A través de la Resolución 119/2022[1] (BO 12/09/2022 v. 13/09/2022), la Agencia de Acceso a la Información Pública (en adelante “AAIP”), ordenó la apertura del Procedimiento de Elaboración Participativa de Normas, en relación con la propuesta de Anteproyecto de Ley de Protección de Datos Personales, que como Anexo I integra dicha Resolución (en adelante el “Anteproyecto de Ley”).
A continuación, se indican las principales novedades y modificaciones que incorpora el Anteproyecto de Ley, respecto de la ley vigente N° 25.326:
1. Objeto de la Ley (art. 1): Garantizar el ejercicio del derecho fundamental de las personas humanas a la protección de sus datos personales y su privacidad. Establece las reglas para el debido tratamiento de los datos personales y la autodeterminación informativa, así como los derechos de las personas humanas y los deberes de quienes realizan su tratamiento.
2. Contiene definiciones que no se encuentran comprendidas en la ley vigente tales como (art. 2):
a) Anonimización: Aplicación de medidas dirigidas a impedir la identificación o reidentificación de una persona humana, sin esfuerzos o plazos desproporcionados o inviables, teniendo en cuenta factores como los costos y el tiempo necesario para la identificación o reidentificación de la persona a la luz de la tecnología disponible en el momento del tratamiento.
b) Autodeterminación informativa: Entendido como el derecho de la persona de decidir o autorizar de forma libre, previa, expresa e informada la recolección, uso o tratamiento de sus datos personales, así como de conocer, actualizar, rectificar o suprimirlos, o controlar lo que se hace con su información. Comprende un conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales.
c) Datos biométricos: Datos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan o confirmen su identificación única, tales como imágenes faciales o datos dactiloscópicos, entre otros.
d) Datos genéticos: Relativos a las características genéticas heredadas o adquiridas de una persona humana que proporcionen una información sobre su fisiología o salud, obtenidos en particular del análisis de una muestra biológica.
e) Delegado de protección de datos: persona humana o jurídica encargada de informar al Responsable o al Encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar y supervisar el cumplimiento normativo, y de cooperar con la Autoridad de aplicación, sirviendo como punto de contacto entre ésta y el Responsable o Encargado del tratamiento de datos.
f) Elaboración de perfiles: toda forma de tratamiento automatizado y parcialmente automatizado de datos personales consistente en utilizarlos para evaluar determinados aspectos de una persona humana, en particular para analizar o predecir cuestiones relativas al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación, etnia, raza, género o movimientos de dicha persona humana.
g) Incidente de seguridad de datos personales: ocurrencia de uno o varios eventos en cualquier fase del tratamiento que atenten contra la confidencialidad, la integridad y la disponibilidad de los datos personales.
h) Seudonimización: la aplicación de medidas dirigidas a impedir que los datos personales puedan atribuirse a un Titular sin utilizar información adicional.
i) Tercero: persona humana o jurídica, pública o privada, distinta del Titular de los datos, del Responsable del tratamiento, del Encargado del tratamiento o de las personas autorizadas para tratar los datos personales bajo la autoridad directa del Responsable o del Encargado.
j) Datos Personales Sensibles: aquellos que se refieran a la esfera íntima de su Titular, o cuya utilización indebida puedan dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical u opiniones políticas; datos relativos a la salud, discapacidad, a la preferencia u orientación sexual, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona humana.
k) Responsable de tratamiento de datos personales: persona humana o jurídica, pública o privada, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.
l) Encargado del tratamiento: persona humana o jurídica, pública o privada, que trate datos personales por cuenta del Responsable del tratamiento.
m) Encargado del tratamiento: persona humana o jurídica, pública o privada, que trate datos personales por cuenta del Responsable del tratamiento.
3. Ámbito de aplicación: El Anteproyecto de Ley determina el ámbito de aplicación material y territorial:
a) Material (art. 3): Dispone que la Ley se aplicará al tratamiento de datos personales, incluso cuando estos no formen parte de una base de datos. Indica además el deber de conciliación entre el respeto al derecho a la protección de derechos personales con el derecho a la libertad de expresión (no se puede afectar el secreto de las fuentes de información periodística, ni el tratamiento de datos que se realicen en el ejercicio de la libertad de expresión).
b) Territorial (art. 4): La Ley será de aplicación cuando:
i) El Responsable o Encargado del tratamiento se encuentra establecido en la República Argentina, aun cuando el tratamiento de datos tenga lugar fuera de dicho territorio.
ii) El Responsable o Encargado que no se encuentre en el territorio de la República Argentina en los siguientes casos: i) Cuando realice tratamiento de datos en el territorio de la República Argentina, que le permite recolectar, usar, almacenar, indexar o tratar información de personas que se encuentren en dicho territorio; ii) Efectúa actividades de tratamiento relacionadas con: (1) la oferta de bienes o servicios a personas que se encuentren en el territorio de la República Argentina; o, (2) el perfilamiento, seguimiento o control de los actos, comportamientos o intereses de dichas personas; iii) Se encuentra establecido en un lugar al que se aplica la legislación de la República Argentina en virtud del derecho internacional o contractual.
