domingo, septiembre 19, 2021

Uruguay - La agencia de datos regula la transferencia internacional de datos personales post Schrems 2

Resolución N° 23/021 del 08/06/2021

Se resuelve sobre la necesidad de actualizar la Resolución Nº 4/019, de 12 de marzo de 2019, sobre los países u organizaciones consideradas adecuadas para las transferencias internacionales de datos, de conformidad con lo establecido por el artículo 23 de la Ley Nº 18.331, de 11 de agosto de 2008.

Montevideo, 8 de junio de 2021.


VISTO: La necesidad de actualizar la Resolución Nº 4/019, de 12 de marzo de 2019, sobre los países u organizaciones consideradas adecuadas para las transferencias internacionales de datos, de conformidad con lo establecido por el artículo 23 de la Ley Nº 18.331, de 11 de agosto de 2008.


RESULTANDO:


I. Que la resolución indicada en el Visto sustituyó la Nº 17/009, de 12 de junio de 2009, y estableció los territorios adecuados y en consecuencia apropiados para las transferencias internacionales de datos.


II. Que al efecto se consideraron las evaluaciones realizadas por la Unidad, y los casos en los que existe una protección equivalente a la uruguaya, sea por la pertenencia a determinada región o por la evaluación realizada por entidades especializadas en la valoración del ajuste de legislaciones nacionales a los principios y derechos vinculados a la protección de datos.


III. Que en función de los antecedentes citados, la Resolución N° 4/019 estableció que se consideran adecuados los miembros de la Unión Europea y el Espacio Económico Europeo, Principado de Andorra, República Argentina, el sector privado de Canadá, las organizaciones incluidas en el marco “Privacy Shield” de los Estados Unidos de América, Guernsey, Isla de Man, Islas Feroe, Estado de Israel, Japón, Jersey, Nueva Zelanda, Reino Unido de Gran Bretaña e Irlanda del Norte, y Confederación Suiza. Ello sin perjuicio de las limitaciones previstas en las correspondientes decisiones de adecuación emitidas por la Comisión Europea.


CONSIDERANDO:


I. Que la transferencia internacional de datos supone su transmisión fuera del territorio nacional y constituye una cesión o comunicación que tiene por objeto la realización de un tratamiento por cuenta del responsable de la base de datos o tratamiento establecido en territorio uruguayo.


II. Que el artículo 23 de la Ley Nº 18.331 dispone la prohibición de transferencias internacionales de datos con países u organismos internacionales que no proporcionen niveles de protección adecuados, de acuerdo con los estándares del Derecho Internacional o Regional en la materia, salvo excepciones; y esta Unidad es el órgano encargado de establecer los países y organismos que brindan dichos niveles de protección.


III. Que en esa consideración, la Unidad ha tenido en cuenta especialmente los Estándares en Protección de Datos Personales para los Estados Iberoamericanos emitidos por la Red Iberoamericana de Protección de Datos y el Reglamento General Europeo de Protección de Datos Nº 2016/679 del Parlamento Europeo y del Consejo.


IV. Que los países miembros de la Unión Europea cumplen con los estándares internacionales por aplicación del citado Reglamento y, por otra parte, se estima que los terceros países u organizaciones que han sido objeto de decisiones de adecuación del Parlamento Europeo y el Consejo poseen un nivel adecuado de protección, al acompasar su normativa a la de dicho estándar internacional.


V. Que en el caso de los terceros países u organizaciones considerados adecuados, corresponde entenderse incluidas en la presente Resolución todas las limitaciones o excepciones previstas en la decisión correspondiente a que refiere el Considerando anterior.


VI. Que con respecto a la adecuación de las organizaciones incluidas en el marco del “Privacy Shield”, existen elementos derivados del análisis del tratamiento de los datos en los Estados Unidos de América que llevaron a la invalidación de ese marco en el territorio europeo, los cuales justifican la revisión de la Resolución de esta Unidad. Esos elementos resultan en particular de la sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio 2020.


VII. Que, por lo mismo, las transferencias internacionales realizadas a los Estados Unidos de América deberán justificarse a través del consentimiento de los interesados o de alguna de las excepciones previstas en el artículo 23 de la Ley N° 18.331, y en su caso, contar con la autorización expresa de esta Unidad. A estos efectos se valorará especialmente la adopción de cláusulas contractuales apropiadas, la ubicación de los encargados de tratamiento en Estados que hayan adoptado normas tuitivas de la protección de datos y la adopción del esquema de auto-certificación puesto a disposición por la Federal Trade Commission, entre otros elementos.


VIII. Que se aprecia la necesidad de otorgar a los responsables y encargados de tratamiento que hubieran sustentado sus transferencias en el marco indicado en el Considerando VI un plazo para las adecuaciones necesarias.


ATENTO: A lo expuesto,


LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES


RESUELVE:


1°.- Sustituir la Resolución Nº 4/019, de 12 de marzo de 2019, y establecer que se consideran adecuados y en consecuencia apropiados para las transferencias internacionales de datos, todos los países que a juicio de esta Unidad, cuenten con normas de protección adecuadas y medios para asegurar su aplicación eficaz. En particular, se consideran adecuados a los miembros de la Unión Europea y el Espacio Económico Europeo, Principado de Andorra, República Argentina, el sector privado de Canadá, Guernsey, Isla de Man, Islas Feroe, Estado de Israel, Japón, Jersey, Nueva Zelanda, Reino Unido de Gran Bretaña e Irlanda del Norte, y Confederación Suiza.


2º.- La realización de las transferencias a los países indicados en el numeral anterior se encontrará supeditada, en caso de corresponder, a lo indicado en el Considerando V de esta Resolución.


3º.- Otorgar a los responsables y encargados de bases de bases o tratamiento que a la fecha de vigencia de la presente Resolución hayan fundado sus transferencias a Estados Unidos de América en el marco de “Privacy Shield”, un plazo de seis meses para ajustar las condiciones de las transferencias realizadas, a contar desde la publicación de la presente resolución en el Diario Oficial.


4°.- Notifíquese, publíquese en el Diario Oficial y en la página web de la Unidad, y oportunamente archívese.


 


FIRMADO POR: FELIPE ROTONDO TORNARÍA


CONSEJO EJECUTIVO URCDP




Resolución N° 41/021 del 08/09/2021

Se resuelve sobre lo dispuesto por el artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008 respecto a las transferencias internacionales a territorios no adecuados.

Montevideo, 8 de setiembre de 2021


VISTO Y CONSIDERANDO: Lo dispuesto por el artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008 respecto a las transferencias internacionales a territorios no adecuados,


RESULTANDO: I. Que, de conformidad con el artículo indicado, “la Unidad Reguladora y de Control de Protección de Datos Personales podrá autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel adecuado de protección, cuando el responsable del tratamiento ofrezca garantías suficientes respecto a la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos. Dichas garantías podrán derivarse de cláusulas contractuales apropiadas.”


II. Que, por Resolución N° 23/021, de 8 de junio de 2021, este Consejo Ejecutivo determinó los territorios considerados adecuados para la transferencia internacional de datos, así como instrumentos para brindar garantías a la protección de la vida privada que deben considerar los responsables, entre los que se encuentran las cláusulas contractuales apropiadas.


III. Que, en ese sentido, se estima pertinente adoptar una guía para la redacción de cláusulas contractuales que aseguren un contenido ajustado a las normas en materia de protección de datos personales, el que deberá complementarse con otros aspectos relativos a las operaciones de tratamiento que se pretendan realizar.


ATENTO: a lo expuesto e informado,


El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales


RESUELVE:


Recomendar a los responsables y encargados de tratamiento que pretendan realizar transferencias internacionales de datos en el marco del artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008, la adopción de cláusulas contractuales como las indicadas en el Anexo I de la presente resolución.

NOTIFÍQUESE Y PUBLÍQUESE

 


FIRMADO POR: FELIPE ROTONDO TORNARÍA


CONSEJO EJECUTIVO


URCDP


 


Anexo I a Resolución 41/2021 del Consejo Ejecutivo de la Unidad Reguladora y de Control de Datos Personales


 


CONTENIDO MÍNIMO DE CLÁUSULAS CONTRACTUALES PARA TRANSFERENCIAS INTERNACIONALES A PAÍSES NO ADECUADOS[1]


ANTECEDENTES


En lo que respecta a las transferencias internacionales de datos a países no adecuados -de conformidad con la resolución indicada-, los responsables y encargados deben adoptar determinadas salvaguardas para asegurar la debida protección de datos de titulares, que son objeto de tratamiento.


