En respuesta a la convocatoria a consulta pública realizada por la AAIP con el objeto de garantizar la participación ciudadana en la elaboración del Anteproyecto de Ley de Protección de Datos Personales, presenté una serie de comentarios y propuestas que comparto a continuación.
Espero sirvan para modificar el texto propuesto y mejorar la propuesta que se presentará en el Congreso.
Artículo 1.
Al hacer referencia a los tratados internacionales de los que la República Argentina sea parte podría mencionarse, en particular, al Convenio 108 para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal elaborado por el Consejo de Europa y aprobado por Ley 27.483, y su Protocolo Adicional 108+.
Artículo 2
a) Dentro de la definición de datos sensibles propongo incluiría la de “datos neuronales”, ya que el avance tecnológico permite tratar datos obtenidos del cerebro de los seres humanos con fines científicos y médicos, pero también para medir y evaluar emociones y reacciones inconscientes a estímulos de diferente tipo, en interfaces cerebro-máquina para controlar, por ejemplo, prótesis neuronales o motoras y en aplicaciones no médicas, desde juegos a herramientas para el ámbito profesional que, si bien todavía no detectan directamente el pensamiento, registran y procesan la actividad cerebral para obtener neurodatos que permiten interpretar intenciones o preferencias de todo tipo. Si bien por el momento este tipo de datos permite solamente realizar conjeturas acerca del pensamiento de las personas, nada impide que, en un futuro cercano, el avance neurotecnológico permita que los pensamientos y la privacidad mental quede expuesta, con el potencial daño que ello puede ocasionar. Basta con pensar en el metaverso para considerar la importancia de su protección concreta y específica. Incluir esta definición expresa implica reconocer la protección a la privacidad mental.
b) Sugiero modificar la definición de seudonimización y robustecerla. A tal fin, podría emplearse la terminología utilizada por el art. 4, inciso 5) del RGPD que lo define como “el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable”.
c) No se hace ninguna referencia a las fuentes de acceso público restricto e irrestricto como posibles fuentes de obtención de datos. Si bien puede suplirse con el interés legítimo, creo que sería importante incluirlo. A tal fin, propongo tomar las definiciones incluidas por el Proyecto elaborado por la AAIP en la gestión anterior que definía a las Fuentes de acceso público irrestricto como aquellas que contienen información destinada a ser difundida al público, de libre acceso e intercambio por razones de interés general, accesible ya sea en forma gratuita o mediante una contraprestación, y a las “Fuentes de acceso público restricto” a las contienen información que no está sujeta a confidencialidad ni tampoco está destinada a ser difundida irrestrictamente al público y cuyo acceso a terceros resulta generalmente condicionado al cumplimiento de ciertos requisitos.
d) Considero que debería haberse incluido la definición de tratamientos de datos a gran escala para clarificar el alcance, por ejemplo, de lo establecido en el art. 39. A tal fin, debe tenerse en cuenta que para determinar si un tratamiento de datos puede ser considerado de gran escala, debe analizarse el número de personas afectadas, ya sea en términos absolutos o como proporción de una determinada población, la cantidad y la variedad de datos tratados, la duración o permanencia de la actividad de tratamiento, su extensión geográfica y el riesgo que determinado tratamiento de datos pueda implicar para una cantidad importante de titulares de datos personales que puedan verse afectados. La determinación de cifras exactas, ya sea con relación a la cantidad de datos sometidos a tratamiento o al número de personas a las que dichos datos se refieren, puede quedar a criterio de cada responsable de tratamiento y, en su caso, del organismo de control, en quien se podría delegar su determinación.
e) Con respecto a la última frase del artículo que dice “dirigidos a identificar de manera unívoca a una persona humana” sugiero que se corrija, ya que debería contemplar que la definición de “datos personales” se refiere a información de cualquier tipo referida a personas humanas determinadas o determinables.
f) Considero que dentro de las definiciones sería conveniente incluir a los metadatos, ya que se trata de datos que, por ejemplo, en Internet se utilizan para mejorar servicios, realizar análisis predictivos y generar negocios, tomando decisiones sobre la base de las preferencias de los usuarios. Este tipo de información permite revelar tanto o más acerca de los titulares de los datos personales que el propio contenido de las publicaciones o comunicaciones que realizan, y sirven para el perfilamiento, ya que a través de los metadatos se pueden establecer patrones de comportamiento, hábitos, gustos, intereses y relaciones, entre muchos otros. Creo que hubiera sido conveniente que fueran contemplados, ya que es un tema que va a generar conflictos en el futuro, fundamentalmente a través del Big Data y la Inteligencia Artificial, pero también en aspectos tales como la geolocalización que puede ser obtenida o inferida, por ejemplo, de fotos o videos publicados en redes sociales, etc.
