miércoles, diciembre 20, 2023

NUEVO LIBRO: tomo 4 de la obra Protección de Datos Personales: doctrina y jurisprudencia (2024)

 

NOVEDAD: Se publicó el tomo 4 de la obra Protección de Datos Personales: doctrina y jurisprudencia. Se puede adquirir online en la libreria Praxis Juridica junto a los otros tomos 1, 2 y 3.

Se publicó el tomo 4 de la obra Protección de Datos Personales: doctrina y jurisprudencia, con notas de Leonardo Cervera Navas, Sonia Perez Romero, Luca Belli, Ana Brian, Jonathan Mendoza Iserte, Nelson Remolina, Pablo A. Palazzi, Eduardo Bertoni, Gustavo Parra Noriega, Luisa Fernanda Alvarez Zuluaga, Gonzalo Sosa Barreto, Diego Fernández & Josefina Barbero, Renato Jijena Leiva, Ana Karen Cortés Víquez, Luis Ordóñez Pineda y María Arias Pou.


Entre otros temas se incluyen IA, transferencias internacionales, la protección de los datos personales en los acuerdos internacionales sobre comercio electrónico, el derecho al olvido, el Convenio 108+, la constitucionalización del Habeas Data y análisis sectoriales de Costa Rica, Chile, Ecuador y Panamá.


También se incluye jurisprudencia argentina sobre sanciones administrativas, y casos europeos sobre el DPO  (su regulación laboral e incompatibilidades), el derecho de acceso a datos de historia clínica y el tratamiento de datos mediante apps de Covid. También un documento sobre accountability realizado por el GECTI de la Univ de los Andes y la declaración de Bletchey sobre IA.


La obra se consigue en Praxis Juridica. El índice está disponible aquí.





jueves, diciembre 07, 2023

Uruguay- Resolución N° 70/023Resolución N° 70/023 - transferencias internacionales

 

Resolución N° 70/023 .

05/12/2023
Complementar lo establecido por las Resoluciones N° 23/021, de 8 de junio de 2021 y N° 63/023, de 22 de noviembre de 2023.

VISTO: La pertinencia de complementar lo establecido por las Resoluciones N° 23/021, de 8 de junio de 2021 y N° 63/023, de 22 de noviembre de 2023.

RESULTANDO: I. Que las resoluciones indicadas establecieron el listado de países y organizaciones adecuados para la realización de transferencias internacionales de conformidad con lo establecido en el artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008.

II. Que atento a lo establecido en el artículo 6° de la Ley N° 18.331 la formación de bases de datos será lícita cuando se encuentren debidamente inscriptas, lo que deberá realizarse en el Registro de Bases de Datos creado por el artículo 1° del decreto N° 664/008, de 22 de diciembre de 2008, en la forma establecida en éste y por el artículo 16 del decreto N° 414/009, de 31 de agosto de 2009, en la redacción dada por el artículo 1° del decreto N° 308/014, de 22 de octubre de 2014.

III. Que, de conformidad con lo establecido en el artículo 4° del decreto N° 664/008 la Unidad Reguladora y de Control de Datos Personales se encuentra facultada para agregar los elementos que considere necesarios en el marco del Registro de Base de Datos, exigiéndose actualmente la indicación del destino de la transferencia internacional, sin importar la base de legitimación para dicha transferencia.

IV. Que, el artículo 13 de la Ley N° 18.331, en la redacción dada por el artículo 62 de la Ley N° 20.075, de 20 de octubre de 2022, establece la información que debe proveerse a los titulares en forma previa a la recolección de sus datos o a solicitud de éstos, dentro de los que se incluye la existencia o no de transferencias internacionales (literal F). Dicho artículo habilita además a esta Unidad a establecer condiciones específicas para la publicidad permanente de la información indicada.

Considerando: I. Que, de las normas citadas resulta que previo a la realización de transferencias internacionales de datos, tanto a países u organizaciones adecuadas como no adecuadas, se requiere la inscripción previa de la base de datos correspondiente en el Registro de Bases de Datos Personales que lleva adelante esta Unidad. En el caso de las transferencias a países o territorios no adecuados, se requerirá además la comprobación de alguna de las hipótesis previstas en el artículo 23 de la Ley N° 18.331, o una autorización previa por parte del Consejo Ejecutivo de la Unidad.