En el marco de los mecanismos habilitantes de las transferencias, se encuentra la adopción de cláusulas contractuales que determinen claramente las responsabilidades de las partes involucradas.


El presente anexo presenta un contenido mínimo indispensable que deben contener los contratos a suscribir entre un responsable o encargado en territorio nacional con responsables o encargados situados fuera de éste. En primer lugar se presentan contenidos de cláusulas comunes a todas las transferencias y en los apartados siguientes contenidos específicos, adicionales a los primeros, según el tipo de emisor o destinatario.


La naturaleza del vínculo entre la parte exportadora e importadora de los datos determina la existencia de distintos tipos de obligaciones y responsabilidades que deben encontrarse claramente definidas. En esta definición, y de conformidad con lo establecido en el artículo 40 de la Ley N° 19.670, debe participar cuando corresponde, el delegado de protección de datos.


Por otra parte, la transferencia internacional, en tanto se realiza a territorio no adecuado, debe ser antecedida en todos los casos de una evaluación de impacto en la protección de datos, de conformidad con lo establecido en el artículo 6° literal f del decreto N° 64/020.


 


CLAUSULAS COMUNES A TRANSFERENCIAS ENTRE TODO TIPO DE IMPORTADOR Y EXPORTADOR DE DATOS


Finalidad – Se debe establecer claramente cuál es la finalidad que se persigue con la transferencia que se pretende realizar, sin perjuicio del detalle que se realice según se trate de transferencia a responsable o a encargado.


Normativa aplicable – En todos los casos debe preverse la aplicación de la normativa uruguaya, Leyes N° 18.331, de 11 de agosto de 2008, N° 19.670, de 15 de octubre de 2018, decretos N° 414/009, de 31 de agosto de 2009 y N° 64/020, de 17 de febrero de 2020, normas modificativas y concordantes.


Definición de los términos de protección de datos aplicables – Deben definirse los términos más comunes aplicables a la regulación de la transferencia, remitiéndose a las definiciones previstas legal y reglamentariamente, en lo pertinente (artículos 4° de la Ley N° 18.331 y 4° del decreto N° 414/009). En especial no debe omitirse la definición de importador, exportador, responsable, encargado, sub-encargado, titular del dato, dato personal y tratamiento.


Contenido de la transferencia – Deberá detallarse el listado de datos transferidos con la mayor exactitud y completitud posible. En caso de datos sensibles, deberá en lo posible detallarse adicionalmente el contenido y propósito para la transferencia de cada dato.


Transferencias posteriores – Establecer, en caso de corresponder, las condiciones para habilitar transferencias posteriores de información desde el destino del importador, que en todos los casos deberán cumplir con la normativa habilitante (artículo 23 de la Ley N° 18.331).


Derecho de información – En todos los casos deberán explicitarse los contenidos mínimos previstos en el artículo 13 de la Ley N° 18.331. Adicionalmente, deberá incluirse la identificación de los encargados y sub-encargados de tratamiento, cuando corresponda. La información deberá estar disponible en forma permanente o a solicitud del titular del dato, según corresponda.


Operaciones de tratamiento – En todos los casos deberán identificarse las operaciones de tratamiento específicas a realizar y las medidas operativas y de seguridad necesarias para dar cumplimiento al principio de seguridad de los datos y de responsabilidad proactiva (artículos 10 y 12 de la Ley N° 18.331, este último en la redacción dada por el artículo 39 de la Ley N° 19.670, y decreto N° 64/020).


Resolución de disputas – Podrán preverse mecanismos específicos para la resolución de disputas, pero ello de ningún modo podrá alterar las operaciones de tratamiento que son de interés del titular del dato, o afectar de modo alguno sus derechos, o suponer un incumplimiento de la normativa aplicable, o que establezcan una retención indebida de información que de conformidad con la normativa aplicable deba ser suprimida.


Autoridad de control administrativa – En todos los casos deberá preverse que la autoridad de control para el caso de determinación de incumplimientos será la autoridad uruguaya, salvo en caso de incumplimientos específicos del importador del dato que se encuentren sujetos al contralor de la autoridad homónima en el país de destino. Ello sin perjuicio de la aplicabilidad, en su caso, del artículo 37 de la Ley N° 19.670 y artículos 1° y 2° del decreto N° 64/020.


Cumplimiento de medidas de responsabilidad proactiva previas – En todos los casos deberá agregarse en forma de anexo la Evaluación de Impacto en la Protección de Datos de carácter obligatorio de conformidad con el artículo 6° literal f del decreto N° 64/020.


Resguardo de documentación – Deberán establecerse las condiciones para el resguardo de la documentación tanto por el importador como por el exportador y otros interesados (como por ejemplo eventuales sub-encargados), la que deberá conservarse en la forma establecida en el artículo 5° del decreto 64/020, y estar a disposición de la Unidad de conformidad con el artículo 34 literal D de la Ley N° 18.331.


Confidencialidad – Establecer el contenido de las obligaciones de confidencialidad asumidas por el personal del importador y el exportador.


Acceso a información por autoridades extranjeras – Deberá preverse que sólo podrá accederse a información en el destino del importador del dato por parte de autoridades del tercer país en el marco de normas legales vigentes que otorguen las debidas garantías a los titulares de los datos y con orden judicial. En todos los casos deberán tomarse las medidas para que el acceso no se realice a todos los datos sino únicamente a los estrictamente necesarios para el cumplimiento de la orden judicial correspondiente. Deberá preverse que se brinde al responsable situado en territorio nacional información de la solicitud en forma inmediata, en los casos en que ello sea posible; en caso contrario deberá brindarse la información en la primera oportunidad posible.


 


CLÁUSULAS ESPECÍFICAS APLICABLES A TRANSFERENCIAS ENTRE RESPONSABLES Y RESPONSABLES


Base de legitimación para la comunicación – Deberá justificarse la aplicación de alguna de las causales previstas en el artículo 17 de la Ley N° 18.331, por tratarse de una comunicación de datos.


Base de legitimación para el tratamiento previsto – Deberá justificarse la aplicación de alguna de las causales previstas en el artículo 9° o 18°, y concordantes, de la Ley N° 18.331, para el tratamiento que se pretende realizar.


Responsabilidad solidaria – Remarcar la responsabilidad solidaria aplicable de conformidad al artículo 17 de la Ley 18.331 para la comunicación de datos, lo que en ningún caso podrá implicar que se prohíba la reclamación correspondiente por parte del titular del dato al responsable situado en territorio nacional.


Contratación de encargados de tratamiento – Deberán preverse las condiciones para la contratación de encargados de tratamiento por el importador de los datos, dando cumplimiento en lo pertinente, a las condiciones previstas en las cláusulas que siguen.


Comunicación de vulneraciones de seguridad – Deberá preverse un mecanismo de comunicación de vulneraciones de seguridad a los titulares de los datos y a la Unidad dando cumplimiento a las condiciones y plazos previstos en el artículo 38 de la Ley N° 19.670 y artículos 3° y 4° del decreto N° 64/020.


 


CLÁUSULAS ESPECÍFICAS APLICABLES A TRANSFERENCIAS ENTRE RESPONSABLES Y ENCARGADOS


Retención y supresión de información – Deberá establecerse el plazo específico de conservación de la información –que no podrá exceder el determinado por el propósito den encargo- y los medios para su devolución y supresión. Ello sin perjuicio de lo establecido en el inciso segundo del artículo 30 de la Ley N° 18.331.


Comunicación de vulneraciones de seguridad – Deberá preverse un mecanismo de comunicación inmediata al responsable de eventuales vulneraciones de seguridad. Eventualmente, podrá establecerse la obligación de comunicación directa a la URCDP.


Contratación de sub-encargados – Deberá prohibirse la contratación de sub-encargados salvo autorización expresa del responsable, lo que deberá además informarse en forma fehaciente a los titulares de los datos.


Ejercicio de derechos por los titulares – Deberán preverse mecanismos para la respuesta al ejercicio de derechos ante los encargados por parte de los titulares de los datos.


Responsabilidades – No podrá eximirse al responsable de su responsabilidad por la actuación del encargado, de conformidad con lo establecido en el artículo 12 de la Ley N° 18.331, sin perjuicio de la responsabilidad directa que pueda caberle a este último en caso de vulneración a lo preceptuado en la normativa vigente.


