miércoles, diciembre 20, 2023

NUEVO LIBRO: tomo 4 de la obra Protección de Datos Personales: doctrina y jurisprudencia (2024)

 

NOVEDAD: Se publicó el tomo 4 de la obra Protección de Datos Personales: doctrina y jurisprudencia. Se puede adquirir online en la libreria Praxis Juridica junto a los otros tomos 1, 2 y 3.

Se publicó el tomo 4 de la obra Protección de Datos Personales: doctrina y jurisprudencia, con notas de Leonardo Cervera Navas, Sonia Perez Romero, Luca Belli, Ana Brian, Jonathan Mendoza Iserte, Nelson Remolina, Pablo A. Palazzi, Eduardo Bertoni, Gustavo Parra Noriega, Luisa Fernanda Alvarez Zuluaga, Gonzalo Sosa Barreto, Diego Fernández & Josefina Barbero, Renato Jijena Leiva, Ana Karen Cortés Víquez, Luis Ordóñez Pineda y María Arias Pou.


Entre otros temas se incluyen IA, transferencias internacionales, la protección de los datos personales en los acuerdos internacionales sobre comercio electrónico, el derecho al olvido, el Convenio 108+, la constitucionalización del Habeas Data y análisis sectoriales de Costa Rica, Chile, Ecuador y Panamá.


También se incluye jurisprudencia argentina sobre sanciones administrativas, y casos europeos sobre el DPO  (su regulación laboral e incompatibilidades), el derecho de acceso a datos de historia clínica y el tratamiento de datos mediante apps de Covid. También un documento sobre accountability realizado por el GECTI de la Univ de los Andes y la declaración de Bletchey sobre IA.


La obra se consigue en Praxis Juridica. El índice está disponible aquí.





jueves, diciembre 07, 2023

Uruguay- Resolución N° 70/023Resolución N° 70/023 - transferencias internacionales

 

Resolución N° 70/023 .

05/12/2023
Complementar lo establecido por las Resoluciones N° 23/021, de 8 de junio de 2021 y N° 63/023, de 22 de noviembre de 2023.

VISTO: La pertinencia de complementar lo establecido por las Resoluciones N° 23/021, de 8 de junio de 2021 y N° 63/023, de 22 de noviembre de 2023.

RESULTANDO: I. Que las resoluciones indicadas establecieron el listado de países y organizaciones adecuados para la realización de transferencias internacionales de conformidad con lo establecido en el artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008.

II. Que atento a lo establecido en el artículo 6° de la Ley N° 18.331 la formación de bases de datos será lícita cuando se encuentren debidamente inscriptas, lo que deberá realizarse en el Registro de Bases de Datos creado por el artículo 1° del decreto N° 664/008, de 22 de diciembre de 2008, en la forma establecida en éste y por el artículo 16 del decreto N° 414/009, de 31 de agosto de 2009, en la redacción dada por el artículo 1° del decreto N° 308/014, de 22 de octubre de 2014.

III. Que, de conformidad con lo establecido en el artículo 4° del decreto N° 664/008 la Unidad Reguladora y de Control de Datos Personales se encuentra facultada para agregar los elementos que considere necesarios en el marco del Registro de Base de Datos, exigiéndose actualmente la indicación del destino de la transferencia internacional, sin importar la base de legitimación para dicha transferencia.

IV. Que, el artículo 13 de la Ley N° 18.331, en la redacción dada por el artículo 62 de la Ley N° 20.075, de 20 de octubre de 2022, establece la información que debe proveerse a los titulares en forma previa a la recolección de sus datos o a solicitud de éstos, dentro de los que se incluye la existencia o no de transferencias internacionales (literal F). Dicho artículo habilita además a esta Unidad a establecer condiciones específicas para la publicidad permanente de la información indicada.

Considerando: I. Que, de las normas citadas resulta que previo a la realización de transferencias internacionales de datos, tanto a países u organizaciones adecuadas como no adecuadas, se requiere la inscripción previa de la base de datos correspondiente en el Registro de Bases de Datos Personales que lleva adelante esta Unidad. En el caso de las transferencias a países o territorios no adecuados, se requerirá además la comprobación de alguna de las hipótesis previstas en el artículo 23 de la Ley N° 18.331, o una autorización previa por parte del Consejo Ejecutivo de la Unidad.

II. Que, las decisiones de adecuación consideradas en las Resoluciones indicadas en el Visto establecen excepciones o aspectos especiales que deben contemplarse al momento de valorar la realización de una transferencia internacional, lo que es responsabilidad de los responsables de tratamiento de conformidad con lo previsto en el artículo 12 de la Ley N° 18.331, en la redacción dada por el artículo 39 de la Ley N° 19.670, de 15 de octubre de 2018.

III. Que, en lo que respecta a las transferencias a las organizaciones referidas en la Resolución N° 63/023, la especificidad del régimen del Marco de Privacidad de UE-EEUU determinan la necesidad de adoptar salvaguardas adicionales a los efectos de su aplicación a las transferencias realizadas desde Uruguay.

IV. Que, la nueva redacción del artículo 13 de la Ley N° 18.331, exige una mayor transparencia en la provisión de información a los titulares de los datos, mencionando especialmente la transferencia internacional de datos.

ATENTO: A lo expuesto,

LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES

RESUELVE:

1°.- Los responsables y encargados de tratamiento que realicen transferencias internacionales deberán comunicar a los titulares de los datos, en las circunstancias previstas en el artículo 13 de la Ley N° 18.331, de 11 de agosto de 2008 (en la redacción dada por el artículo 62 de la Ley N° 20.075, de 20 de octubre de 2022), el destino de sus datos, el rol del importador, el plazo de la transferencia, la base de legitimación, y las operaciones de tratamiento realizadas por el importador.

2º.- Los responsables y encargados contarán con un plazo de 6 (seis) meses para adaptar sus políticas de privacidad a lo indicado en el resuelve anterior.

3º.- Reafirmar que la inscripción de la base de datos correspondiente en el Registro de Bases de Datos Personales que lleva adelante esta Unidad es un requisito previo a toda operación de tratamiento, incluyendo la realización y eventual autorización de transferencias internacionales.

4°.- Los responsables y encargados que procuren realizar transferencias internacionales a organizaciones incluidas en el Marco de Privacidad de UE-EEUU  deberán presentar ante esta Unidad, en la oportunidad de la inscripción de la Base de Datos o en forma previa a la transferencia, una declaración expresa en la que la respectiva organización importadora declare haber extendido la aplicación de las salvaguardas de dicho marco a los datos transferidos desde Uruguay. En caso de que no se formule dicha declaración, la transferencia a las citadas organizaciones podrá realizarse en virtud de cláusulas contractuales presentadas por los responsables o encargados, que sean autorizadas previamente por esta Unidad, u otros fundamentos previstos legalmente.

5°- Publíquese y oportunamente archívese.

 

Firmado por: Felipe Rotondo

Consejo Ejecutivo

URCDP

domingo, diciembre 03, 2023

Se viene el DNI electronico en Argentina, ven algun problema con la seguridad o los datos personales?

 

DIRECCIÓN NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS

Disposición 1255/2023

DI-2023-1255-APN-RENAPER#MI

Ciudad de Buenos Aires, 30/11/2023

VISTO el Expediente N°, las Leyes Nº 17.671 y sus modificatorias, N° 19.549 y sus modificatorias, los Decretos N° 1759 del 3 de abril de 1972 (T.O. 2017), Nº 1501 del 20 de octubre de 2009, N° 79 del 27 de diciembre de 2019, la Resolución N° 797 del 16 de abril de 2012, las Disposiciones N° 902 del 25 de noviembre de 2021, y N° 214 del 31 de marzo de 2023, ambas de esta DIRECCIÓN NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS, y

CONSIDERANDO:

Que conforme la Ley N° 17.671 compete a esta DIRECCIÓN NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS, organismo descentralizado actuante en la órbita de la SECRETARÍA DE INTERIOR del MINISTERIO DEL INTERIOR, la expedición con carácter exclusivo del Documento Nacional de Identidad, de todas las personas humanas que se domicilien en territorio argentino o en jurisdicción argentina y de todas las personas humanas argentinas sea cual fuere el lugar donde se domiciliaren.

Que el Documento Nacional de Identidad -DNI- expedido por esta Dirección Nacional, es de uso obligatorio en todas las circunstancias en que sea necesario acreditar la identidad de las personas humanas, sin que pueda ser suplido por ningún otro documento de identidad, cualquiera fuere su naturaleza y origen.

Que los artículos 9° y 11 de la Ley N° 17.671, determinan los datos con los que se debe contar para la identificación de las personas y la competencia exclusiva de esta Dirección Nacional para la expedición de los Documentos Nacionales de Identidad con las características, nomenclatura y plazos que se establezcan en la reglamentación.

Que mediante el Decreto Nº 1501/09 se autorizó a este organismo utilizar tecnologías digitales en la identificación de las personas humanas, como así también en la emisión del Documento Nacional de Identidad, determinando asimismo, que esta Dirección Nacional aprobará el diseño, características y detalles del Documento Nacional de Identidad, con su nomenclatura, descripción y elementos de seguridad e inviolabilidad.

Que por la Resolución N° 797/2012 de esta Dirección Nacional, se estableció la emisión del Documento Nacional de Identidad exclusivamente en formato tarjeta.

Que por Disposición N° 214/2023 esta Dirección Nacional Sustituyó el Anexo Disposición DI-2021-113078473-APN-DNPPDNI#RENAPER, de la Disposición N° 902 del 25 de noviembre de 2021 de esta DIRECCIÓN NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS, organismo descentralizado actuante en la órbita de la SECRETARÍA DE INTERIOR del MINISTERIO DEL INTERIOR, por el Anexo Disposición DI-2023-35632987-APN-DNPPDNI#RENAPER -características del actual Documento Nacional de Identidad-.

Que mediante el EX-2023-10164462-APN-DAYF#RENAPER tramitó la contratación de soluciones tendientes a desarrollar el proyecto de Modernización Tecnológica de la línea de producción Documental del Documento Nacional de Identidad y del Pasaporte Argentino, a los fines de cumplir con la Normativa de la Organización de Aviación Civil Internacional (OACI) de Naciones Unidas N° 9303/2015/2021, que establece parámetros y estándares que deben cumplir los documentos de viaje en todo el mundo.

Que previamente en abril de 2022, a fin de asegurar la más amplia publicidad y transparencia en el trámite de contratación del proyecto, se publicaron en consulta en la plataforma COMPR.AR como 78-0004-PRY22, los proyectos de pliegos de especificaciones técnicas y bases y condiciones particulares para que potenciales oferentes e interesados formulen sugerencias y observaciones.

Que, es de mencionar que esta Dirección Nacional emite a la fecha de esta disposición el DNI argentino utilizando tecnología de producción del año 2009, con máquinas, técnicas de impresión, laminado e insumos que ya no son utilizados en los países desarrollados para la emisión de documentos de viaje.

Que las credenciales de identificación electrónicas de policarbonato se han convertido en un estándar internacional desde hace un tiempo, y se encuentran implementadas por casi todos los países de la región y la gran mayoría de los países desarrollados del mundo; por caso, España la implementó en 2006, Chile la implementó en 2013, y Uruguay en 2015.

Que, en tal sentido la emisión del nuevo DNI electrónico implica un avance en lo referente al desarrollo de la Identidad digital y a las políticas de protección de datos personales al permitir el uso progresivo de mecanismos de validación de identidad con una menor exposición de datos sensibles y sin necesidad de recurrir como único o principal medio de validación a la biometría en línea.

Que el nuevo DNI electrónico no solo contempla un nuevo diseño dotado de medidas de seguridad que dificultan considerablemente la posibilidad de falsificación y de suplantación de identidad sino que también —al ser este documento electrónico, con chip y QR—, permite mejorar la seguridad del documento y facilita la verificación de su autenticidad por medios electrónicos.

Que a su vez, el nuevo DNI electrónico potencia el desarrollo de la identidad digital, al poder ser utilizado como medio de validación de identidad digital, o para firmar digitalmente; e incluso brindando la posibilidad de incluir otro tipo de información o servicios digitales, que permiten agilizar tiempos en organismos públicos, privados o aplicaciones.