g) Sugiero incluir la figura del co-responsable de tratamiento y asignarle las mismas responsabilidades que a los responsables de tratamiento. Existen muchos casos en los que frente a un mismo tratamiento de datos pueden coexistir dos (2) o más responsables, decidiendo ambos sobre el tratamiento, su finalidad y sus medios, por lo que sería conveniente contemplarlo. En esos casos habrá que determinar la incidencia que tenga la actividad de cada uno en las diferentes etapas del tratamiento, cuáles son sus poderes, capacidades y responsabilidad en el cumplimiento de las obligaciones impuestas por la LPDP, y en caso de duda, responsabilizarlos solidariamente. Ejemplos de posible corresponsabilidad son los contratos asociativos, ya sea que se trate de negocios en participación, agrupaciones de colaboración, uniones transitorias, consorcios de cooperación, agencias, concesiones o franquicias.
Artículo 3
a) Si bien reconoce que en ningún caso se puede afectar el secreto de las fuentes de información periodística, se amplía innecesariamente la protección a todos los tratamientos de datos que se realicen en el ejercicio de la libertad de expresión, que el proyecto anterior limitaba a los medios de comunicación, lo que me parece más acertado para evitar interpretaciones que permitan justificar la libertad de expresión como mecanismo de violación de derechos.
b) En el último párrafo, cuando dice que “Tampoco serán aplicables las disposiciones establecidas en esta Ley a la información anónima ni a los datos anonimizados de forma tal que el titular de los datos no sea identificable”, sugiero agregar la frase “o reidentificable”.
Artículo 4
Sugiero incorporar la excepción que contemplaba el Proyecto elaborado por la AAIP en la gestión anterior que establecía que a los tratamientos de datos realizados por responsables de tratamiento que no se encuentren establecidos en el territorio nacional y las actividades de dicho tratamiento se encuentren relacionadas con la oferta de bienes o servicios a dichos titulares de los datos en la República Argentina, o con el seguimiento de sus actos, comportamientos o intereses se les aplicará lo establecido en esta Ley, excepto cuando la ley del lugar donde se encuentra el responsable del tratamiento sea más favorable para la protección del titular de los datos.
Artículo 7
Propongo aclarar que “los tratamientos ulteriores estarán permitidos siempre y cuando se apliquen técnicas de anonimización que impidan la posterior identificación o re-identificación de los titulares de los datos personales”.
Artículo 8
Cuando el artículo dice que “a solicitud de la Autoridad de aplicación, los Responsables o Encargados deberán proveer una justificación de la necesidad de recolectar los datos en cada caso”, sugiero agregar una frase aclaratoria que diga “y demostrar la existencia de interés legítimo para hacerlo”.
Artículo 9.
En la segunda oración, cuando hace dice “si fuera necesario actualizarlos”, sugiero agregar “completarlos o corregirlos”, ya que se refiere no sólo a la necesidad de que los datos sean actuales, sino también veraces, exactos, completos y comprobables.
Artículo 10
a) Al señalar que “los datos personales no deben ser mantenidos más allá del tiempo estrictamente necesario”, considero más ajustado decir que “los datos personales no deben ser tratados más allá del tiempo estrictamente necesario”
b) Cuando indica que “Los datos personales pueden conservarse durante períodos más largos”, sugiero que diga “durante un período de tiempo superior al necesario para el cumplimiento de la finalidad que motivó su recolección”.
c) Al final del artículo sugiero agregar una frase que diga “y aplicando técnicas que impidan su identificación o re-identificación”.
Artículo 12
a) Al final del inciso b) referido a la base legal del tratamiento de datos que se efectúe en ejercicio de las funciones propias de los poderes del Estado y sean necesarios para el cumplimiento estricto de sus competencias, modificaría la frase final de modo tal que termine diciendo “y sean necesarios para el cumplimiento estricto de las competencias del organismo de que se trate”.
b) Sugiero incorporar al final del artículo una frase que diga que se entenderá que el Responsable del Tratamiento cuenta con una base legal para el tratamiento de datos personales, tal como lo hacía el proyecto elaborado por la AAIP en la gestión anterior, cuando el tratamiento de datos que se realice sobre datos obtenidos de fuentes de acceso público restricto e irrestricto, siempre y cuando se verifique, además, el cumplimiento de algunas de las condiciones enumeradas precedentemente como bases legales para el tratamiento de datos personales.