 


CLÁUSULAS ESPECÍFICAS APLICABLES A TRANSFERENCIAS ENTRE ENCARGADOS Y ENCARGADOS


Habilitación – La transferencia a otros encargados debe realizarse en el marco de un contrato previo con el responsable, y con los límites en él establecidos, el que deberá adjuntarse como anexo o referenciarse en las cláusulas correspondientes. Dicho contrato deberá contener como mínimo, las previsiones expresadas en el presente anexo para los contratos entre responsables y encargados, las que deberán extenderse a los sub-encargados en lo pertinente.


 

[1] Si bien estas cláusulas deberán emplearse de principio para las transferencias a territorios no adecuados que no se enmarquen en alguna de las restantes hipótesis habilitantes del artículo 23 de la Ley N° 18.331, se exhorta su aplicación a todo tipo de transferencia internacional, en lo pertinente.


Descargas




viernes, julio 30, 2021

Prólogo para el libro Tópicos de Derecho Informático (Chile, 2021).

 Prologo


La solicitud de mi amigo, el profesor Renato Jijena Leiva, de realizar un prólogo para el libro Tópicos de Derecho Informático que él ha coordinado constituye para mí una nueva oportunidad para manifestar públicamente mi gran afecto y máxima consideración académica hacia el autor y coordinador de esta obra.


El profesor Renato Jijena Leiva enseña Derecho Informático en la PUCV desde 1996 y debe ser considerado un pionero en la materia en su país. Bajo sus cursos han transitado infinidad de alumnos que luego terminan trabajando en empresas, o en la judicatura, o también dictando clases. 


Quienes enseñamos Derecho Informático desde hace mucho tiempo disfrutamos poder ver cómo las nuevas generaciones van incorporando los conocimientos jurídicos que se enfocan en la regulación de la tecnología. Asimismo, venimos viendo cómo estas cuestiones han pasado de ser una “ciencia oculta” que pocos comprendían a algo que se aplica todos los días a las situaciones más banales. 


En los últimos años los estudiantes de Derecho cuentan con la ventaja de ser “nativos digitales”, y de ver y usar  a la tecnología como algo más rutinario que sus generaciones pasadas. Estoy seguro que sin duda eso va a influir en las reglas jurídicas que ellos mismos van a tener que desarrollar e inventar.


Por otra parte, la tecnologización y digitalización de la vida en sociedad, del comercio y de las empresas y sobre todo la presencia de Internet en todos los quehaceres hace que cada vez sean más frecuentes estas cuestiones jurídicas y se presenten en todas las ramas del Derecho.


Tal como explica en detalle el profesor Jijena Leiva en su introducción a esta obra, el Derecho Informático ha atravesado un largo camino de transformación desde la década de los “ochenta” y los “noventa” cuando sólo se dedicaba a  las computadoras que ocasionalmente se conectaban a Internet (si tenían un modem de 2400 bps instalado) y a temas entonces incipientes como privacidad en bases de datos o protección legal del software. Hoy en día el Derecho de Internet, omnipresente y super-abarcador ha devorado al antiguo Derecho Informático y se extiende a cientos de cuestiones en todas las ramas del Derecho. A medida que todo se digitaliza, todo terminará pasando de alguna manera por el Derecho de Internet y de las nuevas tecnologías. Aparecen además nuevas manifestaciones de estas áreas jurídicas con fancy names como ser el Legaltech, el Fintech, el Insurtech e incluso el omnicomprensivo Regtech


Más allá de las novedades que pueden tener estos nuevos términos, lo cierto es que con la pandemia del covid-19 la tecnología llegó para quedarse. Descubrimos a la fuerza las ventajas del trabajo a distancia, de las clases virtuales y de la posibilidad de dar y tomar cursos en forma remota en todo el mundo sin movernos del cómodo sillón de nuestra oficina (ahora nuestra casa). Esto también tiene sus problemas, pero si nos fijamos en las ventajas, el mundo tecnológico salió favorecido con la pandemia por el crecimiento exponencial que tuvo su uso. Todo esto incrementó los problemas legales relacionados con la tecnología y por eso los temas de esta obra son importantes.


Los temas sobre los que versan cada una de las memorias de esta obra son de los más variados y reflejan esta multidiversidad de aspectos característica del Derecho de Internet.


Así encontramos una nota sobre el interés público de los nombres de dominio, otra sobre la responsabilidad de los proveedores de Internet respecto a cuestiones de propiedad intelectual, otra sobre el software y otra sobre el cloud computing en la administración pública, y finalmente cuatro ensayos sobre protección de datos. Estos últimos tratan sobre protección de datos personales del trabajador, los principios y deberes de la ley actual de datos personales, las cookies bajo la ley chilena de datos personales y el GDPR y finalmente, la reciente reforma constitucional chilena en materia de datos personales.


En materia de datos personales Chile tiene una deuda pendiente desde hace tiempo para la aprobación de un plexo normativo moderno en materia de datos personales. Los proyectos van y vienen pero ninguno logra salir del Congreso para hacerse ley. Chile fue el primer país latinoamericano en aprobar una ley de privacidad relacionada con el mundo digital en el año 1999 y ya desde el año 1992 contaba con una obra de doctrina pionera que explicaba la protección de datos personales para América Latina cuando nadie por estos lugares todavía sabía bien lo que era regular el procesamiento de datos personales (ver Jijena Leiva, Renato, Chile, la Protección Penal de la Intimidad y el Delito Informático, Editorial Jurídica de Chile, 1992). A veces parece que ser los primeros no es garantía. En el otro extremo tenemos el ejemplo de Brasil que estaba atrasado con sus normas (salvo por haber acuñado el término habeas data en su Constitución) y que finalmente logró aprobar una ley muy compatible con el estándar internacional del GDPR o RGPD. Claro, ahora el desafío para Brasil está en implementar la ley y hacerla efectiva en el día a día, tema nada menor si se tiene en cuenta que en materia de datos personales hay una gran brecha entre el dicho y el hecho.


Es realmente interesante prologar una obra escrita por estudiantes de Derecho, que han investigado bajo la guía de un reconocido profesor de Derecho Informático. Uno puede ver cómo las ganas de descubrir si las reglas jurídicas, siempre detrás de la tecnología, cubren o no un nuevo fenómeno, afloran detrás de cada trabajo. 


Creo que los estudios de derecho informático y de Internet, dan un poco de “aire fresco” a la formalidad que tienen las otras ramas del Derecho. Convengamos que muchos de nuestros sistemas jurídicos se basan en conceptos e institutos legales que tienen varios siglos de antigüedad, e incluso algunos se remontan al Derecho Romano. Es entendible entonces que las nuevas generaciones encuentren atractivo estudiar estos temas que son un claro desafío a las reglas existentes. Es entendible también que se preocupen por que el Derecho avance y recepte las nuevas tecnologías en la sociedad que les tocará vivir.


En fin, esta obra sirve para demostrar que las nuevas generaciones de juristas tienen mucho para aportarnos y que también podemos aprender de ellos, algo que siempre encuentro cuando leo una tesina o trabajo de un alumno de grado. Y también sirve para revalorizar el trabajo de los profesores en la materia, que ayudan a que estos trabajos vean la luz. Estos son los primeros intentos de investigar seriamente en pregrado sobre los temas actuales de las nuevas tecnologías. Bienvenidos los alumnos que se animan a internarse en las lagunas del Derecho Informático para encontrar nuevas islas. 


