En septiembre del 2022, la Agencia de Acceso a la Información Pública (AAIP) publicó el anteproyecto para modificar la Ley No. 25.326 de Protección de Datos Personales e invitó, durante un proceso de consulta pública, a distintos actores del sector público y privado, la sociedad civil y la academia a realizar aportes, opiniones y comentarios. Así, en octubre de 2022, la AAIP publicó un borrador de proyecto que receptaba parte de los aportes recibidos (ver artículo anterior aquí).
El 30 de junio de 2023, el Poder Ejecutivo presentó ante el Congreso Nacional el proyecto de ley, que incorpora algunas modificaciones al texto de 2022.
Este Proyecto:
- Agrega dentro de la definición de “datos personales sensibles” a los datos que puedan revelar la identidad de género de una persona.
- Incorpora la definición de “entidades crediticias”.
- Aclara que la ley aplica a todo tratamiento de datos personales realizado por una persona humana o jurídica, pública o privada y, a su vez, que alcanza al Estado para salvaguardar la seguridad pública, la defensa de la Nación, la protección de la salud pública y las libertades de terceros.
- Agrega que la autoridad de aplicación podrá requerir al responsable del tratamiento de datos personales un análisis previo que fundamente un interés legítimo. Allí, el responsable de tratamiento deberá ser capaz de demostrar los criterios de razonabilidad y proporcionalidad considerados para acotar este tratamiento, entre otros.
- Elimina la posibilidad de revocar el consentimiento cuando existe un deber legal o contractual para continuar con el tratamiento de los datos.
- Prohíbe el tratamiento de datos sensibles que conlleve perjuicio o discriminación hacia el titular de los datos personales.
- Agrega que las cesiones de datos personales efectuadas por organismos del sector público deben instrumentarse mediante un acuerdo con ciertos requisitos que además respeten el principio de máxima publicidad y disponibilidad.
- Agrega que el sector público tiene la obligación de documentar los procedimientos establecidos para el tratamiento de los datos personales, capacitar a su personal en la materia y establecer mejoras en la infraestructura y medidas de seguridad en relación con el volumen y el carácter de los datos tratados.
- Aclara que en los casos que se realice un tratamiento de datos de niñas, niños y adolescentes será válido el consentimiento de los adolescentes mayores a dieciséis años. Además, la persona menor de dieciséis años podrá prestar consentimiento informado siempre que la persona a cargo de la responsabilidad parental, o quien se encuentre a cargo del ejercicio de guarda o tutela, preste luego el consentimiento.
- Elimina la posibilidad de suprimir los datos cuando causen perjuicios a intereses legítimos de terceros.
- Aumenta el plazo para conservar la información crediticia a dos años cuando el deudor cancela o extingue la obligación.
- Sustituye el artículo 31 de la Ley No. 25.326 sobre sanciones administrativas para alinearlas al nuevo régimen de sanciones que plantea el proyecto.
La ley entrará en vigencia a los 180 días corridos desde la fecha de publicación en el Boletín Oficial, excepto la disposición que cambia el régimen sancionatorio de la LPDP, que comenzará a regir a partir del día que se publica.
Si bien el Proyecto aún no tuvo tratamiento parlamentario, el miércoles 2 de agosto de 2023 la directora de la Agencia de Acceso a la Información Pública expuso en la comisión de Asuntos Constitucionales y Legislación General de la Cámara de Diputados sobre las principales novedades que trae el Proyecto.
Puede consultar el texto del Proyecto aquí.
Por Gustavo P. Giay, Diego Fernández, Manuela Adrogue, Josefina Barbero, Julieta Alvarez y Valentina Rocca
Opinión
Barreiro
opinión
ver todosPASBBA
NORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law