Artículo 13
a) Sugiero incorporar como una excepción adicional al consentimiento del titular de los datos como requisito previo para el tratamiento de los datos personales, una específica relacionada con las solicitudes de acceso a la información pública para garantizar el ejercicio efectivo del principio de publicidad de los actos de gobierno y evitar que la protección de datos personales se utilice como excusa para denegar el acceso, salvo que se encuentren en juego datos sensibles o datos personales cuyo acceso sea limitado por ley o por razones de interés general y cuya publicidad pueda afectar a sus titulares, en cuyo caso podría denegarse.
b) Advierto un error en la numeración de los incisos, ya que se repite el número 3. De acuerdo al Anteproyecto, son 5 las características que debe tener el consentimiento.
c) Si bien entiendo que no es necesario tantas veces a lo largo del articulado la referencia al principio de responsabilidad demostrada previsto por el art. 11, si se considera necesario mantener en este artículo una mención al deber a cargo del responsable del tratamiento de demostrar que el titular de los datos brindó su consentimiento para el tratamiento de sus datos personales, se podría aclarar que, a tal efecto, debe demostrar que cuenta con mecanismos de validación eficaces para comprobar la identidad y capacidad del titular de los datos personales para hacerlo.
Artículo 15
Entiendo que la exigencia de proveerle al titular de los datos personales la información prevista en este artículo cuando los datos no hayan sido obtenidos directamente del mismo dentro de un plazo razonable y a más tardar dentro de un mes es de cumplimiento imposible, ya que no siempre el responsable del tratamiento tendrá forma de contactar al titular de los datos tratados, fundamentalmente en aquellos tratamientos de datos cuya base legal sea distinta al consentimiento previsto en el inciso a) del art. 12.
Artículo 16
a) El artículo no contempla los tratamientos de datos de antecedentes penales y contravencionales como lo hacía la Ley 25.326 y el art. 17 proyecto elaborado por la AAIP en la gestión anterior. Considero que debería haberse mantenido el texto que decía que “El tratamiento de datos relativos a antecedentes penales o contravencionales con el objeto de brindar informes a terceros sólo puede ser realizado por parte de las autoridades públicas competentes o bajo su supervisión. El empleador que conserve un certificado, documento o información de antecedentes penales o contravencionales de sus empleados no puede cederlo a terceros, salvo con el consentimiento expreso del titular de los datos”.
b) Con respecto a la prohibición genérica de tratamiento de datos sensibles sujeto a excepciones, considero que si bien al compatibilizarse esta prohibición genérica con la excepción por consentimiento que contempla el inciso a) con la base legal del tratamiento cuando sea necesario para la ejecución de un contrato en el que el Titular de los datos sea parte, o para la aplicación de medidas precontractuales, para evitar malas interpretaciones y brindar mayor seguridad jurídica a quienes, con motivo de su actividad comercial requieren necesariamente del tratamiento de datos sensibles (establecimientos de salud, empresas aseguradoras, etc), sugiero incluir una excepción concreta en tal sentido.
Artículo 17
a) El Anteproyecto no hace referencia a la necesidad de que las bases de datos públicas sean creadas a través de una norma específica. Considero que era ajustada la redacción del Proyecto elaborado por la AAIP en la gestión anterior y sugiero incluirla. El texto propuesto es entonces el siguiente: “La creación, modificación o supresión de bases de datos pertenecientes a autoridades u organismos públicos debe hacerse por medio de norma de alcance general, publicada en el Boletín Oficial o diario oficial. Las normas respectivas, deben indicar: a. Órganos responsables de la base de datos, precisando dependencia jerárquica en su caso; b. Características y finalidad de los tratamientos de datos que se efectúen; c. Personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u obligatorio de su suministro por parte de aquéllas; d. Procedimiento de obtención y actualización de los datos; e. Estructura básica de la base y la descripción de la naturaleza de los datos personales que contendrán; f. Las cesiones, transferencias o interconexiones previstas; g. Las oficinas ante las que se pudiesen efectuar el ejercicio de los derechos previstos en la presente Ley. En las normas que se dicten para la supresión de las bases de datos se debe establecer el destino de éstas o las medidas que se adopten para su destrucción”.
b) Podría agregarse que las normas de creación de bases de datos indiquen expresamente cuál es el interés legítimo que fundamenta el tratamiento de datos personales y que, además, se establezca un límite que impida que una base de datos pública pueda ser creada por un funcionario de baja jerarquía, a través del dictado de una norma que no tenga carácter de Ley o Decreto.
c) Con respecto al último párrafo en el que se hace referencia a la cesión de datos personales, considero que no debe circunscribirse a las cesiones realizadas por los organismos públicos. Entiendo que sería más claro que la Ley cuente con un artículo específico referido a la cesión de datos personales en el que, además, se incluyan previsiones específicas para la cesión de datos entre organismos públicos en línea, por ejemplo, con lo establecido en el Anexo I de la Resolución AAIP 4/2019, que como parte de los criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley Nº 25.326 establece que “en relación a la cesión de datos personales entre organismos públicos, no se requiere el consentimiento del titular de los datos y se cumple con las condiciones de licitud, en la medida en que (i) el cedente haya obtenido los datos en ejercicio de sus funciones, (ii) el cesionario utilice los datos pretendidos para una finalidad que se encuentre dentro del marco de su competencia y, por último, (iii) los datos involucrados sean adecuados y no excedan el límite de lo necesario en relación a esta última finalidad” (ver Criterio 5).
