Общие сведения | Законы о защите данных
Национальное законодательство
Основные законы о защите данных
В Аргентине действует основной закон о защите персональных данных — Закон № 25.326 («Закон о защите данных» или DPA), а также утверждённый к нему Регламентирующий декрет № 1558/2001.
Кроме того, Аргентина ратифицировала Конвенцию 108 и её обновлённую версию — Конвенцию 108+.
Официальная дата вступления DPA в силу — 2 ноября 2000 года.
Регламентирующий декрет начал действовать 29 ноября 2001 года.
Конвенция 108 была ратифицирована 1 июня 2019 года.
Конвенция 108+ — 17 апреля 2023 года.
Национальный надзорный орган
Компетентный орган по контролю за защитой данных — Агентство по доступу к публичной информации (далее — Агентство).
Адрес: Av. Pte. Gral. Julio A. Roca 710 – 3rd Floor, Ciudad Autónoma de Buenos Aires, C1067ABP
Электронная почта: info@aaip.gob.ar
Официальный сайт: https://www.argentina.gob.ar/aaip/datospersonales
Доступна также англоязычная версия сайта по ссылке: https://www.argentina.gob.ar/aaip/english_version.
Схема уведомления или регистрации и сроки
Любая база персональных данных подлежит регистрации в Агентстве. Для подачи заявления требуется указать название и адрес ответственного лица, характеристики и назначение базы, вид персональных данных, способы сбора и обновления, категории получателей данных, способы взаимосвязи информации, используемые меры безопасности, срок хранения информации и способы для физических лиц получить доступ, внести исправления или обновить собственные данные.
Оформление регистрации базы данных, а также внесение изменений или аннулирование возможно исключительно в электронном виде через платформу «Trámites a Distancia» («TAD») по адресу https://tramitesadistancia.gob.ar/tramitesadistancia/inicio-publico.
Чаще всего регистрируются базы, связанные с кадровым учетом, поставщиками, клиентами, колл-центрами, маркетингом и видеонаблюдением.
Освобождение от уведомления
Частные лица, хранящие персональные базы данных исключительно для личных целей, освобождаются от обязательства регистрации.
Сфера действия
Территориальная область
Закон о защите данных применяется на территории Аргентины, а также при обработке персональных данных через интернет.
Понятия контролера и процессора
DPA распространяется на владельцев баз персональных данных («пользователи данных»), что по смыслу близко к понятию контролера.
При этом понятие процессора в законе отсутствует.
Охват бумажных и электронных записей
DPA охватывает любые «базы персональных данных», независимо от способа сбора, хранения, организации или доступа — как электронные, так и бумажные.
Национальные исключения
Использование персональных данных для журналистики не регулируется законом.
Право на внесение изменений в данные не применяется для случаев, связанных с национальной безопасностью.
Персональные данные
Определение персональных данных
DPA определяет персональные данные как «информацию любого рода, относящуюся к определённым или определяемым физическим лицам или юридическим организациям».
Лицо, к которому относятся данные, именуется «субъектом данных».
Считаются ли данные о юридических лицах персональными?
Да, информация о компаниях и организациях также признаётся персональными данными.
Правила обработки персональных данных
Для обработки персональных данных обычно требуется явно выраженное согласие субъекта данных, при этом субъект должен быть информирован о сути запрашиваемого согласия в чёткой и открытой форме.
В ряде случаев согласие не требуется — например, если данные поступают из публичных источников, собираются для функций государства или на основании закона, если речь идёт о списках, в которых содержатся только имя, номер удостоверения, идентификационный или страховой номер, профессия, дата рождения и адрес, если данные появляются в результате договорных или научных отношений или связаны с транзакциями, осуществляемыми финансовыми организациями и полученными в рамках банковской тайны.
К передаче персональных данных предъявляются дополнительные ограничения: как правило, для передачи нужно согласие субъекта, которое может быть в любое время отозвано.
Однако согласие не требуется, если раскрытие данных предусмотрено законом, соответствует одному из перечисленных общих условий обработки, производится между государственными органами, необходимо для целей общественного здоровья при условии анонимизации или если информация обезличена.
Лицо, получающее персональные данные, несёт те же юридические обязательства, что и лицо, предоставившее их, а обе стороны несут солидарную ответственность за дальнейшее использование данных.