Cabe destacar que, en los supuestos anteriormente mencionados bajo el apartado ii), se deberá designar un Representante en el territorio nacional, quien actuará en nombre de ellos, excepto que: a) El tratamiento sea ocasional; b) Se trate de organismos públicos extranjeros.
4. Principios (arts. 6 a 11): El Anteproyecto de Ley agrega los siguientes principios a los ya contenidos en la ley vigente: i) Minimización de datos, ii) Exactitud, iii) Plazo de conservación, iv) Responsabilidad proactiva y demostrada, v) Neutralidad tecnológica.
5. Bases legales para el tratamiento de datos (art 12): El Anteproyecto de Ley requiere el cumplimiento de al menos una de las siguientes condiciones para la realización del tratamiento de datos personales: (i) consentimiento, (ii) que sea necesario para el cumplimiento de una obligación legal aplicable al Responsable o Encargado del tratamiento, (iii) que sea necesario para la ejecución de un contrato en el que el Titular de los datos sea parte, o para la aplicación de medidas precontractuales, (iv) que sea necesario para la satisfacción del interés legítimo del Responsable del tratamiento, entre otros.
6. Consentimiento (arts. 13 y 14): En general se mantienen los requisitos actualmente receptados para el consentimiento de datos; es decir, que debe ser previo, libre, específico, informado e inequívoco. Se define cada elemento.
7. Información al Titular de Datos (art. 15): El Responsable del tratamiento debe brindar, antes de la recolección, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, al menos, la siguiente información: (i) Nombre o razón social, domicilio y medios electrónicos del Responsable o del Encargado, (ii) Categorías de dato objeto de tratamiento, (iii) Finalidades perseguidas, (iv) Derechos del titular y forma de ejercer, (v) Información sobre posibles cesiones, (vi) Información sobre transferencia de datos incluyendo países de destino, identidad y datos de contacto del importador, posibles riesgos asociados a las transferencias y salvaguardas aplicables, categorías de datos involucradas, finalidad y mecanismos para ejercer sus derechos; (vii) plazo de conservación, entre otros.
8. Seguridad y confidencialidad de los datos (arts. 19, 20 y 21): En el mismo sentido que la ley vigente, el Anteproyecto de Ley dispone que el Responsable o Encargado del tratamiento de datos personales deberá adoptar las medidas técnicas, organizativas y de cualquier otra naturaleza que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, para evitar su adulteración, pérdida, uso, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
Para dichos fines deberán adoptar un sistema de administración de riesgos asociados tomando en cuenta las categorías y volumen de datos personales, la probabilidad de riesgos, el estado de la técnica, mejores prácticas de seguridad integral y los costos de aplicación de acuerdo a la naturaleza, alcance, contexto y los fines del tratamiento.
El Responsable o Encargado del tratamiento deben adoptar las medidas de seguridad aplicables a los datos personales que traten, considerando, al menos, los siguientes factores: i) El riesgo inherente por el tipo de dato personal; ii) El carácter sensible de los datos personales tratados; iii) El desarrollo tecnológico; iv) Las posibles consecuencias de un incidente de seguridad para los Titulares de los datos; v) Los incidentes de seguridad previos ocurridos en los sistemas de tratamiento.
9. Incidente de seguridad (art. 20): Se establece que, ante un incidente se seguridad, el Responsable del tratamiento debe notificar a la Autoridad de Aplicación dentro de las 48hs de haber tomado conocimiento del mismo, debiendo justificar a la Autoridad de aplicación la extensión del plazo en caso de no contar con los medios materiales para cumplirlo.
También se establece que el Responsable debe informar al titular de los datos sobre el incidente ocurrido. No siendo necesario cuando ello suponga un esfuerzo desproporcionado para el Responsable, que podrá optar por una comunicación pública o medida semejante.
La notificación mencionada deberá contener la siguiente información: i) La naturaleza del incidente; ii) Los datos personales que pueden estimarse comprometidos; iii) Las acciones correctivas realizadas de forma inmediata; iv) Las recomendaciones al Titular de los datos acerca de las medidas que puede adoptar para proteger sus intereses; v) Los medios a disposición del Titular de los datos para obtener mayor información al respecto.
El Anteproyecto de Ley impone también al Responsable el deber de documentar todo incidente de seguridad.
