Anteproyecto de Ley de Protección de Datos Personales
La Dirección Nacional de Protección de Datos Personales presentó un Anteproyecto de Ley a fin de reemplazar en su totalidad la actual Ley N° 25.326 de Protección de Datos Personales.
En junio de 2016 la Dirección Nacional de Protección de Datos Personales (“DNPDP”) planteó la necesidad de repensar la ley actual, impulsando un proceso de reflexión acerca de la regulación de la protección de los datos personales en Argentina (más información aquí).
Esta invitación se fundamentó principalmente en (i) los avances tecnológicos que se han dado desde la sanción de la LPDP en el año 2000, (ii) la experiencia que ha adquirido la DNPDP durante este tiempo y (iii) el nuevo escenario internacional, en particular el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
Este debate se dio en el marco de los trabajos de la DNPDA y formó parte de la plataforma Justicia 2020 del Ministerio de Justicia y Derechos Humanos de la Nación.
Más tarde, la DNPDP publicó los resultados de este debate con la idea de brindar al proceso de mayor transparencia y publicidad.
El documento completo puede descargarse en el siguiente link.
Recientemente, la DNPDP publicó un Anteproyecto de Ley de Protección de Datos Personales (el “Anteproyecto”) que de ser aprobado por el Congreso de la Nación reemplazaría a la actual Ley N° 25.326 (la “LPDP”) y la Ley N° 26.951 que creó y regula el “Registro No Llame”.
Las principales modificaciones e inclusiones del Anteproyecto son los siguientes.
En primer lugar, se reemplaza la actual DNPDP por la Agencia Nacional de Protección de Datos Personales, la que gozará de autonomía funcional y actuará como órgano descentralizado dentro del Ministerio de Justicia y Derechos Humanos de la Nación, respondiendo de esta manera a las objeciones de la Unión Europa al reconocer a la Argentina como país adecuado para la trasferencia internacional de datos.
Por otro lado, limita quienes pueden ser titulares de datos personales. Mientas la LPDP incluye tanto a las personas físicas como a las jurídicas, el Anteproyecto lo limita a personas físicas, en sintonía con la legislación de la Unión Europea.
Asimismo, amplía el objeto de protección disponiendo que el objeto de la ley será la protección integral de los datos personales, sin limitarse como lo hace la LPDP a los datos personales asentados en bases de datos, públicas o privadas, destinadas a dar informes.
Por otro lado, revisa a la luz de la legislación europea conceptos generales ya incluidos en la LPDP como, por ejemplo, los conceptos de base de datos, datos personales o datos sensibles, e incorpora otros nuevos tales como datos genéticos, datos biométricos o computación en la nube.
Asimismo, en línea con la eliminación del requisito de registro de las bases de datos personales, el Anteproyecto incorpora el concepto de rendición de cuentas o principio de responsabilidad proactiva (data accountability) como principio general en el cumplimiento de las obligaciones establecidas por la ley, en línea con la mayoría de las legislaciones de protección de datos personales.
Por otro lado, el fundamento legal para el tratamiento de los datos personales sigue siendo el consentimiento del titular de los datos, que bajo el Anteproyecto y en determinadas circunstancias ahora también puede ser implícito, y se agrega el interés legítimo de quien trata los datos, en la medida en que no prevalezcan los derechos del titular de los datos, muy en particular cuando se trate de un niño o adolescente.
En lo que hace a los derechos de los titulares de datos, el Anteproyecto sigue la línea de la LPDP reconociendo los derechos de acceso, rectificación y oposición, aunque recepta de forma más específica y como novedad legislativa el derecho de supresión (conocido también como “derecho al olvido”), aclarando que este derecho no procederá cuando el tratamiento de los datos personales sea necesario para ejercer el derecho a la libertad de expresión e información. También incorpora un nuevo derecho a la portabilidad, aunque no define cómo se haría efectivo ese derecho.
Más aún, el Anteproyecto también incorpora nuevas regulaciones en lo que hace al tratamiento de datos sensibles (cuya definición ahora es más amplia y cuya prohibición general de tratamiento ahora sí puede ser dispensada por el titular del dato), antecedentes penales y el consentimiento de los menores de edad. Respecto de esto último, el Anteproyecto establece que el consentimiento prestado por un menor de edad entre los 13 y los 17 años resulta válido respecto de servicios de la sociedad de la información específicamente diseñados para ellos.
Una modificación significativa es la incorporación de la obligación de notificar una fuga de datos. El Anteproyecto prevé la obligación de notificar a la nueva autoridad de aplicación y al titular del dato.
En lo que hace a la transferencia internacional de datos personales, el Anteproyecto introduce modificaciones al régimen de la LPDP y establece que para ser válida, toda transferencia internacional debe contar con suficiente fundamento legal (consentimiento del titular del dato o interés legítimo de quien los trata y que prevalezca sobre los derechos del titular) y debe hacerse a países con un nivel de protección adecuado a criterio de la autoridad de aplicación. Además, el Anteproyecto recepta la computación en la nube como forma en particular de tratamiento de datos y lo regula generando ciertas obligaciones en cabeza del responsable del tratamiento.
El Anteproyecto también incorpora como novedad la necesidad de realizar estudios de impacto en supuestos en los que el responsable del tratamiento pretenda llevar a cabo un tratamiento de datos que por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación de derechos fundamentales del titular de los datos.
Por último, también incorpora la obligación de designar un Delegado de Protección de Datos cuando (a) se trate de autoridades u organismos públicos; (b) se realice el tratamiento de datos sensibles como parte de la actividad principal del responsable o encargado; o (c) se realice tratamiento de datos a gran escala (big data). Este delegado debe ejercer sus funciones sin recibir instrucciones y sólo responderá ante el más alto nivel jerárquico de la organización.
El texto en español del Anteproyecto puede descargarse del sitio link.
La DNPDP estima enviar el Anteproyecto al Presidente de la Nación en el corto plazo.
Este insight es un comentario breve sobre novedades legales en Argentina; no pretende ser un análisis exhaustivo ni brindar asesoramiento legal.