La Diputada Nacional Karina Banfi, perteneciente al partido de la Unión Cívica Radical presentó el proyecto de ley No. 4081-D-2022 para actualizar la Ley de Protección de Datos Personales No. 25.326 dictada en el año 2000. De aprobarse el proyecto, se derogarán las Leyes 25.326 (Protección de Datos Personales), 26.343 (modificadora de la Ley de Protección de Datos Personales y 26.951 (Registro Nacional No Llame). Asimismo, el proyecto de ley está basado, entre otros textos, en el proyecto que la diputada había propuesto en el año 2020 pero que perdió estado parlamentario.
Actualmente el proyecto de ley se encuentra bajo estudio en las comisiones de asuntos constitucionales, justicia, legislación general y presupuesto y hacienda.
Entre algunos de los principales puntos a resaltar del proyecto de ley, resaltamos los siguientes:
- Se elimina la referencia a las personas jurídicas como titulares de datos. En vez, la definición hace referencia únicamente a la “persona humana”.
- Se agregan nuevas definiciones, como por ejemplo, fuente de acceso público irrestricto, encargado de tratamiento, responsable del tratamiento, incidente de seguridad, entre otras.
- Amplía la aplicación de la ley de forma extraterritorial. Por ejemplo, dice que será aplicable la ley cuando el responsable del tratamiento no se encuentre establecido en el territorio nacional pero el titular de los datos resida en Argentina y las actividades de dicho tratamiento se encuentren relacionadas con la oferta de bienes o servicios a dichos titulares de datos en Argentina, o con el seguimiento de sus actos, comportamientos o intereses.
- Se agrega expresamente el principio de responsabilidad productiva, siguiendo la terminología utilizada por la Unión Europea. Así, en el artículo 10 se establece que el responsable o encargado del tratamiento debe adoptar las medidas técnicas y organizativas apropiadas a fin de garantizar un tratamiento adecuado de los datos personales y el cumplimiento de las obligaciones dispuestas por la presente Ley, y que le permitan demostrar a la autoridad de control su efectiva implementación.
- En el artículo 12 dispone que el consentimiento podrá ser obtenido no solo de forma expresa sino “tácita” y que la forma del consentimiento depende de las circunstancias, el tipo de dato personal y las expectativas razonables del titular de los datos. Sobre este punto, adelantamos que es muy amplio y podría traer algunos inconvenientes en la práctica. Asimismo, en caso de optar por el consentimiento tácito, el responsable de tratamiento debería estar en condiciones de demostrar -llegado el caso- cómo se ha obtenido ese consentimiento (es decir, probarlo).
- Obligación de reportar los incidentes de seguridad de datos personales dentro del plazo de 72 horas de haber tomado conocimiento del incidente. La notificación deberá cursarla el responsable de tratamiento, quien además deberá notificar a los titulares de los datos sobre lo ocurrido utilizando para ello un lenguaje claro.
Dado que la Agencia de Acceso a la Información Pública ha iniciado un proyecto de revisión y actualización de la Ley De Protección de Datos Personales, es de esperar que en las próximas semanas esta presente el proyecto del oficialismo.
Este artículo es un breve comentario sobre temas de interés general y novedades legales en Argentina. En este sentido, no pretende ser un análisis exhaustivo ni brindar asesoramiento legal.
Referencias:
- Disponible en: https://www4.hcdn.gob.ar/dependencias/dsecretaria/Periodo2022/PDF2022/TP2022/4081-D-2022.pdf
Autor:
Socio | Asesoramiento Corporativo y Reorganizaciones Societarias
ivaliente@svya.com.ar