Gentileza Erreius
A través de la resolución 119/2022, la Agencia de Acceso a la Información Pública (AAIP) hizo oficial la convocatoria al proceso de consulta pública para formular críticas o sugerencias al anteproyecto que busca actualizar la Ley 25.326 de Protección de Datos Personales.
A fines del mes pasado la titular del organismo, Beatriz de Anchorena, presentó los principales lineamientos de la iniciativa. Allí, señaló que la idea es enviar el texto al Congreso para que comience a ser tratado durante el mes de octubre. El plazo para realizar los aportes al texto es de 15 días hábiles.
Hay que tener en cuenta que durante agosto se realizaron varias mesas de debate con organizaciones civiles, organismos públicos y cámaras empresariales. Luego, se presentaron en la Cúpula del Centro Cultural Kirchner los lineamientos de la actualización de la Ley 25.326, en un encuentro que reunió a más de 150 participantes.
Según lo explicado por de Anchorena, se busca que el proyecto “permita dar respuesta a los nuevos desafíos que imponen las transformaciones tecnológicas y el desarrollo de la economía digital y, a su vez, armonice con los más altos estándares regionales e internacionales, desde un enfoque de derechos humanos, con una mirada situada y soberana”.
La propuesta, de 11 capítulos y 76 artículos, está redactada “en un lenguaje tecnológicamente neutro para sostener su vigencia en el tiempo, es decir, que se adapte al avance de las nuevas tecnologías”, indicó de Anchorena.
Tratamiento de datos y extraterritorialidad
Las empresas y organismos que traten datos deberán obrar con responsabilidad proactiva y demostrada. Para ello, se establecen las figuras de responsables, encargados, representantes, terceros y delegados en el tratamiento de los datos.
Se incorpora el concepto de extraterritorialidad, dentro del ámbito de aplicación, para los casos en que los responsables del tratamiento no se encuentran en el país.
En cuanto a los incidentes de seguridad, el responsable deberá notificarlo dentro del plazo de 48 horas de haber tomado conocimiento a la autoridad de aplicación y a los titulares de los datos.
Datos sensibles y consentimiento
El proyecto amplía la definición de datos sensibles con la incorporación de datos genéticos y biométricos.
Sobre el consentimiento, señala que debe ser previo, libre, específico, informado e inequívoco.
Se incluye un artículo específico para los derechos de niñas, niños y adolescentes con el consentimiento lícito desde los 13 años. En este grupo, no se podrán tratar datos sensibles, salvo excepciones.
Derechos sobre los datos e inclusión de los portales de búsqueda
En el capítulo de derechos de los titulares de datos, se incluyen acceso, oposición, portabilidad, rectificación, supresión y control sobre las inferencias.
Una inferencia se da cuando se realiza análisis de datos y se infiere algo en función de esos datos, como la pertenencia a determinados grupos por ciertas compras, gustos o likes, por ejemplo.
En estos casos, a las inferencias se le otorgará la entidad de datos personales y podrá darles derechos a las personas sobre los datos inferidos de su persona.
Es decir, el proyecto prevé los derechos de “rectificación” y “supresión“ de datos que se debatieron recientemente en una causa contra Google en la Corte Suprema de Justicia se extiendan a los portales que permitan realizar búsquedas -como Google, YouTube, entre otros- que utilizan algoritmos para brindar información.
Estos se verán afectados por un artículo que hace referencia a las “decisiones automatizadas“. Y otorga el derecho a obtener intervención humana del responsable del tratamiento y requerir la exhibición de los patrones de programación del algoritmo por que se llegó a esa decisión.
Las empresas deberán designar a un delegado de protección de datos e incluir un representante en el país.
Información crediticia y derecho al olvido
Se incluye en los artículos 47, 48 y 49 lo referido a datos de información crediticia. Allí, se fijan criterios generales para el tratamiento de datos personales.
Se establece que podrán ser conservados por hasta 5 años o 1 año cuando se cancele o extinga la obligación. De ser requerido por el titular, las entidades deberán comunicar detalladamente cuál es la fórmula o al algoritmo utilizado.
Las compañías “deben comunicar al titular de los datos cuando cambie su situación crediticia”.
Sanciones y facultades del órgano de aplicación
El proyecto establece nuevos criterios para la fijación de las multas con unidades móviles (UM) y porcentaje de facturación anual global. Esas unidades móviles se actualizarán anualmente de acuerdo al Índice de Precios al Consumidor (IPC). El objetivo es imponer multas con montos disuasivos.
Asimismo, se amplían los criterios para graduar los valores teniendo en cuenta el tipo de dato, riesgo y posición económica del infractor.
También se amplían las facultades de la AAIP para las siguientes actividades:
- Tramitación de denuncias y sanciones
- Investigación y fiscalización
- Establecer mecanismos voluntarios de solución de controversias
- Emitir órdenes obligatorias
- Promoción de la cultura de la privacidad
- Asesoramiento y capacitación
- Certificación y homologación
