Buscan reformar la Ley 25.326 con un anteproyecto que está siendo analizado en una instancia legal y técnica. El próximo paso: el Congreso. ¿Qué hay de nuevo? ¿Cómo se inspira en el modelo europeo?
A nivel local, se espera la actualización de la vigente Ley 25.326 de Protección de Datos Personales, sancionada y promulgada en el año 2.000. Fue pensada en un mundo con una joven internet, en otra coyuntura respecto del tratamiento y procesamiento de datos personales.
18 años atrás, no se concebían amenazas ni vulneraciones posibles en materia de datos, como las que conocemos hoy. Tampoco se hablaba de Big Data, Data mining (minería de datos) o cloud computing (computación en la nube).
De alguna forma, ¿el GDPR vino a despertar a las legislaciones? Tal vez sea un incentivo o motor para acelerar los cambios que, en el caso de la Argentina, se vienen pensando hace dos años.
El futuro de los datos, en un anteproyecto
Durante 2016, la Agencia de Acceso a la Información Pública (AAIP), en ese entonces denominada Dirección Nacional de Protección de Datos Personales (DNPDP), impulsó un proceso de reflexión respecto de la necesidad de reformar la Ley 25.326 de Protección de Datos Personales.
Así, creó una plataforma colaborativa abierta al sector público, privado y académico, para que los diferentes referentes expusieran los cambios a ser considerados en la Ley. El fruto de estos intercambios es la redacción de un anteproyecto de reforma de ley, que tiene dos versiones, la última es de febrero de 2017.
Todo el trabajo se enmarcó dentro de un proceso que se denominó «Justicia 2020», el sitio de participación ciudadana del Ministerio de Justicia y Derechos Humanos de la Nación.
«Si queremos adaptar nuestra regulación al GDPR, es importante actualizar nuestro ordenamiento interno. La clave es tratar de avanzar sobre cambios regulatorios que permitan ser considerados un país de legislación adecuada, para facilitar los intercambios de información. Ahora, legislación adecuada es respetar principios generales, no un cortar y pegar del nuevo reglamento europeo», señala a Infobae Eduardo Bertoni, director de la AAIP.
Continúa: «La nueva regulación europea aumenta las herramientas para proteger los datos personales. Para dar una guía a esta actualización, las autoridades de protección de datos de los países iberoamericanos aprobaron el año pasado los Estándares Iberoamericanos de Protección de Datos Personales».
Estos estándares tienen como objetivo convertirse en un marco de referencia para la homogeneización de las regulaciones sobre protección de datos personales en la región. Sirvieron como fuente para la elaboración del anteproyecto que propone reformar la Ley 25.326.
El anteproyecto, cerca del Congreso
Desde AAIP señalan a Infobae que el anteproyecto no es fruto del GDPR, sino que es un proceso paralelo. Actualmente, se encuentra en estudio de Legal y Técnica, para luego, llegar al Congreso.
«Hace más de una década y media, no existían las técnicas de procesamiento y tratamiento de datos, puestas en práctica por las empresas que, muchas veces, conllevan abusos que vulneran los derechos de autodeterminación informativa, privacidad, confidencialidad, entre otros tipos de derechos», señala Johanna Faliero, abogada en Derecho Empresarial y Privado, especialista en Derecho Informático.
Durante unas charlas de debate organizadas por NIC Argentina, sobre los desafíos en la protección de datos en la Argentina frente al nuevo GDPR, expuso algunas ideas y luego conversó con Infobae. Respecto de las prácticas abusivas a las que se refiere, dice: «Deberían ser erradicadas, o al menos prevenidas desde el punto de vista jurídico. Y para ello sirven las normas, y por eso en la Argentina debería cambiar nuestra regulación».
¿Cuáles son los principales cambios que plantea el anteproyecto para actualizar la Ley de Protección de Datos Personales?
Delegados, como en el GDPR
El anteproyecto de reforma de la Ley de Datos Personales incorpora el deber de notificación de incidentes en materia de seguridad y comunicación de los éstos.
«Siguiendo con la línea del GDPR, incorpora el rol de un delegado en materia de protección de datos y de la realización de estudios de impacto en materia de procesamiento de datos», explica Faliero.
