Nuevo Proyecto de Ley de Protección de Datos Personales
Por Andrea Sanchez Vicentini, Josefina Piñeiro, Mariano Peruzzotti y Julieta Martinez Correa.
I. Régimen actual.
En el año 2000 se aprobó la Ley de Protección de Datos Personales N° 25.326 (“LPDP”), reglamentada posteriormente por el Decreto N° 1558/2001 y varias resoluciones, disposiciones y demás normas emitidas por la Agencia de Acceso a la Información Pública (“AAIP”). Si bien no se han introducido modificaciones sustanciales al texto de la LPDP desde su promulgación en 2000, Argentina ha adherido a los siguientes instrumentos internacionales:
- Convenio No. 108 para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos Personales del Consejo de Europa.
- Convenio 108+ (es decir, el protocolo que moderniza el Convenio 108), también del Consejo de Europa, el cual fue ratificado por Argentina en abril de este año.
II. Proceso de reforma del régimen actual.
El proceso de reforma de la LPDP comenzó con la iniciativa de la AAIP en agosto del 2022. Luego de distintas reuniones mantenidas por la AAIP, se publicó un Anteproyecto de Ley (“Anteproyecto”) y se dio inicio al Procedimiento de Elaboración Participativa de Normas que permitió generar espacios de debate con opiniones, aportes y comentarios de ciudadanos, profesionales expertos, representantes de la sociedad civil, universidades e investigadores, y organizaciones del sector privado y sector público nacional e internacional.
En noviembre del año 2022 se publicó la primera versión del Proyecto de Ley luego de recibidos más de 140 comentarios y observaciones al Anteproyecto, y en febrero del año corriente la AAIP publicó una nueva versión. El texto del Proyecto estuvo bajo análisis de la Secretaría Legal y Técnica de la Jefatura de Gabinete dentro de la estructura del Poder Ejecutivo Nacional. Finalmente, el Presidente de la Nación firmó el Proyecto de Ley para su presentación en el Congreso. El texto del mensaje con el Proyecto puede ser consultado en el siguiente link. Se estima que el Proyecto será tratado en las comisiones de Asuntos Constitucionales, Legislación General y Presupuesto y Hacienda.
Según los postulados de la AAIP, la actualización de la LPDP, norma que tiene más de 20 años de vigencia, es necesaria para fortalecer las capacidades estatales de regulación y gestión de políticas públicas en pos de enfrentar los nuevos desafíos impuestos por la transformación y desarrollo tecnológico en un contexto de la economía digital globalizada, y a su vez contribuir con la armonización de los estándares regionales e internacionales en materia de protección de datos personales, desde un enfoque de Derechos Humanos y desde una mirada situada y soberana.
III. Cambios que incorpora la reforma.
En muchos sentidos, el Proyecto de ley sigue las disposiciones del Reglamento General de Protección de Datos de la Unión Europea (“RGPD”). Los principales cambios introducidos en el Proyecto, en comparación con la LPDP actualmente vigente, son los siguientes
Definiciones
Se han introducido nuevos términos en la lista de definiciones, que incluyen:
• consentimiento;
• transferencia internacional de datos;
• datos genéticos;
• datos biométricos;
• anonimización;
• seudonimización;
• elaboración de perfiles;
• responsable;
• encargado;
• representante (similar al artículo 27 del RGPD);
• terceros; y
• delegado de protección de datos.
Titular de los datos
A diferencia de la LPDP, el Proyecto de ley sólo contempla los datos personales de las personas naturales excluyendo la información de las personas jurídicas.
Ámbito territorial
Siguiendo el RGPD y otras normas similares como la Ley General de Protección de Datos de Brasil, el Proyecto de ley se aplicará a las organizaciones fuera de Argentina si ofrecen bienes o servicios o monitorean el comportamiento de las personas en Argentina, entre otras cosas.
Principios
La minimización de datos y la responsabilidad proactiva y demostrada se introducen como principios de procesamiento de datos.
Base legal
El Proyecto de ley establece que el tratamiento de datos personales será lícito cuando concurra uno de los seis motivos, entre los que se encuentra el interés legítimo. De conformidad con la LPDP, la única base legal es el consentimiento (con un número limitado de excepciones a la regla del consentimiento).
Datos sensibles
Se introducen bases legales adicionales para el procesamiento de datos personales sensibles. El Proyecto de ley incluye los criterios de responsabilidad reforzada en el tratamiento de este tipo de información.
Niños
El Proyecto de ley prevé una protección especial para los niños y establece reglas específicas para proteger los datos personales de los niños cuando se procesan en el contexto de los servicios de la sociedad de la información.
Incidentes de seguridad
El Anteproyecto impone la obligación de comunicar las violaciones de datos a la AAIP sin demoras indebidas y dentro de las 72 horas siguientes a tener conocimiento de que la violación es probable que suponga un riesgo para los derechos de los interesados. Los interesados también deben ser informados de la violación si es probable que resulte en un alto riesgo para sus derechos.
Transferencia transfronteriza de datos
El Proyecto de ley aclara las disposiciones sobre transferencia internacional de datos que estarán permitidas cuando:
• el tercer país garantiza un nivel adecuado de protección de los datos personales, según lo determine la AAIP;
• el exportador proporciona garantías adecuadas sobre las condiciones de procesamiento de datos (como el caso de cláusulas contractuales modelo, reglas corporativas vinculantes o mecanismos de certificación); o
• una transferencia encuadra en alguna de las excepciones para situaciones específicas (incluido el consentimiento).
Derechos del interesado
Se añaden nuevos derechos al actual listado previsto en la LPDP (incluye el derecho a la información, acceso, rectificación, actualización, supresión, trato confidencial así como revocar el consentimiento), entre los que se encuentran el derecho a:
• portabilidad de datos;
• no estar sujeto a la toma de decisiones automatizada (o elaboración de perfiles); y
• obtener la limitación del tratamiento.
El plazo para responder la solicitud de un interesado es de 10 días hábiles.
Evaluación de impacto de la protección de datos
Cuando el responsable esté considerando realizar un tipo de procesamiento de datos que, según la naturaleza, el alcance, el contexto y los propósitos, probablemente resulte en un mayor riesgo para los derechos de los interesados deberá realizar de manera previa a su implementación una evaluación de impacto. Al igual que el RGPD, el Proyecto de Ley enumera los supuestos en los que dicha evaluación es obligatoria y establece el contenido mínimo que debe contener. La consulta previa con la AAIP es obligatoria si el resultado de la evaluación revela un alto riesgo para los derechos de los interesados.
Delegado de protección de datos
El nombramiento de un delegado de protección de datos es obligatorio en determinadas situaciones y voluntario en los restantes casos. El Proyecto de Ley describe el puesto, las calificaciones, los requisitos y las tareas para este cargo. Un grupo de empresas podrá designar un único delegado de protección de datos. El rol puede ser cubierto por un empleado del responsable o en el marco de un contrato de prestación de servicios.
Representante
De conformidad con el RGPD, un representante debe ser designado por los responsables y encargados extranjeros que se encuentren amparados por las disposiciones de la ley argentina considerando las normas de ámbito territorial.
Registro nacional
Los responsables y encargados que deban designar un delegado de protección de datos, así como aquellos que deban designar un representante, deberán estar registrados en la AAIP. Ya no será necesario registrar las bases de datos.
Multas
El Proyecto modifica la forma de cálculo de las multas por infracciones al régimen de protección de datos, tomando a tal efecto la unidad móvil, la cual se establece en un valor inicial de Pesos Argentinos 10.000 y que será actualizada anualmente utilizando la variación del índice de precios al consumidor (IPC) que publica el Instituto Nacional de Estadística y Censos (INDEC) o el indicador oficial que lo reemplace en el futuro. Las multas se establecen así desde las 5 unidades móviles hasta 1.000.000 de unidades móviles o, del dos por ciento (2 %) hasta el cuatro por ciento (4%) de la facturación total anual global del ejercicio financiero anterior.
IV. Modificaciones introducidas en la última versión.
Las principales modificaciones introducidas en la nueva versión de junio con respecto a la de febrero son las siguientes:
Tratamiento efectuado por el Estado Nacional
Se incluye dentro del ámbito de aplicación material de la ley al tratamiento efectuado por el Estado con las finalidades de salvaguardar la seguridad pública, la defensa de la Nación, la protección de la salud pública y las libertades de terceros.
Asimismo, el Proyecto establece cómo debe efectuarse el tratamiento de datos realizado por el sector público, incluyendo las cesiones de datos personales.
Por otro lado, en relación a la versión anterior del Proyecto, se eliminó la mención expresa en cuanto al procesamiento de datos efectuado por Fuerzas Armadas, fuerzas de seguridad y de inteligencia.
Interés legítimo
El Proyecto incluye criterios para fundamentar la existencia de un interés legítimo, que deberá ser considerado a través de un análisis detallado, previo y documentado, con inclusión del contexto, circunstancias en que se llevará a cabo el tratamiento y el nivel de riesgo que implica. En la utilización de esta base legal deberá reforzarse el respeto del principio de minimización de datos, y acotarse sobre la base de criterios expresos de proporcionalidad y razonabilidad.
Tratamiento de datos personales de menores
Modifica el régimen de tratamiento de datos personales de menores de edad al establecer la edad de consentimiento válido a partir de los 16 años (en lugar de 13 años de las versiones anteriores). También se agrega como excepción a la prohibición de tratar datos sensibles de las niñas, niños y adolescentes para aquellos casos en que el tratamiento fuera indispensable para salvaguardar la vida de aquellos, siempre que la persona con la guarda o tutela estuviere imposibilitada para prestar el consentimiento por sí o por sus representantes.
Deber de confidencialidad
El responsable únicamente podrá ser relevado del deber de confidencialidad a través de resolución judicial u obligación legal. La versión anterior incluía además la orden de la autoridad y al acto administrativo dictado por autoridad competente fundado en razones de orden público.
Tratamiento de datos con fines estadísticos
Se permite el tratamiento de datos sensibles con finalidades estadísticas o científicas, siempre que el titular de los datos no pueda ser identificado.
Sin embargo, en cuanto al principio de seguridad de los datos personales se eliminó la referencia al procedimiento bajo el cual podrán ser tratados los datos personales, sensibles o no, con fines estadísticos y científicos. La versión anterior incluía la obligación de realizar dichos estudios e investigaciones estadísticas y científicas exclusivamente dentro del organismo, en un ambiente controlado y seguro, de acuerdo con las prácticas de seguridad previstas en le ley y que incluyeran siempre que sea posible la anonimización o seudonimización de los datos.
Competencia federal en redes interconectadas
El Proyecto establece que procederá la competencia competencia federal cuando las bases de datos se encuentren interconectadas en redes interjurisdiccionales, nacionales o internacionales. Si bien esto no se encontraba en versiones anteriores del Proyecto, se encuentra previsto en el régimen jurídico actual.
Entrada en vigencia
La nueva ley entraría en vigencia a los 180 días de publicada en el Boletín Oficial, sin periodo de adecuación. La versión del Proyecto anterior establecía el plazo de un año.
Nuevas sanciones
El Proyecto modifica la LPDP en cuanto al régimen de sanciones. A tal efecto, los valores y tipos de sanciones administrativas empezarán a regir con la publicación de la ley en el Boletín Oficial que serían aplicables al régimen de la LPDP actual, y no a partir del plazo de entrada en vigencia de la nueva ley.
V. Reflexiones finales.
Todavía queda un largo camino por recorrer para la efectiva sanción de la nueva ley. Este Proyecto de Ley deberá enfrentar un año electoral en el que la atención de su discusión en el ámbito parlamentario puede estar disminuida. No obstante, sería importante que se pueda dar el debate para lograr la modificación de un régimen que data de más de 20 años y que ya da signos de desactualización. En ese sentido, existe otro proyecto presentado por la Diputada Banfi, el cual también aguarda tratamiento legislativo.
Para más información por favor contactarse con: mperuzzotti@ojambf.com, jpineiro@ojambf.com y/o asanchezvicentini@ojambf.com.