Формальные требования для получения согласия
Согласие на обработку персональных данных должно быть явным и осознанным.
Как правило, оно оформляется в письменной или иной подходящей форме, соответствующей ситуации.
DPA не предусматривает конкретных формальностей при получении согласия, и согласие может быть получено онлайн — например, простым нажатием соответствующей иконки.
Особые правила для детей
Если обрабатываются данные лиц младше 18 лет, согласие должно быть подтверждено родителем или законным представителем.
Особые правила для данных работников
Дополнительных норм при обработке персональных данных сотрудников не предусмотрено.
Чувствительные персональные данные
Понятие чувствительных персональных данных
К чувствительным персональным данным относятся традиционные категории такой информации.
Однако есть дискуссия относительно того, ограничивается ли определение только этими категориями или включает данные, которые могут быть использованы для дискриминации (например, адрес проживания в неблагополучном районе).
Согласно Конвенции 108+ и Резолюции №255/2022 от 15 декабря 2022 года к чувствительным данным прямо относятся также генетическая и биометрическая информация.
Дополнительные правила для обработки чувствительных данных
Обязать кого-либо предоставить чувствительные данные невозможно.
Обработка таких данных допускается строго в случаях, если имеется общественный интерес и это разрешено законом, либо для статистических или научных целей, если идентификация субъектов данных невозможна на основе используемых сведений.
Создание баз данных, напрямую или косвенно раскрывающих чувствительные сведения, запрещено.
Исключение делается для Католической церкви, религиозных объединений, политических партий и профсоюзов, которые могут вести учет своих членов.
Отдельные правила для информации о преступлениях
Данные о преступлениях могут обрабатывать исключительно компетентные государственные органы и только в целях, установленных законом.
Формальности получения согласия для чувствительных данных
Также, как и для простых данных, согласие должно быть явным и осознанным, оформленным письменно или в иной аналогичной форме.
Специалисты по защите данных
Обязательность назначения ответственного
DPA не обязывает назначать специалиста по защите данных.
Однако в Положении 3/2012 утверждена новая форма аудита, в которой требуется назначение конкретного ответственного за вопросы защиты данных и безопасности.
Хотя закон не требует наличия такого специалиста, для компаний является обычной практикой назначать его.
Ответственность и оценка воздействия на защиту данных
Общая обязанность по контролю
Законодательство не содержит общей обязанности по контролю за соблюдением норм защиты данных.
Обязательность проведения оценки воздействия
Обязательности в проведении оценки влияния на приватность нет.
Права субъектов данных
Уведомление о сборе персональных данных
При запросе персональных данных лицо должно получить явное, чёткое и предварительное уведомление о целях обработки, категориях получателей, существовании и владельце соответствующей базы, необходимости или добровольности предоставления информации, последствиях предоставления или отказа и праве на доступ, исправление или удаление данных.
Право на доступ к информации
Субъекты данных имеют право бесплатно получить доступ к своим данным, если те хранятся в публичной базе или в частной базе данных для предоставления отчетов.
Запросы разрешены раз в шесть месяцев (если нет уважительных причин чаще).
Ответ должен быть предоставлен в течение 10 календарных дней.
Если субъект данных скончался, правом пользуются наследники.
Предоставляемая информация должна быть ясной, с пояснением смыслов и терминов, чтобы её мог понять человек со средним уровнем образования.
Даже если запрошена одна запись, субъект получает копию всех сведений, которые его касаются.
Данные можно получать письменно, а также в электронной, телефонной, визуальной или иной удобной форме.
Право на переносимость данных
Такое право не предусмотрено.
Право на забвение
Отдельного права на забвение не предусмотрено.
Возражение против прямого маркетинга и профайлинга
Базы данных могут использоваться для прямого маркетинга, если включённые в них сведения: (1) были общедоступными; (2) предоставлены самими субъектами; (3) используются с их согласия.
Субъект данных имеет право бесплатно запросить удаление или блокировку своего имени в таких базах данных в любое время.
Другие права
Каждый человек имеет право требовать исправления, обновления, а также удаления или обеспечения конфиденциальности своих персональных данных в базе.
