Los derechos digitales fortalecidos: estas son las propuestas de la nueva ley de Protección de Datos Personales
Con el objetivo de modernizar la legislación vigente hace más de 20 años, el Poder Ejecutivo envió a la Cámara de Diputados un proyecto para actualizar la Ley de Protección de Datos Personales, que contiene un capítulo especial sobre la seguridad de niños y adolescentes en las plataformas web y aplicaciones y otro sobre cómo las entidades crediticias deben manejar la información, entre varias incorporaciones que se plasman a través de 83 artículos.
En los fundamentos de la iniciativa, que recibió giro a las comisiones de Asuntos Constitucionales, Legislación General y Presupuesto y Hacienda, el Gobierno nacional destacó que para la elaboración del texto se tomaron aportes de "los más recientes estándares, recomendaciones y lecciones aprendidas en nuestra región y en el mundo durante los últimos años". En ese sentido, se menciona al Reglamento General de Protección de Datos, a las Recomendaciones sobre Ética de la Inteligencia Artificial de la ONU para la UNESCO, y al Convenio 108+, al que Argentina ratificó por ley en noviembre pasado, entre otros instrumentos.
"Luego de más de 20 años, el Estado Nacional requiere actualizar su normativa en pos del fortalecimiento de las capacidades estatales de regulación y gestión de políticas públicas con el objetivo de dar respuesta a los nuevos desafíos que imponen las transformaciones tecnológicas y el desarrollo de la economía digital y, a su vez, armonizar con los estándares regionales e internacionales, desde un enfoque de derechos humanos y desde una mirada situada y soberana", sostuvo el Ejecutivo en los argumentos.
Además, explicó que el proyecto se encuadra en "tres pilares", que son: el derecho humano a la protección de los datos personales y la autodeterminación informativa; la innovación tecnológica -basada en principios éticos- que promueva un desarrollo económico inclusivo; y la construcción de confianza a través de reglas de juego claras.
Qué dice la nueva ley sobre el manejo de datos de niños y adolescentes
Un aspecto innovador del proyecto de ley es que incorpora a los menores de 18 años, sujetos no mencionados en la actual Ley 25.326, de modo tal de establecer que "se prohíbe realizar el tratamiento de datos personales de niños, niñas y adolescentes en los juegos, aplicaciones, desarrollos e innovaciones tecnológicas, u otras actividades afines que involucren información personal, más allá de lo estrictamente necesario para la realización de la actividad".
No obstante, será válido "el consentimiento de adolescentes a partir de 16 años para el tratamiento de sus datos personales". En el caso de menores de 16 años, aclara que podrán "dar su asentimiento informado, pero el tratamiento únicamente se considerará lícito si la persona titular de la responsabilidad parental o quien se encuentre a cargo de su ejercicio o de la guarda o tutela sobre la niña, el niño o adolescente otorgó el consentimiento".
También, la iniciativa dispone una tarea particular por parte del Estado y las entidades educativas, que deberán "proveer información y capacitar a niñas, niños y adolescentes sobre los eventuales riesgos a los que se enfrentan respecto del tratamiento indebido de sus datos personales, sobre el uso responsable y seguro de sus datos personales, sobre su derecho a la privacidad y a la autodeterminación informativa, y sobre el respeto de los derechos de los demás".
Cómo deben manejar la información los bancos y financieras
Uno de los capítulos del proyecto regula en particular la protección de datos de información crediticia del sector financiero y no financiero. "En la prestación de servicios de información crediticia sólo pueden tratarse datos personales de carácter patrimonial relativos a la solvencia económica y al crédito cuando se cuente con una base legal", estipula el texto.
En otro artículo, se establece como prohibición a las empresas prestadoras de servicios de información crediticia "el tratamiento de datos de parientes de la persona titular de los datos, exceptuando el supuesto de quienes participen dentro de una misma sociedad comercial".
Sobre el plazo de conservación de la información crediticia, se determina que "solo se pueden tratar datos personales que sean significativos para evaluar la solvencia económico financiera durante los últimos 5 años" y este tiempo se reducirá a 2 años "si el deudor cancela o extingue la obligación, a contar a partir de la fecha precisa en que lo ha hecho, y esto debe constar en el informe crediticio".
Multas actualizadas por inflación
Además de actualizar lo referido a las sanciones, en relación a las multas, la iniciativa incorpora una unidad móvil sujeta a la variación del Índice de Precios al Consumidor (IPC) y eleva los montos sustantivamente. "Es importante resaltar que la Ley 25.326, sancionada en el año 2000, en su artículo 31 contiene multas de $1.000 a $100.000, montos que no se han actualizado a pesar de que han transcurrido más de 20 años", remarcó el Ejecutivo.
En el proyecto se plantea un valor inicial de la unidad móvil de $10.000, que deberá actualizarse anualmente según el índice de inflación publicado por el INDEC. Las nuevas multas irán desde las cinco unidades móviles hasta un millón; o desde el 2% al 4% de la facturación total anual global del infractor en el ejercicio financiero anterior a la aplicación de la sanción.
Protección de datos personales: otros aspectos del proyecto
- Establece que se debe interpretar armónicamente el derecho a la protección de datos personales con el derecho a la libertad de expresión, el acceso a la información pública y el proceso de Memoria, Verdad y Justicia frente a crímenes de lesa humanidad, de conformidad con la normativa vigente en la materia.
- En ningún caso se puede afectar el secreto de las fuentes de información periodística. Sin perjuicio del secreto de la fuente de información periodística, todo otro tratamiento de los datos personales en el marco de esta actividad se encuentra alcanzado por la ley.
- Queda exceptuado de los alcances de la ley el tratamiento de datos que efectúe una persona humana para su uso exclusivamente privado o de su grupo familiar y, por tanto, sin conexión alguna con una actividad profesional o comercial.
- Los datos personales deben ser tratados de manera lícita, leal y transparente.
- Los datos personales deben ser recogidos con fines determinados, explícitos y legítimos, y no deben ser tratados de manera incompatible.
- Los datos personales deben ser tratados de manera que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que fueron recolectados.
- Los datos personales no deben ser mantenidos más allá del tiempo estrictamente necesario para el cumplimiento de la finalidad del tratamiento. Pueden conservarse durante períodos más largos siempre que se trate exclusivamente de fines estadísticos, de archivo en interés público, de investigación científica o histórica, sin perjuicio de la aplicación de las medidas técnicas y organizativas.
- En el caso en que la base legal para el tratamiento de datos sea el consentimiento de la persona titular de los datos, se requiere que este sea expreso, previo, libre, específico, informado e inequívoco, para una o varias finalidades determinadas, ya sea mediante una declaración o una clara acción afirmativa.
- En el tratamiento de datos sensibles se debe implementar la responsabilidad reforzada que implica, entre otras características, mayores niveles de seguridad, confidencialidad, restricciones de acceso, uso y circulación.
- Se incorpora el principio de extraterritorialidad que establece que la normativa se aplicará en distintos supuestos, aún cuando los responsables de tratamiento de datos no se encuentren en territorio nacional.
- Los titulares de los datos tendrán el derecho a saber si se están tratando sus datos personales, figurando allí el derecho de acceso, el derecho de rectificación, el derecho de oposición y el derecho de supresión. El proyecto, además, incorpora el derecho a limitación y el derecho sobre las decisiones automatizadas y la elaboración de perfiles.
- Se crea la figura del "Delegado de Protección de Datos" y el Registro Nacional para la Protección de los Datos Personales.