ALGUNAS CONSIDERACIONES SOBRE EL ANTEPROYECTO DE LEY DE PROTECCIÓN DE LOS DATOS PERSONALES
Recientemente se publicó un anteproyecto de Ley de Protección de los Datos Personales, accesible desde el sitio web de Justicia 2020 (https://www.justicia2020.gob.ar/), en adelante el “Anteproyecto”, el que es resultado de una consulta pública impulsada por la Dirección Nacional de Protección de Datos Personales (en adelante “DNPDP”), el que será objeto de análisis en el presente artículo en aquellas cuestiones que considero de mayor relevancia.
En cuanto al objeto, el fin perseguido por la ley vigente se limita a resguardar los datos personales de aquellas bases de datos destinadas a dar informes. El texto del Anteproyecto elimina esa finalidad.
A la vez, se suprime el párrafo que indicaba que la normativa resulta aplicable a la personas de existencia ideal integrantes de una base de datos, por lo que el Anteproyecto pretende que las previsiones no sean de aplicación a las personas jurídicas en su carácter de titulares de datos personales. Esta doctrina está en consonancia con la normativa europea que sólo protege a las personas humanas.
Por su parte, en cuanto a las definiciones, se han incluido algunas, las que vienen a aportar certeza para la interpretación de los conceptos utilizados en el Anteproyecto. En efecto, se definen términos como “cesión”, “computación en la nube”, “datos biométricos” y “datos genéricos”. A la vez, se han incorporado aclaraciones en definiciones existentes en la legislación vigente, tales como, “datos personales”, “disociación de datos”, entre otros.
El ámbito de aplicación del Anteproyecto se amplía en relación a la ley vigente. Ello, en consideración a las recientes prácticas que se desprenden del uso de las nuevas tecnologías. En este sentido, se contempla que la legislación aplicará a aquel responsable del tratamiento que se encuentra radicado en el territorio nacional, aun cuando el tratamiento de datos tenga lugar fuera de dicho territorio; que no se encuentre establecido en el territorio nacional, sino en un lugar en que se aplica la legislación nacional en virtud del derecho internacional; como así también en aquel tratamiento de datos de titulares que residan en la República Argentina pero que sea realizado por un responsable del tratamiento que no se encuentre establecido en el territorio nacional y las actividades de dicho tratamiento estén relacionadas con la oferta de bienes o servicios a dichos titulares de los datos residentes en la República Argentina, o con el seguimiento de sus actos, comportamientos o intereses.
En cuanto a los principios que contempla el texto en análisis, haremos hincapié en aquellos que resultan novedosos o que plantean ciertos cambios. Tal es el caso del principio de transparencia, de licitud, de responsabilidad proactiva y aquel de minimización de datos.
El principio de transparencia refiere al tratamiento transparente que se exige en relación a los datos personales del titular. De este principio, derivan obligaciones a cargo del responsable del tratamiento vinculadas a denunciar vulnerabilidades que pudiese sufrir, a brindar información al titular de los datos personales sobre el alcance del tratamiento que se realiza sobre los datos, entre otros.
El principio de licitud comprende el tratamiento lícito de los datos personales. En relación a este principio, se elimina la obligación por parte del responsable del tratamiento referente a la registración de las bases de datos. En la actualidad con la normativa vigente, las bases de datos que no se encuentren registradas ante el Registro Nacional de Base de Datos a cargo de la DNPDP son consideradas ilícitas.
El principio de responsabilidad proactiva contempla el aseguramiento por parte del responsable de la base de datos del cumplimiento de un complejo de obligaciones que implican la vigilancia e implementación de medidas para garantizar un tratamiento adecuado de los datos personales.
Por su parte, hay principios que son similares a los previstos en la normativa vigente, pero que han variado su denominación, tal como, el principio de minimización de datos aquel previsto en la normativa como principio de calidad y finalidad, que tiene por objetivo que los datos recolectados sean adecuados, pertinentes y limitados conforme la finalidad determinada al crearse el archivo de datos.