Que por lo mencionado anteriormente, a través del proyecto de Modernización Tecnológica propiciado, Argentina se posiciona en la vanguardia respecto a la emisión de documentos de alta seguridad.

Que, atento a lo expresado, deviene necesario aprobar las características del nuevo Documento Nacional de Identidad electrónico, que emita esta Dirección Nacional en el marco de las competencias establecidas en la Ley Nº 17.671 y sus modificatorias.

Que asimismo, corresponde aprobar las medidas de seguridad y las funcionalidades del nuevo Documento Nacional de Identidad electrónico.

Que, asimismo corresponde establecer el carácter secreto de las medidas de seguridad de Nivel 2 y 3, conforme lo previsto en el artículo 2° inciso c) de la Ley N° 19.549 y el artículo 38 del Decreto Nº 1759/72 (T.O. 2017), Reglamentario de la Ley Nacional de Procedimiento Administrativo, conforme la política de seguridad del organismo.

Que a los fines de preservar y administrar eficientemente los recursos del erario público y a los efectos de utilizar los insumos existentes, así como garantizar una eficaz implementación del nuevo documento, resulta conveniente continuar con la emisión del Documento Nacional de Identidad actual -conforme el Anexo Disposición DI-2023-35632987-APN-DNPPDNI#RENAPER, aprobado por Disposición N° 214/2023-, y en forma simultánea, avanzar progresivamente con la implementación federal del nuevo DNI electrónico en todo el territorio nacional.

Que en ese sentido, los Documentos Nacionales de Identidad emitidos conforme las características aprobadas por Disposición N° 214/23 de esta Dirección Nacional mantendrán su validez hasta su fecha de vencimiento.

Que han tomado la intervención de su competencia, la DIRECCIÓN NACIONAL DE PROGRAMACIÓN Y PRODUCCIÓN DE DOCUMENTO NACIONAL DE IDENTIDAD, la DIRECCIÓN NACIONAL DE IDENTIFICACIÓN, la DIRECCIÓN NACIONAL DE ATENCIÓN AL CIUDADANO, la DIRECCIÓN GENERAL DE PLANEAMIENTO Y LOGÍSTICA DOCUMENTAL, la DIRECCIÓN GENERAL DE TECNOLOGÍA E INNOVACIÓN EN IDENTIDAD y la DIRECCIÓN GENERAL DE ADMINISTRACIÓN, todas de esta Dirección Nacional.

Que ha tomado la intervención de su competencia, la DIRECCIÓN GENERAL TÉCNICA JURÍDICA de esta Dirección Nacional.

Que la presente medida se dicta en uso de las facultades y atribuciones conferidas por la Ley Nº 17.671, 1° del Decreto N° 1501/09, y 2° del Decreto N° 79/19.

Por ello,

EL DIRECTOR NACIONAL DE LA DIRECCIÓN NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS

DISPONE:

Articulo 1°.- Apruébase el texto ordenado con las características del nuevo Documento Nacional de Identidad electrónico que consiste en una tarjeta de policarbonato que contiene un chip de lectura sin contacto, que como Anexo Disposición I N° DI-2023-143086704-APN-DNPPDNI#RENAPER forma parte integrante de la presente medida.

Articulo 2°.- Apruébanse las medidas de seguridad Nivel 1 del nuevo Documento Nacional de Identidad electrónico expedido por esta DIRECCIÓN NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS, organismo descentralizado actuante en la órbita de la SECRETARÍA DE INTERIOR del MINISTERIO DEL INTERIOR, que como Anexo Disposición II N° DI-2023-143087150-APN-DNPPDNI#RENAPER forma parte integrante de la presente medida.

Artículo 3°.- Apruébanse las medidas de seguridad Nivel 2 del nuevo Documento Nacional de Identidad electrónico expedido por esta Dirección Nacional, que como Anexo Disposición III forma parte integrante de la presente medida.

Artículo 4°.- Apruébanse las medidas de seguridad Nivel 3 del nuevo Documento Nacional de Identidad electrónico expedido por esta Dirección Nacional, las que como Anexo Disposición IV forma parte integrante de la presente medida.

Artículo 5°.- Apruébanse las funcionalidades del nuevo Documento Nacional de Identidad electrónico expedido por esta Dirección Nacional, que como Anexo Disposición V N° DI-2023-143082564-APN-DGTII#RENAPER, forma parte integrante de la presente medida.

Artículo 6°.- Establécese el carácter secreto de los Anexos Disposición III y IV mencionados en los artículos 3° y 4° de la presente Disposición.

Articulo 7°.- Determinase que los Documentos Nacionales de Identidad ya emitidos o que se emitan en el futuro, conforme las características aprobadas por la Disposición N° 214/23 —Anexo Disposición DI-2023- 35632987-APN-DNPPDNI#RENAPER— de esta Dirección Nacional, conservarán plena validez hasta su fecha de vencimiento o hasta tanto se emita un nuevo ejemplar, no siendo obligatorio su cambio por la versión del Documento Nacional de identidad electrónico conforme la presente medida.

Artículo 8°.- La presente medida entrará en vigencia a partir de su publicación en el Boletín Oficial.

Artículo 9°.- Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.

Santiago Juan Rodriguez

NOTA: El/los Anexo/s que integra/n este(a) Disposición se publican en la edición web del BORA -www.boletinoficial.gob.ar-

e. 01/12/2023 N° 98303/23 v. 01/12/2023

Fecha de publicación 01/12/2023

viernes, diciembre 01, 2023

Legislative predictions for Latin America & ARgentina 2024 (IAPP)

 Argentina

By Pablo Andres Palazzi

Argentina and other countries in the region, including Chile and Colombia, are discussing bills to amend and update data protection laws. Discussions are expected to take place across the region in 2024 and in the international fora as well.

On 30 June, 2023, Argentina's executive branch sent the proposed Personal Data Protection Bill to the National Congress for consideration. Drafted by Argentina's data protection authority, the Agencia de Acceso a la Información Pública, the bill seeks to amend the current Personal Data Protection Act.

