La Agencia de Acceso a la Información Pública publicó el proyecto de ley de reforma de la Ley de Protección de Datos Personales

La Agencia de Acceso a la Información Pública publicó el texto final del proyecto para reformar la actual Ley de Protección de Datos Personales. (El texto del proyecto puede consultarse aquí.)

Este proyecto había sido sometido a consulta pública durante septiembre y octubre. Según surge de los informes oficiales emitidos por la Agencia, se recibieron más de 170 aportes a la propuesta de anteproyecto durante el proceso de consulta pública.

Entre los cambios más significativos al texto del anteproyecto, destacamos los siguientes:

• Elimina la obligación de los encargados de tratamiento de justificar la necesidad de recolectar los datos personales. Esta obligación queda únicamente en cabeza del responsable.
• Incorpora el principio de preeminencia, conforme el cual la interpretación más favorable para el titular de los datos prevalecerá cuando existan dudas sobre la interpretación y aplicación de la ley.
• Identifica medidas que permiten demostrar el cumplimiento con el principio de responsabilidad proactiva.
• Reemplaza la obligación de realizar una evaluación detallada sobre la existencia de interés legítimo por la de realizar un análisis detallado, previo y documentado.
• Prevé expresamente que la carga de la prueba en demostrar la existencia de interés legítimo, cuando sea la base legal adoptada para el tratamiento, corresponde al responsable de tratamiento.
• Agrega la condición de que el consentimiento sea otorgado, entre otras cosas, expresamente (en sintonía con lo requerido bajo la actual Ley de Protección de Datos Personales).
• Prevé la posibilidad de que los menores de trece años otorguen su asentimiento para el tratamiento de datos personales, junto con el consentimiento de sus representantes legales.
• Establece reglas específicas para el tratamiento de datos personales con fines estadísticos y científicos.
• Aumenta el plazo para notificar los incidentes de seguridad a la Autoridad de Aplicación de 48 a 72 horas, los cuales deben ser notificados en todos los casos y no solo cuando constituyan un riesgo a los derechos de los titulares. Asimismo, extiende la obligación de notificar cualquier incidente de seguridad a los titulares de los datos y no sólo aquellos que entrañen altos riesgos.
• Aclara el alcance de los conceptos de decisiones parcialmente automatizadas o semi automatizadas.
• Incorpora el derecho de limitación del tratamiento de datos.
• Reconoce expresamente la posibilidad del titular del dato de reclamar en sede judicial una indemnización por los daños y perjuicios por incumplimientos a la Ley.
• Aclara la obligación de los encargados del tratamiento de informar a la Autoridad de Aplicación la ocurrencia de incidentes de seguridad y de designar un DPO, cuando corresponda.
• Elimina la obligación de los encargados del tratamiento de responder las solicitudes de los titulares, limitándola únicamente a notificar al titular sobre el aviso al responsable.
• Elimina la obligación del encargado del tratamiento de adoptar medidas de protección de datos por diseño y por defecto, manteniéndola únicamente en cabeza del responsable.
• Elimina la obligación de realizar evaluaciones de impacto cuando se traten datos de menores.
• Limita las responsabilidades del DPO, eliminando la de recibir comunicaciones y responder a los titulares.
• Crea el Consejo Federal para la Transparencia y Protección de Datos Personales.

Para mayor información sobre los principales cambios introducidos por el Anteproyecto consulte aquí.