PDP Revista Uruguaya de Protección de Datos Personales
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
R E V I STA
PDP
Revista Uruguaya
de Protección
de Datos
Personales
NÚMERO 4 - agosto, 2019
DOCTRINA DICTÁMENES
CARLA BARBOZA
EDUARDO BERTONI / SOFÍA DOMÍNGUEZ BARANDICA
NOTA DE INTERÉS
GRAHAM GREENLEAF
ACTUALIZACIÓN DE LA NORMATIVA EN MATERIA
DARA HALLINAN
DE PROTECCIÓN DE DATOS PERSONALES
JUAN ANTONIO TRAVIESO
FERNANDO VARGAS
ENTREVISTA
CONVENIO 108 Y TEXTO EXPLICATIVO CONSEJO EJECUTIVO URCDPPág. 3
DOCTRINA
ÍN
CARLA BARBOZA
Pág. 4
LA PROTECCIÓN DE DATOS
PERSONALES EN EL MARCO DE
DI
LA ACTIVIDAD EMPRESARIAL; UNA
VISIÓN PRÁCTICA
EDUARDO BERTONI
SOFÍA DOMÍNGUEZ BARANDICA
HACIA UNA NUEVA LEY DE
CE Pág. 11
PROTECCIÓN DE LOS DATOS
PERSONALES EN ARGENTINA
GRAHAM GREENLEAF
ASIA’S DATA
Pág. 17
PRIVACY DILEMMAS, 2014-19:
NATIONAL DIVERGENCES, CROSS-
BORDER GRIDLOCK
DARA HALLINAN
RIGHTS AND FREEDOMS IN
Pág.42
THE GDPR: AN OVERLOOKED
SUBSTANTIVE NOVELTY
Pág. 68
CONVENIO 108
JUAN ANTONIO TRAVIESO
Pág. 52
DESPROTECCIÓN DE DATOS
PERSONALES. LA SALIDA DEL
PRECIPICIO POR UN CAMINO
VIRTUOSO
Pág. 106 FERNANDO VARGAS
DICTÁMENES
Pág. 60
EL ENCARGADO DEL TRATAMIENTO
DE DATOS PERSONALES
EN EL DERECHO URUGUAYO
Pág. 122
NOTA DE Pág. 130
INTERÉS ENTREVISTA
ACTUALIZACIÓN DE LA NORMATIVA
EN MATERIA DE PROTECCIÓN
DE DATOS PERSONALES Consejo Ejecutivo
URCDPPRÓLOGO
Con gran satisfacción tengo el honor de presentar la cuarta edición de la
Revista Uruguaya de Protección de Datos Personales que publica anualmente
la Unidad Reguladora y de Control de Datos Personales.
El propósito de la Revista es hacer llegar a nuestros lectores el estado de situación de la
protección de datos personales en Uruguay y en el resto del mundo. Por ello se congregan
especialistas locales e internacionales, que aportan conocimientos, experiencias y miradas
complementarias que tienen su punto de encuentro en estas páginas.
Los tiempos cambian y la realidad con ellos. Cuando hace diez años se constituía la
Unidad Reguladora y de Control de Datos Personales, el ranking de las diez mayores
compañías globales estaba dominado por empresas dedicadas al rubro “petróleo y gas”
y en la actualidad lo está por empresas de tecnología que tienen como principal foco de
su negocio el tratamiento de datos personales. Esto ratifica que la frase “los datos son el
petróleo del siglo XXI” no es una ingeniosa metáfora, sino una realidad constatable.
Si hace una década el legislador entendió conveniente regular los datos personales, cuánto
más urgente se vuelve hoy con una situación global de semejante escala. Ante ella surgen
algunas preguntas inevitables. ¿Cuál es la realidad a la que nos enfrentamos hoy? ¿Son
apropiadas las mismas herramientas jurídicas e institucionales para la realidad actual?
¿Qué acciones ha tomado nuestra república para adecuarse a los cambios experimentados?
¿Cuáles son los modelos seguidos en las distintas regiones del mundo? ¿Cuáles son los
principales paradigmas actuales?
Estas y otras preguntas encuentran respuesta o abren nuevos caminos para reflexionar
sobre estos temas en las páginas que siguen. Invito al lector a entrar en ellas con
inquietud y sentido crítico, ya que si logramos despertar la curiosidad y el involucramiento
en este tema habremos logrado nuestro propósito.
La dignidad humana está en juego y la defensa del derecho a la protección de datos
personales no admite el camino de la autocomplacencia sino el de cuestionarse cada paso
con la mayor amplitud de pensamiento.
MAG. FEDERICO MONTEVERDECARLA
BARBOZA
EDUARDO
BERTONI
DOC
SOFÍA
DOMÍNGUEZ
BARANDICA
TRI GRAHAM
GREENLEAF
NA DARA
HALLINAN
JUAN ANTONIO
TRAVIESO
FERNANDO
VARGASDOCTRINA
REVISTA PDP | Revista Uruguaya de Protección de Datos Personales LA PROTECCIÓN DE DATOS PERSONALES EN EL MARCO DE LA ACTIVIDAD EMPRESARIAL; UNA VISIÓN PRÁCTICA
RESUMEN como consecuencia de la misma, es la finalidad
con la cual los datos van a ser utilizados.
LA PROTECCIÓN DE La autora releva distintas prácticas de las empre-
sas privadas que procuran dar cumplimiento de
Definir de antemano la finalidad con la que se van
DATOS PERSONALES
a tratar los datos recolectados, es una tarea que no
la normativa de protección de datos personales. puede dejarse pendiente. Sobre todo por la rele-
EN EL MARCO
Centra además buena parte del análisis en las hi- vancia que lo anterior tiene para identificar y dis-
pótesis de transferencias internacionales de datos, tinguir en qué base de datos se van a incorporar (o
DE LA ACTIVIDAD
para finalizar con consideraciones relacionadas si corresponde la creación de una base nueva), y en
con la actualización de la normativa nacional en la el cumplimento de otros principios directamente
EMPRESARIAL;
materia y sus impactos. relacionados, como los de proporcionalidad, mi-
nimización y privacidad por diseño y por defecto.
una visión práctica ---------- El principio de finalidad está especialmente con-
sagrado en nuestra legislación1 estableciendo que
En el presente artículo abordaremos los aspectos “Los datos objeto de tratamiento no podrán ser utili-
prácticos relacionados con la implementación y zados para finalidades distintas o incompatibles con
cumplimiento de la normativa de protección de aquellas que motivaron su obtención…”.
datos personales, en el marco de las actividades
habituales de las compañías privadas en Uruguay. En base a lo anterior, se deberán considerar tan-
Analizaremos las distintas figuras en las que una tas bases de datos como finalidades tenga el trata-
compañía puede actuar, distinguiendo las obliga- miento de los datos recolectados. A modo de ejem-
ciones y responsabilidades según realice el trata- plo, todos los datos que se recopilen con relación
miento de los datos en calidad de responsable de o en ocasión de una relación de trabajo, se van a
la base de datos, o de encargado de tratamiento. incorporar a una base de datos que tendrá como
finalidad administrar las distintas etapas y aspec-
CARLA IMPORTANCIA DEL TEMA
tos de esa relación de trabajo, con independencia
BARBOZA
de los medios, el momento y los soportes en lo que
los datos se recopilen y/o registren.
Este asunto reviste especial importancia cuando
nos situamos en el marco de una compañía na- Siguiendo con lo anterior y con otros ejemplos,
Carla Barboza es actualmente Head of Government Relations en Argentina, Paraguay y Uruguay para Equifax. cional o multinacional, cuyas actividades implican nuestra normativa regula a los “Datos Especial-
el procesamiento de bases de datos propias y/o de mente Protegidos”2, identificando dentro de esta
Anteriormente fue Directora de Asuntos Legales para Equifax Uruguay desde 2016.
terceros, sobre todo en el actual contexto de desa- categoría a los datos de naturaleza sensible, de
Dirigió, y participó en las Áreas Legales de los proyectos industriales (celulosa, energía, y terminales portuarias) salud, telecomunicaciones, publicidad, y actividad
rrollo tecnológico y transformación digital.
más relevantes de los últimos 15 años en Uruguay. comercial y crediticia.
Considerando el marco regulatorio vigente en
Fue Gerente de Sostenibilidad de ARPEL (Asociación de Empresas de Petróleo y Gas de América Latina y el Caribe) Cada una de esas finalidades, implicará la creación
Uruguay ya hace más de 10 años y en particular, la
durante 2013 y 2014. profundización de la normativa que en línea con el de distintas bases de datos, para las que regirán
Es Abogada graduada en la Universidad de Montevideo, Uruguay. Ha realizado cursos de especialización en Nuevo Reglamento Europeo entró en vigencia este diferentes aspectos específicos en materia de: tipo
año, los desafíos – y también las oportunidades- de datos personales a recolectar (campos de la
gerenciamiento de proyectos y estrategias de sostenibilidad corporativa, así como de posgrados en derecho
no son menores tanto para los regulados como base), fuentes de datos permitidas que nutrirán a
ambiental, tanto en Uruguay como en el exterior. la base, período de conservación, derechos de los
para los reguladores.
titulares, medidas técnicas y organizativas para
En ese contexto, analizaremos los aspectos legales preservar la seguridad y confidencialidad, entre
generales a tomar en cuenta por los responsables otros.
de bases de datos y encargados de tratamiento
(ubicados en el país o en el extranjero) a quienes En virtud del principio de legalidad3, cada base de
les resulte aplicable la normativa local. datos existente o creada en base a los criterios an-
teriores debe estar debidamente registrada ante la
1. EL TRATAMIENTO DE DATOS PERSONALES A Unidad Reguladora y de Control de Datos Persona-
NIVEL NACIONAL les (en adelante “URCDP”) dentro del plazo máxi-
mo de 90 días desde su creación, proporcionando
la información que se especifica en el Decreto Re-
1. a. RESPONSABLES DE BASES DE DATOS Y EL glamentario4, pudiendo utilizar además para ello
PRINCIPIO DE FINALIDAD
Uno de los primeros aspectos que una compañía
1 Ley 18.331, Art. 7
debe considerar a la hora de recolectar datos per-
sonales para fines propios, ya sea para su trata- 2 Ley 18.331, CAPITULO IV
miento como objeto principal de su actividad o 3 Ley 18.331, Art. 6
4 Decreto 414/009, TITULO III, Régimen Registral
4 5DOCTRINA
REVISTA PDP | Revista Uruguaya de Protección de Datos Personales LA PROTECCIÓN DE DATOS PERSONALES EN EL MARCO DE LA ACTIVIDAD EMPRESARIAL; UNA VISIÓN PRÁCTICA
el mecanismo web de Sistema de Registro de Ba- como sucede con las bases de publicidad9, donde drá en el proceso del tratamiento de los datos para compañía establecida en Uruguay a otros países,
ses de Datos5. se establece el deber del responsable de bloquear los mismos fines y con las mismas limitaciones será importante considerar que la legislación vi-
o suprimir el dato en cualquier momento y ante la que los encargados al encargado principal.11 gente prohíbe la transferencia internacional de
Cada responsable de bases de datos, podrá ade-
sola solicitud del titular. datos a países que no ofrezcan niveles adecuados
más contar con un Código de Conducta, en el que Dentro de la dinámica de las relaciones comercia-
de protección de datos, con ciertas excepciones.12
se detallarán los aspectos relevantes del procesa- Al margen de las obligaciones legales antes consi- les y en aquellos casos en donde por disposiciones
De acuerdo a la Resolución de la URCDP13, los paí-
miento de datos que realiza la empresa en cues- deradas, cabe señalar que en los hechos, estable- legales o por la naturaleza de los datos o de las
ses que ofrecen un nivel adecuado de protección
tión, incluyendo aspectos de la normativa nacio- cer mecanismos de contacto entre el responsable fuentes, una de las partes está habilitada a co-
de datos son: los países miembros de la Unión
nal e internacional aplicables, así como aquellos de una base de datos con los titulares, resulta de municar datos de su propia base a terceros, puede
Europea, y aquellos países no miembros pero que
vinculados a las políticas corporativas internas de mucha utilidad; produce una retroalimentación en ocurrir que una de las partes asuma un doble rol.
hayan obtenido una nota de adecuación de la Co-
la empresa en cuestión, que hacen al tratamiento materia de actualización de datos, lo que redunda Esto es: actúa como encargado de tratamiento de
misión Europea. La forma que adoptó la URCDP
de datos. Estos códigos de conducta, por lo general en una mejor calidad de los datos, y ofrece al ti- los datos provistos por su cliente, pero a su vez, es
para identificar los países con niveles de protec-
pretenden integrar las actividades de la empresa, tular una instancia para controlar la exactitud de responsable de bases de datos propias, cuya infor-
ción adecuados ha sido sin dudas un acierto dado
la protección de los datos personales, y la conduc- sus datos. mación el cliente desea consultar para incorporar
que permite a Uruguay mantenerse actualizado y
ta de sus empleados y directivos al respecto. dichos datos también al procesamiento encargado.
siempre en línea con los criterios de la Comisión
1. b. PRESTADORES DE SERVICIOS Ejemplo de lo anterior sucede cuando un cliente
La existencia y registro6 de dicho código, como Europea. Prueba de ello es que a través de este cri-
INFORMATIZADOS DE DATOS le encarga a una empresa de informes comercia-
más adelante se verá, cobra especial relevancia PERSONALES, Y LA IMPORTANCIA DEL terio, Uruguay reconoce como adecuadas, al igual
les, un tratamiento de datos determinado por su
para el marco de las actividades de empresas mul- CONTRATO EN URUGUAY. que los países de la Unión Europea, a las empresas
cuenta y orden, proveyéndole a esos efectos datos
tinacionales, ya que es uno de los mecanismos ha- ubicadas en Estados Unidos adheridas al Privacy
provenientes de sus propias bases, pero también
bilitantes para la transferencia internacional de Otro caso de relevancia en materia de tratamien- Shield Framework. Es decir, la transferencia in-
datos sobre cumplimento e incumplimiento de
datos propios, entre la matriz y sus filiales y/o su- to de datos, se da cuando una compañía además ternacional de datos de responsables de bases, en
obligaciones que obtiene de la base de datos infor-
cursales, y entre éstas. de tratar los datos personales que surgen como las situaciones antes mencionadas, no está pro-
mes comerciales.
consecuencia lógica de sus actividades (bases de hibida.
Finalmente cada responsable o propietario de ba-
datos propias), también procesa datos de terceros En estos casos, resulta muy útil que el contrato
ses de datos, deberá considerar especialmente los Sin embargo, puede suceder que por la forma de
a través de la prestación de distintos servicios a contenga cláusulas de “antecedentes” y “defi-
derechos que los titulares de los datos7 tienen, organizarse una empresa, o por necesidades vin-
sus clientes. En estos casos, procesa datos que no niciones relativas al procesamiento”, para que el
respecto a los datos incluidos en las bases de datos culadas a procesos que se desarrollan en más de
le son propios por cuenta y orden de sus clientes, flujo de datos entre ambas partes sea estrictamen-
de su propiedad. Los mismos pueden variar según una jurisdicción, entre otros aspectos, sea nece-
bajo la figura del encargado de tratamiento. te el permitido por la regulación vigente, así como
el tipo de base de que se trate (distinguidas, como sario implementar transferencias internacionales
como las responsabilidades de cada una en el pro-
vimos, según su finalidad), pero generalmente ha- En este caso, y si bien bajo la regulación vigente de datos personales a países que no forman parte
ceso, estén bien delimitadas.
blamos de los derechos de: acceso, así como los de su celebración no es estrictamente obligatoria, el de los ya mencionados. En el caso de una empre-
rectificación, actualización, inclusión o supresión. contrato entre el encargado de tratamiento (em- Finalmente, en estos casos es importante consi- sa multinacional, será importante considerar si la
presa que presta el servicio) y el cliente (respon- derar en los contratos los aspectos especiales vin- empresa que va a realizar el tratamiento en el ex-
El derecho de acceso otorga al titular del dato, la
sable de sus bases), es altamente recomendable, culados a las regulaciones específicas de la propia terior es una empresa del mismo grupo que la que
potestad de obtener toda la información que sobre
ya que será el instrumento que regule específica- industria de la empresa que encarga el procesa- se encuentra en Uruguay. Si la respuesta es posi-
sí mismo obre en una base de datos, previa acre-
mente los aspectos vinculados a la protección de miento. A modo de ejemplo, si quien encarga el tiva, y se confirma además que existe un Código
ditación de su identificación, existiendo plazos es-
dichos datos, tomando como plataforma la nor- procesamiento de datos propios es una entidad de Conducta registrado ante la URCDP, la trans-
pecíficos de respuesta por parte del responsable,
mativa aplicable10. regulada por el Banco Central del Uruguay, puede ferencia podrá realizarse de igual forma. De ahí la
en un plazo muy breve de tan solo 5 días hábiles.
estar obligada a cumplir con ciertos requisitos que relevancia para las empresas multinacionales de
Este derecho se concede de forma gratuita a inter- En ese sentido, en un contrato de esas caracterís- puede ser necesario incorporar al contrato. tener un Código de Conducta de las características
valos de seis meses, salvo que el titular demuestre ticas se entiende importante incluir cláusulas es- que se detallan en el apartado “I-A” de este artí-
que medie nuevamente un interés legítimo en un peciales relativas a: i) el carácter especial del en- 2. EL TRATAMIENTO DE DATOS PERSONALES EN culo, debidamente registrado ante el regulador de
plazo menor. Por su parte, los derechos de recti- cargado de tratamiento, que actuará siempre por EL EXTERIOR datos personales. Si por el contrario: i) el expor-
ficación y supresión, implican por lo general que cuenta y orden del cliente (responsable de la base tador de datos no es una empresa multinacional, o
el titular del dato pueda acreditar el error o fal- de datos), ii) declaración por parte del cliente del ii) como se abordará más adelante, estamos ante
sedad del dato, mediante un procedimiento espe- 2. a. ASPECTOS A CONSIDERAR CON
objeto y finalidad del tratamiento encargado, iii) el caso de una empresa multinacional ubicada en
cialmente establecido a esos efectos8, todo lo cual RELACIÓN A LAS TRANSFERENCIAS
determinación de las etapas y/o acciones que im- Uruguay, que necesita implementar una transfe-
debe ser respondido siempre, sea accediendo o de- INTERNACIONALES.
plicará el procesamiento de los datos, iv) confi- rencia internacional de datos hacia una empresa
negando la solicitud, en un plazo de 5 días hábiles. dencialidad, v) responsabilidad de cada una de las no perteneciente al grupo, y para ambos casos (i
La transferencia internacional de datos es sin lu-
Existen casos, en donde por la naturaleza de la partes atendiendo a su calidad de responsable y y ii) la jurisdicción de destino no es adecuada, o
gar a dudas un tema de gran relevancia para las
base de datos o por las fuentes permitidas, la Ley encargado, respectivamente, y, en caso que exista siendo una empresa americana la importadora de
compañías multinacionales que operan en Uru-
le otorga garantías adicionales a los titulares, un “sub-encargado de tratamiento”: declarar tal los datos no está adherida a Privacy Shield; enton-
guay.
situación por parte del encargado, estableciendo ces la forma en que generalmente se deberá pro-
los datos de contacto de dicha empresa, y que la Nuestra normativa regula distintos escenarios ceder es solicitar la autorización de transferencia
5 https://www.gub.uy/unidad-reguladora-control-datos- otra parte (el cliente o responsable) autorice la co- vinculados a este tema. internacional de datos ante la URCDP14.
personales/registro-bases-datos municación de sus datos al tercero que interven-
Así, si el tratamiento de datos implica la trans-
6 Decreto 414/009, Art.36 12 Ley 18.331, Art. 23
ferencia internacional de datos propios de una
7 Ley 18.331, CAPITULO III 9 Ley 18.331, Art. 21 13 Resolución N° 4/2019
8 Ley18.331, Art. 15 10 Ley 18.331, Art. 30 11 Ley 18.331, Art. 15 14 Decreto 414/009, Arts. 34 y 35
6 7DOCTRINA
REVISTA PDP | Revista Uruguaya de Protección de Datos Personales LA PROTECCIÓN DE DATOS PERSONALES EN EL MARCO DE LA ACTIVIDAD EMPRESARIAL; UNA VISIÓN PRÁCTICA
Para determinar si estamos ante un caso que re- distinto a los contemplados por la normativa na- de la Ley 19.670. Revisten especial relevancia los tulares de los datos para cada tipo de tratamiento.
quiera aplicar una u otra solución habilitante de la cional vigente) deberá prestarse especial atención siguientes conceptos que la legislación introduce: Se sugiere en estos casos elaborar internamente
transferencia internacional, es importante plan- a los contratos que servirán de estructura de la formularios de fácil compresión para las distintas
tearse la pregunta respecto a dónde serán proce- operativa. 3. a. RESPONSABILIDAD PROACTIVA áreas involucradas, de manera que queden plas-
sados los datos, y específicamente, dónde estará madas en un documento las distintas fases de un
Es recomendable que el contrato entre el procesa-
localizado físicamente el “data center” de los pro- Constituye uno de los principales cambios ya que proyecto, los riesgos identificados en materia de
dor de Uruguay y el sub-procesador del exterior,
cesadores o sub-procesadores en el exterior, ya en los hechos implica un cambio radical en el abor- protección de datos, así como las medidas técnicas
contemple especialmente cláusulas vinculadas a
sea en la misma jurisdicción del exterior, o even- daje que deben realizar las empresas. Los tiempos y organizativas propuestas para su eliminación o
los aspectos de protección de datos como se regu-
tualmente en otra (y en ese caso se deberá volver en que se podía esperar y confiar en que nada su- mitigación. Es recomendable también que el mo-
lan en Uruguay, o como es de estilo, incluir como
a evaluar las reglas de transferencia internacional cedería, han quedado en el pasado. La regulación delo de dicho formulario cuente con una guía sen-
anexo al contrato un “Data Processing Agree-
de acuerdo a los parámetros ya indicados). Es sus- ahora impone una actuación pro-activa y desde el cilla a modo de “screening” que sirva de ayuda
ment” o “DPA”, donde las partes pauten exclu-
tancial entones tener en claro el flujo de los da- inicio, tal como lo sugiere el término. Constituye para identificar cuándo un proyecto debe ser so-
sivamente los temas vinculados al procesamien-
tos implícito en el procesamiento internacional, en definitiva un robustecimiento del principio de metido a un proceso de “PIA”. Finalmente y de-
to y a la protección de datos personales. En ese
y entender cuáles son las partes involucradas, así responsabilidad15, ya recogido en la primera ver- pendiendo de la envergadura del procesamiento de
sentido, en un “DPA” es aconsejable considerar
como las tareas que realizan cada una de ellas. sión de la ley16 pero con efectos relevantes. datos personales que habitualmente implemente
los siguientes temas según sea la envergadura del
una empresa, es aconsejable también considerar
procesamiento en el exterior: alcance y roles de las Las diferencias radican especialmente en los si-
2. b. ASPECTOS DE TRANSFERENCIA una política interna de privacidad que contenga la
partes en el procesamiento de datos, definiciones, guientes aspectos:(i) el principio de responsabili-
INTERNACIONAL A CONSIDERAR visión de la compañía respecto al tema protección
naturaleza del procesamiento (refiere al servicio dad le atañe además al encargado de tratamiento,
POR PRESTADORES DE SERVICIOS de datos personales en cumplimiento con las nor-
INFORMATIZADOS DE DATOS que estará prestando el sub- procesador), tipo de siendo ahora también responsable por las viola-
mas aplicables, la conducta esperada de emplea-
PERSONALES. datos sometidos al sub-procesamiento, duración ciones a la ley, (ii) se vuelve obligatorio el ejercicio
dos y directores al respecto, así como la enuncia-
del sub-procesamiento, tipo de titulares de datos de una responsabilidad proactiva, tanto para res-
ción de los instrumentos de gestión vigentes que
Tal como se comentó en el punto “I-B”, una em- (clientes, empleados, proveedores, entre otros), ponsables como para encargados de tratamiento,
se deberán aplicar.
presa privada puede también procesar datos de confidencialidad, medidas de seguridad para el que en los hechos implicará la adopción de medi-
terceros, a través de la prestación de distintos ser- sub-procesamiento, medidas de seudonimización das previas, paralelas, y posteriores al tratamiento Finalmente, cabe señalar que el artículo 39 de la
vicios a sus clientes (bases de datos de clientes). (si existieren), aspectos vinculados a los sub-pro- de los datos, que apunten a dar cumplimiento a ley 19.670, establece que la reglamentación de-
cesadores del sub-procesador (sub-procesadores las normas de protección de datos, las que además terminará las medidas que correspondan para dar
En ese caso, tendríamos un procesador (o encar- autorizados desde el inicio por las partes, y meca- deberán estar documentadas, para demostrar su cumplimiento con el principio de responsabilidad
gado de tratamiento o prestador de servicios in- nismos de aprobación de sub- procesadores, obli- efectiva implementación. proactiva, así como la oportunidad para su revi-
formatizados de datos personales) en Uruguay, al gaciones de los sub- procesadores, responsabili- sión y actualización.
cual su cliente (responsable de sus bases de da- En este contexto de responsabilidad proactiva, la
dad del sub-procesador respecto al cumplimiento
tos) le instruye un determinado procesamiento de privacidad por diseño y por defecto, así como la
con el “DPA” por parte de sus sucesivos sub-pro- 3. b. RESPUESTAS A INCIDENTES DE
datos. Sin embargo el procesador encargaría, (sea evaluación de impacto a la protección de datos
cesadores), derechos de los titulares de los datos y SEGURIDAD
por razones de almacenamiento, escalabilidad, personales, son tres conceptos fundamentales que
responsabilidades de las partes para dar respuesta
disponibilidad de recursos u otros motivos) dicho se introducen al marco normativo nacional.
al ejercicio de los mismos, notificaciones en caso El artículo 8 Decreto 414/09 ya hacía referencia a
procesamiento en todo o en parte a un sub-proce- de incidentes de seguridad, mecanismos de audi- Privacidad por diseño, implica tanto para respon- aspectos vinculados a las vulneraciones de segu-
sador ubicado en el exterior. Esto es cada vez más torías, responsabilidades del sub-procesador en sables como para encargados, diseñar sus bases de ridad, estableciendo que cuando el responsable de
habitual, en un contexto de desarrollo de las pla- materia de estudios de impacto de privacidad que datos, procesos, productos o tecnologías conside- una base de datos o el encargado de tratamiento,
taformas regionales de procesamientos de datos, y el procesador realice, así como en lo que le pue- rando desde esa instancia los aspectos de protec- tomara conocimiento de tal extremo, y siempre
de soluciones de “cloud computing” para el “hos- da corresponder al sub-procesador en materia de ción de datos necesarios con el objetivo de cumplir y cuando fuera susceptible de afectar de manera
teo” de datos prestados por entidades del exterior. medidas técnicas y organizativas a las que el pro- con la normativa en la materia. “significativa” los derechos de los interesados, se
En este caso corresponderá antes que nada, de cesador se haya comprometido con el responsable debía informar a los mismos.
Privacidad por defecto, conlleva que el responsa-
parte del procesador uruguayo considerar los si- de la base (el cliente).
ble y el encargado de tratamiento, deberán diseñar La nueva normativa en la materia17, introduce una
guientes aspectos: i) jurisdicción donde se localiza Por otro lado, en el contrato de procesamiento de los procesamientos de tal manera que solamen- nueva obligación para responsables y encargados
el “data center” del sub-procesador, de manera datos entre el procesador en Uruguay y su cliente, te sean tratados los datos personales necesarios de informar pormenorizadamente respecto a la
de apuntar a que la jurisdicción del importador de además de los aspectos ya mencionados en el pun- (considerando aspectos como el lazo de conserva- ocurrencia de la vulneración, así como las medidas
datos sea una a la que no esté prohibida la trans- to “I-B”, deberá indicarse el lugar de localización ción, extensión del tratamiento, y comunicación) que adopte: (i) a los titulares de los datos, y (ii) a
ferencia internacional, sin embargo, ii) en caso de del sub-procesador del exterior, objeto, duración, para cada una de las finalidades previstas. la URCDP, la que coordinará el curso de acción que
una transferencia internacional a una jurisdicción y autorización de dicha comunicación de datos, en corresponda con el Centro Nacional de Respuesta
no segura, deberá presentarse el contrato entre Por su parte, la evaluación de impacto a la pro-
un todo de acuerdo con la normativa nacional. a Incidentes de Seguridad Informática del Uruguay
procesador de Uruguay y el sub-procesador del tección de datos personales o como se la conoce
(CERTuy). También se aclara que la reglamenta-
exterior a la URCDP para su autorización. internacionalmente: “PIA” (“Privacy Impact Ass-
3. ACTUALIZACIONES A LA LEY DE PROTECCIÓN ción determinará el contenido de la información
sessment”), es una herramienta de gestión que
DE DATOS PERSONALES Y NUEVAS correspondiente a la vulneración de seguridad.
Una vez que se verifique que el destino de los datos permite reconocer riesgos y medidas de elimina-
OBLIGACIONES
objeto del sub-procesamiento es una jurisdicción ción o mitigación de los mismos, considerando la Las empresas que tratan datos personales de ma-
de las contempladas por la normativa local que no expectativa de privacidad que pueden tener los ti- nera habitual, por lo general cuentan con políticas
El 1° de enero entró en vigencia el proceso de pro-
requieren autorización del regulador de datos de internas y/o certificaciones de seguridad, que im-
fundización normativa de Uruguay en materia de
transferencia internacional, u obtenida dicha au- 15 Ley 19.670, Art.39
protección de datos, a través de los arts. 37 a 40
torización de la URCDP (en caso que sea un país
16 Ley 18.331, Art.12. 17 Ley 19.670, Art.38
8 9REVISTA PDP | Revista Uruguaya de Protección de Datos Personales
plican medidas técnicas y organizativas con el fin Alinear las operaciones existentes de una empresa
de salvaguardar la integridad, confidencialidad y al nuevo contexto normativo, exigirá invertir en
disponibilidad de la información. nuevos recursos destinados a la formalización de
procesos, así como en tecnologías que hagan más
Sin perjuicio de lo anterior, y en materia de co-
eficiente y seguro el procesamiento de datos per-
municación de vulneraciones de seguridad, será
sonales.
importante que la reglamentación refiera a algu-
nas cuestiones que hoy se plantean como interro- El acompañamiento desde la perspectiva educati-
gantes: (i) ya no se refiere más la afectación “sig- va por parte de las distintas autoridades compe-
nificativa” de los derechos de los titulares, y por tentes, especialmente en las primeras etapas, será
tanto sería relevante que se aclarara en qué casos esencial para lograr la efectiva implementación de
de vulneraciones efectivamente se debe proceder la regulación, considerando el justo balance que
con las comunicaciones, (ii) dado que el encarga- debe existir entre los desafíos y los beneficios que
do de tratamiento también deberá hacerlo, sería el tema presenta.
conveniente considerar la forma en que deberá ac-
tuar frente al responsable en estos casos, y (iii) es
primordial tomar en cuenta que estas circunstan-
BIBLIOGRAFÍA:
cias implican la entrada en acción de equipos es-
зз Ley 18.331 de Protección de Datos Personales
pecializados en seguridad (entre otros), y que son
y Acción de Habeas Data, del 8 de agosto de
procesos muy intensos y dinámicos, durante los
2008 y sus modificativas.
cuales varias líneas de acción se disparan en forma
paralela, para neutralizar la situación o mitigarla, зз Ley 19.670, artículos 37 a 40, del 15 de octu-
así como para ir recabando datos de lo sucedido bre de 2018.
en el contexto de una investigación. Así, “minuto
зз Decreto 414/009, del 15 de setiembre de
a minuto” puede ir cambiando el contexto cono-
2009.
cido por la empresa, y frente a esa realidad, será
esencial que la reglamentación diferencie el pla- зз Resolución N° 4/2019 de la Unidad Regula-
zo y el contenido de la comunicación a la URCDP; dora y de Control de Datos Personales.
del plazo y del contenido de la comunicación a los
зз Reglamento Europeo N° 2016/679 relativo
titulares de los datos, considerando a tales efec-
a la protección de las personas físicas en lo
tos, aspectos relativos a la minimización de daños,
que respecta al tratamiento de datos perso-
pero también a la exactitud de la información que
nales y a la libre circulación de estos datos.
se comunique a los titulares.
зз Código de Conducta Equifax Uruguay S.A,
3. c. DELEGADO DE PROTECCIÓN DE DATOS registrado por Resolución del Consejo Ejecu-
tivo de la Unidad Reguladora y de Control de
Finalmente, la nueva normativa establece que Protección de Datos Personales, de fecha 17
las entidades privadas que traten datos sensibles de julio de 2013.
como negocio principal y las que realicen el tra-
tamiento de grandes volúmenes de datos, deberán
designar un delegado de protección de datos.18
Si bien se describen las generalidades de las fun-
ciones que el delegado debe llevar a cabo, será im-
portante conocer mediante la reglamentación las
características técnicas requeridas para el ejercicio
de ese rol, y si el mismo puede ser llevado a cabo
por un dependiente de la empresa o es una función
que se pueda tercerizar.
4. CONCLUSIÓN FINAL
Una vez más, Uruguay ha marcado su postura de
adecuarse a las nuevas disposiciones en materia de
protección de datos personales a través de la nue-
va normativa y la reglamentación que se espera en
los próximos tiempos.
18 Ley 19.670, Art. 40
10DOCTRINA
HACIA UNA NUEVA LEY DE PROTECCIÓN HACIA UNA NUEVA LEY DE PROTECCIÓN DE LOS DATOS PERSONALES EN ARGENTINA
DE LOS DATOS PERSONALES EN ARGENTINA
EDUARDO SOFÍA
BERTONI DOMÍNGUEZ
Es el Director de la Agencia de Acceso a la Información Pública,
actualmente la autoridad de control de la Ley Nº 25.326 de
Protección de los Datos Personales y la Ley Nº 27.275 de Derecho de
Acceso a la Información Pública en Argentina (AAIP). Es abogado,
BARANDICA
Es asesora jurídica en la Agencia de Acceso a la Información
Doctor en Derecho de la Universidad de Buenos Aires y entre Pública (AAIP). Es abogada, egresada de la Universidad Torcuato
2002-2005 fue Relator Especial de la Comisión Interamericana Di Tella.
de Derechos Humanos para la Libertad de Expresión. Es Profesor
de la Facultad de Derecho de la Universidad de Buenos Aires y de
la Escuela de Derecho de la Universidad de Nueva York (NYU).
Fundador del Centro de Estudios en Libertad de Expresión y Acceso
a la Información de la Universidad de Palermo, Argentina. Ha
publicado varios libros en carácter de autor o editor, siendo el más
reciente “Difamación en Internet. Problemas de Jurisdicción y Ley
Aplicable”, Editorial Ad-Hoc, Buenos Aires (2015).