The PDPB is based on international and regional standards, recommendations and principles, including the EU General Data Protection Regulation, Convention 108+, the Standards for Personal Data Protection for Ibero-American States, and other Latin American countries' regulations on personal data protection and privacy. While the bill was drafted in open consultation with academia, international experts, non-governmental organizations, companies and several government agencies, it has faced some objections and debate will take place in the National Congress in 2024.

The bill introduces definitions, principles and rights often seen in modern data privacy legislation, including privacy by design and by default, privacy impact assessments, accountability obligations, the obligation to appoint a data protection officer and legal representative for foreign companies, extraterritoriality provisions, data breach notifications, detailed regulation of international transfers of personal data, and portability rules. There are also specific regulations for credit reporting, automated decision-making and marketing, and rules for habeas data actions. The bill also grants the AAIP new powers, including the ability to halt personal data processing or activities that may affect users' privacy.

The PDPB introduces a new fine system based on units — a unit is 10,000 pesos — the value of which will be updated by the AAIP annually. If approved, the bill allows the AAIP to sanction companies five to 1 million units, or 2 to 4% of the company's global annual turnover. This has faced criticism since the use of global annual turnover may affect global companies and increase fines. An Argentine company with branches in Mexico, Brazil and Colombia could be fined based on regional global income, for example.

Other areas of concern include the bill's set age of 16 years old for children's consent and a provision stating the local representative of foreign companies can be liable in case the company it represents does not answer a DPA request.

Argentina was the first Latin American country to have an adequacy determination from the European Commission and it appears this bill seeks to preserve this status as most of its provisions follow EU GDPR standards.

Once approved, the PDPB would be effective six months after publication in the Official Gazette. However, the new fines would be applicable immediately upon publication of the law.

jueves, noviembre 23, 2023

EEUU reconocido para transferencias internacionales por la URCPD de Uruguay -

 

La pertinencia de actualizar la Resolución Nº 23/021 de 8 de junio de 2021, sobre los países u organizaciones consideradas adecuados para las transferencias internacionales de datos, de conformidad con lo establecido por el artículo 23 de la Ley Nº 18.331, de 11 de agosto de 2008.

VISTO: La pertinencia de actualizar la Resolución Nº 23/021 de 8 de junio de 2021, sobre los países u organizaciones consideradas adecuados para las transferencias internacionales de datos, de conformidad con lo establecido por el artículo 23 de la Ley Nº 18.331, de 11 de agosto de 2008.

RESULTANDO: I. Que la resolución indicada sustituyó la Nº 4/019 de 12 de marzo de 2019 y estableció los territorios adecuados para las transferencias internacionales de datos, excluyendo las transferencias realizadas a organizaciones incluidas en el marco del “Privacy Shield” por las razones en ella expuestas.

II. Que a los efectos de la determinación del listado correspondiente, la citada resolución consideró los Estándares en Protección de Datos Personales para los Estados Iberoamericanos emitidos por la Red Iberoamericana de Protección de Datos el 20 de junio de 2017 y el Reglamento General Europeo de Protección de Datos Nº 2016/679 del Parlamento Europeo y del Consejo.

III. Que, en particular, estableció que los países miembros de la Unión Europea cumplen con los estándares internacionales por aplicación del citado Reglamento y, por otra parte, estimó que los terceros países u organizaciones que han sido objeto de decisiones de adecuación del Parlamento Europeo y el Consejo poseen un nivel adecuado de protección, al acompasar su normativa a la de dicho estándar internacional.

IV. Que, en función de lo expresado, dicha resolución consideró adecuados a los miembros de la Unión Europea y el Espacio Económico Europeo, Principado de Andorra, República Argentina, el sector privado de Canadá, Guernsey, Isla de Man, Islas Feroe, Estado de Israel, Japón, Jersey, Nueva Zelanda, Reino Unido de Gran Bretaña e Irlanda del Norte, y Confederación Suiza.

Considerando: I. Que con posterioridad al dictado de la resolución citada, se han producido nuevas decisiones de adecuación a nivel de la Unión Europea que corresponde considerar, atento a lo indicado en el precedente Resultando III.

II. Que, en efecto, por decisión de adecuación de la Comisión de la Unión Europea de 17 de diciembre de 2021 se declararon adecuadas las transferencias realizadas a las entidades sujetas a la Ley de Protección de la Información Personal de la República de Corea, y por decisión de 10 de julio de 2023 se consideraron adecuadas las transferencias a organizaciones incluidas en el “Listado del Marco de Privacidad de Datos” publicado por el Departamento de Comercio de los Estados Unidos de América. Todo ello en el marco de las limitaciones y salvaguardas realizadas en las decisiones correspondientes.

ATENTO: A lo expuesto,

LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES

RESUELVE:

1°.- Incluir dentro del listado contenido en la Resolución N° 23/021 de 8 de junio de 2021 que se explicita en el Resultando IV de la presente, a las transferencias internacionales realizadas a las entidades sujetas a la Ley de Protección de la Información Personal de la República de Corea, y a las transferencias a organizaciones incluidas en el “Listado del Marco de Privacidad de Datos” publicado por el Departamento de Comercio de los Estados Unidos de América.

2º.- Reafirmar que de conformidad con lo establecido en la Resolución N° 23/021 de 8 de junio de 2021 la realización de las transferencias indicadas se encontrará supeditada, en caso de corresponder, a las limitaciones o excepciones previstas en las decisiones referidas en el Considerando II de esta Resolución,

3º.- Publíquese y oportunamente archívese.

 

Firmado por: Felipe Rotondo

Consejo Ejecutivo

URCDP

lunes, octubre 23, 2023

LEY OLIMPIA

 

LEY OLIMPIA

Ley 27736

Ley Nº 26.485. Modificación.

El Senado y Cámara de Diputados de la Nación Argentina reunidos en Congreso, etc. sancionan con fuerza de

Ley:

LEY OLIMPIA

MODIFICACIONES A LA LEY 26.485

VIOLENCIA DIGITAL

Artículo 1°- Incorpórase como inciso h) del artículo 2° de la ley 26.485, el siguiente texto:

h) Los derechos y bienes digitales de las mujeres, así como su desenvolvimiento y permanencia en el espacio digital.

