El pasado 30 de junio ingresó a la Cámara de Diputados el Proyecto de Ley de Protección de Datos Personales. Enviado por el Poder Ejecutivo Nacional, propone la actualización de la Ley 25.326, sancionada en octubre de 2000. Cinco de los 83 artículos fueron incorporados a partir de los resultados del proceso de participación a través de 11 mesas de diálogo y la consulta pública realizada entre septiembre y octubre de 2022.

El proyecto enviado al Congreso incorpora estándares internacionales, fundamentalmente del Reglamento Europeo de Protección de Datos Personales. Toma en cuenta el Convenio 108 (nació en el Consejo de Europa en 1981, con la intención de estandarizar el tratamiento de datos entre distintas agencias nacionales) y su versión modernizada (Convenio 108+, avalado por Argentina a fines de 2022 y referenciado en Convergencia Telemática Nº 324), así como la Recomendación sobre la ética de la inteligencia artificial de la Unesco (Nº67.300).

El cambio fundamental respecto de la ley sancionada en 2000 es pasar de la protección de los datos a garantizar el derecho de las personas a la protección de sus datos personales y la autodeterminación informativa desde una perspectiva de los derechos humanos. Entre las modificaciones se destacan: la definición de datos sensibles, el principio de extraterritorialidad, las figuras de “Responsable” y “Encargado” y modificaciones en cuanto a las sanciones.

Extraterritorialidad. El artículo 4 del proyecto establece el ámbito de aplicación extraterritorial de la norma. La ley aplicará tanto si el Responsable o Encargado del tratamiento está establecido en el territorio nacional -aunque el tratamiento sea fuera del mismo- como en el caso en el que estas figuras no se encuentren en Argentina pero realicen tratamiento de datos en su territorio, efectúen actividades de tratamiento relacionadas con la oferta de bienes o servicios a personas que sí se encuentran en él. En este punto, el proyecto establece la figura del representante para el caso de las empresas que no tienen sede en el país.

Responsables. Las figuras de Responsable y Encargado de tratamiento fueron incorporadas mediante los artículos 36 y 48, los define y establece sus obligaciones. El primero es aquel que decide sobre la finalidad y el tratamiento de los datos personales. Por su parte, el segundo es quien trate los datos por cuenta del Responsable.

Con base en la regulación europea, se establece en el artículo 12, el principio a la responsabilidad proactiva y demostrada. Esto traslada la carga de la prueba al Responsable y al Encargado, ya que son ellos los que deben adoptar medidas para demostrar en cualquier momento que cumplen con la normativa. Aquel que procesa los datos es quien tiene que asegurarse, a lo largo del ciclo de vida de éstos, contar con la documentación para poder demostrar que está cumpliendo con los principios y garantías de la ley. Eso obliga a las empresas y los organismos públicos a crear un área o asignar la responsabilidad a una persona y que todo se encuentre procedimentalizado.

Protección de la niñez. El proyecto contempla un artículo orientado a la protección de niños, niñas y adolescentes. Lo hace de acuerdo con lo establecido por la Convención sobre los Derechos del Niño (Ley 23.849) y los instrumentos internacionales a los que el país adhiere.

El Artículo 19 establece que es válido el consentimiento para el tratamiento de los datos a partir de los 16 años. Esto fue modificado tras las consultas públicas, siendo antes 13 la edad límite.

En los casos en los que no se alcance la edad de 13 años, quien posea la responsabilidad parental debe otorgar el consentimiento para que se considere lícito, siendo el Responsable el que deba arbitrar los procesos de verificación.

Sanciones. El artículo 61 determina las sanciones que pueden recibir tanto los Responsables y Encargados de tratamiento, como sus representantes.

La autoridad de aplicación (la Agencia de Acceso a la Información Pública, AAIP) puede utilizar apercibimientos, multas, suspensión de las actividades relacionadas con el tratamiento de los datos personales o bien determinar el cierre parcial o definitivo de las operaciones.

Se establecen dos modalidades de multas, actualizando los valores respecto de la ley sancionada en el 2000 a través las unidades móviles, que oscilan entre las cinco y un millón con un valor inicial de $10.000 actualizable según el IPC, o con un porcentaje de la facturación total anual global del ejercicio financiero anterior, que puede ir desde el 2% hasta el 4%.

Datos sensibles. Respecto de la ley actual amplía la definición de datos sensibles y agrega los datos relativos a discapacidad, orientación sexual, identidad de género y los datos genéticos o biométricos. Además, “plantea que cualquier dato que pueda resultar discriminatorio o potencialmente discriminatorio se va a considerar eventualmente como un dato sensible”, explicó Juan Pablo Altmark, presidente de la Asociación Latinoamericana de Privacidad (ALAP) a Convergencia.

Nuevos derechos. El proyecto incorpora el concepto de oposición. El artículo 29 permite que cualquier persona pueda oponerse al tratamiento de sus datos personales si no ha prestado su consentimiento.

Por otro lado, el artículo 31 establece que las personas tienen derecho a no estar sujetas a decisiones tomadas única o parcialmente en el tratamiento automatizado de los datos en los casos en los que éste pueda generar efectos jurídicos perniciosos o discriminatorios. Y en el caso que así fuera, la persona tiene derecho a obtener la revisión de una persona humana.

El artículo 33 brinda la posibilidad de solicitar la limitación del tratamiento de sus datos personales cuando se cumplan ciertas condiciones establecidas en la propia norma. Por ejemplo, si la persona titular de los datos impugna la exactitud de los datos personales, durante un plazo que permita al Responsable de tratamiento verificar la exactitud de los mismos; o si el tratamiento es ilícito y la persona interesada se opone a la supresión de los datos personales y solicita en su lugar la limitación de su uso.

Cuestionamientos. Desde la Agencia de Acceso a la Información Pública (AAIP), el órgano creado mediante la resolución PGN N° 2757/17 que será la autoridad de aplicación en caso de sancionarse la nueva norma, recalcaron que el proceso fue participativo y abierto. A su vez, las fuentes consultadas por Convergencia destacaron justamente lo participativo, pero criticaron los tiempos dados. De hecho, en una carta enviada al diputado Germán Martínez, presidente del Interbloque Frente de Todos, a finales de abril de este año, el presidente de la Cámara Argentina de Internet (Cabase), Ariel Graizer, solicitó la apertura de nuevas instancias de discusión del proyecto propuesto.

En ese mismo texto, la asociación advierte que no se han tenido en cuenta las principales contribuciones realizadas tanto por Cabase como por otras cámaras y asociaciones empresarias de la economía digital y del sector TIC. Ese planteo fue reforzado en una nota presentada ante diputados y senadores a comienzos de agosto. La misma fue firmada por trece organizaciones, entre las que también se encuentran Cicomra y Argencon.

Entre los puntos que solicitan que sean considerados de manera prioritaria, el más resonante es el relacionado con las sanciones. Criticaron la imposición de la multa con base a la facturación global de la compañía, calificándola como “excesiva y desproporcionada”. Esteban Lescano, director de la Comisión de Asuntos Legales y Políticas Públicas de Cabase, advirtió que una amenaza de sanción tan grande puede generar un efecto inhibitorio en las empresas a la hora tomar la decisión de ofrecer un producto o servicio. A su vez, esas mismas compañías podrían decidir bloquear la oferta en el país.

Si bien ese valor porcentual fue tomado de la normativa europea, aparece como un punto crítico entre los expertos consultados por Convergencia, que entienden que es un riesgo muy alto en un mercado tan acotado como el argentino.

“Corrigieron el error inicial de nuestra norma de establecer el monto fijo en la ley, pero creo que debería tener relación con el mercado que implica Argentina para los grandes procesadores de datos”, resaltó el presidente de ALAP.

Por otro lado, desde Cabase indicaron que el derecho de oposición tal cual está redactado prejuzga la actividad publicitaria como intrusiva y posee un sesgo negativo sobre la misma, desconociendo la importancia que posee para las pequeñas y medianas empresas locales para llegar a potenciales clientes y expandir sus negocios. “Es justamente la publicidad la que permite que ciertos servicios digitales estén ofrecidos de manera gratuita. Entonces, ese capítulo hay que revisarlo con cuidado de no generar barreras a la actividad publicitaria digital”, agregó Lescano.

En cuanto a la incorporación de las figuras de Responsable y Encargado, Lescano indicó que aparece en el texto del proyecto una distinción conceptual pero que se generan obligaciones en el Encargado que son propias del Responsable. Según su parecer, esto podría complicar la prestación en los servicios cloud, por poner un ejemplo, en los que se delega el tratamiento de los datos en otro actor distinto al que los obtuvo.

Otro de los cuestionamientos, tiene que ver con la figura del representante. Desde Cabase advirtieron que es contrario a la naturaleza global e interconectada de internet. Señalaron que esto podría actuar como una barrera de acceso al mercado para los servicios que se prestan desde el extranjero, teniendo en cuenta los costos que podría tener cumplir con la normativa local.

Por su parte, Altmark también cuestionó este punto, señalando que establece un riesgo muy alto ante las sanciones que pueden recaer sobre el representante. “Creo que es una cláusula que si queda así, va a ser una cláusula muerta”, reflexionó.

Contrariamente, la titular de AAIP, Beatriz Anchorena, en el marco del Plenario de las comisiones de Asuntos Constitucionales y Legislación General de la Cámara de Diputados, que dio inicio al tratamiento en comisión, destacó la importancia que tiene esta figura con relación al criterio de extraterritorial.

Por último, Cabase cuestionó la falta de una definición precisa de las “decisiones automatizadas” en el artículo 31, señalando que podría abarcar una amplia variedad de tecnologías. Propusieron que el proyecto sea más estricto en este punto para evitar así sofocar el desarrollo y uso de herramientas socialmente beneficiosas y de bajo riesgo.

En contraposición, Anchorena destacó el uso de este término frente al de “Inteligencia Artificial”, sobre la base de la neutralidad tecnológica. Señaló que el proyecto está basado en principios generales para el tratamiento de datos y que posee un lenguaje tecnológico neutro, lo que permitirá que la regulación, en caso de ser aprobada, sea adaptable a los cambios tecnológicos y se mantenga vigente más allá de los mismos. “Esta Ley y sus normas reglamentarias se aplican a cualquier tratamiento de datos personales, con independencia de las técnicas, procesos o tecnologías -actuales o futuras- que se utilicen para dicho efecto”, sintetiza el artículo 5 del proyecto.

Tras el ingreso del proyecto al Congreso en junio último, comenzó a ser debatido en comisiones de la Cámara de Diputados (Asuntos Constitucionales, Legislación General y Presupuesto y Hacienda).

Las comisiones tienen tiempo para dictaminar hasta el 20 de noviembre próximo, aunque por lo que pudo saber Convergencia, se advierte como "difícil" su tratamiento a la brevedad en el pleno de la Cámara Baja.