Pablo A. Palazzi

Profesor de Derecho 

Universidad de San Andrés

Director del Centro de Tecnología y Sociedad de la Universidad de San Andrés

Buenos Aires, julio de 2021


viernes, julio 09, 2021

Canada reconoce el derecho al olvido

Una corte de apelaciones canadiense acaba de reconocer el derecho al olvido en canada. El fallo fue dictado el 8 de julio de 2021. No resuelve la cuestion en forma definitiva porque reenvia el caso a lo que decida el Comisionado de Privacidad, pero la respuesta final es que PIPEDA se aplica al buscador.


miércoles, julio 07, 2021

Prologo a la obra de Bielli - Ordoñez - Titulos ejecutivos electrónicos (La Ley, 2021) por Santiago J. Mora y Pablo A. Palazzi

 PROLOGO

El recorrido en el uso de los documentos digitales, firmas electrónicas y firmas digitales en el comercio, la administración pública y el poder judicial en la Argentina ha sido un recorrido definitivamente sinuoso. 
Más allá de que las primeras y principales normas datan del año 2001, con el dictado de la Ley N° 25.506 de Firma Digital, y sin perjuicio de su inmensa utilidad para los abogados y la sociedad toda, sus disposiciones y las equivalencias dispuestas tardaron mucho tiempo en ser internalizadas. 
En primer lugar, y en un primer momento, los conceptos de documento digital, firma electrónica y firma digital no pudieron ser plena y fácilmente entendidos, por cuanto se trataban de conceptos nuevos y muy técnicos cuya delimitación era muchas veces un desafío para la mayoría de nosotros, máxime si se encaraban desde un enfoque netamente técnico (sin incluir el análisis jurídico) o si se encaraban desde un enfoque netamente jurídico (sin incluir el análisis técnico). Salvo casos puntuales, no existió a nivel local una acabada difusión de estas cuestiones, con el enfoque interdisciplinario necesario, que sirviera para poder entender a fondo la caracterización, la utilidad y los límites de cada una de estas herramientas.
Por otro lado, las distintas reglamentaciones que siguieron a la Ley de Firma Digital no siempre fueron del todo claras y consistentes. Además, muchas de estas reglamentaciones en un comienzo parecieron incluso desconfiar de la propia tecnología que tenían que regular. Por citar un ejemplo, la reglamentación necesaria para hacer operativa a la firma digital recién llegó en 2007, con la decisión administrativa N° 6/07, la cual estableció un régimen muy rígido y oneroso que no permitía además un uso pleno de la herramienta, haciendo muy difícil la presencia de certificadores licenciados y muy limitada la utilidad de los certificados digitales que ello emitían. 
En este contexto, pasaban los años y todo daba la impresión de que los conceptos en cuestión se estaban volviendo viejos antes de haber llegado a vivir plenamente: Cada vez había un menor interés de la gente por entenderlos, y cada vez había menos obras académicas enfocadas en los mismos.
Este escenario comenzó a cambiar a partir del año 2014 (aunque siguen dándose marchas y contramarchas), cuando la decisión administrativa N° 927/14 modificó la anterior 6/07, flexibilizando el régimen de licenciamiento y permitiendo un amplio uso de los certificados digitales. 
Luego, comenzaron a verse distintos actos administrativos que reflejaron en la generalidad de los casos (aunque no siempre) una fuerte intención del Estado Nacional en promover el uso de este tipo de herramientas.
En este sentido, y en primer lugar, debe mencionarse que el Código Civil y Comercial, que comenzó a entrar en vigencia en agosto de 2015, incluyó algunos avances en la materia, como por ejemplo su artículo 1836, que trata sobre la “desmaterialización e ingreso en sistemas de anotaciones en cuenta” en relación a los títulos valores. 
Asimismo, debe observarse lo dispuesto por la Ley 27.349, de Apoyo al Capital Emprendedor, de marzo de 2017, cuyo Título III creó las “Sociedades por Acciones Simplificadas (SAS)”, y entre otras cuestiones permitió que dichas sociedades se constituyan por medios digitales, que los libros societarios correspondientes sean llevados de manera digital, que los poderes que otorguen sus representantes puedan ser otorgados en protocolo notarial electrónico, etc. (ello sin perjuicio de que el pleno uso de todo esto se haya visto luego limitado, entre otras cosas, por la acción u omisión de distintas autoridades de aplicación locales).
Tampoco puede obviarse lo dispuesto por las Leyes Nros. 27.444, 27.445 y 27.446, de Simplificación y Desburocratización, de junio de 2018, las cuales -entre muchas otras cosas- modificaron la Ley de Firma Digital derogando su artículo 4 (que establecía una serie de casos en los cuales las disposiciones de dicha ley no eran aplicables), y modificaron la Ley 25.065 de Tarjetas de Crédito, el Decreto-ley 5.965/63 de Letra de Cambio y Pagaré, y la Ley 24.452 de Cheques, ajustando las referencias a las firmas de los distintos sujetos intervinientes a los efectos de permitir el uso de la firma electrónica avanzada.
En este contexto, se menciona también que en marzo de 2019 el PEN modificó el decreto reglamentario de la Ley de Firma Digital, con el dictado del Decreto N° 182/19, mediante el cual se estableció la posibilidad de otorgar poderes digitales en el marco de la plataforma de Trámites a Distancia (TAD), se dispuso que la firma digital satisface el requerimiento de certificación de firma establecido para firma ológrafa en todo trámite efectuado ante la administración pública nacional (norma cuya redacción fue modificada en paralelo a un reclamo judicial presentado por el Colegio de Escribanos de la Ciudad de Buenos Aires), y reguló (aunque quizás con alguna obscuridad) el régimen de los llamados “Prestadores de Servicios de Confianza”. 
Asimismo, debe mencionar también que durante este tiempo, por un lado, el PEN creó la llamada “Plataforma de Firma Digital Remota”, para facilitar el acceso a los certificados digitales y para hacer más ágil el uso de la firma digital; y, por el otro lado, el RENAPER desarrolló herramientas de validación biométrica que puso a disposición de bancos, empresas fintechs, y el comercio en general, para robustecer los sistemas de firmas electrónicas (permitiendo una mejor identificación de las personas que pasarían a utilizar dichas firmas). En este mismo sentido, la UIF comenzó a permitir la identificación remota por parte de los sujetos obligados en el marco de la Ley N° 25.246 de Lavado de Dinero, y el BCRA tomó una importante cantidad de medidas, entre las cuales se incluye la habilitación del depósito electrónico de cheques físicos, la reglamentación de los cheques digitales (o “ECHEQs”), la autorización la apertura de cuentas bancarias de manera no presencial, la autorización de operación de bancos 100% digitales, etc.  
Más allá de que (insistimos) este proceso de digitalización no ha sido del todo uniforme, el mismo se profundizó con la cuarentena dispuesta para enfrentar el COVID-19 a partir del año 2020, en cuyo marco resultaron de una inmensa utilidad los avances y reformas que se habían producido en los últimos años y resultó necesario profundizarlo y ampliarlo. En este sentido, durante la cuarentena, el poder judicial avanzó con la plena digitalización de los procesos judiciales, se reguló la receta digital, se reguló la educación a distancia, se reguló el teletrabajo, la IGJ autorizó las actas de directorio digitales aunque no se hubieran previsto en los correspondientes estatutos, se modificó el régimen de los contratos de garantía recíproca permitiendo el uso de firmas electrónicas avanzadas y tecnología blockchain, etc.
Mucho se ha avanzado en los últimos años pero mucho falta aún por hacer. Entre otras cuestiones, en muchos casos las leyes procesales, nacionales y locales, siguen con la lógica del documento en papel y la firma manuscrita, lo cual limita la posibilidad de permitir y dar curso a muchos reclamos vinculados a negocios digitales. Además, falta también avanzar con la reglamentación e implementación de los pagarés y letras de cambio digitales, tal como se hizo ya con los cheques digitales.
En este contexto es que obras como la presente resultan imprescindibles.
Gastón Bielli y Carlos Ordoñez son dos de los más importantes referentes nacionales en la actualidad en lo que hace a la difusión de estos conceptos. Además tienen un profundo conocimiento práctico sobre la materia, por lo que han podido identificar cuáles son los aspectos que hoy están limitando el desarrollo de estos conceptos en el ejercicio de la profesión, y han podido proponer alternativas para su resolución que no sólo cumplen con altísimos requerimientos teóricos sino que también configuran inteligentes planteos prácticos, teniendo especialmente en consideración el real impacto de todo esto. 
En particular, en el presente caso, Gastón Bielli y Carlos Ordoñez han volcado toda su capacidad de análisis y de trabajo, en un inmenso esfuerzo, para entender y explicar la situación existente con relación a los títulos valores digitales y su ejecución en la República Argentina.
La obra hace un completo análisis de los muchos temas vinculados a la materia, y con una gran claridad y profundidad. En particular, y entre otros muchos asuntos, la obra comienza describiendo en general el régimen de los procesos ejecutivos y los conceptos de documento digital, firma electrónica y digital; luego avanza con el análisis de los contratos de préstamos electrónicos, los contratos de tarjeta de crédito online, los títulos valores electrónicos, el requisitos de autosuficiencia, la preparación de la vía ejecutiva de este tipo de instrumentos, el análisis de las defensas y excepciones posibles en estos casos; y cierra con unas muy relevantes reflexiones personales de los autores y perspectivas futuras.
Es un verdadero placer y un destacado orgullo para nosotros el realizar el prólogo de esta obra que sin duda será una obra de referencia sobre los temas que aborda. 
Pablo A. Palazzi y Santiago J. Mora




lunes, junio 07, 2021

Primer libro colectivo de la IAPP en castellano!