Artículo 2°- Modifícase el inciso d) del artículo 3° de la ley 26.485, el cual queda redactado de la siguiente forma:

d) Que se respete su dignidad, reputación e identidad, incluso en los espacios digitales.

Artículo 3°- Modifícase el artículo 4° de la ley 26.485, el cual queda redactado de la siguiente forma:

Artículo 4°: Definición. Se entiende por violencia contra las mujeres toda conducta, por acción u omisión, basada en razones de género, que, de manera directa o indirecta, tanto en el ámbito público como en el privado, en el espacio analógico digital, basada en una relación desigual de poder, afecte su vida, libertad, dignidad, integridad física, psicológica, sexual, económica o patrimonial, participación política, como así también su seguridad personal. Quedan comprendidas las perpetradas desde el Estado o por sus agentes.

Se considera violencia indirecta, a los efectos de la presente ley, toda conducta, acción, omisión, disposición, criterio o práctica discriminatoria que ponga a la mujer en desventaja con respecto al varón.

Artículo 4°- Incorpórase como inciso i) del artículo 6° de la ley 26.485, el siguiente texto:

i) Violencia digital o telemática: toda conducta, acción u omisión en contra de las mujeres basada en su género que sea cometida, instigada o agravada, en parte o en su totalidad, con la asistencia, utilización y/o apropiación de las tecnologías de la información y la comunicación, con el objeto de causar daños físicos, psicológicos, económicos, sexuales o morales tanto en el ámbito privado como en el público a ellas o su grupo familiar.

En especial conductas que atenten contra su integridad, dignidad, identidad, reputación, libertad, y contra el acceso, permanencia y desenvolvimiento en el espacio digital o que impliquen la obtención, reproducción y difusión, sin consentimiento de material digital real o editado, intimo o de desnudez, que se le atribuya a las mujeres, o la reproducción en el espacio digital de discursos de odio misóginos y patrones estereotipados sexistas o situaciones de acoso, amenaza, extorsión, control o espionaje de la actividad virtual, accesos no autorizados a dispositivos electrónicos o cuentas en línea, robo y difusión no consentida de datos personales en la medida en que no sean conductas permitidas por la ley 25.326 y/o la que en el futuro la reemplace, o acciones que atenten contra la integridad sexual de las mujeres a través de las tecnologías de la información y la comunicación, o cualquier ciberataque que pueda surgir a futuro y que afecte los derechos protegidos en la presente ley.

Artículo 5°- Modifícase el inciso o) del artículo 9° de la ley 26.485, el cual queda redactado de la siguiente forma:

o) Implementar un servicio multisoporte, telefónico y digital gratuito y accesible, en forma articulada con las provincias, a través de organismos gubernamentales pertinentes, destinada a dar contención, información y brindar asesoramiento sobre recursos existentes en materia de prevención de la violencia contra las mujeres y asistencia a quienes la padecen, incluida la modalidad de ‘violencia contra las mujeres en el espacio público’ conocida como ‘acoso callejero’.

La información recabada por las denuncias efectuadas a este servicio debe ser recopilada y sistematizada por la autoridad de aplicación a fin de elaborar estadísticas confiables para la prevención y erradicación de las diversas modalidades de violencia contra las mujeres.

Artículo 6°- Modifícase el inciso f) del punto 3 del artículo 11 de la ley 26.485, el cual queda redactado de la siguiente forma:

f) Promover programas de alfabetización digital, buenas prácticas en el uso de las tecnologías de la información y la comunicación y de identificación de las violencias digitales, en las clases de educación sexual integral como en el resto de los contenidos en el ámbito educativo y en la formación docente.

Artículo 7°- Incorpórase como inciso g) del punto 3 del artículo 11 de la ley 26.485, el siguiente texto:

g) Las medidas anteriormente propuestas se promoverán en el ámbito del Consejo Federal de Educación.

Artículo 8°- Modifícase el inciso a) del artículo 16 de la ley 26.485, el cual queda redactado de la siguiente forma:

a) A la gratuidad de toda diligencia e instancia en el curso de las actuaciones judiciales, y al acceso a los recursos públicos disponibles para la producción de prueba, en particular para la realización de pericias informáticas y al patrocinio jurídico preferentemente especializado.

Artículo 9°- Incorpórase como inciso l) del artículo 16 de la ley 26.485, el siguiente texto:

l) Al resguardo diligente y expeditivo de la evidencia en soportes digitales por cuerpos de investigación especializados u organismos públicos correspondientes.

Artículo 10.- Modifícase el apartado a.2. del artículo 26 de la ley 26.485, por el siguiente texto:

a.2. Ordenar al presunto agresor que cese en los actos de perturbación o intimidación que, directa o indirectamente, realice hacia la mujer, tanto en el espacio analógico como en el digital.

Artículo 11.- Incorpórase como apartado a.8. del artículo 26 de la ley 26.485, el siguiente texto:

a.8. Ordenar la prohibición de contacto del presunto agresor hacia la mujer que padece violencia por intermedio de cualquier tecnología de la información y la comunicación, aplicación de mensajería instantánea o canal de comunicación digital.

Artículo 12.- Incorpórase como apartado a.9. del artículo 26 de la ley 26.485, el siguiente texto:

a.9. Ordenar por auto fundado, a las empresas de plataformas digitales, redes sociales, o páginas electrónicas, de manera escrita o electrónica la supresión de contenidos que constituyan un ejercicio de la violencia digital o telemática definida en la presente ley, debiendo identificarse en la orden la URL específica del contenido cuya remoción se ordena. A los fines de notificación de la medida del presente inciso se podrá aplicar el artículo 122 de la ley 19.550.

La autoridad interviniente en el caso deberá solicitar a las empresas de plataformas digitales, redes sociales, o páginas electrónicas, el aseguramiento de los datos informáticos relativos al tráfico, a los abonados y contenido del material suprimido, que obren en su poder o estén bajo su control, para las acciones de fondo que correspondan, durante un plazo de noventa (90) días que podrá renovarse una única vez por idéntico plazo a pedido de la parte interesada. Se deberá ordenar mantener en secreto la ejecución de dicho procedimiento mientras dure la orden de aseguramiento.