SUMARIO
зз RESUMEN
зз HACIA UNA NUEVA LEY DE PROTECCIÓN DE LOS DATOS PERSONALES
EN ARGENTINA
11DOCTRINA
REVISTA PDP | Revista Uruguaya de Protección de Datos Personales HACIA UNA NUEVA LEY DE PROTECCIÓN DE LOS DATOS PERSONALES EN ARGENTINA
RESUMEN con un nivel de protección adecuado.2 En este sen-
tido, se considera que un país es adecuado cuando
ciativa en 2016 de elaborar un proyecto de ley de
protección de datos personales para reformar la
En este proceso de reflexión, se discutieron dis-
tintos aspectos de la legislación vigente y se es-
su sistema legal y el modo en que éste es aplicado ley vigente. El desafío de esta tarea consistió en cucharon propuestas de modificaciones a la Ley
Los autores del artículo reseñan las circunstancias
en la realidad garantiza ciertos derechos y obliga- elaborar una nueva normativa destinada a prote- Nº 25.326, siendo uniforme la opinión respecto de
que motivaron la redacción del proyecto de Ley de
ciones considerados esenciales por la UE3. ger los datos personales y la privacidad de las per- la necesidad de una reforma. Además se debatió
Protección de Datos de la República Argentina, sus
sonas, sin ser un obstáculo para la innovación y acerca de la importancia de adecuar la legislación
objetivos, antecedentes y principales cambios con Si bien la Argentina es uno de los pocos países la-
el desarrollo tecnológico y que, además, cumpliera a los estándares internacionales en materia de
respecto a la normativa vigente en el citado país. tinoamericanos que ha logrado obtener una deci-
con estándares internacionales. protección de datos, contenidos en el Reglamento
sión de adecuación por parte de la Comisión Eu-
(UE) 2016/679 como en otros instrumentos inter-
HACIA UNA NUEVA LEY DE ropea4, esta situación podría cambiar a raíz de la El proyecto elaborado fue el resultado de un pro-
nacionales.11
adopción del Reglamento (UE) 2016/679, ya que ceso que se llevó a cabo en el marco del progra-
PROTECCIÓN DE LOS DATOS éste además de receptar cambios sustanciales res- ma “Justicia 2020”, creado por el Ministerio de Uno de los temas mayormente abordados du-
PERSONALES EN ARGENTINA1 pecto a la anterior Directiva 95/46/CE, prevé un Justicia y Derechos Humanos, como un espacio rante la serie de reuniones fue el mantenimiento
procedimiento de revisión periódica por parte de de participación ciudadana e institucional para del consentimiento del titular de los datos como
La protección de los datos personales se encuentra la Comisión Europea para verificar los aconteci- la elaboración, implementación y seguimiento de principio rector para su tratamiento. En gene-
explícitamente garantizada en Argentina a través mientos relevantes en el tercer país cuyo nivel de iniciativas y políticas de Estado.8 ral, una mayoría destacó la necesidad de flexibi-
de la acción de hábeas data prevista en el artícu- protección haya sido declarado adecuado.5 Si la re- lizar el concepto de consentimiento receptado en
Este proceso tuvo dos etapas. Durante la primera,
lo 43, tercer párrafo, de la Constitución Nacional, visión revelara que alguno de estos países ya no la ley vigente. Sustentaron su postura en que en
se realizaron reuniones de trabajo con diferentes
acción que fue incorporada en oportunidad de la garantiza un nivel de protección adecuado, la Co- un mundo en el que se producen continuamente
actores interesados en la materia, provenientes
reforma constitucional del año 1994. Posterior- misión tendría la potestad de suspender la deci- transacciones que implican tratamiento de datos
del sector privado, del ámbito académico y de la
mente, se sancionó la Ley Nº 25.326 de Protección sión de adecuación.6 personales cuando una persona utiliza servicios y
sociedad civil para debatir sobre la necesidad de
de los Datos Personales, norma de orden público productos en Internet, no es realista esperar que
Por lo expresado hasta aquí, la entonces Direc- una reforma.9 El resultado de esas reuniones fue
que regula los principios aplicables en la materia, las personas deban recibir y procesar solicitudes
ción Nacional de Protección de Datos Personales, compilado en el documento “Ley de Protección de
así como también el procedimiento de la acción de consentimiento para cada interacción que con-
dependiente del Ministerio de Justicia y Derechos los Datos Personales en Argentina (Sugerencias y
de hábeas data. La mencionada ley fue sanciona- lleve el uso de sus datos. En este sentido, se sugi-
Humanos (en adelante, la DNPDP)7 tomó la ini- aportes recibidos en el proceso de reflexión sobre
da en octubre del 2000 y entró en vigencia al año rió que, de reformarse la ley, ésta permita un con-
la necesidad de su reforma - Agosto-Diciembre
siguiente. sentimiento transparente pero implícito, sujeto al
2016)” y publicado en el sitio web de la AAIP.10
2 Artículo 45.1 del Reglamento (UE) 2016/679. contexto en el cual un servicio se utilice, y restrin-
No se puede objetar que la tecnología ha evolu-
3 Sentencia del Tribunal de Justicia de la Unión Europea del ja el requerimiento de consentimiento explícito a
cionado en los últimos dieciocho años a un ritmo existiendo como una dirección dependiente de la AAIP, a efectos
6 de octubre de 2015 en el asunto C‑362/14, Maximilian situaciones específicas donde, por ejemplo, se tra-
vertiginoso, impactando en gran medida en la Schrems v. Data Protection Commissioner, consid. 73, 74, 75
prácticos en el presente artículo se hará referencia a la “DNPDP”
cuando se trate de la entonces Dirección Nacional de Protección ten datos sensibles.
protección de los datos personales. Basta señalar y 96; Communication from the Commission to the European
de Datos Personales dependiente del Ministerio de Justicia y
que, por ejemplo, Facebook surgió en 2004 y Dro- Parliament and the Council, Exchanging and Protecting
Derechos Humanos y a la “AAIP” cuando se trate de la Dirección Otro tema abordado en la mayoría de las reuniones
Personal Data in a Globalised World, Brussels, 10.1.2017,
pbox en 2007 para darse cuenta de que el escena- Nacional de Protección de Datos Personales dependiente de la fue la incorporación del principio de responsabi-
COM(2017) 7 final, pages 6-7.
rio en el que se sancionó la Ley Nº 25.326 cambió Agencia de Acceso a la Información Pública. lidad demostrada (o proactiva) a la ley argentina
4 Decisión de la Comisión C (2003) 1731 de fecha 30 de
radicalmente. Esta nueva realidad de la tecnología sobre protección de datos. Hubo consenso gene-
junio de 2003 con arreglo a la Directiva 95/46/CE del
ha traído enormes desafíos en el campo del ejerci- Parlamento Europeo y del Consejo sobre la adecuación de la
8 Para acceder al sitio oficial de Justicia 2020, ingrese al siguiente ralizado respecto de la necesidad de que se adopte
enlace: https://www.justicia2020.gob.ar/, última consulta:
cio de los derechos. Los beneficios son innegables, protección de los datos personales en Argentina. Publicación un sistema de responsabilidad demostrada, por el
18/06/2019.
pero también lo son las nuevas potenciales vulne- oficial: https://eur-lex.europa.eu/legal-content/ES/TXT/ cual los responsables y otros sujetos que realicen
HTML/?uri=CELEX:32003D0490&from=EN, última consulta: 9 Los participantes que acudieron al proceso de reflexión
raciones a la privacidad. 18/06/2019.
tratamiento de datos se encuentren obligados a
convocado por la DNPDP fueron los siguientes: Sector privado:
Accenture, Asociación de Bancos Argentinos (ADEBA), demostrar el cumplimiento de la ley. Se defendió,
Por otro lado, se debe destacar que actualmente 5 En efecto, actualmente la República Argentina se encuentra en
proceso de revisión de su decisión de adecuación a la regulación
Asociación de Bancos de la Argentina (ABA), Asociación de siguiendo la tendencia internacional, que al incor-
se presenta un nuevo contexto regulatorio inter- Marketing Directo e Interactivo de Argentina (AMDIA), Cámara
europea de protección de datos personales. porar este principio se podría abandonar la obli-
nacional en esta materia a raíz de la entrada en Argentina de Comercio Electrónico (CACE), Cámara Argentina
de Internet (CABASE), Cámara de Comercio de los Estados
gación de registro de bases de datos.
vigencia del Reglamento Europeo de Protección de 6 Artículo 45 del Reglamento (UE) 2016/679.
