El 6 de enero de 2022, el Congreso de Colombia profirió la Ley 2191 a través de la cual crea, regula y promueve la desconexión laboral, con el fin de garantizar el goce efectivo del tiempo libre y los tiempos de descanso, licencias, permisos y/o vacaciones para conciliar la vida personal, familiar y laboral.
lunes, enero 17, 2022
viernes, enero 07, 2022
El PEN remite al Congreso el proyecto de ley para aprobar el Acuerdo de comercio electronico del Mercosur
El PEN envió un proyecto de ley al Congreso para aprobar el Acuerdo de Comercio electrónico del Mercosur. El proyecto de ley se puede consultar en este enlace.
martes, enero 04, 2022
Después de un data breach el RENAPER adopta Politica de protección de datos
Después de un data breach masivo que podría haber llegado a afectar a todos los ciudadanos de Argentina, y luego de 22 años de vigencia de la ley 25.326 de proteccion de datos personales, el RENAPER adopta Politica de protección (PP) de datos..
Lo bueno de la norma:
- el RENAPER se da una PP para regular sus datos personales.
- La PP sigue de cerca la ley 25.326.
- La PP establece claras obligaciones para amparar los datos.
- Se requiere se nombre un DPO para Renaper cfr. art. 25 de la PP (primer DPO del Estado?).
- Hay una norma especial para gestión de indicendes de seguridad.
Lo malo:
- la ley 25.326 está vigente desde el 2.000, es decir que el Renaper, que administra los datos de todos los ciudadanos, tardó 22 años implementar una PP (RENAPER ya contaba con una Política de seguridad de la información del año 2013 que no es lo mismo que una de datos personales).
- el hacking al RENAPEr ya ocurrió.
- la PP implementada podría haber evitado el data breach.
- no hay referencia a transferenica de datos personales en causas penales.
- no hay referencia a transferencia internacional de datos personales.
- el RENAPEr se arroga facultades de prohibir a otras dependencias crear una base de datos similar.
jueves, diciembre 16, 2021
Pase sanitario - Deciden que el app cuidar será obligatoria para ciertas situaciones
MEDIDAS GENERALES DE PREVENCIÓN
Decisión Administrativa 1198/2021
DECAD-2021-1198-APN-JGM - Actividades de mayor riesgo epidemiológico y sanitario. Disposiciones.
Ciudad de Buenos Aires, 10/12/2021
VISTO el Expediente N° EX-2021-118361067-APN-DGDYD#JGM, las Leyes Nros. 15.465, 27.491, 27.541, 27.573, los Decretos Nros. 260 del 12 de marzo de 2020, 297 del 19 de marzo de 2020, 167 del 11 de marzo de 2021, 678 del 30 de septiembre de 2021 y las Resoluciones Nros. 680 del 30 de marzo de 2020, 2883 del 29 de diciembre de 2020 y 2673 del 29 de septiembre de 2021 del MINISTERIO DE SALUD, su respectiva normativa modificatoria y complementaria, y
sábado, noviembre 06, 2021
Se expande del uso de clausulas contractuales modelo para la transferencia internacional de datos personales a jurisdicciones "no adecuadas".
Ya hay muchos ejemplos en el mundo:
Argentina - Dispo 60/2016.
Uruguay- Resolución N° 41/021 del 08/09/2021.
Union Europea - SCC modelo del 2021.
América Latina - Red iberoamericana de Proteccion de datos (2021) (cláusula modelo y guía)
Consejo de Europa - Model contract to ensure equivalent protection in the context of transborder data
flows with explanatory report (1992).
ASEAN Model contractual clauses.
Contract builders
domingo, septiembre 19, 2021
Uruguay - La agencia de datos regula la transferencia internacional de datos personales post Schrems 2
Resolución N° 23/021 del 08/06/2021
Se resuelve sobre la necesidad de actualizar la Resolución Nº 4/019, de 12 de marzo de 2019, sobre los países u organizaciones consideradas adecuadas para las transferencias internacionales de datos, de conformidad con lo establecido por el artículo 23 de la Ley Nº 18.331, de 11 de agosto de 2008.
Montevideo, 8 de junio de 2021.
VISTO: La necesidad de actualizar la Resolución Nº 4/019, de 12 de marzo de 2019, sobre los países u organizaciones consideradas adecuadas para las transferencias internacionales de datos, de conformidad con lo establecido por el artículo 23 de la Ley Nº 18.331, de 11 de agosto de 2008.
viernes, julio 30, 2021
Prólogo para el libro Tópicos de Derecho Informático (Chile, 2021).
Prologo
La solicitud de mi amigo, el profesor Renato Jijena Leiva, de realizar un prólogo para el libro Tópicos de Derecho Informático que él ha coordinado constituye para mí una nueva oportunidad para manifestar públicamente mi gran afecto y máxima consideración académica hacia el autor y coordinador de esta obra.
El profesor Renato Jijena Leiva enseña Derecho Informático en la PUCV desde 1996 y debe ser considerado un pionero en la materia en su país. Bajo sus cursos han transitado infinidad de alumnos que luego terminan trabajando en empresas, o en la judicatura, o también dictando clases.
Quienes enseñamos Derecho Informático desde hace mucho tiempo disfrutamos poder ver cómo las nuevas generaciones van incorporando los conocimientos jurídicos que se enfocan en la regulación de la tecnología. Asimismo, venimos viendo cómo estas cuestiones han pasado de ser una “ciencia oculta” que pocos comprendían a algo que se aplica todos los días a las situaciones más banales.
En los últimos años los estudiantes de Derecho cuentan con la ventaja de ser “nativos digitales”, y de ver y usar a la tecnología como algo más rutinario que sus generaciones pasadas. Estoy seguro que sin duda eso va a influir en las reglas jurídicas que ellos mismos van a tener que desarrollar e inventar.
Por otra parte, la tecnologización y digitalización de la vida en sociedad, del comercio y de las empresas y sobre todo la presencia de Internet en todos los quehaceres hace que cada vez sean más frecuentes estas cuestiones jurídicas y se presenten en todas las ramas del Derecho.
Tal como explica en detalle el profesor Jijena Leiva en su introducción a esta obra, el Derecho Informático ha atravesado un largo camino de transformación desde la década de los “ochenta” y los “noventa” cuando sólo se dedicaba a las computadoras que ocasionalmente se conectaban a Internet (si tenían un modem de 2400 bps instalado) y a temas entonces incipientes como privacidad en bases de datos o protección legal del software. Hoy en día el Derecho de Internet, omnipresente y super-abarcador ha devorado al antiguo Derecho Informático y se extiende a cientos de cuestiones en todas las ramas del Derecho. A medida que todo se digitaliza, todo terminará pasando de alguna manera por el Derecho de Internet y de las nuevas tecnologías. Aparecen además nuevas manifestaciones de estas áreas jurídicas con fancy names como ser el Legaltech, el Fintech, el Insurtech e incluso el omnicomprensivo Regtech.
Más allá de las novedades que pueden tener estos nuevos términos, lo cierto es que con la pandemia del covid-19 la tecnología llegó para quedarse. Descubrimos a la fuerza las ventajas del trabajo a distancia, de las clases virtuales y de la posibilidad de dar y tomar cursos en forma remota en todo el mundo sin movernos del cómodo sillón de nuestra oficina (ahora nuestra casa). Esto también tiene sus problemas, pero si nos fijamos en las ventajas, el mundo tecnológico salió favorecido con la pandemia por el crecimiento exponencial que tuvo su uso. Todo esto incrementó los problemas legales relacionados con la tecnología y por eso los temas de esta obra son importantes.
Los temas sobre los que versan cada una de las memorias de esta obra son de los más variados y reflejan esta multidiversidad de aspectos característica del Derecho de Internet.
