Anteproyecto Ley de Protección de Datos Personales

La propuesta de anteproyecto de ley de protección de datos personales, cuenta con varias disposiciones tendientes a modernizar la Ley 25.326 y aplica modificaciones sustanciales, entendemos las siguientes como más relevantes:

1) Disposiciones generales

:● Se limita la protección de datos personales a personas físicas: Elanteproyecto únicamente garantiza los derechos de las personas humanas ala protección de sus datos personales, a diferencia de la Ley 25.326. Enconsecuencia, las personas jurídicas deberán proteger sus datos a través deotros mecanismos como ser los secretos comerciales, contratos deconfidencialidad con empleados, proveedores y clientes, etc.

● Incorpora y modifica definiciones de conceptos clave, tales comoconsentimiento, datos biométricos, datos sensibles, grupo económico,autodeterminación informativa, anonimización y seudonimización, etc.- Clarifica quiénes son los sujetos a quienes aplica la ley de protección dedatos personales y distingue a responsable de encargado del tratamiento,como así también aclara los roles de representantes, terceros y delegados.- En principio, la ley aplica aquellas personas físicas o jurídicas que realicentratamiento de datos personales de terceros, esto incluye “cualquieroperación o conjunto de operaciones realizadas sobre datos personalesque permita la recolección, conservación, organización, estructuración,almacenamiento, evaluación, bloqueo o destrucción, y el procesamiento engeneral, así como también su cesión o transferencia.”- Se entiende como responsable a aquella persona humana o jurídica quedecide sobre la finalidad y el tratamiento de datos personales. Losencargados de tratamiento son aquellas personas humanas o jurídicas quetraten datos por cuenta del responsable del tratamiento, independientementede la decisión sobre la finalidad. Por ejemplo: Una empresa que ofrecebienes y/o servicios y posee bases de datos de empleados, clientes,proveedores, debe cumplir la normativa en carácter de responsable. Si estaempresa contrata un sistema ERP, servicios de almacenamiento en la nube oservicios de liquidación de los sueldos de sus empleados (es decir, serviciosque implican tratamiento de datos) ésta seguirá actuando como responsabledel tratamiento de los datos que almacene y la empresa contratada para laprestación de los servicios actuará como encargado.

● Ya no se protegen ni registran las bases de datos: Se establece que laprotección aplica incluso cuando los datos personales tratados no formenparte de una base de datos, y no se establece la obligación de registro de lasmismas, como sí lo exigía la ley anterior.

● Amplía la extraterritorialidad: La ley es aplicable a todos los responsables oencargados de tratamiento de datos con domicilio en el país) y en algunossupuestos también a domiciliados en el extranjero.

● Se incorporan nuevos principios que rigen el tratamiento de datospersonales:

Se destaca particularmente el principio de “responsabilidadproactiva y demostrada” importado del derecho europeo, que implica laobligación de adoptar y documentar las medidas técnicas y organizativaspara cumplir con la ley y sus lineamientos

● Se amplían las bases legales: Se establecen determinadas condiciones quedeben cumplirse para que pueda realizarse tratamiento de datos personalesde terceros. Se mantiene el consentimiento, el ejercicio de las funciones delestado para el cumplimiento de sus competencias, la ejecución de uncontrato en el que el titular de los datos sea parte, el cumplimiento de unaobligación legal aplicable al responsable o encargado y se incorpora comobase el interés legítimo del responsable del tratamiento (discutido por ladoctrina).● Se elimina la posibilidad de obtener el consentimiento del titular del dato demanera tácita. El anteproyecto establece que el consentimiento deberá serprevio, libre, específico, informado e inequívoco para una o varias finalidadesdeterminadas, ya sea mediante una declaración o una clara acciónafirmativa. Las empresas deberán documentar los medios para obtener elconsentimiento de los titulares de los datos y registrarlo para luego poderacreditarlo ante la autoridad de control

● Se permite excepcionalmente el tratamiento de datos sensibles en variossupuestos, siempre que el titular dé su consentimiento. Esto habilitaría eltratamiento de datos de salud, algo que en la normativa actual estáprohibido. Es llamativo que no se mantenga la prohibición de tratamiento dedatos relativos a antecedentes penales y contravencionales por fuera delámbito público en el marco de las regulaciones respectivas

● La edad mínima para prestar consentimiento se establece en 13 años(alineado al CCyCN) y se establecen distintas condiciones para el tratamientode sus datos personales. En caso que el menor tenga menos de 13 años, eltitular de responsabilidad parental podrá otorgar el consentimiento en surepresentación, estableciéndose a cargo del responsable del tratamiento lacarga de la verificación de esta situación aplicando “esfuerzos razonables”.Además existen limitaciones aplicables a empresas que presten servicios dejuegos y aplicaciones de internet dirigidos a menores.

