El 12 de septiembre de 2022 se publicó en el Boletín Oficial la Resolución 119/2022 de la Agencia de Acceso a la Información Pública (“AAIP”), la cual prevé el Anteproyecto de nueva ley de protección de datos personales (“Anteproyecto”) y da inicio al procedimiento de elaboración participativa de normas en virtud del cual interesados podrán presentar sus comentarios, propuestas y opiniones a la propuesta de texto legal.
1. Antecedentes
En el mes de agosto de 2022 la AAIP, autoridad de control de la Ley de Protección de Datos Personales N° 25.326 (“LPDP”), anunció el inicio del proceso tendiente a debatir una nueva ley de protección de datos personales. En dicho marco, la AAIP desarrolló mesas de diálogo nacionales con representantes de organizaciones de la sociedad civil, cámaras empresariales, autoridades y funcionarios del sector público, representantes provinciales en el marco del Consejo Federal para la Transparencia, referentes del ámbito académico, especialistas en materia de protección de datos personales y ex directores de la Dirección Nacional de Protección de Datos Personales, entre otros. El 30 de agosto de 2022 la AAIP realizó un evento en el que presentó los lineamientos principales del Anteproyecto.
Vale recordar que la LPDP fue aprobada en el año 2000. Varias de sus disposiciones fueron reglamentadas a través del Decreto 1558/2001 y disposiciones y resoluciones de la AAIP. Asimismo, Argentina adhirió al Convenio 108 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal del Consejo de Europa y suscribió el Convenio 108+, cuya ratificación aun está pendiente en el Congreso.
A lo largo de estos años se han presentado una sucesión de proyectos de ley que buscaron modificar o reemplazar el régimen actual de protección de datos. No obstante, ninguno de ellos ha tenido un avance parlamentario significativo. De aquellos antecedentes merece destacarse el proyecto presentado por el Poder Ejecutivo Nacional en el año 2018 y que fuera parte de un proceso de discusión que concluyó con el texto que finalmente se presentó en el Congreso pero que perdió estado parlamentario. Ese texto fue tomado por la actual gestión de la AAIP como base para el desarrollo de una nueva iniciativa legislativa.
2. Anteproyecto de ley
El Anteproyecto sigue los lineamientos de las últimas legislaciones en materia de protección de datos personales aprobadas en el mundo, tal como el Reglamento General de Protección de Datos de la Unión Europea (“RGPD”), la Ley General de Protección de Datos de Brasil, la Ley Orgánica de Protección de Datos de Ecuador, entre muchas otras.
El Anteproyecto consta de 76 artículos distribuidos en 11 capítulos.
Los puntos más importantes del Anteproyecto son los siguientes:
- Definiciones: Se incorporan nuevas definiciones a términos como consentimiento, grupo económico, anonimización y seudonimización, datos biométricos, datos genéticos, elaboración de perfiles, transferencia internacional, responsables y encargados de tratamientos, representantes (figura tomada del artículo 27 del Reglamento General de Protección de Datos de la Unión Europea (“RGPD”), terceros y delegados.
- Titular del dato: A diferencia de la LPDP, el Anteproyecto tutela solamente los datos de las personas físicas o humanas; no así de las jurídicas.
- Alcance territorial: Siguiendo el criterio de las últimas legislaciones en la materia, como es el caso del RGDP y la Ley General de Brasil, el texto amplía el alcance territorial de la ley a aquellos tratamientos de datos realizados por responsables o encargados que no se encuentren establecidos en el territorio argentino en la medida que se cumplan ciertas condiciones.
- Neutralidad tecnológica: Las disposiciones aplican a cualquier tratamiento de datos personales, con independencia de las técnicas, procesos o tecnologías que se utilicen.
- Principios: A los principios ya previstos en la LPDP se incorpora el principio de minimización y de responsabilidad proactiva y demostrada.
- Bases legales: Se amplía el catálogo de bases legales -actualmente enfocado en el consentimiento-, incluyendo el interés legítimo, entre otras alternativas.
- Deber de información: Se extiende el listado de cuestiones referidas al tratamiento de datos que deben ser informadas al titular del dato, como es el caso de las transferencias internacionales de datos o el plazo de conservación de la información.
- Datos sensibles: Se incorpora el concepto de la responsabilidad reforzada para el tratamiento de este tipo de datos, lo cual implica un mayor rigor y control. Adicionalmente, se prevén determinadas bases legales, además del consentimiento y la autorización legal, para el tratamiento de datos sensibles.
- Datos de menores: Se incorpora una disposición específica para este caso concreto que no estaba previsto en la LPDP. Al respecto, se valida el consentimiento brindado por aquellas personas mayores de 13 años cuando se aplique al tratamiento de datos vinculados a la utilización de servicios de la sociedad de la información específicamente diseñados o aptos para ellos. No se podrán tratar datos sensibles de menores y adolescentes a menos que se cuente con su consentimiento expreso o del titular de la responsabilidad parental o cuando, dicho tratamiento sea indispensable para el interés público o para salvaguardar la vida de aquellos o un tercero.
- Notificación de incidentes de seguridad: Los incidentes deben ser notificados por el responsable a la AAIP dentro del plazo de 48 horas de haber tomado conocimiento en la medida que tal brecha implique un riesgo para los titulares de datos. También debe informarse a los titulares de los datos cuando sea probable que el incidente entrañe altos riesgos a sus derechos.