II. Que, las decisiones de adecuación consideradas en las Resoluciones indicadas en el Visto establecen excepciones o aspectos especiales que deben contemplarse al momento de valorar la realización de una transferencia internacional, lo que es responsabilidad de los responsables de tratamiento de conformidad con lo previsto en el artículo 12 de la Ley N° 18.331, en la redacción dada por el artículo 39 de la Ley N° 19.670, de 15 de octubre de 2018.

III. Que, en lo que respecta a las transferencias a las organizaciones referidas en la Resolución N° 63/023, la especificidad del régimen del Marco de Privacidad de UE-EEUU determinan la necesidad de adoptar salvaguardas adicionales a los efectos de su aplicación a las transferencias realizadas desde Uruguay.

IV. Que, la nueva redacción del artículo 13 de la Ley N° 18.331, exige una mayor transparencia en la provisión de información a los titulares de los datos, mencionando especialmente la transferencia internacional de datos.

ATENTO: A lo expuesto,

LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES

RESUELVE:

1°.- Los responsables y encargados de tratamiento que realicen transferencias internacionales deberán comunicar a los titulares de los datos, en las circunstancias previstas en el artículo 13 de la Ley N° 18.331, de 11 de agosto de 2008 (en la redacción dada por el artículo 62 de la Ley N° 20.075, de 20 de octubre de 2022), el destino de sus datos, el rol del importador, el plazo de la transferencia, la base de legitimación, y las operaciones de tratamiento realizadas por el importador.

2º.- Los responsables y encargados contarán con un plazo de 6 (seis) meses para adaptar sus políticas de privacidad a lo indicado en el resuelve anterior.

3º.- Reafirmar que la inscripción de la base de datos correspondiente en el Registro de Bases de Datos Personales que lleva adelante esta Unidad es un requisito previo a toda operación de tratamiento, incluyendo la realización y eventual autorización de transferencias internacionales.

4°.- Los responsables y encargados que procuren realizar transferencias internacionales a organizaciones incluidas en el Marco de Privacidad de UE-EEUU  deberán presentar ante esta Unidad, en la oportunidad de la inscripción de la Base de Datos o en forma previa a la transferencia, una declaración expresa en la que la respectiva organización importadora declare haber extendido la aplicación de las salvaguardas de dicho marco a los datos transferidos desde Uruguay. En caso de que no se formule dicha declaración, la transferencia a las citadas organizaciones podrá realizarse en virtud de cláusulas contractuales presentadas por los responsables o encargados, que sean autorizadas previamente por esta Unidad, u otros fundamentos previstos legalmente.

5°- Publíquese y oportunamente archívese.

 

Firmado por: Felipe Rotondo

Consejo Ejecutivo

URCDP

domingo, diciembre 03, 2023

Se viene el DNI electronico en Argentina, ven algun problema con la seguridad o los datos personales?

 

DIRECCIÓN NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS

Disposición 1255/2023

DI-2023-1255-APN-RENAPER#MI

Ciudad de Buenos Aires, 30/11/2023

VISTO el Expediente N°, las Leyes Nº 17.671 y sus modificatorias, N° 19.549 y sus modificatorias, los Decretos N° 1759 del 3 de abril de 1972 (T.O. 2017), Nº 1501 del 20 de octubre de 2009, N° 79 del 27 de diciembre de 2019, la Resolución N° 797 del 16 de abril de 2012, las Disposiciones N° 902 del 25 de noviembre de 2021, y N° 214 del 31 de marzo de 2023, ambas de esta DIRECCIÓN NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS, y

CONSIDERANDO:

Que conforme la Ley N° 17.671 compete a esta DIRECCIÓN NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS, organismo descentralizado actuante en la órbita de la SECRETARÍA DE INTERIOR del MINISTERIO DEL INTERIOR, la expedición con carácter exclusivo del Documento Nacional de Identidad, de todas las personas humanas que se domicilien en territorio argentino o en jurisdicción argentina y de todas las personas humanas argentinas sea cual fuere el lugar donde se domiciliaren.

