El proyecto de protección de datos personales del Gobierno contempla fuertes multas, pero también muestra agujeros para el tratamiento de información de las personas por parte de empresas, por ejemplo, respecto del uso para publicidad o plazos para ser sacado del Veraz.
Tampoco incluye expresamente el derecho al olvido de buscadores como Google o YouTube, pero da un paso en ese sentido, al precisar el "derecho de supresión" y bajar premisas sobre libertad de expresión. En la iniciativa, hay muy pocas exigencias para los organismos públicos, que podrán intercambiar libremente los datos de las personas.
Ley de Datos Personales: puntos clave del proyecto
Agustín Allende, socio de Crearis-Latam, enumera a iProUP las claves del proyecto de Protección de Datos Personales que ingresó al Congreso:
1. Establece criterio de extraterritorialidad para aplicación de la ley, haciendo responsables en el país a empresas que ofrezcan servicios en el territorio o hagan seguimiento de conductas de habitantes locales.
"Cuando una compañía procese datos de residentes argentinos y no se encuentre radicada en territorio nacional, deberá designar un representante, el cual será responsable ante la autoridad de control por el cumplimiento de la ley", precisa Juan Pablo Altmark, presidente de la Asociación Argentina de Privacidad (ALAP), en diálogo con iProUP.
2. Deja de proteger los datos de organizaciones, para centrarse sólo en personas naturales. Y erige como paradigma el principio de responsabilidad demostrada: no solo basta con cumplir la ley sino acreditar que las medidas adoptadas para cumplir son eficaces
3. No prevé el derecho al olvido expresamente, aunque podría intentarse nuevas acciones judiciales bajo el derecho de supresión, ya que se redujeron los recaudos vinculados con el respeto a la libertad de expresión o de información
4. Casi nulas exigencias para los organismos públicos, que pueden ceder los datos internamente del Estado sin restricciones
5. Los datos biométricos y genéticos son considerados "sensibles". Altmark afirma que "el problema es que abre la lista de datos especialmente protegidos de manera indeterminada. La autoridad de control deberá reglamentarlo para evitar que todo pueda ser interpretado como potencialmente sensible".
6. Derecho de portabilidad, muy difícil de llevar a la práctica como muestra la experiencia internacional, dado que no existe voluntad por parte de los obligados de que sus redes sean interoperables con otros operadores competentes.
7. Derecho a requerir intervención humana, de tener conocimiento sobre la lógica empleada para resolver cuestiones por los algoritmos y a impugnar lo decidido cuando haya afectación para el titular del dato en el caso de tratamiento automatizado o semiautomatizado de datos
El proyecto fija que los usuarios tengan atención "humana" cuando tenga problemas en sistemas automatizados
8. Obligación de denunciar cualquier incidente de seguridad dentro de las 72 horas de conocido, a la autoridad de aplicación y al titular del dato.
9. Se quitó la excepción de contar con consentimiento para los datos de acceso público como son nombre, DNI, CUIT y domicilio. Quiere decir que ahora podría pedirse consentimiento
10. Establece la obligación de establecimiento de programas de privacidad para todos y la designación de una persona encargada de la privacidad que debe tener conocimiento del tema.
11. "Tratamiento de datos personales de "niñas, niños y adolescentes", por el cual se establece que los mayores de 13 años podrán dar su consentimiento para el tratamiento de sus datos y, en el caso de los menores de esa edad, el responsable deberá conseguir el consentimiento del padre, madre, o tutor legal", apunta Altmark.
12. Criterio de opt out para actividades de publicidad y marketing: los titulares solo tienen derecho a oponerse a que se sigan tratando sus datos personales para esos fines, pero no se requiere consentimiento.
13. Cuando existan opciones de recolección de datos, siempre por defecto deberán estar desactivadas hasta que el titular las seleccione, indica Altmark.
14. Para Allende, la iniciativa tiene parámetros imprecisos respecto a los plazos para quitar datos personales de registros de información crediticia. Solo dice que "se pueden tratar los datos personales significativos para evaluar la solvencia económico financiera de los últimos 5 años. El plazo se reduce a 1 año si el deudor cancela o extingue la obligación, a partir de la fecha en que lo hizo.
El proyecto establece multas de $10.000 millones (actualizables por inflación) o 4% de la facturación global
"Respecto a datos relativos al cumplimiento de obligaciones comerciales, reduce a un año la posibilidad de informar incumplimientos o moras que hayan sido saldadas por el titular", dice Altmark.
"Si se le niega al titular de los datos la celebración de un contrato, solicitud de trabajo, servicio, crédito comercial o financiero a partir en un informe crediticio, debe notificársele tal circunstancia, así como la empresa que proveyó el informe y hacerle entrega de una copia", advierte.
15. Por último, prevé multas muy elevadas que pueden llegar a $10.000 millones actualizable por IPC o 4% de la facturación anual global, lo que resulte mayor. Estas medidas no son aplicables a los organismos públicos a los que sólo se podrán imponer sanciones disciplinarias para los funcionarios responsables.
Allende concluye que "hay un año desde la sanción de la ley para adecuarse a los nuevos requisitos".
Buenas y malas noticias legales para las empresas
Altmark apunta los siguientes aspectos legales que deberán tener en cuenta las empresas respecto al tratamiento de datos personales:
1. Se incorpora el principio de Responsabilidad Proactiva y Demostrada, que invierte la carga de la prueba y obligará a las compañías a establecer programas internos de gobernanza de datos
2. En la otra vereda, el consentimiento expreso e informado del titular de los datos deja de ser el único criterio y pasa a ser una base legal más junto a otras 5: funciones propias del Estado, obligación legal, ejecución de un contrato con el titular de los datos, salvaguarda de interés vital e "interés legítimo" del responsable del manejo de la información
3. Seguridad: incorpora el concepto de análisis de riesgos al momento de definir las medidas de seguridad a implementar para cada tratamiento, lo cual permite segmentar correctamente aquellos tratamientos que deberán implementar medidas adicionales de seguridad de aquellos que pueden implementar las medidas básicas.
4. Realización de evaluaciones de impacto a la privacidad, concepto que se importó del derecho ambiental, en el que los responsables deberán evaluar previamente el impacto que un nuevo tratamiento podría generar sobre los derechos y libertades de los titulares
5. Se incorpora la figura del Delegado de Protección de Datos, en organizaciones públicas y privadas
"El proyecto se asemeja mucho al estándar europeo. Ayuda a alinearnos con Europa y probablemente a mantener la decisión de adecuación, actualmente se encuentra en estado de revisión", asegura Altmark.
El especialista considera que "se trata de una mejora sustancial a nuestra ley actual, que importa gran parte de los avances implementados por el Reglamento General de Protección de Datos europeo, así como lo ha hecho Brasil, Uruguay, Panamá, Ecuador y como lo está haciendo Chile".
"Sin duda que hay algunos institutos que resultan mejorables, pero en caso de ser sancionada, la ley volverá a colocar a la Argentina con un marco legal acorde con los estándares más altos a nivel internacional, lo cual resulta un elemento cada vez más considerado al momento de elegir destinos o socios para realizar negocios a nivel internacional", subraya Allende.