Artículo 18
a) Considero que no queda claro el tratamiento de datos de menores. En la República Argentina, la mayoría de edad se cumple a los 18 (dieciocho) años, y se considera adolescentes, con discernimiento para realizar actos lícitos, a los menores de entre 13 (trece) y 18 (años) años de edad. El proyecto autoriza tratar datos con el consentimiento de menores de al menos 13 años sólo para servicios de la sociedad de la información específicamente diseñados o aptos para ellos. ¿Se supone que para el resto el consentimiento es a los 18 años? Entiendo que se debería contemplar el principio de autonomía progresiva consagrado en los arts. 26 y 639 del Código Civil y Comercial de la Nación que, por ejemplo, tuvo en cuenta la Disposición AAIP 4/2019 según el cual los menores de edad pueden prestar consentimiento informado en relación al tratamiento de sus datos personales teniendo en consideración sus características psicofísicas, aptitudes y desarrollo; que los contratos de escasa cuantía de la vida cotidiana celebrados por el hijo se presumen realizados con la conformidad de sus progenitores y que, por ejemplo, a partir de los 16 (dieciséis) años los adolescentes pueden decidir sobre su propio cuerpo para realizar tratamientos médicos no invasivos que no comprometan su estado de salud y no provoquen un riesgo grave en su vida o integridad física. Podría haberse establecido que a partir de los 16 años los menores se encuentran capacitados para prestar su consentimiento con el tratamiento de sus datos personales sin la participación o autorización de sus padres.
Artículo 19
Cuando el artículo dice que se deben adoptar las medidas que “resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales”, debería decir “medidas idóneas y posibles de acuerdo al tipo de tratamiento realizado para asegurar la seguridad, confidencialidad y disponibilidad de los datos personales”.
Artículo 20
Considero que el plazo de 48 horas otorgado para notificar la ocurrencia de un incidente de seguridad es muy breve y puede tornarse de cumplimiento imposible. Sería más razonable mantener el plazo de 72 horas previsto por el proyecto elaborado por la AAIP en su gestión anterior o incluso otorgar un plazo mayor.
Artículo 21
Si bien este artículo se refiere al deber de confidencialidad que debe respetarse en todo tratamiento de datos personales, considero una grave omisión del Anteproyecto no haber hecho referencia dentro del amplio espectro de derechos reconocidos a los titulares de los datos personales el derecho a solicitar que sus datos sean sometidos confidencialidad, derecho expresamente previsto por el art. 43 de la Constitución Nacional. En este sentido, el Anteproyecto comete el mismo error, por omisión, que la Ley 25.326 y el proyecto de ley elaborado por la AAIP en la gestión anterior.
Artículo 22
a) El artículo no contempla el supuesto de consentimiento del titular del dato como presupuesto para una transferencia internacional, sino que lo acepta en casos excepcionales.
b) Dentro de las situaciones específicas contempladas como excepciones a la necesidad de realizar transferencias internacionales a países que tengan legislación adecuada o el exportador ofrezca garantía de que los datos se van a tratar en las condiciones establecidas por la ley, no contempla las transacciones bancarias y financieras.
c) Sugiero incluir las siguientes excepciones:
-Cuando sea necesaria para el mantenimiento o cumplimiento de una relación jurídica entre el responsable del tratamiento y el titular de los datos;
-Cuando sea requerida para concretar transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable;
-Cuando tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo, el lavado de activos, los delitos informáticos y el narcotráfico.
Artículo 27
Considero que se debería aclararse el significado y alcance del término “bloquear el dato”, ya sea en este artículo o en el artículo 2 dedicado a las definiciones, ya que es un tipo de tratamiento que aparece mencionado en otros artículos y su indefinición se presta a confusión.