Así encontramos una nota sobre el interés público de los nombres de dominio, otra sobre la responsabilidad de los proveedores de Internet respecto a cuestiones de propiedad intelectual, otra sobre el software y otra sobre el cloud computing en la administración pública, y finalmente cuatro ensayos sobre protección de datos. Estos últimos tratan sobre protección de datos personales del trabajador, los principios y deberes de la ley actual de datos personales, las cookies bajo la ley chilena de datos personales y el GDPR y finalmente, la reciente reforma constitucional chilena en materia de datos personales.
En materia de datos personales Chile tiene una deuda pendiente desde hace tiempo para la aprobación de un plexo normativo moderno en materia de datos personales. Los proyectos van y vienen pero ninguno logra salir del Congreso para hacerse ley. Chile fue el primer país latinoamericano en aprobar una ley de privacidad relacionada con el mundo digital en el año 1999 y ya desde el año 1992 contaba con una obra de doctrina pionera que explicaba la protección de datos personales para América Latina cuando nadie por estos lugares todavía sabía bien lo que era regular el procesamiento de datos personales (ver Jijena Leiva, Renato, Chile, la Protección Penal de la Intimidad y el Delito Informático, Editorial Jurídica de Chile, 1992). A veces parece que ser los primeros no es garantía. En el otro extremo tenemos el ejemplo de Brasil que estaba atrasado con sus normas (salvo por haber acuñado el término habeas data en su Constitución) y que finalmente logró aprobar una ley muy compatible con el estándar internacional del GDPR o RGPD. Claro, ahora el desafío para Brasil está en implementar la ley y hacerla efectiva en el día a día, tema nada menor si se tiene en cuenta que en materia de datos personales hay una gran brecha entre el dicho y el hecho.
Es realmente interesante prologar una obra escrita por estudiantes de Derecho, que han investigado bajo la guía de un reconocido profesor de Derecho Informático. Uno puede ver cómo las ganas de descubrir si las reglas jurídicas, siempre detrás de la tecnología, cubren o no un nuevo fenómeno, afloran detrás de cada trabajo.
Creo que los estudios de derecho informático y de Internet, dan un poco de “aire fresco” a la formalidad que tienen las otras ramas del Derecho. Convengamos que muchos de nuestros sistemas jurídicos se basan en conceptos e institutos legales que tienen varios siglos de antigüedad, e incluso algunos se remontan al Derecho Romano. Es entendible entonces que las nuevas generaciones encuentren atractivo estudiar estos temas que son un claro desafío a las reglas existentes. Es entendible también que se preocupen por que el Derecho avance y recepte las nuevas tecnologías en la sociedad que les tocará vivir.
En fin, esta obra sirve para demostrar que las nuevas generaciones de juristas tienen mucho para aportarnos y que también podemos aprender de ellos, algo que siempre encuentro cuando leo una tesina o trabajo de un alumno de grado. Y también sirve para revalorizar el trabajo de los profesores en la materia, que ayudan a que estos trabajos vean la luz. Estos son los primeros intentos de investigar seriamente en pregrado sobre los temas actuales de las nuevas tecnologías. Bienvenidos los alumnos que se animan a internarse en las lagunas del Derecho Informático para encontrar nuevas islas.
Pablo A. Palazzi
Profesor de Derecho
Universidad de San Andrés
Director del Centro de Tecnología y Sociedad de la Universidad de San Andrés
Buenos Aires, julio de 2021
viernes, julio 09, 2021
Canada reconoce el derecho al olvido
Una corte de apelaciones canadiense acaba de reconocer el derecho al olvido en canada. El fallo fue dictado el 8 de julio de 2021. No resuelve la cuestion en forma definitiva porque reenvia el caso a lo que decida el Comisionado de Privacidad, pero la respuesta final es que PIPEDA se aplica al buscador.
miércoles, julio 07, 2021
Prologo a la obra de Bielli - Ordoñez - Titulos ejecutivos electrónicos (La Ley, 2021) por Santiago J. Mora y Pablo A. Palazzi
PROLOGO
El recorrido en el uso de los documentos digitales, firmas electrónicas y firmas digitales en el comercio, la administración pública y el poder judicial en la Argentina ha sido un recorrido definitivamente sinuoso.
Más allá de que las primeras y principales normas datan del año 2001, con el dictado de la Ley N° 25.506 de Firma Digital, y sin perjuicio de su inmensa utilidad para los abogados y la sociedad toda, sus disposiciones y las equivalencias dispuestas tardaron mucho tiempo en ser internalizadas.
En primer lugar, y en un primer momento, los conceptos de documento digital, firma electrónica y firma digital no pudieron ser plena y fácilmente entendidos, por cuanto se trataban de conceptos nuevos y muy técnicos cuya delimitación era muchas veces un desafío para la mayoría de nosotros, máxime si se encaraban desde un enfoque netamente técnico (sin incluir el análisis jurídico) o si se encaraban desde un enfoque netamente jurídico (sin incluir el análisis técnico). Salvo casos puntuales, no existió a nivel local una acabada difusión de estas cuestiones, con el enfoque interdisciplinario necesario, que sirviera para poder entender a fondo la caracterización, la utilidad y los límites de cada una de estas herramientas.
Por otro lado, las distintas reglamentaciones que siguieron a la Ley de Firma Digital no siempre fueron del todo claras y consistentes. Además, muchas de estas reglamentaciones en un comienzo parecieron incluso desconfiar de la propia tecnología que tenían que regular. Por citar un ejemplo, la reglamentación necesaria para hacer operativa a la firma digital recién llegó en 2007, con la decisión administrativa N° 6/07, la cual estableció un régimen muy rígido y oneroso que no permitía además un uso pleno de la herramienta, haciendo muy difícil la presencia de certificadores licenciados y muy limitada la utilidad de los certificados digitales que ello emitían.
En este contexto, pasaban los años y todo daba la impresión de que los conceptos en cuestión se estaban volviendo viejos antes de haber llegado a vivir plenamente: Cada vez había un menor interés de la gente por entenderlos, y cada vez había menos obras académicas enfocadas en los mismos.
Este escenario comenzó a cambiar a partir del año 2014 (aunque siguen dándose marchas y contramarchas), cuando la decisión administrativa N° 927/14 modificó la anterior 6/07, flexibilizando el régimen de licenciamiento y permitiendo un amplio uso de los certificados digitales.
Luego, comenzaron a verse distintos actos administrativos que reflejaron en la generalidad de los casos (aunque no siempre) una fuerte intención del Estado Nacional en promover el uso de este tipo de herramientas.
En este sentido, y en primer lugar, debe mencionarse que el Código Civil y Comercial, que comenzó a entrar en vigencia en agosto de 2015, incluyó algunos avances en la materia, como por ejemplo su artículo 1836, que trata sobre la “desmaterialización e ingreso en sistemas de anotaciones en cuenta” en relación a los títulos valores.
Asimismo, debe observarse lo dispuesto por la Ley 27.349, de Apoyo al Capital Emprendedor, de marzo de 2017, cuyo Título III creó las “Sociedades por Acciones Simplificadas (SAS)”, y entre otras cuestiones permitió que dichas sociedades se constituyan por medios digitales, que los libros societarios correspondientes sean llevados de manera digital, que los poderes que otorguen sus representantes puedan ser otorgados en protocolo notarial electrónico, etc. (ello sin perjuicio de que el pleno uso de todo esto se haya visto luego limitado, entre otras cosas, por la acción u omisión de distintas autoridades de aplicación locales).
Tampoco puede obviarse lo dispuesto por las Leyes Nros. 27.444, 27.445 y 27.446, de Simplificación y Desburocratización, de junio de 2018, las cuales -entre muchas otras cosas- modificaron la Ley de Firma Digital derogando su artículo 4 (que establecía una serie de casos en los cuales las disposiciones de dicha ley no eran aplicables), y modificaron la Ley 25.065 de Tarjetas de Crédito, el Decreto-ley 5.965/63 de Letra de Cambio y Pagaré, y la Ley 24.452 de Cheques, ajustando las referencias a las firmas de los distintos sujetos intervinientes a los efectos de permitir el uso de la firma electrónica avanzada.
