«Spoiler Alert», ¿qué cambios se aproximan si se aprueba la nueva Ley de Protección de Datos Personales?
Por: Sofía Bertossi
La Protección de Datos Personales es un tema que, en los últimos meses, ha estado circulando en mesas de debates y foros de opinión; es un asunto que compromete a profesionales de distintas áreas de especialidad en todo el mundo y, en este caso, compete a todos y cada uno de los argentinos/as.
¿A qué nos referimos cuando hablamos de “protección de datos personales”? Es un concepto que ha ido evolucionando hasta convertirse en el conjunto de derechos ARCO (acceso, rectificación, cancelación y oposición); deben estar al alcance de todos en la preservación de la identidad, la dignidad y la libertad y se reconocen en su conjunto como el derecho del individuo a la autodeterminación informativa.
Haciendo un breve repaso histórico, ya en 1994 se regulaba la figura del Habeas Data, pero no fue hasta fines del 2000 que se promulgó la Ley 25.326 de Protección de los Datos Personales; una ley que quizás para ese entonces era suficiente, con el paso del tiempo comenzó a dejar de serlo. En consecuencia, en el año 2018 se presentó un proyecto de ley en miras a actualizarla pero perdió estado parlamentario.
En 2022, el asunto volvió a adquirir lugar en la agenda ya que se fijó el objetivo de elaborar un proyecto para una nueva Ley de Protección de Datos Personales que permita dar respuesta a los nuevos desafíos que imponen las transformaciones tecnológicas y el desarrollo de la economía digital y, a su vez, armonice con los más altos estándares regionales e internacionales, desde un enfoque de derechos humanos.
Como resultado de un extenso proceso de debate, se presentó un Nuevo Proyecto de Ley de Protección de Datos Personales al que se puede acceder desde el siguiente enlace https://bit.ly/3WUKeal .
Como explican desde la Agencia de Acceso a la Información Pública, el nuevo proyecto toma, como línea de base, la propuesta de actualización de la Ley de Protección de Datos Personales presentada en 2018, pero contemplando el Reglamento Europeo de Protección de Datos Personales (RGPD); el Convenio 108 y su versión modernizada; las Recomendaciones de Ética de Inteligencia Artificial de UNESCO; los avances a nivel regional como los “Estándares de Protección de Datos Personales para los Estados Iberoamericanos” de la Red Iberoamericana de Protección de Datos (RIPD); las legislaciones de Brasil y Ecuador; los proyectos de ley de Chile, Paraguay y Costa Rica; y proyectos de reforma parciales de la Ley N° 25.326 presentados por legisladores del Congreso Nacional de la República Argentina, que han perdido estado parlamentario.
En términos generales y a fines comparativos, la actual ley 25.326 de Protección de Datos Personales consta de 48 artículos ordenados en 7 capítulos, mientras que el Anteproyecto consta de casi el doble de artículos estructurada en 11 capítulos.
En cuanto al contenido, procederemos a analizar las cuestiones más simples y básicas que plantea el nuevo proyecto de ley de Protección de Datos Personales comparadas con la ley vigente:
- ÁMBITO DE APLICACIÓN. – Tanto la ley 25.326 como el Nuevo Proyecto de Ley garantizan la protección de datos personales de las personas, pero, mientras que la primera refiere tanto a personas físicas como jurídicas (ej. empresas), el Anteproyecto de ley sólo alude a los datos de las personas humanas (determinadas y determinables). Dichos datos deben estar vinculados a una actividad profesional o comercial. Resulta interesante lo que se plantea bajo el “principio de neutralidad tecnológica” por el cual la ley aplica a todo tipo de tratamiento de datos al margen de las técnicas, procesos o tecnologías que se utilicen para dicho efecto.
- DEFINICIONES. – En la actual Ley de Protección de Datos Personales, se prevé en el artículo 2, una serie de definiciones de conceptos como lo son: “datos personales y sensibles”; “tratamiento de datos”; “responsable de archivo, registro, base o banco de datos”; “datos informatizados”; “titular de los datos”; “usuario de datos”; etc. El nuevo proyecto presenta más definiciones, similares al Reglamento general de protección de datos (RGPD), como “seudonimización” o “incidente de seguridad de datos personales”. No solo se añadieron conceptos, sino que algunos han sido modificados. Por ejemplo, dentro de “datos personales sensibles” se incluyen datos genéticos y biométricos.
- PRINCIPIOS. – En el nuevo proyecto, los principios que rigen la materia se presentan mejor definidos, entre ellos: licitud, lealtad y transparencia, finalidad, conservación, minimización de datos y exactitud. Resulta interesante la incorporación del principio de responsabilidad proactiva y demostrada, donde se establece que el Responsable o Encargado del tratamiento debe adoptar las medidas técnicas, organizativas o de cualquier otra índole que sean útiles para garantizar un tratamiento adecuado de los datos personales, el cumplimiento de la ley y que permitan demostrar a la Autoridad de Aplicación su efectiva implementación.