La IAPP publica por primera vez una obra sobre privacidad en español. Se trata de una obra colectiva elaborada por miembros de la IAPP. Esta guía de privacidad para América Latina contiene un detallado análisis de las normas de privacidad y protección de datos de nueve países de la región latinoamericana. 

Estos países son Argentina, Brasil, Chile, Colombia, Costa Rica, México, Paraguay, Perú y Uruguay. Los autores siguiendo el orden de los países nombrados son Pablo Palazzi, Marcela Waksman Ejnisman, Paulina Silva, Leon Weinstok, Juanita Acosta, María Rosa Franco, Cecilia Abente Stewart, Jorge Allende y Martin Pesce respectivamente.

La obra explora los temas centrales del régimen de protección de datos en cada uno de los países incluyendo la base legal y constitucional de la regulación de los datos personales, las bases legales para procesar datos personales, como el consentimiento y otras, la notificación, las cesiones y transferencias internacionales de datos personales, las obligaciones de seguridad y confidencialidad (data breach) y las autoridades regulatorias así como las sanciones legales y las acciones legales que tiene el titular del dato personal. 
 
Los autores de cada uno de los capítulos de este libro son miembros de la IAPP y poseen una vasta experiencia en asesoramiento en cuestiones de privacidad y protección de datos personales en sus respectivos países.  
 
La obra está escrita en castellano y editada solamente en formato de libro electrónico (ebook), excepto por el capítulo correspondiente a Brasil, que está escrito en portugués y traducido al castellano. La obra está actualizada a febrero de 2021. 
El libro se consigue en la web de la IAPP.

 

miércoles, abril 21, 2021

Base de Datos denominada “Vacunación COVID 19”

JEFATURA DE GABINETE DE MINISTROS SUBSECRETARÍA DE GOBIERNO ABIERTO Y PAÍS DIGITAL

Disposición 6/2021

DI-2021-6-APN-SSGAYPD#JGM

Ciudad de Buenos Aires, 07/04/2021

martes, marzo 09, 2021

Nueva obra colectiva Protección de datos. Doctrina y jurisprudencia tomos 1 y 2, editada por Pablo A. Palazzi y el CETYS (CDYT 2021).

Esta obra es fruto del trabajo colaborativo de reconocidos especialistas argentinos en materia de protección de datos personales escrita para celebrar las dos décadas de vigencia de la ley argentina de protección de datos personales (Ley N.º 25.326). Los distintos aportes de estos autores recorren alguno de los hitos más importantes de la protección de datos en el ámbito nacional y cómo se ubican éstos dentro del contexto internacional. 

Temas analizados

La obra aborda los temas centrales ocurridos durante los últimos 20 años tales como la adaptación de la ley argentina al modelo europeo del GDPR, el alcance territorial de la ley de Protección de Datos Personales, el principio de la finalidad en el tratamiento de datos personales, el consentimiento de los menores de edad, el deber de información, el tratamiento de datos sensibles, el derecho a la portabilidad de datos personales, el rol del Data Protection Officer, la ciberseguridad y notificación de incidentes la transferencia internacional de datos personales, el derecho de supresión y libertad de expresión en el marco de redes sociales, la protección de datos de salud en las industrias farmacéutica y de dispositivos médicos, en la telemedicina, en el proceso electoral, en el uso de drones, en la video-vigilancia pública y en el proceso penal.

Introducción a la obra por Pablo Palazzi

En esta introducción Pablo Palazzi explica lo sucedido en las dos décadas de vigencia de la ley 25.326 de datos personales de Argentina.


Título: Protección de datos. Doctrina y jurisprudencia. Tomos 1 y 2.

Cantidad de páginas 826 (tomo 1 - 446 ps, tomo 2 - 380 paginas).

Cantidad de artículos: 31

Cantidad de Autores: 28


Índice

TOMO 1 Dos décadas de protección de datos personales en la Argentina, por Pablo A. Palazzi CAPÍTULO I. Parte general El impacto de una ley que nació anticuada, por Eduardo Bertoni La Ley N.º 25.326, de cara a su reforma integral: el proyecto elaborado en el marco del Programa Justicia 2020, por Oscar R. Puccinelli El reconocimiento del derecho fundamental a la protección de los datos personales en la jurisprudencia del Tribunal Federal de Brasil. La tutela de los datos sobre geolocalización durante la pandemia de covid-19, por Danilo Doneda Propuestas para la reforma de la Ley de Protección de Datos de la Ciudad de Buenos Aires. Influencia del Reglamento General de Protección de Datos europeo, por María Julia Giorgelli y Javier Raimo Alcance territorial de la Ley de Protección de Datos Personales, por Mariano Peruzzotti Aplicación extraterritorial del Reglamento General de Protección de Datos de la Unión Europea: ¿cuál es el rol del delegado de protección de datos de empresas argentinas?, por Lucía López Laxague Privacidad en la Argentina: veinte años de buenas intenciones y un futuro abierto, por Lisandro Frene Reflexiones sobre el Reglamento General de Protección de Datos de la Unión Europea y los “Estándares” de la Red Iberoamericana de Protección de Datos y su impacto sobre las reformas, proyectos de reformas y nuevas leyes de protección de datos en Latinoamérica, por Oscar R. Puccinelli CAPÍTULO II. Protección de datos. Principios generales La finalidad en el tratamiento de datos personales a veinte años de la LPDP y los nuevos desafíos que se presentan, por Agustín Pedro Allende Larreta El consentimiento de los menores de edad para el tratamiento de sus datos personales, por Diego Fernández La evolución del deber de información en la Ley argentina de Protección de Datos Personales y su futuro, por Andrés Chomczyk El tratamiento de datos sensibles, por Diego Fernández y Manuela Adrogué El derecho a la portabilidad de datos personales: una deuda pendiente, por Agustín Pedro Allende Larreta CAPÍTULO III. Derechos y obligaciones Accountability y protección de datos personales, por José Alejandro Bermúdez Durana El Delegado de Protección de Datos: piedra angular de la responsabilidad proactiva, por Pablo Segura Rol del Data Protection Officer (DPO) dentro de la empresa y del Estado: entre el compliance y la protección de datos personales, por Pablo A. Palazzi Ciberseguridad y notificación de incidentes en América Latina, por Andrés Chomczyk y Pablo A. Palazzi TOMO 2 CAPÍTULO IV. Transferencia internacional de datos personales Pasado, presente y futuro de la transferencia internacional de datos, por Mariano Peruzzotti El caso “Schrems II” y la invalidez del Privacy Shield: ¿hay una salida?, por Esteban Ruiz Martínez La Sentencia del Tribunal de Justicia de la Unión Europea en el asunto “Schrems II”: mucho más que la crónica de una muerte anunciada del Privacy Shield, por Mikel Recuero Linares CAPÍTULO V. Protección de datos personales en Internet Derecho de supresión y libertad de expresión en el marco de redes sociales, por Lucia Suyai Mendiberri Hiperconexión y vaporización de derechos, por Esteban Ruiz Martínez Tutela de derechos personalísimos en Internet: el estándar del caso “Belén Rodríguez”, por Pablo A. Palazzi CAPÍTULO VI. Tratamiento de datos sectoriales Protección de datos de salud en las industrias farmacéutica y de dispositivos médicos, por Franco Rizzo Jurado y Pablo A. Palazzi Telemedicina: la importancia del cuidado de los datos personales de pacientes, por Ambrosio Nougues Privacidad y elecciones. Procesamiento de datos personales para propaganda electoral, por Lisandro Frene y Damián Navarro Protección de datos personales en los sistemas de video-vigilancia pública, por Hugo Alfredo Vaninetti Tratamiento de datos personales por medio de drones, por Juan Cruz González Allonca CAPÍTULO VII. Tratamiento de datos personales y Derecho Penal y proceso penal Las transferencias internacionales de datos personales en el proceso penal, por Daniela Dupuy y Mariana Kiefer La investigación penal y la protección de los datos personales de los ciudadanos, por Hernán Blanco OSINT: legalidad y protección de datos personales, por Marcelo Temperini y Maximiliano Macedo.