En este contexto, se menciona también que en marzo de 2019 el PEN modificó el decreto reglamentario de la Ley de Firma Digital, con el dictado del Decreto N° 182/19, mediante el cual se estableció la posibilidad de otorgar poderes digitales en el marco de la plataforma de Trámites a Distancia (TAD), se dispuso que la firma digital satisface el requerimiento de certificación de firma establecido para firma ológrafa en todo trámite efectuado ante la administración pública nacional (norma cuya redacción fue modificada en paralelo a un reclamo judicial presentado por el Colegio de Escribanos de la Ciudad de Buenos Aires), y reguló (aunque quizás con alguna obscuridad) el régimen de los llamados “Prestadores de Servicios de Confianza”.
Asimismo, debe mencionar también que durante este tiempo, por un lado, el PEN creó la llamada “Plataforma de Firma Digital Remota”, para facilitar el acceso a los certificados digitales y para hacer más ágil el uso de la firma digital; y, por el otro lado, el RENAPER desarrolló herramientas de validación biométrica que puso a disposición de bancos, empresas fintechs, y el comercio en general, para robustecer los sistemas de firmas electrónicas (permitiendo una mejor identificación de las personas que pasarían a utilizar dichas firmas). En este mismo sentido, la UIF comenzó a permitir la identificación remota por parte de los sujetos obligados en el marco de la Ley N° 25.246 de Lavado de Dinero, y el BCRA tomó una importante cantidad de medidas, entre las cuales se incluye la habilitación del depósito electrónico de cheques físicos, la reglamentación de los cheques digitales (o “ECHEQs”), la autorización la apertura de cuentas bancarias de manera no presencial, la autorización de operación de bancos 100% digitales, etc.
Más allá de que (insistimos) este proceso de digitalización no ha sido del todo uniforme, el mismo se profundizó con la cuarentena dispuesta para enfrentar el COVID-19 a partir del año 2020, en cuyo marco resultaron de una inmensa utilidad los avances y reformas que se habían producido en los últimos años y resultó necesario profundizarlo y ampliarlo. En este sentido, durante la cuarentena, el poder judicial avanzó con la plena digitalización de los procesos judiciales, se reguló la receta digital, se reguló la educación a distancia, se reguló el teletrabajo, la IGJ autorizó las actas de directorio digitales aunque no se hubieran previsto en los correspondientes estatutos, se modificó el régimen de los contratos de garantía recíproca permitiendo el uso de firmas electrónicas avanzadas y tecnología blockchain, etc.
Mucho se ha avanzado en los últimos años pero mucho falta aún por hacer. Entre otras cuestiones, en muchos casos las leyes procesales, nacionales y locales, siguen con la lógica del documento en papel y la firma manuscrita, lo cual limita la posibilidad de permitir y dar curso a muchos reclamos vinculados a negocios digitales. Además, falta también avanzar con la reglamentación e implementación de los pagarés y letras de cambio digitales, tal como se hizo ya con los cheques digitales.
En este contexto es que obras como la presente resultan imprescindibles.
Gastón Bielli y Carlos Ordoñez son dos de los más importantes referentes nacionales en la actualidad en lo que hace a la difusión de estos conceptos. Además tienen un profundo conocimiento práctico sobre la materia, por lo que han podido identificar cuáles son los aspectos que hoy están limitando el desarrollo de estos conceptos en el ejercicio de la profesión, y han podido proponer alternativas para su resolución que no sólo cumplen con altísimos requerimientos teóricos sino que también configuran inteligentes planteos prácticos, teniendo especialmente en consideración el real impacto de todo esto.
En particular, en el presente caso, Gastón Bielli y Carlos Ordoñez han volcado toda su capacidad de análisis y de trabajo, en un inmenso esfuerzo, para entender y explicar la situación existente con relación a los títulos valores digitales y su ejecución en la República Argentina.
La obra hace un completo análisis de los muchos temas vinculados a la materia, y con una gran claridad y profundidad. En particular, y entre otros muchos asuntos, la obra comienza describiendo en general el régimen de los procesos ejecutivos y los conceptos de documento digital, firma electrónica y digital; luego avanza con el análisis de los contratos de préstamos electrónicos, los contratos de tarjeta de crédito online, los títulos valores electrónicos, el requisitos de autosuficiencia, la preparación de la vía ejecutiva de este tipo de instrumentos, el análisis de las defensas y excepciones posibles en estos casos; y cierra con unas muy relevantes reflexiones personales de los autores y perspectivas futuras.
Es un verdadero placer y un destacado orgullo para nosotros el realizar el prólogo de esta obra que sin duda será una obra de referencia sobre los temas que aborda.
Pablo A. Palazzi y Santiago J. Mora
Más allá de que las primeras y principales normas datan del año 2001, con el dictado de la Ley N° 25.506 de Firma Digital, y sin perjuicio de su inmensa utilidad para los abogados y la sociedad toda, sus disposiciones y las equivalencias dispuestas tardaron mucho tiempo en ser internalizadas.
En primer lugar, y en un primer momento, los conceptos de documento digital, firma electrónica y firma digital no pudieron ser plena y fácilmente entendidos, por cuanto se trataban de conceptos nuevos y muy técnicos cuya delimitación era muchas veces un desafío para la mayoría de nosotros, máxime si se encaraban desde un enfoque netamente técnico (sin incluir el análisis jurídico) o si se encaraban desde un enfoque netamente jurídico (sin incluir el análisis técnico). Salvo casos puntuales, no existió a nivel local una acabada difusión de estas cuestiones, con el enfoque interdisciplinario necesario, que sirviera para poder entender a fondo la caracterización, la utilidad y los límites de cada una de estas herramientas.
Por otro lado, las distintas reglamentaciones que siguieron a la Ley de Firma Digital no siempre fueron del todo claras y consistentes. Además, muchas de estas reglamentaciones en un comienzo parecieron incluso desconfiar de la propia tecnología que tenían que regular. Por citar un ejemplo, la reglamentación necesaria para hacer operativa a la firma digital recién llegó en 2007, con la decisión administrativa N° 6/07, la cual estableció un régimen muy rígido y oneroso que no permitía además un uso pleno de la herramienta, haciendo muy difícil la presencia de certificadores licenciados y muy limitada la utilidad de los certificados digitales que ello emitían.
En este contexto, pasaban los años y todo daba la impresión de que los conceptos en cuestión se estaban volviendo viejos antes de haber llegado a vivir plenamente: Cada vez había un menor interés de la gente por entenderlos, y cada vez había menos obras académicas enfocadas en los mismos.
Este escenario comenzó a cambiar a partir del año 2014 (aunque siguen dándose marchas y contramarchas), cuando la decisión administrativa N° 927/14 modificó la anterior 6/07, flexibilizando el régimen de licenciamiento y permitiendo un amplio uso de los certificados digitales.
Luego, comenzaron a verse distintos actos administrativos que reflejaron en la generalidad de los casos (aunque no siempre) una fuerte intención del Estado Nacional en promover el uso de este tipo de herramientas.
En este sentido, y en primer lugar, debe mencionarse que el Código Civil y Comercial, que comenzó a entrar en vigencia en agosto de 2015, incluyó algunos avances en la materia, como por ejemplo su artículo 1836, que trata sobre la “desmaterialización e ingreso en sistemas de anotaciones en cuenta” en relación a los títulos valores.
Asimismo, debe observarse lo dispuesto por la Ley 27.349, de Apoyo al Capital Emprendedor, de marzo de 2017, cuyo Título III creó las “Sociedades por Acciones Simplificadas (SAS)”, y entre otras cuestiones permitió que dichas sociedades se constituyan por medios digitales, que los libros societarios correspondientes sean llevados de manera digital, que los poderes que otorguen sus representantes puedan ser otorgados en protocolo notarial electrónico, etc. (ello sin perjuicio de que el pleno uso de todo esto se haya visto luego limitado, entre otras cosas, por la acción u omisión de distintas autoridades de aplicación locales).
