29/8/22

Nota a la Agencia de Acceso a la Información Pública en Argentina sobre reforma a la ley de protección de datos personales

 Montevideo, 16 de agosto de 2022

 

Mg. Beatriz Anchorena

Directora de la Agencia de Acceso a la Información Pública

S./D.

 

De mi mayor consideración,

 

Tengo el agrado de dirigirme a Usted a fin de agradecer su cordial invitación para participar en el espacio de diálogo convocado desde la Agencia de Acceso a la Información Pública -AAIP-vinculado a la elaboración de un proyecto de reforma a la actual ley de protección de datos personales de la República Argentina.

 

Durante mi gestión como titular de la Agencia que ahora Usted dirige, iniciamos un proceso similar que duró varios meses y que luego de consultas abiertas a distintos actores interesados en la materia, terminó con un proyecto de ley que entiendo es parte del material de referencia para el actual proceso iniciado por la AAIP. 

 

A poco más de dos años de que aquél proyecto perdiera estado parlamentario, sigo considerando fundamental que la República Argentina cuente con una ley que siga los lineamientos que los cambios tecnológicos y normativos a nivel internacional se han producido en los últimos años. En ese sentido felicito a la Sra. Directora por continuar impulsando la actualización de la normativa.

 

Sin perjuicio de mi participación en la sesión virtual a la que he sido invitado, me permito hacerle llegar algunas observaciones generales que podrán ser ampliadas a su requerimiento y en caso de considerarlo necesario. Debido a mi involucramiento temporalmente cercano en un proceso similar, Usted podrá advertir que mis sugerencias y observaciones expresadas en esta nota están muy relacionadas con el proyecto de ley que mencionara más arriba. Por razones de brevedad sólo incluiré las sugerencias que entiendo son más relevantes, aunque otras incorporaciones de aquél proyecto son también parte de lo que creo debería tenerse en cuenta. 

 

El proyecto de ley debería seguir los lineamientos más modernos en materia de protección de datos. Entiendo que en la actualidad el eje principal de una normativa como la que se está trabajando debe ser la protección del sujeto -el titular de los datos- antes que el lugar donde esos datos se encuentran -las bases de datos-. Ello sería un cambio importante respecto de la actual ley en Argentina. Es por ello que sugiero que la obligación de registro de bases de datos tal como dispone la legislación vigente sea dejada de lado pasando a la incorporación del principio de responsabilidad demostrada, contemplando la obligación del responsable/encargado del tratamiento de adoptar las medidas necesarias a fin de cumplir con la ley y que le permitan demostrar a la autoridad de control su efectiva implementación. 

 

Una cuestión que considero fundamental es aclarar cuando se aplicará la ley argentina, sugiriendo que ello ocurra también en supuestos donde el responsable de tratar los datos no se encuentre en el territorio. Podrían incluirse los casos de aplicación extraterritorial cuando las actividades del tratamiento se encuentren relacionadas con la oferta de bienes o servicios a titulares de los datos en la Argentina, o con el seguimiento de sus actos, comportamientos o intereses; excepto cuando la ley del lugar donde se encuentra el responsable del tratamiento sea más favorable para la protección del titular de los datos.

 

Otro tema general que considero relevante es establecer que la aplicación de la ley no podrá afectar al tratamiento de datos que realicen los medios de comunicación en el ejercicio de la libertad de expresión. Específicamente, en relación al derecho de supresión, es importante a mi criterio aclarar que este derecho no procederá cuando el tratamiento de datos persiga un fin público o sea necesario para ejercer el derecho a la libertad de expresión e información.

 

En la ley vigente los distintos supuestos de tratamiento lícito de datos personales se encuentran redactados como excepciones al principio general, que es el consentimiento. Mi sugerencia es cambiar esa aproximación, clarificando las razones que justifican el tratamiento de datos personales al incorporar distintos supuestos como bases legales que permiten el tratamiento de los datos antes que exponerlas como excepciones al consentimiento. Ejemplos de esas bases legales que no requieren consentimiento están mencionados en el proyecto de 2018, pero sugiero prestar particular atención a dos: a) cuando el tratamiento de datos resulte necesario para salvaguardar el interés vital del titular de los datos o de terceros, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos del titular de los datos, y el titular de los datos esté física o jurídicamente incapacitado para dar su consentimiento; b) cuando el tratamiento de datos sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos del titular de los datos, en particular cuando el titular sea un niño, niña o adolescente.