El Anteproyecto cambia las pautas vinculadas al consentimiento. La normativa anterior exigía el consentimiento libre, expreso e informado en cuanto a la recolección y tratamiento que se realice de los datos, estableciendo excepciones taxativas al cumplimiento de esta obligación. El texto propuesto exige un consentimiento expreso o tácito, indicando que la forma del consentimiento dependerá de las circunstancias, el tipo de dato personal y las expectativas razonables del titular de los datos.
Asimismo, se establece que el consentimiento expreso es exigido para el supuesto de datos sensibles. En todos los casos, se prevé que la carga de la prueba vinculada al consentimiento efectuado está a cargo del responsable del tratamiento. Otra cuestión que se prevé es el supuesto de revocación, como las excepciones que podrán ser invocadas.
En cuanto al deber de información, además de aquella que a la fecha es exigida (la existencia de la base de datos, su titular, la finalidad y los derechos que le asisten al titular del dato), se incluye el deber de información en relación a la identidad y los datos de contacto del delegado de protección de datos; los medios para ejercer los derechos de acceso, rectificación, supresión y oposición; las cesiones o transferencias internacionales de datos que se efectúen o prevén efectuar y el derecho a presentar una denuncia ante la autoridad de control o a ejercer la acción de habeas data en caso de que el responsable del tratamiento incumpla con la ley. No obstante lo indicado, en el nuevo texto se exime al responsable del tratamiento de tal deber, cuando los datos no hayan sido obtenidos directamente del titular o cuando ello resulte imposible o suponga un esfuerzo desproporcionado.
El Anteproyecto prevé cuestiones particulares para tratamientos especiales de datos, vinculados a datos sensibles, antecedentes penales y contravencionales y de menores. En el caso de los menores, se tuvo en consideración los instrumentos internacionales aprobados por nuestro país y lo previsto por el nuevo Código Civil y Comercial de la Nación.
Se establece una obligación de notificación de incidentes de seguridad, no contemplada en la normativa vigente hasta ahora, vinculada al deber de informar a la autoridad de control aquellas vulneraciones de seguridad de datos personales ocurridas en cualquier fase del tratamiento de datos que afecten de forma significativa derechos de titulares de los datos. De igual manera, el responsable del tratamiento deberá informar al titular de los datos sobre tal circunstancia. Una obligación adicional, es aquel deber de documentar toda vulneración de seguridad de los datos personales ocurrida en cualquier fase del tratamiento de datos. Esta carga de denunciar se encuentra en línea con la función preventiva del nuevo Código Civil y Comercial de la Nación.
Tal como lo previsto en la normativa vigente, en los supuestos de cesión y transferencia internacional de datos personales, el receptor responde en los mismos términos que el responsable del tratamiento. En cuanto al supuesto de cesión de datos personales se incluyen excepciones no contempladas en la normativa actual. Sobre la transferencia internacional, el texto propuesto prevé casos en los que no se precisará el consentimiento del titular del dato. Por otro lado, en cuanto al cumplimiento de las exigencias previstas en relación a la transferencia internacional, se indica que la carga de la prueba está en cabeza del responsable del tratamiento.
El texto del Anteproyecto prevé estipulaciones particulares respecto a los servicios de computación en la nube. En este sentido, se indica que el responsable del tratamiento debe elegir un proveedor de servicios que garantice el cumplimiento de la ley y que responderá solidariamente ante el titular de los datos y ante la autoridad de control por incumplimientos del proveedor, estableciendo las condiciones particulares a cargo del prestador de servicios que el responsable del tratamiento deberá controlar.
El nuevo texto incluye aquellos derechos del titular del dato contemplados en la normativa actual, es decir, el derecho de acceso, rectificación, supresión y actualización de los datos recolectados, estipulando condiciones particulares para su ejercicio como así también los supuestos en que se encuentra justificado no dar lugar a tales prerrogativas.
A la vez, incorpora el derecho de oposición el que consiste en oponerse al tratamiento de sus datos, o de una finalidad específica del mismo, cuando no hubiera prestado consentimiento y existan motivos fundados y legítimos relativos a una concreta situación personal.