Tampoco puede obviarse lo dispuesto por las Leyes Nros. 27.444, 27.445 y 27.446, de Simplificación y Desburocratización, de junio de 2018, las cuales -entre muchas otras cosas- modificaron la Ley de Firma Digital derogando su artículo 4 (que establecía una serie de casos en los cuales las disposiciones de dicha ley no eran aplicables), y modificaron la Ley 25.065 de Tarjetas de Crédito, el Decreto-ley 5.965/63 de Letra de Cambio y Pagaré, y la Ley 24.452 de Cheques, ajustando las referencias a las firmas de los distintos sujetos intervinientes a los efectos de permitir el uso de la firma electrónica avanzada.
En este contexto, se menciona también que en marzo de 2019 el PEN modificó el decreto reglamentario de la Ley de Firma Digital, con el dictado del Decreto N° 182/19, mediante el cual se estableció la posibilidad de otorgar poderes digitales en el marco de la plataforma de Trámites a Distancia (TAD), se dispuso que la firma digital satisface el requerimiento de certificación de firma establecido para firma ológrafa en todo trámite efectuado ante la administración pública nacional (norma cuya redacción fue modificada en paralelo a un reclamo judicial presentado por el Colegio de Escribanos de la Ciudad de Buenos Aires), y reguló (aunque quizás con alguna obscuridad) el régimen de los llamados “Prestadores de Servicios de Confianza”.
Asimismo, debe mencionar también que durante este tiempo, por un lado, el PEN creó la llamada “Plataforma de Firma Digital Remota”, para facilitar el acceso a los certificados digitales y para hacer más ágil el uso de la firma digital; y, por el otro lado, el RENAPER desarrolló herramientas de validación biométrica que puso a disposición de bancos, empresas fintechs, y el comercio en general, para robustecer los sistemas de firmas electrónicas (permitiendo una mejor identificación de las personas que pasarían a utilizar dichas firmas). En este mismo sentido, la UIF comenzó a permitir la identificación remota por parte de los sujetos obligados en el marco de la Ley N° 25.246 de Lavado de Dinero, y el BCRA tomó una importante cantidad de medidas, entre las cuales se incluye la habilitación del depósito electrónico de cheques físicos, la reglamentación de los cheques digitales (o “ECHEQs”), la autorización la apertura de cuentas bancarias de manera no presencial, la autorización de operación de bancos 100% digitales, etc.
Más allá de que (insistimos) este proceso de digitalización no ha sido del todo uniforme, el mismo se profundizó con la cuarentena dispuesta para enfrentar el COVID-19 a partir del año 2020, en cuyo marco resultaron de una inmensa utilidad los avances y reformas que se habían producido en los últimos años y resultó necesario profundizarlo y ampliarlo. En este sentido, durante la cuarentena, el poder judicial avanzó con la plena digitalización de los procesos judiciales, se reguló la receta digital, se reguló la educación a distancia, se reguló el teletrabajo, la IGJ autorizó las actas de directorio digitales aunque no se hubieran previsto en los correspondientes estatutos, se modificó el régimen de los contratos de garantía recíproca permitiendo el uso de firmas electrónicas avanzadas y tecnología blockchain, etc.
Mucho se ha avanzado en los últimos años pero mucho falta aún por hacer. Entre otras cuestiones, en muchos casos las leyes procesales, nacionales y locales, siguen con la lógica del documento en papel y la firma manuscrita, lo cual limita la posibilidad de permitir y dar curso a muchos reclamos vinculados a negocios digitales. Además, falta también avanzar con la reglamentación e implementación de los pagarés y letras de cambio digitales, tal como se hizo ya con los cheques digitales.
En este contexto es que obras como la presente resultan imprescindibles.
Gastón Bielli y Carlos Ordoñez son dos de los más importantes referentes nacionales en la actualidad en lo que hace a la difusión de estos conceptos. Además tienen un profundo conocimiento práctico sobre la materia, por lo que han podido identificar cuáles son los aspectos que hoy están limitando el desarrollo de estos conceptos en el ejercicio de la profesión, y han podido proponer alternativas para su resolución que no sólo cumplen con altísimos requerimientos teóricos sino que también configuran inteligentes planteos prácticos, teniendo especialmente en consideración el real impacto de todo esto.
En particular, en el presente caso, Gastón Bielli y Carlos Ordoñez han volcado toda su capacidad de análisis y de trabajo, en un inmenso esfuerzo, para entender y explicar la situación existente con relación a los títulos valores digitales y su ejecución en la República Argentina.
La obra hace un completo análisis de los muchos temas vinculados a la materia, y con una gran claridad y profundidad. En particular, y entre otros muchos asuntos, la obra comienza describiendo en general el régimen de los procesos ejecutivos y los conceptos de documento digital, firma electrónica y digital; luego avanza con el análisis de los contratos de préstamos electrónicos, los contratos de tarjeta de crédito online, los títulos valores electrónicos, el requisitos de autosuficiencia, la preparación de la vía ejecutiva de este tipo de instrumentos, el análisis de las defensas y excepciones posibles en estos casos; y cierra con unas muy relevantes reflexiones personales de los autores y perspectivas futuras.
Es un verdadero placer y un destacado orgullo para nosotros el realizar el prólogo de esta obra que sin duda será una obra de referencia sobre los temas que aborda.
Pablo A. Palazzi y Santiago J. Mora
lunes, junio 07, 2021
Primer libro colectivo de la IAPP en castellano!
La IAPP publica por primera vez una obra sobre privacidad en español. Se trata de una obra colectiva elaborada por miembros de la IAPP. Esta guía de privacidad para América Latina contiene un detallado análisis de las normas de privacidad y protección de datos de nueve países de la región latinoamericana.
Estos países son Argentina, Brasil, Chile, Colombia, Costa Rica, México, Paraguay, Perú y Uruguay. Los autores siguiendo el orden de los países nombrados son Pablo Palazzi, Marcela Waksman Ejnisman, Paulina Silva, Leon Weinstok, Juanita Acosta, María Rosa Franco, Cecilia Abente Stewart, Jorge Allende y Martin Pesce respectivamente.
La obra explora los temas centrales del régimen de protección de datos en cada uno de los países incluyendo la base legal y constitucional de la regulación de los datos personales, las bases legales para procesar datos personales, como el consentimiento y otras, la notificación, las cesiones y transferencias internacionales de datos personales, las obligaciones de seguridad y confidencialidad (data breach) y las autoridades regulatorias así como las sanciones legales y las acciones legales que tiene el titular del dato personal.
Los autores de cada uno de los capítulos de este libro son miembros de la IAPP y poseen una vasta experiencia en asesoramiento en cuestiones de privacidad y protección de datos personales en sus respectivos países.
La obra está escrita en castellano y editada solamente en formato de libro electrónico (ebook), excepto por el capítulo correspondiente a Brasil, que está escrito en portugués y traducido al castellano. La obra está actualizada a febrero de 2021.
El libro se consigue en la web de la IAPP.
viernes, junio 04, 2021
La UE aprueba nuevos modelos de contratos para procesamiento de datos personales bajo GDPR
La UE aprueba nuevos modelos de contratos para procesamiento de datos bajo GDPR.
Texto de los modelos y de la decision
miércoles, abril 21, 2021
Base de Datos denominada “Vacunación COVID 19”
JEFATURA DE GABINETE DE MINISTROS SUBSECRETARÍA DE GOBIERNO ABIERTO Y PAÍS DIGITAL
Disposición 6/2021
DI-2021-6-APN-SSGAYPD#JGM
Ciudad de Buenos Aires, 07/04/2021
martes, marzo 09, 2021
Nueva obra colectiva Protección de datos. Doctrina y jurisprudencia tomos 1 y 2, editada por Pablo A. Palazzi y el CETYS (CDYT 2021).
Esta obra es fruto del trabajo colaborativo de reconocidos especialistas argentinos en materia de protección de datos personales escrita para celebrar las dos décadas de vigencia de la ley argentina de protección de datos personales (Ley N.º 25.326). Los distintos aportes de estos autores recorren alguno de los hitos más importantes de la protección de datos en el ámbito nacional y cómo se ubican éstos dentro del contexto internacional.
Temas analizados
La obra aborda los temas centrales ocurridos durante los últimos 20 años tales como la adaptación de la ley argentina al modelo europeo del GDPR, el alcance territorial de la ley de Protección de Datos Personales, el principio de la finalidad en el tratamiento de datos personales, el consentimiento de los menores de edad, el deber de información, el tratamiento de datos sensibles, el derecho a la portabilidad de datos personales, el rol del Data Protection Officer, la ciberseguridad y notificación de incidentes la transferencia internacional de datos personales, el derecho de supresión y libertad de expresión en el marco de redes sociales, la protección de datos de salud en las industrias farmacéutica y de dispositivos médicos, en la telemedicina, en el proceso electoral, en el uso de drones, en la video-vigilancia pública y en el proceso penal.
Introducción a la obra por Pablo Palazzi
En esta introducción Pablo Palazzi explica lo sucedido en las dos décadas de vigencia de la ley 25.326 de datos personales de Argentina.
Título: Protección de datos. Doctrina y jurisprudencia. Tomos 1 y 2.
Cantidad de páginas 826 (tomo 1 - 446 ps, tomo 2 - 380 paginas).
Cantidad de artículos: 31
Cantidad de Autores: 28
Índice
TOMO 1 Dos décadas de protección de datos personales en la Argentina, por Pablo A. Palazzi CAPÍTULO I. Parte general El impacto de una ley que nació anticuada, por Eduardo Bertoni La Ley N.º 25.326, de cara a su reforma integral: el proyecto elaborado en el marco del Programa Justicia 2020, por Oscar R. Puccinelli El reconocimiento del derecho fundamental a la protección de los datos personales en la jurisprudencia del Tribunal Federal de Brasil. La tutela de los datos sobre geolocalización durante la pandemia de covid-19, por Danilo Doneda Propuestas para la reforma de la Ley de Protección de Datos de la Ciudad de Buenos Aires. Influencia del Reglamento General de Protección de Datos europeo, por María Julia Giorgelli y Javier Raimo Alcance territorial de la Ley de Protección de Datos Personales, por Mariano Peruzzotti Aplicación extraterritorial del Reglamento General de Protección de Datos de la Unión Europea: ¿cuál es el rol del delegado de protección de datos de empresas argentinas?, por Lucía López Laxague Privacidad en la Argentina: veinte años de buenas intenciones y un futuro abierto, por Lisandro Frene Reflexiones sobre el Reglamento General de Protección de Datos de la Unión Europea y los “Estándares” de la Red Iberoamericana de Protección de Datos y su impacto sobre las reformas, proyectos de reformas y nuevas leyes de protección de datos en Latinoamérica, por Oscar R. Puccinelli CAPÍTULO II. Protección de datos. Principios generales La finalidad en el tratamiento de datos personales a veinte años de la LPDP y los nuevos desafíos que se presentan, por Agustín Pedro Allende Larreta El consentimiento de los menores de edad para el tratamiento de sus datos personales, por Diego Fernández La evolución del deber de información en la Ley argentina de Protección de Datos Personales y su futuro, por Andrés Chomczyk El tratamiento de datos sensibles, por Diego Fernández y Manuela Adrogué El derecho a la portabilidad de datos personales: una deuda pendiente, por Agustín Pedro Allende Larreta CAPÍTULO III. Derechos y obligaciones Accountability y protección de datos personales, por José Alejandro Bermúdez Durana El Delegado de Protección de Datos: piedra angular de la responsabilidad proactiva, por Pablo Segura Rol del Data Protection Officer (DPO) dentro de la empresa y del Estado: entre el compliance y la protección de datos personales, por Pablo A. Palazzi Ciberseguridad y notificación de incidentes en América Latina, por Andrés Chomczyk y Pablo A. Palazzi TOMO 2 CAPÍTULO IV. Transferencia internacional de datos personales Pasado, presente y futuro de la transferencia internacional de datos, por Mariano Peruzzotti El caso “Schrems II” y la invalidez del Privacy Shield: ¿hay una salida?, por Esteban Ruiz Martínez La Sentencia del Tribunal de Justicia de la Unión Europea en el asunto “Schrems II”: mucho más que la crónica de una muerte anunciada del Privacy Shield, por Mikel Recuero Linares CAPÍTULO V. Protección de datos personales en Internet Derecho de supresión y libertad de expresión en el marco de redes sociales, por Lucia Suyai Mendiberri Hiperconexión y vaporización de derechos, por Esteban Ruiz Martínez Tutela de derechos personalísimos en Internet: el estándar del caso “Belén Rodríguez”, por Pablo A. Palazzi CAPÍTULO VI. Tratamiento de datos sectoriales Protección de datos de salud en las industrias farmacéutica y de dispositivos médicos, por Franco Rizzo Jurado y Pablo A. Palazzi Telemedicina: la importancia del cuidado de los datos personales de pacientes, por Ambrosio Nougues Privacidad y elecciones. Procesamiento de datos personales para propaganda electoral, por Lisandro Frene y Damián Navarro Protección de datos personales en los sistemas de video-vigilancia pública, por Hugo Alfredo Vaninetti Tratamiento de datos personales por medio de drones, por Juan Cruz González Allonca CAPÍTULO VII. Tratamiento de datos personales y Derecho Penal y proceso penal Las transferencias internacionales de datos personales en el proceso penal, por Daniela Dupuy y Mariana Kiefer La investigación penal y la protección de los datos personales de los ciudadanos, por Hernán Blanco OSINT: legalidad y protección de datos personales, por Marcelo Temperini y Maximiliano Macedo.Autores
Manuela Adrogué
Agustín Pedro Allende Larreta
José Alejandro Bermúdez Durana
Eduardo Bertoni
Hernán Blanco
Andrés Chomczyk
Danilo Doneda
Daniela Dupuy
Diego Fernández
Lisandro Frene
María Julia Giorgelli
Juan Cruz González Allonca
Mariana Kiefer
Lucía López Laxague
Maximiliano Macedo
Lucia Suyai Mendiberri
Damián Navarro
Ambrosio Nougues
Pablo A. Palazzi
Mariano Peruzzotti
Oscar R. Puccinelli
Javier Raimo
Mikel Recuero Linares
Franco Rizzo Jurado
Esteban Ruiz Martínez
Pablo Segura
Marcelo Temperini
Hugo Alfredo Vaninetti
Donde se consigue?
La obra se consigue en las siguientes librerías jurídicas
domingo, febrero 28, 2021
Introducción a la obra colectiva editada por el CETYS titulada Protección de datos. Doctrina y jurisprudencia tomos 1 y 2 (CDYT 2021).
Dos décadas de protección de datos personales en Argentina, por Pablo A. Palazzi
1. Introducción
Esta obra que el lector tiene en sus manos es fruto del trabajo colaborativo de reconocidos especialistas argentinos en materia de protección de datos personales, así como de algunos pocos invitados extranjeros.
Estos autores generosamente han compartido sus conocimientos para armar una obra señera en la materia. La excusa original para realizar esta obra colectiva fue celebrar las dos décadas de vigencia de la ley argentina de protección de datos personales (Ley N.º 25.326) con un texto que recorriera alguno de los hitos más importantes de la protección de datos en el ámbito nacional y cómo se ubican dentro del contexto internacional.
En medio de la confección y del armado de esta obra colectiva apareció una pandemia global, pero eso no fue excusa y —salvo un ligero retraso— la obra se terminó a fines de 2020 y se imprimirá a comienzos de 2021 para lograr así dar testimonio de dos décadas de protección de datos personales en la República Argentina.
El resultado de este trabajo colaborativo es una obra actual y omnicomprensiva de toda la materia, con diversos puntos de vista y con visiones no sólo locales sino también internacionales que dan acabada cuenta de la complejidad que han adquirido hoy en día las reglas legales sobre el tratamiento de los datos personales.
