Canada reconoce el derecho al olvido

Una corte de apelaciones canadiense acaba de reconocer el derecho al olvido en canada. El fallo fue dictado el 8 de julio de 2021. No resuelve la cuestion en forma definitiva porque reenvia el caso a lo que decida el Comisionado de Privacidad, pero la respuesta final es que PIPEDA se aplica al buscador.

Primer libro colectivo de la IAPP en castellano!

La IAPP publica por primera vez una obra sobre privacidad en español. Se trata de una obra colectiva elaborada por miembros de la IAPP. Esta guía de privacidad para América Latina contiene un detallado análisis de las normas de privacidad y protección de datos de nueve países de la región latinoamericana. 

Estos países son Argentina, Brasil, Chile, Colombia, Costa Rica, México, Paraguay, Perú y Uruguay. Los autores siguiendo el orden de los países nombrados son Pablo Palazzi, Marcela Waksman Ejnisman, Paulina Silva, Leon Weinstok, Juanita Acosta, María Rosa Franco, Cecilia Abente Stewart, Jorge Allende y Martin Pesce respectivamente.

La obra explora los temas centrales del régimen de protección de datos en cada uno de los países incluyendo la base legal y constitucional de la regulación de los datos personales, las bases legales para procesar datos personales, como el consentimiento y otras, la notificación, las cesiones y transferencias internacionales de datos personales, las obligaciones de seguridad y confidencialidad (data breach) y las autoridades regulatorias así como las sanciones legales y las acciones legales que tiene el titular del dato personal. 
 
Los autores de cada uno de los capítulos de este libro son miembros de la IAPP y poseen una vasta experiencia en asesoramiento en cuestiones de privacidad y protección de datos personales en sus respectivos países.  
 
La obra está escrita en castellano y editada solamente en formato de libro electrónico (ebook), excepto por el capítulo correspondiente a Brasil, que está escrito en portugués y traducido al castellano. La obra está actualizada a febrero de 2021. 
El libro se consigue en la web de la IAPP.

 

La UE aprueba nuevos modelos de contratos para procesamiento de datos personales bajo GDPR

 

La UE aprueba nuevos modelos de contratos para procesamiento de datos bajo GDPR.

Texto de los modelos y de la decision

https://ec.europa.eu/info/law/law-topic/data-protection/publications/standard-contractual-clauses-controllers-and-processors_en

Base de Datos denominada “Vacunación COVID 19”

JEFATURA DE GABINETE DE MINISTROS SUBSECRETARÍA DE GOBIERNO ABIERTO Y PAÍS DIGITAL

Disposición 6/2021

DI-2021-6-APN-SSGAYPD#JGM

Ciudad de Buenos Aires, 07/04/2021

Nueva obra colectiva Protección de datos. Doctrina y jurisprudencia tomos 1 y 2, editada por Pablo A. Palazzi y el CETYS (CDYT 2021).

Esta obra es fruto del trabajo colaborativo de reconocidos especialistas argentinos en materia de protección de datos personales escrita para celebrar las dos décadas de vigencia de la ley argentina de protección de datos personales (Ley N.º 25.326). Los distintos aportes de estos autores recorren alguno de los hitos más importantes de la protección de datos en el ámbito nacional y cómo se ubican éstos dentro del contexto internacional. 

Temas analizados

La obra aborda los temas centrales ocurridos durante los últimos 20 años tales como la adaptación de la ley argentina al modelo europeo del GDPR, el alcance territorial de la ley de Protección de Datos Personales, el principio de la finalidad en el tratamiento de datos personales, el consentimiento de los menores de edad, el deber de información, el tratamiento de datos sensibles, el derecho a la portabilidad de datos personales, el rol del Data Protection Officer, la ciberseguridad y notificación de incidentes la transferencia internacional de datos personales, el derecho de supresión y libertad de expresión en el marco de redes sociales, la protección de datos de salud en las industrias farmacéutica y de dispositivos médicos, en la telemedicina, en el proceso electoral, en el uso de drones, en la video-vigilancia pública y en el proceso penal.

Introducción a la obra por Pablo Palazzi

En esta introducción Pablo Palazzi explica lo sucedido en las dos décadas de vigencia de la ley 25.326 de datos personales de Argentina.

Título: Protección de datos. Doctrina y jurisprudencia. Tomos 1 y 2.

Cantidad de páginas 826 (tomo 1 - 446 ps, tomo 2 - 380 paginas).