● En cuanto a medidas de seguridad, se incluye como novedad la obligaciónde adoptar un sistema de administración de riesgos asociados tomandoen cuenta distintos parámetros como ser la categoría y volumen de datospersonales tratados, la probabilidad de riesgos, el estado de la técnica,mejores prácticas de seguridad integral y los costos de aplicación.- Los responsables de tratamiento deberán probar que las medidas adoptadaseviten la materialización de los riesgos identificados, debiendo ademásdocumentar todo incidente de seguridad, que ponga en riesgo los derechosde los titulares de los datos e informarlo (a la agencia y a los titulares) en elplazo de 48 hs de lo ocurrido.

2) Tratamiento de datos personales

● Se incorporan nuevos principios que rigen el tratamiento de datos personales: Se destaca particularmente el principio de “responsabilidad proactiva y demostrada” importado del derecho europeo, que implica la obligación de adoptar y documentar las medidas técnicas y organizativas para cumplir con la ley y sus lineamientos.

● Se amplían las bases legales: Se establecen determinadas condiciones que deben cumplirse para que pueda realizarse tratamiento de datos personales de terceros. Se mantiene el consentimiento, el ejercicio de las funciones del estado para el cumplimiento de sus competencias, la ejecución de un contrato en el que el titular de los datos sea parte, el cumplimiento de una obligación legal aplicable al responsable o encargado y se incorpora como
base el interés legítimo del responsable del tratamiento (discutido por la doctrina).

● Se elimina la posibilidad de obtener el consentimiento del titular del dato de manera tácita. El anteproyecto establece que el consentimiento deberá ser previo, libre, específico, informado e inequívoco para una o varias finalidades determinadas, ya sea mediante una declaración o una clara acción afirmativa. Las empresas deberán documentar los medios para obtener el consentimiento de los titulares de los datos y registrarlo para luego poder acreditarlo ante la autoridad de control.

● Se permite excepcionalmente el tratamiento de datos sensibles en varios supuestos, siempre que el titular dé su consentimiento. Esto habilitaría el tratamiento de datos de salud, algo que en la normativa actual está prohibido. Es llamativo que no se mantenga la prohibición de tratamiento de datos relativos a antecedentes penales y contravencionales por fuera del ámbito público en el marco de las regulaciones respectivas.

● La edad mínima para prestar consentimiento se establece en 13 años (alineado al CCyCN) y se establecen distintas condiciones para el tratamiento de sus datos personales. En caso que el menor tenga menos de 13 años, el titular de responsabilidad parental podrá otorgar el consentimiento en su representación, estableciéndose a cargo del responsable del tratamiento la carga de la verificación de esta situación aplicando “esfuerzos razonables”. Además existen limitaciones aplicables a empresas que presten servicios de juegos y aplicaciones de internet dirigidos a menores.

● En cuanto a medidas de seguridad, se incluye como novedad la obligación de adoptar un sistema de administración de riesgos asociados tomando en cuenta distintos parámetros como ser la categoría y volumen de datos personales tratados, la probabilidad de riesgos, el estado de la técnica, mejores prácticas de seguridad integral y los costos de aplicación.

– Los responsables de tratamiento deberán probar que las medidas adoptadas eviten la materialización de los riesgos identificados, debiendo además documentar todo incidente de seguridad, que ponga en riesgo los derechos de los titulares de los datos e informarlo (a la agencia y a los titulares) en el plazo de 48 hs de lo ocurrido.

3) Transferencias Internacionales:

● Se elimina al consentimiento del titular del dato como requisito para realizartransferencias internacionales habituales y periódicas: Mantiene el criterio dela Ley 25.326 y el GDPR al permitir que se realicen transferenciasinternacionales a países con legislación adecuada, y en caso que se realicena países que no la tengan sólo podrán realizarse si se otorgan determinadasgarantías.- La única excepción al consentimiento del usuario para una transferenciainternacional sin legislación adecuada, es que la misma sea esporádica (nohabitual) y no involucre a un gran número de personas.- Entendiendo que muchas empresas locales contratan servicios dealmacenamiento en la nube a empresas de Estados Unidos (país queactualmente no goza de un nivel de legislación adecuada de acuerdo a loscriterios de la UE, ni a los de la autoridad de control argentina) como serGoogle o Amazon, a los fines de alojar los datos personales que recolectan ytratan, deberían tener un contrato aprobado por la autoridad de aplicación, locual es prácticamente imposible en la práctica.

4) Derechos de los titulares de los datos:

● Se incorporan nuevos derechos en favor de los titulares de los datospersonales como la portabilidad y no inferencia, ampliándose el derecho a lasupresión.a- El derecho de los titulares a la portabilidad de sus datos personales,consiste en el derecho a obtener una copia de los datos personales objetode tratamiento mediante medios electrónicos o automatizados. Además,puede solicitarse que los datos se transfieran directamente a otro proveedorbajo ciertas condiciones.b- El derecho a la no inferencia, implica la posibilidad de evitar ser objeto deuna decisión basada única o parcialmente en un tratamiento automatizadode datos, como puede ser un sistema de IA, pudiendo solicitar revisiónhumana. Además, el responsable deberá brindar al titular de los datos loscriterios y procedimientos utilizados para la decisión automatizada. Estoúltimo puede generar algún conflicto de confidencialidad.c- En cuanto al derecho de supresión se omite hacer referencia directa alderecho de libertad de expresión de terceros como limitación como sí loincluye el GDPR

● El término para responder y satisfacer las solicitudes de los titulares con elque cuentan los responsables se unifica en el plazo de 10 días hábiles dehaber sido intimados.

5) Obligaciones de los responsables y encargados del tratamiento

● Se distinguen las obligaciones de los responsables y encargados de lasiguiente manera:- Los responsables deberán cumplimentar las siguientes obligaciones:a) garantizar a los titulares de los datos el ejercicio de sus derechos,b) cumplir con el deber de información respecto de la finalidad de larecolección y sus derechos,c) implementar medidas para garantizar que los datos sean exactos yactualizados, además de actualizarlos y rectificarlos cuando sea necesario.d) verificar que los encargados y/o sus subcontratados, ofrezcan garantíassobre el tratamiento de datos personales de acuerdo a los requisitos de la leyaplicable.- Los encargados deberán cumplimentar las siguientes obligaciones:a) realizar únicamente los tratamientos de datos encomendados por elresponsable, sin exceder esta limitación encontrándose prohibida laaplicación o utilización de la información con un fin distinto al que se acuerdecontractualmente con el responsableb) una vez cumplida la prestación contractual los datos personales debendevolverse al responsable, no pudiendo conservarse por un plazo mayor a 2años,c) permitir al responsable y a la autoridad de aplicación a realizar inspeccioneso auditorías para validar que se cumplimente la ley aplicable,d) en caso que el encargado subcontrate servicios deberá contar con laautorización del responsable y suscribir un contrato con el subcontratado.- Tanto los responsables como los encargados deberán cumplimentar lassiguientes obligaciones:a) implementación de medidas pertinentes para poder garantizar y acreditar elcumplimiento de las disposiciones de la legislación de protección de datosaplicable,b) celebrar los contratos que sean necesarios entre responsables y encargados,no resultando necesario el consentimiento del titular de los datosc) cumplir las instrucciones o requerimientos que imparta de la autoridad deaplicación,d) tratar los datos personales bajo medidas de seguridad adecuadas paraimpedir adulteraciones y accesos no autorizados,e) tramitar las solicitudes de los titulares en tiempo y forma, de maneracompletaf) informar a la autoridad de aplicación cuando se produzcan violaciones a loscódigos de seguridad y existan riesgos en la administración de lainformación,g) designar a una persona o área que asuma la función de protección de datospersonales.