Por su parte, el abogado Pablo Palazzi, Director del Centro de Estudios de Tecnología y Sociedad de la Universidad de San Andrés y socio del estudio Allende & Brea, explica a Infobae que la figura del delegado será obligatoria para algunas empresas, sin especificar aun, cuáles.
Consentimiento «mixto»
«El anteproyecto ha receptado, en parte, las modificaciones que uno ha visto en el Nuevo Reglamento y Directiva europea, sin perjuicio de lo cual, una de las diferencias fundamentales entre uno y otro, es, en primer lugar, el sistema de consentimiento», expresa Faliero.
El GDPR se enfoca en la idea de un consentimiento expreso e informado por parte del titular de los datos. Éste debe saber qué se hace con sus datos. «En oposición a esto, nuestra redacción del anteproyecto, recepta un sistema de consentimiento «mixto» porque admite tanto el consentimiento expreso como tácito», dice a abogada.
¿A qué se refiere con «tácito»? Palazzi lo explica fácilmente: «Lo del consentimiento tácito, uno lo lee y se asusta. Pero es bastante lógico, vos navegas por internet, entrás a una página y hay una política de privacidad. La lees y usas 10 minutos para entender qué es lo que consentís, o seguís adelante en el sitio».
Entonces, el consentimiento tácito es «blanquear» o dar por entendido que cuando un usuario navega en internet, acepta muchas de estas condiciones. «Es discutible para algunos pero si das consentimiento expreso y nada más, no podrías hacer nada en la vida, sin consentir y firmar un papelito», añade.
No hay Derecho al Olvido
La redacción del anteproyecto de reforma de la ley de Datos Personales no incorpora el Derecho al Olvido, contemplado en el GDPR. Éste permite que un usuario solicite la eliminación (desindexación) de sus datos personales por diferentes motivos.
«En este sentido, el Reglamento Europeo sí admite que, por ejemplo, una empresa de carácter privado remueva preventivamente un contenido, realice la supresión de contenidos en virtud del ejercicio del derecho al olvido por solicitud del particular», señala Faliero.
En la Argentina, en términos generales, estamos lejos de eso. «Siempre hemos ponderado el tema de la libertad de expresión, la libre circulación de las ideas y la prohibición de la censura previa. Como país, es predecible que no receptemos la idea de que un particular, llámese empresa o cualquier otra, ante el mero aviso de otro particular, ante una potencial afectación, remueva un dato», asegura la abogada.
A pesar de no contemplar el derecho al olvido, la Ley vigente considera excepciones en donde el usuario puede solicitar que se borren contenidos falsos o inexactos, por ejemplo, a través del Artículo 16 (Derecho de rectificación, actualización y supresión).
Mientras que el Artículo 17 plantea excepciones, en donde los responsables o usuarios de bancos de datos pueden denegar el acceso, rectificación o la supresión del contenido, «en función de la protección de la defensa de la Nación, del orden y la seguridad públicos, o de la protección de los derechos e intereses de terceros».
Transferencia internacional de datos
Hoy, a través de la ley vigente, si el titular de los datos da su consentimiento, podría realizarse la transferencia internacional de sus datos, aun si fueran destinados a un país con niveles no adecuados (no seguros) de protección de datos.
El anteproyecto suma alternativas. La transferencia internacional de datos planteada, apunta a no enviar los datos personales a un país que no tenga la protección adecuada como la Argentina.
«Hay distintas condiciones para que la transferencia sea lícita: cuando haya consentimiento, cuando el país tenga el nivel adecuado de protección, cuando exista otra sociedad del mismo grupo económico a transferir, por ejemplo», explica Faliero.
«Los podrías enviar a Europa, por ejemplo, porque la UE tiene una norma parecida, pero no a un país como Estados Unidos que no tiene ley de protección de datos, ni privacidad fuerte. Pero eso se flexibiliza con un código corporativo vinculante», afirma, por su parte, Palazzi. Es decir, serviría para que una empresa con presencia global, pueda transferir datos dentro de un «radio de acción».
¿Qué sucede con los datos alojados en servidores extranjeros? «Si los datos se transfieren a una jurisdicción que la ley argentina hoy considera que no brinda adecuada protección -como es el caso de Estados Unidos-, quien transfiere los datos debe firmar con el proveedor extranjero un acuerdo de transferencia internacional de datos (Data Transfer Agreement o DTA por sus siglas en inglés)», explica a Infobae Alejandro Anderlic, Director de Legales y Asuntos Corporativos de Microsoft.
Palabras «nuevas»
El anteproyecto de reforma de la Ley de Datos Personales amplia el cúmulo de definiciones. Suma por ejemplo, términos como datos biométricos y genéticos.
«Amplia definiciones de datos sensibles, suma cloud computing, suma la materia de incidentes en seguridad de datos, entre otros puntos», señala la abogada Faliero.
Inspirados en el sistema europeo
Palazzi expresa: «La primera Ley de protección de datos de Europa tiene más de 40 años. Los europeos son reguladores por naturaleza, diferente a los americanos. Y nuestra idiosincrasia es regular».
Eduardo Ferreyra, Abogado y Analista de Políticas Públicas de la ONG ADC (Asociación por los Derechos Civiles), redactó un informe comparando el GDPR con la Ley vigente 25.326 en la Argentina. Explica que la influencia de los principios y normas del reglamento europeo se extenderá más allá de la Unión Europea.
«En ese sentido, Argentina seguramente será de las primeras en acusar su impacto. Hay dos razones principales para ello. La primera tiene que ver con que el sistema de protección de datos personales argentino está fuertemente inspirado en el modelo europeo», escribe.
La segunda es la necesidad de actualizar la Ley de Datos Personales. «El RGPD consiste en 99 artículos reunidos en 11 capítulos y cuenta con 173 considerandos que sirven como explicación de las disposiciones y eventualmente pueden servir como pautas para su interpretación», apunta.
«En forma similar, la ley argentina establece la prohibición de formar bases de datos que revelen datos sensibles. Asimismo, también dictamina que ninguna persona puede ser obligada a proporcionar datos sensibles. Sin embargo, al momento de establecer las excepciones, la ley solo se refiere a la existencia de «razones de interés general autorizadas por ley» y no contiene un listado detallado de salvedades, al estilo del Reglamento», asegura.
Puntos preocupantes
«Si bien se ha creado la Agencia de Acceso a la Información Pública, la figura más importante de esta Agencia, que es el Director, sigue siendo una figura que está atada al Poder Ejecutivo y lo deja en una posición incómoda, por más que la AAIP, en los papeles, tenga cierta autonomía», asegura a Infobae, Beatriz Busaniche, presidenta de Fundación Vía Libre y docente.
«Otra de las claúsulas problemáticas, uno de los temas más candentes en materia de protección de datos, no solo en Argentina, es el consentimiento informado de los titulares de los datos. El consentimiento tácito es un peligro, una trampa. Puede darse mediante la simple aceptación de términos de uso», expresa.
En este sentido, Busaniche manifiesta que se está «alivianando» la responsabilidad del sector público y privado, quienes elaboran bases de datos. «Se aliviana la capacidad que tiene el ciudadano de proteger sus datos», dice.
Respecto del tráfico transfronterizo de datos, manifiesta: «Habilita el tráfico de datos de subsidiarias, de empresas que toman datos aquí y tienen sus casa matrices en otros países. Esto es una claúsula muy apropiada para los negocios de las grandes empresas transnacionales que tienen en los datos personales y su cruce, el insumo principal de su negocio, los Facebook, Instagram, Google. Esta cláusula tira abajo, de algún modo, las protecciones nacionales que podemos tener de los datos personales».
Finaliza: «En la Argentina, hay un actor de peso frente al cual los ciudadanos estamos muy indefensos, que es el Estado Nacional. Cuando uno observa las flexibilidades que tiene la ley, para las fuerzas de seguridad o los servicios de inteligencia, me parece que Ley mantiene el statu quo de desprotección de los ciudadanos frente a la recolección y uso de nuestros datos personales».
Fuente: