El proyecto ya fue publicado para recibir comentarios: fijará multas millonarias, pero no regulará el derecho a la desindexación

El gobierno finalmente lanzó el participación pública que estará vigente durante todo el mes de septiembre para que los interesados ​​puedan hacer sus comentarios al Proyecto de Ley de Protección de Datos Personales.

Esta nueva normativa impondrá millones en multas a quienes infrinjan los criterios que se fijarán en el privacidad, seguridad informática y protección de la infancia. A aspecto negativo la cosa es no regula el derecho al olvido (eliminar información personal) en motores de búsqueda como google o youtubeademás de incluir condiciones adicionales para tu ejercicio.

Como punto a favor, el proyecto sigue las más modernas pautas de la legislación sobre protección de datos de carácter personal de la unión Europealo que permitirá a Argentina continuar entre los seleccionar países permitidos por ese bloque para compartir datos de sus ciudadanos.

Cómo surgió el proyecto de protección de datos personales

“La Agencia de Acceso a la Información Pública (AAIP) publicó en el Diario Oficial de este lunes la Resolución 119/2022 por la que inició el procedimiento de elaboración participativa del Proyecto de Ley de Protección de Datos de Carácter Personal“, indica a iProUP Agustín Allende, socio de Crearis-Latam.

Según el experto, “el periodo de comentarios al texto propuesto comenzó con su publicación y terminará el 30 de septiembreya que la intención del Poder Ejecutivo sería presentar la iniciativa al Congreso en octubre“.

La propuesta fue producto de aportes de diferentes sectores de la sociedad civil, cámaras empresariales, académicos, reguladores de otros países, así como ex titulares de la AAIP”, destaca Allende, quien enumera los antecedentes en los que se basó el texto:

  • Reglamento General de Protección de Datos de la Unión Europea (GDPR)
  • Ley General de Protección de Datos de Brasil
  • Recomendación de la UNESCO sobre la ética de la inteligencia artificial
  • Convenio 108 del Consejo de Europa para la protección de las personas con respecto a la tratamiento automatizado de datos personales

“La Unión Europea se alineó detrás de la RGPDactualmente el regulaciones más estrictas al respecto”, asegura iProUP Juan Pablo Altmark, presidente de la Asociación Latinoamericana de Privacidad, quien advierte que “otros países latinoamericanos e incluso China lo hicieron por detrás”.

Beatriz de Anchorena, titular de la Agencia de Acceso a la Información Pública, señala a iProUP : “Promover la actualización normativa de la Ley de Protección de Datos Personales fue el compromiso que asumí en la Audiencia Pública del 25 de febrero, durante el proceso de postulación como titular de la Agencia”.

¿Qué mejorará la nueva Ley de Datos Personales si se promulga?

Según Allende, “los problemas más relevante y auspicioso de esta propuesta de reglamento se relacionan con los siguientes aspectos”:

1. Los datos biométricos y genéticos serán datos personales sensibles

2. extraterritorialidad: para el tratamiento de datos personales realizado del exterior respecto de personas radicadas en Argentina

Las empresas deben informar a sus usuarios sobre un incidente de seguridad hasta 48 horas después de ocurrido

Las empresas deben informar a sus usuarios sobre un incidente de seguridad hasta 48 horas después de ocurrido

3. responsabilidad de iniciativa propia: deberán adoptarse las medidas técnicas y organizativas que sean eficaces para el adecuado tratamiento de los datos personales y el efectivo cumplimiento de la ley. Esto da a los obligados Espacio de maniobra conforme a la norma según las particularidades de cada industria y los riesgos involucrados

4. Lista seis bases diferentes que legitiman el tratamiento de datos personalesabandonando el único criterio del consentimientoque coinciden con las tomadas por Europa:

  • Consentir
  • cumplimiento contractual
  • Dentro de las funciones del Estado
  • Cumplimiento de obligación legal por parte del responsable
  • Salvaguardar el interés vital del afectado
  • Interés legítimo del responsable

5. Es abandona la noción de consentimiento tácito como justificación

6. criterios integrales para el tratamiento de datos personales niños y adolescentes. El límite de edad para otorgar el consentimiento en de forma autónoma serán 13 años. Para los menores de esa edad, se requerirá tutela o autorización de los padres

7. seguridad informatica: Obligación de avisar a la autoridad de aplicación dentro de 48 horas desde que se tiene conocimiento de un incidente de ciberseguridad y también a la titulares de datos personales cuando estaban en peligro

8. Incorporan derechos adicionales a las de Acceso, Rectificación, Cancelación o Supresión y Oposición (ARCO), tales como las siguientes:

  • Portabilidad (entre una plataforma y otra), de dudosa aplicación en el resto del mundo
  • Revisión humana para tratamientos automatizados
  • conocimiento de la Criterios y procedimientos que guían la toma de decisiones automatizadarespetando los secretos comerciales e industriales

9. Obligación de tener políticas de privacidad de los encargados y responsables del tratamiento de datos personales.

10. Delegado de protección de datos en todos los organismos públicos y aquellos otros gestores privados definidos reglamentariamente.

once. Datos financieros: Obligación de explicar la lógica del proceso de puntuación comportamiento crediticio

12 Se incrementa significativamente el monto de las multas para gestores privados: hasta $ 10 mil millones actualizable por inflación o entre 2% y 4% de la facturación anual global

Nueva Ley de Datos Personales: cuáles son las críticas

Para Allende, hay aspectos mejoras del proyecto antes de su presentación en el Congresoentre los que se destaca:

1. Se extiende a 10 días hábiles el término para cumplir con la solicitud de ejercicio de derechos del titular de los datos personales. En el régimen actual, el derecho de supresión, rectificación y actualización debe cumplirse dentro de los 5 días hábiles al recibir el reclamo.

Los usuarios

Los expertos critican que se mantenga el criterio de opt-out de las comunicaciones digitales: el titular debe darse de baja de los mensajes enviados (como newsletters), en lugar de recibirlos únicamente si se registra

2. Regulación del derecho de supresión no proporciona desindexación de enlaces, conocido como “derecho al olvido”pero incluye condiciones adicionales para que proceda su ejercicio.

3. Adopta un criterio de optar por no para actividades de procesamiento de datos personales asociadas con publicidad, prospección comercial o marketing directo, incluida la elaboración de perfiles.

Esto implica que el el titular deberá oponerse al cese de tales actividades respecto de sus datos personales, en lugar de requerir su consentimiento (optar en). La situación se ve agravada por la posibilidad de ejercer este tratamiento bajo la base legal del interés legítimo.

4. La regulación de la actividad del Estado es insignificante y no se pueden imponer sanciones pecuniarias en caso de incumplimiento.

5. No se adopta un criterio diferenciado cumplimiento, menos exigente, para la pymes que realizan tratamientos de datos personales.

6. No prevé la protección de los ancianos..

7. El revisión judicial de las sanciones pecuniarias impuestas tendrá efecto suspensivo y, por tanto, el infractor se beneficiará.

Finalmente, Allende especifica que “habrá una plazo de un año para su adaptación por parte de los responsablesdesde la promulgación de la nueva ley de protección de datos personales”.

Leave a Reply

Your email address will not be published. Required fields are marked *