● A la luz del principio de responsabilidad proactiva es que además seestablecen las siguientes obligaciones:a) Desarrollar políticas de protección de datos personales, en mediofísico y electrónico, dirigidas a los titulares de los datos personales.b) Aplicación de medidas para el cumplimiento del principio deresponsabilidad proactiva, que incluyen la adopción de procesos internospara llevar adelante las medidas de responsabilidad, implementarprocedimientos para atender el ejercicio de los derechos de los titulares dedatos personales, realización de supervisiones y auditorías (externas einternas) para controlar el cumplimento de las medidas que se adopten,implementación de procesos de evaluación de impacto, medidas que debenquedar documentadas y a disposición de la autoridad de aplicación. Ladocumentación que acredite la implementación efectiva de estas medidaspodrá ser utilizada como prueba por la empresac) Aplicación de procesos (medidas tecnológicas y organizativasapropiadas) que garanticen la protección de datos personales desde eldiseño de los sistemas que se utilicen para el procesamiento y por defecto.d) Realización de evaluaciones de impacto previo a la realización detratamientos de datos que impliquen un “alto riesgo de afectación” a losderechos de los titulares de los datos. Se establece la obligatoriedad de estaevaluación en ciertos casos.e) Designación de un delegado de protección de datos es obligatoria enlos siguientes casos: (i) cuando sea una autoridad u organismo público quienrealice el tratamiento y (ii) las actividades del responsable o encargadorequieran un control permanente y sistematizado por su volumen, naturaleza,alcance o finalidades, de acuerdo se establezca por la autoridad deaplicación (queda abierto a una futura reglamentación).f) designación de un representante en el país para empresas extranjerasque hagan tratamientos de datos personales de argentinos.

● Se crea el Registro Nacional para la Protección de Datos donde deberánregistrarse los responsables o encargados de datos personales quecumplan con los requisitos establecidos por la ley (contar con un delegadode protección de datos o representante en el país).

● Se promueve la aplicación de mecanismos de autorregulación vinculantes,como ser códigos de ética, de buenas prácticas, normas corporativasvinculantes (binding corporate rules), sellos de confianza, certificaciones, etc,que deberán ser objeto de homologación por la autoridad de aplicación paraproceder a su registro.

6) Protección de datos de Información Crediticia:

● En cuanto a la protección de datos de información crediticia, como novedadse incluye el deber de comunicación, que consiste en la obligación delresponsable de informar al titular sobre el sistema de puntuación ocalificación utilizado, incluyendo aclaraciones respecto de cuál es la fórmula,variable, procedimiento e información que se tomó en cuenta, o el algoritmoutilizado y su composición, cuando cambie su comportamiento crediticio.

7) Autoridad de Control:

● Se propone la ampliación de las facultades de la Autoridad de Control (AAIP)a los fines de la tramitación de denuncias y reclamos, investigación yfiscalización, establecimientos de mecanismos voluntarios de solución decontroversias, emisión de órdenes obligatorias, promoción de la cultura de laprivacidad, asesoramiento y capacitación, homologación y certificación detítulos terciarios vinculados a privacidad.

8) Procedimientos y sanciones:

● Se aumentan considerablemente las sanciones aplicables en caso deincumplimiento a la normativa de protección de datos: incluyéndose comosanciones además de los apercibimientos y multas, la suspensión de lasactividades relacionadas con el tratamiento de datos, el cierre de lasoperaciones, cierre inmediato de las operaciones que involucren eltratamiento de datos sensibles o de menores.- En cuanto a los mecanismos para fijar las multas, las mismas seránestablecidas en base a la aplicación de una cantidad determinada deunidades móviles (mínimo de 5 hasta 1.000.000) o aplicando unporcentaje a los montos de facturación anual global (del 2% al 4%).- El monto de la unidad móvil se establece en diez mil pesosactualizable por IPC, por lo que las multas podrían partir de la sumade $50.000 a un máximo de $10.000.000.000.000 o USD 40.000.000.- Tomando como base el porcentaje de facturación, una pequeñaempresa de industria que factura anualmente el tope de su categoría$618.160.000, podría ser pasible de multas que van desde los$12.363.200 a los $24.726.400.- Las multas serán graduadas según la condición económica delinfractor, la naturaleza del daño, la reincidencia, la notificación de laincidencia, y la adopción de medidas correctivas, entre otras.

9) Otras disposiciones:

● Los responsables y encargados de tratamiento contarán con un plazo de unaño desde la publicación de la ley para adaptarse a las obligacionesexigidas, lo cual podría ampliarse a dos años siguiendo el criterio del RGPD.
El texto completo de la Propuesta de Anteproyecto, puede accederse en el siguienteenlace: https://www.argentina.gob.ar/sites/default/files/2022/09/propuesta_de_anteproyecto_de_le

Luz Marinelli
Abogada en Estudio Carranza Torres.
luzm@carranzatorres.com.ar

La propuesta de anteproyecto de ley de protección de datos personales, cuenta
con varias disposiciones tendientes a modernizar la Ley 25.326 y aplica
modificaciones sustanciales, entendemos las siguientes como más relevantes: