DNPDP PROPUESTA DE DISCUSION SOBRE LA POSIBLE MODIFICACIÓN DE LA LEY 25326 2016

FORO JUSTICIA 2020 PROPUESTA DE MODIFICACIÓN DE LA LEY 25326 Pregunta General: ¿Resulta conveniente una reforma parcial o una reforma total a la ley de protección de datos personales? Fundamento de la propuesta: La ley 25.326 fue…
Leer más

FORO JUSTICIA 2020

PROPUESTA DE MODIFICACIÓN DE LA LEY 25326

Pregunta General:

¿Resulta conveniente una reforma parcial o una reforma total a la ley de protección de datos personales?

Fundamento de la propuesta: La ley 25.326 fue sancionada en Octubre del 2000 y reglamentada un año después. Resulta una obviedad destacar los cambios de la tecnología operados en los últimos 15 años, muchos de los cuales han impactado en la protección de los datos personales y las posibles vulneraciones al derecho a la privacidad. Asimismo, la experiencia acumulada por la Dirección Nacional de Protección de Datos Personales desde su creación determina la necesidad de una reforma. Finalmente, resulta importante considerar el nuevo contexto internacional, particularmente las nuevas regulaciones en Europa que han sido recientemente aprobadas (Reglamento (UE) 2016/679) y que entrarán en vigencia en 2018. En consecuencia, la oportunidad y necesidad de la reforma aparecen como indiscutibles. Sin embargo se propone discutir en el foro la conveniencia de una reforma PARCIAL o TOTAL.

Líneas específicas de discusión

A continuación se proponen las líneas específicas de discusión de la reforma. Vale destacar que estas líneas son pertinentes ya sea que se trate de una reforma parcial o de una total.

1.- Disposiciones generales: reformulación del objeto de la ley y de las definiciones

Fundamento: Según el texto vigente, el objeto de la ley es la protección integral de los datos personales asentados en archivos, registros, bancos de datos u otros medios técnicos de tratamiento de datos, sean estos públicos, o privados destinados a dar informes. Dado las distintas interpretaciones es necesario revisar este concepto. También se propone discutir si el objeto es la protección de personas físicas y jurídicas o sólo las primeras.

En cuanto a la reformulación de las definiciones, se propone revisar las actuales y considerar la incorporación de otras como por ejemplo “dato biométrico”, “dato genético”, “tratamiento transfronterizo de datos”, “consentimiento del interesado”, entre otros. En particular se propicia incorporar en la definición de “datos sensibles” a las características genéticas.

2.- Principios: actualización de los principios generales establecidos en la ley vigente

Fundamento: Por las razones expuestas en el fundamento sobre la necesidad de la reforma, resulta evidente que la actualización de los principios que hoy están en la ley vigente deben ser revisados. En consecuencia se discutirán en esta línea los principios que se encuentran en la ley y otros que pudieran ser incorporados. En particular se propone discutir en el foro la reformulación integral de la transferencia internacional de datos, las condiciones especiales del consentimiento en caso de niños, la revisión de los parámetros de licitud del tratamiento y la necesidad de incorporar la notificación obligatoria a la Autoridad de Aplicación en casos de incidentes de seguridad de la información. Respecto de la primera cuestión, es importante tener en cuenta las observaciones oportunamente formuladas por la UNIÓN EUROPEA al momento de conceder a nuestro país la adecuación de la ley 25.326.

3.- Derechos y obligaciones: revisión de los derechos y obligaciones de los titulares de datos, de usuarios y de responsables de bancos de datos o archivos

Fundamento: Esta línea de discusión es amplia, dado que los derechos y obligaciones que hoy día deben garantizarse y regularse han sufrido cambios en la última década debido a la actualización de la tecnología. Especialmente, la experiencia acumulada en la DNPDP indica la conveniencia de revisar los derechos y obligaciones de los servicios de información crediticia. En tal sentido, se propone la determinación del momento a partir del cual deben contarse los plazos en que está permitido archivar, registrar o ceder datos personales significativos para evaluar la solvencia económico-financiera de los afectados. Asimismo, se entiende aconsejable regular aquellos casos de información significativa que renueva el plazo de información de una deuda en mora. Finalmente, se propone que el acreedor, antes de ceder información de incumplimientos patrimoniales a los bancos de datos que prestan servicios de información crediticia, deberá notificar previamente al deudor, con lo que se le está dando a éste la oportunidad de cancelar y/o controlar la exactitud de la información que se va a ceder a terceros; y se propicia establecer la obligación de informar cuando se utiliza un informe de riesgo crediticio para denegar la celebración de un contrato, solicitud de trabajo, servicio, crédito comercial, bancario o financiero, por cuanto se ha detectado que en la práctica muchas personas se enteran luego y de manera indirecta, los motivos por los cuales se les ha negado un crédito o un producto financiero; a lo que se suma que a veces se les niega también la entrega del informe y deben investigar por sus propios medios cuál es la empresa que los ha informado, afectando así sus derechos constitucionales.