Система исправления и удаления данных строго урегулирована: если данные были переданы третьей стороне, ее необходимо уведомить об изменениях или удалении в течение пяти дней.
Безопасность
Требования к мерам по защите данных
Обязанности по безопасности требуют от контролеров и обработчиков данных применять меры, предотвращающие несанкционированный доступ или изменение персональных данных.
Существует обязанность по сохранению конфиденциальности для всех, кто обрабатывает персональные данные.
Обязанность сохраняется даже после окончания отношений с владельцем базы и может быть снята лишь решением суда или по мотивам общественной безопасности, национальной обороны или здравоохранения.
Агентство выпустило Рекомендации по мерам безопасности при обработке и хранении персональных данных; они касаются сбора данных, контроля доступа, внесения изменений, восстановления после сбоев, управления уязвимостями, уничтожения информации, инцидентов безопасности и тестовой среды.
Положением №10/2015 в отношении видеонаблюдения признано правомерным сбор и обработка изображений людей в целях безопасности.
Для этого требуется наличие специального документа о безопасности, который предоставляется при регистрации базы данных или её продлении.
Обработка третьими лицами (обработчики данных)
В числе прочего, третья сторона, оказывающая услуги по обработке данных, может использовать их только в рамках цели, определенной в контракте, и обязана не раскрывать их третьим лицам, даже для целей хранения.
По окончании договора персональные данные должны быть уничтожены, если только субъект не дал иных инструкций; в таком случае хранение допускается не более чем на два года и исключительно в надлежащих условиях.
Уведомление о нарушении безопасности
Законом обязательство сообщать о нарушениях данных регулирующему органу или субъекту не установлено.
Однако Резолюция №47/2018 рекомендует подобные уведомления как проявление добросовестности, чтобы предотвратить или минимизировать ущерб держателям данных.
Передача персональных данных в другие страны
Ограничения на трансграничную передачу данных
Положением 60-E/2016 одобрены новые правила для международной передачи персональных данных. Официально утверждён список стран с адекватной защитой персональных данных: страны ЕС и ЕЭЗ, Швейцария, Гернси, Джерси, остров Мэн, Фарерские острова, Канада (только частный сектор), Новая Зеландия, Андорра и Уругвай.
В резолюции 34/2019 также признано, что Великобритания обеспечивает адекватный уровень защиты.
Передача персональных данных в страны или организации, которые не обеспечивают достаточный уровень защиты, запрещена.
Исключения допускаются для нужд международного судебного сотрудничества, здравоохранения с анонимизацией, банковских и фондовых операций, если это предусмотрено международным договором, а также для межгосударственного обмена разведданными по борьбе с преступностью, терроризмом и наркоторговлей, либо при наличии явного согласия субъекта данных.
Согласие не требуется при передаче данных из публичного реестра, открытому для общественности или лиц с законным интересом при соблюдении всех требований закона и регламента.
Для передачи данных в юрисдикции без достаточной защиты возможно заключение международного соглашения.
Утверждены два стандартных модельных контракта для таких случаев.
Если стороны заключают другое соглашение, оно подлежит обязательному согласованию с Агентством в течение 30 дней.
Дополнительно, согласно Резолюции 198/2023, одобрены типовые положения «Ibero-American Data Protection Network», дополняющие ранее утверждённые международные стандарты.
Уведомление и одобрение национального регулятора
Как правило, уведомление о передаче данных или получение одобрения национального регулятора не требуется.
Однако если применяется отличный от утверждённого стандартного модельного контракта вариант, согласование с Агентством обязательно.
Корпоративные обязательные правила
Резолюция 159/2018 Агентства предусматривает обязательность корпоративных правил для групп компаний (Binding Corporate Rules, BCR): эти правила обязательны для всех участников группы, работников, подрядчиков и бенефициаров.
Компании, передающие данные в юрисдикции с недостаточным уровнем защиты, должны направить подобные правила на утверждение регулятору.
Контроль и санкции за нарушение
Штрафы
Агентство вправе назначать предупреждение, приостанавливать или закрывать базу данных, а также налагать штраф до 15 000 000 песо.
Размер санкции определяется характером нарушения, объёмом обработки, выгодой, полученной в результате, умышленностью, частотой нарушений, ущербом для третьих лиц и других факторов.