Artículo 28
a) Cuando dice que el titular de los datos se puede “oponer al tratamiento de sus datos o de una finalidad específica de éste”, considero que debería decir “o de una finalidad específica de un tratamiento actual o ulterior”.
b) Sugiero cambiar la frase “dejar de tratar” incluida en la segunda oración del primer párrafo por “debe cesar en el tratamiento”
c) En el último párrafo, cuando señala que “el Titular tendrá́ derecho a que el tratamiento de datos personales se limite a su almacenamiento durante el periodo que medie entre una solicitud de rectificación u oposición hasta su resolución por el Responsable”, entiendo que sería más apropiado que diga que “el responsable del tratamiento podrá seguir almacenando los datos personales durante el período que medie entre una solicitud de rectificación u oposición, hasta su resolución por el Responsable”, incluyendo, además, a las solicitudes de supresión o confidencialidad.
d) Considero que es insuficiente limitar la actividad llevada a cabo con fines de publicidad, venta directa, y otras actividades análogas, como la prospección comercial o la mercadotecnia contemplando sólo el derecho de oposición del titular de los datos reconocido por este artículo y el derecho de supresión previsto por el inciso f) del art. 29. Entiendo que la Ley debería regular específicamente este tipo de tratamientos de datos de igual forma a lo que
establecía la Ley 25.326, sin las modificaciones inconstitucionales incorporadas por el art. 27 del Decreto 1558/21, permitir que el tratamiento de datos con esta finalidad pueda realizarse sin el consentimiento de sus titulares cuando los datos sean obtenidos de fuentes de acceso público restricto o irrestricto o con el consentimiento de los titulares de los datos tratados, exigiendo, tal como lo preveía el proyecto elaborado por la AAIP en la gestión anterior, que en toda comunicación con fines de publicidad que se realice por correo, teléfono, correo electrónico, Internet u otro medio que permita la tecnología en el futuro, el responsable o encargado del tratamiento debe implementar medidas razonables que informen al titular de los datos la posibilidad de ejercer los derechos previstos en la presente Ley. Debería agregarse, además, que los datos referentes a la salud sólo pueden ser tratados con esta finalidad cuando hubieran sido obtenidos con el consentimiento del titular de los datos o en el contexto de una relación entre el consumidor o usuario y los proveedores de servicios o tratamientos médicos y entidades sin fines de lucro, y que no pueden cederse a terceros sin el consentimiento previo, expreso e informado del titular de los datos. Dejar librado a la demostración de un interés legítimo el tratamiento de datos con esta finalidad vacía de contenido buena parte de los principios y derechos reconocidos por esta Ley.
Artículo 29
a) Para un mejor ordenamiento, sugiero que el primer párrafo comience numerado como inciso 1).
b) Asimismo, sugiero que la enumeración de supuestos en los que no procede la supresión, sea encabezada como inciso 2) y los diferentes supuestos sean expuestos con incisos identificados con letras.
c) Agregaría como supuesto en el que no procede la supresión de los datos a los supuestos en los cuales “el tratamiento de datos sea necesario para ejercer el derecho a la libertad de expresión e información” tal como lo contemplaba el proyecto elaborado por la gestión anterior de la AAIP, de modo tal de compatibilizarlo con lo establecido en el art. 3.
Artículo 30
Considero que se debería haber contemplado la posibilidad de que un responsable de tratamiento de datos pueda tomar decisiones basadas en tratamientos automatizados cuando la decisión sea necesaria para la celebración o la ejecución de un contrato entre el titular de los datos y el responsable del tratamiento, esté autorizada por Ley o se base en su consentimiento expreso.
Artículo 31
a) Teniendo en cuenta que el art. 32 establece que el ejercicio de los derechos debe ser satisfecho en un plazo de 10 días, creo que se tendría que haber previsto la posibilidad de que el responsable del tratamiento de datos pueda solicitar una extensión de plazo para cumplir con el ejercicio del derecho a la portabilidad cuando justifique que su cumplimiento le exija realizar tareas técnicamente complejas que requieran de un plazo mayor.
b) Asimismo, entiendo que, tal como ocurre en el caso de ejercicio el derecho de acceso, se tendría que haber establecido que este derecho sólo puede ejercerse en forma gratuita a intervalos no inferiores a 6 (seis) meses, salvo que se acredite la existencia de nuevas razones que justifiquen el pedido de portabilidad de los datos antes de término, de modo de evitar abusos.