4.- Órgano de control: revisión de las facultades y del diseño institucional.

Fundamentación: En esta línea de discusión se propone revisar la efectividad de las sanciones previstas en la ley, incluso proponiéndose otras. En especial, se propone revisar la actualización del monto de las multas por sanciones administrativas y la incorporación de otras sanciones, como por ejemplo, el bloqueo de sitios en Internet que pudieren estar en contravención con la ley. Cabe destacar, en relación al monto de las multas que la ley vigente establece un monto mínimo y máximo para las sanciones pecuniarias que puede aplicar la DNPDP en su carácter de Autoridad de Aplicación y que está muy desactualizado- Se propone establecer un mecanismo de actualización automática, por ejemplo establecer un valor de referencia para fijar los topes recurriendo al Salario Mínimo Vital y Móvil o a las ganancias del infractor.

Por otro lado, se propone revisar la redacción original de la Ley 25.326 en cuanto estableció un órgano de control con “autonomía funcional” que actuaría “como órgano descentralizado en el ámbito del Ministerio de Justicia y Derechos Humanos de la Nación.” Dado que este diseño institucional fue observado al promulgarse parcialmente la norma, resulta pertinente reflexionar, a más de 15 años de sanción de la ley, el diseño institucional de la autoridad de control, sobre todo teniendo en cuenta lo oportunamente dictaminado por el Grupo de Trabajo de Protección de Datos Art. 29 de la Comisión Europea (04/2002), sobre el que se basó la decisión de ese órgano comunitario para aprobar la adecuación Argentina (Decisión C(2003)1731 del 30/06/2003) y lo que expresa el recientemente aprobado Reglamento General de Protección de Datos (Reglamento (UE) 2016/679).

5.- Cuestiones no incorporadas en la ley vigente: necesidad de la incorporación de temas o conceptos no incorporados en la ley vigente.

Fundamento: En esta línea de discusión se propone discutir la necesidad de incorporar temas que, dado el momento de la sanción de la ley no fueron considerados oportunamente y que hoy son parte del debate global en lo que se refiere a la protección de datos personales. En especial, la DNPDP propone discutir los siguientes temas:

  1. NORMAS DE RESPONSABILIDAD DEMOSTRADA (ACCOUNTABILITY) – Incorporar las obligaciones de documentar y demostrar la adopción de medidas de cumplimiento

En el ámbito de protección de datos, a nivel internacional está cobrando fuerza el concepto de “responsabilidad demostrada” o “accountabilty”, como una obligación de reportar y explicar, combinado con principios de transparencia y trazabilidad, y que permita identificar y documentar las medidas implementadas por una organización para cumplir con los requisitos de tratamiento de datos personales. Implica entonces que el responsable de tratamiento no sólo debe cumplir la normativa aplicable, sino también demostrarle a la autoridad de aplicación y al titular del dato cómo cumple con sus obligaciones. Se propone la introducción del concepto de responsabilidad demostrada a la legislación argentina basada en dos elementos principales:

1) la obligación de que el responsable del tratamiento adopte medidas adecuadas y eficaces para el cumplimiento de la normativa vigente;

2) la obligación de documentar las medidas que se han adoptado;

3) la obligación de demostrar, si así se requiere, la efectiva adopción de esas medidas adecuadas y eficaces.

  1. DELEGADO DE PROTECCIÓN DE DATOS – Incorporación de la figura de un responsable directo en materia de protección de datos, que velará por que la organización cumpla todos los requisitos exigidos

Se propone la incorporación de la figura del Delegado de Protección de Datos que tenga, como mínimo, las siguientes funciones:

  • Informar y asesorar a los responsables y encargados del tratamiento de datos personales (y a sus empleados) de las obligaciones que tienen, derivadas tanto de la legislación europea como de la española.
  • Supervisar el cumplimiento de dicha legislación y de la política de protección de datos de un organismo público, empresa o entidad privada: asignación de responsabilidades, concienciación y formación del personal, auditorías, etc.
  • Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas, y supervisar luego su aplicación.
  • Cooperar con las DNPDP.
  • Actuar como “punto de contacto” de la DNPDP para cualquier consulta sobre el tratamiento de datos personales.