Que el Documento Nacional de Identidad -DNI- expedido por esta Dirección Nacional, es de uso obligatorio en todas las circunstancias en que sea necesario acreditar la identidad de las personas humanas, sin que pueda ser suplido por ningún otro documento de identidad, cualquiera fuere su naturaleza y origen.

Que los artículos 9° y 11 de la Ley N° 17.671, determinan los datos con los que se debe contar para la identificación de las personas y la competencia exclusiva de esta Dirección Nacional para la expedición de los Documentos Nacionales de Identidad con las características, nomenclatura y plazos que se establezcan en la reglamentación.

Que mediante el Decreto Nº 1501/09 se autorizó a este organismo utilizar tecnologías digitales en la identificación de las personas humanas, como así también en la emisión del Documento Nacional de Identidad, determinando asimismo, que esta Dirección Nacional aprobará el diseño, características y detalles del Documento Nacional de Identidad, con su nomenclatura, descripción y elementos de seguridad e inviolabilidad.

Que por la Resolución N° 797/2012 de esta Dirección Nacional, se estableció la emisión del Documento Nacional de Identidad exclusivamente en formato tarjeta.

Que por Disposición N° 214/2023 esta Dirección Nacional Sustituyó el Anexo Disposición DI-2021-113078473-APN-DNPPDNI#RENAPER, de la Disposición N° 902 del 25 de noviembre de 2021 de esta DIRECCIÓN NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS, organismo descentralizado actuante en la órbita de la SECRETARÍA DE INTERIOR del MINISTERIO DEL INTERIOR, por el Anexo Disposición DI-2023-35632987-APN-DNPPDNI#RENAPER -características del actual Documento Nacional de Identidad-.

Que mediante el EX-2023-10164462-APN-DAYF#RENAPER tramitó la contratación de soluciones tendientes a desarrollar el proyecto de Modernización Tecnológica de la línea de producción Documental del Documento Nacional de Identidad y del Pasaporte Argentino, a los fines de cumplir con la Normativa de la Organización de Aviación Civil Internacional (OACI) de Naciones Unidas N° 9303/2015/2021, que establece parámetros y estándares que deben cumplir los documentos de viaje en todo el mundo.

Que previamente en abril de 2022, a fin de asegurar la más amplia publicidad y transparencia en el trámite de contratación del proyecto, se publicaron en consulta en la plataforma COMPR.AR como 78-0004-PRY22, los proyectos de pliegos de especificaciones técnicas y bases y condiciones particulares para que potenciales oferentes e interesados formulen sugerencias y observaciones.

Que, es de mencionar que esta Dirección Nacional emite a la fecha de esta disposición el DNI argentino utilizando tecnología de producción del año 2009, con máquinas, técnicas de impresión, laminado e insumos que ya no son utilizados en los países desarrollados para la emisión de documentos de viaje.

Que las credenciales de identificación electrónicas de policarbonato se han convertido en un estándar internacional desde hace un tiempo, y se encuentran implementadas por casi todos los países de la región y la gran mayoría de los países desarrollados del mundo; por caso, España la implementó en 2006, Chile la implementó en 2013, y Uruguay en 2015.

Que, en tal sentido la emisión del nuevo DNI electrónico implica un avance en lo referente al desarrollo de la Identidad digital y a las políticas de protección de datos personales al permitir el uso progresivo de mecanismos de validación de identidad con una menor exposición de datos sensibles y sin necesidad de recurrir como único o principal medio de validación a la biometría en línea.

Que el nuevo DNI electrónico no solo contempla un nuevo diseño dotado de medidas de seguridad que dificultan considerablemente la posibilidad de falsificación y de suplantación de identidad sino que también —al ser este documento electrónico, con chip y QR—, permite mejorar la seguridad del documento y facilita la verificación de su autenticidad por medios electrónicos.

