Disposición DNPDP 7/2005 — Clasificación de infracciones y escala de sanciones
Sanción:8 de noviembre de 2005Promulgación:8 de noviembre de 2005BO:14 de noviembre de 2005
5artículos
Protección de datos personalesSanciones administrativasInfraccionesPrivacidad digitalHabeas dataRegistro de bases de datosFiscalización administrativa
Contexto de la ley
Resumen ejecutivo
Esta disposición de la DNPDP organiza las infracciones a la Ley de Datos Personales en tres niveles (leve, grave, muy grave) y fija las sanciones económicas y operativas para cada uno. Las multas van de $1.000 a $100.000, con posibilidad de suspensión o clausura de la base de datos para los casos más graves.
Objetivo
Dar certeza y previsibilidad al sistema sancionatorio de la Ley de Protección de los Datos Personales, estableciendo qué conductas constituyen infracciones y qué consecuencias tienen, de modo que los responsables de bases de datos puedan conocer de antemano las consecuencias del incumplimiento.
Problema que resuelve
La Ley de Protección de los Datos Personales preveía sanciones pero sin detallar la graduación. Esta disposición llena ese vacío definiendo con precisión qué es leve, grave y muy grave, y cuáles son las penas máximas y mínimas para cada nivel.
A quiénes alcanza
Responsables de bases de datos de personas físicas o jurídicasUsuarios de bases de datosCesionarios de datos personalesOrganismos públicos con bases de datos
Análisis jurídico
Obligaciones
•Los responsables de bases de datos deben conocer la escala de infracciones para adecuar su cumplimiento
•La DNPDP debe aplicar la escala de manera proporcional y razonada
•Las sanciones firmes deben inscribirse en el Registro de Infractores
Derechos que reconoce
•El infractor tiene derecho a conocer la calificación de la infracción antes de la sanción
•Derecho a presentar descargo ante la DNPDP
•Derecho a recurrir la sanción ante la Justicia
Sanciones
•Infracciones leves: $1.000 a $80.000 y/o hasta 2 apercibimientos
•Infracciones graves: $80.000 a $90.000, hasta 4 apercibimientos y/o suspensión de 1 a 30 días
•Infracciones muy graves: $90.000 a $100.000, hasta 6 apercibimientos y/o suspensión de 31 a 365 días o clausura definitiva
Casos de uso
•Determinar qué sanción puede aplicarle la DNPDP a mi empresa ante un incumplimiento
•Entender qué conductas son más graves y cuáles pueden implicar la clausura de la base
Preguntas frecuentes
Los montos originales de $1.000 a $100.000 son actualizables por la DNPDP mediante nuevas disposiciones. Desde 2005 han sido actualizados. Al momento de una sanción, se aplican los montos vigentes, no los originales de 2005.
Texto legal oficial
5 artículos · Texto vigente
Explicación en lenguaje claro
Traducción para ciudadanos
Art. 1Infracciones leves
Infracciones leves — Multas de $1.000 a $80.000 y/o hasta 2 apercibimientos: a) No inscribir la base de datos en el Registro Nacional; b) No notificar al titular la incorporación de sus datos; c) No actualizar o rectificar datos erróneos cuando fuere solicitado; d) Incumplimientos de medidas de seguridad de nivel básico.
Nivel 1 de infracciones: las más leves. Generalmente son omisiones formales o administrativas. La multa va de $1.000 a $80.000 (monto actualizable por la DNPDP). El responsable puede acumular hasta 2 apercibimientos antes de que una nueva infracción pase a ser tratada como grave.
Ejemplo práctico
Si la DNPDP inspecciona una empresa de telemarketing y comprueba que su base de datos de prospectos no está inscripta en el Registro Nacional, le aplica una multa dentro de la escala de $1.000 a $80.000.
Infracciones graves — Multas de $80.000 a $90.000, hasta 4 apercibimientos y/o suspensión de 1 a 30 días: a) Tratar datos sin consentimiento del titular; b) Vulnerar principios de calidad de datos; c) No cesar en el tratamiento cuando fuere requerido; d) No atender derechos de acceso, rectificación, supresión o bloqueo; e) Incumplimiento de medidas de seguridad de nivel medio.
Nivel 2: infracciones que afectan derechos concretos de las personas. Lo más característico es tratar datos sin consentimiento o ignorar los derechos ARCO (Acceso, Rectificación, Cancelación, Oposición). La sanción puede incluir la suspensión de la base, lo que puede impedir el funcionamiento del servicio.
Ejemplo práctico
Una fintech que construyó un perfil crediticio usando datos de redes sociales sin consentimiento del usuario comete infracción grave. Si además no responde al pedido de supresión de datos, agrava la situación.
Infracciones muy graves — Multas de $90.000 a $100.000, hasta 6 apercibimientos, suspensión de 31 a 365 días o clausura/cancelación definitiva: a) Recolección fraudulenta o ilícita; b) Cesión de datos en violación de las prohibiciones legales; c) Transferencia internacional sin nivel de protección adecuado; d) Tratamiento de datos sensibles sin cumplir requisitos especiales; e) Incumplimiento de medidas de seguridad de nivel alto.
Nivel 3: las conductas más graves del sistema. Son casos donde el daño al titular es mayor o la violación es más flagrante. La clausura definitiva es la sanción máxima: la DNPDP puede ordenar el cierre permanente del archivo o base de datos, lo que en muchos casos equivale a cerrar el negocio.
Ejemplo práctico
Una empresa de seguros que vendió historiales médicos de sus asegurados a un laboratorio farmacéutico sin consentimiento ni base legal comete infracción muy grave pasible de clausura definitiva de su base de datos.
Créase el Registro de Infractores en el ámbito de la Dirección Nacional de Protección de Datos Personales, en el que se anotarán todas las resoluciones sancionatorias que adquieran firmeza. Dicho registro será tenido en cuenta para evaluar la en la aplicación de las sanciones previstas en los artículos anteriores.
La DNPDP lleva un registro público de todos los infractores sancionados. Si una empresa ya fue sancionada y vuelve a infringir la ley, la se tiene en cuenta para agravar la nueva sanción. Es un incentivo para cumplir: quien ya fue multado y reincide puede pasar a una categoría superior de infracción.
Ejemplo práctico
Una empresa que ya fue sancionada por no inscribir su base de datos (infracción leve) y reincide en la misma conducta puede ser considerada reincidente y recibir una sanción más alta o ser recalificada como infracción grave.
Art. 5Derogación y vigencia
Derógase la Disposición DNPDP Nº 1/2003. La presente disposición entrará en vigencia a partir de su publicación en el Boletín Oficial.
→ Disposición DNPDP 1/2003
Elimina la escala sancionatoria anterior (Disposición 1/2003) y pone en vigencia esta nueva desde el día de su publicación oficial.
Ejemplo práctico
Si en un proceso sancionatorio surge la pregunta de cuál escala aplicar, la respuesta es esta: desde el 14/11/2005 rige la Disposición 7/2005; antes, regía la 1/2003.
Reglamentaciones
→ Disposición DNPDP 1/2003 (derogada por este artículo)