Compartir

Privacidad – Novedades sobre privacidad en LATAM

Privacidad – Novedades sobre privacidad en LATAM

Por Mateo DargetJosefina Piñeiro.

En el presente artículo comentamos algunas de los hechos más importantes que acontecieron en Latinoamérica en materia de protección de datos personales durante los últimos meses.

(i) Red Iberoamericana

  • El 27 de septiembre la Red Iberoamericana de Protección de Datos publicó la “Guía de implementación de cláusulas contractuales modelo para la transferencia internacional de datos personales” (“Guía”). La Guía busca establecer los principales aspectos que deben tenerse en cuenta cuando se realizan transferencias internacionales de datos personales mediante el uso de cláusulas contractuales modelo. A tal efecto, se diseñaron dos modelos de cláusulas: una para el caso de transferencias a responsables de tratamiento y otras a encargados de tratamiento.

(ii) Argentina

  • Proyecto de Ley

El 10 de noviembre la Agencia de Acceso a la Información Pública (“Agencia”) publicó una nueva versión del Proyecto de Ley de Protección de Datos Personales tal como informáramos en nuestra anterior edición del BeNews (ver aquí).

Esta nueva versión tomo algunos de los comentarios recibidos durante el proceso de consulta pública sobre la propuesta de Anteproyecto de Ley de Protección de Datos Personales que se inició el 12 de septiembre y finalizó el 11 de octubre.

Como comentamos anteriormente, el Proyecto de Ley se alinea en gran medida al Reglamento General de Protección de Datos Personales de la UE.

  • Algunos de los puntos principales que incorpora el nuevo proyecto son los siguientes:
    • Se ajustan las definiciones de los términos incluidos en la ley, como el caso de datos sensibles
    • Se prevé la extensión extraterritorial de las disposiciones de la norma;
    • Se añaden ciertos principios como los de minimización, responsabilidad proactiva, neutralidad tecnológica, de preeminencia, etc.;
    • Se incorporan nuevas bases legales adicionales al consentimiento como el “interés legítimo”;
    • Se incorpora la obligación de informar a la autoridad de control y a los titulares de los datos la ocurrencia de un incidente de seguridad;
    • Se amplían los derechos de los titulares de datos: limitación del tratamiento, portabilidad, revisión para los tratamientos automatizados y conocimiento de los criterios para las decisiones automatizadas, entre otros;
    • Se incorpora la obligación de realizar una evaluación de impacto por parte del responsable de tratamiento ante ciertas situaciones;
    • Se incorpora la figura de Delegado de Protección de Datos cuyo nombramiento es obligatorio en determinados casos y opcional para el resto;
    • Se incorpora la figura del Representante que debe ser designado cuando el responsable o el encargado del tratamiento no estén establecidos en Argentina;
    • Se incrementan sustancialmente el valor de las multas, las cuales serán actualizadas periódicamente.
  • Convenio 108+

El 30 de noviembre se publicó en el Boletín Oficial el Decreto 792/2022 por el cual se promulgó la ley 27.699. Mediante esta ley se formalizó legislativamente la adhesión de Argentina al protocolo que actualizó el Convenio 108 del Consejo de Europa sobre la protección de datos de carácter personal, conocido como Convenio 108+.

Dentro de los nuevos lineamientos que incorpora este Protocolo al Convenio 108 al cual había adherido Argentina en el año 2019,

  • Se destacan los siguientes:
    • El reconocimiento de ciertos principios generales sobre tratamiento de datos como el principio de proporcionalidad y de minimización de datos;
    • Ampliación de la definición de datos sensibles, que pasan a incluir datos genéticos, biométricos, afiliación sindical y origen étnico;
    • Obligación de informar ciertos incidentes de seguridad a la autoridad de control;
    • Reconocimiento de nuevos derechos para los titulares de datos;
    • Mayor injerencia del principio de accountability para los responsables de tratamiento;
    • Actualización del régimen relativo a transferencia internacional de datos;
    • Nuevas atribuciones y facultades de las autoridades de control y ampliación de las bases legales para la cooperación internacional.
  • Registro de bases de datos de responsables extranjeros

El 29 de noviembre la Agencia, autoridad de control de la Ley de Protección de Datos Personales N° 25.326, incorporó un formulario web para la inscripción en el Registro Nacional de Bases de Datos de aquellas personas físicas o jurídicas que realizan tratamiento de datos personales de argentinos pero no se encuentran establecidas en el territorio.

De acuerdo a la normativa vigente, los Responsables de Bases de Datos Personales deben declarar las bases de datos públicas y privadas destinadas a dar informes ante el Registro Nacional de Bases de Datos que lleva la Agencia.