Artículo 32
a) Al establecer el plazo de 10 días para que el Responsable del tratamiento responda una solicitud de acceso y satisfaga los derechos del Titular de los datos dentro, agregaría una frase que aclare que ese plazo resulta de aplicación siempre y cuando no exista una norma específica que establezca un plazo menor, como por ejemplo ocurre en el caso del art. 14 de la Ley 26.529 de Derechos del Paciente, que establece un plazo de 48 horas para dar acceso a la historia clínica.
b) La exigencia de una intimación fehaciente para el ejercicio de los derechos se contradice, por ejemplo, con lo establecido en el art. 26 que condiciona el ejercicio del derecho de acceso solamente a la previa acreditación de la identidad del titular de los datos, y no respeta el principio de gratuidad para el ejercicio de los derechos reconocido por el mismo art. 32, ya que una intimación fehaciente puede suponer costos para el titular de los datos, como, por ejemplo, el envío de una carta documento. En lugar de exigirse la intimación fehaciente podrían delegarse en la Reglamentación los mecanismos previstos para ejercer los derechos o requerir que el titular de los datos pueda demostrar su ejercicio.
d) Sin perjuicio de lo mencionado en el punto anterior, entiendo que el ejercicio del derecho no debe ser entendido como una “intimación”, sino con el ejercicio del derecho. Podría hablarse de solicitud o de notificación y no de intimación.
e) Considero un error supeditar la posibilidad de presentar una denuncia administrativa ante la AAIP al no inicio previo de una acción de habeas data. Si bien pueden coincidir en el ejercicio del derecho, la denuncia es más amplia, busca sanción y medidas rectificativas. En última instancia, podría decir que cuando se inicia una acción de habeas data con anterioridad, no procede la denuncia hasta tanto la acción judicial haya finalizado.
f) El párrafo dedicado específicamente al “Derecho de acceso” que dice que “sólo puede ser ejercido en forma gratuita a intervalos superiores a 6 meses y si se ejerce en intervalos inferiores a dicho plazo, el responsable podrá cobrar un canon razonable en función de los costos administrativos afrontados para facilitar la información al titular de los datos” entiendo que debería haberse incluido en el texto del art. 27. Además, debería tener como excepción la necesidad de solicitar un nuevo acceso dentro de un plazo menor sea justificada por el titular del dato.
g) Respecto al ejercicio abusivo de los derechos, considero que debería contemplar el supuesto de que imponga sobre el obligado una carga técnica o financiera irrazonable como lo hacía el anterior proyecto.
Artículo 34
a) Cuando en el inciso b) el texto propuesto indica que el responsable del tratamiento debe “garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de protección de datos, especialmente conocer, actualizar, rectificar, suprimir sus datos personales u oponerse al tratamiento de los mismos”, considero que sería más conveniente reemplazar el verbo “conocer” por “acceder”.
b) En el inciso h) considero inapropiado el término “códigos de seguridad”. Sugiero modificarlo por “medidas de seguridad”.
c) En el inciso j) sugiero cambiar el término “verificar” por la palabra “velar”.
d) Tal como lo mencionara al sugerir cambios al art. 17 (ver comentario “c”), considero erróneo haber incluido la cesión de datos dentro del artículo dedicado a describir los deberes de los responsables del tratamiento. Entiendo que debería incluirse en un artículo aparte que diga que “Cuando el tratamiento de datos consiste en una cesión, el responsable del tratamiento a quien se ceden los datos personales queda sujeto a las mismas obligaciones legales y reglamentarias que el responsable cedente. Ambos responden por la observancia de aquéllas ante la autoridad de control y el titular de los datos de que se trate. En cualquier caso, podrán ser eximidos total o parcialmente de responsabilidad si demuestran que no se les puede imputar el hecho que ha producido el daño”.
e) Considero que debería haberse incluido dentro de las obligaciones del responsable del tratamiento la de registrar las actividades de tratamiento que, como lo establece el art. 30 del RGPD que reemplaza el deber de registro de las bases de datos que establecía la Ley 25.326.
Artículo 35
a) Sugiero modificar el título de modo tal que el artículo se titule: “Prestación de servicios de tratamiento de datos personales”.
b) Entiendo que se debería eliminar el primer párrafo que dice que “Los Encargados del tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente Ley, sus normas reglamentarias y otras que rijan su actividad”.
c) Considero que no corresponde la obligación establecida en el inciso “j”, ya que no es el encargado quien debe tramitar solicitudes presentada por el titular de los datos, ni responderlas. Se trata de un deber del responsable del tratamiento, ya que el encargado no actúa por cuenta propia sino por cuenta de terceros.
d) En el inciso h) vuelve a referirse a los “códigos de seguridad”. Al igual que lo manifestado al efectuar sugerencias de cambios al art. 34, entiendo que debería ser reemplazado por “medidas de seguridad”.
e) En el inciso l) sugiero eliminar la frase que indica que la persona encargada de la función de protección de datos personales debe dar trámite a las solicitudes de los titulares, ya que, en todo caso, debería decir que debe informar al responsable del tratamiento para que tome las medidas que en su caso correspondan y se las comunique.
f) Si se receptara la sugerencia de incluir como obligación registrar internamente las actividades de tratamiento de datos personales sugerida en el punto e) del comentario al art. 34, debería contemplarse una obligación similar en este artículo a cargo de los encargados de tratamientos de datos.