10. Transferencias internacionales de datos (arts. 22 a 25): El Anteproyecto de Ley prevé los supuestos en los que será posible realizar transferencias internacionales de datos, a saber:
a) Que el país u organismo internacional o supranacional receptor proporcione un nivel de protección adecuado;
b) Que el exportador ofrezca garantías apropiadas al tratamiento de los datos personales, lo que se podría dar a través de contratos de transferencia, normas corporativas vinculantes, mecanismos de certificación en materia de protección de datos aprobados por la Autoridad de aplicación;
c) Que el titular de los datos otorgue su consentimiento;
d) Que la transferencia sea necesaria para la ejecución de un contrato entre el Titular de los datos y el Responsable del tratamiento; en beneficio del Titular de los datos, entre el Responsable de tratamiento y otra persona humana o jurídica; o para la ejecución de medidas precontractuales adoptadas a solicitud del Titular de los datos;
e) Que la transferencia sea necesaria por razones de interés público; para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; o para proteger los intereses vitales del Titular de los datos o de otras personas, cuando el Titular de los datos esté física o jurídicamente incapacitado para otorgar su consentimiento.
En virtud de lo dispuesto, la Autoridad de aplicación será quien determine la condición de adecuado. A falta de ella, las garantías adecuadas podrán ser adoptadas mediante instrumentos jurídicamente vinculantes y exigibles, acuerdos internacionales bilaterales o multilaterales o acuerdos o convenios entre Argentina y otros países u organizaciones internacionales.
11. Derechos de los titulares de los datos (arts. 26, 27, 28, 29, 30 y 31): Se mantiene el derecho de acceso, rectificación y supresión por parte de los titulares de datos, y se incorpora el derecho de:
a) Oposición: facultad del titular de oponerse al tratamiento de sus datos cuando no haya prestado consentimiento para ello;
b) No ser objeto de decisiones automatizadas y elaboración de perfiles: el Titular de los datos tiene derecho no ser objeto de una decisión basada única o parcialmente en el tratamiento automatizado de datos, incluida la elaboración de perfiles e inferencias, que le produzca efectos jurídicos perniciosos, lo afecte significativamente de forma negativa o tenga efectos discriminatorios;
c) Derecho a la portabilidad de datos personales: cuando se traten datos por medios electrónicos o automatizados, el titular cuenta con la facultad de transferirlos a otro Responsable. Ello no será posible cuando su ejercicio imponga una carga financiera o técnica excesiva o irrazonable sobre el Responsable o Encargado del tratamiento; vulnere la privacidad de otro Titular; afecte las obligaciones legales del Responsable; impida que el Responsable del tratamiento proteja sus derechos, seguridad, bienes, o los del Encargado del tratamiento, o del Titular de los datos o de un tercero.
12. Ejercicio de derechos por parte del Titular: El Responsable del tratamiento debe responder y, en su caso, satisfacer los derechos del Titular de los datos dentro de los 10 días hábiles de haber sido intimado fehacientemente (art. 32).
13. Obligaciones de los responsables y encargados del tratamiento (arts. 34 y 35): El Anteproyecto de ley ordena a los Responsables y a los Encargados del tratamiento de datos a cumplir con determinados deberes.
Entre los deberes del Responsable se puede mencionar:
a) Garantizar al Titular el pleno y efectivo ejercicio del derecho de protección de datos;
b) Cumplir debidamente con el deber de informar al Titular sobre la finalidad de la recolección y sus derechos;
c) Tratar los datos personales bajo condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
d) Implementar medidas para garantizar que los datos personales sean veraces, actualizados, completos, exactos y comprobables;
e) Actualizar los datos personales, rectificar la información cuando sea incorrecta y adoptar medidas necesarias para que la misma se mantenga actualizada;
f) Informar cabalmente y en plazo de ley a la Autoridad de aplicación cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
Ahora bien, entre los deberes del Encargado se pueden mencionar:
a) Los datos personales objeto de tratamiento no pueden aplicarse o utilizarse con un fin distinto al que figure en el contrato ni ser cedidos a otras personas, ni aun para su conservación, salvo autorización expresa del Responsable del tratamiento;
b) Permitir al Responsable o Autoridad de aplicación realizar inspecciones o auditorías para verificar el cumplimiento de la Ley y de lo pactado en el contrato de prestación de servicios;
c) Tramitar debidamente las solicitudes presentadas por el Titular, respondiéndolas de manera completa y oportunamente.
14. Delegado de protección de datos: Tanto el Encargado como el Responsable Ambos deberán designar un Delegado de protección de datos para el supuesto que sus actividades requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades.
