Datos para cuidar

Hace un tiempo se viene trabajando desde la Agencia de Acceso a la Información Pública (AAIP) para elaborar un proyecto para una nueva Ley de Protección de Datos Personales, acorde a las nuevas tecnologías, la economía digital y los estándares internacionales en la materia.

Desde la página web de la agencia se destacó que se abrirían espacios de debate con organismos públicos, organizaciones de la sociedad civil, universidades y el sector privado a los fines de modificar la Ley 25.326, a la vez que se publicaron algunos de los documentos de referencia, como ser la ley actual, el proyecto de reforma de 2018, la Ley 27.483 de aprobación del Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.

A ello se suma la normativa considerada de vanguarda en la materia: el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, a la que se agregan los estándares de protección de datos personales de la red iberoamericana de protección de datos (RIPD), los principios sobre privacidad y protección de datos personales con anotaciones de la OEA, las recomendaciones sobre la ética de la Inteligencia Artificial de la UNESCO, y las leyes sobre la materia de Brasil y Ecuador.

Durante el mes de agosto, se realizaron múltiples reuniones para avanzar en el debate, la titular de la Agencia de Acceso a la Información Pública Beatriz Anchorena se reunió con referentes de Chile, Brasil, España y Unión Europea, con representantes de organizaciones de la sociedad civil y la academia, con representantes del Consejo Federal para la Transparencia, con representantes de las cámaras y asociaciones empresarias del país, con expertos en protección de datos personales, con ex directores de la Dirección Nacional de Protección de Datos Personales, con representantes de la UNESCO, con autoridades y funcionarios de distintos organismos públicos (Ministerio de Relaciones Exteriores, Comercio Internacional y Culto, RENAPER, CNDC, BCRA, ANSES, AFIP, INDEC).

Finalmente, el 30 de agosto se llevó a cabo el encuentro “Debates en torno a la actualización de la Ley de Protección de Datos Personales: nuevos desafíos de la transformación tecnológica desde un enfoque de derechos humanos” (disponible en el canal de Youtube de la agencia), en donde más de 150 personas presente y con transmisión en vivo diferentes paneles de expertos expusieron sobre la temática.

Asimismo, informaron que en septiembre se llevaría adelante la consulta pública conforme el decreto 1172/03 para dar pie a la participación ciudadana.

Dentro de los documentos recibidos en las mesas de debate (disponibles en la web de la agencia), se destacan los siguientes:

• Requisitos mínimos para la Reforma de la Ley de Protección de Datos Personales de Argentina - Access Now, ADC, CETyS, Data Governance Latam, DATAS, Democracia en Red, Fundación Vía Libre y O.D.I.A.
• ¿Para qué una nueva Ley de Protección de Datos Personales? - Lemon Cash.
• Aportes de Eduardo Bertoni - Instituto Interamericano de Derechos Humanos (IIDH).
• Actualización de la Ley de Datos Personales y solicitud de participación - Asociación de Abogados de Buenos Aires.
• Aportes de la Data and Marketing Association Argentina (DMA - AMDIA).
• Aportes de Johanna Faliero.

Multas disuasivas, derecho al olvido, autoridades de aplicación, extraterritorialidad, automatización de datos, algunos de los temas en estudio

A modo de resumen algunos de los puntos tratados por los expertos antes mencionados en esos trabajos son:

• La idea de procesos multiparticipativos para la elaboración del proyecto de reforma.
• La fijación de principios que rigen el tratamiento de datos.
• La determinación de autoridades de aplicación (figura del encargado de protección de datos personales)
• El uso de multas con montos realmente disuasivos.
• El uso del consentimiento como fuente de legitimidad en el tratamiento de datos y sus excepciones.
• La obligación de notificar violaciones de la seguridad de los datos personales a la autoridad de aplicación y a las personas titulares de los datos.
• Las diferentes categorías de datos personales.
• La protección de datos en fase de diseño de productos y servicios.
• Los estudios de impacto.
• Los mecanismos de transferencia segura de datos a otros países.
• El derecho a no ser sometido a decisiones automatizadas o parcialmente automatizadas (IA).
• La aplicación de la ley con criterios extraterritoriales.
• La responsabilidad proactiva.
• Los nuevos derechos sobre la titularidad de datos (entre ellos la portabilidad y el olvido).
• La regulación de la materia frente a nuevos escenarios como la blockchain, el metaverso, las identidades digitales descentralizadas, la protección de datos frente a la libertad de expresión.
• La utilización de parámetros especiales para el tratamiento de datos de niñas, niños y adolescentes.
• La posibilidad de que la acción de habeas data sea iniciada en representación colectiva por la autoridad de control.
• La utilización de mecanismos de actualización de las multas (por ej. el uso de un porcentaje de facturación anual local como parámetro para la sanción).
• El tratamiento diferencial de datos sensibles como lo referido a salud.
• La protección de los titulares de datos hipervulnerables.
• La prohibición de prácticas abusivas ya sea de perfilamiento por procesamiento automatizado de datos o de prácticas de escala masiva por parte del Estado, como el uso de biometría, datos de geolocalización o videovigilancia sin controles adecuados.
• La prohibición de cesiones irrestrictas de datos personales que desnaturalicen los fines previstos que dieron origen al consentimiento informado del titular.
• La necesidad de otras leyes especiales que acompañen a la de datos personales como una ley sobre fuga de datos (data breach), sobre protección en e-commerce, etc.