Artículo 36
a) En este punto considero saludable basarse en lo establecido por la Disposición AAIP 18/2015 que aprobó la guía de buenas prácticas en privacidad para el desarrollo de aplicaciones, que en el inciso 4) del Anexo I establece los lineamientos que debe cumplir una Política de Privacidad o, en todo caso, delegar en la reglamentación las cuestiones que deben tener en cuenta, respetar y cumplir los responsables y encargados de tratamientos de datos personales al elaborar sus políticas de tratamiento de datos personales.
b) Con respecto a la exigencia de que la Política de tratamiento de datos conste en un medio físico, entiendo que es anacrónico. Sugiero reemplazar esa exigencia por otra que sea idónea o suficiente para que sea conocida por los titulares de los datos y/o verificada o auditada por el organismo de control.
Artículo 37.
Si se receptara la sugerencia de incluir como obligación registrar internamente las actividades de tratamiento de datos personales sugerida en el punto e) del comentario al art. 34, debería contemplarse como una medida para el cumplimiento del principio de responsabilidad proactiva el registro de actividades de tratamiento.
Artículo 39
a) El artículo se refiere a los tratamientos de datos a gran escala, pero no aclara qué significan o implican. Sería saludable definirlos e incluir la definición en el art. 2, teniendo en cuenta lo que sugerí en el inciso d) de los comentarios realizados a dicho artículo.
b) Considero un error limitar la obligación de realizar Evaluaciones de Impacto relativas a la protección de datos personales sólo a los tratamientos de datos sensibles a gran escala u observación sistemática a gran escala de zonas de acceso público y no dejarlo abierto para todo tratamiento de datos a gran escala, definiendo qué se entiende por ello.
c) Sugiero que se incluya un texto que indique que, además de los organismos públicos, tienen que designar un Delegado de Protección de Datos los responsables de tratamiento que procesan datos personales para proporcionar servicios públicos y los responsables de tratamiento cuyas actividades principales implican o requieren realizar tratamientos de datos a gran escala. Si se quiso delegar la determinación de los supuestos a la reglamentación, podría haberse utilizado la fórmula del art. 42 referido al Delegado de Protección de Datos, diciendo que deberá realizarse cuando las actividades de tratamiento requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades, conforme se establezca en esta Ley, su reglamentación, o en la normativa que dicte al respecto la Autoridad de aplicación.
Artículo 41
Se sugiere delegar en la reglamentación el plazo que tiene la autoridad de aplicación para pronunciarse acerca del informe previo a la evaluación de impacto relativa a la protección de los datos personales, ya que su indefinición puede generar incertidumbre y perjudicar a los responsables de tratamientos de datos.
Artículo 42
Es claro que se quiso delegar en la reglamentación los casos en que se exigirá la designación de un Delegado de Protección de Datos, pero entiendo que en atención a la experiencia, además de las autoridades u organismos públicos, deberían haberse incluido las empresas de servicios públicos, las entidades crediticias, las empresas de informes comerciales, los tratamientos de datos a gran escala, y aquellos que sometan a tratamiento datos sensibles o de menores como su principal actividad, como ocurre en el caso de los establecimientos de salud, sindicatos, organizaciones religiosas e instituciones educativas. En el caso de los tratamientos de datos sensibles como parte de la actividad principal del responsable o encargado del tratamiento y los tratamientos de datos a gran escala, ya habían sido contemplados en el proyecto elaborado por la gestión anterior de la AAIP.
Artículo 43.
Si se receptara la sugerencia de incluir como obligación registrar internamente las actividades de tratamiento de datos personales sugerida en el punto e) del comentario al art. 34, debería incluirse dentro de las obligaciones de los delegados de protección de datos la responsabilidad de llevar adelante la ejecución del registro de las actividades de tratamiento de datos personales exigido por la Ley.
Artículo 44.
Considero que es incorrecto responsabilizar personalmente al representante de los responsables y encargados del tratamiento no establecidos en la República Argentina, ya que siempre debe responsabilizarse al responsable o encargado del tratamiento, cualquier sea su lugar de radicación.
Artículo 45
Sugiero que se aclare, por Ley, que la inscripción en el Registro será gratuita.
Artículo 47
a) Entiendo que debería reemplazarse el texto de este artículo por el que traía el proyecto elaborado por la anterior gestión de la AAIP.
b) Además de la base legal establecida en el art. 12, debería haberse conservado el párrafo del proyecto mencionado que establecía qué datos pueden incluirse en un informe comercial aclarando que son: los datos facilitados por el acreedor o por quien actúe por su cuenta o interés, los datos que se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes; y los datos que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquéllos en los que participe.
