Con fecha 16 de enero de 2019, se publicó en el Boletín Oficial la Resolución Nro. 04/2019 de la Agencia de Acceso a la Información Pública (la “AAPI”), por la cual se establecenciertos lineamientos orientadores en relación con la interpretación de la Ley de Protección de Datos Personales, Ley Nro. 25.326 (la “LPDP”), en cuanto a la recolección y tratamiento de datos personales (la “Resolución”).
Si bien en materia de tratamiento de datos personales se están dando grandes avances en los últimos tiempos en Argentina -como así también a nivel regional-,considerando inclusive el proyecto de reforma de la LPDP que, en líneas generales, incorpora el enfoque plasmado en el Reglamento General de Protección de Datos de la Unión Europea aprobado en mayo de 2018 y cuya aprobación se encuentra dentro de la agenda legislativa de este año; lo cierto es que la legislación actual no es del todo precisa en cuanto a ciertas definiciones, alcances o mecanismos estipulados en la propia norma.
De acuerdo a lo establecido por los Decretos Nros. 746/17 y 899/17, es la AAPI -ente autárquico con autonomía funcional- el órgano de control y fiscalización de la LPDP. Entre las facultades atribuidas a tal entidad, se encuentran las de dictar las resoluciones y reglamentaciones que se daban observar para el debido cumplimiento de la LPDP. En ese marco, la AAPI dictó la Resolución bajo análisis, en la cualse incluyen criterios interpretativos y aclaratorios en relación con (i) el derecho de acceso a datos personales recolectados mediante sistemas de video vigilancia; (ii) el tratamiento automatizado de datos; (iii) la disociación de datos; (iv) los datos biométricos; y (v) el consentimiento del titular de los datos.
En primer lugar, la Resolución trata la información recolectada por sistemas audiovisuales o solamente de imágenes, con fines de vigilancia. Así, se reafirma que, ante un registro fílmico de una persona, ésta podrá requerir al titular de esa base de datos acceder a su imagen personal grabada, siempre y cuando acredite su identidad mediante su identificación personal, indicando fecha y hora aproximada en que su imagen habría sido captada. Además, el titular de la imagen podrá solicitar la entrega de estos registros, lo cual correrá por su costo. En el caso de que en el video se visualicen a otras personas, el responsable de la base de datos está obligado aplicar alguna técnica de disociación de forma a fin de preservar la imagen de esos terceros.
En segundo lugar, la Resolución establece que el titular de los datos tendrá derecho a requerir al responsable de la base de datos explicaciones acerca de la lógica aplicada al tratamiento automatizado de sus datoscuando dicho tratamiento pueda causarle algún perjuicio. Si bien la Resolución 04/2019 se emite a los fines aclaratorios y de lineamientos para la interpretación de la LPDP, entendemos que este segundo criterio no brinda mayores precisiones, dejando varios interrogantes pendientes de resolver.
Por otro lado, y si bien ya se encuentra definida en otros textos normativos, la Resolución incluye nueva definición de “datos biométricos”, la cual guarda identidad con el resto de las denominaciones genéricas dadas. Consecuentemente, se determina que los datos biométricos que identifican a una persona no serán nunca considerados datos sensibles a los efectos de la LPDP, salvo que de su análisis surja información cuyo uso pueda resultar potencialmente discriminatorio para su titular.
Finalmente, el texto normativo incluye lineamientos en relación con el consentimiento de las personas mayores y menores de edad, titulares de los datos. Para todos los casos, el responsable de la base de datos deberá tener mecanismos de validación de identidad eficaces a fin de acreditar que quien haya prestado tal consentimiento sea efectivamente el titular de los datos y no un tercero.
En relación con la información en poder de organismos públicos y su cesión y transferencia entre estos, se establece que no será necesario contar con el consentimiento del titular de los datos, siempre que el cedente haya obtenido los datos en ejercicio de sus funciones y que el cesionario los utilice con una finalidad que se encuentre dentro del marco de su competencia, siempre que los datos sean adecuados y no excedan el límite de lo necesario en relación a esta última finalidad. Esta cesión táctica y “pre-consentida” por el titular de los datos facilita la eficiencia de los mecanismos del Estado para cumplir con su rol de fiscalizador del cumplimiento de las obligaciones de los ciudadanos.
Sobre el final del criterio quinto y último, hay un apartado especial de mejores: se destaca la incorporación del principio de “autonomía progresiva”, por el cual los menores de edad podrán prestar su consentimiento informado para el tratamiento de sus datos personales teniendo en consideración sus características psicofísicas, aptitudes y desarrollo. En caso que el menor no posea la capacidad suficiente, será el titular de la responsabilidad parental o tutelar quien prestará el consentimiento para el tratamiento de sus datos personales.
En conclusión, la Resolución refuerza y brinda mayor claridad sobre la aplicación de la LPDP; ello así, en el marco de un contexto global y regional de mayor foco en la reglamentación del tratamiento y la protección de los datos personales. Ahora bien, la expectativa se encuentra en el proyecto de reforma de la LPDP y la aplicación de nuevos estándares internacionales en la materia, cuestión que tomará relevancia durante este año legislativo.
Artículos
GUYER & REGULES
opinión
ver todosKabas & Martorell
PASBBA
NORDELTA S.A.