 

En relación con las bases legales para realizar transferencias internacionales, que actualmente se encuentran dispersas entre la Ley N° 25.326, su Decreto Reglamentario y la Disposición Nº 60 – E/2016 (consentimiento del titular del datos, mecanismos de autorregulación vinculante y cláusulas contractuales que contengan mecanismos de protección de datos acordes con las disposiciones de la ley), sugiero que el proyecto clarifique la cuestión incorporando las interpretaciones que ya se han hecho en la AAIP -incluso lo relacionado con normas corporativas vinculantes- y que considero están acordes con los estándares internacionales.

 

Sin perjuicio que es importante ampliar las bases legales de tratamiento de datos personales y que no se establezca únicamente al consentimiento y luego las excepciones tal como parece inferirse de la normativa actual, sugiero también flexibilizar las normas relacionadas al otorgamiento del consentimiento, con el fin de estar más acorde a la era digital. En ese sentido podría considerarse que la forma de otorgar el consentimiento dependerá de las circunstancias, el tipo de dato personal y las expectativas razonables del titular de los datos.

 

Si bien creo que cualquier proyecto en esta materia debe mantener una neutralidad tecnológica, esto es, no hacer especial referencia a ninguna tecnología que hoy podría ser la más común pero que en poco tiempo puede quedar en desuso, sugiero que un tema al que debe prestarse atención es a los servicios de tratamiento de datos personales por medios tecnológicos tercerizados.

 

Puede establecerse que el responsable del tratamiento en esos casos debe realizar esfuerzos razonables para elegir un proveedor de servicios que garantice el cumplimiento de la ley, y que el responsable del tratamiento responderá ante el titular de los datos y ante la autoridad de control por incumplimientos del proveedor. Incluso, puede considerarse que el derecho de acceso implica, en contextos de decisiones basadas en tratamiento automatizado, que los titulares de los datos que hayan sido objeto de decisiones basadas en este tipo de tratamiento tengan el derecho a conocer sobre la lógica aplicada en la decisión, sin que ello afecte derechos intelectuales del responsable del tratamiento.

 

Finalmente, otros temas que he entiendo son relevantes para el proceso de elaboración de un proyecto de ley son:

 

-        Incorporar parámetros especiales para el tratamiento de datos de niñas, niños y adolescentes, resaltando la importancia que para ello tiene el respeto a la Convención sobre los Derechos del Niño.

-        Inclusión de la obligación de notificar incidentes de seguridad. 

-        Incorporar nuevos derechos: el derecho a oponerse a ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos y el derecho a la portabilidad de los datos personales.

-        Incorporar el principio de protección de datos desde el diseño y por defecto.

-        Incluir la obligación de realizar una evaluación de impacto cuando el responsable del tratamiento prevea realizar algún tipo de tratamiento de datos que por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación a los derechos de los titulares de los datos amparados en la ley. 

-        Crear la figura del delegado de protección de datos cuya designación podría ser obligatoria para algunos casos específicamente definidos en la ley: tratamiento de datos por parte de autoridades u organismos públicos, tratamiento de datos sensibles como parte de la actividad principal del responsable o encargado del tratamiento, y tratamiento de datos a gran escala.

-        Incluir la posibilidad de la autoridad de control de iniciar trámites de verificación de oficio.

-        Incluir la posibilidad de que la acción de habeas data sea iniciada en representación colectiva por la autoridad de control, siempre que su objeto se limite a la impugnación de tratamientos que conlleven violaciones generalizadas.

-        Aumentar el monto máximo de las multas y prever un mecanismo de actualización.

-        Incluir en el proyecto que la Agencia de Acceso a la Información Pública (AAIP), conforme los términos del artículo 19 de la Ley Nº 27.275, sustituido por el artículo 11 del Decreto Nº 746/17, es la autoridad de control de la ley de protección de datos personales, siendo la AAIP un ente autárquico con autonomía funcional en el ámbito de la Jefatura de Gabinete de Ministros.

Quedo atento para ampliar o aclarar cualquiera de las sugerencias aquí expuestas.

Saludo atentamente,


Eduardo Bertoni

No hay comentarios:

Publicar un comentario