El martes 4 de enero de 2022 se publicó en el Boletín Oficial la Disposición N° 1/2022 de la Dirección Nacional del Registro Nacional de las Personas (la “Disposición”).
La misma aprueba la Política de Protección de Datos Personales del RENAPER (la “Política”), cuyo objeto es resguardar y proteger el derecho a la privacidad de las personas humanas cuyos datos son objeto de tratamiento por parte de la Dirección Nacional del Registro de las Personas (RENAPER). Es decir, de todas las personas que habitan Argentina y de aquellas que están radicadas en el extranjero. Consecuentemente, debe dar cumplimiento a las Leyes No. 17.671 y No. 25.326 y cumplir con las obligaciones de preservación, custodia y tratamiento de los datos personales allí dispuestas.
Entre los puntos que la Política desarrolla, se encuentran las definiciones. Por ejemplo, define datos biométricos, consentimiento, datos personales, datos sensibles, incidente de seguridad. Resulta extraño , y posiblemente cuestionable, que no remita a las definiciones que la Ley de Protección de Datos Personales No. 25.326 ya ofrece. A modo ejemplificativo, mientras la ley habla de un consentimiento “libre, expreso e informado” la Política habla de “libre, transparente e informado”.
En el artículo 5 se enumeran y describen los lineamientos generales que deberán seguirse para el tratamiento de los datos personales. En este sentido, se deberá respetar la finalidad de los datos, la seguridad de la información, transparencia y exactitud, mantenimiento y destrucción de los datos, consentimiento y derecho de acceso.
Luego, en el artículo 9 habla de que los datos biométricos se considerarán datos sensibles cuando puedan revelar datos adicionales cuyo uso resulte potencialmente discriminatorio para el titular de los datos y que, en ese caso, se les dará el mismo tratamiento que a los datos sensibles.
Por otro lado, en el artículo 17 se habla de privacidad desde el diseño y se informa que se aplicarán todas las medidas técnicas y organizativas que estén al alcance del RENAPER para garantizar, desde las primeras fases del diseño de cualquier operación que involucre el tratamiento de datos personales, el respeto a la intimidad y a los principios de la Política.
También se establece la obligación, en el artículo 23, de notificar a la Agencia de Acceso a la Información Pública y a la Dirección Nacional de Ciberseguridad en caso de detectarse un incidente de seguridad. Será el responsable de seguridad de la información quién deberá efectuar esa comunicación en un plazo no superior a las 48 horas de haber tomado conocimiento.
Por último, el RENAPER deberá designar – conforme lo dispuesto en el artículo 25 de su Política – a un responsable de protección de los datos personales (en inglés conocido como el “DPO” o “Data Protection Officer”).
La Política puede pensarse como una respuesta ante el reciente incidente de seguridad y brecha de información del cual el RENAPER fue víctima. (2) Sin perjuicio de sí evidentemente surge como consecuencia o no de tal suceso, lo cierto es que aun no se ha conocido el reporte labrado tras el incidente.
Este artículo es un breve comentario sobre temas de interés general y novedades legales en Argentina. En este sentido, no pretende ser un análisis exhaustivo ni brindar asesoramiento legal.
Referencias:
- La Disposición 1/2022 está disponible en: https://www.boletinoficial.gob.ar/detalleAviso/primera/255703/20220104
- Más información en: https://www.argentina.gob.ar/noticias/el-renaper-detecto-el-uso-indebido-de-una-clave-otorgada-un-organismo-publico-y-formalizo
Autor:
Ignacio Sáenz Valiente
Socio | Asesoramiento Corporativo y Reorganizaciones Societarias
ivaliente@svya.com.ar
Foto/ilustración:
Vector de Ordenador creado por macrovector – www.freepik.es
