Introducción
El 17 de noviembre de 2020 en la Cámara de Diputados del Congreso de la Nación se presentó un proyecto para modificar la ley vigente en materia de datos personales de Argentina: la Ley N° 25.236 de Protección de Datos Personales (en adelante, la “Ley de Argentina”). Basta ojear el número de la ley, para identificar que se trata de una ley bastante antigua; y es que la ley nacional fue sancionada en 2000, hace más de veinte años.
Es difícil recordar cómo era la vida cotidiana cuando se sancionó la Ley de Argentina, porque es una realidad que parece muy lejana. A continuación, ofrecemos una ilustración, con algunos ejemplos, y nos trasladamos allí por unos minutos. Luego, repasaremos el régimen jurídico vigente en materia de protección de datos personales a nivel local y finalmente, comentaremos una de las propuestas de modificación que se encuentra actualmente en trámite legislativo.
Veinte años atrás
En ninguna casa faltaba el teléfono de línea y lo más común no era tener contestadora automática: los mensajes se escribían de puño y letra en algún papelito para dar al destinatario/a. Internet recién empezaba a generalizarse, había solo en algunas casas y la conexión era por cable de teléfono (con su inolvidable y característico sonido). Con una sola línea de teléfono, no se podía navegar por internet y hablar por teléfono al mismo tiempo. El fax era la máquina que no faltaba en ninguna oficina –e incluso, en muchos hogares– para enviar copias de documentos, los que, en general, se guardaban en unos soportes planos y rígidos llamados CD. Las computadoras eran de escritorio, robustas, acompañadas por un spaghetti de cables. Escuchar música, más allá de la radio, implicaba ir personalmente a un negocio y comprar a gusto los CD o cassettes, con una lista de entre 10 y 15 canciones cada uno. Lo novedoso de la época era el discman, aparato redondo que empezó a popularizarse para escuchar música en la calle. Todavía no había llegado a nuestro país ningún programa para descargar música o películas a través de internet. El celular empezaba a estar presente en la vida de los argentinos, pero con una funcionalidad limitada a llamadas y mensajes de texto (SMS), los que tenían un costo por mensaje y con un límite máximo de caracteres. Para sacar fotos o grabar videos se usaban cámaras fotográficas, compradas para ese único fin. Esas mismas fotos, después se imprimían y se conservaban en papel.
En ese contexto se dictó la Ley de Argentina. Y es que, si veinte años atrás, alguien hubiera imaginado el rol indiscutido que juega hoy la tecnología en la vida de cualquier persona, habría sido catalogado como novelista de ciencia ficción.
La pandemia causada por el coronavirus aceleró aún más la transformación digital. Hoy, es difícil pensar en algo que no se pueda hacer a través de un celular o una computadora. Estudiamos, trabajamos, nos relacionamos con amigos/as y familia, jugamos, conseguimos pareja, hacemos las compras, pagamos los servicios, realizamos transferencias, abrimos cuentas bancarias, y un etcétera infinito: todo a través de internet.
Sin perjuicio de los cambios evidentes que atravesó nuestro país en los últimos veinte años, la ley nacional de protección de datos personales no ha sido actualizada. Esto podría tener implicancias negativas para nuestro país.
Dime qué scrolleas y te diré quién eres: ¿Qué son los datos personales y por qué es importante protegerlos?
La Ley de Argentina protege un tipo especial de información. Para comprender el concepto, es importante tener en cuenta que todas las aplicaciones de plataforma y los sitios web con los que interactuamos todos los días se nutren constantemente de información. Qué miro, dónde miro, a qué hora lo miro, qué busco, qué me gusta, qué me interesa y, de nuevo, un etcétera infinito. Toda esa información (que es recolectada, tratada y procesada para poder brindar una mejor experiencia a los usuarios) son datos personales en la medida en que la Ley de Argentina los define como "Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables."1
Como vemos, la definición legal de datos personales es amplísima. Esta conceptualización implica que la mayor parte de la información que brindamos en sitios web y aplicaciones quede protegida por ley.
