El Gobierno finalmente lanzó la participación pública que estará vigente todo septiembre para que los interesados puedan hacer comentarios al proyecto de Ley de Protección de Datos Personales.
Esta nueva normativa impondrá multas millonarias a quienes violen los criterios que se fijarán sobre la privacidad, seguridad informática y resguardo de los niños. Un aspecto negativo es que no regula el derecho al olvido (eliminar información personal) en buscadores como Google o YouTube, además de incluir condicionantes adicionales para su ejercicio.
Como punto favorable, el proyecto sigue los más modernos lineamientos de la legislación sobre protección de datos personales de la Unión Europea, lo que permitirá a la Argentina continuar entre los países selectos a los que ese bloque permite compartir datos de sus ciudadanos.
Cómo surgió el proyecto de protección de datos personales
"La Agencia de Acceso a la Información Pública (AAIP) publicó en el Boletín Oficial este lunes la Resolución 119/2022 por la cual inició procedimiento de elaboración participativa del Anteproyecto de Ley de Protección de Datos Personales", indica a iProUP Agustín Allende, socio de Crearis-Latam.
Según el experto, "el plazo para realizar comentarios al texto propuesto comenzó con su publicación y finalizará el 30 de septiembre, ya que la intención del Poder Ejecutivo sería ingresar la iniciativa al Congreso en octubre".
"La propuesta fue el producto de aportes de diferentes sectores de la sociedad civil, cámaras empresariales, académicos, reguladores de otros países, así como extitulares de la AAIP", resalta Allende, quien enumera los antecedentes en los que se basó el texto:
- Reglamento General de Protección de Datos de la Unión Europea (RGPD)
- Ley General de Protección de Datos de Brasil
- Recomendación sobre la Ética de la Inteligencia Artificial de UNESCO
- Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal
"La Unión Europea se alineó detrás del RGPD, actualmente la normativa más estricta en la materia", asegura a iProUP Juan Pablo Altmark, presidente de la Asociación Latinoamericana de Privacidad, quien alerta que "detrás lo hicieron otros países de Latinoamérica y hasta China".
Beatriz de Anchorena, titular de la Agencia de Acceso a la Información Pública, señala a iProUP : "Impulsar la actualización normativa de la Ley de Protección de Datos Personales fue el compromiso que asumí en la Audiencia Pública el 25 de febrero, durante el proceso de postulación como titular de la Agencia".
¿Qué mejorará la nueva Ley de Datos Personales si se promulga?
Según Allende, "las cuestiones más relevantes y auspiciosas de esta propuesta de regulación están relacionadas con los siguientes aspectos":
1. Los datos biométricos y genéticos serán datos personales sensibles
2. Extraterritorialidad: para el tratamiento de datos personales realizados desde el exterior con respecto a personas ubicadas en la Argentina
Las empresas deberán informar a sus usuarios sobre un incidente de seguridad hasta 48 horas después de ocurrido
3. Responsabilidad de iniciativa propia: se deben adoptar las medidas técnicas, organizativas que sean efectivas para la gestión adecuada de los datos personales y el cumplimiento efectivo de la ley. Esto otorga a los obligados margen de maniobra en el cumplimiento de la norma según las particularidades de cada industria y los riesgos involucrados
4. Enumera seis diferentes bases que legitiman el tratamiento de datos personales, abandonando el criterio único del consentimiento, las cuales coinciden con las tomadas por Europa:
- Consentimiento
- Cumplimiento contractual
- Dentro de funciones propias del Estado
- Cumplimiento de obligación legal por el responsable
- Salvaguardar interés vital del afectado
- Interés legítimo del responsable
5. Se abandona la noción de consentimiento tácito como justificación
6. Criterio exhaustivo para el tratamiento de datos personales de niños y adolescentes. El límite de edad para otorgamiento del consentimiento en forma autónoma será de 13 años. Para los menores de esa edad, se requerirá autorización tutelar o parental
7. Seguridad informática: obligación de notificar a la autoridad de aplicación dentro de las 48 horas de tomado conocimiento de un incidente de ciberseguridad y también a los titulares de los datos personales cuando estuvieran en riesgo
8. Se incorporan derechos adicionales a los de Acceso, Rectificación, Cancelación o Supresión y Oposición (ARCO), como los siguientes:
- Portabilidad (entre una plataforma y otra), de dudosa aplicación en el resto del mundo
- Revisión humana para los tratamientos automatizados
- Conocimiento de los criterios y procedimientos que guían la adopción de decisiones automatizadas, aunque respetando los secretos comerciales e industriales
9. Obligación de contar con políticas de privacidad para los encargados y responsables del tratamiento de datos personales.
10. Delegado de protección de datos en todos los organismos públicos y aquellos otros responsables privados que defina la reglamentación.
11. Datos financieros: obligación de explicar la lógica del proceso de puntuación o scoring del comportamiento crediticio
12. Se aumenta significativamente el monto de las multas para responsables privados: hasta $10.000 millones actualizable por inflación o entre el 2% y 4% de facturación anual global
Nueva Ley de Datos Personales: cuáles son las críticas
Para Allende, existen aspectos mejorables del anteproyecto antes de su presentación en el Congreso, entre los que se destaca:
1. Se amplía a 10 días hábiles el plazo para cumplir con la petición del ejercicio de los derechos del titular de los datos personales. En el régimen actual, el derecho de supresión, rectificación y actualización se debe cumplir dentro de los 5 días hábiles de recibido el reclamo.
Los expertos critican que permanezca el criterio de opt out para comunicaciones digitales: el titular debe darse de baja de mensajes enviados (como newsletters), en lugar sólo recibirlos si se da de alta
2. La regulación del derecho de supresión no prevé el de desindexación de vínculos, conocido como "derecho al olvido", pero incluye condicionantes adicionales para que proceda su ejercicio.
3. Se adopta un criterio de opt out para actividades de tratamiento de datos personales asociadas a la publicidad, la prospección comercial o la mercadotecnia directa, incluida la elaboración de perfiles.
Esto implica que el titular debe oponerse para que se cese con dichas actividades respecto a sus datos personales, en vez de exigir su consentimiento (opt in). La situación se ve agravada frente a la posibilidad de ejercer este tratamiento bajo la base legal del interés legítimo.
4. Es ínfima la regulación de la actividad del Estado y no le pueden ser impuestas sanciones pecuniarias en caso de incumplimiento.
5. No se adopta un criterio diferenciado de cumplimiento, menos exigente, para las Pymes que realicen tratamiento de datos personales.
6. No prevé la protección de los ancianos.
7. La revisión judicial de las sanciones pecuniarias que se impongan tendrá efecto suspensivo y, por ende, se beneficia al infractor.
Por último, Allende precisa que "habrá un plazo de un año para la adecuación por parte de los responsables, desde la promulgación de la nueva ley de protección de datos personales".