Otra prerrogativa contemplada en la propuesta de Anteproyecto, es aquella vinculada al derecho de portabilidad de datos personales, el que implica el derecho a obtener del responsable del tratamiento una copia de los datos personales objeto de tratamiento en un formato estructurado y comúnmente utilizado que le permita su ulterior uso. El titular de los datos podrá solicitar que sus datos personales se transfieran directamente de responsable a responsable cuando sea técnicamente posible. El ejercicio de ésta prerrogativa no procederá en supuestos específicos previstos por la normativa en análisis.
En relación al ejercicio de los derechos, en todos los casos, se estipula un plazo de diez (10) días hábiles de haber sido intimado fehacientemente. Tal como en la normativa vigente, vencido el plazo sin haberse satisfecho el requerimiento o si el mismo resulta insuficiente, se podrá optar por llevar adelante el reclamo ante la autoridad de control o interponer la acción de hábeas data. La normativa en su texto actual indica distintos plazos, esto es, diez (10) días corridos para proporcionar información ante el ejercicio del derecho de acceso y cinco (5) hábiles para dar respuesta ante el ejercicio de los derechos de rectificación, supresión o actualización. Lo que sí se ha mantenido es la gratuidad del ejercicio de los derechos a intervalos no inferiores a seis (6) meses, salvo que se acredite un interés legítimo al efecto.
En cuanto a las obligaciones del responsable del tratamiento, se establecen medidas mínimas a efectos de cumplir la responsabilidad proactiva a su cargo. Tales medidas son: a) La adopción de procesos internos para llevar adelante de manera efectiva las medidas de responsabilidad; b) La implementación de procedimientos para atender el ejercicio de los derechos por parte de los titulares de los datos; c) La realización de supervisiones o auditorías, internas o externas, para controlar el cumplimiento de las medidas adoptadas.
A la vez, se establece el deber de adoptar una política de privacidad o adherirse a mecanismos de autorregulación vinculantes.
Por otro lado, se exige el cumplimiento de medidas tecnológicas y organizativas tendientes a lograr la protección de los datos desde el diseño (Privacy by Design) y por defecto (Privacy by Default). Esto implica adoptar medidas apropiadas tanto con anterioridad como durante el tratamiento de datos a fin de cumplir los principios y los derechos de los titulares de los datos establecidos en el Anteproyecto. Además, comprende la adopción de medidas apropiadas en miras a garantizar que, por defecto, solo sean objeto de tratamiento de datos aquellos datos personales que sean necesarios para cada uno de los fines del tratamiento, como también garantizar en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas humanas.
Otro tema que se establece es la necesidad de realizar una evaluación de impacto ante un tipo de tratamiento de datos que entrañe un alto riesgo de afectación de derechos fundamentales de los titulares de los datos. En este sentido, establece supuestos específicos en que se deberá realizar esta evaluación, más allá de las que puede considerar la autoridad de control. El texto en análisis también prevé el contenido que dicha evaluación deberá cumplir y la obligación de informar a la autoridad de control en el supuesto que la evaluación muestre que el tratamiento de datos entraña un alto riesgo.
Por otro lado, el Anteproyecto contempla la figura del delegado de protección de datos (CPO - Chief privacy officer) para específicos supuestos, estos son: a) Se trate de autoridades u organismos públicos; b) Se realice tratamiento de datos sensibles como parte de la actividad principal del responsable o encargado del tratamiento y c) Se realice tratamiento de datos a gran escala. A la vez, prevé la facultad de optar por la figura por aquellos que no estén obligados, en cuyo caso el delegado deberá ajustarse a lo previsto en la normativa.
Esta figura ya se encuentra prevista en normativa extranjera, tal el caso del Reglamento General de Protección de Datos de la UE, capítulo 4 sección 4. Con fines similares en ambas normativas, se prevé el cumplimiento de la designación de un delegado para supuestos específicos, los que se vinculan con la persona responsable del tratamiento como así también con el tipo o cantidad de datos que son objeto de tratamiento. En este sentido, se pretende obligar a aquellas entidades públicas y empresas y otras entidades cuya actividad principal consista en el tratamiento de datos sensibles o aquel que resulte masivo.