2. El estado actual del derecho a la protección de datos personales
Es difícil describir el estado actual del derecho a la protección de los datos personales sólo analizando una norma local. Diversos factores influyen en la descripción del estado actual del régimen legal de protección de datos personales.
Primero, un texto que ya tiene dos décadas de vigencia (y más si tomamos en cuenta sus ideas base, que suman una década más) tuvo que dar respuesta a los constantes planteos tecnológicos que van ocurriendo (drones, decisiones mediante algoritmos, inteligencia artificial, bases de datos conectadas a Internet, empresas que recopilan datos personales de argentinos desde cualquier parte del mundo, reconocimiento facial, datos biométricos) y otros no tan nuevos (cookies, marketing, datos de menores). También se debe enfrentar a fenómenos inesperados como los ataques terroristas o una pandemia, que obligan a buscar excepciones generalmente no previstas en los textos legales.
La protección de datos personales también tiene que adaptarse y lograr dar tutela al consumidor, pero no ser un obstáculo a los modelos de negocios que existen hace décadas y que constantemente reaparecen y se reinventan.
Estos modelos de negocios tienen en común que están todos siempre basados en la recopilación y uso de datos personales. Tanto es así que hoy en día se acuñó la expresión capitalismo de la vigilancia para identificarlo. El capitalismo la vigilancia (en inglés siempre suena mejor: surveillance capitalism) es un concepto utilizado y popularizado desde el año 2014 por la profesora de Harvard Shoshana Zuboff y que se refiere a la mercantilización de los datos personales, es decir, a la transformación de la información personal en una mercancía para usarla con fines de lucro, para generar publicidad orientada, para mostrar contenidos determinados, para proyectar nuevos productos, personalizar experiencias, y un largo etcétera de funciones que todavía no se han inventado.
Al momento de la conceptualización académica ese concepto de la vigilancia capitalista ya había sido explotado reiteradamente por el sector privado, en concreto por los “gigantes tecnológicos”, para crear imperios de la información con bases de datos personales. La protección de datos surge como una herramienta que otorga un derecho de control del individuo frente a estas realidades, pero su origen hace ya medio siglo se remonta al temor de la recopilación de datos por parte del Estado. Ahora bien, convengamos en que este control por parte del individuo se quedó corto en la práctica y ello obligó a reforzar las protecciones en la generación mas reciente de normas de datos personales.
Segundo, frente a estas normas de privacidad aparecen otros derechos también fundamentales que se contraponen y requieren un balance importante y constante que a veces es muy difícil de realizar. Tenemos así cuestiones como el derecho al olvido, que requiere contraponer privacidad versus libertad de prensa y acceso a la información. Con la pandemia del covid 19 se contrapone el derecho a la privacidad y confidencialidad sobre los datos de salud al uso de esos datos por motivos de interés general y salud pública para controlar la pandemia. El uso de tecnologías de vigilancia como los drones, tanto estatales como de particulares, requiere conciliar la libertad de su empleo frente a los límites de privacidad de terceros. La vigilancia masiva y las herramientas procesales de acceso a datos para combatir el delito demandan conciliar la seguridad pública con la privacidad de todos. Las regulaciones sobre transferencia internacional de datos requieren conciliar el comercio internacional con la soberanía de datos. Toda legislación de protección de datos implica en muchos casos un límite a las transacciones sobre la información de las personas, regulación que en muchas jurisdicciones donde no hay un derecho fundamental sobre los datos es limitada por otros derechos como la libertad de empresa, de expresión o el derecho a comerciar datos.
Tercero, el aspecto geopolítico de los datos personales no puede ser ignorado y muchos artículos de esta obra tratan ese enfoque, que ayuda a comprender los resultados de algunas reformas, decisiones judiciales o acuerdos internacionales. Los ejemplos abundan, y basta con enumerar algunas: las batallas transatlánticas entre Europa y Estados Unidos por la regulación del flujo de datos transfronterizos, los casos Schrems I y II, el papel de Snowden, las prohibiciones impuestas por el ex presidente Trump a TikTok y WeChat en Estados Unidos, la posición del Reino Unido en materia de datos personales luego del Brexit, el rol de los países BRIC como una alternativa a la hegemonía de Estados Unidos en materia digital, las obligaciones de data localization fundadas en el erróneo concepto de soberanía de datos o soberanía estatal digital, la cooperación en materia del combate del ciberdelito y sus limitaciones legales basados en la privacidad, la Cloud Act y el acceso a datos de plataformas en otros países, las normas sobre terrorismo que afectan la privacidad de extranjeros, las cuestiones de ciberseguridad y los ciberataques no sólo a empresas sino también a países, así como las jurisdicciones que esponsorean el hacking como una forma de ciberguerra continua. Todos estos conflictos involucran en buena medida la aplicación extraterritorial de normas sobre datos personales.
Cuarto, el efecto del Reglamento Europeo de Protección de datos (RGPD) se viene haciendo sentir hace ya más de dos años en todo el mundo, y también en la región latinoamericana, llegando incluso a la Costa Oeste de Estados Unidos (California), con la sanción de la CCPA. Además de California, China es otra jurisdicción que se ha sumado a la ola normativa de privacidad. En mayo de 2020 entró en vigencia un nuevo Código Civil para China, que contiene tanto las típicas normas del derecho a la privacidad que uno encuentra en los códigos de derecho privado (y otros derechos personalísimos) como también normas de protección de datos personales con sabor europeo.
Todo esto lleva a una conclusión obvia: el RGPD se ha transformado en el estándar de facto a escala mundial, y por lo tanto constituye una forma de nivelar para arriba la protección de datos. Los países deberían partir de esta base para legislar, a los fines de evitar diferencias sustanciales que sean obstáculos al libre flujo de datos personales.
En el plano internacional, el Convenio 108 y su protocolo adicional, junto con el Convenio 108+, se expandieron por toda América Latina y están teniendo otro importante efecto armonizador.
En América Latina algunos países han adoptado leyes modernas inspiradas en el RGPD, como el caso de Brasil; otros, como la Argentina y Chile, han elaborado proyectos legislativos modernos fuertemente inspirados en la nueva norma europea. Muchos otros han ido adaptando normas reglamentarias que de a poco van introduciendo los nuevos elementos europeos con regulaciones parciales, como es el caso de Uruguay y la Argentina.
Como quinto aspecto, cabe resaltar la aparición de nuevos actores. Los temas de privacidad ya no sólo se aplican a bases de datos de las industrias clásicas (marketing, informes comerciales, etcétera) sino que dominan o tienen una fuerte injerencia en la agenda de la regulación de Internet, del comercio internacional, de la libertad de expresión, del open banking en el mundo fintech, de la inteligencia artificial y la gobernanza algorítmica y de la transparencia del Estado. El nivel de respeto a la privacidad determina que una sociedad pueda ser catalogada como dictadura o como democracia (aunque hay que admitir que todos, incluso los más democráticos, caen en el pecado de espionaje bajo la excusa de amparar a sus ciudadanos).
Los temas de regulación de datos personales son tan centrales que numerosos nuevos actores se quieren sentar a decir algo en la mesa de la privacidad.
En el ámbito internacional, en 2016, en las Naciones Unidas se creó el puesto de relator especial de la ONU sobre el derecho a la privacidad . Este nuevo cargo internacional se suma a las agencias regulatorias locales y a las europeas (el WP29, ahora EDPB junto con EDPS), que se reúnen en la Global Privacy Assembly y en la región en la Red Iberoamericana de Protección de Datos Personales .
Las empresas más importantes del mundo también cuentan con un encargado de privacidad o DPO (incluso, aunque la ley no lo requiera localmente, casi todas ya lo han nombrado hace años). Este nuevo actor, el DPO, está destinado a jugar un papel cada vez más importante en las organizaciones internacionales, privadas y estatales. El rol del DPO es importante para evangelizar dentro de la organización. Sin alguien que cumpla este rol, las organizaciones van a seguir viendo las obligaciones sobre datos personales como un gasto y un costo, y no como una ventaja. Se forma así un círculo vicioso, porque las organizaciones que no adoptan medidas de seguridad ni protocolos internos sobre privacidad terminan siendo descuidadas (negligentes, para usar un término legal) con los datos personales, lo que acaba lesionando derechos de sus clientes, usuarios o partners. Los incidentes de seguridad afectan también la reputación comercial de la empresa y el valor de las que cotizan en bolsa. En el ámbito estatal también se comenzó la sana práctica de designar encargados de datos personales o privacidad.