- DERECHOS. – La actual ley dedica 8 artículos para desarrollar los derechos de los titulares de datos; a la información, acceso, rectificación, actualización o supresión de los datos personales y la gratuidad de dichos actos. El nuevo proyecto suma los derechos a la oposición y portabilidad. También se regula la inferencia y la elaboración de perfiles, así como también el derecho a solicitar la revisión por una persona humana de las decisiones tomadas sobre la base del tratamiento automatizado o semiautomatizado entre otras novedades.
- RESPONSABLES Y ENCARGADO DE TRATAMIENTO. – Es Responsable de tratamiento de datos personales aquella persona humana o jurídica, pública o privada, u otro organismo, que solo o en conjunto con otros, deciden sobre la finalidad y el tratamiento de datos personales. El Encargado trata los datos por cuenta del Responsable. Además, se crean las figuras del Representante y el Delegado de protección de datos personales. El primero entra en escena si el Responsable no está en la Argentina y el segundo instruye y asesora a los responsables y encargados.
- OBLIGACIONES. – Actualmente existen obligaciones en materia de protección de datos personales. Entre ellas, a) la inscripción de los archivos y bases de datos públicos y privados destinados a dar informes en el Registro Nacional de Bases de Datos Personales (excepto que sean archivos de uso personal); b) informar previamente a los titulares de datos personales en forma expresa, entre otras cuestiones, la finalidad para la que serán tratados y; c) garantizar la seguridad y confidencialidad de los datos.
En este sentido, el Nuevo Proyecto propone: a) más transparencia en los mecanismos de tratamiento automatizado de datos personales (por ejemplo, en decisiones tomadas por Inteligencia Artificial), b) la obligación de notificar a la autoridad de control y a los titulares de los datos en casos de incidentes de seguridad, y tomar medidas para mitigar los posibles riesgos y vulneraciones a los derechos de las personas involucradas y, en algunos casos, c) la realización de un análisis de impacto previo sobre el tratamiento de datos cuando éste implique riesgos en el ejercicio del derecho a la protección de datos personales.
- INFORMACIÓN CREDITICIA Y DERECHO AL OLVIDO. – El Anteproyecto dedica un capítulo entero a la protección de datos de información crediticia. Entre las novedades, resulta interesante el artículo 50 que prevé el plazo de conservación; es de 5 años y se reduce a 1 año si el deudor cancela o extingue la obligación.
- SANCIONES. – En la ley vigente se prevén sanciones administrativas por inobservar la ley (apercibimiento, suspensión, multa, clausura del archivo, registro o banco de datos) y sanciones penales por a) insertar a sabiendas datos falsos en un archivo de datos personales; b) acceder ilegítimamente a un banco de datos personales; y c) revelar información confidencial registrada en un banco de datos personales.
En este sentido el Anteproyecto desarrolla más el procedimiento sancionatorio, dota a la AAIP de una serie de facultades determinadas y prevé el aumento de las sanciones que podrán ser establecidas desde las 5 unidades móviles hasta 1.000.000 de unidades móviles o, del 2 % hasta el 4 % de la facturación total anual global del ejercicio financiero anterior.
Además, crea mecanismos de actualización; el valor de la unidad móvil debe ser actualizado anualmente mediante la utilización de la variación del índice de precios al consumidor (IPC) que publica el Instituto Nacional de Estadística y Censos (INDEC) o el indicador oficial que lo reemplace en el futuro.
Conforme a lo explicado, y teniendo en cuenta que la mayoría de los aspectos que trata la ley no fueron aquí desarrollados, podemos concluir que la aprobación del Nuevo Proyecto de Ley de Protección de Datos Personales generará un gran impacto en varios aspectos de la sociedad.
En mi opinión, y observando las regulaciones líderes en el mundo sobre este tema, resulta una propuesta bastante acertada, aunque aún mejorable ya que da lugar a varios interrogantes. Entre ellos: ¿cómo actúan las empresas que no pueden afrontar el gasto de contratar un responsable?, ¿el responsable asiste al encargado o viceversa?, ¿la “facturación total anual” es de la empresa o del grupo económico?
En cualquier caso, es realmente valorable que la Argentina esté tan cerca de volver a formar parte de los países que reconocen la necesidad e importancia de actualizar y mejorar la protección de datos personales, teniendo un nuevo régimen legal más actual.
La privacidad es un derecho esencial y, como tal, merece ser protegido y garantizado por el Estado y por todos los agentes que lo componen. Su defensa, como dijimos al principio de este artículo, compromete, no solo a profesionales del sector legal y muchas otras áreas profesionales, sino a todos y cada uno de los argentinos.