Hasta el momento, el Registro Nacional solo estaba habilitado para Responsables de Bases de Datos Personales que tenían radicación en Argentina.

  • Modificación al régimen de sanciones

El 5 de diciembre de 2022 se publicó en el Boletín Oficial de la Nación la Resolución 240/2022 de la Agencia. La misma introduce algunas modificaciones al régimen sancionatorio en materia de protección de datos personales establecido en la Disposición N° 7/2005 de la anterior Dirección Nacional de Protección de Datos Personales.

La Resolución 240/2022 incorpora dos anexos que formulan un nuevo régimen de clasificación de infracciones y nuevos parámetros para la graduación de sanciones de las conductas violatorias de la Ley de Protección de Datos Personales y la Ley del Registro No Llame.

El Anexo I de la Resolución 240/2022 efectúa algunas modificaciones a las distintas conductas que se tipifican como infracciones al régimen de protección de datos y que son clasificadas como leves, graves y muy graves.

El Anexo II de la Resolución modificó los valores para la graduación de las sanciones. Los nuevos valores son los siguientes:

  • En el caso de las infracciones leves, podrán aplicarse multas de entre Pesos 1.000 y 80.000 (equivalentes a USD 5,6 y 450,70 respectivamente al tipo de cambio oficial del 12 de diciembre de 2022);
  • En el caso de infracciones graves, podrán aplicarse multas de entre Pesos 80.000 y 90.000 (equivalentes a USD 450,70 y 507 respectivamente);
  • En el caso de infracciones muy graves, podrán aplicarse multas de entre Pesos 90.000 y 100.000 (equivalentes a USD 507 y 563 respectivamente).

Por otra parte, y en virtud de la Resolución 244/2022 de la Agencia publicada en el Boletín Oficial el 6 de diciembre de 2022 se modificaron los topes máximos que pueden aplicarse en caso de multas.

Cuando un acto administrativo condenatorio incluya más de una sanción pecuniaria por una conducta idéntica susceptible de ser sancionada dentro de cada uno de los niveles de graduación de sanciones previstas en la Resolución 240/2022, deberán aplicarse los siguientes topes máximos:

  • En el caso de infracciones leves, podrán aplicarse multas de Pesos 3.000.000 (equivalentes a USD 16,901 al tipo de cambio oficial del 12 de diciembre de 2022);
  • En el caso de infracciones graves, podrán aplicarse multas de Pesos 10.000.000 (equivalentes a USD 56,338 al tipo de cambio oficial);
  • En el caso de infracciones muy graves, podrán aplicarse multas de Pesos 15.000.000 (equivalentes a USD 84,507 al tipo de cambio oficial).

(iii) Brasil

  • El 8 de noviembre la Autoridad de Protección de Datos de Brasil publicó su Agenda Regulatoria 2023-2024 (“Agenda”). En ella se establecieron cuáles serán los temas de alta prioridad durante los próximos dos años. Las iniciativas de la Agenda se dividen en fases, según las prioridades que revisten los distintos temas.     

(iv) Chile

  • Con respecto al proyecto de ley de datos personales (“Proyecto”), que busca sustituir a la Ley 19.628 sobre Protección a la Vida Privada y Protección de Datos de Carácter Personal, continúa la discusión sobre su aprobación en la Cámara de Diputados.
  • El Poder Ejecutivo chileno señaló ciertos aspectos a ser tenidos en cuenta en los próximos debates. El principal aspecto a considerar será la responsabilidad de los infractores cuyas sanciones están previstas para dividirse entre leves, graves y gravísimas.

A su vez, se tratarán otros aspectos tales como el derecho de portabilidad, qué información entregar al titular de datos, deber de adoptar medidas de seguridad, entre otros.

(v) Peru

  • El 25 de octubre la Autoridad Nacional de Protección de Datos Personales aprobó la Guía de la Red Iberoamericana de Protección de Datos. A partir de ello, las empresas podrán utilizar las cláusulas contractuales que fueron aprobadas por la propia Red en las transferencias internacionales de datos que realicen.

(vi) Uruguay

  • El 20 de octubre se aprobó la ley de Rendición de Cuentas y Balance de Ejecución Presupuestal correspondiente al ejercicio 2021, la cual ha modificado la Ley de Protección de Datos Personales. Los cambios se refieren al derecho de información de los titulares de datos (principio de transparencia) y las acciones a cargo del órgano de control entre otros.

Para más información por favor contactarse con: mdarget@ojambf.com y/o jpineiro@ojambf.com

Share post: