El 12 de septiembre de 2022, la “Agencia de Acceso a la Información Pública (“AAIP”) publicó mediante la Resolución N° 119/2022, un anteproyecto de ley de datos personales (en adelante, el “Proyecto”) tendiente a reemplazar la actual Ley Nacional de Protección de Datos Personales N°25.326 (en adelante la, “LPDP”), a fin de “abrir el Procedimiento de Elaboración Participativa de Normas” e invitar al público a que envíe “sus propuestas y opiniones sobre la propuesta de Anteproyecto” durante un período que finalizó el 11 de Octubre pasado.  

La necesidad de actualizar la LPDP -resumida en los Considerandos de la resolución antedicha- resulta a esta altura harto evidente, por lo estimamos loable la iniciativa de la AAIP. El Anteproyecto en sí -sustancialmente similar al Reglamento General de Protección de Datos europeo (“GDPR”)- también nos parece positivo en sus términos. Personalmente veo difícil, debido al status político parlamentario actual y por circunstancias que acceden al Anteproyecto, que el mismo pueda ser convertido en ley durante el corriente año. Sin perjuicio de ello, parece conveniente mencionar algunos aspectos puntuales del Anteproyecto que, a nuestro criterio, podrían mejorarlo sustancialmente.

Responsabilidad del encargado frente al titular del dato

Es claro que los responsables de tratamiento deben responder siempre frente a los titulares de los datos por los actos, omisiones e infracciones de los encargados de los datos cuyo tratamiento han encomendado. Pero a la inversa no debería ser así, ya que el encargado actúa según instrucciones del Responsable, por cuenta y orden de este último.

Sin embargo, el anteproyecto establece que los Encargados de Tratamiento deberán “Tramitar debidamente las solicitudes presentadas por el Titular del Dato, respondiéndolas de manera completa y oportunamente”[1]. Esto resulta contradictorio con las disposiciones del GDPR en este aspecto (en la que las obligaciones del encargado de tratamiento se limitan a asistir al responsable de tratamiento para dar cumplimiento a las solicitudes efectuadas por los titulares del dato). Asimismo resulta incoherente con otras normas del mismo Anteproyecto, las cuales sostienen que la solicitudes efectuadas por los titulares del dato deben ser respondidas por el Responsable de Tratamiento (sin hacer mención al Encargado de Tratamiento)[2]. Además, de qué manera deben los encargados de tratamiento responder a las solicitudes efectuadas por los titulares del dato (i.e. ¿en la misma manera y con el mismo alcance que los responsables de tratamiento deben hacerlo?).

Entendemos que esta disposición del anteproyecto (art. 35.j) debería modificarse, alineándose con GDPR en el sentido de que el encargado (normalmente un proveedor del Responsable) debe “asistir al responsable” en el cumplimiento de los requerimientos de los titulares de datos. 

Incluso, para garantizar el debido resguardo de los derechos de los titulares de los datos, podría agregarse la obligación del encargado que reciba una solicitud de un titular de informarle a este último el nombre y demás datos del responsable que le encomendó el tratamiento, de modo que el titular pueda ejercer sus derechos ante este último. Pero requerir que el encargado responda a las solicitudes de los titulares del mismo modo que el responsable, es desvirtuar la naturaleza del primero.

Evaluación de impacto relativa a la Protección de Datos Personales

El anteproyecto establece que en determinados supuestos de tratamiento de datos, el responsable debe previamente realizar una “Evaluación de Impacto” de dicho tratamiento y, “cuando una evaluación de impacto muestre que el tratamiento entrañaría un alto riesgo, el Responsable debe informar a la Autoridad de aplicación” (art. 41). El problema, a nuestro juicio, radica en que conforme el actual texto del Anteproyecto, el tratamiento no podrá realizarse hasta que la AAIP emita un dictamen sobre la valoración, autorizando el tratamiento de los datos de que se trate, sin fijar plazo ni fecha límite para que la AAIP emita su dictamen antes mencionado.

Entendemos que en casos de tratamiento a priori ‘delicado’ de datos se requiera este tipo de Evaluación de Impacto de Datos. Pero si al costo que esto implica para las empresas argentinas, se le suman trabas legislativas burocráticas, sin plazos objetivos y sin conocer el contenido requerido de esas evaluaciones, creo q este aspecto del anteproyecto, tal como está redactado, no se adapta a la realidad práctica argentina.

Datos con fines de Publicidad / Marketing

La LPDP regula específicamente el tratamiento de datos personales con fines de publicidad. Si bien la LPDP se basa en el “principio del consentimiento”[3], su Decreto Reglamentario 1558/2001 establece un mecanismo contradictorio –y por ello criticado-[4] cuando los datos se encuentren destinados a fines de publicidad y marketing. La LPDP actualmente crea un régimen de “opt out” o de suscripción, bajo el cuál las empresas pueden utilizar los datos personales de los titulares de los datos sin su consentimiento, alegando que su utilización responde a “propósitos de publicidad y/o marketing”[5].

A diferencia del actual régimen, el Anteproyecto omite regular los datos tratados con esta finalidad. dejando un vacío al respecto. Sin embargo, al regular el derecho de “oposición” del titular del dato, el Anteproyecto aclara que “el titular del dato puede oponerse al tratamiento de sus datos personales cuando tengan por objeto la publicidad, la prospección comercial o la mercadotecnia directa, incluida la elaboración de perfiles, en la medida que esté relacionada con esas finalidades…”[6]. También, al momento de regular el derecho de “supresión”, el Anteproyecto lista, -junto con otros motivos- que la supresión procederá cuando “los datos se proceden para finalidades de que tengan por objeto la publicidad, la prospección comercial o la mercadotecnia directa”[7].

La recolección y procesamiento de datos personales con para conocer hábitos de consumo de sus titulares y, en base a los mismos establecer perfiles y formular ofertas (de bienes, de servicios o incluso políticas) constituye uno de los fines principales delas empresas y uno de los motivos centrales por el que se creó la legislación de datos personales, para proteger a los titulares de datos de los abusos en este sentido. Entendemos entonces que, lejos del vacío normativo actual del anteproyecto, el mismo debería regular específicamente el tratamiento de datos fon dines de publicidad. Existen opciones realistas que permiten armonizar los intereses de la industria del marketing con un régimen tuitivo de los titulares de los datos en ese sentido.

Transferencia internacionales consentidas por el titular del dato

El Anteproyecto establece el consentimiento del titular del dato[8] como una de las excepciones al régimen de transferencias internacionales establecido en los artículos 22 a 24 del Anteproyecto. Estamos de acuerdo en ese punto. Sin embargo, al finalizar el mismo artículo que establece el consentimiento como excepción, el Proyecto establece que “Las excepciones enumeradas en el presente artículo no podrán ser utilizadas para realizar transferencias internacionales de forma periódica o habitual, y tampoco cuando involucren a un gran número de personas”[9]. Entendemos que este párrafo debería eliminarse, toda vez que, en la medida en que el consentimiento haya sido informado y correctamente provisto, el titular del dato tiene la facultad de decidir que sus datos sean transferidos cuantas veces sean necesarias, incluso periódicamente. Máxima teniendo el derecho irrenunciable de revocar su consentimiento, previsto en el propio Anteproyecto. 

Multas

Entre las sanciones a ser aplicadas a a los infractores, el Anteproyecto menciona multas “…del dos por ciento (2 %) hasta el cuatro por ciento (4 %) de la facturación total anual global del ejercicio financiero anterior…”[10]. Para evitar interpretaciones distintas e incluso contradictorias, convendría aclarar que la “facturación global” antes referida se refiere a la facturación de la entidad (persona jurídica) infractora, independientemente de que integre o no un Grupo Económico.

Representante

En línea con GDPR, el anteproyecto establece que, cuando el responsable y/o el encargado del tratamiento se encuentren en el extranjero (suponiendo que los datos del tratamiento o residentes en Argentina), deberán designar un “representante” legal en Argentina para cumplir con las obligaciones de los primeros bajo el Anteproyecto, debiendo tal representante actuar en nombre del responsable del tratamiento y “…responder a las solicitudes y consultas que le formulen la Autoridad de Control y los Titulares”. A diferencia de GDPR, el Anteproyecto responsabiliza personalmente a los representantes por eventuales infracciones de sus representados (“En caso de falta de respuesta por parte del Responsable o Encargado, el Representante será responsable de cualquier sanción impuesta en el marco de dicho procedimiento”). Consideramos que este régimen de responsabilidad sui-generis (en definitiva, responsabilizar al mandatario por actos de su mandante) carece de asidero jurídico y debe ser modificado en el Anteproyecto.