Que a su vez, el nuevo DNI electrónico potencia el desarrollo de la identidad digital, al poder ser utilizado como medio de validación de identidad digital, o para firmar digitalmente; e incluso brindando la posibilidad de incluir otro tipo de información o servicios digitales, que permiten agilizar tiempos en organismos públicos, privados o aplicaciones.

Que por lo mencionado anteriormente, a través del proyecto de Modernización Tecnológica propiciado, Argentina se posiciona en la vanguardia respecto a la emisión de documentos de alta seguridad.

Que, atento a lo expresado, deviene necesario aprobar las características del nuevo Documento Nacional de Identidad electrónico, que emita esta Dirección Nacional en el marco de las competencias establecidas en la Ley Nº 17.671 y sus modificatorias.

Que asimismo, corresponde aprobar las medidas de seguridad y las funcionalidades del nuevo Documento Nacional de Identidad electrónico.

Que, asimismo corresponde establecer el carácter secreto de las medidas de seguridad de Nivel 2 y 3, conforme lo previsto en el artículo 2° inciso c) de la Ley N° 19.549 y el artículo 38 del Decreto Nº 1759/72 (T.O. 2017), Reglamentario de la Ley Nacional de Procedimiento Administrativo, conforme la política de seguridad del organismo.

Que a los fines de preservar y administrar eficientemente los recursos del erario público y a los efectos de utilizar los insumos existentes, así como garantizar una eficaz implementación del nuevo documento, resulta conveniente continuar con la emisión del Documento Nacional de Identidad actual -conforme el Anexo Disposición DI-2023-35632987-APN-DNPPDNI#RENAPER, aprobado por Disposición N° 214/2023-, y en forma simultánea, avanzar progresivamente con la implementación federal del nuevo DNI electrónico en todo el territorio nacional.

Que en ese sentido, los Documentos Nacionales de Identidad emitidos conforme las características aprobadas por Disposición N° 214/23 de esta Dirección Nacional mantendrán su validez hasta su fecha de vencimiento.

Que han tomado la intervención de su competencia, la DIRECCIÓN NACIONAL DE PROGRAMACIÓN Y PRODUCCIÓN DE DOCUMENTO NACIONAL DE IDENTIDAD, la DIRECCIÓN NACIONAL DE IDENTIFICACIÓN, la DIRECCIÓN NACIONAL DE ATENCIÓN AL CIUDADANO, la DIRECCIÓN GENERAL DE PLANEAMIENTO Y LOGÍSTICA DOCUMENTAL, la DIRECCIÓN GENERAL DE TECNOLOGÍA E INNOVACIÓN EN IDENTIDAD y la DIRECCIÓN GENERAL DE ADMINISTRACIÓN, todas de esta Dirección Nacional.

Que ha tomado la intervención de su competencia, la DIRECCIÓN GENERAL TÉCNICA JURÍDICA de esta Dirección Nacional.

Que la presente medida se dicta en uso de las facultades y atribuciones conferidas por la Ley Nº 17.671, 1° del Decreto N° 1501/09, y 2° del Decreto N° 79/19.

Por ello,

EL DIRECTOR NACIONAL DE LA DIRECCIÓN NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS

DISPONE:

Articulo 1°.- Apruébase el texto ordenado con las características del nuevo Documento Nacional de Identidad electrónico que consiste en una tarjeta de policarbonato que contiene un chip de lectura sin contacto, que como Anexo Disposición I N° DI-2023-143086704-APN-DNPPDNI#RENAPER forma parte integrante de la presente medida.

Articulo 2°.- Apruébanse las medidas de seguridad Nivel 1 del nuevo Documento Nacional de Identidad electrónico expedido por esta DIRECCIÓN NACIONAL DEL REGISTRO NACIONAL DE LAS PERSONAS, organismo descentralizado actuante en la órbita de la SECRETARÍA DE INTERIOR del MINISTERIO DEL INTERIOR, que como Anexo Disposición II N° DI-2023-143087150-APN-DNPPDNI#RENAPER forma parte integrante de la presente medida.