Лишение свободы
В Уголовном кодексе предусмотрены наказания: до 2 лет заключения за преднамеренное внесение ложных данных; до 3 лет — за передачу третьим лицам ложной информации; до 3 лет — за взлом базы данных; до 3 лет — за разглашение конфиденциальной информации.
Срок наказания увеличивается, если нанесён ущерб субъекту данных или нарушение совершено должностным лицом при исполнении обязанностей.
Компенсация
DPA прямо не предусматривает компенсацию, однако она может быть взыскана по общим нормам деликтного права.
Прочие полномочия
Агентство имеет право выносить административные предписания.
Практика применения
6 июня 2019 года Агентство оштрафовало YAHOO! DE ARGENTINA S.R.L на 105 000 песо за неинформирование о внесении изменений или закрытии базы данных и ещё на 80 000 песо за хранение персональных данных без соблюдения условий безопасности.
9 сентября 2021 года крупная сеть супермаркетов получила штраф 290 000 песо за неинформирование клиентов о факте утечки данных вследствие атаки вредоносного ПО и рассылки спама.
Агентство публикует все вынесенные решения, включая разъяснения и рекомендации по толкованию норм, а также наложенные им санкции — ознакомиться с ними можно через соответствующий портал.
Периодически возбуждаются уголовные дела, например, против ChoicePoint за продажу информации о гражданах Аргентины властям США.
С 2009 по 2022 год Агентство проводило многочисленные аудиты компаний из разных сфер — интернет-компаний, агентств по кредитным отчетам, торговых сетей, банков, страховых и фармацевтических организаций. Сейчас около 3-7 аудитов проходит еженедельно.
К концу 2022 года Агентство составило годовой отчет о деятельности, где приводит статистику по обращениям, штрафам и прочим параметрам.
Большее количество штрафов связано с отсутствием регистрации баз данных либо несвоевременным её продлением, а также с несанкционированной обработкой данных, невыдачей доступа или невозможностью удаления/корректировки данных, неинформированием о целях сбора информации и иными нарушениями правил защиты информации.
Были также многочисленные штрафы за несоблюдение закона о национальном «Реестре отказавшихся от звонков» (см. «Маркетинг по телефону» ниже).
Приватности в сети | Маркетинг и cookies
Национальное законодательство
Законы о приватности в сети
В Аргентине отсутствуют отдельные специальные акты, посвящённые защите приватности в сети.
Cookies
Условия использования файлов cookies не регламентированы и отдельными рекомендациями не регулируются.
Маркетинг по электронной почте
Условия прямого маркетинга по e-mail частным лицам
Особых правил, кроме общих положений DPA, нет. Однако применение DPA к отправке прямого маркетинга обязательно.
Условия для корпоративных подписчиков
Аналогично, кроме DPA, специальных положений не существует.
Исключения и дополнительные вопросы
Если прямой маркетинг осуществляется без согласия получателя (на основании другого основания), в заголовке письма должно быть ясно указано слово «publicidad» (реклама), чтобы письмо было явно помечено как рекламное.
Также требуется обеспечить техническую возможность отказаться от рассылки и сослаться на статью 27 DPA.
Телефонный маркетинг
Условия звонков частным лицам (без автообзвона)
К телефонному маркетингу применяются только общие требования DPA.
Условия звонков юридическим лицам (без автообзвона)
Требования аналогичны.
Исключения и дополнительные вопросы
Функционирует национальный “Реестр отказавшихся от звонков” (закон 26.951, декрет 2501/2014), защищающий пользователей телефонии от навязчивых звонков с предложением товаров и услуг.
Любой потребитель может бесплатно зарегистрироваться в реестре и не получать рекламные звонки.
В 2023 году за нарушение этого закона было наложено 24 штрафа на общую сумму 66 млн песо — например, 5 мая 2023 года DirecTV оштрафована на 3 млн песо, а 14 декабря 2023 года Telefónica — на 100 тыс. песо за звонки абонентам из такого реестра.
|
Хотите узнать больше? Нужна юридическая помощь? Звоните и пишите нам, не откладывая! Телефон: +7-495-201-68-31 Электронная почта: inbox@shewzov.ru |