Proyecto de Ley sobre Protección de Datos Personales


El 9/12/20, ingresó para su tratamiento en el Senado de la Nación, por mesa de entrada bajo el número 2986/20, un proyecto de Ley sobre Protección de Datos Personales.

Luego de veinte años desde la sanción de la ley 25.326, y dadas las circunstancias de evolución e irrupción tecnológica, y el avance sobre el reconocimiento y respeto cada vez mayor hacia los derechos humanos, ha llegado el momento de ponernos al día, en miras de garantizar el ejercicio pleno de los derechos de los titulares de datos personales, de conformidad a lo establecido en el artículo 43, párrafo tercero, de la Constitución Nacional y los Tratados de Derechos Humanos.

La definición del objeto propuesta al Art. 1 del proyecto deja entrever la amplitud que se pretende en la concepción de los datos personales, dejando de lado la limitación observada en la legislación vigente, respecto de la enumeración de medios técnicos específicos.

Es interesante la delimitación del ámbito de aplicación de la ley propuesta, haciendo extensible la legislación nacional al responsable del tratamiento “establecido” en el territorio nacional, a pesar de que el tratamiento de datos tenga lugar fuera del mismo, como también en función de la residencia en el país por parte del titular de los datos, a excepción de ley más benigna en el “lugar donde se encontrare” el responsable. Respecto de este punto, cabe hacer mención que la redacción del Art. 4 del proyecto deja algunos interrogantes y plantea cuestiones conceptuales tales como el significado del lugar “donde se encuentre establecido”, y que es lo que se debe entender por “lugar donde se encuentra”, conceptos y definiciones que no fueron previstas al Art. 2 del texto legal. En este punto, en necesario echar luz y confiamos en que el tratamiento del proyecto logrará obtener mayores certezas, evitando el arbitrio judicial en la competencia excluyente del Poder Legislativo, esto es legislar.

El otro gran cambio es la exclusión del requisito de inscripción en el registro de bases de datos, como supuesto constitutivo y esencial a la “licitud” en el tratamiento de datos, quedando supeditado el ejercicio de dicha actividad al otorgamiento, y correspondiente recepción, del consentimiento, expreso o tácito -no obstante algunas excepciones que exigen exclusivamente el consentimiento expreso, fundadas en la protección de los derechos del niño-, o bien una relación jurídica previa, un interés vital para el propietario de los datos, intereses legítimos de terceros, o cuando se hallen fundadas en una obligación legal o deriven de funciones propias de los poderes del estado, en estricto cumplimiento de sus competencias.

Los principios que informan este proyecto son los de lealtad, transparencia, finalidad, incluyendo algunos supuestos de excepción que estarán, no obstante protegidos por el tratamiento específico de anonimización; junto a los principios de minimización, exactitud, y confidencialidad, que también están llamados a gobernar. El proyecto hace una especial mención y reconocimiento del derecho al olvido del titular de los datos y sus legítimos sucesores, exigiendo, por otra parte, la vigencia del principio de responsabilidad proactiva destinada a otorgar un marco de gobernanza al tratamiento de los datos. Otro principio fundamental consagrado es el de seguridad de los datos personales, imponiendo el deber de adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, considerando los riesgos inherentes, el carácter sensible de los datos personales tratados, el desarrollo tecnológico; las posibles consecuencias de un incidente de seguridad para los titulares de los datos; y los incidentes de seguridad previos ocurridos en los sistemas de tratamiento.

Los derechos de los titulares de datos reconocidos expresamente en este proyecto son el de acceso, rectificación, oposición, supresión y a la portabilidad.

Se establece la protección de datos desde el diseño y por defecto, tema ya comentado en nuestro blog. (https://www.revistadigitaladhonorem.com/post/privacidad-de-datos-desde-el-dise%C3%B1o-por-florencia-luz-marquez-bonino)

La novedad también incluye la evaluación de impacto, previa y obligatoria para los casos de evaluación sistemática y exhaustiva de aspectos personales de personas humanas que se base en un tratamiento de datos automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas humanas o que les afecten significativamente de modo similar; el tratamiento de datos sensibles a gran escala, o de datos relativos a antecedentes penales o contravencionales; observación sistemática a gran escala de una zona de acceso público. En sintonía, se impone la obligación de designar un delegado de Protección de datos cuando revistan el carácter de autoridades u organismos públicos, se realice tratamiento de datos sensibles o a gran escala; y se establecen políticas de promoción de mecanismos de autorregulación, que deberán ser homologadas ante la autoridad de contralor, y se podrán traducir en códigos de conducta, de buenas prácticas, normas corporativas vinculantes, sellos de confianza, certificaciones. Es destacable asociar lo mencionado supra, con los conceptos de gobernanza, risk managment y compliance (GRC), como herramientas válidas, de autorregulación, en miras de organizaciones éticas, sustentables, ligadas a la cultura del cumplimiento y del buen gobierno corporativo, con compromiso social.

Por otra parte, se propone la creación de un Registro Nacional “No llame”, con el objeto de evitar el contacto no solicitado.

Respecto de los servicios de información crediticia, se establece la obligación de comunicación en forma gratuita de las informaciones, evaluaciones y apreciación durante los últimos 12 meses, esto amplía el plazo de 6 meses que se encuentra vigente, plazos que mantienen sin modificación en lo que respecta a la posibilidad de archivar, registrar o ceder, de 5 años y de 2 para el caso de extinción de las obligaciones.

También se hallan previstos supuestos especiales de bases públicas, organismos de seguridad e inteligencia, de publicidad y, algunas menciones a los datos en salud, los cuales se hallan regulados por su respectivo cuerpo normativo.

Nos queda por delante el análisis del proceso administrativo propuesto, que será objeto de un próximo blog.


https://www.senado.gob.ar/parlamentario/comisiones/verExp/2986.20/S/PL






10 visualizaciones0 comentarios