La Agencia de Acceso a la Información Pública presentó una propuesta de anteproyecto de modificación de la Ley de Protección de Datos Personales, que desde el año 2000 reglamenta el artículo 43 de la Constitución nacional. Al mismo tiempo, se abrió un periodo de consulta pública -hasta el 30 de septiembre próximo- en el que se reciben aportes y opiniones sobre la reforma de la ley

La protección de los datos personales cobra especial importancia ya que en los últimos meses se reiteraron las alertas por estafas virtuales a través de redes sociales, apps de mensajería y correos electrónicos. Además, se registraron ataques y filtraciones de datos, como los casos de la empresa de medicina prepaga OSDE, la Legislatura porteña y el Senado de la Nación.

¿De qué hablamos cuando hablamos de datos personales?

Cuando hablamos de datos personales nos referimos a cualquier información sobre una persona física: su nombre, su dirección, su DNI, pero también sus datos biométricos, su imagen, etcétera.

La tecnología que usamos todos los días ha cambiado mucho desde la sanción de la Ley N° 25.326, en octubre de 2000. Hoy usamos teléfonos inteligentes con aplicaciones de redes sociales (Facebook, Instagram, Tik Tok, Twitter, etc.) y chats (como WhatsApp y Telegram). También podemos hacer compras, recibir pedidos y hasta hacer trámites públicos con el Estado vía Internet. Todo esto implica que el volumen de los datos personales que están en juego es mucho más grande.

En 2018, durante la administración de Cambiemos, el Poder Ejecutivo Nacional también envió al Congreso un proyecto de reforma de la norma, pero no fue debatida en el recinto. Fue girada a las comisiones de Asuntos Constitucionales y Derechos y Garantías, pero no obtuvo dictamen. 

La norma actual reconoce el derecho de los ciudadanos a que sus datos personales no sean registrados ni usados sin su consentimiento. Además, establece que todos tenemos derecho a pedir y recibir los datos personales que están registrados en bancos de datos públicos y privados, como así también pedir que esa información sea corregida, actualizada o suprimida en caso de tratarse de “datos sensibles”, vinculados con la salud, las preferencias sexuales, religiosas y políticas.

Por su parte, la ley entiende que el consentimiento de las personas no es necesario cuando los datos fueron obtenidos de fuentes de acceso público, cuando fueron registrados por los poderes del Estado por obligación legal o para el ejercicio de sus funciones, y/o cuando se limitan a nombre, DNI, CUIT/L, ocupación, fecha de nacimiento y domicilio.

Además, la ley exime del consentimiento de los titulares cuando los datos personales fueron obtenidos por una relación contractual, científica o profesional y son necesarios para su desarrollo o cumplimiento (por ejemplo, un contrato laboral); y cuando son el registro de operaciones que hacen entidades financieras con sus clientes.

¿Qué cambios impulsa el Gobierno nacional?

El anteproyecto redactado por la Agencia de Acceso a la Información Pública ya está disponible. Ante la consulta de Chequeado, desde el organismo enviaron un documento con los que consideran son los principales cambios que se promueven en la norma.

Entre ellos se encuentran la ampliación de la definición de datos sensibles, es decir aquellos que se refieran a la esfera íntima o que puedan generar discriminación o riesgo grave para el/la titular. Bajo este paraguas se incorporan los datos genéticos y los biométricos.

Además, se refuerzan las características que debe tener el consentimiento (debe ser previo, libre, específico, informado e inequívoco); y se amplía el ámbito de aplicación de la ley, ya que se exige el respeto de los derechos de los ciudadanos argentinos frente a organizaciones extranjeras que, aunque pueden no tener domicilio legal en el país, recolectan sus datos personales.

El proyecto también exige mayor transparencia en la explicación de las decisiones que se adoptan mediante mecanismos como la inteligencia artificial; y hasta incluye el derecho a solicitar la revisión por una persona humana de las decisiones tomadas sobre la base del tratamiento automatizado o semiautomatizado.

En relación a la seguridad de los datos, la iniciativa establece la obligación de notificar a la autoridad de control y a los titulares de los datos en casos de incidentes de seguridad, como hackeos; y también aumenta el monto económico de las sanciones.

¿Qué piensan los especialistas?

“Es cada vez mayor el desequilibrio entre el titular del dato y toda la estructura de recolección y tratamiento de datos que se va desplegando. Ese desequilibrio debe ser contemplado por la ley y [el titular debe ser] fortalecido a partir de todos los dispositivos que se les dan”, indicó Valeria Milanés, directora ejecutiva de la Asociación por los Derechos Civiles (ADC), en un encuentro de debate organizado por la agencia en el Centro Cultural Kirchner.

En esa misma oportunidad, otros especialistas coincidieron en la necesidad de un organismo de control capaz de garantizar la seguridad efectiva de los datos. En la actualidad, el organismo responsable es la Agencia de Acceso a la Información Pública y su titular es Beatriz Anchorena.

Beatriz Busaniche, presidenta de la Fundación Vía Libre, abogó por una “autoridad de aplicación lo suficientemente vigorosa, potente y absolutamente autónoma del poder estatal y privado”; y agregó que esa “capacidad funcional” debe estar apoyada por un “presupuesto acorde a la misión que tiene la institución como órgano garante de un derecho de la ciudadanía”.

Por su parte, Horacio Azzolin, titular de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), señaló: “La agencia que aplique una nueva ley de datos personales tiene que tener robustez para enseñarnos a usar los datos personales (…) y cuidarlos”.

En relación al aspecto de la seguridad de los datos, Busaniche consideró vital que se delimiten los estándares de seguridad que deben aplicar quienes administran los datos personales. Es decir, que la norma debería especificar cuáles son esos estándares y cómo la autoridad de aplicación puede evaluar su cumplimiento.

En esa misma línea, Azzolin se refirió a los “controles preventivos” que debería poder realizar el organismo de control, y que su accionar no se limite a responder frente a hackeos u otros usos indebidos de los datos personales.