Se presentó en el Congreso un nuevo proyecto de ley N° 3661-D-2022 en materia de Protección de Datos Personales mediante el cual se busca modificar el artículo 9 de la Ley de Protección de Datos Personales N° 25.326. El mismo fue presentado por Gabriela Besana y co-firmado por Cristian Adrián Ritondo, María Eugenia Vidal y Sabrina Carlota Ajmechet.
En resumidas cuentas, actualmente el artículo 9 de la Ley de Protección de Datos Personales N° 25.326 establece el deber de seguridad sobre los usuarios y/o responsables de tratamiento de los datos personales. En concreto, el artículo establece que en su primer párrafo que el responsable o usuario de la base de datos debe implementar las medidas técnicas y organizativas (por ejemplo aquellas recomendadas mediante la Resolución 47/2018) que sean necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado. Asimismo, dichas medidas deberán permitir la detección de desviaciones, sean o no intencionales, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
Con la modificación propuesta se agregarían al primer párrafo otras disposiciones que establecen, entre otras cosas:
- La obligación del responsable de tratamiento de los datos personales (conocido en inglés como “data controller”) de notificar los incidentes de seguridad que afecten los datos personales a la autoridad y titulares de los datos personales, de corresponder. La notificación deberá cursarse sin dilación. De ser posible dentro de las 72 horas desde de que haya tomado conocimiento del mismo. En caso de no cumplir con la notificación a la autoridad de control dentro de dicho plazo, el mismo podrá extenderse hasta 10 días siempre que se acrediten los motivos
justificados de la dilación. - La obligación de dicho responsable a realizar la denuncia penal ante la autoridad penal correspondiente (Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), juzgado federal, fiscalía o dependencia policial correspondiente).
Además, tanto la notificación como la denuncia deberán incluir la siguiente información:
- naturaleza del incidente;
- categoría de datos personales comprometidos
- identificación de titulares afectados;
- posibles consecuencias del incidente;
- medidas adoptadas para remediarlo y en su caso para mitigar los posibles
efectos negativos; - medidas correctivas aplicadas para evitar futuros incidentes;
- recomendaciones al titular de los datos acerca de las medidas que este pueda adoptar para proteger sus intereses;
- los medios a disposición del titular de los datos para obtener mayor
información al respecto
Por último, y en línea con las medidas recomendadas mediante la citada Resolución 47/2018, el responsable del tratamiento deberá documentar todo incidente de la seguridad de los datos personales, identificando los siguientes puntos (los cuales se aclara son a mero título enunciativo): la fecha en que ocurrió el incidente, los hechos relacionados con el mismo y sus efectos, el motivo, y las medidas correctivas implementadas de forma inmediata y definitiva.
Actualmente el proyecto de ley se encuentra bajo estudio de la Comisión de Asuntos Constitucionales y de la Comisión de Legislación General.
Este artículo es un breve comentario sobre temas de interés general y novedades legales en Argentina. En este sentido, no pretende ser un análisis exhaustivo ni brindar asesoramiento legal.
Autor:
Socio | Asesoramiento Corporativo y Reorganizaciones Societarias
ivaliente@svya.com.ar