Nuevo proyecto de ley para reemplazar la actual Ley de Protección de Datos Personales

21 de diciembre de 2020

El 17 de noviembre, se presentó un proyecto de ley en el Congreso para modernizar el régimen actual de protección de datos personales.

El proyecto de ley (disponible aquí) tomó principalmente como base el texto “Nueva versión del anteproyecto de Ley de Protección de Datos Personales” que se encuentra publicado en el sitio web oficial de la Agencia de Acceso a la Información Pública y tiene grandes similitudes con el proyecto de ley de protección de datos personales que la administración anterior envió al Congreso en el año 2018 (más información y sus análisis aquí) y que perdió estado parlamentario este año.

El objetivo del proyecto es modernizar el régimen legal aplicable respetando los derechos y garantías establecidos por la Constitución Nacional, adaptándolos a las nuevas tecnologías y a los cambios regulatorios ocurridos en el derecho comparado durante los últimos años. Así, se destaca que la Argentina, desde el año 2003, es considerada por la Comisión Europea como un país con legislación adecuada para la protección de los datos personales. Sin embargo, este estatus se encuentra bajo análisis debido a la entrada en vigencia del Reglamento General de Protección de Datos (UE) 2016/679, conocido como RGPD o GDPR, por sus siglas en inglés. Sobre esta base, se propone una reforma con el fin de mantener los estándares internacionales.

Los cambios más relevantes que incorpora este nuevo proyecto con relación al régimen actual de la Ley de Protección de Datos Personales N° 25326 son los siguientes:

 

  • introduce nuevas definiciones en línea con el RGPD (por ejemplo, incorpora los conceptos de datos genéticos, datos biométricos, grupo económico, incidente de seguridad y transferencia internacional);
  • limita los sujetos que pueden ser titulares de datos personales a personas humanas;
  • dispone nuevas bases legales para la recolección y tratamiento de datos personales diferentes al consentimiento, como por ejemplo el interés legítimo;
  • incorpora el concepto de rendición de cuentas o principio de responsabilidad proactiva (accountability);
  • actualiza el listado de derechos de los titulares, incorporando el derecho de oposición al tratamiento de sus datos, el derecho a oponerse a ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos, el derecho a la portabilidad de datos;
  • incorpora la obligación del responsable de informar los incidentes de seguridad a la autoridad de aplicación y, en algunos supuestos, al titular del dato;
  • prevé la figura del delegado de protección de datos para ciertos supuestos;
  • incrementa los montos de las sanciones.

 

Muchos de estos cambios ya habían sido incluidos en el proyecto anterior. Sin embargo, entre el proyecto anterior y este nuevo proyecto también existen las siguientes diferencias:

 

  • Modifica la definición de “disociación de datos” al agregar que “no será considerada persona determinable cuando el procedimiento que deba aplicarse para lograr su identificación requiera la aplicación de medidas o plazos desproporcionados o inviables” (en línea con la Resolución 4/2019 de la Agencia).
  • Modifica el ámbito de aplicación de la ley al eliminar la posibilidad del titular del dato de elegir la aplicación de una ley distinta de la Argentina cuando esta fuera más favorable para la protección de sus derechos.
  • Elimina la posibilidad de que el Estado utilice como base legal el interés legítimo.
  • Agrega la definición de país adecuado como “un país u organismo internacional o supranacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente”.
  • Elimina los supuestos de falsedad y error como supuestos habilitantes para que el titular del dato pueda solicitar el derecho de rectificación de sus datos.
  • Agrega que en los supuestos de decisiones automatizadas en el marco de la celebración de un contrato o con el consentimiento expreso del titular del dato, el responsable debe adoptar alguna intervención humana para que exprese sus puntos de vista y pueda impugnar la decisión automatizada.
  • Agrega que la autoridad de control percibirá las tasas que se fijen por los servicios de inscripción y otros que preste, elaborará propuestas de reforma legislativa; y podrá celebrar convenios de cooperación y contratos con organizaciones públicas o privadas, nacionales o extranjeras, en el ámbito de su competencia, para el cumplimiento de sus funciones.
  • Aclara que en el caso en que el titular de los datos no reciba respuesta por parte del responsable del tratamiento dentro de los 10 días hábiles de haberlo intimado fehacientemente, bastará con que el titular acredite frente a la autoridad de control la fecha en que presentó la solicitud ante el responsable del tratamiento para que ésta inicie el trámite de protección de datos personales.
  • Aumenta el monto máximo de las multas de 500 salarios mínimos vitales y móviles a 5925 salarios mínimos vitales y móviles vigentes al momento de la imposición de la sanción (equivalente al día de hoy a ARS 121 980 937,50) o, tratándose de una empresa, de un monto equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior –optándose por la opción de mayor valor–.
  • Elimina la obligación de la autoridad de control de dar publicidad en su sitio web a las resoluciones sancionatorias que imponga, como así también su publicación en el sitio web del responsable de tratamiento.
  • Agrega como legitimados activos para interponer una acción colectiva al titular de los datos, el defensor del pueblo, las asociaciones sectoriales, la autoridad de control (únicamente en forma coadyuvante) y el ministerio público.

 

El proyecto se encuentra actualmente para su debate en comisiones de la Cámara de Diputados del Congreso de la Nación sin avances significativos. Probablemente, se tratará durante el próximo año.