Para terminar con el listado de nuevos actores, las organizaciones de la sociedad civil latinoamericanas han comenzado hace unos años a involucrarse en este tema de protección de datos (cuando antes se concentraban en otros derechos más tradicionales, como la libertad de expresión, la igualdad, o los derechos sociales). Esto debe ser bienvenido porque durante mucho tiempo la privacidad y los datos personales estuvieron ausentes en la agenda de estas organizaciones regionales (por el contrario la EFF, la ACLU, EPIC, CDT o Privacy International llevan en algunos casos treinta años de lucha). Recuerdo que en muchas reuniones del board international de Privacy International, del cual formé parte muchos años, este debate era un tema recurrente y finalmente terminó siendo una realidad. La presencia de estar organizaciones trae más presión y control al Estado para respetar adecuadamente este derecho. Por otra parte, como el tema se puso de moda, esto ha provocado incluso cierto recelo y competencia entre las diferentes ONG por estar en el centro de la escena, dominar la agenda y marcar el terreno.
También aparecen cursos, posgrados, diplomados y másters. Esto es natural consecuencia de que, como requisito para ser DPO, varias legislaciones exigen comprobación de conocimientos. Esto generó además obras jurídicas sobre la materia y profesores especializados. Nelson Remolina Angarita, reconocido experto colombiano en protección de datos, dicta su curso sobre estos temas desde el año 2001 en la Universidad de los Andes (Bogotá, Colombia). Renato Jijena Leiva, experto chileno de datos, dicta un curso similar de Derecho Informático con alto contenido de datos personales desde 1995 en la Universidad Católica de Valparaíso (en 1992, siete años antes de la sanción de la ley chilena de datos personales, ya había escrito una obra sobre la materia). El profesor brasileño Danilo Doneda dicta un curso de datos personales en la Universidad de Río de Janeiro y en la Fundación Getulio Vargas (FGV), y es autor de una obra sobre datos personales publicada una década antes que la LGPD viera la luz. Además, Danilo fue visiting scholar en la agencia italiana de datos personales y estudió junto con el profesor Stefano Rodotà. Por mi parte, el curso de protección de datos personales que organicé en la Universidad de San Andrés lleva una década. Además, en nuestra universidad el tema de los datos personales se enseña tanto en grado como en posgrado. En la Argentina, el resto de las universidades también ofrecen cursos de grado o posgrado sobre datos personales.
Finalmente, con todo este desarrollo normativo las empresas han comenzado a prestar más atención a las leyes de datos personales. Se están dando cuenta de que invertir en cuestiones de privacidad no implica un gasto, sino que, por el contrario, significa una inversión que rinde sus réditos. Un informe reciente de Cisco titulado “De la privacidad a la ganancia: cómo lograr retornos positivos de las inversiones en privacidad. Estudio de parámetros de privacidad de datos de Cisco de 2020” da cuenta de esta tendencia .
3. Dos décadas de protección de datos en la Argentina
El 4 de octubre del año 2000 el Congreso de la Nación sancionó la Ley N.º 25.326 de Protección de Datos Personales. Esta ley fue publicada en el Boletín Oficial del 2 de noviembre de 2000. El 2 de noviembre de 2020 se cumplieron dos décadas de vigencia de esa ley argentina, pionera en la región. A esa fecha, sólo Chile tenía una ley de datos personales vigente. Después de su sanción y de que la Argentina fue declarada país adecuado, siguió la aprobación de leyes de similar tenor en Uruguay, Perú, Colombia, México y Brasil, entre muchas otras.
Por otra parte, en estas dos décadas la protección de datos ha evolucionado mucho. Ya no se trata de una norma extraña sino que, a la luz de ella, se han dictado numerosas reglamentaciones que regulan todo tipo de cuestiones como video-vigilancia, drones, apps, marketing, informes comerciales y bases de datos estatales. Una simple consulta en InfoLeg arroja como resultado cerca de 110 normas de diverso rango legal que referencian a la Ley N.º 25.326. Numerosa jurisprudencia ha moldeado la interpretación de la ley y la ha transformado en una garantía fundamental para la defensa de los datos personales en la sociedad de la información.
Durante estas dos décadas, el gobierno creó primero la Dirección Nacional de Protección de Datos Personales (DNPDP) dentro del Ministerio de Justicia y luego la transfirió a la Agencia de Acceso a la Información Pública (AAIP, organismo de aplicación de la Ley de acceso a la Información Pública). Cuando la DNPDP pasó a formar parte de la AAIP, la Argentina consolidó una autoridad independiente de datos personales. Había sido declarada como país adecuado y uno de los puntos que la Comisión Europea había señalado era la falta de independencia de la agencia por depender de un ministerio y no tener autonomía. Con esto, la Argentina cumple un requisito importante del modelo europeo, que es la independencia de las autoridades de datos personales.
En estas dos décadas, la DNPDP primero y luego su sucesora, la AAIP, adoptaron numerosas resoluciones, impusieron varias sanciones e iniciaron auditorías y actuaciones contra empresas. En estos veinte años, el derecho a la protección de datos evolucionó considerablemente.
En el plano internacional, la Argentina también hizo buena letra. El 15 de diciembre de 2017, por medio la Ley N.º 27.411, la República Argentina adhirió a La Convención de Budapest sobre el Ciberdelito. El 2 de enero de 2019, aprobó el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal (Convenio 108), junto con su protocolo adicional, por medio de la Ley N.º 27.483 y, en julio de 2020, tuvo media sanción el denominado Convenio 108+.
En el plano internacional, a lo largo de estas dos décadas sucedieron muchos cambios tecnológicos, lo que provocó que las normas europeas fueran modificadas en 2016, y así entró en vigencia un nuevo reglamento que, como ya señalamos, provocó otra intensa ola de reformas. Leyes como la brasileña, aprobada en 2018 y en vigencia desde agosto de 2020 (con entrada en vigencia de su régimen sancionatorio para 2021), y la CCPA de California (en vigencia desde 2020) y ahora la ley de Virginia marcaron un nuevo hito en la expansión de las ideas europeas de protección de datos personales. El Derecho argentino intenta adaptarse a estas tendencias, y ya se han discutido diversos proyectos de leyes inspirados en ellas.
4. Las novedades de las últimos dos décadas contadas a través de esta obra y sus autores
Esta obra colectiva busca brindar testimonio de todo lo ocurrido a lo largo de estas dos décadas de protección de datos a través de artículos de especialistas y personas involucradas en el día a día en este campo, en la Argentina. Se incluyen artículos que analizan algún principio general o instituto de la protección de datos (como el consentimiento, el interés legítimo, las transferencias internacionales o la portabilidad) y comentarios a casos concretos nacionales o extranjeros que han marcados hitos en la historia de la protección de datos, como es el caso “Schrems II”.
La obra está dividida en 7 capítulos —distribuidos en dos tomos— que contienen un total de 31 artículos escritos por 28 autores.
El primer capítulo comienza con un comentario de Eduardo Bertoni, quien fue director de la AAIP hasta fines de 2020. Bertoni escribió una nota donde explica por qué la Ley N.º 25.326 nació anticuada —concordamos ampliamente con su visión— y relata los avances que se lograron con la independencia de la agencia local, y a escala internacional con la aprobación de varios convenios, así como las últimas normas importantes aprobadas por la agencia, lo que sirve como una suerte de balance de gestión.