La autoridad podrá, a requerimiento de parte y únicamente para la investigación de las acciones de fondo que correspondan, solicitar a las requeridas que revelen los datos informáticos de abonados que obren en su poder o estén bajo su control e igualmente los relativos al tráfico y al contenido del material suprimido mediante auto fundado de acuerdo a los mecanismos de cooperación interna y/o procedimientos previstos en el marco de las normas y tratados sobre cooperación internacional vigentes.

Artículo 13.- Comuníquese al Poder Ejecutivo nacional.

DADA EN LA SALA DE SESIONES DEL CONGRESO ARGENTINO, EN BUENOS AIRES, A LOS DIEZ DÍAS DEL MES DE OCTUBRE DEL AÑO DOS MIL VEINTITRÉS

REGISTRADO BAJO EL N° 27736

CLAUDIA LEDESMA ABDALA DE ZAMORA - CECILIA MOREAU - Marcelo Jorge Fuentes - Eduardo Cergnul

miércoles, octubre 18, 2023

Agencia de Acceso a la Información Pública aprueba nuevas cláusulas contractuales modelo

La Agencia de Acceso a la Información Pública (“AAIP”) aprueba nuevas cláusulas contractuales modelo (“CCM”) para transferencias internacionales. A través de la Resolución 198/2023 (la “Resolución”), la AAIP aprobó las nuevas CCM para la transferencia internacional de datos que complementan, pero no reemplazan, a las cláusulas contractuales modelo que fueran acogidas mediante la Disposición 60/2016 de la Dirección Nacional de Protección de Datos Personales.

La adopción de las nuevas CCM ocurre luego de que, en octubre de 2021, la Red Iberoamericana de Protección de Datos (“RIPD”) –siguiendo los pasos de la Unión Europea quien, en junio de 2021, promulgó sus propias cláusulas– publicara cláusulas contractuales modelo y exhortara a los países miembro a adoptarlas en su normativa interna, siendo Uruguay, Perú y ahora Argentina los primeros en hacerlo. 

Con la sanción de la Resolución, quienes celebren contratos en Argentina que importen la transferencia internacional de datos (tanto para contratos entre responsable y encargado como entre dos o más responsables) contarán con la posibilidad de implementar estas cláusulas preaprobadas y garantizar así que el flujo de datos se ajuste a estándares de protección adecuados en los términos de las autoridades de control de las jurisdicciones que las hubieran adoptado.

La adopción de estas CCM supone un paso hacia la armonización de normas y flujos de datos entre Argentina y distintas jurisdicciones latinoamericanas y de la Unión Europea.

La Resolución puede consultarse en el siguiente enlace del BO oficial.

Pablo A. Palazzi  - Allende & Brea


Argentina aprueba clausulas contractuales modelo - Res. 19/2023

 

AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

Resolución 198/2023

RESOL-2023-198-APN-AAIP

Ciudad de Buenos Aires, 13/10/2023

VISTO el Expediente N° EX-2023-60881292- -APN-AAIP; las Leyes Nº 25.326, Nº 27.275, N° 27.483 y N° 27.699; los Decretos Nº 1558 del 29 de noviembre de 2001, N° 206 del 27 de marzo de 2017, Nº 746 del 25 de septiembre de 2017 y N° 899 del 3 de noviembre de 2017; la Resolución de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA N° 34 del 26 de febrero de 2019; la Disposición de la Dirección Nacional de Protección de Datos Personales N° 60 del 16 de noviembre de 2016; y

CONSIDERANDO:

Que, de acuerdo con el artículo 19 de la Ley Nº 27.275, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP), ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, es Autoridad de Aplicación de la Ley de Protección de Datos Personales N° 25.326, entre otras responsabilidades.

Que, de conformidad con el artículo 29, inciso b), de la Ley N° 25.326, la AAIP tiene entre sus facultades la de dictar las normas y reglamentaciones que se deben observar para el correcto tratamiento de datos personales.

Que el artículo 12 del Anexo I al Decreto N° 1558/01 faculta a la Dirección Nacional de Protección de Datos Personales (DNPDP) a evaluar, de oficio o a pedido de parte interesada, el nivel de protección proporcionado por las normas de un Estado u organismo internacional.

Que la misma norma sostiene que “…el carácter adecuado del nivel de protección que ofrece un país u organismo internacional se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración de tratamiento o de los tratamientos previstos, el lugar de destino final, las normas de derecho, generales o sectoriales, vigentes en el país de que se trate, así como las normas profesionales, códigos de conducta y las medidas de seguridad en vigor en dichos lugares, o que resulten aplicables a los organismos internacionales o supranacionales”.

Que, asimismo, dispone que “…un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente, o de sistemas de autorregulación, o del amparo que establezcan las cláusulas contractuales que prevean la protección de datos personales”.

Que, a falta de una decisión de adecuación, la legislación admite como garantías adecuadas a los fines de la transferencia internacional de datos personales la existencia de autorregulación o cláusulas contractuales que brinden garantías de protección equiparables a la de nuestra normativa.

Que mediante la Disposición de la DNPDP N° 60/2016, modificada por la Resolución de la AAIP N° 34/2019, se aprobaron las cláusulas contractuales tipo de transferencia internacional para la cesión y prestación de servicios, incorporadas en los Anexos I y II de dicha medida, respectivamente, a fin de garantizar un nivel adecuado de protección de datos personales en los términos del artículo 12 de la Ley N° 25.326 y del Anexo I al Decreto N° 1558/01 en aquellas transferencias de datos que tengan por destino países sin legislación adecuada.

Que el Anexo I de la Disposición citada contiene el “Contrato modelo de transferencia internacional de datos personales con motivo de la cesión de datos personales”, mientras que el Anexo II establece el “Contrato modelo de transferencia internacional de datos personales con motivo de prestación de servicios”.

Que, ante la irrupción de una nueva generación de legislaciones en materia de protección de datos, el crecimiento significativo de los flujos transfronterizos y su incidencia en la economía global, a nivel regional e internacional se ha avanzado en la actualización de cláusulas contractuales modelo para la transferencia internacional, con el propósito de conducir hacia la convergencia de herramientas, simplificar los procedimientos y establecer pisos de garantías comunes que potencien la confianza entre los diferentes países.

