Argentina avanza en procedimiento de elaboración participativa de normas para buscar presentar un proyecto de ley de actualización de ley de protección de datos personales
El día lunes de esta semana la Agencia de Acceso a la Información Pública emitió la Resolución 119/2022 por la cual inició procedimiento de elaboración participativa de normas en el marco del Decreto 1172/03 respecto a una propuesta de Anteproyecto de Ley de Protección de Datos Personales. El plazo para realizar comentarios al texto propuesto ha comenzado con su publicación finalizando el 30 de septiembre ya que la intención del Poder Ejecutivo sería ingresar el anteproyecto durante el mes de octubre de este año para que pueda ser tratado conforme la agenda legislativa.
La propuesta sometida a consideración fue el producto de aportes de diferentes sectores de la sociedad civil, cámaras empresariales, académicos, reguladores de otros países así como ex titulares de la AAIP y a la vez se basó en sólidos antecedentes regulatorios como el Reglamento General de Protección de Datos de la Unión Europea (en adelante el RGPD), Ley General de Protección de Datos de Brasil, Ley Orgánica de Protección de Datos de Ecuador, Recomendación sobre la Etica de la Inteligencia Artificial de UNESCO, Estándares de Protección de Datos Personales de la Red Iberamericana de Protección de Datos, Proyecto de Ley presentado en 2018 así como el Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal aprobado por Ley 27.483.
La necesidad de una reforma a la ley actual de protección de datos personales, Ley 25.326, sancionada hace más de 20 años responde no solo a la necesidad de adecuar este texto normativo a las nuevas tecnologías imperantes sino para seguir perteneciendo al selecto grupo de 14 países en el mundo considerados por la Unión Europea como con legislación adecuada a los fines del libre flujo de datos personales con dicho continente. Dado que dicha consideración a nuestro país fue otorgada hace casi 20 años bajo el marco regulatorio anterior al actualmente vigente en la Unión Europea, es que se encuentra siendo revisada por la Comisión Europea, ya sea para confirmarla o revocarla.
La norma propuesta comulga en gran medida con los principios imperantes en el RGPD, y viene a mejorar los proyectos de ley, presentados en los últimos años en esta materia.
Las cuestiones más relevantes y auspiciosas de esta propuesta de regulación están relacionadas con:
i) Considerar a los datos biométricos y genéticos como datos personales sensibles y por ende sujetos a mayores restricciones que el resto de los datos personales.
ii) Establecer un criterio de aplicación extraterritorial de la ley resultando exigibles a ciertos tratamientos de datos personales realizados desde el exterior con respecto a personas ubicadas en el territorio nacional.
iii) Incorporación del principio de responsabilidad proactiva demostrada, imperante en las legislaciones más avanzadas en el mundo, bajo el cual se deben adoptar aquellas medidas técnicas, organizativas que sean efectivas para garantizar una gestión adecuada de los datos personales por parte del responsable de del tratamiento así como el cumplimiento con el resto de las obligaciones legales establecidas pero que a la vez permitan demostrar su efectiva implementación. Es decir se abandona el principio de responsabilidad reactiva para pasar a un criterio de responsabilidad de iniciativa propia y anticipación en el cumplimiento de las obligaciones, lo que le otorga a los obligados un margen de maniobra en el cumplimiento de la ley en virtud de las particularidades de cada industria, de la organización involucrada, del tipo de tratamiento de datos personales así como los riesgos involucrados.
iv) Enumera seis diferentes bases que legitiman el tratamiento de datos personales ajenos abandonando el criterio anterior donde solo primaba como base legal el consentimiento y las excepciones al mismo. Las bases de legitimación coinciden con las tomadas por el RGPD (consentimiento, cumplimiento contractual, dentro de funciones propias del Estado, cumplimiento de obligación legal por el responsable, salvaguardar interés vital del afectado, interés legítimo del responsable).
v) Se abandona la noción de consentimiento tácito como justificación para el tratamiento de datos personales.
vi) Se establece criterio exhaustivo para el tratamiento de datos personales de niños y adolescentes fijando el límite de edad para otorgamiento del consentimiento en forma autónoma a los 13 años y a los menores de esa edad con la autorización tutelar o parental.
vii) Refuerza las obligaciones de seguridad informática, estableciendo la obligación de notificar a la autoridad de aplicación dentro de las 48 horas de tomado conocimiento de cualquier incidente de ciberseguridad padecido y también a los titulares de los datos personales cuando los mismos estuvieran en riesgo.
viii) Se incorporan derechos adicionales a los ya consagrados ARCO (Acceso, Rectificación, Cancelación o Supresión y Oposición) como el derecho de portabilidad, de dudosa aplicación en el resto del mundo, derecho de obtener revisión humana para los tratamientos automatizados y a tener conocimiento de los criterios y procedimientos que guían la adopción de decisiones automatizadas aunque respetando los secretos comerciales e industriales.
