bastardilla
fueron vetados por el Decreto N° 1.914/05, B.O. N° 2351 del 04/01/2006.

SANTIAGO DE ESTRADA

ALICIA BELLO

LEY N° 1.845

Sanción: 24/11/2006

Vetada Parcialmente: Decreto 1914 del 29/12/2005

Publicación: BOCBA N° 2351 del 04/01/2006

Aceptación de Veto Parcial: Resolución 233 del 13/07/2006

Publicación: BOCBA N° 2494 del 03/08/2006

Reglamentación: Decreto 725 del 18/05/2007

Publicación: BOCBA Nº 2691 del 24/05/2007

DECRETO Nº 1.914/005
BOCBA N° 2351 del 04/01/2006

Buenos Aires, 29 de diciembre de 2005

Visto, el Expediente Nº 87.270/05 por el cual tramita la Ley Nº 1.845, y

CONSIDERANDO:

Que la Legislatura de la Ciudad Autónoma de Buenos Aires en su
sesión de fecha 24 de noviembre de 2005 sancionó la ley indicada en el
visto, la cual tiene por objeto regular, dentro del ámbito de la Ciudad
de Buenos Aires, el tratamiento de datos personales referidos a
personas físicas o de existencia ideal, asentados o destinados a ser
asentados en archivos, registros, bases o bancos de datos del sector
público de la Ciudad de Buenos Aires, con el fin de garantizar e!
derecho al honor, a la intimidad y a la autodeterminación informativa,
de conformidad a lo establecido por el artículo 16 de la Constitución
de la Ciudad de Buenos Aires;

Que la precitada norma constitucional establece que «Toda
persona tiene mediante una acción de amparo, libre acceso a todo
registro, archivo o banco de datos que conste en organismos públicos o
en los privados destinados a proveer informes, a fin de conocer
cualquier asiento sobre su persona, su fuente, origen, finalidad o uso
que del mismo se haga. También puede requerir su actualización,
rectificación, confidencialidad o supresión, cuando esa información
lesione o restrinja algún derecho.

El ejercicio de este derecho no afecta el secreto de la fuente de información periodistica»;

Que en primer lugar corresponde señalar que la ley sancionada no
alcanza a los archivos, registros, bases o bancos de datos del seotor
privado, quedando los mismos regulados bajo el régimen, de la Ley
Nacional Nº 25.326;

Que la norma en su artículo 22 instituye como organismo de control
de la ley, a la Defensoria del Pueblo de la Ciudad de Buenos Aires,
creada por Ley N° 3 (B.O.C.B.A. N° 394), que reviste el carácter de «…órgano unipersonal e independiente con autonomía funcional y autarquía financiera…» (conf. art. 137 Constitución de la Ciudad de Buenos Aires);

Que el artículo 23 dispone la creación de un Registro de Datos
Personales en el ámbito del citado organismo, el cual tiene como
funciones entre otras las de:
«Autorizar y habilitar la creación, uso y funcionamiento de los
archivos, registros, bases y bancos de datos personales del sector
público de la Ciudad de Buenos Aires de conformidad con lo preceptuado
en la presente ley.» (párrafo 2°) «…Establecer los requisitos y
procedimientos que deberán cumplimentar los archivos, registros, bases o
bancos de datos del sector público de la Ciudad de Buenos Aires
relativos al proceso de recolección de datos, diseño general del
sistema, incluyendo los mecanismos de seguridad y control necesarios,
equlpamlento técnico, mecanismos adoptados para garantizar los derechos
de acceso, supresión, rectificación y actualización así como demás
extremos pertinentes» (párrafo 3°) «…Colaborar con la Dirección
Nacional de Protección de Datos Personales y con los correspondientes
organismos de control provinciales en cuantas acciones y actividades
sean necesarias para aumentar el nivel de protección de los datos
personales en el sector público de la Ciudad de Buenos Aires.» (párrafo
penúltimo);

Que la gestión de gobierno en general hace indispensable la
utilización de herramientas registrales o de bases de datos conforme lo
permite el desarrollo tecnológico alcanzado, por lo que buena parte
del instrumental que utilizan los tres poderes de Gobierno se nutre de
la generación de bases de datos que, compartiendo con el espíritu de la
ley, necesariamente deben ser controladas para evitar un avance
estatal sobre la privacidad y derechos que la Constitución de la Ciudad
garantiza a las personas que habitan en nuestro territorio,
independientemente de la protección que otorga la Constitución y Ley
Nacional;

Que no obstante lo expuesto, del análisis de los párrafos 2°, 3° y
penúltimo del referido artículo se advierte que la norma ha conferido
a la Defensoría del Pueblo de la Ciudad de Buenos Aires facultades
propias del Poder Ejecutivo que exceden la natural esfera de control
que debe ejercer el citado organismo, para incursionar en las
correspondientes a la administración activa, relacionadas con la
implementación y ejecución de las políticas gubernamentales;

Que las estipulaciones del mismo, al otorgar facultades ejecutivas
al órgano de control -la Defensoría del Pueblo de la Ciudad de Buenos
Aires-, a través de la creación del Registro de Datos Personales que
funcionaría en su órbita, devienen exorbitantes, toda vez que el
referido registro concentra la capacidad de autorizar y habilitar la
creación, uso y funcionamiento de los archivos, registros, bases y
bancos de datos personales del sector público de la Ciudad;
estableciendo los requisitos y procedimientos que deberán cumplimentar
dichos archivos, registros, bases y bancos de datos personales,
relativos al proceso de recolección de datos, diseño general del
sistema, mecanismos de seguridad y
control, etc.;

