El pasado 19 de septiembre el Ejecutivo argentino sancionó la nueva Ley de Protección de Datos Personales que deroga la vigente Ley 25.326 y su modificatoria, la Ley 26.343.

La norma introduce numerosas novedades con el fin de adaptarse al nuevo contexto internacional en protección de datos personales y adecuarse a los avances tecnológicos. A continuación se destacan los aspectos que más inciden en los sistemas de gobernanza de los sujetos obligados por la Ley:

Objeto y ámbito de aplicación

La Ley tiene por objeto la protección integral de los datos personales para garantizar el ejercicio pleno de los derechos a sus titulares. La Ley excluye de su alcance al tratamiento de datos efectuados por una persona física para su uso exclusivamente privado o en el ámbito familiar y no ampara a las personas jurídicas por no considerarlas como titulares de derechos fundamentales.

Siguiendo las últimas tendencias internacionales, y en concreto el Reglamento General de Protección de Datos Personales del Parlamento Europeo y del Consejo del 27 de abril de 2016, la Ley es de aplicación incluso en los supuestos en los que los responsables del tratamiento no se encuentren en territorio nacional, otorgando así una mayor protección.

Nuevos conceptos y principios

Se introducen nuevos conceptos como el de datos biométricos, datos genéticos, disociación de datos o incidente de seguridad de datos personales y redefine otros ya existentes como datos personales*, datos sensibles o base de datos.

Por otro lado, se dota de especial relevancia a los principios de lealtad y transparencia, seguridad y plazo de conservación de datos, y al principio de licitud del tratamiento de los datos, incluyendo como novedad los principios de minimización de datos y de responsabilidad proactiva. A estos efectos, cabe destacar:

• Plazo de conservación: los datos personales no se conservarán más allá del tiempo estrictamente necesario para el cumplimiento de la finalidad del tratamiento. Podrán conservarse durante periodos más largos siempre que se traten con fines de archivo en interés público, fines de investigación o fines estadísticos.
• Responsabilidad proactiva: se establecen las acciones necesarias para el cumplimiento de la responsabilidad proactiva, entre ellas: la obligación de adoptar políticas de privacidad o la adhesión a mecanismos de autorregulación vinculantes. La adhesión a estos mecanismos es voluntaria y puede traducirse en códigos de conducta, de buenas prácticas, normas corporativas vinculantes, sellos de confianza o certificaciones.
• Licitud: la norma regula exhaustivamente el consentimiento del titular de los datos y, a diferencia de la última regulación europea, se permite un consentimiento tácito para ciertos supuestos. En este sentido, existe además una previsión específica para el tratamiento de datos de menores, siendo válido su consentimiento cuando se aplique al tratamiento de datos vinculados al uso de servicios de la sociedad de la información específicamente diseñados para ellos. En estos casos, el consentimiento será lícito cuando el menor tenga un mínimo de 13 años. En caso contrario el tratamiento solo será lícito si el consentimiento fue otorgado por sus padres o tutores.

Derechos de los titulares y obligaciones de los responsables

La norma regula los derechos básicos de acceso, rectificación, oposición y supresión. Reconoce la inclusión del derecho al olvido dentro del de supresión y contempla el nuevo derecho a la portabilidad de los datos.

En lo que a las obligaciones se refiere, la Ley incluye el deber que tiene el responsable del tratamiento de informar al titular de los datos sobre los fines del tratamiento, la identidad y datos de contacto del responsable del tratamiento, los medios para ejercer los derechos anteriormente citados, las cesiones y posibles transferencias internacionales, el derecho a revocar su consentimiento y a presentar una denuncia, entre otros.

Como novedad en este aspecto, la norma introduce:

• Protección de datos desde el diseño y por defecto: el responsable del tratamiento debe aplicar medidas tecnológicas y organizativas antes y durante el tratamiento de los datos garantizando, adicionalmente, que solo sean objeto de tratamiento de aquellos datos personales que sean necesarias para cada uno de los fines del tratamiento.
• Realización de una evaluación de impacto: previa al tratamiento de datos que por su naturaleza o alcance sea probable que entrañe un alto riesgo de afectación a los derechos de los titulares de los datos. Esta evaluación será obligatoria para supuestos de tratamiento de datos automatizado o elaboración de perfiles y para tratamientos de datos sensibles a gran escala o relativos a antecedentes penales.

Delegado de Protección de Datos

Siguiendo las tendencias internacionales, la Ley argentina introduce la figura del Delegado de Protección de Datos, siendo obligatoria su designación para aquellos supuestos en que los responsables y encargados sean organismos públicos, realicen el tratamiento de datos sensibles o tratamiento de datos a gran escala.

Esta figura, que podrá asimismo designarse de manera voluntaria, ejercerá sus funciones sin recibir instrucciones y solo responderá ante el más alto nivel jerárquico de la organización debiendo reunir los requisitos de idoneidad, capacidad y conocimientos específicos para el ejercicio de las mismas.

Esta Ley no entrará en vigor hasta dos años después de su publicación en el Boletín Oficial.