• 3 августа 2022

    Аргентина

     

    ЗАКОНОДАТЕЛЬСТВО АРГЕНТИНЫ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства в области персональных данных 

    Право на защиту персональных данных появилось в результате реформы Конституции 1994 года, когда в ее текст была включена статья 43. В 2000 году был принят Закон о защите данных 25 326 (The Data protection law). Данный закон был основан на положениях Директивы ЕС 95/46. В 2001 году указанный закон был конкретизирован Указанием 1558/2001 «Защита личных данных» (Decreto 1558/2001 Proteccion de los datos personales). В 2003 году резолюцией ЕС Аргентина была признана страной, обеспечивающей адекватный уровень защиты персональных данных. В 2014 году был принят закон №26 951, ограничивающий звонки в целях прямого маркетинга, в соответствии с которым был создан реестр Don’t call. Кроме того, Национальный уголовный кодекс (Codigo penal de la nacion Argentina) предусматривает наказание за преступления, связанные с конфиденциальностью и достоверностью данных, в виде штрафов и тюремного заключения.

    Другими нормами, которые влияют на защиту данных, являются статьи 52 и 1770 Национального гражданского и коммерческого кодекса (Codigo civil y commercial de la nacion), охраняющие право на неприкосновенность частной жизни, а также статья 22 Закона о защите прав девочек, мальчиков и подростков № 26.061 (Ley de proteccion integral de los derechos de las ninas, ninos y adolescents) по вопросам данных несовершеннолетних.

    С июня 2019 года Аргентина является участницей Конвенции 108 о защите физических лиц в отношении автоматической обработки персональных данных. Особенностью Закона о защите данных является распространение его на сведения, относящиеся к юридическим лицам. При этом журналистская деятельность не регулируется данным законом.

    Территориальное действие законодательства о персональных данных

    Законодательство о защите персональных данных Аргентины применяется только на территории Аргентины и не имеет экстерриториального действия. Оно применяется ко всем компаниям, обрабатывающим персональные данные аргентинских граждан, либо к тем, чья деятельность по обработке осуществляется на территории Аргентины, независимо от места регистрации компании.

    Основные понятия

    Персональные данные

    Как уже было отмечено выше, Закон о защите данных распространяет свое действие на данные юридических лиц. Исходя из этого, Закон определяет персональные данные как информацию любого рода, относящуюся к определенным или определяемым физическим и юридическим лицам.

    Чувствительные данные

    Чувствительные данные, согласно терминологии Закона о защите данных, – это персональные данные, раскрывающие расовое и этническое происхождение, политические взгляды, религиозные, философские или моральные убеждения, членство в профсоюзе, а также информация о состоянии здоровья, сексуальных привычках или поведении.

    В соответствии с Законом о защите данных, никто не может быть принужден к предоставлению чувствительных данных. Сбор и обработка чувствительных данных допускается только в случае наличия обстоятельств, представляющих общественный интерес, в случаях, предусмотренных законом, в статистических или научных целях, при условии, что владельцы данных не могут быть идентифицированы.

    Запрещается создавать базы данных для хранения информации, которая прямо или косвенно раскрывает чувствительные данные. Из данного правила Законом о защите данных предусмотрено исключение – католическая церковь, религиозные объединения, политические или рабочие организации, имеют право вести реестр своих членов.

    Данные о состоянии здоровья могут обрабатываться государственными и частными медицинскими учреждениями в соответствии с принципами профессиональной тайны.

    Трансграничная передача

    По общему правилу трансграничная передача не допускается, за исключением случаев, предусмотренных Законом о защите данных, а именно:

    • в рамках международного судебного сотрудничества;
    • в целях оказания медицинской помощи или в случае эпидемиологического обследования, при условии, что данные были обезличены;
    • в рамках осуществления финансовых операций на фондовом рынке;
    • в рамках международных договоров, подписанных от имени Аргентинской Республики;
    • в целях международного сотрудничества между разведывательными органами в борьбе с организованной преступностью, терроризмом и незаконным оборотом наркотиков.