Artículo 48
La explicación del concepto “información significativa” que traía el proyecto anterior debería haberse conservado, ya que es un tema que suscitó muchos conflictos en el pasado. Por tal motivo, debería aclararse que “Se considera información significativa: a. El momento en que se produce la mora del deudor; b. Las modificaciones en las clasificaciones que otorgan al deudor las entidades crediticias; c. El inicio de la acción judicial de cobro; d. La sentencia judicial que dispone el pago de la deuda; e. La fecha de la apertura del concurso de acreedores o de la declaración de quiebra, en caso de deudas verificadas o en trámite de verificación en
los procesos de concursos preventivos y quiebras respectivamente; f. Aquella otra información que defina el órgano de control” y que no se considera última información significativa la asentada en una base de datos por el sólo hecho de serla constancia final de una serie o sucesión de datos si se trata de una mera repetición de la misma información que, sin novedad o aditamento alguno, ha sido archivada durante los meses anteriores.
Artículo 49
Cuando exige que las empresas prestadores de servicios de información crediticia que dispongan de un sistema de puntuación y/o calificación de acuerdo al comportamiento crediticio de las personas, comuniquen detalladamente al Titular de los datos cuál es la fórmula, variables, el procedimiento y la información que tomó en cuenta o el algoritmo que se utiliza y su composición, no se tuvo en cuenta que al informarlo deben observarse los secretos comerciales e industriales, ya que se tuvieron en cuenta en el art. 30 que regula las decisiones automatizadas y elaboración de perfiles y no en este caso que es similar. En todo caso, podría incluirse una referencia a dicho artículo.
Artículo 51
Entiendo que se debe eliminar el inciso t), ya que no corresponde que se le asignen a la autoridad de aplicación facultades para darse más facultades por vía reglamentaria.
Artículo 53
a) Para dar respuesta a los casos en que el titular de los datos personales se encuentre impedido de cumplimentar con la “intimación” previa prevista por el art. 32 por no contar con información o domicilio de contacto del responsable del tratamiento, y más allá de reiterar que no considero apropiado hablar de “intimación”, sino de solicitud o notificación de ejercicio de derechos, entiendo que debería incluirse una frase al final del primer párrafo que lo exima de cumplir con la intimación cuando la misma sea de imposible cumplimiento.
b) Considero que el límite temporal para presentar una denuncia perjudica innecesariamente al titular de los datos personales. Debería establecerse un plazo de prescripción mayor.
Artículo 54
En este caso, considero que dejar librada la resolución a “un plazo razonable” es muy vago e impreciso. Podría recurrirse a la Ley de Procedimiento Administrativo o, en todo caso, dejarlo librado a la determinación de la autoridad de aplicación.
Artículo 55
Considero necesario aclarar qué se entiende por notificación realidad por medios electrónicos.
Artículo 58
El Anteproyecto no contempla la posibilidad de reclamar daños y perjuicios por vulneración de protección de datos, tal como lo contemplaba la Ley 25.326, que en su art. 31 establecía que el organismo de control está facultado a aplicar sanciones, sin perjuicio de las responsabilidades administrativas que correspondan en los casos de responsables o usuarios de bancos de datos públicos; de la responsabilidad por daños y perjuicios derivados de la inobservancia de la presente ley, y de las sanciones penales pudieran corresponder. Considero que el Anteproyecto no sólo lo contemplara, sino que, además, sugiero que se establezcan tarifas mínimas por daño por violación a la protección de los datos personales sin necesidad de probar la cuantía, ya que para los titulares de los datos damnificados no siempre resulta mensurable el daño causado. Un ejemplo de ello es la Ley de Privacidad del Consumidor de California (CCPA), que contempla daños legales o reales, lo que sea mayor, por la falta de implementación de procedimientos y prácticas razonables que resulten en una violación de datos de información personal no cifrada, o directamente por haber realizado un tratamiento de datos ilícito. La base para su establecimiento son los arts. 1770, 1740 y 52 del Código Civil y Comercial de la Nación. En tal caso, para determinar si la violación fue por culpa o por dolo, habrá que analizar la intencionalidad y la conducta asumida al conocer el incidente de seguridad o recibir el reclamo. Y para tarifar el daño podría estarse, de la manera que ocurre con la imposición de multas, a la naturaleza y la gravedad de la infracción, el tipo de datos personales vulnerados, la cantidad de incumplimientos, la reincidencia, el tiempo durante el cual los datos estuvieron expuestos y la intencionalidad.
Artículo 60
En el primer párrafo, cuando establece el máximo previsto para las multas hay un error de tipeo, ya que dice “un millón” en letras y la aclaración dice 1.000.000.000.