El profesor Oscar R. Puccinelli es el autor de un artículo titulado “La Ley N.º 25.326 de cara a su reforma integral: el proyecto elaborado en el marco del Programa Justicia 2020”, en el que se comenta el proyecto de reforma que, de haber sido tratado por el Congreso de la Nación, habría actualizado nuestra ley de datos personales al estándar del RGPD europeo.
Sigue una nota del profesor brasileño Danilo Doneda sobre el reconocimiento del derecho fundamental a la protección de los datos personales en la jurisprudencia del Tribunal Federal de Brasil. Se trata del comentario a un reciente fallo de ese país sobre la tutela de los datos sobre geolocalización durante la pandemia del covid 19. El caso sirve para demostrar cómo los tribunales brasileños, sin ley vigente en ese momento, consideraron a la protección de datos personales como un derecho fundamental.
Luego hay una nota escrita por María Julia Giorgelli y Javier Raimo sobre las propuestas para la reforma de la Ley de Protección de Datos de la Ciudad de Buenos Aires N.º 1.845 —de la cual participe en su redacción— y la influencia del RGPD europeo. Ambos autores trabajan en la agencia porteña de datos personales. La nota contiene un anexo con el proyecto de ley presentado en la Legislatura. Su simple lectura evidencia el influjo europeo.
Lisandro Frene realiza un balance sobre las dos décadas de vigencia de la Ley N.º 25.326 y cuál fue el resultado en diversos aspectos de su aplicación.
Son dos los artículos que abordan la extraterritorialidad de las leyes de protección de datos personales, tema siempre actual y en constante evolución. Mariano Peruzzotti escribe sobre la extraterritorialidad del RGPD y sus efectos en la Argentina. Este autor comenta el alcance territorial de la Ley de Protección de Datos Personales a través de una interpretación jurisprudencial de la ley actual. Por su parte, Lucía López Laxague analiza la extraterritorialidad del RGPD europeo y la obligación de nombramiento de un DPO. La nota de esta autora fue su tesina en la Maestría de Derecho Empresarial de la Universidad de San Andrés.
Otra nota de Lisandro Frene, , repasa críticamente las novedades de los últimos veinte años con relación a la actividad de la agencia argentina de datos personales y su funcionamiento y enforcement.
Finalmente, el profesor Oscar Puccinelli escribe además sobre el impacto del RGPD europeo y de los “estándares” de la Red Iberoamericana de Protección de Datos en las recientes reformas, proyectos de reformas y nuevas leyes de protección de datos en Latinoamérica.
El segundo capítulo de esta obra contiene artículos sobre los principios generales de las leyes de protección de datos personales. Agustín Allende Larreta escribe sobre el principio de finalidad en el tratamiento de datos personales. Por su parte, Andrés Chomczyk analiza la evolución del deber de información en la Ley Argentina de Protección de Datos Personales y en los estándares internacionales. Respecto al consentimiento, Diego Fernández analiza el consentimiento de los menores de edad para el tratamiento de sus datos personales. En otro artículo, Agustín Allende Larreta aborda el tema de la portabilidad de los datos personales. Para finalizar, una nota muy práctica de Diego Fernández y Manuela Adrogué analiza el tratamiento de datos sensibles en la legislación y la jurisprudencia argentinas.
El tercer capítulo aborda los derechos y las obligaciones. José Alejandro Bermúdez Durana, ex comisionado de Datos Personales de Colombia, explica el principio de responsabilidad proactiva o accountability en las legislaciones colombianas y su origen en los estándares internacionales. Una nota de Pablo Segura analiza la importancia del DPO en las organizaciones. Una nota de mi autoría pone el foco en el rol del DPO y su interfaz con el régimen de compliance. El texto contiene dos anexos con las normas de Argentina y Uruguay que requieren nombrar un DPO en ciertos casos. Junto con Andrés Chomczyk escribimos sobre ciberseguridad, incidentes de seguridad y data breach en América Latina. Aquí cierra el primer tomo de esta obra.
El segundo tomo abre con el cuarto capítulo, que lo integra el siempre actual tema de las transferencias internacionales de datos personales. Mariano Peruzzotti, desde otro artículo, hace un repaso de la regulación argentina actual a la luz del Derecho Comparado. El caso “Schrems II” es comentado por Esteban Ruiz Martínez y por Mikel Recuero Linares.
El quinto capítulo trata sobre la protección de los datos personales en Internet. Los temas que aquí se tratan son el derecho de supresión en redes sociales —analizado por Lucia Suyai Mendiberri—, el problema del ejercicio de los derechos de datos personales en Internet —por Esteban Ruiz Martínez— y la aplicación del caso “Belén Rodríguez” a la protección de datos —por quien suscribe—.
El sexto capítulo analiza los tratamientos de datos sectoriales. Se incluyen notas sobre datos de salud y su tratamiento por farmacéuticas (escrita conjuntamente con Franco Rizzo Jurado), sobre telemedicina y datos del paciente (por Ambrosio Nougues), sobre datos electorales (escrita por Lisandro Frene en coautoría con Damián Navarro), sobre los sistemas de videovigilancia pública (por Hugo Vaninetti) y sobre captación de datos personales por medio de drones (por Juan Cruz González Allonca, quien fue director de la Dirección Nacional de Datos Personales e impulsor durante su cargo de la norma sobre drones que él mismo comenta).
El séptimo capítulo está dedicado a los datos personales y su relación con el proceso penal y el Derecho Penal. De nuevo, no es frecuente la interfaz entre ambas ramas del Derecho, y el tratamiento de este tema en la doctrina argentina desde la óptica de los datos personales era escaso, por no decir nulo. Por eso nos pareció interesante tratar expresamente varios temas. Hernán Blanco aborda el tema del impacto que la investigación penal tiene sobre la protección de los datos personales de los ciudadanos. Otra nota trata acerca de la transferencia internacional de datos personales en materia penal y el impacto de la Cloud Act de Estados Unidos. Ese trabajo, escrito por las especialistas en delitos informáticos Daniela Dupuy y Mariana Kiefer, hace un aporta muy actual porque justamente este tema se está debatiendo en el Council of Europe a raíz de la modernización del Convenio de Budapest. Finalmente, el uso de técnicas de OSINT (mal llamado “ciberpatrullaje”) y los datos personales que genera esa actividad es comentado por Marcelo Temperini y Maximiliano Macedo.
La profundidad de todas estas notas demuestra que en la Argentina las dos décadas de protección de datos no transcurrieron en vano. Se han formado numerosos especialistas a la luz de la Ley N.º 25.326 y se ha creado una sólida comunidad de practitioners y académicos.
Finalmente, agradezco el apoyo económico del CETYS y de Derecho UDESA y las gestiones de María Vazquez para la impresión de esta obra.
5. Conclusiones
El entusiasmo que mostraron todos los autores al concebir esta obra, realizada en su mayor parte durante la pandemia, plantea la posibilidad de seguir desarrollando con más frecuencia este tipo de compilaciones, dado que los temas son tan amplios y diversos que es imposible que sean cubiertos por un solo autor. Por este motivo, invitamos a todos aquellos interesados en contribuir al desarrollo de los datos personales en la región a enviarnos contribuciones de actualidad para seguir adelante con esta obra mediante tomos adicionales.
PABLO A. PALAZZI
Profesor Derecho UDESA
ppalazzi@udesa.edu.ar
Buenos Aires, diciembre de 2020
Guía para la reforma de la ley 25.326
¿Qué debe tener como mínimo el texto legal que reemplace a la ley 25.326?
- cumplir con estándares internacionales (los institutos principales del RGPD).
- incardinarse en la Constitución Nacional y los tratados internacionales de derechos humanos.
- respetar tratados como ser Convención del Ciberdelito, Convenio 108 y su protocolo y Convenio 108 +.
- normativa del Mercosur sobre datos personales.
- Fomentar el comercio electrónico, la innovación,
- la leyes de protección de datos no sirven para inmovilizar datos o generar empleo local.
- No solo de debe cumplir con estándares como el GDPR sino también con la directiva relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. En esto Argentina y América Latina tienen mucho que hacer.
Suscribirse a:
Entradas (Atom)