Nuevo Proyecto de Ley de Protección de Datos Personales

La Agencia de Acceso a la Información Pública (AAIP) publicó el Proyecto de ley de Protección de Datos Personales, pendiente de presentación ante el Congreso, resultado de un proceso de debate iniciado por la AAIP a través de mesas preparatorias y mesas de diálogo con diversos sectores de la sociedad, durante los meses de julio y agosto del corriente año. Producto de la participación y el debate, se redactó una propuesta de Anteproyecto y se habilitó la instancia de consulta pública (Resolución AAIP 119/2022) con el propósito de garantizar la efectiva participación de la ciudadanía, la que a raíz de distintas solicitudes para extender el plazo de la participación, se prorrogó hasta el 11 de octubre inclusive (Resolución AAIP 145/2022).

Se desarrollan a continuación los aspectos más relevantes a tener en cuenta del Proyecto de ley:

Definiciones: Incorpora definiciones tales como consentimiento, grupo económico, anonimización y seudonimización, datos biométricos, datos genéticos, elaboración de perfiles, transferencia de datos y transferencia internacional, Responsable y Encargado de tratamiento de datos personales, Representante de Responsable o Encargado de tratamiento y Delegado de protección de datos.

Ámbito de aplicación extraterritorial: Amplía el alcance territorial de la ley a aquellos tratamientos de datos realizados por el Responsable o Encargado que no se encuentre establecido en el territorio argentino en la medida que se cumplan ciertos supuestos.

Principios: Se incorpora el principio de minimización, entendiendo que los datos personales deben ser tratados de manera que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que fueron recolectados, el de preeminencia referido a la interpretación y aplicación más favorable al titular de los datos personales, y de responsabilidad proactiva y demostrada que comprende la adopción de medidas técnicas, organizativas o de cualquier otra índole que sean útiles, oportunas y efectivas a fin de garantizar un tratamiento adecuado de los datos personales, el cumplimiento de las obligaciones dispuestas por la ley y que permitan demostrar a la Autoridad de aplicación su efectiva implementación, incluyéndose la implementación de la debida diligencia.

Tratamiento de datos de niñas, niños y adolescentes: Es válido el consentimiento brindado por aquellos menores de edad de como mínimo 13 años cuando se aplique al tratamiento de datos vinculados a la utilización de servicios de la sociedad de la información específicamente diseñados o aptos para ellos. Si se trata de menor de 13 años, tal tratamiento únicamente se considera lícito si el consentimiento fue otorgado por el titular de la responsabilidad parental, se encuentra a cargo de la guarda o tutela sobre la niña o niño, y solo en la medida en que se dio o autorizó. No se podrá realizar el tratamiento de datos personales de menores y adolescentes en los juegos, aplicaciones de Internet, desarrollos e innovaciones tecnológicas, u otras actividades que involucren información personal más allá de lo estrictamente necesario para la realización de la actividad. No se podrán tratar datos sensibles de menores y adolescentes a menos que se cuente con su consentimiento o el titular de la responsabilidad parental o quien se encuentre a cargo de su ejercicio o de la guarda o tutela o cuando, dicho tratamiento sea indispensable para el interés público o para salvaguardar la vida de aquellos o un tercero.

Notificación de incidentes de seguridad: Los incidentes deben notificarse por el Responsable a la Agencia dentro del plazo de 72 horas de haber tomado conocimiento de aquél, también debe informar a los titulares de los datos, si dicha notificación implica esfuerzo desproporcionado puede realizarse mediante una comunicación pública, en la medida en que la misma sea igualmente efectiva.

Transferencias internacionales: La transferencia internacional está permitida cuando:
a. se realice a un país u organismo internacional o supranacional receptor que proporcione un nivel de protección adecuado;
b. el exportador ofrezca garantías apropiadas al tratamiento de los datos personales (cláusulas contractuales, normas corporativas vinculantes o mecanismos de certificación ); o
c. se produzca alguna de las excepciones para situaciones específicas determinadas en el propio texto legal (ej.: consentimiento del titular).

Derechos de los titulares de datos: Se amplían las categorías de derechos, incluyendo el derecho de oposición, a la portabilidad, de limitación, a no ser objeto de una decisión basada única o parcialmente en el tratamiento automatizado de datos, incluida la elaboración de perfiles e inferencias, previendo en este último supuesto el deber de proporcionar información clara, completa y adecuada sobre los criterios y procedimientos utilizados (con observancia de secretos industriales o comerciales) en caso de solicitud. En todos los casos, el plazo de respuesta es de 10 días hábiles de haber sido intimado fehacientemente.

