El Anteproyecto de Ley tiene por objeto modificar la Ley de Protección de Datos Personales 25.326 que fue sancionada el 4 de octubre del año 2000. A renglón seguido enunciaremos algunos de los puntos más relevantes del Anteproyecto.
Por empezar, el Art. 2 incorpora nuevas definiciones que no están presentes en la ley actual entre las que se encuentran; los datos biométricos y genéticos, y la vulneración de seguridad de datos personales. Asimismo, modifica algunos conceptos vigentes en la Ley 25.326, por ejemplo, la definición de datos personales como información de cualquier tipo referida a personas físicas determinadas o determinables, excluyendo a las personas físicas como de existencia ideal que se encuentran incorporadas en la ley actual.
Si bien actualmente el consentimiento debe otorgarse en forma expresa, salvo excepciones previstas específicamente en la ley, el Anteproyecto estipula que el consentimiento podrá ser obtenido de forma expresa o tácita, éste último opera cuando la conducta del titular de los datos sea suficiente para demostrar la existencia de su autorización. Un dato novedoso es que prevé la licitud del consentimiento de los niños, niñas o adolescente, el que será válido cuando se aplique al tratamiento de datos vinculados a la utilización de servicios de la sociedad de la información específicamente diseñados y aptos para ellos y el menor alcance un mínimo trece años.
Volviendo al concepto vulneración de la seguridad de datos, el Anteproyecto elabora un mecanismo especifico, en donde el responsable del tratamiento de datos deberá notificar el incidente de seguridad de la base de datos personales a la autoridad de control en un tiempo razonable, y al titular de los datos.
Será obligatoria la evaluación de impacto relativa a la protección de datos personales en los siguientes casos; a) Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento de datos automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar; b) Tratamiento de datos sensibles a gran escala, o de datos relativos a antecedentes penales o contravencionales; c) Tratamiento de datos mediante tecnologías que se consideren potencialmente invasivas de la privacidad, como la videovigilancia, la utilización de drones, entre otros; d) Tratamiento significativo no incidental de datos de niñas, niños y adolescentes, o dirigido especialmente a tratar datos de los mismos. El responsable del tratamiento deberá confeccionar un Informe previo e informar a la autoridad de control antes de proceder al tratamiento de datos cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento de datos entrañaría un alto riesgo.
Por último, lo más novedoso y discutible es que expresamente establece que las resoluciones de la autoridad de control agotarán la vía administrativa a los efectos de lo previsto en la Ley Nacional de Procedimientos Administrativos Nº 19.549. Indicando que no procederá el recurso de alzada.
Para mayor información por favor contactar a:
Carolina Sottovia
Abogada asociada – Área contencioso.
Csottovia@svya.com.ar
Socio | Asesoramiento Corporativo y Reorganizaciones Societarias
ivaliente@svya.com.ar
