Se publicó en el Boletín Oficial el Anteproyecto oficial para la reforma de la Ley de Protección de Datos Personales. Diario Judicial reseña rápidamente las incorporaciones salientes de texto presentado. Las definiciones, los nuevos institutos a incorporar y las sanciones.
Das atrás Dario Judicia publicó un resumen de los avances y propuestas en torno al proceso de reforma de la ley de protección de datos personales y hoy la Agencia de Acceso a la Información Pública publicó en el Boletín Oficial la Resolución 119/2022 en la cual resolvió abrir el procedimiento de elaboración participativa de normas en relación con la propuesta de Anteproyecto de Ley de Protección de Datos Personales que agregaron como anexo, y en su carácter de autoridad responsable de ese procedimiento, invitó a toda persona física o jurídica, pública o privada, que invoque un derecho o interés a presentar propuestas y opiniones en un plazo de 15 días.
Las propuestas formales se pueden realizar por mesa de entradas o a través de la página web y también se habilitó la casilla de correo consultapublica@aaip.gob.ar a efectos de recibir comentarios informales que se publicarán en el sitio web.
El anteproyecto consta de 11 capítulos y 76 artículos donde se plasmaron la mayoría de los aportes brindados por expertos en las etapas previas a su presentación y que se alinea con los estándares internacionales en la materia, con algunos matices.
Así, el capítulo 1 (Disposiciones Generales), detalla en cinco artículos el objeto de la ley, algunas definiciones de conceptos que se tratan a lo largo del articulado, regula el ámbito de aplicación material y el ámbito de aplicación territorial, así como la aplicación de principio de neutralidad tecnológica.
En un segundo capítulo (Tratamiento de Datos Personales), con 16 artículos brinda una serie de principios a tener en cuenta en el tratamiento de datos, a saber: principio de licitud, lealtad y transparencia, de finalidad, de minimización de datos, de exactitud, de conservación, el de responsabilidad proactiva y demostrada, el de seguridad de los datos personales y el deber de confidencialidad. Postula las bases legales para el tratamiento de datos, a la vez que regula el consentimiento, su revocación, y la información al titular de datos. También regula casos particulares, como el de datos sensibles, el de datos del sector público y el de datos de niñas, niños y adolescentes, agregando la notificación de los incidentes de seguridad tanto a la autoridad como al propio titular en un plazo de 48 horas.
Un tercer capítulo sobre transferencias Internacionales, con 4 artículos estableció un principio general y algunos supuestos, como las transferencias basadas en una decisión de adecuación, las realizadas mediante garantías adecuadas y las excepciones.
El capítulo 4 (Derecho de los Titulares de los Datos), dispone 8 artículos con el derecho al acceso, rectificación, oposición, supresión (art. 29 de amplio debate en nuestra jurisprudencia reciente), y a la portabilidad, a no ser objeto de una decisión basada única o parcialmente en el tratamiento automatizado de datos (incluido la elaboración de perfiles e inferencias), siendo los derechos del titular irrenunciables conforme art. 32, aunque se estipulan excepciones (art 33) que darán lugar al debate.
El capítulo 4 (Derecho de los Titulares de los Datos), dispone 8 artículos con el derecho al acceso, rectificación, oposición, supresión (art. 29 de amplio debate en nuestra jurisprudencia reciente), y a la portabilidad, a no ser objeto de una decisión basada única o parcialmente en el tratamiento automatizado de datos (incluido la elaboración de perfiles e inferencias), siendo los derechos del titular irrenunciables conforme art. 32, aunque se estipulan excepciones (art 33) que darán lugar al debate.
En quinto lugar, aparece el capítulo de las obligaciones de los responsables y encargados del tratamiento, regulado en 13 artículos, que disponen los deberes, la necesidad de adoptar políticas de tratamiento, lo que se debe contemplar al momento de tomar medidas necesarias para el cumplimiento de la ley, se agrega también algo que venía solicitado en los aportes previos que es la protección de datos desde el diseño y por defecto lo que permitirá prevenir daños, se regula también las evaluaciones de impacto y los mecanismos de autorregulación vinculantes, se normaliza varias figuras, como la del delegado de protección de datos, la del encargado del tratamiento, la del responsable de tratamiento de datos, y la de su representante, así como la creación del Registro Nacional para la Protección de datos.
En lo que respecta a la información crediticia, el sexto capítulo agrega 3 artículos más, donde se regula el tratamiento en el sector financiero y no financiero, así como el plazo de conservación de la información y el deber de comunicación.
La Autoridad de Aplicación y sus facultades encuentran lugar en el capítulo 7, con 2 artículos.
El capítulo 8 sobre procedimientos y sanciones, se incorpora con 11 artículos donde se regulan los pasos del proceso, y los tipos de sanciones, destacándose la multa que puede alcanzar en algunos casos del dos por ciento (2 %) hasta el cuatro por ciento (4 %) de la facturación total anual global del ejercicio financiero anterior, también se regula el caso de incumplimiento del sector público.
La acción de Habeas Data cuenta con 9 artículos que regulan su proceso en el capítulo noveno, con datos como la procedencia, la legitimación, la competencia, el tipo de proceso, la demanda, el trámite y hasta llegar a la sentencia.
Para finalizar, se estipula la vigencia en su décimo capítulo y algunas disposiciones finales en el último capítulo, donde se derogarían algunas leyes y se le daría carácter de orden público.
En resumen, la mayoría de los puntos tratados por los expertos fueron incorporados al anteproyecto, lo que habrá que discutir es la extensión y los pormenores de su incorporación, para ver si la norma a dictarse es suficiente o aún quedan detalles que corregir hasta su sanción final.