Política de tratamiento de datos personales: El Responsable y Encargado deberá desarrollar sus políticas para el tratamiento de los datos personales, las que deben instrumentarse en todos los medios idóneos disponibles para informar al Titular en un lenguaje claro y sencillo, y deben incluir la información detallada en el artículo referido a la información al titular de los datos, y la fecha de su entrada en vigencia.

Protección de datos desde el diseño y por defecto: El Responsable del tratamiento debe, desde el diseño y antes del tratamiento, prever y aplicar medidas tecnológicas y organizativas apropiadas para cumplir los principios y garantizar los derechos de los Titulares de los datos establecidos en la presente Ley. Asimismo, el Responsable debe aplicar las medidas tecnológicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento aquellos datos personales que sean necesarios para cada uno de los fines del tratamiento.

Evaluación de impacto: Cuando el Responsable del tratamiento prevea realizar algún tipo de tratamiento de datos que por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación a los derechos de los titulares de los datos, deberá realizar, de manera previa a la implementación del tratamiento, una evaluación del impacto relativa a la protección de los datos personales. Se enumeran los supuestos en los cuales esa evaluación es obligatoria y determina el contenido mínimo que debe incluir. Cuando una evaluación de impacto muestre que el tratamiento entrañará un alto riesgo, el Responsable debe informar a la Agencia.

Delegado de protección de datos personales: Incorpora esta figura, cuya designación es obligatoria en determinados supuestos establecidos en la norma, siendo de manera voluntaria en el resto de los casos. Adicionalmente, se indica que las funciones del Delegado pueden ser desempeñadas por un empleado del Responsable o Encargado del tratamiento o en el marco de un contrato de prestación de servicios. Un grupo económico puede designar un único delegado para todas las afiliadas.

Representantes de Responsables y Encargados del tratamiento no establecidos en la República Argentina: Debe ser designado cuando el Responsable o el Encargado del tratamiento no se encuentre establecido en Argentina. El Representante debe actuar en nombre del Responsable o del Encargado del tratamiento, y responderá los pedidos y solicitudes de la Autoridad de aplicación y de los Titulares de los datos. También puede ser objeto de un procedimiento sancionatorio ante el incumplimiento por parte del Responsable o del Encargado.

Registro Nacional para la Protección de Datos: Deberán inscribirse en el Registro Nacional a cargo de la Agencia aquellos Responsables y Encargados del tratamiento que tengan obligación de designar un Delegado de protección de datos así como los que deban contar con un Representante en Argentina.

Mecanismos de regulación vinculantes: La Autoridad de aplicación promoverá y ponderará positivamente la elaboración de mecanismos de regulación vinculantes que tengan por objeto contribuir a la correcta aplicación de la ley.

Medidas correctivas: En caso de incumplimiento de las disposiciones previstas en la Ley, la Agencia puede dictar medidas correctivas con el objeto de evitar que se siga cometiendo la infracción y que la conducta se produzca nuevamente, sin perjuicio de la aplicación de las correspondientes sanciones administrativas.
Las obligaciones con efecto correctivo a implementar consisten en medidas técnicas, jurídicas, organizativas, educativas o administrativas que la Autoridad de aplicación considere pertinentes evaluando las circunstancias particulares del caso, para garantizar un tratamiento adecuado de datos personales.

Sanciones: La Agencia podrá imponer a los Responsables y Encargados del tratamiento las siguientes sanciones:
a. Apercibimientos;
b. Multas;*
c. Suspensión de las actividades relacionadas con el tratamiento de datos personales;
d. Cierre temporal de las operaciones;
e. Cierre inmediato de las operaciones que involucren el tratamiento de datos
sensibles y de niñas, niños y adolescentes.
*Las multas pueden establecerse desde las 5 unidades móviles hasta 1.000.000.000 de unidades móviles o, del dos por ciento (2 %) hasta el cuatro por ciento (4 %) de la facturación total anual global del ejercicio financiero anterior.
Se modifica la forma de cálculo de las multas por infracciones a la ley de protección de datos. Se adopta la unidad móvil, la que se establece en un valor inicial de Pesos 10.000 y que debe ser actualizada anualmente utilizando la variación del índice de precios al consumidor (IPC) que publica el Instituto Nacional de Estadística y Censos (INDEC) o el indicador oficial que lo reemplace en el futuro.

Plazo de adecuación: Se prevé un plazo de un año a contar desde la publicación del texto en el Boletín Oficial para adaptarse a las obligaciones contenidas en la ley.