ix) Se fija la obligación de contar con políticas de privacidad a los encargados y responsables del tratamiento de datos personales junto con otras medidas debidamente documentadas tendientes a acreditar responsabilidad proactiva (procesos internos, auditorías internas, procedimiento para ejercicio de derechos de los titulares, etc).
x) Se exige un delegado de protección de datos a todos los organismos públicos y aquellos otros responsables privados que defina la reglamentación.
xi) Se establece la necesidad de realización de evaluación de impacto de privacidad para determinados supuestos acotados pero que comprometen la protección de datos personales.
xii) Adopta el criterio de exigir responsabilidad desde el diseño y por defecto.
xiii) Se suprime el registro nacional de base de datos personales y se reemplaza por registro de delegados de protección de datos y de representantes de responsables de tratamiento de datos personales sin presencia en la Argentina.
xiv) Fija mayores restricciones para el tratamiento de datos crediticios del sector financiero y no financiero así como obligación de explicar lógica del proceso de puntuación o scoring del comportamiento crediticio evaluado.
xv) Se aumentan significativamente el monto de las multas aplicables a los responsables privados pudiendo llegar a $10.000 millones actualizable por IPC o entre el 2% y 4% de facturación anual global.
xvi) Se amplía signficativamente la legitimación activa de la acción de habeas data principalmente en lo que concierne a afectaciones generalizadas de los datos personales.
xvi) Estabecese plazo de un año para su adecuación desde su publicación en el Boletín Oficial.
Entre las críticas se podrían mencionar:
i) se ha ampliado el plazo a 10 días hábiles a partir de una intimación fehaciente para que el responsable cumpla con la petición del ejercicio de los derechos del titular de los datos personales, cuando en el régimen actual el derecho de supresión, rectificación y actualización se debe cumplir dentro de los 5 días hábiles de recibido el reclamo del titular.
ii) la regulación del derecho de supresión no prevé el derecho de desindexación de vínculos, conocido como derecho al olvido, y además incluye condicionantes adicionales para que proceda su ejercicio.
iii) la omisión entre las obligaciones de los responsables bajo el criterio de responsabilidad proactiva la realización de registro interno de actividad de tratamiento de datos personales dentro de la organización y el análisis de riesgo de los mismos.
iv) Se adopta un criterio de opt out para las actividades de tratamiento de datos personales asociadas a la publicidad, la prospección comercial o la mercadotecnia directa, incluida la elaboración de perfiles, desde el momento que el titular debe oponerse para que cese con dichas actividades respecto a sus datos personales en vez de exigir el consentimiento del titular para poder tratar dichos datos para dichos fines (opt in), situación que se ve agravada frente a la posibilidad de ejercer este tratamiento bajo la base legal del interés legítimo.
v) Infima regulación de la actividad estatal y dejando amplio margen de actuación en lo que concierne al tratamiento de datos personales, sumado a que no le pueden ser impuestas sanciones pecuniarias en caso de incumplimiento.
vi) No se adoptado un criterio diferenciado de cumplimiento y menos exigentes para las PyMEs que realicen tratamiento de datos personales.
vii) No preveer la protección de los ancianos que resultan estar más desprotegidos que los niños al carecer de la comprensión y facilidad en el manejo de sus propios datos personales en entornos digitales.
viii) No evitar que la revisión judicial de las sanciones pecuniarias que se impongan tengan efecto suspensivo y por ende seguir beneficiando al infractor al durar hasta 12 años los respectivos procesos judiciales que logren confirmar una multa impuesta que tal vez pueda ser paliada parcialmente con la actualización de la multa pero sin que se devenguen intereses.
De mantenerse la estructura del presente borrador propuesto de anteproyecto no solo se pueda conservar la consideración de legislación adecuada a los fines de la transferencia internacional de datos personales bajo el RGPD sino que se va a reforzar la protección de los datos personales y la autodeterminación informacional sin por eso afectar la innovación tecnológica, llevando todo esto tal vez a generar un ambiente de confianza y desarrollo económico tan necesario en los tiempos que corren en la sociedad de la información.
Por eso desde Crearis-Latam auspiciamos a que los interesados a presenten sus comentarios al anteproyecto de ley sometido a la consideración pública, práctica poco habitual bajo nuestro sistema de gobierno. A tales fines se adjunta el link de la Agencia de Acceso a la Información Pública donde podrán encontrar el texto del anteproyecto propuesto y las indicaciones para subir los comentarios, propuestas de modificación o inclusión de textos.
Para la concientización social sobra la importancia de la regulación de un derecho como la autodeterminación informativa es muy importante fomentar el interés en discutir en diferentes ámbitos de nuestra sociedad el alcance de este derecho que ha tomado un protagonismo inusitado bajo el entorno digital en que convivimos.