Unidos de América en la Argentina (AmCham Argentina),
Datos (en adelante, Reglamento (UE) 2016/679). 7 En Argentina, el diseño institucional de la autoridad de control A su vez, un aspecto de la ley vigente que varios cri-
Confederación Argentina de la Mediana Empresa (CAME),
en materia de protección de datos personales fue modificado. Facebook, Google, GSMA, IBM, Information Technology ticaron fue el diseño institucional de la autoridad
Sin duda el Reglamento (UE) 2016/679 ha tenido En efecto, mediante el Decreto Nº 746/2017, se adicionó a las Industry Council(ITI), INTEL, MercadoLibre, Microsoft, Telecom, de control. Todos aquellos que hicieron referencia
un impacto significativo a nivel internacional. Ello funciones de la Agencia de Acceso a la Información Pública – Telefónica. Académicos y particulares: Alejandro Castillo,
autoridad creada en el marco de la Ley Nº 27.275, como ente a este tema coincidieron en la necesidad de que la
se debe principalmente a dos razones: (a) su apli- Juan Darío Veltani, Guillermo F. Peyrano, Horacio R. Granero,
autárquico que funciona con autonomía funcional en el ámbito Leonor Guini, Mariano Javier Peruzzotti, Mariano M. Del Río,
ley de protección de datos personales contemple
cación extraterritorial; y (b) la regla en materia de del Poder Ejecutivo Nacional- la de actuar como autoridad de Matilde S. Martínez, Natalia Eugenia Roda, Oscar Puccinelli,
transferencias internacionales que, en principio, aplicación de la Ley N° 25.326. Posteriormente, mediante el Pablo A. Palazzi, Paula Vargas, Silvia Iglesias. Sociedad civil: 18/06/2019.
únicamente permite se transfieran datos a terce- Decreto Nº 899/2017 se ratificó lo ya dispuesto por el Decreto Nº Asociación Civil por la Igualdad y la Justicia (ACIJ), Asociación
746/2017, sustituyendo el artículo 29 del Anexo I del Decreto Nº 11 A lo largo de las reuniones, además de indicar se tuviera en
ros países -no Miembros de la UE- que cuenten por los Derechos Civiles (ADC), Centre for Information Policy
1558/01 -que designaba a la Dirección Nacional de Protección Leadership (CIPL), Fundación Poder Ciudadano, Fundación cuenta el Reglamento (UE) 2016/679 como modelo para una
de Datos Personales en el ámbito de Ministerio de Justicia Sadosky, Fundación Vía Libre, Information Accountability eventual reforma, se sugirieron otros modelos; entre ellos,
1 El presente artículo fue inicialmente publicado en la Revista y Derechos Humanos, como órgano de control de la Ley Nº Foundation (IAF). el APEC Privacy Framework y el APEC Cross Border Privacy
Latinoamericana de Protección de Datos Personales, Número 25.326- por el siguiente: “Artículo 29.- La Agencia de Acceso a la Rules (CBPR) system , así como el Acuerdo Transpacífico de
4, Número especial: Reforma de la ley argentina de protección Información Pública, conforme los términos del artículo 19 de la 10 Para acceder al documento, ingrese al siguiente sitio:https:// Cooperación Económica. Un sector muy minoritario recomendó
de datos personales, CDYT, Buenos Aires, 2017. En la presente Ley N° 27.275, sustituido por el artículo 11 del Decreto N° 746/17, www.argentina.gob.ar/sites/default/files/documento_ también tener en cuenta el informe del Comité Jurídico
versión, se realizaron algunas modificaciones y añadidos a los es el órgano de control de la Ley Nº 25.326”. Si bien actualmente aportes_reforma_ley25326_0.pdf, última consulta: Interamericano, titulado “Privacidad y protección de datos
fines de su actualización. la Dirección Nacional de Protección de Datos Personales sigue personales” de 2015.
12 13DOCTRINA
REVISTA PDP | Revista Uruguaya de Protección de Datos Personales HACIA UNA NUEVA LEY DE PROTECCIÓN DE LOS DATOS PERSONALES EN ARGENTINA
una expansión de la capacidad de la DNPDP para analizar los documentos recibidos, se elaboró una persiga un fin público o sea necesario para la operación que involucre el tratamiento de
cumplir con sus funciones de contralor. Para ello, segunda versión del anteproyecto14. ejercer el derecho a la libertad de expresión datos sensibles.
sugirieron se aumente la autonomía de la DNPDP y e información.
Esta versión del anteproyecto fue sometido a la re- Sobre algunos de estos puntos, cabe hacer una
se garantice su adecuado financiamiento.12
visión de distintas dependencias del Poder Ejecu- зз Se incorpora el principio de responsabilidad aclaración. En primer lugar, debe destacarse
Esta primera etapa de consultas fue seguida por la tivo nacional y finalmente el 19 de septiembre de demostrada. Al receptar este principio, se que el proyecto, al igual que el Reglamento (UE)
elaboración de un primer anteproyecto de ley por 2018 el proyecto –con algunas modificaciones-15 abandona la obligación de registro de bases 2016/679, resalta la importancia de garantizar el
parte de la DNPDP, en el que no sólo se tomaron en fue enviado al Congreso de la Nación median- de datos, imposición que según la experien- ejercicio de la libertad de expresión, siendo éste un
cuenta los comentarios recibidos en el proceso de te Mensaje MEN-2018-147-APN-PTE16. Si bien, cia de la DNPDP no ha mejorado la protec- valor fundamental en una sociedad democrática.
reflexión, sino también regulaciones existentes a como se indicó anteriormente, uno de los princi- ción de la privacidad de las personas. En este sentido, se establece ya desde el artículo 3
nivel internacional específicas en la materia, como pales factores que impulsaron a la DNPDP a ac- que la ley no podrá afectar al tratamiento de da-
зз Se incluye la evaluación de impacto y la obli-
el Reglamento (UE) 2016/679, el Convenio del tivar un proceso para reformar la ley vigente fue tos que realicen los medios de comunicación en el
gación de notificar incidentes de seguridad,
Consejo de Europa para la Protección de las Per- la necesidad de que Argentina continúe siendo un ejercicio de la libertad de expresión.