Autores

Manuela Adrogué

Agustín Pedro Allende Larreta

José Alejandro Bermúdez Durana

Eduardo Bertoni

Hernán Blanco

Andrés Chomczyk

Danilo Doneda

Daniela Dupuy 

Diego Fernández

Lisandro Frene

María Julia Giorgelli

Juan Cruz González Allonca

Mariana Kiefer

Lucía López Laxague

Maximiliano Macedo

Lucia Suyai Mendiberri

Damián Navarro

Ambrosio Nougues

Pablo A. Palazzi

Mariano Peruzzotti

Oscar R. Puccinelli

Javier Raimo

Mikel Recuero Linares

Franco Rizzo Jurado

Esteban Ruiz Martínez

Pablo Segura

Marcelo Temperini

Hugo Alfredo Vaninetti

   

Donde se consigue? 

La obra se consigue en las siguientes librerías jurídicas

Praxis Juridica

Libreria del Jurista




domingo, febrero 28, 2021

Introducción a la obra colectiva editada por el CETYS titulada Protección de datos. Doctrina y jurisprudencia tomos 1 y 2 (CDYT 2021).

Dos décadas de protección de datos personales en Argentina, por Pablo A. Palazzi

1. Introducción 

Esta obra que el lector tiene en sus manos es fruto del trabajo colaborativo de reconocidos especialistas argentinos en materia de protección de datos personales, así como de algunos pocos invitados extranjeros. 

Estos autores generosamente han compartido sus conocimientos para armar una obra señera en la materia. La excusa original para realizar esta obra colectiva fue celebrar las dos décadas de vigencia de la ley argentina de protección de datos personales (Ley N.º 25.326) con un texto que recorriera alguno de los hitos más importantes de la protección de datos en el ámbito nacional y cómo se ubican dentro del contexto internacional. 

En medio de la confección y del armado de esta obra colectiva apareció una pandemia global, pero eso no fue excusa y —salvo un ligero retraso— la obra se terminó a fines de 2020 y se imprimirá a comienzos de 2021 para lograr así dar testimonio de dos décadas de protección de datos personales en la República Argentina.

El resultado de este trabajo colaborativo es una obra actual y omnicomprensiva de toda la materia, con diversos puntos de vista y con visiones no sólo locales sino también internacionales que dan acabada cuenta de la complejidad que han adquirido hoy en día las reglas legales sobre el tratamiento de los datos personales.


2. El estado actual del derecho a la protección de datos personales

Es difícil describir el estado actual del derecho a la protección de los datos personales sólo analizando una norma local. Diversos factores influyen en la descripción del estado actual del régimen legal de protección de datos personales. 

Primero, un texto que ya tiene dos décadas de vigencia (y más si tomamos en cuenta sus ideas base, que suman una década más) tuvo que dar respuesta a los constantes planteos tecnológicos que van ocurriendo (drones, decisiones mediante algoritmos, inteligencia artificial, bases de datos conectadas a Internet, empresas que recopilan datos personales de argentinos desde cualquier parte del mundo, reconocimiento facial, datos biométricos) y otros no tan nuevos (cookies, marketing, datos de menores). También se debe enfrentar a fenómenos inesperados como los ataques terroristas o una pandemia, que obligan a buscar excepciones generalmente no previstas en los textos legales.

La protección de datos personales también tiene que adaptarse y lograr dar tutela al consumidor, pero no ser un obstáculo a los modelos de negocios que existen hace décadas y que constantemente reaparecen y se reinventan. 

Estos modelos de negocios tienen en común que están todos siempre basados en la recopilación y uso de datos personales. Tanto es así que hoy en día se acuñó la expresión capitalismo de la vigilancia para identificarlo. El capitalismo la vigilancia (en inglés siempre suena mejor: surveillance capitalism) es un concepto utilizado y popularizado desde el año 2014 por la profesora de Harvard Shoshana Zuboff  y que se refiere a la mercantilización de los datos personales, es decir, a la transformación de la información personal en una mercancía para usarla con fines de lucro, para generar publicidad orientada, para mostrar contenidos determinados, para proyectar nuevos productos, personalizar experiencias, y un largo etcétera de funciones que todavía no se han inventado. 

Al momento de la conceptualización académica ese concepto de la vigilancia capitalista ya había sido explotado reiteradamente por el sector privado, en concreto por los “gigantes tecnológicos”, para crear imperios de la información con bases de datos personales. La protección de datos surge como una herramienta que otorga un derecho de control del individuo frente a estas realidades, pero su origen hace ya medio siglo se remonta al temor de la recopilación de datos por parte del Estado. Ahora bien, convengamos en que este control por parte del individuo se quedó corto en la práctica y ello obligó a reforzar las protecciones en la generación mas reciente de normas de datos personales.

Segundo, frente a estas normas de privacidad aparecen otros derechos también fundamentales que se contraponen y requieren un balance importante y constante que a veces es muy difícil de realizar. Tenemos así cuestiones como el derecho al olvido, que requiere contraponer privacidad versus libertad de prensa y acceso a la información. Con la pandemia del covid 19 se contrapone el derecho a la privacidad y confidencialidad sobre los datos de salud al uso de esos datos por motivos de interés general y salud pública para controlar la pandemia. El uso de tecnologías de vigilancia como los drones, tanto estatales como de particulares, requiere conciliar la libertad de su empleo frente a los límites de privacidad de terceros. La vigilancia masiva y las herramientas procesales de acceso a datos para combatir el delito demandan conciliar la seguridad pública con la privacidad de todos. Las regulaciones sobre transferencia internacional de datos requieren conciliar el comercio internacional con la soberanía de datos. Toda legislación de protección de datos implica en muchos casos un límite a las transacciones sobre la información de las personas, regulación que en muchas jurisdicciones donde no hay un derecho fundamental sobre los datos es limitada por otros derechos como la libertad de empresa, de expresión o el derecho a comerciar datos.

Tercero, el aspecto geopolítico de los datos personales no puede ser ignorado y muchos artículos de esta obra tratan ese enfoque, que ayuda a comprender los resultados de algunas reformas, decisiones judiciales o acuerdos internacionales. Los ejemplos abundan, y basta con enumerar algunas: las batallas transatlánticas entre Europa y Estados Unidos por la regulación del flujo de datos transfronterizos, los casos Schrems I y II, el papel de Snowden, las prohibiciones impuestas por el ex presidente Trump a TikTok y WeChat en Estados Unidos, la posición del Reino Unido en materia de datos personales luego del Brexit, el rol de los países BRIC como una alternativa a la hegemonía de Estados Unidos en materia digital, las obligaciones de data localization fundadas en el erróneo concepto de soberanía de datos o soberanía estatal digital, la cooperación en materia del combate del ciberdelito y sus limitaciones legales basados en la privacidad, la Cloud Act y el acceso a datos de plataformas en otros países, las normas sobre terrorismo que afectan la privacidad de extranjeros, las cuestiones de ciberseguridad y los ciberataques no sólo a empresas sino también a países, así como las jurisdicciones que esponsorean el hacking como una forma de ciberguerra continua. Todos estos conflictos involucran en buena medida la aplicación extraterritorial de normas sobre datos personales.

Cuarto, el efecto del Reglamento Europeo de Protección de datos (RGPD) se viene haciendo sentir hace ya más de dos años en todo el mundo, y también en la región latinoamericana, llegando incluso a la Costa Oeste de Estados Unidos (California), con la sanción de la CCPA. Además de California, China es otra jurisdicción que se ha sumado a la ola normativa de privacidad. En mayo de 2020 entró en vigencia un nuevo Código Civil para China, que contiene tanto las típicas normas del derecho a la privacidad que uno encuentra en los códigos de derecho privado (y otros derechos personalísimos) como también normas de protección de datos personales con sabor europeo.

Todo esto lleva a una conclusión obvia: el RGPD se ha transformado en el estándar de facto a escala mundial, y por lo tanto constituye una forma de nivelar para arriba la protección de datos. Los países deberían partir de esta base para legislar, a los fines de evitar diferencias sustanciales que sean obstáculos al libre flujo de datos personales.

En el plano internacional, el Convenio 108  y su protocolo adicional, junto con el Convenio 108+, se expandieron por toda América Latina y están teniendo otro importante efecto armonizador.

En América Latina algunos países han adoptado leyes modernas inspiradas en el RGPD, como el caso de Brasil; otros, como la Argentina y Chile, han elaborado proyectos legislativos modernos fuertemente inspirados en la nueva norma europea. Muchos otros han ido adaptando normas reglamentarias que de a poco van introduciendo los nuevos elementos europeos con regulaciones parciales, como es el caso de Uruguay y la Argentina.