    В 2018 году Национальное управление по защите персональных данных выпустило Постановление № 159/2018 (Resolucion 159/2018 05/12/2018), где утверждаются руководящие принципы и основное содержание обязательных корпоративных правил (BCR), которые могут использоваться компаниями, передающими персональные данные из Аргентины компаниям той же экономической корпоративной группы, расположенными в странах, не обеспечивающих надлежащий уровень защиты данных. BCR должны соответствовать минимальному содержанию требований, установленному Национальным управлением по защите персональных данных. В противном случае они должны быть представлены на утверждение в указанный орган в течение 30 дней. BCR должны быть обязательными для всех членов одной корпоративной группы (посредством корпоративных решений, обязывающих их соблюдать BCR), а также для их сотрудников, субподрядчиков и сторонних бенефициаров (посредством конкретных договорных положений).

    С учетом вышеизложенного, передача персональных данных в страны, которые не обеспечивают должного уровня защиты, будет разрешена, в том числе если передача осуществляется между компаниями одной и той же экономической группы, если компании ввели в действие BCR с минимальным содержанием, установленным или одобренным Национальным управлением по защите персональных данных.

    Компании, участвующие в обработке персональных данных, должны взять на себя солидарную ответственность перед владельцем данных и контролирующим органом за любое нарушение.

    Компетенция Национального управления по защите персональных данных распространяется только на компанию, экспортирующую данные, которая учреждена в Аргентине.

    Биометрические данные

    Биометрические данные не выделяются в отдельную категорию в аргентинском Законе о защите данных. Биометрические данные являются подкатегорией персональных данных, в отношении которых предусмотрено специальное регулирование и особая защита.

    Согласно разъяснениям Национального управления по защите персональных данных (Dictamen DNPDP № 16/11 04.10.2011), биометрические данные – это особая категория идентифицирующих данных, которые являются результатом преобразования физических или поведенческих характеристик человека в данные, которые могут быть использованы с целью установления личности их владельца (например, подпись, отпечаток пальца, ДНК, лицо, глаза, голос). Для сбора биометрических данных необходимо согласие либо законодательно установленное право. Перед сбором таких данных необходимо оценить, представляется ли сбор как строго необходимая мера для достижения намеченной цели, и нет ли другой более разумной меры (то есть меры, менее нарушающей конфиденциальность), и что цель и обстоятельства, для которых они собираются, пропорциональны тем данным, которые будут использоваться.

    Персональные данные несовершеннолетних

    В отношении несовершеннолетних применяются общие положения Гражданского кодекса Аргентины, согласно которому несовершеннолетние не обладают правоспособностью в части предоставления согласия на обработку персональных данных. Следовательно, за несовершеннолетних согласие предоставляется уполномоченными представителями.

    Закон о защите прав девочек, мальчиков и подростков № 26.061 в статье 22 предусматривает запрет на распространение или разглашение данных или изображений, которые позволяют прямо или косвенно идентифицировать несовершеннолетних посредством любых средств связи или публикации без согласия несовершеннолетних, их родителей (законных представителей), наносящие ущерб достоинству или репутации несовершеннолетних или представляющие собой произвольное или незаконное вмешательство в их частную жизнь или семью.

    Оператор и обработчик (понятие обработчика, оформление отношений с обработчиком, полномочия)

    Закон о защите данных не дает определения контролера данных (оператора), однако можно сделать вывод, что контролеры данных обрабатывают данные по своему усмотрению, определяя цели и средства обработки.

    Обработчики данных занимаются обработкой данных в соответствии с инструкциями контролеров данных.

    Поскольку контролеры данных обрабатывают данные по своему усмотрению, обработчики данных должны соблюдать не только требования Закона о защите данных, но и инструкции, выданные контролером данных.

    Статья 9 Закона о защите данных устанавливает, что лицо, ответственное за файлы данных, или пользователь файлов данных должны принимать все технические и организационные меры, необходимые для обеспечения безопасности и конфиденциальности персональных данных, во избежание их изменения, потери, несанкционированного доступа или обработки. Закон о защите данных запрещает запись персональных данных в файлы, которые не соответствуют техническим требованиям целостности и безопасности.