Que en este aspecto, la ley que se analiza avanza sobre la
competencia natural del órgano ejecutivo, al atribuir a la Defensoría
del Pueblo de la Ciudad de Buenos Aires la capacidad de dictar la
normativa reglamentaria, vulnerando de esta manera flagrantemente lo
normado por el art. 102 de la Constitución de la Ciudad de Buenos
Aires, que ha otorgado en forma expresa
dicha atribución al Poder Ejecutivo;

Que según surge del artículo referido el registro que se crea, no
sólo determinaría eventualmente qué conformación técnica deberían tener
los registros o bases de datos del sector público de la Ciudad, sino
queademás debería habilitar su funcionamiento;

Que de no observarse el artículo 23 en los párrafos señalados, la
Defensoría del Pueblo deberia autorizar, sólo a modo de ejemplo el
funcionamiento de las constancias de datos del Padrón de Contribuyentes y
el Registro de Contribuyentes de la Dirección General de Rentas, las
bases de prestatarios de servicios de taxis y remises; el Sistema de
Seguimiento de Juicios de la Procuración General (SISEJ); las bases de
permisionarios en cementerios; el Registro Único de Proveedores (RUP),
todas las bases de datos del Registro Civil, el sistema único de mesa
de entradas (SUME), etc.;

Que ello implicaría supeditar todo el funcionamiento de la
administración a la autorización de un órgano de control independiente,
la Defensoría del Pueblo;

Que si bien se comparte el espíritu de la ley sancionada, en
cuanto al necesario control que debe instrumentarse en esta materia
sobre la actividad administrativa del subsector estatal, e
independientemente del poder de gobierno que esté a cargo de su
implementación, corresponde señalar que tanto la actividad de
reglamentación del sistema, como la de habilitación de los registros o
bases, atribuida a un «Registro» creado en la órbita de la Defensoría
del Pueblo, podría subvertir el orden constitucional;

Que en idéntico sentido resultan objetables los párrafos 1° y 2°
del artículo 5° de la norma, toda vez que los mismos establecen que: «Cuando
el responsable de un archivo, registro, base o banco de datos decida
encargar a un tercero la prestación de servicios de tratamiento de
datos personales, deberá requerir previamente la autorización del
organismo de control, a cuyo efecto deberá fundar los motivos que
justifican dicho tratamiento. Los tratamientos de datos personales por
terceros que sean aprobados por el organismo de control no podrán
aplicarse o utilizarse con un fin distinto al que figure en la norma de
creación de archivos, registros, bases o bancos de datos…»;

Que por otra parte el artículo 30 determina la legitimación pasiva de la Acción de Protección de Datos, estableciendo que «La acción procederá respecto de los responsables y/o encargados de tratamiento de archivos, registros, bases o bancos de datos del sector público de la Ciudad de Buenos Aires, a elección del titular de los datos»;

Que dicho artículo resulta objetable en este punto, puesto que es
indudable que la acción deberá ser dirigida contra los organismos
determinados en el art. 2° de la norma y no contra cada uno de los
funcionarios de las áreas intervinientes;

Que sobre la base de tales consideraciones y a efectos de
propiciar la revisión del proyecto de ley por parte de la Legislatura
en los aspectos que han merecido observación, corresponde ejercer
mecanismo excepcional del veto, respecto de los artículos 5º, párrafos
primero y segundo; 23, párrafos segundo, tercero y penúltimo, y 30 de
la Ley Nº 1.845;

Por ello, en uso de las facultades conferidas por los artículos
102, 104 y 88 de la Constitución de la Ciudad de Buenos Aires;

EL JEFE DE GOBIERNO
DE LA CIUDAD AUTÓNOMA DE BUENOS AIRES
DECRETA

Artículo 1°.- Vétase parcialmente la Ley Nº 1.845, sancionada por la Legislatura de la Ciudad Autónoma de Buenos Aires en
su sesión de fecha 24 de noviembre de 2005, en sus artículos
5°, párrafos primero y segundo, 23, párrafos segundo, tercero y penúltimo; y 30.

Artículo 2°.- El presente decreto es refrendado por el señor Jefe de Gabinete.

Artículo 3°.- Dése al Registro,
publíquese en el Boletín Oficial de la Ciudad de Buenos Aires,
comuníquese a la Legislatura de la Ciudad de Buenos Aires, por
intermedio de la Dirección General de Asuntos Políticos y Legislativos
y para su conocimiento y demás efectos pase a la Secretaría Jefe de
Gabinete. Cumplido, archívese.

TELERMAN (a/c) – Fernández

RESOLUCIÓN N° 233/LCBA/006
BOCBA N° 2494 del 03/08/2006

Buenos Aires, 13 de julio de 2006

Artículo 1°.- Acéptase el veto
parcial de la Ley Nº 1.845 «Ley de Protección de Datos Personales», de
acuerdo a lo dispuesto en el artículo 88 de la Constitución de la Ciudad
Autónoma de Buenos Aires.

Artículo 2°.- Comuníquese, etc.

de ESTRADA – Bello

Descriptores