Que se destacan las cláusulas contractuales modelo para la transferencia internacional de datos personales de la Red Iberoamericana de Protección de Datos, aprobadas por unanimidad en diciembre de 2021; las Cláusulas estándares Contractuales de la Comisión de la Unión Europea, de junio de 2021; las Cláusulas contractuales modelo de la ASEAN para flujos de datos transfronterizos, de enero de 2021; el Contrato Estándar de exportación de Información Personal de la Administración de Ciberespacio de China, promulgado en febrero de 2023 y el primer módulo de las Cláusulas Contractuales modelo para flujos de datos transfronterizos del Consejo de Europa, aprobadas en junio de 2023.

Que la AAIP forma parte de la Red Iberoamericana de Protección de Datos (RIPD) e integra su comité ejecutivo.

Que, el 22 de octubre de 2021 se llevó a cabo el XIX Encuentro de la RIPD, en cuya declaración final, se exhortó a los Estados Iberoamericanos, así como a los empresarios, a tomar en consideración las Cláusulas Contractuales Modelo desarrolladas por la Red en materia de transferencias internacionales, especialmente para las transferencias a jurisdicciones que no cuenten con legislaciones adecuadas.

Que otros países de la región -como Uruguay, a través de la Resolución N° 50/2022, o Perú, mediante la Resolución Directoral Nº 074-2022-JUS/DGTAIPD- decidieron adoptar estos modelos contractuales, lo cual permite estandarizar los instrumentos para las transferencias seguras de datos y, al mismo tiempo, facilitar la armonización normativa entre las diferentes autoridades de aplicación de la región.

Que mediante la Resolución de la AAIP N° 94/2023 se aprobó el Plan Estratégico de la AAIP 2022-2026, donde se estableció como meta para el corriente año la actualización de las cláusulas contractuales modelo para las transferencias internacionales de datos personales.

Que dichas cláusulas posibilitan el cumplimiento de los principios de protección de datos personales, y brindan a las empresas u organismos una alternativa económicamente viable, evitando que deban negociar acuerdos individuales al permitirles utilizar un conjunto de cláusulas previamente aprobadas por la Autoridad de Aplicación.

Que las cláusulas modelo que aquí se proponen expresan las dos alternativas prácticas más habituales de una transferencia internacional, como son las transferencias entre responsables y responsables, o entre responsables y encargados, proponiendo modelos de cláusulas tipo diferenciadas para ambos supuestos.

Que, además, son compatibles con las cláusulas contractuales tipo aprobadas por la Disposición de la DNPDP N° 60/2016, y tienen el potencial de contribuir a la convergencia normativa para una protección de datos adecuada, siguiendo estándares aceptados a nivel mundial.

Que, por los motivos señalados, resulta oportuno y conveniente incorporar las cláusulas contractuales modelo para la transferencia internacional de datos personales de la Red Iberoamericana de Protección de Datos al marco normativo aplicable en nuestro país en materia de protección de datos personales.

Que, de conformidad con lo establecido en el artículo 7º, inciso d), de la Ley Nº 19.549, la Dirección de Asuntos Jurídicos de la AAIP ha tomado la intervención de su competencia.

Que la presente medida se dicta en virtud de las facultades conferidas por el artículo 29, inciso 1, apartado b), de la Ley N° 25.326 y 29 del Decreto N° 1558/2001.

Por ello,

LA DIRECTORA DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1° - Aprobar las cláusulas contractuales modelo para transferencias internacionales incluidas en la “Guía de Implementación de Cláusulas Contractuales Modelo para la Transferencia Internacional de Datos Personales” (TIDP) que, como Anexo I (IF-2023-108581614-APN-DNPDP#AAIP), forma parte integrante de la presente resolución.

ARTÍCULO 2° —La presente norma entrará en vigencia a partir de su publicación en el BOLETÍN OFICIAL.

ARTÍCULO 3° — Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese.

Beatriz de Anchorena

NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-

e. 18/10/2023 N° 83410/23 v. 18/10/2023

Fecha de publicación 18/10/2023

miércoles, agosto 30, 2023

Peru - Anteproyecto de reglamentación de datos personales (2023)

En agosto de 2023 se presentó mediante Resolución Ministerial N.° 0270-2023-JUS el anteproyecto de reglamentacion de la ley de datos personales de Perú. Se abre una consulta pública por 30 dias para comentarios sobre el mismo.

El borrador del Reglamento peruano explica que tiene por objeto establecer disposiciones para la adecuada intepretación de la ley de protección de datos personales (art. 1). 

La ley peruana de protección de datos personales data del año 2011.  La ley peruana es una ley de primera generación, como la argentina o la ley uruguaya. Con lo cual este proyecto de update jurídico le serviría para ponerse a tono con estandares internacionales.

Entre otras novedades:

- aparece el concepto de incidente de seguridad (art. II.13).

- aparece el concepto de Oficial de Datos personales (art. II.14).

- extraterritorialidad (art. V): se define la extraterritorialidad siguiendo las ideas del RGPD europeo pero se incluyen mas agregados nuevos que parecen un poco complejos.

- se menciona el principio de responsabilidad proactiva (art. VII).

- el consentimiento se vuelve mas detallado (en el proyecto de reglamento hay 5 páginas relativas al consentimiento, sus formalidades y sus excepciones, no sera mucho?).

- transferencias internacionales: se regulan extensamente los flujos de datos transfronterizos (se usa la terminología del Convenio 108) incluyendo las salvaguardias tales como "binding corporate rules" y cláusulas contractuales modelo (recordemos que Perú fue el primer país de América Latina en aprobar la versión de cláusulas contractuales de la RIPD).

martes, julio 04, 2023

Uruguay - sandbox para datos personales

 Uruguay propone sandbox regulatorio para datos personales e innovación y AGESIC es designada agencia para temas de iA - proyecto de ley de presupuesto (arts. 65 & 66)

martes, mayo 02, 2023

Se publica un nuevo tomo de la obra colectiva Protección de datos. Doctrina y jurisprudencia - editada por Pablo A. Palazzi y el CETYS (CDYT 2023).