    Хотя в указанном законе прямо об этом не говорится, в целом существует практика, что обработка персональных данных может быть передана сторонним поставщикам услуг без запроса предварительного согласия владельцев данных. Однако контролер и процессор должны заключить соглашение, в котором, в частности, говорится, что процессор может обрабатывать данные только в соответствии с инструкциями контролера и что процессор должен соблюдать обязательства по обеспечению безопасности и конфиденциальности, установленные Законом.

    Статья 25 Закона о защите данных предусматривает положение, согласно которому обработчик не может использовать данные для каких-либо иных целей, кроме тех, что указаны в соответствующем договоре на предоставление услуг, и не может раскрывать данные другим сторонам даже для целей хранения.

    Согласно статье 11 Закона о защите данных контролер и обработчик будут отвечать совместно и по отдельности за соблюдение законодательных обязательств перед Национальным управлением по защите персональных данных и владельцем данных. Однако обработчик может быть полностью или частично освобожден от ответственности, если докажет, что ущерб причинен не по его вине.

    После выполнения соответствующих договорных обязательств поставщик услуг (обработчик) должен уничтожить данные, за исключением случаев, когда контролер базы данных предвидит возможность их использования в будущем и поэтому дает указание поставщику услуг хранить данные (в течение дополнительного срока не более двух лет).

    Права субъекта персональных данных (отзыв согласия, требование о прекращении обработки)

    Законом о защите данных предусмотрены следующие права субъекта персональных данных:

    • право на информацию (бесплатное ознакомление с информацией в базе данных);
    • право на доступ к информации (бесплатный доступ с интервалом
      шесть месяцев);
    • право на получение полной и понятной информации;
    • право на исправление, обновление или удаление информации.

    Исправление, обновление, удаление неполных или неточных личных данных в общедоступных или частных базах данных осуществляется без взимания платы с заинтересованной стороны.

    Общее регулирование согласия на обработку персональных данных. Требования к согласию

    Согласно Закону о защите данных, обработка персональных данных является незаконной, если владелец данных не дал своего явного согласия, которое должно быть дано в письменной форме или с помощью любых других подобных средств в зависимости от обстоятельств.

    Согласие на обработку персональных данных не требуется в случаях, когда данные:

    • являются общедоступными;
    • необходимы в целях осуществления государственных функций;
    • включают имя, номер национального удостоверения личности, ИНН, или номер социального обеспечения, род занятий, дату рождения, место жительства и номер телефона;
    • необходимы для договорных отношений, в научных или профессиональных целях, относятся к операциям, совершаемым в финансовых целях, и получены в результате обработки информации, полученной от клиентов (защищена законодательством о банковской тайне).

    При сборе персональных данных владельцы данных (субъекты персональных данных) должны быть предварительно уведомлены в четкой и ясной форме:

    • о цели обработки, а также о том, для кого они собираются;
    • о наличии соответствующей базы данных и ее владельце;
    • о последствиях предоставления данных, отказа в предоставлении данных, их неточности;
    • о возможности заинтересованной стороны воспользоваться правом на доступ к персональным данным, их исправление и удаление.

    Законный интерес

    Такое правовое основание для обработки персональных данных законодательством не предусмотрено.

    Отраслевое регулирование в области персональных данных

    Банковское

    Согласно ст. 26 Закона о защите данных кредитная информация может составлять персональные данные финансового характера, имеющей значение для оценки экономической платежеспособности и кредитоспособности лица. Данные экономического характера могут быть получены только из общедоступных источников или от субъекта персональных данных, или с его согласия.

    Кроме того, информация о выполнении (или невыполнении) стороной финансовых обязательств, может быть предоставлена кредитором. При этом согласия субъекта персональных данных не требуется.

    По запросу субъекта персональных данных владелец базы данных должен представить отчет за последние шесть месяцев, содержащий имя и место жительства субъекта.

    В базу данных вносятся только персональные данные, имеющие значение для оценки экономической и финансовой состоятельности субъектов персональных данных за последние пять лет. При погашении обязательства должником указанный срок сокращается до двух лет, о чем указывается в отчете.

    Предоставление информации о кредитной истории не требует получения предварительного согласия субъекта персональных данных в целях передачи персональных данных кредитным организациям.

    Медицина

    Вместе с Законом о защите данных в области медицины также действует специальный Закон 26.529 от 21.10.2009 «О правах пациентов в их отношениях с медицинскими работниками и учреждениями» (Ley 26.529 «Derechos del paciente en su relacion con los profesionales e instituciones de la salud).

    Вся деятельность по оказанию медицинской помощи, затрагивающая получение, классификацию, использование, администрирование, сохранение и передачу информации и клинической документации пациента, должна осуществляться при строгом уважении человеческого достоинства и автономии воли, а также при должной защите неприкосновенности частной жизни пациента.

    Пациент имеет право на получение необходимой медицинской информации, касающейся его здоровья. Данное право включает право не получать вышеупомянутую информацию.

    Информация о здоровье может быть предоставлена ​​третьим лицам только с разрешения пациента.

    В случае недееспособности пациента или невозможности понять информацию из-за его физического или психического состояния, она будет предоставлена ​​его законному представителю или, в противном случае, супругу, проживающему с пациентом, или лицу, которое проживает с ним или отвечает за помощь или уход за ним.

    Пациент является держателем своей медицинской карты. По его запросу ему должна быть предоставлена копия, заверенная медучреждением. Установлен срок исполнения такого запроса – 48 часов (в отличие от общей нормы, описанной Законом о защите данных, которой для ответа предусмотрен срок 10 дней).

    Запросить историю болезни вправе:

        • пациент (его законный представитель);
        • супруг или лицо, проживающее с ним, наследники – только с согласия пациента, за исключением случаев, когда он не может его предоставить;
        • врачи и другие специалисты в области медицины, если они имеют прямое разрешение пациента или его законного представителя.

    Локализация (положения, требования, ответственность)

    Соответствующее нормативное регулирование законодательством не предусмотрено.

    Ответственность за нарушения в сфере персональных данных

    Национальное управление по защите персональных данных вправе применить санкции, заключающиеся в предупреждении, приостановке или штрафе в размере от 1000 песо (1000 долларов США) и 100 000 песо (100 000 долларов США), закрытие и аннулирование базы данных.

    Законом о защите данных предусмотрено требование к нормативному регулированию ответственности. Так, санкции должны содержать условия
    и порядок их применения, а также классификацию пропорционально серьезности и степени нарушения и убыткам, возникающим в результате выявленных нарушений. Таким образом, на законодательном уровне гарантируется принцип надлежащей правовой процедуры.

    Уголовное наказание предусматривается:

        1. За преступление, включающее:
        • умышленное искажение персональных данных (ответственность за такое преступление – лишение свободы на срок от одного месяца до двух лет);
        • предоставление заведомо ложной информации, содержащейся в файлах с персональными данными (наказание – лишение свободы от шести месяцев до трех лет.

    Шкала наказаний увеличивается наполовину от минимального и максимального наказания, когда лицу причинен вред в результате вышеуказанных действий.

    Когда нарушителем является государственное или должностное лицо при исполнении своих обязанностей, применяется дополнительное наказание в виде лишения права занимать государственные должности на срок вдвое больше срока уголовного наказания.

        1. За преступление, включающее:
        • взлом частной базы данных, нарушение конфиденциальности и системы безопасности базы данных;
        • раскрытие третьим лицам информации из зарегистрированных баз данных, тайна которой охраняется законодательством.

    Может быть назначено наказание в виде лишения свободы от шести месяцев до трех лет.

    Если данное преступление совершено государственным служащим, дополнительно применяется наказание в виде дисквалификации на срок от одного года до четырех лет.

    Особенности регулирования

    Лица, ответственные за общедоступные источники персональных данных, вправе отказать в доступе к таким данным, и их исправлении в целях национальной безопасности, обороны, общественного порядка или защиты прав и интересов третьих лиц.

    Также доступ к общедоступным источникам может быть ограничен в целях правосудия, административного или налогового расследования. Такое решение должно быть обосновано и об этом должно быть сообщено заинтересованной стороне.

    В то же время в доступе к общедоступному источнику не может быть отказано стороне, осуществляющей свое право на защиту.

    Закон о защите данных распространяется на базы данных, принадлежащих вооруженным силам, службе безопасности, полиции или спецслужбам. Обработка данных в целях национальной обороны или общественной безопасности вооруженными силами, силами безопасности, полицией или спецслужбами без согласия на обработку персональных данных допускается только в случаях и целях, предусмотренных законодательством для исполнения указанными органами собственных функций. Персональные данные, обрабатываемые полицией, должны быть уничтожены, если они не считаются необходимыми для расследования.

    Законодательством в сфере персональных данных предусмотрено право различных ассоциаций и организаций, являющихся владельцами баз данных, а также пользователей таких баз создавать кодексы профессиональной практики по работе с персональными данными, направленные на обеспечение и улучшение условий функционирования информационных систем на основе принципов, установленных Законом о защите данных. Такие кодексы должны быть зарегистрированы в реестре, который ведет Национальное управление по защите персональных данных, и соблюдаться членами таких ассоциаций.

    Урегулирование споров. Досудебная процедура. Право на обращение в суд

    Субъекты персональных данных могут обратиться с жалобой в надзорный орган, предварительно обратившись к оператору по обработке данных. Также субъект вправе защищать свои права в сфере обработки данных в суде.

    Иск о защите персональных данных может быть предъявлен пострадавшей стороной, опекуном или попечителем, а также правопреемниками физических лиц или их представителями. Иск может быть предъявлен по месту жительства как истца, так и ответчика или по месту события, которое повлекло иск, по выбору истца.

    Закон о защите данных предусматривает требования, которые предъявляются к иску:

        • иск должен быть подан в письменной форме с максимально точным указанием имени, места жительства или файла, содержащего персональные данные, реестра или базы данных, а также имени пользователя;
        • в отношении общедоступных источников должна быть предпринята попытка определить государственный орган, ответственный за них;
        • истец должен перечислить в своем иске, в какой базе данных хранятся персональные данные, а также указать признаки, которые указывают на недостоверность или неточность информации и доказательства соблюдения положений досудебного урегулирования спора.

    Заинтересованная сторона может потребовать на период судебного разбирательства внести отметку об этом в соответствующую базу данных или файл, содержащий персональные данные.

    Судья, рассматривающий спор, может потребовать временной блокировки файла, содержащего персональные данные, если он считает, что соответствующая информация является ложной или неточной.

    Решение суда по иску должно быть сообщено Национальному управлению по защите персональных данных для учета.

    Надзорный орган в сфере персональных данных, его полномочия

    Надзорным органом является Национальное управление по защите персональных данных. В его функции входит контроль за соблюдением Закона
    о защите данных. В связи с этим его полномочия включают:

    • оказание помощи и консультирование относительно положений Закона о защите данных, средств защиты прав, предоставленных указанным законом;
    • издание руководящих и направляющих документов;
    • учет баз данных;
    • рассмотрение жалоб и претензий на нарушение прав в связи с обработкой персональных данных;
    • контроль соблюдения норм целостности и безопасности данных в базах данных (c этой целью надзорный орган вправе запросить соответствующее решение суда на доступ к помещениям, оборудованию или программному обеспечению для проверки нарушений Закона о защите данных);
    • ведение реестров кодексов профессиональной практики.

    Кроме того, надзорный орган имеет право:

    • запрашивать информацию у государственных и частных организаций;
    • применять административные санкции за нарушение Закона о защите данных;
    • выступать на стороне обвинения в уголовных делах, возбужденных за нарушение Закона о защите данных;
    • контролировать выполнение требований и гарантий;
    • согласовывать кодексы профессиональной практики, которые представляются для регистрации в специальном реестре.

    Руководитель Национального управления по защите персональных данных не может совмещать свою деятельность с иной деятельностью и может быть отстранен от должности исполнительной властью в связи с ненадлежащим исполнением обязанностей.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению А.С. Мишкиной на законодательство Аргентинской Республики 

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.