APROBACIÓN DE CRITERIOS ORIENTADORES E INDICADORES DE MEJORES PRÁCTICAS EN LA APLICACIÓN DE LPDP
La Agencia de Acceso a la Información Pública (AAIP) por Resolución 4/2019, publicada el 16 de enero en el Boletín Oficial, aprueba los criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley Nº 25.326 (Ley de Protección de Datos Personales), siendo de observancia obligatoria para todos aquellos sujetos alcanzados.
En los fundamentos de la norma, la AAIP refiere que diversas entidades, tanto públicas como privadas, han solicitado a la AAIP, en carácter de autoridad de aplicación de la Ley N° 25.326, se expida sobre criterios orientadores para la correcta interpretación e implementación de la normativa en materia de protección de datos personales. Parte de los criterios adoptados están alineados con las incorporaciones que se realizan en el proyecto de ley de reforma de la normativa de protección de datos personales que actualmente se encuentra bajo tratamiento por el Congreso Nacional.
En consideración a esta solicitud, la AAIP considera conveniente pronunciarse sobre el ejercicio del derecho de acceso en relación a datos personales que han sido recolectados mediante sistemas de video vigilancia, establecer cuál sería el alcance del derecho de acceso del titular de los datos cuando el responsable de la base de datos tome decisiones basadas únicamente en el tratamiento automatizado de datos, definir lo que se entiende por “persona determinable”, como así también “dato biométrico” para adaptarse a las nuevas tecnologías de la era digital. Asimismo, la AAIP pretente sentar un criterio interpretativo para la implementación del principio vinculado con el consentimiento, delimitar cuáles son las condiciones para realizar una cesión de datos personales entre organismos públicos, en los términos del artículo 11, inciso 3, apartado c), y establecer criterios orientadores para la obtención del consentimiento de los menores de edad para el tratamiento de sus datos personales.
A modo de repaso, los criterios adoptados se vinculan al derecho de acceso(1), tratamiento automatizado de datos(2), disociación de datos (3), datos biométricos (4) y consentimiento (5).
A continuación, se describe cada criterio:
Criterio 1. Derecho de acceso a datos personales recolectados mediante sistemas de video vigilancia
Al momento de ejercerse el derecho, se deben tener en consideración las siguientes pautas:
i) El titular de los datos debe acreditar su identidad mediante DNI, indicar fecha y hora aproximada en la que pudo haber sido captada su imagen e información necesaria para identificarla.
ii) El responsable de la base de datos debe proporcionar los datos personales en forma clara, acompañados de una explicación del tiempo en que se registró al titular de los datos, lugar en el que el sistema de video vigilancia lo registrara, finalidad, eventuales cesiones y/o destino de los datos, indicando si el banco de datos se encuentra inscripto.
iii) Excepcionalmente el responsable de la base de datos debe proporcionar la imagen (impresión o archivo en formato digital) en caso que el titular de los datos funde debidamente el motivo de obtenerla en dicha modalidad y cancele el costo . En caso que la imagen brindada permita identificar a
algún tercero, el responsable de la base de datos deberá aplicar alguna técnica de disociación.
iv) El responsable de la base de datos debe informar en forma expresa y clara al titular de los datos que, en caso de disconformidad con la respuesta brindada, podrá presentar su reclamo ante la DNPDP.
Criterio 2. Tratamiento automatizado de datos
En caso que el responsable tome decisiones basadas únicamente en el tratamiento automatizado de datos que le produzcan al titular de los datos efectos jurídicos perniciosos o lo afecten significativamente de forma negativa, el titular de los datos tendrá derecho a solicitar al responsable de la base de datos una explicación sobre la lógica aplicada en aquella decisión.
Criterio 3. Disociación de datos
No será considerada persona determinable cuando el procedimiento que deba aplicarse para lograr su identificación requiera la aplicación de medidas o plazos desproporcionados o inviables.
Criterio 4. Datos biométricos
Los datos biométricos son aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan o confirmen su identificación única. Los datos biométricos que identifican a una persona se considerarán datos sensibles únicamente cuando puedan revelar datos adicionales cuyo uso pueda resultar potencialmente discriminatorio para su titular
Criterio 5. Consentimiento
El responsable de la base de datos debe acreditar que quien haya prestado tal consentimiento sea efectivamente el titular de los datos requeridos y no otra persona, esto es, que cuente con mecanismos de validación de identidad eficaces.
En relación a la cesión de datos personales entre organismos públicos, no se requiere el consentimiento del titular de los datos y se cumple con las condiciones de licitud, en la medida en que (i) el cedente haya obtenido los datos en ejercicio de sus funciones, (ii) el cesionario utilice los datos pretendidos para una finalidad que se encuentre dentro del marco de su competencia y, por último, (iii) los datos involucrados sean adecuados y no excedan el límite de lo necesario en relación a esta última finalidad.
En caso de tratamiento de datos personales de niñas, niños y adolescentes, se debe tener :
i) De conformidad con el principio de autonomía progresiva receptado en los artículos 26 y 639 del Código Civil y Comercial, el menor de edad podrá prestar consentimiento informado en relación al tratamiento de sus datos personales teniendo en consideración sus características psicofísicas, aptitudes y desarrollo.
ii) Si el menor de edad no posee la capacidad suficiente para prestar el consentimiento informado, el titular de la responsabilidad parental o tutela sobre la niña, niño o adolescente, deberá prestar el consentimiento para el tratamiento de sus datos personales. En tal caso, el responsable de la base de datos deberá realizar esfuerzos razonables para verificar que el consentimiento haya sido efectivamente otorgado por el titular de la responsabilidad parental o tutela sobre el menor de edad.
[La información proporcionada no constituye asesoramiento legal y no implica un tratamiento acabado de todas las cuestiones vinculadas a la materia]