Presentación de la obra Protección de Datos personales: doctrina y jurisprudencia -  tomo 3 (CDYT, 2023).


En mayo de 2023 se publicó el tercer tomo de la obra “Protección de datos. Doctrina y Jurisprudencia” que se publica bajo el sello de CDYT Colección Derecho y Tecnología (CETyS, UDESA) editada y coordinada por el profesor Pablo Palazzi, profesor de UDESA y director del CETyS.


Los dos primeros tomos se presentaron y editaron para celebrar las dos décadas de vigencia de la ley argentina n. 25.326 y contaron con la presencia de importantes autores nacionales. 


Esta nueva publicación de la colección está dedicada a las novedades existentes tanto en Argentina como en América Latina debido al amplio desarrollo que está teniendo la materia en la región. Para hacer honor al título de la colección (“Protección de datos. Doctrina y Jurisprudencia”) además de notas y comentarios se incluyen en los anexos de cada artículo la jurisprudencia, opiniones o decisiones de las agencias, informes, casos, modelos o reportes relacionados con el artículo en cuestión de modo que sirva de consulta para el autor.


La diversidad de temas actuales se representa en los temas que abordan los artículos publicados en este edición, incluyendo temas relacionados con la prensa, asuntos laborales, cuestiones de marketing, informes comerciales, seguros cibernéticos, sanciones administrativas, inteligencia artificial, el metaverso, los e-sports, la seguridad informática y los incidentes de (in)seguridadad, el principio de responsabilidad proactiva aplicado a las transferencias internacionales, los contratos para realizar tales transferencias, el DPO, la desinformación y las fake news en Internet, los casos de robo de identidad, los daños por tratamiento automatizado de datos personales y  acciones de clase. 


También la diversidad de autores es demostrativa de la amplitud de la temática incluyendo en esta obra a autores de Colombia, México, Uruguay, Chile y Argentina.


En cuanto al contenido de esta publicación, a lo largo de la misma el lector encontrará tratamiento de todos los temas arriba mencionados.


La primera nota pertenece al profesor Nelson Remolina Angarita quien escribe sobre la “explicabilidad” de los algoritmos. Como es sabido en materia de IA muchos de los algoritmos son “cajas negras” que toman decisiones sin que siquiera sus propios creadores puedan explicar el resultado de los mismos, existiendo también cuestiones relacionadas con la propiedad intelectual y los secretos comerciales de los algoritmos y el origen de los datos usados para alimentar. A modo de ejemplo la autoridad italiana recientemente bloqueó el uso ded  ChatGTP por problemas con los datos personales.


Le sigue una nota escrita por cuatro autores de (Jonathan Mendoza Iserte, Pablo Francisco Muñoz Díaz, Vitelio Ruiz Bernal y Jesús Javier Sánchez García) que tratan el problema de la protección de datos personales y el periodismo a la luz del Convenio 108+ del Consejo de Europa.


El Profesor de Derecho Informático de la Universidad Católica de Valparaíso (PUCV,  Chile) Dr. Renato Jijena escribe sobre mora e insolvencia, registros de morosos y Derechos Fundamentales en Chile.


El profesor O. Puccinelli de la Universidad de Rosario escribe sobre las fake news y sus relaciones con la privacidad y la libertad de información en una nota titulada “Desinfodemia y derecho a la información, libertad de expresión y protección de datos”.


Desde Colombia, Alejandro Londoño Congote analiza la orden administrativa como mecanismo de la autoridad para garantizar la seguridad en el tratamiento de los datos personales. Es interesante mencionar que esta “orden administrativa” fue receptada en el proyecto de ley de protección de datos que la AAIP elaboró durante el 2022.


La protección de datos se relaciona cada vez más con otras áreas del Derecho como ser el derecho del consumo, el derecho de la competencia, el derecho de seguros, etc. Varias notas tratan estos temas.


Un tema que cada vez suena más es el de las relaciones entre la protección de datos personales y el Derecho de Defensa de la Competencia. Dos reconocidos autores expertos en derecho antitrust, Pablo Trevisan y Laura Bierzychudek analizan en su artículo las relaciones entre ambas áreas del Derecho. 


Es interesante resaltar que además de los casos europeos donde se mezclan el derecho de la competencia y el de los datos personales, comenzaron a aparecer investigaciones y decisiones sobre el tema en la región latinoamericana con casos puntuales en Argentina, Brasil y Chile.


Otro artículo escrito por Esther Garcia Tagliaferri trata el tema de los “Ciberseguros y protección de datos personales”. Se analizan los casos recientes de cobertura de data breach.



Mariana Oliveira en su nota analiza los incidentes de seguridad ocurridos en Argentina y la respuesta legal. Agustina Sirvén estudia la temática de los procesamientos automatizados y la protección de datos personales en Argentina. Sobre el derecho al olvido el Dr. Pablo Luis Manili se pregunta si se trata de derecho constitucional implícito a la luz del caso “Denegri”.


Manuela Adrogué y Diego Fernández en su nota titulada “La Autoridad de Control como agente modernizador de la Ley de Datos Personales de Argentina” narran los últimos casos resueltos por la agencia argentina de datos personales.


Las novedades que nos trae la tecnología generan nuevas áreas donde se compilan datos personales, tales como la tecnología IOT, el metaverso, el mundo de los e-sports, etc. Dos notas abordan los desafíos a la privacidad en estas nuevas áreas. Elba Marchovechio y Diego Saenz en su artículo titulado “Datos personales y uso de datos de estadísticas de jugadores de fútbol en el mundo del e-sports” analizan el problema de la información personal generada por las actividades de e-sports. 


La autora mexicana Olivia Andrea Mendoza Enriquez en su nota “El derecho a la privacidad y protección de datos personales en el metaverso” nos introduce a los problemas políticos relacionados con esta nueva realidad virtual.


Finalmente, en materia de derecho laboral, Gabriela Lis, abogada con amplia trayectoria en el rubro, escribe sobre el uso de la tecnología de reconocimiento facial como mecanismo de control por parte del empleador y su implicancia en la protección de datos. 


Profesor Pablo A. Palazzi

CETYS, UDESA

Buenos Aires, abril de 2023.