Se publicó el texto del anteproyecto para modificar la Ley de Protección de Datos Personales

Con fecha 12 de septiembre de 2022 se publicó en el B.O. la Resolución 119/22 de la Agencia de Acceso a la Información Pública (“AAIP”), que además de dar a conocer el texto del anteproyecto propuesto para modificar la actual Ley N° 25.326 de Protección de Datos Personales (“LPDP”), abrió los comentarios al público para recibir consultas y opiniones sobre el mismo dentro de los próximos quince (15) días hábiles (“Procedimiento de Elaboración Participativa de Normas”).

Se ha anunciado que el texto definitivo será presentado al Congreso en octubre, teniendo en consideración los aportes realizados durante las próximas semanas.

El texto del anteproyecto consta de diez capítulos, y se propone lo siguiente:

• que sea una ley basada en los principios generales para el tratamiento de datos personales;
• que utilice un lenguaje tecnológicamente neutro, para sostener su vigencia en el tiempo;
• que se centre en la protección del titular de los datos;
• que esté orientada en el principio de responsabilidad proactiva y demostrada, es decir, que no sólo requiera una actitud diligente por parte de los responsables del tratamiento a la hora de cumplir con lo establecido, sino también poder demostrar que se hayan implementando mecanismos eficientes para proteger los datos;
• que concilie el derecho a la protección de datos personales y a la libertad de expresión e información.

A continuación destacamos los cambios más relevantes respecto a la LPDP vigente:

• se amplían los conceptos, incorporando definiciones de “consentimiento”, “datos genéticos y biométricos” (como parte de los “datos sensibles”, “”grupo económico”, “autodeterminación informativa” y “elaboración de perfiles”; a su vez, se distinguen las figuras entre “responsables”, “encargados”, “representantes”, “tercero” y “delegado” que anteriormente no estaban (art. 2);
• se amplía el ámbito de aplicación al incorporar la extraterritorialidad, en línea con el RGDP (art. 4); 
• se aplica un criterio de neutralidad tecnológica respecto de la aplicación de la ley, es decir, la normativa será aplicable a cualquier tratamiento de datos personales, independientemente de las técnicas, procesos o tecnologías actuales o futuras que se utilicen para dicho efecto (art. 5);
• se amplían los principios para el tratamiento de datos: 1) lealtad y transparencia; 2) finalidad; 3) responsabilidad proactiva y demostrable; 4) minimización; 5) exactitud; 6) conservación (arts. 6, 7, 8, 9 y 11);
• además del consentimiento como principal base legal para el tratamiento, se agrega el ejercicio de funciones propias de los poderes del Estado para el cumplimiento estricto de sus competencias, la ejecución de contratos, el cumplimiento de una obligación legal aplicable del tratamiento, y el interés legítimo; (art. 12);
• se establece que el consentimiento es previo, libre, específico, informado e inequívoco; (art. 13);
• se regulan expresamente los datos personales de niñas, niños y adolescentes, estableciendo el consentimiento lícito a partir de los trece (13) años (art. 18);
• se incluye un plazo de 48 horas (en el RGDP es de 72 horas) para que el responsable notifique a la autoridad de aplicación y a los titulares de los datos en caso de que ocurra un un incidente de seguridad (art. 20);
• a los derechos de los titulares vigentes (acceso, rectificación y supresión) se agrega el derecho de oposición, portabilidad y no inferencia (art. 26, 27, 28, 29 y 31);
• se reconoce al titular el derecho a oponerse a ser objeto de una decisión automatizada o semiautomatizada de datos, a obtener intervención humana por parte del responsable de tratamiento y a requerir la exhibición de los patrones de programación del algoritmo por el cual se llegó a dicha decisión; (art. 30);
• entre las obligaciones del responsable y encargado del tratamiento, se incorporan algunas presentes en el GDPR: 1) protección de datos por diseño y defecto; 2) evaluación de impacto; 3) delegado de protección de datos; a la vez, agregan la obligación de contar con un representante en el país (cap. 5);
• se elimina el Registro No Llame y el registro de las bases de datos, pero se incluye la obligación de inscribir al responsable o encargados de tratamiento que deban tener delegado o representante (art. 45);
• en cuanto a los datos en información crediticia, se establece el plazo de conservación de cinco (5) años y se reduce a un (1) año cuando el deudor cancele o extinga la obligación (art. 48);
• se amplían los criterios para graduar los valores de las multas, teniendo en cuenta el tipo de datos, el riesgo y la posición económica del infractor: 1) unidades móviles cuyo monto será actualizado por la AAIP anualmente, de acuerdo al IPC (las multas serán desde las cinco (5) unidades móviles hasta un millón (1.000.000) de unidades móviles); 2) porcentaje de facturación anual global (las multas serán del dos por ciento (2%) hasta el cuatro por ciento (4%) (cap. 8); 
• se amplían las facultades de la AAIP como autoridad de aplicación para la tramitación de denuncias y sanciones, investigación y fiscalización, para establecer mecanismos voluntarios de solución de controversias, emitir disposiciones obligatorias, promover la cultura de la privacidad, el debido tratamiento de datos y la autodeterminación informativa, así como una gestión responsable, ética y transparente del procesamiento automatizado (art. 51).

Finalmente, el anteproyecto establece que los responsables y encargados del tratamiento contarán con el plazo máximo de un (1) año desde la publicación de la ley en el B.O. para adaptarse a las obligaciones contenidas en ella (art. 72). Recordemos que el RGDP en su momento otorgó un plazo de dos (2) años.

Este artículo es un comentario breve sobre novedades legales en Argentina; no pretende ser un análisis exhaustivo ni brindar asesoramiento legal.