Comentarios al Proyecto de Ley de Datos Personales
Por Francisco Zappa & Rocio Barrera
Bomchil

El 10 de noviembre de 2022 la Agencia de Acceso a la Información Pública publicó una noticia en su sitio web informando la presentación del proyecto para la sanción de una nueva ley de protección de datos personales (el “Proyecto”), dando fin a la instancia de consulta pública y debate iniciada en septiembre de este año con la publicación del primer anteproyecto[1]. En caso de ser sancionado, el Proyecto reemplazaría a la Ley de Protección de Datos Personales N° 25.326 (la “LPDP”) actualmente vigente en Argentina.

 

Adelantamos que el Proyecto constituye -a nuestro entender- un instrumento legal que incorpora y resuelve muchas cuestiones vinculadas con la materia que hasta el día de hoy constituían un vacío legal o se encontraban desactualizadas.

 

No obstante, a lo largo del presente trabajo nos atrevemos a comentar constructivamente algunos puntos del Proyecto que podrían ser modificados durante el proceso legislativo para enriquecer la regulación.

 

1. ALCANCE DEL CONCEPTO DE “DATOS SENSIBLES”.

 

El Proyecto adopta una definición de datos sensibles no taxativa, brindando ejemplos enunciativos pero bajo una definición general que establece que son “aquellos que se refieran a la esfera íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste”.

 

Entendemos que este abordaje generará cierta inseguridad jurídica por adoptar un criterio subjetivo: cualquier dato personal podría ser objeto de discriminación (incluidos datos personales elementales como un apellido o una fotografía) si es utilizado indebidamente y, por ende, sería difícil determinar de antemano si un dato personal es sensible o no.

 

Sería conveniente adoptar una definición taxativa, como lo hace actualmente la LPDP y el resto de las principales normativas del mundo, incluido el Reglamento General de Protección de Datos de la Unión Europea (“GDPR”).

 

2. ALCANCE TERRITORIAL DE LA LEY.

 

Al regular la aplicación territorial de la ley, el Proyecto establece que la misma será de aplicación cuando los responsables o encargados se encuentran “establecidos” en la República Argentina, sin proveerse mayores explicaciones sobre cómo debe interpretarse dicho concepto.

 

El concepto de “establecimiento” (es decir, cuándo se considera que un responsable o encargado se encuentra establecido en un determinado territorio) ha generado numerosos debates jurisprudenciales y doctrinarios en la Unión Europea a lo largo de los años. Si bien el GDPR receptó este concepto en su artículo tercero, fue necesaria una Guía Interpretativa del Comité Europeo de Protección de Datos[2] para explicarlo y delimitar su alcance. Básicamente, lo novedoso es que por “establecimiento” no se entiende al lugar en donde las empresas están registradas, fueron constituidas, tienen su sede social o centro de actividades. Se adopta un concepto más amplio que establece que estar establecido en un territorio “implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto”[3]. De esta forma, la presencia de un solo empleado o representante con presencia estable en un territorio puede ser suficiente para considerar que la entidad se encuentra “establecida” en el mismo.

 

Entendemos que debería incorporarse a la normativa una definición de “establecimiento” que siga el criterio europeo, para zanjar cualquier duda interpretativa sobre el régimen de aplicación territorial de la ley.

 

Asimismo, el Proyecto establece que el régimen será de aplicación “cuando el Responsable o Encargado no se encuentra establecido en el territorio de la República Argentina, pero (…). realiza tratamiento de datos en el territorio de la República Argentina mediante cualquier medio o procedimiento, físico o electrónico, conocido o por conocer, que le permite recolectar, usar, almacenar, indexar o tratar información de personas que se encuentren en dicho territorio.”[4] (el subrayado nos pertenece).

 

Destacamos que se adopta un criterio de localización del tratamiento, poniendo foco en el territorio en donde se realiza el mismo. Entendemos que este abordaje no es el recomendable, siendo que con las tecnologías actuales -y las que seguramente existirán en el futuro cercano- es cada vez más complejo determinar exactamente el lugar en donde se realiza la actividad de tratamiento (incluso la misma muchas veces se realiza desde distintos territorios simultáneamente).

 

El GDPR adopta un criterio exactamente opuesto, al establecer que el reglamento “aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no”. Bajo dicha norma, no es relevante el territorio en donde se realiza el tratamiento sino el territorio en donde se encuentran establecidos el responsable o encargado del tratamiento (artículo 3 inciso 1) o donde se encuentran localizados los titulares de los datos (artículo 3 inciso 2).

 

Nuestra sugerencia al respecto es no adoptar un criterio de localización del tratamiento para definir el alcance territorial de la ley.

 

3. EL INTERÉS LEGÍTIMO EN ORGANISMOS DEL ESTADO.

 

En adición al consentimiento, el Proyecto incorpora al “interés legítimo” como base legal que habilita el tratamiento de los datos personales (única base legal existente bajo la normativa actual).

 

Si bien se incorporan otras bases legales adicionales, entendemos que el interés legítimo es la más relevante debido a que su uso excesivo y desproporcionado podría dar lugar a abusos en el tratamiento de los datos personales y causar perjuicios a sus titulares. Por ello, con buen criterio y siguiendo lo normado bajo el GDPR, el Proyecto establece que para determinar la existencia de interés legítimo se deberá realizar una evaluación detallada, incluyendo el contexto y las circunstancias en las que se llevará a cabo el tratamiento y las expectativas razonables del titular de los datos personales sobre el mismo, utilizando criterios de proporcionalidad y razonabilidad. Se establece asimismo que los responsables del tratamiento deberán ser capaces de demostrar la existencia del interés legítimo y de explicar la necesidad de recolectar o tratar los datos en cada caso.

 

Ahora bien, el Proyecto no prohíbe la utilización de esta base legal por los organismos del Estado como sí lo hacen otras normativas. Al respecto, en los considerandos del GDPR se establece que “dado que corresponde al legislador establecer por ley la base jurídica para el tratamiento de datos personales por parte de las autoridades públicas, esta base jurídica no debe aplicarse al tratamiento efectuado por las autoridades públicas en el ejercicio de sus funciones”[5]. Entendemos que el tratamiento de datos personales fundado en el interés legítimo no debe aplicar a las autoridades públicas. Ello así ya que la capacidad de actuación de dichas autoridades está taxativamente delimitada en la normativa que las regula y, por lo tanto, el tratamiento de datos personales que éstas realicen debe quedar circunscripto exclusivamente a tal capacidad. Es por ello que el Proyecto incorpora como base legal adicional al tratamiento realizado por los poderes del Estado en ejercicio de las funciones propias. Entendemos que dicha base legal (o el consentimiento) debería ser la adecuada y aplicable al tratamiento que realizan las autoridades públicas en ejercicio de sus funciones.

 

4. RESPONSABILIDAD DEL REPRESENTANTE.

 

Se incorpora la figura del “Representante” para ciertos casos en los que el responsable o encargado no se encuentren establecidos en la República Argentina. Esta nueva figura actuaría en nombre del responsable o del encargado del tratamiento, respondería los pedidos y solicitudes de la autoridad de aplicación y de los titulares de los datos.

 

El Proyecto establece que esta figura también podría ser objeto de un procedimiento sancionatorio ante el incumplimiento por parte del responsable o del encargado y que en caso de falta de respuesta por parte de estos, el representante será responsable de cualquier sanción impuesta. Nos parece excesiva esta responsabilidad solidaria, lo que dificultará la posibilidad de que empresas extranjeras contraten localmente el servicio de representación con terceras partes.

 

5. PROTECCIÓN DE DATOS DE INFORMACIÓN CREDITICIA.

 

El Proyecto prohíbe a las empresas prestadoras de servicios de información crediticia el tratamiento de datos de parientes del titular y también prohíbe el tratamiento de datos comerciales negativos referidos a la prestación de servicios públicos esenciales. Entendemos que no son razonables estas prohibiciones. En la medida en que dichas compañías traten los datos personales bajo una base legal estipulada en la normativa (por ejemplo, consentimiento o interés legítimo), no debería prohibirse su tratamiento.

 

A su vez, el Proyecto regula que solo se podrán tratar datos personales que sean significativos para evaluar la solvencia económico-financiera del titular durante los últimos cinco (5) años. Al respecto, deviene crucial que dicho plazo de conservación no resulte de aplicación para entidades crediticias, sino solo para entidades de provisión de servicios de información crediticia (tal como está actualmente receptado por la LPDP). Esto ya que las entidades crediticias, por imperio legal, deben conservar los datos de sus clientes y ex-clientes por períodos de tiempo mayores a los indicados en el Proyecto. A modo de ejemplo (i) en virtud del artículo 17 de la Resolución de la Unidad de Información Financiera (UIF) N° 76/2019, las entidades crediticias tienen la obligación de conservar los documentos acreditativos de las operaciones realizadas por sus clientes durante un plazo no inferior a diez (10) años, contados desde la fecha de la operación; y (ii) en virtud del Régimen de Protección de los Usuarios de Servicios Financieros del Banco Central de la República Argentina, este tipo de entidades tienen la obligación legal de conservar toda información referente a reclamos iniciados particularmente por sus clientes contra ellas por el término de diez (10) años.

 

Por otro lado, el Proyecto incorpora la obligación de los responsables de tratamiento que elaboren un sistema de puntuación y/o calificación de acuerdo con el comportamiento crediticio de las personas, de comunicar detalladamente al titular de los datos cuál es la fórmula, variables, el procedimiento y la información que tomó en cuenta o el algoritmo que se utiliza y su composición. Entendemos que con esta regulación se desprotege de manera manifiesta los secretos comerciales de las empresas que optan por estos sistemas de puntuación, al tener que difundirlos a los titulares de los datos, pasando así de ser confidenciales a públicos.

 

Asimismo, se establece que las entidades crediticias deben comunicar de forma diligente al titular de los datos el cambio de situación crediticia, aclarando que dicha comunicación se debe efectuar cuando las obligaciones pasen de cumplimiento normal a incumplimiento, dentro de los diez (10) días hábiles de producida la nueva clasificación. Intuimos cierto grado de inequidad al imponerse este deber de comunicación a las empresas crediticias, cuando son los titulares de los datos quienes se encuentran en mora.

 

6. SANCIONES Y MULTAS.

 

Una de las sanciones que prevé el Proyecto ante el incumplimiento de los responsables y/o encargados de sus obligaciones es la del cierre temporal de las operaciones, lo cual parecería un tanto excesivo sin -al menos- una intervención judicial.

 

A su vez, dentro de las multas previstas por el Proyecto se establece la posibilidad de establecer una multa del dos por ciento (2%) hasta el cuatro por ciento (4%) de la facturación total anual global del ejercicio financiero anterior.

 

Si bien es una sanción similar a la establecida bajo el GDPR, nos parece inadecuado replicarla en Argentina, ya que puede llevar a multas groseramente desproporcionadas con las operaciones que llevan empresas multinacionales en nuestro país.

 

 

Bomchil
Ver Perfil
Citas

[1] Ver https://www.argentina.gob.ar/noticias/presentacion-del-proyecto-de-ley-de-proteccion-de-datos-personales

[2] Directrices 3/2018 relativas al ámbito territorial del RGPD (artículo 3), disponibles en https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_es.

[3] Página 7 de las Directrices 3/2018 relativas al ámbito territorial del RGPD (artículo 3).

[4] Artículo 4, inciso b)I) del Proyecto.

[5] Considerando 47 del GDPR.

Opinión

Aportes irrevocables a cuenta de futuras suscripciones de acciones y nuevas normas de la IGJ: ¿resurgimiento como opción de financiamiento?
Por Dolores M. Gallo
Barreiro
detrás del traje
Diego Palacio
De PALACIO & ASOCIADOS
Nos apoyan