Será obligatorio para:

  • Organismos públicos
  • Empresas y otras entidades cuya actividad principal consista en el tratamiento masivo de datos personales que, por su naturaleza, alcance o fines, requieran una observación habitual, sistemática y a gran escala de sus titulares.
  • Empresas y otras entidades cuya actividad principal consista en el tratamiento a gran escala de categorías de datos personales especialmente protegidas.

Para el resto de las organizaciones, no será obligatorio, pero se recomienda su adopción.

  1. DERECHO DE SUPRESION DE DATOS Y DERECHO A LA PORTABILIDAD DE LOS DATOS –

Se conoce al erróneamente llamado derecho al olvido digital como el derecho que tiene el titular de un dato personal a borrar, bloquear o suprimir información personal subida a internet que se considera obsoleta o no relevante por el transcurso del tiempo o que de alguna manera afecta el libre desarrollo de alguno de sus derechos fundamentales. Es necesario destacar que una inadecuada legislación sobre este punto podría afectar la libertad de expresión.

El concepto ha cobrado fuerza a nivel internacional con la sentencia del 13 de mayo de 2014 del Tribunal de Justicia de la Unión Europea (TJUE) en el caso “Google Spain S.L. Google Inc. v. Agencia Española de Protección de Datos, Mario Costeja González”.

En el ámbito interno, la Corte Suprema de Justicia de la Nación, dictó el 28 de octubre de 2014 el fallo “Rodriguez, Maria Belén c/ Google Inc. s/daños y perjuicios”, entendió conveniente, ante la falta de una regulación específica, dejar sentadas las pautas para que se configure el efectivo conocimiento que se requiere para hacer surgir la responsabilidad subjetiva de los “buscadores”.

El máximo tribunal dispone para este caso una regla que distingue dos situaciones diferenciadas. En una de ellas, los casos en los que los resultados de las búsquedas devuelven contenido que generan un daño manifiesto y grosero. En el otro extremo, se encuentran aquellos en los que el daño es opinable, dudoso o exige un esclarecimiento.

Para el primer supuesto alcanza con una notificación fehaciente privada que haga el damnificado (o incluso cualquier persona interesada) para que se considere que el “buscador” se encuentra en efectivo conocimiento del daño y, en consecuencia, susceptible a la responsabilidad subjetiva.

Para el otro supuesto, en cambio, se exige una notificación por parte de una autoridad judicial o administrativa.

Por ello, sería menester incorporar expresamente la facultad de la DNPDP para ser considerada una autoridad administrativa competente para llevar a cabo la notificación que exige la CSJN para que se configure la responsabilidad subjetiva, cuando en ejercicio de competencia atribuida, determine la incompatibilidad de un contenido con la Ley de Protección de Datos Personales.

En relación con el derecho a la portabilidad de los datos, se propone discutir la conveniencia de incorporar este derecho en la legislación Argentina, teniendo en cuenta la posible dificultad de su implementación práctica.

  1. “PRIVACY FROM DESIGN” Y ESTUDIOS DE IMPACTO:

“Privacidad desde el diseño” es un enfoque en el que desde el origen mismo del diseño de un sistema, aplicación o dispositivo se contempla la protección de la privacidad.

Desde esta perspectiva, la preocupación por la protección de los datos personales no debe ser analizada posteriormente a la finalización del desarrollo, como si se tratara de un anexo, sino que debe estar presente en todas las etapas del proceso.

El objetivo más importante de la “privacidad desde el diseño” es que la protección de datos no se trate tan sólo del cumplimiento de un marco regulatorio sino que se transforme en la forma de actuar por defecto de las organizaciones, que deberían incorporar la privacidad en su procesos de negocios.

Por su parte, la evaluación o análisis de impacto en materia de protección de datos personales es una obligación que se incluirá en el Reglamento de Protección de Datos de la Unión Europea.

Vinculado a la aplicación efectiva de la “privacidad desde el diseño”, se trata de un proceso que permita a las organizaciones identificar los riesgos que un producto o servicio y los tratamientos de datos que en su consecuencia se realicen, puede implicar para la protección de datos. Tras ese análisis se deberá ejecutar un plan de gestión de los riesgos identificados a través de la adopción e implantación de las medidas necesarias para mitigar o eliminar el riesgo.