La normativa en análisis prevé la posibilidad de confeccionar mecanismos de autorregulación vinculantes. En este sentido, indica que la autoridad de control alentará a su elaboración y a que tengan por objeto contribuir a la correcta aplicación de la ley, en consideración a las características específicas del tratamiento de datos que se realice, así como el efectivo ejercicio y respeto de los derechos del titular de los datos. Estos mecanismos deberán ser presentados para homologación de la autoridad de control, la cual dictaminará si el proyecto es conforme a la presente ley y, en su caso, aprobará el ordenamiento o indicará las correcciones que se estime necesarias para su aprobación. Aquellos que resulten aprobados, serán registrados y dados a publicidad por la autoridad de control.
Se contempla el registro no llame lo que pretende unificar la normativa sobre datos personales en un único texto.
El texto del Anteproyecto propuesto prevé un capítulo destinado a tratar supuestos especiales. Entre ellos, se encuentran: las bases de datos públicas, tratamiento de datos por organismos de seguridad e inteligencia, la prestación de servicios de información crediticia y bases destinadas a la publicidad.
En relación a la prestación de servicios de información crediticia se extiende el plazo de seis (6) meses a doce (12) meses, que deberá comunicar el responsable o encargado del tratamiento sobre las informaciones, evaluaciones y apreciaciones que hayan sido comunicadas. Por otra parte, se clarifica desde cuando comienza a contar el plazo en que se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico-financiera de los afectados, el que se computará desde la última información significativa. Adicionalmente, se reduce la facultad de archivar, registrar o ceder a un (1) año cuando el deudor cancele o extinga la obligación. Otra cuestión que se regula es qué información crediticia se considera relevante.
Un agregado importante, es la obligación a cargo del responsable o encargado del tratamiento que pretende ceder datos personales, la que comprende enviar al titular de los datos, al último domicilio por él denunciado, una notificación fehaciente en la que se le comunique la información a ceder y sus cesionarios, a efectos de que el titular del dato pueda ejercer los derechos previstos por ley. La información podrá ser difundida por las empresas que prestan servicios de informes crediticios luego de transcurridos diez (10) días hábiles de cursada aquella notificación. Si el titular de los dato cumple su obligación dentro de los cinco (5) días hábiles de notificado, no podrán cederse tales datos a las empresas que prestan servicios de informe crediticio. Similares deberes y derechos se estipula para el supuesto de entidades financieras que obligatoriamente cedan información relativa al cumplimiento de obligaciones de contenido patrimonial al Banco Central de la República Argentina.
Otra de las cuestiones que resulta incluida es la obligación de informar cuando se denegare al titular de los datos la celebración de un contrato, solicitud de trabajo, servicio, crédito comercial o financiero, sustentado en un informe crediticio, así como respecto a la empresa que proveyó dicho informe y hacerle entrega de una copia del mismo. Este supuesto se encuentra presente en el reciente Código Civil y Comercial de la Nación para el caso de denegación de un crédito por parte de una entidad sometida al Banco Central de la República Argentina (art. 1387 CCCN).
Para finalizar, se hará mención de los cambios previstos en relación al órgano de control. En efecto, se crea la Agencia Nacional de Protección de Datos Personales (ANPDP). Se prevé autonomía funcional, la que actuará como órgano descentralizado en el ámbito del Ministerio de Justicia y Derechos Humanos de la Nación. Se debe recordar que la autonomía de la DNPDP ha sido un tema observado por la Unión Europea cuando otorgó a la Argentina el carácter de jurisdicción con un nivel adecuado de protección en materia de datos personales y que podría tener relevancia a la luz del nuevo Reglamento (UE) 2016/679.
[La información proporcionada no constituye asesoramiento legal y no implica un tratamiento acabado de todas las cuestiones vinculadas a la materia]