De lo anterior se desprende que hoy en día todas las empresas, no importa la actividad particular a la que se dediquen, realizan tratamiento de datos personales. De allí, la importancia de conocer los derechos, obligaciones y garantías que establece la normativa en materia de protección de datos personales.
El régimen argentino
Cuando hablamos de protección jurídica de la información, tenemos que señalar que el ordenamiento jurídico argentino ya tenía normas protectorias, incluso mucho antes de la sanción de la ley nacional.
Así, podemos entender que dicha protección surgía de manera implícita de la ley fundamental de la Nación –la Constitución Nacional– cuando en su art. 19 consagra el derecho a la privacidad2 y, luego de la reforma de 1994, mediante la incorporación de la acción de habeas data en el art. 433 y los tratados internacionales de derechos humanos con jerarquía constitucional enunciados en el art. 75, inc. 22.4
Al respecto, nuestro máximo tribunal ha interpretado el derecho a la privacidad como el “derecho a decidir por sí mismo en qué medio compartirá con los demás sus pensamientos, sus sentimientos y los hechos de su vida personal”.5
Después de un intento fallido en 1996 con una ley que nunca vió la luz porque fue vetada por el Poder Ejecutivo, se sancionó en el año 2000 la Ley de Argentina. Se trata de una norma que reprodujo la ley española en materia de protección de datos personales de ese momento. Desde entonces, Argentina estuvo alineada con el marco de protección de la Unión Europea, que es el bloque de países con mayor cultura en protección de datos personales y normas más fuertes. Tanto es así que, tres años más tarde, la Unión Europea le otorgó a Argentina el reconocimiento de “país con protección adecuada”6. La importancia de este reconocimiento radica, esencialmente, en la facilidad al momento de realizar transferencias internacionales de datos personales. Esto es, implica facilidad para el flujo de los datos personales y permite a las empresas radicadas en Argentina realizar el tratamiento de datos personales de residentes europeos de una manera sencilla.
Ahora bien, en 2018 entró en vigencia una nueva normativa en Europa que introdujo muchos cambios en materia de protección de datos personales, e incluso tiene alcance extraterritorial. El GDPR (por sus siglas en inglés) o Reglamento Europeo puso a nuestro país en una situación incómoda, ya que al no cumplir la Ley de Argentina con los estándares que esta norma establece, la Unión Europea podría modificar su criterio y considerar que Argentina ya no es más un país con protección adecuada. De allí, la necesidad de actualizar nuestra legislación.
IV. El Proyecto de Reforma
Si bien hubo varios intentos para modificar la ley nacional, hasta el día de hoy no han prosperado y mantiene su texto original del año 2000, aunque la autoridad de aplicación (Agencia de Acceso a la Información Pública o la “Autoridad”) ha dictado normas complementarias y reglamentarias para intentar modernizar los criterios aplicables a los datos personales.
En los últimos meses se han presentado dos proyectos de ley en el Congreso de la Nación que proponen actualizar la Ley de Argentina y que actualmente se encuentran en trámite parlamentario. A los fines del presente trabajo, vamos a analizar la propuesta presentada por la diputada Banfi del Bloque UCR7: el Proyecto de Reforma. Dentro de los fundamentos del Proyecto de Reforma, se reconoce que la Ley de Argentina ha quedado desactualizada en virtud de los avances tecnológicos y normativos. Asimismo, se reconoce la importancia de que Argentina continúe manteniendo su calificación de país adecuado, ya que ello implica “nuevas posibilidades de innovación e inversión en nuestro país”. Algunas novedades que trae el Proyecto de Reforma son:
Se modifica la definición de dato personal, protegiendo únicamente a personas humanas. Al respecto, la Ley de Argentina protege por igual a los datos personales de personas jurídicas (empresas). Esta modificación se encuentra en línea con los parámetros internacionales. 8
Se incorporan nuevas definiciones. Conceptos que no estaban definidos en la Ley de Argentina pero sí en el Reglamento Europeo, se suman en el Proyecto de Reforma, tales como: datos biométricos, datos genéticos, e incidente de seguridad.
Se elimina el principio de legalidad. La Ley de Argentina establece que toda base de datos personales tiene que ser registrada ante el Registro Nacional de Base de Datos. Es una suerte de declaración jurada sobre la existencia y el contenido de la base de datos, pero en la práctica carece de sentido porque el hecho de contar con una base registrada no implica el cumplimiento del resto de las obligaciones que surgen de la normativa.
Se incorpora el principio de responsabilidad proactiva. Este principio no se encuentra actualmente en la Ley de Argentina. Refiere a la importancia de la tenencia responsable de los datos personales y a las medidas que efectivamente se toman para lograrlo.
Se flexibiliza el alcance de persona determinable. El Proyecto de Reforma reproduce en este sentido lo establecido mediante la Disposición 4/2019 de la Autoridad, en cuanto establece que no será considerada persona determinable cuando, para lograr su identificación, se requiera la aplicación de medidas o plazos desproporcionados o inviables.
Se incorpora la posibilidad de que el consentimiento sea tácito, con excepción de los datos sensibles. En la Ley de Argentina no se permite en ningún caso el consentimiento tácito, siempre debe ser expreso. Esta exigencia ya no es compatible con los nuevos estándares internacionales.. El Proyecto de Reforma admite que el consentimiento sea tácito cuando se cumplan estos tres requisitos:
(i) el titular de los datos, teniendo en cuenta el contexto y su conducta, demuestra que está dando su autorización;
(ii) los datos requeridos tienen que ser necesarios para la finalidad determinada de la recolección, y
(iii) se informe antes de la recolección de los datos, cierta información obligatoria tal como, la finalidad de la recolección, los datos identificatorios de la empresa a la que se están brindando los datos, los derechos que le asisten al titular de los datos (revocar el consentimiento, obtener el acceso a mis datos personales, solicitar que se actualicen o rectifiquen, solicitar que se eliminen, entre otros) y cómo hacer para hacerlos valer.
Con respecto a los datos personales sensibles, aclaramos que esta categoría se refiere a aquellos datos susceptibles de generar discriminación por motivos de raza, religión, orientación sexual, pensamiento político, etc.
Interés legítimo como una excepción al consentimiento. El Proyecto de Reforma establece que el tratamiento de datos será lícito cuando sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos del titular de los datos, en particular cuando el titular sea un niño, niña o adolescente. Asimismo, se aclara que no será válido en caso de tratamiento de datos por autoridades públicas.
Se incorpora el derecho a la portabilidad. Este derecho no se encuentra actualmente contemplado en la ley nacional. Implica la posibilidad de que el titular de los datos pueda solicitar que sus datos personales se transfieran, cuando sea técnicamente posible, directamente de responsable a responsable .
Parámetros especiales para niños, niñas y adolescentes. En la Ley de Argentina no existe ninguna mención especial a los datos personales de este grupo. El Proyecto de Reforma establece que es válido el consentimiento de un niño, niña o adolescente mayor de 13 años, cuando se aplique al tratamiento de datos vinculados a la utilización de servicios específicamente diseñados o aptos para ellos. Si son menores de 13 años, tal tratamiento únicamente se considera lícito si el consentimiento fue otorgado por el titular de la responsabilidad parental o tutela sobre el niño/a, y solo en la medida en que se dio o autorizó.
Obligación de notificar un incidente de seguridad. La ley nacional no tiene esta obligación9, que sí se encuentra en la normativa más actual. Se establece la obligación, ante un incidente de seguridad de las bases de datos personales, de notificar a la Autoridad en un plazo de 72 horas de ocurrido el hecho. Asimismo, establece la obligación de notificar a los titulares de los datos personales “cuando sea probable que entrañe altos riesgos a sus derechos.”
