Proyecto de Ley de Protección de Datos Personales

2 de octubre de 2018

El Poder Ejecutivo Nacional presentó un proyecto de ley que pretende reemplazar el régimen actual en materia de protección de datos personales.

El 19 de septiembre de 2018, el Poder Ejecutivo Nacional presentó el Proyecto MEN-2018-147-APN-PTE (el “Proyecto”) con la intención de sustituir la Ley de Protección de Datos Personales N° 25.326 (la “Ley”) promulgada en el año 2000.

Este Proyecto es parte del esfuerzo de la entonces Dirección Nacional de Protección de Datos Personales, anterior autoridad de aplicación de la Ley, que, a mediados del año 2016, redactó un primer borrador, y lo abrió a discusión y comentarios con el sector público y privado. A raíz del debate generado, la Dirección Nacional de Protección de Datos Personales redactó un segundo borrador en mayo de 2017.

Los argumentos del Proyecto señalan la necesidad de derogar la Ley sancionada en el año 2000, sosteniendo que la misma ha quedado desactualizada en comparación con los progresos tecnológicos y normativos, en especial la aprobación del Reglamento General de Protección de Datos de la Unión Europea (el “RGPD”).

Los cambios más trascendentales que incorpora el Proyecto con relación al régimen de la Ley son  los siguientes:

  • Introduce nueva definiciones en línea con la normativa de la Unión Europea, por ejemplo, los conceptos de base de datos, datos personales o datos sensibles, e incorpora otros nuevos como datos genéticos, datos biométricos, grupo económico, incidente de seguridad y transferencia internacional.
     
  • Limita los sujetos que pueden ser titulares de datos personales a personas humanas, en sintonía con la legislación de la Unión Europea. De esta forma, quedan excluidos del alcance de la norma las personas jurídicas.
     
  • Dispone nuevas bases legales para la recolección y tratamiento de datos personales diferentes al consentimiento, por ejemplo, el interés legítimo.
     
  • Amplía el objeto de protección disponiendo que el objeto de la ley será la protección integral de los datos personales a fin de garantizar el ejercicio pleno de los derechos de sus titulares, sin limitarse a los datos personales asentados en bases de datos, públicas o privadas, destinadas a dar informes.
     
  • Incorpora el concepto de rendición de cuentas o principio de responsabilidad proactiva (accountability) como principio general en el cumplimiento de las obligaciones establecidas por la ley, en línea con la mayoría de las legislaciones de protección de datos personales.
     
  • Actualiza el listado de derechos de los titulares, incorporando el derecho de oposición al tratamiento de sus datos, el derecho a oponerse a ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos, el derecho a la portabilidad de datos a través del cual el titular del dato puede solicitar al responsable del tratamiento una copia de los datos personales objeto de tratamiento y/o solicitar que se transfieran directamente a otra empresa cuando sea técnicamente posible.
     
  • Incorpora la obligación del responsable de informar los incidentes de seguridad a la autoridad de aplicación y al titular del dato.
     
  • Prevé la figura del Delegado de Protección de Datos para ciertos supuestos, a quien le atribuye funciones determinadas.
     
  • Establece nuevas disposiciones en lo que hace al tratamiento de datos sensibles con la intención de brindar mayor claridad a los responsables o encargados del tratamiento.
     
  • Respecto de la transferencia internacional de datos personales, establece los supuestos en los cuales dicha transferencia será lícita.
     
  • Incorpora la obligatoriedad del responsable de datos de hacer evaluaciones de impacto relacionadas con la protección de datos en aquellos supuestos en los que se prevea realizar algún tipo de tratamiento de datos que, por su naturaleza, alcance, contexto o finalidades, pueda entrañar un alto riesgo de afectación de los derechos de los titulares.
     
  • Incrementa los montos de las sanciones.
     

Adicionalmente, la norma incorpora el régimen de la Ley Nº 26.951 correspondiente al Registro Nacional “No Llame” (ver “Anteproyecto de Ley de Protección de Datos Personales”, “Novedades relevantes en materia de protección de datos personales”, y “Nueva reglamentación del Registro No Llame”), adaptando su redacción al efecto de mejorar todo aquello relacionado con el ámbito del procedimiento para evaluar posibles infracciones.

Finalmente, el Proyecto prevé que, en el supuesto de ser aprobado como ley, esta nueva normativa entrará en vigencia a los dos años de su publicación en el Boletín Oficial.