Como quinto aspecto, cabe resaltar la aparición de nuevos actores. Los temas de privacidad ya no sólo se aplican a bases de datos de las industrias clásicas (marketing, informes comerciales, etcétera) sino que dominan o tienen una fuerte injerencia en la agenda de la regulación de Internet, del comercio internacional, de la libertad de expresión, del open banking en el mundo fintech, de la inteligencia artificial y la gobernanza algorítmica y de la transparencia del Estado. El nivel de respeto a la privacidad determina que una sociedad pueda ser catalogada como dictadura o como democracia (aunque hay que admitir que todos, incluso los más democráticos, caen en el pecado de espionaje bajo la excusa de amparar a sus ciudadanos). 

Los temas de regulación de datos personales son tan centrales que numerosos nuevos actores se quieren sentar a decir algo en la mesa de la privacidad.

En el ámbito internacional, en 2016, en las Naciones Unidas se creó el puesto de relator especial de la ONU sobre el derecho a la privacidad . Este nuevo cargo internacional se suma a las agencias regulatorias locales y a las europeas (el WP29, ahora EDPB junto con EDPS), que se reúnen en la Global Privacy Assembly  y en la región en la Red Iberoamericana de Protección de Datos Personales .

Las empresas más importantes del mundo también cuentan con un encargado de privacidad o DPO (incluso, aunque la ley no lo requiera localmente, casi todas ya lo han nombrado hace años). Este nuevo actor, el DPO, está destinado a jugar un papel cada vez más importante en las organizaciones internacionales, privadas y estatales. El rol del DPO es importante para evangelizar dentro de la organización. Sin alguien que cumpla este rol, las organizaciones van a seguir viendo las obligaciones sobre datos personales como un gasto y un costo, y no como una ventaja. Se forma así un círculo vicioso, porque las organizaciones que no adoptan medidas de seguridad ni protocolos internos sobre privacidad terminan siendo descuidadas (negligentes, para usar un término legal) con los datos personales, lo que acaba lesionando derechos de sus clientes, usuarios o partners. Los incidentes de seguridad afectan también la reputación comercial de la empresa y el valor de las que cotizan en bolsa. En el ámbito estatal también se comenzó la sana práctica de designar encargados de datos personales o privacidad. 

Para terminar con el listado de nuevos actores, las organizaciones de la sociedad civil latinoamericanas han comenzado hace unos años a involucrarse en este tema de protección de datos (cuando antes se concentraban en otros derechos más tradicionales, como la libertad de expresión, la igualdad, o los derechos sociales). Esto debe ser bienvenido porque durante mucho tiempo la privacidad y los datos personales estuvieron ausentes en la agenda de estas organizaciones regionales (por el contrario la EFF, la ACLU, EPIC, CDT o Privacy International llevan en algunos casos treinta años de lucha). Recuerdo que en muchas reuniones del board international de Privacy International, del cual formé parte muchos años, este debate era un tema recurrente y finalmente terminó siendo una realidad. La presencia de estar organizaciones trae más presión y control al Estado para respetar adecuadamente este derecho. Por otra parte, como el tema se puso de moda, esto ha provocado incluso cierto recelo y competencia entre las diferentes ONG por estar en el centro de la escena, dominar la agenda y marcar el terreno. 

También aparecen cursos, posgrados, diplomados y másters. Esto es natural consecuencia de que, como requisito para ser DPO, varias legislaciones exigen comprobación de conocimientos. Esto generó además obras jurídicas sobre la materia y profesores especializados. Nelson Remolina Angarita, reconocido experto colombiano en protección de datos, dicta su curso sobre estos temas desde el año 2001 en la Universidad de los Andes (Bogotá, Colombia). Renato Jijena Leiva, experto chileno de datos, dicta un curso similar de Derecho Informático con alto contenido de datos personales desde 1995 en la Universidad Católica de Valparaíso (en 1992, siete años antes de la sanción de la ley chilena de datos personales, ya había escrito una obra sobre la materia). El profesor brasileño Danilo Doneda dicta un curso de datos personales en la Universidad de Río de Janeiro y en la Fundación Getulio Vargas (FGV), y es autor de una obra sobre datos personales publicada una década antes que la LGPD viera la luz. Además, Danilo fue visiting scholar en la agencia italiana de datos personales y estudió junto con el profesor Stefano Rodotà. Por mi parte, el curso de protección de datos personales que organicé en la Universidad de San Andrés lleva una década. Además, en nuestra universidad el tema de los datos personales se enseña tanto en grado como en posgrado. En la Argentina, el resto de las universidades también ofrecen cursos de grado o posgrado sobre datos personales.

Finalmente, con todo este desarrollo normativo las empresas han comenzado a prestar más atención a las leyes de datos personales. Se están dando cuenta de que invertir en cuestiones de privacidad no implica un gasto, sino que, por el contrario, significa una inversión que rinde sus réditos. Un informe reciente de Cisco titulado “De la privacidad a la ganancia: cómo lograr retornos positivos de las inversiones en privacidad. Estudio de parámetros de privacidad de datos de Cisco de 2020” da cuenta de esta tendencia .


3. Dos décadas de protección de datos en la Argentina

El 4 de octubre del año 2000 el Congreso de la Nación sancionó la Ley N.º 25.326 de Protección de Datos Personales. Esta ley fue publicada en el Boletín Oficial del 2 de noviembre de 2000. El 2 de noviembre de 2020 se cumplieron dos décadas de vigencia de esa ley argentina, pionera en la región. A esa fecha, sólo Chile tenía una ley de datos personales vigente. Después de su sanción y de que la Argentina fue declarada país adecuado, siguió la aprobación de leyes de similar tenor en Uruguay, Perú, Colombia, México y Brasil, entre muchas otras.

Por otra parte, en estas dos décadas la protección de datos ha evolucionado mucho. Ya no se trata de una norma extraña sino que, a la luz de ella, se han dictado numerosas reglamentaciones que regulan todo tipo de cuestiones como video-vigilancia, drones, apps, marketing, informes comerciales y bases de datos estatales. Una simple consulta en InfoLeg arroja como resultado cerca de 110 normas de diverso rango legal que referencian a la Ley N.º 25.326. Numerosa jurisprudencia ha moldeado la interpretación de la ley y la ha transformado en una garantía fundamental para la defensa de los datos personales en la sociedad de la información.

Durante estas dos décadas, el gobierno creó primero la Dirección Nacional de Protección de Datos Personales (DNPDP) dentro del Ministerio de Justicia y luego la transfirió a la Agencia de Acceso a la Información Pública (AAIP, organismo de aplicación de la Ley de acceso a la Información Pública). Cuando la DNPDP pasó a formar parte de la AAIP, la Argentina consolidó una autoridad independiente de datos personales. Había sido declarada como país adecuado y uno de los puntos que la Comisión Europea había señalado era la falta de independencia de la agencia por depender de un ministerio y no tener autonomía. Con esto, la Argentina cumple un requisito importante del modelo europeo, que es la independencia de las autoridades de datos personales. 

En estas dos décadas, la DNPDP primero y luego su sucesora, la AAIP, adoptaron numerosas resoluciones, impusieron varias sanciones e iniciaron auditorías y actuaciones contra empresas. En estos veinte años, el derecho a la protección de datos evolucionó considerablemente.

En el plano internacional, la Argentina también hizo buena letra. El 15 de diciembre de 2017, por medio la Ley N.º 27.411, la República Argentina adhirió a La Convención de Budapest sobre el Ciberdelito. El 2 de enero de 2019, aprobó el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal (Convenio 108), junto con su protocolo adicional, por medio de la Ley N.º 27.483 y, en julio de 2020, tuvo media sanción el denominado Convenio 108+.

En el plano internacional, a lo largo de estas dos décadas sucedieron muchos cambios tecnológicos, lo que provocó que las normas europeas fueran modificadas en 2016, y así entró en vigencia un nuevo reglamento que, como ya señalamos, provocó otra intensa ola de reformas. Leyes como la brasileña, aprobada en 2018 y en vigencia desde agosto de 2020 (con entrada en vigencia de su régimen sancionatorio para 2021), y la CCPA de California (en vigencia desde 2020) y ahora la ley de Virginia marcaron un nuevo hito en la expansión de las ideas europeas de protección de datos personales. El Derecho argentino intenta adaptarse a estas tendencias, y ya se han discutido diversos proyectos de leyes inspirados en ellas.