Artículo 3°.- Apruébanse las medidas de seguridad Nivel 2 del nuevo Documento Nacional de Identidad electrónico expedido por esta Dirección Nacional, que como Anexo Disposición III forma parte integrante de la presente medida.

Artículo 4°.- Apruébanse las medidas de seguridad Nivel 3 del nuevo Documento Nacional de Identidad electrónico expedido por esta Dirección Nacional, las que como Anexo Disposición IV forma parte integrante de la presente medida.

Artículo 5°.- Apruébanse las funcionalidades del nuevo Documento Nacional de Identidad electrónico expedido por esta Dirección Nacional, que como Anexo Disposición V N° DI-2023-143082564-APN-DGTII#RENAPER, forma parte integrante de la presente medida.

Artículo 6°.- Establécese el carácter secreto de los Anexos Disposición III y IV mencionados en los artículos 3° y 4° de la presente Disposición.

Articulo 7°.- Determinase que los Documentos Nacionales de Identidad ya emitidos o que se emitan en el futuro, conforme las características aprobadas por la Disposición N° 214/23 —Anexo Disposición DI-2023- 35632987-APN-DNPPDNI#RENAPER— de esta Dirección Nacional, conservarán plena validez hasta su fecha de vencimiento o hasta tanto se emita un nuevo ejemplar, no siendo obligatorio su cambio por la versión del Documento Nacional de identidad electrónico conforme la presente medida.

Artículo 8°.- La presente medida entrará en vigencia a partir de su publicación en el Boletín Oficial.

Artículo 9°.- Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.

Santiago Juan Rodriguez

NOTA: El/los Anexo/s que integra/n este(a) Disposición se publican en la edición web del BORA -www.boletinoficial.gob.ar-

e. 01/12/2023 N° 98303/23 v. 01/12/2023

Fecha de publicación 01/12/2023

viernes, diciembre 01, 2023

Legislative predictions for Latin America & ARgentina 2024 (IAPP)

 Argentina

By Pablo Andres Palazzi

Argentina and other countries in the region, including Chile and Colombia, are discussing bills to amend and update data protection laws. Discussions are expected to take place across the region in 2024 and in the international fora as well.

On 30 June, 2023, Argentina's executive branch sent the proposed Personal Data Protection Bill to the National Congress for consideration. Drafted by Argentina's data protection authority, the Agencia de Acceso a la Información Pública, the bill seeks to amend the current Personal Data Protection Act.

The PDPB is based on international and regional standards, recommendations and principles, including the EU General Data Protection Regulation, Convention 108+, the Standards for Personal Data Protection for Ibero-American States, and other Latin American countries' regulations on personal data protection and privacy. While the bill was drafted in open consultation with academia, international experts, non-governmental organizations, companies and several government agencies, it has faced some objections and debate will take place in the National Congress in 2024.

The bill introduces definitions, principles and rights often seen in modern data privacy legislation, including privacy by design and by default, privacy impact assessments, accountability obligations, the obligation to appoint a data protection officer and legal representative for foreign companies, extraterritoriality provisions, data breach notifications, detailed regulation of international transfers of personal data, and portability rules. There are also specific regulations for credit reporting, automated decision-making and marketing, and rules for habeas data actions. The bill also grants the AAIP new powers, including the ability to halt personal data processing or activities that may affect users' privacy.

The PDPB introduces a new fine system based on units — a unit is 10,000 pesos — the value of which will be updated by the AAIP annually. If approved, the bill allows the AAIP to sanction companies five to 1 million units, or 2 to 4% of the company's global annual turnover. This has faced criticism since the use of global annual turnover may affect global companies and increase fines. An Argentine company with branches in Mexico, Brazil and Colombia could be fined based on regional global income, for example.

Other areas of concern include the bill's set age of 16 years old for children's consent and a provision stating the local representative of foreign companies can be liable in case the company it represents does not answer a DPA request.

Argentina was the first Latin American country to have an adequacy determination from the European Commission and it appears this bill seeks to preserve this status as most of its provisions follow EU GDPR standards.

Once approved, the PDPB would be effective six months after publication in the Official Gazette. However, the new fines would be applicable immediately upon publication of the law.