- Transferencia internacional: El Anteproyecto clarifica las reglas referidas a la transferencia internacional de datos. La transferencia está permitida cuando:
(a) se realice a un país u organismo internacional o supranacional receptor que proporcione un nivel de protección adecuado;
(b) el exportador ofrezca garantías apropiadas al tratamiento de los datos personales (como el caso de cláusulas contractuales, normas corporativas vinculantes o mecanismos de certificación que reconozcan la ley y jurisdicción argentina); o
(c) concurran alguna de las excepciones para situaciones específicas determinadas en el propio texto legal (ej.: consentimiento del titular). - Derechos de los titulares de datos: Se amplía el catálogo de derechos incorporando al acceso, rectificación, actualización y supresión que estaban ya previstos en la LPDP, los derechos a la oposición, a la portabilidad, a no ser objeto de una decisión basada única o parcialmente en el tratamiento automatizado de datos, incluida la elaboración de perfiles e inferencias. El plazo de respuesta se amplía en 10 días hábiles. No se prevé expresamente el derecho al olvido.
- Responsabilidad proactiva: Se pone en cabeza del responsable de tratamiento la obligación de adoptar medidas útiles, pertinentes, efectivas y proporcionales a las modalidades y finalidades del tratamiento de datos, tendientes a demostrar el cumplimiento de las disposiciones, incluyendo la realización de supervisiones o auditorías, internas o externas. Las medidas deben quedar documentadas y a disposición en caso de ser requeridas por la AAIP. También se incluyen previsiones sobre Privacy by Design y Privacy by Default.
- Evaluaciones de impacto de privacidad: Cuando el responsable del tratamiento prevea realizar algún tipo de tratamiento de datos que por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación a los derechos de los titulares de los datos, deberá realizar, de manera previa a la implementación del tratamiento, una evaluación del impacto relativa a la protección de los datos personales. Al igual que el RGDP, el Anteproyecto enumera los supuestos en los cuales esa evaluación es obligatoria y determina el contenido mínimo que debe prever. Cuando una evaluación de impacto muestre que el tratamiento entrañaría un alto riesgo, el responsable debe informar a la AAIP.
- Delegado de protección de datos personales: Tal como establece el RGPD y otras legislaciones, el Anteproyecto incorpora la figura del Data Protection Officer, cuya designación es obligatoria en determinados supuestos indicados en la norma y optativa para los restantes. Adicionalmente, el texto indica que las funciones del delegado de protección de datos pueden ser desempeñadas por un empleado del responsable o encargado del tratamiento o en el marco de un contrato de prestación de servicios. Un grupo económico puede designar un único delegado para todas las afiliadas.
- Representante: En sintonía con el RGPD, el Anteproyecto trae la figura del representante, quien debe ser designado cuando el responsable o el encargado del tratamiento no se encuentren establecidos en Argentina.
- Registro Nacional: Se modifica el régimen registral al disponer que deberán inscribirse en el Registro Nacional que llevará la AAIP aquellos responsables y encargados del tratamiento que deban designar un delegado de protección de datos así como los que deban contar con un representante en Argentina. Ya no sería necesaria la inscripción de bases de datos.
- Autoridad de control: La AAIP continuaría siendo la autoridad de control en la materia con facultades para, entre otras cosas, presentar acciones colectivas e iniciar procedimientos para constatar el cumplimiento de las normas. Al respecto, se regula el trámite establecido para el procedimiento de protección de datos.
- Incremento del valor de las multas: Se modifica la forma de cálculo de las multas por infracciones al régimen de protección de datos, tomando a tal efecto la unidad móvil, la cual se establece en un valor inicial de Pesos 10.000 y que será actualizada anualmente utilizando la variación del índice de precios al consumidor (IPC) que publica el Instituto Nacional de Estadística y Censos (INDEC) o el indicador oficial que lo reemplace en el futuro. Las multas se establecen desde las 5 unidades móviles hasta 1.000.000.000 de unidades móviles o, del dos por ciento (2 %) hasta el cuatro por ciento (4 %) de la facturación total anual global del ejercicio financiero anterior.
- Plazo de gracia: El Anteproyecto prevé un plazo de adecuación de un año a contar desde la publicación del texto en el Boletín Oficial
3. Consulta pública y próximos pasos.
La Resolución 119/2022 da inicio al Procedimiento de Elaboración Participativa de Normas, conforme Decreto Nº 1172/03 en relación con la propuesta de Anteproyecto.
Toda persona física o jurídica, pública o privada, que invoque un derecho o interés simple, difuso o de incidencia colectiva puede presentar sus propuestas y opiniones en el plazo de 15 días hábiles. Los aportes pueden ser presentados a través del sitio https://www.argentina.gob.ar/aaip/consulta-publica-para-la-actualizacion-de-la-ley-de-proteccion-de-datos-personales y en la mesa de entradas de la AAIP. También se recibirán comentarios informales en la casilla de correo [email protected]
Luego, la AAIP evaluaría los aportes y probablemente realice algunos ajustes al texto que será discutido en el ámbito del Poder Ejecutivo Nacional para su posterior presentación en el Congreso de la Nación, tentativamente en el mes de octubre de 2022 según cronograma que informara la propia autoridad.
Opinión
CYT Abogados
opinión
ver todosBeccar Varela
Cevasco, Camerini, Barreira Delfino & Polak Abogados
Fernando Varela & Asociados
Kabas & Martorell