El Delegado tendrá las siguientes funciones: i) Informar y asesorar a los Responsables y Encargados del tratamiento, así sus empleados, de las obligaciones a su cargo; ii) Promover y participar en el diseño y aplicación de una política de datos personales; iii) Supervisar el cumplimiento de la ley de datos y de la política de protección de datos; iv) Asignar responsabilidades, concientizar, formar al personal y realizar las auditorías correspondientes; v) Ofrecer el asesoramiento que se le solicite para hacer una evaluación de impacto relativa a la protección de datos, cuando entrañe un alto riesgo de afectación para los derechos de los Titulares, y supervisar luego su aplicación; vi) Cooperar y actuar como referente ante la Autoridad de aplicación para cualquier consulta sobre el tratamiento de datos efectuado por el Responsable o Encargado del tratamiento; vii) Recibir las comunicaciones y responder los reclamos de los Titulares.
Cuando el Responsable o el Encargado del tratamiento no se encuentren establecidos en la República Argentina, deberán designar un Representante en el territorio nacional, quien actuará en nombre de ellos.
15. Registro Nacional para la Protección de Datos (art. 45): El proyecto dispone la creación de un Registro, en donde deberán inscribirse Todos aquellos Responsables y Encargados del tratamiento que deban tener un Delegado de protección de datos y los que deban contar con un representante en la República Argentina.
16. Política de tratamiento de datos personales (art. 36) y Protección de datos desde el diseño y por defecto (art. 38): Los Responsables y los Encargados deberán desarrollar sus políticas para el tratamiento de los datos personales; en caso de haber cambios sustanciales en el contenido, deben notificar al titular y obtener una nueva autorización para el tratamiento de los datos. También poseen el deber de prever y aplicar medidas tecnológicas y organizativas apropiadas para cumplir los principios y garantizar los derechos de los Titulares de los datos desde el diseño y antes del tratamiento.
17. Evaluación de impacto relativa a la protección de datos personales (arts. 39 a 41): Otra novedad incorporada por el Anteproyecto de Ley es la evaluación de impacto de manera previa a la implementación del tratamiento de datos en aquellos casos en que por la naturaleza, alcance, contexto o finalidades del tratamiento, sea probable que éste entrañe un alto riesgo de afectación a los derechos de los Titulares.
La evaluación será obligatoria en los siguientes casos:
a) Evaluación sistemática y exhaustiva de aspectos personales de personas humanas que se base en un tratamiento de datos automatizado y semiautomatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas humanas o que les afecten significativamente de modo similar;
b) Tratamiento de datos sensibles a gran escala, de datos relativos a antecedentes penales, contravencionales o de niños, niñas y adolescentes;
c) Observación sistemática a gran escala de una zona de acceso público.
Y deberá incluir, como mínimo, el siguiente contenido:
a) Una descripción sistemática de las operaciones de tratamiento de datos previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el Responsable del tratamiento;
b) Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento de datos con respecto a su finalidad;
c) Una evaluación de los riesgos para la protección de los datos personales de los Titulares a que se refiere el inciso a) del artículo 39;
d) Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de los datos personales teniendo en cuenta los derechos e intereses legítimos de los Titulares de los datos y de otras personas que pudieran verse potencialmente afectadas.
Cuando una evaluación de impacto muestre que el tratamiento entrañaría un alto riesgo, el Responsable debe informar a la Autoridad de aplicación.
18. Procedimientos y sanciones (arts. 52 a 62): Autoriza a la Autoridad de aplicación a iniciar procedimientos de oficio o a instancias del titular o de un tercero. También se permiten las denuncias. Prevé intimación por parte de la autoridad de aplicación. Luego, se labra acta donde se deja constancia del hecho denunciado y/o verificado y las normas presuntamente infringidas. Se prevé presentación de Descargo.
Las sanciones podrán consistir en multas, apercibimientos, suspensión, de las actividades relacionadas con el tratamiento de datos personales, cierre temporal de las operaciones.
Contra las resoluciones de la Autoridad de aplicación se podrá interponer recurso de reconsideración dentro de los 15 días hábiles de notificados. No procederán ante estas el recurso de alzada. Las resoluciones de la Autoridad de aplicación agotarán la vía administrativa.
19. Vigencia de la nueva (art. 72): El Anteproyecto establece que los Responsables y Encargados del tratamiento contarán con el plazo máximo de UN (1) año desde la publicación de la presente Ley en el Boletín Oficial, para adaptarse a las obligaciones contenidas en ella.
[1] Acceso a la Resolución y Anteproyecto https://www.boletinoficial.gob.ar/detalleAviso/primera/271369/20220912 .
Esta publicación no constituye una opinión legal sobre asuntos específicos. En caso de ser necesario, deberá procurarse asesoría legal especializada.
Para más información comunicarse con: