lunes, noviembre 30, 2020

Argentina - Presentan proyecto de ley de datos personales

En noviembre de 2020 ingresó un Proyecto de ley sobre protección de datos personales. El objetivo de este proyecto es reemplazar la vetusta ley 25.326 que ha cumplido 20 años. Como dice el tango, 20 años no es nada, pero en tiempos de Internet me parece que es mucho. La ley 25.326 quedó anticuada por el cambio tecnológico y el cambio normativo de estándares internacionales como el Europeo (hace dos años entró en vigencia el RGPD).

El proyecto fue girado a las Comisiones de Asuntos Constitucionales, Justicia, Legislación General y Presupuesto y Hacienda. Los autores son: Karina  Banfi (UCR - Buenos Aires), Mario Negri (UCR - Córdoba) y otros. El proyecto fue elaborado por la oposición al actual gobierno. Imagino que el oficialismo presentará su propio proyecto.

El proyecto tiene fuertes similitudes con la versión presentada por la AAIP hace unos años y que se inspiraba en el RGPD europeo. Fue un proyecto que se trabajó con mucho consenso de la academia y del sector privado.

Algunas diferencias con el proyecto anterior de la AAIP son importantes y las resaltamos mas abajo. 

Ahora señalo algunas cosas buenas y otras malas que tiene el proyecto:

Principios generales


- datos biométricos - no son considerados datos sensibles.
- sigue el consentimiento tácito, que en materia de Internet en algunos casos parece lógico pero va a ser problemático interpretarlo. Y puede ser materia de abusos... 
- se introduce el interés legítimo que no esta en la ley 25.326, muy positivo, pero va a implicar pensar de otro modo el derecho de los datos personales luego de basarnos por dos décadas en el consentimiento.
- no veo temas de IA, algoritmos, y transparencia en materia de procesamiento de datos personales. Tampoco hay nada de covid19 a la pandemia.
- en materia de DPO, parece que muy pocos casos lo van a tener que nombrar (y esas empresas ya tienen uno aunque la ley no lo establezca!), esto va en contra de la difusión de la cultura de la protección de datos personales.

Ciberseguridad

Creo que hay muchas cosas para hacer, se copia parte del GDPR y se lo mezcla con lo que está actualmente contemplado en la ley 25.326, pero se puede mejorar. Para empezar, poner a cargo de todos los proveedores de servicios informáticos (no solo los que tienen datos personales), la obligación legal de seguridad. Es decir que este deber no recae  sólo en cabeza del responsable y del encargado del tratamiento sino también de quien instala un app, un firewall, o quien vende un antivirus. Y estos estándares  deben ser obligatorios, si no no sirven, y nadie se toma la molestia (y el gasto) de implementarlos. Es que hoy en día en Internet la ciberseguridad es algo colectivo, como el medioambiente. Si no cuidas tus datos, otros sufren las consecuencias. Una reciente comparación entre las normas de la 47 del 2018 y los estándares mas reconocidos de la industria muestra que no estamos tan mal en materia de reglas, pero la norma de la AAIP no es obligatoria, debería ser obligatoria por ley, con una delegación a la AAIP para actualizar los estándares. 

Asimismo, respecto el Estado, disponer que los titulares de datos tenemos que ser informados de qué sucede con la seguridad de nuestros datos. Del hacking a Migraciones, a Vialidad, a la Policía Federal (que ni siquiera se dignó a responder el pedido de la AAIP), etc. nos enteramos por los diarios, pero ninguna entidad del Estado tuve la delicadeza de avisarnos. Mas bien lo esconden o se niegan a informar esto, debería ser obligatorio que informen aunque sea vía web. 

A modo de ejemplo de lo que digo, hace poco le pedí a Migraciones que me de acceso a mis datos personales y las normas de seguridad que habría implementado  y me contestó con generalidades, pero lo mas sorprendente es me respondieron que los datos que tiene son confidenciales, invocando el decreto reglamentario de la ley de migraciones.

Outsourcing

Se repite el mismo error del proyecto anterior que es tratar la tercerización de datos personales o outsourcing en dos normas dentro del proyecto. Los arts. 26 y 39 tratan con redacción diferente el mismo instituto. En todo el derecho comparado esto se trata de una sola forma en una sola norma. La solución no se da borrando uno de los artículos sino amalgamando ambos, pues ambos tienen cosas interesantes. En el art. 39 hay que borrar lo de los dos años. No da borrar cada dos años los datos. Por otra parte deberíamos tomar como modelo de este tema el GDPR o la normativa española que lo implementa que es mas completa aun.

Informes comerciales

En materia de informes comerciales -tema central para el desarrollo del mercado crediticio- se establece que todo tiene que pasar por el BCRA. Esto es un error, porque actualmente es al revés, no todo pasa por el BCRA, sino que las empresas de informes comerciales toman datos públicos del BCRA que es fuente pública y los republican, además de compartir datos entre los bancos. Además es un error que todo pase por el BCRA porque existen deudas no financieras, que no tienen nada que ver con el BCRA. Por otra lado es una forma innecesaria de obligar al Estado, en este caso al BCRA a intermediar en algo que no le compete.

Revisión judicial de sanciones

Se  sigue con la idea de que no haya recurso de Alzada, tal vez con la idea de dotar de más independencia a la AAIP, y que solo tenga revisión judicial con un recurso directo ante una cámara de apelaciones. Esto parte de una visión de que el Convenio 108 y su protocolo  (Argentina fue el país n. 33 en suscribirlo) así lo exigirían. El Convenio no dice expresamente eso, pero a veces en aras a dotar de mas independencia a las agencias se hacen esas cosas.

Multas

Esta es un tema importante, sin multas importantes, la espada de la ley no tiene filo, no pincha ni corta. Actualmente la multa máxima en la ley 25.326 es de 100,000 pesos, que al cambio en USD da una cifra muy baja de usd 625, sobre todo para las tecnológicas. El proyecto propone atarlo al salario mínimo, vital y móvil (a dic. 2020 es $20.587).  El máximo son 5925 unidades de este salario o 2% del volumen de negocio total anual global del ejercicio anterior, lo que sea mayor. Si se trata de una empresa extranjera, lo segundo va a ser siempre mayor. El resultado del máximo arroja aproximadamente 121 millones de pesos que en dólares da 762,000.

Otro problema actual es que la revisión (lenta) de la multa por la vía judicial, hace que la misma no se cobre nunca. Cuando llega el momento de cobrarla, con varios años de litigio la multa es muy baja. A modo de ejemplo, citamos el caso de la empresa que operaba Globinfo cuya razón social es Open Discovery SA.  La sanción de la DNPDP es del año 2009, el fallo de la justicia (aun no está firme) confirmatorio del acto administrativo sancionatorio es de octubre 2020, es decir que pasaron 11 años. Cuando la sanción quede firma posiblemente pasen 12 o 13 años. Con la inflación que tiene Argentina la multa de pesos 50.001 ahora no es nada... y es una invitación a infringir.
Esto el proyecto lo soluciona con una recurso directo a la cámara de apelaciones, con lo cual no hay revisión del acto administrativo en primera instancia. Pero igualmente el tema de las multas efectivas requiere una mirada especial para que la ley no pierda fuerza.

Acción de habeas data

La acción de habeas data cambia respecto a la ley 25.326. Se le da una redacción al estilo del amparo en el art. 71, lo que no la hace tan clara, preferiría algo mas directo y puntual (un buen ejemplo es la ley procesal de la Pcia de Bs As.). Asimismo se crea una legitimación colectiva, pero no es muy claro su alcance, la redacción podría ser mejor.

- otra vez se comete el error de invitar a las provincias a adherir ¿a adherir a que? La Constitución Nacional claramente delimita las facultades de la Nación y las provincias. Las normas de fondo son nacionales, las normas procesales y de derecho público son provinciales. No da adherir a una norma de otro rango, mala práctica si es la praxis. La Nación no va a adherir a algo hecho en una provincia, y las provincias no deberían adherir a algo nacional (para algo tienen legisladores provinciales), las provincia deberían respetar su propia autonomía y legislar cuando les corresponde.

viernes, octubre 23, 2020

Reforma a la ley de videovigilancia de la Ciudad Autónoma de Buenos Aires

La Legislatura de la Ciudad Autónoma de Buenos Aires modificó la Ley 5.688 que regula el Sistema Público Integral de Video-Vigilancia en la Ciudad Autónoma de Buenos Aires. 

El principal propósito de la reforma es el establecimiento de ciertos límites a la implementación de los sistemas de video-vigilancia pueda poseer, motivando la equidad y garantizando el derecho a la privacidad mediante el uso de estos sistemas.  En este sentido, se modifican los artículos 478,480, 483, 484 y 490 de la Ley 5.688 y se incorpora el artículo 480 bis. 

Dentro de las modificaciones más relevantes se establece que el Sistema de Reconocimiento Facial de Prófugos será empleado únicamente para tareas requeridas por el Ministerio Público Fiscal, el Poder Judicial de la Nación, Provincial y de la Ciudad Autónoma de Buenos Aires, como para la detención de personas buscadas por orden judicial registradas en la Base de Datos de Consulta Nacional de Rebeldías y Capturas (CONARC). Encontrándose prohibida la posibilidad de incorporar imágenes, datos biométricos y/o registros de personas que no se encuentren registradas en dicha base de datos. 

Asimismo, en relación con la información obtenida por medio de las grabaciones, se prohíbe tanto la cesión como la copia o modificación de las grabaciones para entregarlas a los medios de difusión audiovisual y/o gráficos. 

Ver texto de la reforma.


viernes, octubre 16, 2020

Primera multa de datos personales validada por la justicia argentina

Salió convalidada por la justicia (aun no está firme) la primera sanción de la ex DNPDP (en el caso a Open Discovery, la empresa detrás de Globinfo y Dateas). La sanción de la DNPDP es del 2009, el fallo confirmatorio del acto administrativo sancionatorio es de octubre 2020, es decir que pasaron 11 años. Con la inflación que tiene Argentina la multa de pesos 50.001 ahora no es nada... y es una invitación a infringir.

Pregunta, ahora que se convalidó (y si queda firme en cámara) y se confirma que el procesamiento es ilegal, los titulares de datos personales allí registrados pueden demandar a Globinfo por el cese de uso del procesamiento ilegal? Se puede hacer una acción de clase?


La odisea de comprar libros en el exterior desde la Argentina

En septiembre de 2020 compré en Marcial Pons varios libros de Derecho y tecnología (mi especialidad como abogado) que uso para leer, escribir y dar clases como Profesor de Derecho. Un mes antes había comprado otros libros en Marcial Pons y llegaron sin problemas puerta a puerta.

Pero en septiembre de 2020 mediante una norma de la secretaria de comercio el gobierno volvió a detener libros en forma arbitraria (como hicieron en 2011) con la "excusa de la tinta". Esto claramente viola los acuerdos de la OMC. 

Para destrabar los libros de la Aduana hay que pagarle a un despachante de aduanas sus honorarios y ademas pagar las tasas correspondientes en la aduana y otros gastos a DHL.

El siguiente es el periplo para recuperar los libros que tuve que hacer:

- contactar a DHL y pedir explicaciones, nunca contestaron, luego de muchos llamados y correos se dignaron a explicarme que tenia que retirar la guía. 

- buscar un despachante de aduana, le escribí a varios y solo logre que me conteste uno, que me paso un presupuesto. El presupuesto con sus honorarios y tasas es más caro que el precio de los libros con el transporte internacional desde Madrid.

- hay que transferir a la guía al despachante (porque yo no estoy registrado como importador y exportador), esto lleva un tiempo.

- luego el despachante tiene que hace su trabajo. Ya van casi un mes y medio.

- pero no termina ahi porque DHL no acepta el traspaso de la guía al despachante de aduana, sino que le pide permiso a la librería española Marcial Pons. La librería me escribe un email y me pide permiso para cambiar la guía a un despachante de aduana.

- Autorizo el cambio via email y me confirman que el cambio esta hecho.



Se nota que los politicos que nos gobiernan no han leido un p...obre libro en toda su vida.

lunes, octubre 05, 2020

Reglamentan el derecho del consumidor a revocar la operación con un botón de arrepentimiento

 

MINISTERIO DE DESARROLLO PRODUCTIVO SECRETARÍA DE COMERCIO INTERIOR

Resolución 424/2020

RESOL-2020-424-APN-SCI#MDP

Ciudad de Buenos Aires, 01/10/2020

Tribunal autoriza embargo de cuenta de Mercado Pago

 El fallo de primera instancia lo había rechazado porque no era entidad bancaria, pero la Alzada dijo que las cuentas de fintechs pueden ser objeto de embargo.

Texto del caso.


viernes, octubre 02, 2020

Proyecto de reforma de la ley 1845 de CABA para adaptarlo al RGPD europeo

PROYECTO DE LEY
REFORMA DEL RÉGIMEN DE PROTECCIÓN DE DATOS PERSONALES

Artículo 1.- Modifíquese el Artículo 3 de la ley 1845 de la Ciudad Autónoma de Buenos Aires, el cual quedará redactado de la siguiente manera:

“Artículo 3°.- Definiciones. A los fines de la presente ley se entiende por:

Datos personales: Información de cualquier tipo referida a personas humanas o de existencia ideal, determinadas o determinables.

Datos sensibles: Aquellos datos personales que revelan origen racial o étnico, opiniones políticas, convicciones religiosas o morales, afiliación sindical, información referente a la salud o a la vida sexual o cualquier otro dato que pueda producir, por su naturaleza o su contexto, algún trato discriminatorio al titular de los datos; así como los datos biométricos de las personas humanas.

Datos biométricos: Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana que permitan o confirmen la identificación única de una persona, como imágenes faciales o datos dactiloscópicos.

miércoles, septiembre 09, 2020

Consumidores y comercio electronico

MINISTERIO DE DESARROLLO PRODUCTIVO SECRETARÍA DE COMERCIO INTERIOR

Resolución 270/2020. RESOL-2020-270-APN-SCI#MDP

jueves, septiembre 03, 2020

AAIP emite documento sobre Datos personales y registro de temperatura durante COVID19

La Agencia argentina informa cómo deben tratarse los datos personales ante el registro de temperatura corporal.


3 de septiembre de 2020


En el contexto de la pandemia del COVID-19 y de la emergencia sanitaria local, la toma de temperatura corporal en los ingresos a edificios o en la vía pública es una medida que organismos públicos o privados pueden implementar, con el fin de prevenir la propagación de la enfermedad. Pero este tipo de control puede tener un impacto en la privacidad o la intimidad de las personas, por lo que es importante que los distintos actores involucrados tengan en consideración la Ley 25.326 de Protección de Datos Personales.

 

Con el objetivo de facilitar el cumplimiento por parte de los responsables del tratamiento de datos personales, así como informar a la ciudadanía sobre sus derechos, la Agencia de Acceso a la Información Pública elaboró una Guía para el tratamiento de datos personales ante el registro de temperatura corporal, en la que se establecen pautas y principios generales.

 

Para acceder a la guía completa hacé click aquí.

 

Cualquier persona que considere que su privacidad o sus datos personales están siendo afectados puede realizar una denuncia ante la Agencia.

 

Asimismo, las instituciones públicas y privadas que implementen o planeen implementar una herramienta de geolocalización pueden realizar consultas sobre el alcance de la Ley 25.326 ante la Agencia.


FUENTE web de la AAIP


Texto del documento.


jueves, agosto 27, 2020

Brasil crea estructura y cargos dentro de la autoridad de datos personales por decreto n. 10.470 del 26 de agosto de 2020

El PE de Brasil crea la  estructura y cargos dentro de la autoridad de datos personales por decreto n. 10.470 del 26 de agosto de 2020, el decreto se publica justo con la entrada en vigencia de la LGPD, luego de muchas idas y vueltas.

Texto de la norma (PDF) (HTML)


DECRETO Nº 10.474, DE 26 DE AGOSTO DE 2020

 

Vigência         

Aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados e remaneja e transforma cargos em comissão e funções de confiança.


lunes, agosto 24, 2020

Reglamentan el dec. 274 de competencia desleal

 

MINISTERIO DE DESARROLLO PRODUCTIVO SECRETARÍA DE COMERCIO INTERIOR

Resolución 241/2020

RESOL-2020-241-APN-SCI#MDP

Ciudad de Buenos Aires, 21/08/2020

viernes, agosto 21, 2020

Condena penal por abuso sexual a través de redes digitales

Este es un caso que se comentó en el seminario que armamos en el 2017 en UDESA sobre violencia de genero en internet y  acoso digital a mujeres en Internet.

Abajo hay link a la resolución del Tribunal Superior de Justicia de Córdoba, por la cual resolvió confirmar la condena por abuso sexual. 

El máximo tribunal de Córdoba entendió que los actos que realizaba el imputado utilizando una computadora afectaba la integridad sexual de la víctima, sin que haya existido contacto físico. 

En casación no se discutieron los hechos, solo la calificación y el argumento del defensor fue que no se abuso sexualmente porque no existió contacto físico impúdico que seria un requisito inexcusable para la configuración del delito penal. 

El fallo rechaza esa postura y entiende que puede existir abuso sexual via Internet.