Se autoriza la transferencia internacional de datos personales dentro de un mismo grupo económico. La Ley de Argentina no contempla esta posibilidad. El Proyecto de Reforma plantea la posibilidad de que los datos puedan ser transferidos de Argentina a otro país, se trata de dos empresas de un mismo grupo económico. El único requisito que se exige es que los datos sean utilizados con una finalidad compatible con la que la primera empresa los recolectó.
V. A modo de cierre
En estos veinte años desde que se sancionó la Ley de Argentina, hay un aspecto que fue a un paso mucho más lento que el avance de internet y las nuevas tecnologías: la cultura argentina en materia de protección de datos personales. En ese sentido, queda muchísimo camino por recorrer.
Son innegables los esfuerzos que ha puesto la Autoridad por intentar mantener los criterios de protección en materia de datos personales en los estándares internacionales. Sin embargo, lamentablemente, la normativa reglamentaria y complementaria que pueda dictar la Autoridad no suplen la necesidad de actualizar la Ley de Argentina. Por su parte, la falta de actualización de la ley nacional queda en evidencia a nivel regional, ya que países vecinos (como Brasil), han elevado su normativa a los estándares europeos, dejando a Argentina en clara desventaja a la hora de hacer negocios con el mundo.
Consideramos que el Proyecto de Reforma, con sus aciertos y desaciertos, cuenta con potencial para abrir el diálogo democrático que permita la participación de los distintos actores sociales y finalmente, una nueva ley argentina que contemple la protección más adecuada a nuestros tiempos.
Citas
1 Artículo 2° Ley 25.236
2 “Las acciones privadas de los hombres que de ningún modo ofendan al orden y a la moral pública, ni perjudiquen a un tercero, están sólo reservadas a Dios, y exentas de la autoridad de los magistrados. Ningún habitante de la Nación será obligado a hacer lo que no manda la ley, ni privado de lo que ella no prohíbe”. (Artículo 19° Constitución Nacional)
3 (...) Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las fuentes de información periodística (...) (Artículo 43° Constitución Nacional)
4 Dentro de los tratados internacionales que reconocen expresamente el derecho a la intimidad se encuentran el Pacto Internacional de Derechos Civiles y Políticos (art. 17 inc. 1) y el Pacto de San José de Costa Rica (arts. 11 y 13)
5 Corte Suprema de Justicia de la Nación, “Ponzetti de Balbín, Indalia c/ Editorial Atlántida, S.A” Sentencia de fecha 11/12/1984.
6 Decisión 2003/490 EC, año 2003
7 El proyecto de la UCR fue presentado el día 17 de noviembre de 2020 ante la Cámara de Diputados y se encuentra disponible en Disponible en https://www4.hcdn.gob.ar/dependencias/dsecretaria/Periodo2020/PDF2020/TP2020/6234-D-2020.pdf. Unos días después, el senador Mera (Frente para Todos) presentó un proyecto de ley que guarda ciertas similitudes y diferencias con respecto al proyecto de la UCR y cuyo texto se encuentra publicado en https://www.senado.gob.ar/parlamentario/comisiones/verExp/2986.20/S/PL
8 En el marco del derecho internacional, la Corte IDH mediante la Opinión Consultiva OC - 22/16, ha sostenido que las personas de existencia ideal no son sujetos titulares de derechos humanos.
9 En el ámbito internacional, en el año 2019 Argentina suscribió el “Convenio 108+” que en su art. 7 establece en determinadas circunstancias la obligación de notificar a los órganos de control. Sin embargo, dicha obligación no se encuentra vigente en Argentina, en tanto el tratado nunca fue aprobado por el Congreso de la Nación, conforme lo establece la Constitución Nacional.
Opinión
Barreiro
opinión
ver todosPASBBA
NORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law