4. Las novedades de las últimos dos décadas contadas a través de esta obra y sus autores

Esta obra colectiva busca brindar testimonio de todo lo ocurrido a lo largo de estas dos décadas de protección de datos a través de artículos de especialistas y personas involucradas en el día a día en este campo, en la Argentina. Se incluyen artículos que analizan algún principio general o instituto de la protección de datos (como el consentimiento, el interés legítimo, las transferencias internacionales o la portabilidad) y comentarios a casos concretos nacionales o extranjeros que han marcados hitos en la historia de la protección de datos, como es el caso “Schrems II”.

La obra está dividida en 7 capítulos —distribuidos en dos tomos— que contienen un total de 31 artículos escritos por 28 autores.

El primer capítulo comienza con un comentario de Eduardo Bertoni, quien fue director de la AAIP hasta fines de 2020. Bertoni escribió una nota donde explica por qué la Ley N.º 25.326 nació anticuada —concordamos ampliamente con su visión— y relata los avances que se lograron con la independencia de la agencia local, y a escala internacional con la aprobación de varios convenios, así como las últimas normas importantes aprobadas por la agencia, lo que sirve como una suerte de balance de gestión.

El profesor Oscar R. Puccinelli es el autor de un artículo titulado “La Ley N.º 25.326 de cara a su reforma integral: el proyecto elaborado en el marco del Programa Justicia 2020”, en el que se comenta el proyecto de reforma que, de haber sido tratado por el Congreso de la Nación, habría actualizado nuestra ley de datos personales al estándar del RGPD europeo.

Sigue una nota del profesor brasileño Danilo Doneda sobre el reconocimiento del derecho fundamental a la protección de los datos personales en la jurisprudencia del Tribunal Federal de Brasil. Se trata del comentario a un reciente fallo de ese país sobre la tutela de los datos sobre geolocalización durante la pandemia del covid 19. El caso sirve para demostrar cómo los tribunales brasileños, sin ley vigente en ese momento, consideraron a la protección de datos personales como un derecho fundamental.

Luego hay una nota escrita por María Julia Giorgelli y Javier Raimo sobre las propuestas para la reforma de la Ley de Protección de Datos de la Ciudad de Buenos Aires N.º 1.845 —de la cual participe en su redacción— y la influencia del RGPD europeo. Ambos autores trabajan en la agencia porteña de datos personales. La nota contiene un anexo con el proyecto de ley presentado en la Legislatura. Su simple lectura evidencia el influjo europeo.

Lisandro Frene realiza un balance sobre las dos décadas de vigencia de la Ley N.º 25.326 y cuál fue el resultado en diversos aspectos de su aplicación.

Son dos los artículos que abordan la extraterritorialidad de las leyes de protección de datos personales, tema siempre actual y en constante evolución. Mariano Peruzzotti escribe sobre la extraterritorialidad del RGPD y sus efectos en la Argentina. Este autor comenta el alcance territorial de la Ley de Protección de Datos Personales a través de una interpretación jurisprudencial de la ley actual. Por su parte, Lucía López Laxague analiza la extraterritorialidad del RGPD europeo y la obligación de nombramiento de un DPO. La nota de esta autora fue su tesina en la Maestría de Derecho Empresarial de la Universidad de San Andrés.

Otra nota de Lisandro Frene, , repasa críticamente las novedades de los últimos veinte años con relación a la actividad de la agencia argentina de datos personales y su funcionamiento y enforcement.

Finalmente, el profesor Oscar Puccinelli escribe además sobre el impacto del RGPD europeo y de los “estándares” de la Red Iberoamericana de Protección de Datos en las recientes reformas, proyectos de reformas y nuevas leyes de protección de datos en Latinoamérica.

El segundo capítulo de esta obra contiene artículos sobre los principios generales de las leyes de protección de datos personales. Agustín Allende Larreta escribe sobre el principio de finalidad en el tratamiento de datos personales. Por su parte, Andrés Chomczyk analiza la evolución del deber de información en la Ley Argentina de Protección de Datos Personales y en los estándares internacionales. Respecto al consentimiento, Diego Fernández analiza el consentimiento de los menores de edad para el tratamiento de sus datos personales. En otro artículo, Agustín Allende Larreta aborda el tema de la portabilidad de los datos personales. Para finalizar, una nota muy práctica de Diego Fernández y Manuela Adrogué analiza el tratamiento de datos sensibles en la legislación y la jurisprudencia argentinas. 

El tercer capítulo aborda los derechos y las obligaciones. José Alejandro Bermúdez Durana, ex comisionado de Datos Personales de Colombia, explica el principio de responsabilidad proactiva o accountability en las legislaciones colombianas y su origen en los estándares internacionales. Una nota de Pablo Segura analiza la importancia del DPO en las organizaciones. Una nota de mi autoría pone el foco en el rol del DPO y su interfaz con el régimen de compliance. El texto contiene dos anexos con las normas de Argentina y Uruguay que requieren nombrar un DPO en ciertos casos. Junto con Andrés Chomczyk escribimos sobre ciberseguridad, incidentes de seguridad y data breach en América Latina. Aquí cierra el primer tomo de esta obra.

El segundo tomo abre con el cuarto capítulo, que lo integra el siempre actual tema de las transferencias internacionales de datos personales. Mariano Peruzzotti, desde otro artículo, hace un repaso de la regulación argentina actual a la luz del Derecho Comparado. El caso “Schrems II” es comentado por Esteban Ruiz Martínez y por Mikel Recuero Linares. 

El quinto capítulo trata sobre la protección de los datos personales en Internet. Los temas que aquí se tratan son el derecho de supresión en redes sociales —analizado por Lucia Suyai Mendiberri—, el problema del ejercicio de los derechos de datos personales en Internet —por Esteban Ruiz Martínez— y la aplicación del caso “Belén Rodríguez” a la protección de datos —por quien suscribe—.

El sexto capítulo analiza los tratamientos de datos sectoriales. Se incluyen notas sobre datos de salud y su tratamiento por farmacéuticas (escrita conjuntamente con Franco Rizzo Jurado), sobre telemedicina y datos del paciente (por Ambrosio Nougues), sobre datos electorales (escrita por Lisandro Frene en coautoría con Damián Navarro), sobre los sistemas de videovigilancia pública (por Hugo Vaninetti) y sobre captación de datos personales por medio de drones (por Juan Cruz González Allonca, quien fue director de la Dirección Nacional de Datos Personales e impulsor durante su cargo de la norma sobre drones que él mismo comenta).

El séptimo capítulo está dedicado a los datos personales y su relación con el proceso penal y el Derecho Penal. De nuevo, no es frecuente la interfaz entre ambas ramas del Derecho, y el tratamiento de este tema en la doctrina argentina desde la óptica de los datos personales era escaso, por no decir nulo. Por eso nos pareció interesante tratar expresamente varios temas. Hernán Blanco aborda el tema del impacto que la investigación penal tiene sobre la protección de los datos personales de los ciudadanos. Otra nota trata acerca de la transferencia internacional de datos personales en materia penal y el impacto de la Cloud Act de Estados Unidos. Ese trabajo, escrito por las especialistas en delitos informáticos Daniela Dupuy y Mariana Kiefer, hace un aporta muy actual porque justamente este tema se está debatiendo en el Council of Europe a raíz de la modernización del Convenio de Budapest. Finalmente, el uso de técnicas de OSINT (mal llamado “ciberpatrullaje”) y los datos personales que genera esa actividad es comentado por Marcelo Temperini y Maximiliano Macedo. 

La profundidad de todas estas notas demuestra que en la Argentina las dos décadas de protección de datos no transcurrieron en vano. Se han formado numerosos especialistas a la luz de la Ley N.º 25.326 y se ha creado una sólida comunidad de practitioners y académicos.

Finalmente, agradezco el apoyo económico del CETYS y de Derecho UDESA y las gestiones de María Vazquez para la impresión de esta obra.

5. Conclusiones

El entusiasmo que mostraron todos los autores al concebir esta obra, realizada en su mayor parte durante la pandemia, plantea la posibilidad de seguir desarrollando con más frecuencia este tipo de compilaciones, dado que los temas son tan amplios y diversos que es imposible que sean cubiertos por un solo autor. Por este motivo, invitamos a todos aquellos interesados en contribuir al desarrollo de los datos personales en la región a enviarnos contribuciones de actualidad para seguir adelante con esta obra mediante tomos adicionales.


PABLO A. PALAZZI

Profesor Derecho UDESA

Director del CETYS, UDESA

ppalazzi@udesa.edu.ar

Buenos Aires, diciembre de 2020