entre las medidas destinadas a garantizar un
sonas con respecto al Tratamiento Automatizado país con legislación adecuada conforme a los li-
tratamiento adecuado de los datos perso- Esta regla que fija el proyecto de ley tiene impli-
de Datos de Carácter Personal (Convenio 108) y el neamientos del nuevo Reglamento (UE) 2016/679,
nales y el cumplimiento de las obligaciones cancias en el derecho de supresión de datos per-
Convenio sobre la Ciberdelincuencia (Convención se debe recalcar que el proyecto no es bajo nin-
dispuestas por la ley. sonales, derecho que el Reglamento (UE) 2016/679
de Budapest). Asimismo, se tomó como referencia guna medida una copia exacta de la mencionada
parece asimilar al derecho al olvido. Como es sa-
legislación comparada sancionada en los últimos regulación europea. Es cierto que el proyecto re- зз Se flexibilizan las normas relacionadas al
bido, el denominado “derecho al olvido” ha traí-
años, como la Ley Federal de Protección de Da- cepta aquellos aspectos que pueden considerarse consentimiento, con el fin de estar más
do muchas discusiones teóricas y críticas sobre su
tos Personales en Posesión de los Particulares de esenciales del Reglamento (UE) 2016/679, pero a acorde a la era digital. El proyecto prevé que
alcance dado que una deficiente implementación
México, la Ley de Protección de Datos Personales su vez, presenta ciertas aristas que difieren, sin el consentimiento puede ser obtenido de
podría devenir en violaciones a otros derechos
Nº 29.733 de Perú, la Ley Estatutaria 1581 de 2012 contradecirla, de la normativa europea y respon- forma expresa o tácita. La forma del consen-
fundamentales, como la libertad de expresión o
de Colombia y sus respectivas reglamentaciones den más bien al contexto argentino. Para ello, timiento estará sujeta al contexto en el que
el acceso a la información pública. Por este moti-
y la Ley de Protección de Información Personal y se tomaron como referencia la experiencia de la se recepten los datos personales y al tipo de
vo, el proyecto, si bien reconoce este derecho bajo
de Documentos Electrónicos de Canadá (Personal DNPDP, jurisprudencia local en la materia y legis- dato en cuestión.
la figura del derecho de supresión, aclara espe-
Information Protection and Electronic Documents lación comparada.
зз El interés legítimo pasa a ser una base legal cialmente que este derecho no procede cuando el
Act - PIPEDA), entre otras. También se tomaron
En síntesis, los principales cambios que se pro- admitida expresamente para el tratamiento tratamiento de datos persiga un fin público o sea
en cuenta los Estándares de Protección de Datos
ponen y que creemos oportuno destacar son los de datos personales. necesario para ejercer el derecho a la libertad de
Personales para los Estados Iberoamericanos y el
siguientes: expresión e información.
Informe del Comité Jurídico Interamericano sobre зз Se incorporan parámetros especiales para
Privacidad y Protección de Datos Personales. зз El proyecto sigue los lineamientos más mo- el tratamiento de datos de niñas, niños y En segundo lugar, es relevante hacer referencia a
dernos en materia de protección de datos, adolescentes, resaltando la importancia que los cambios que trae aparejados la normativa pro-
En la segunda etapa del proceso, este anteproyecto
entendiendo que la normativa se aplicará para ello tiene el respeto a la Convención so- yectada en materia de transferencias internacio-
fue sometido a discusión y consulta pública, nue-
aun cuando, bajo ciertos supuestos, los res- bre los Derechos del Niño. nales. Bajo la ley vigente, en principio, se prohíbe
vamente en el marco de la plataforma “Justicia
ponsables de tratar los datos no se encuen- la transferencia de datos personales a países que
2020”, recibiéndose comentarios y sugerencias зз Se aclara que el consentimiento del titular
tren en territorio nacional. no proporcionen un nivel adecuado de protección.17
sobre el texto que se había elaborado.13 Luego de del datos, los mecanismos de autorregula-
La ley luego prevé algunas excepciones a esta re-
зз El eje central pasa a ser el dato personal ob- ción vinculante y las cláusulas contractuales
gla18, pero la práctica ha demostrado que son limi-
jeto de tratamiento, y no las bases de datos, que contengan mecanismos de protección de
tadas y muy pocas aplican al sector privado19.
como ocurre con la ley vigente. datos acordes con las disposiciones de la ley
12 Al momento de la elaboración del anteproyecto, la DNPDP era son bases legales para realizar transferen- Si bien se puede sostener que la rigidez de estas
la autoridad de control de la Ley Nº 25.326. Posteriormente a зз Se dispone que la aplicación de la ley no
cias internacionales. normas fue flexibilizada por el Decreto Regla-
la publicación de la segunda versión del anteproyecto, éste fue podrá afectar al tratamiento de datos que
sometido a la revisión del Poder Ejecutivo nacional. Durante mentario al incluir al consentimiento del titular
realicen los medios de comunicación en el зз Se crea la figura del delegado de protección
ese proceso, mediante una modificación normativa del diseño de los datos como una base legal para la transfe-
institucional, se designó a la AAIP como nueva autoridad de ejercicio de la libertad de expresión. Especí- de datos cuya designación será obligatoria
rencia internacional y también, aunque de forma
control, tal como se consigna en la nota al pie 8. En virtud de ficamente, en relación con el derecho de su- para algunos casos específicamente defini-
no muy clara, a los sistemas de autorregulación y
este cambio normativo, la autoridad de control se reconstituyó presión, el proyecto aclara que este derecho dos en la ley, a saber: tratamiento de datos
como un ente autárquico con autonomía funcional en el ámbito a las cláusulas contractuales,20 la DNPDP estimó
no procederá cuando el tratamiento de datos por parte de autoridades u organismos pú-
del Poder Ejecutivo nacional. De esta manera, no solo se cumplió conveniente aclarar esta situación en el proyecto.
con lo postulado durante el proceso de consulta, sino también blicos, tratamiento de datos sensibles como
con el estándar de independencia exigido por el Reglamento 14 Para acceder al documento, ingrese al siguiente sitio: https:// parte de la actividad principal del respon-
(UE) 2016/679. www.argentina.gob.ar/sites/default/files/anteproyecto_ sable o encargado del tratamiento, y trata- 17 Artículo 12 inc. 1 de la Ley Nº 25.326.
reforma_ley_proteccion_de_los_datos_personales_nueva_
13 Por ejemplo, se recibieron documentos de la Asociación de
version.pdf, última consulta: 18/06/2019. miento de datos a gran escala. 18 Artículo 12 inc. 2 de la Ley Nº 25.326.
Bancos Argentinos (ADEBA), la Asociación de Bancos de
la Argentina (ABA), la Asociación de Marketing Directo e 15 Los artículos que fueron objeto de modificaciones sustanciales зз Se aumenta el monto máximo de las mul- 19 Palazzi, Pablo A., Transferencia internacional de datos
Interactivo de Argentina (AMDIA), la Cámara Argentina de fueron aquellos referidos a la prestación de servicios de tas. Asimismo, se contemplan otras sancio- personales. Nueva regulación de la Dirección Nacional de
Comercio Electrónico (CACE), la Cámara Argentina de Internet información crediticia y los que conforman el Capítulo 8, Protección de Datos Personales, La Ley, Tomo La Ley 2017-A.
(CABASE), la Cámara de Comercio de los Estados Unidos de atinentes a la autoridad de control.
nes por incumplimiento de la ley, como la
América en la Argentina (AmCham Argentina), Information suspensión o cierre temporal de actividades 20 A pesar de que esta situación fue medianamente aclarada con el
16 Para acceder al documento, ingrese al siguiente sitio: dictado de la Disposición Nº 60 – E/2016, la DNPDP consideró
Technology Industry Council(ITI), Telecom, de algunas relacionadas con el tratamiento de datos e
https://www.argentina.gob.ar/sites/default/files/mensaje_ igualmente necesario dejar sentadas de forma más clara las
organizaciones de la sociedad civil y de varios académicos. incluso el cierre inmediato y definitivo de
ndeg_147-2018_datos_personales.pdf, última consulta: bases legales para realizar una transferencia internacional en
18/06/2019. el proyecto.
14 15También puede leer
