La formación de base de datos será lícita cuando se encuentren debidamente inscriptas.

Las personas físicas o jurídicas privadas que creen, modifiquen o supriman bases de datos de carácter personal, que no sean para uso exclusivamente individual o doméstico, deberán registrarse conforme lo previsto.

Toda base de datos pública o privada debe inscribirse en el Registro que al efecto habilite el Órgano de Control, de acuerdo a los criterios reglamentarios que se establezcan.

Ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro.

Las bases de datos no pueden tener finalidades violatorias de derechos humanos o contrarias a las leyes o a la moral pública.

Los datos personales que se recojan a los efectos de su tratamiento deberán ser veraces, adecuados, ecuánimes y no excesivos en relación con la finalidad para la cual se hayan obtenido. La recolección de datos no podrá hacerse por medios desleales, fraudulentos, abusivos, extorsivos o en forma contraria a las disposiciones de la presente ley. Los datos deberán ser exactos y actualizarse en el caso en que ello fuera necesario.

Los datos objeto de tratamiento no podrán ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención. Los datos deberán ser eliminados cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hayan sido recolectados.

Tampoco podrá comunicarse información entre bases de datos sin que medie ley o previo consentimiento informado del titular.

El tratamiento de datos personales es lícito cuando el titular haya prestado su consentimiento libre, previo, expreso e informado, el que deberá documentarse.

No será necesario el previo consentimiento cuando:

• Los datos provengan de fuentes públicas de información.
• Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal.
• Se trate de listados cuyos datos se limiten en el caso de personas físicas a nombres y apellidos, documento de identidad, nacionalidad, domicilio y fecha de nacimiento. En el caso de personas jurídicas, razón social, nombre de fantasía, registro único de contribuyentes, domicilio, teléfono e identidad de las personas a cargo de la misma.
• Deriven de una relación contractual, científica o profesional del titular de datos, y sean necesarios para su desarrollo o cumplimiento.
• Se realice por personas físicas o jurídicas, privadas o públicas, para su uso exclusivo personal o doméstico.

El responsable o usuario de la base de datos debe adoptar las medidas necesarias para garantizar la seguridad y confidencialidad de los datos personales. Dichas medidas tendrán por objeto evitar su adulteración, pérdida, consulta o tratamiento no autorizado, así como detectar desviaciones de información, intencionales o no, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

Los datos deberán ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular.

Queda prohibido registrar datos personales en bases de datos que no reúnan condiciones técnicas de integridad y seguridad.

Aquellas personas físicas o jurídicas que hayan obtenido legítimamente información proveniente de una base de datos que les brinda tratamiento, están obligadas a utilizarla en forma reservada y exclusivamente para las operaciones habituales de su giro o actividad, estando prohibida toda difusión de la misma a terceros.

Las personas que, por su situación laboral u otra forma de relación con el responsable de una base de datos, tengan acceso o intervengan en cualquier fase del tratamiento de datos personales, están obligadas a guardar estricto secreto profesional sobre los mismos, cuando hayan sido recogidos de fuentes no accesibles al público.

El responsable de la base de datos es responsable de la violación de las disposiciones de la presente ley.