Cantidad de artículos: 31

Cantidad de Autores: 28

Índice

TOMO 1 Dos décadas de protección de datos personales en la Argentina, por Pablo A. Palazzi CAPÍTULO I. Parte general El impacto de una ley que nació anticuada, por Eduardo Bertoni La Ley N.º 25.326, de cara a su reforma integral: el proyecto elaborado en el marco del Programa Justicia 2020, por Oscar R. Puccinelli El reconocimiento del derecho fundamental a la protección de los datos personales en la jurisprudencia del Tribunal Federal de Brasil. La tutela de los datos sobre geolocalización durante la pandemia de covid-19, por Danilo Doneda Propuestas para la reforma de la Ley de Protección de Datos de la Ciudad de Buenos Aires. Influencia del Reglamento General de Protección de Datos europeo, por María Julia Giorgelli y Javier Raimo Alcance territorial de la Ley de Protección de Datos Personales, por Mariano Peruzzotti Aplicación extraterritorial del Reglamento General de Protección de Datos de la Unión Europea: ¿cuál es el rol del delegado de protección de datos de empresas argentinas?, por Lucía López Laxague Privacidad en la Argentina: veinte años de buenas intenciones y un futuro abierto, por Lisandro Frene Reflexiones sobre el Reglamento General de Protección de Datos de la Unión Europea y los “Estándares” de la Red Iberoamericana de Protección de Datos y su impacto sobre las reformas, proyectos de reformas y nuevas leyes de protección de datos en Latinoamérica, por Oscar R. Puccinelli CAPÍTULO II. Protección de datos. Principios generales La finalidad en el tratamiento de datos personales a veinte años de la LPDP y los nuevos desafíos que se presentan, por Agustín Pedro Allende Larreta El consentimiento de los menores de edad para el tratamiento de sus datos personales, por Diego Fernández La evolución del deber de información en la Ley argentina de Protección de Datos Personales y su futuro, por Andrés Chomczyk El tratamiento de datos sensibles, por Diego Fernández y Manuela Adrogué El derecho a la portabilidad de datos personales: una deuda pendiente, por Agustín Pedro Allende Larreta CAPÍTULO III. Derechos y obligaciones Accountability y protección de datos personales, por José Alejandro Bermúdez Durana El Delegado de Protección de Datos: piedra angular de la responsabilidad proactiva, por Pablo Segura Rol del Data Protection Officer (DPO) dentro de la empresa y del Estado: entre el compliance y la protección de datos personales, por Pablo A. Palazzi Ciberseguridad y notificación de incidentes en América Latina, por Andrés Chomczyk y Pablo A. Palazzi TOMO 2 CAPÍTULO IV. Transferencia internacional de datos personales Pasado, presente y futuro de la transferencia internacional de datos, por Mariano Peruzzotti El caso “Schrems II” y la invalidez del Privacy Shield: ¿hay una salida?, por Esteban Ruiz Martínez La Sentencia del Tribunal de Justicia de la Unión Europea en el asunto “Schrems II”: mucho más que la crónica de una muerte anunciada del Privacy Shield, por Mikel Recuero Linares CAPÍTULO V. Protección de datos personales en Internet Derecho de supresión y libertad de expresión en el marco de redes sociales, por Lucia Suyai Mendiberri Hiperconexión y vaporización de derechos, por Esteban Ruiz Martínez Tutela de derechos personalísimos en Internet: el estándar del caso “Belén Rodríguez”, por Pablo A. Palazzi CAPÍTULO VI. Tratamiento de datos sectoriales Protección de datos de salud en las industrias farmacéutica y de dispositivos médicos, por Franco Rizzo Jurado y Pablo A. Palazzi Telemedicina: la importancia del cuidado de los datos personales de pacientes, por Ambrosio Nougues Privacidad y elecciones. Procesamiento de datos personales para propaganda electoral, por Lisandro Frene y Damián Navarro Protección de datos personales en los sistemas de video-vigilancia pública, por Hugo Alfredo Vaninetti Tratamiento de datos personales por medio de drones, por Juan Cruz González Allonca CAPÍTULO VII. Tratamiento de datos personales y Derecho Penal y proceso penal Las transferencias internacionales de datos personales en el proceso penal, por Daniela Dupuy y Mariana Kiefer La investigación penal y la protección de los datos personales de los ciudadanos, por Hernán Blanco OSINT: legalidad y protección de datos personales, por Marcelo Temperini y Maximiliano Macedo.

Autores

Manuela Adrogué

Agustín Pedro Allende Larreta

José Alejandro Bermúdez Durana

Eduardo Bertoni

Hernán Blanco

Andrés Chomczyk

Danilo Doneda

Daniela Dupuy 

Diego Fernández

Lisandro Frene

María Julia Giorgelli

Juan Cruz González Allonca

Mariana Kiefer

Lucía López Laxague

Maximiliano Macedo

Lucia Suyai Mendiberri

Damián Navarro

Ambrosio Nougues

Pablo A. Palazzi

Mariano Peruzzotti

Oscar R. Puccinelli

Javier Raimo

Mikel Recuero Linares

Franco Rizzo Jurado

Esteban Ruiz Martínez

Pablo Segura

Marcelo Temperini

Hugo Alfredo Vaninetti

   

Donde se consigue? 

La obra se consigue en las siguientes librerías jurídicas

Praxis Juridica

Libreria del Jurista

Introducción a la obra colectiva editada por el CETYS titulada Protección de datos. Doctrina y jurisprudencia tomos 1 y 2 (CDYT 2021).

Dos décadas de protección de datos personales en Argentina, por Pablo A. Palazzi

1. Introducción 

Esta obra que el lector tiene en sus manos es fruto del trabajo colaborativo de reconocidos especialistas argentinos en materia de protección de datos personales, así como de algunos pocos invitados extranjeros. 

Estos autores generosamente han compartido sus conocimientos para armar una obra señera en la materia. La excusa original para realizar esta obra colectiva fue celebrar las dos décadas de vigencia de la ley argentina de protección de datos personales (Ley N.º 25.326) con un texto que recorriera alguno de los hitos más importantes de la protección de datos en el ámbito nacional y cómo se ubican dentro del contexto internacional. 

En medio de la confección y del armado de esta obra colectiva apareció una pandemia global, pero eso no fue excusa y —salvo un ligero retraso— la obra se terminó a fines de 2020 y se imprimirá a comienzos de 2021 para lograr así dar testimonio de dos décadas de protección de datos personales en la República Argentina.

El resultado de este trabajo colaborativo es una obra actual y omnicomprensiva de toda la materia, con diversos puntos de vista y con visiones no sólo locales sino también internacionales que dan acabada cuenta de la complejidad que han adquirido hoy en día las reglas legales sobre el tratamiento de los datos personales.

2. El estado actual del derecho a la protección de datos personales

Es difícil describir el estado actual del derecho a la protección de los datos personales sólo analizando una norma local. Diversos factores influyen en la descripción del estado actual del régimen legal de protección de datos personales. 

Primero, un texto que ya tiene dos décadas de vigencia (y más si tomamos en cuenta sus ideas base, que suman una década más) tuvo que dar respuesta a los constantes planteos tecnológicos que van ocurriendo (drones, decisiones mediante algoritmos, inteligencia artificial, bases de datos conectadas a Internet, empresas que recopilan datos personales de argentinos desde cualquier parte del mundo, reconocimiento facial, datos biométricos) y otros no tan nuevos (cookies, marketing, datos de menores). También se debe enfrentar a fenómenos inesperados como los ataques terroristas o una pandemia, que obligan a buscar excepciones generalmente no previstas en los textos legales.

La protección de datos personales también tiene que adaptarse y lograr dar tutela al consumidor, pero no ser un obstáculo a los modelos de negocios que existen hace décadas y que constantemente reaparecen y se reinventan. 

Estos modelos de negocios tienen en común que están todos siempre basados en la recopilación y uso de datos personales. Tanto es así que hoy en día se acuñó la expresión capitalismo de la vigilancia para identificarlo. El capitalismo la vigilancia (en inglés siempre suena mejor: surveillance capitalism) es un concepto utilizado y popularizado desde el año 2014 por la profesora de Harvard Shoshana Zuboff  y que se refiere a la mercantilización de los datos personales, es decir, a la transformación de la información personal en una mercancía para usarla con fines de lucro, para generar publicidad orientada, para mostrar contenidos determinados, para proyectar nuevos productos, personalizar experiencias, y un largo etcétera de funciones que todavía no se han inventado. 

Al momento de la conceptualización académica ese concepto de la vigilancia capitalista ya había sido explotado reiteradamente por el sector privado, en concreto por los “gigantes tecnológicos”, para crear imperios de la información con bases de datos personales. La protección de datos surge como una herramienta que otorga un derecho de control del individuo frente a estas realidades, pero su origen hace ya medio siglo se remonta al temor de la recopilación de datos por parte del Estado. Ahora bien, convengamos en que este control por parte del individuo se quedó corto en la práctica y ello obligó a reforzar las protecciones en la generación mas reciente de normas de datos personales.

Segundo, frente a estas normas de privacidad aparecen otros derechos también fundamentales que se contraponen y requieren un balance importante y constante que a veces es muy difícil de realizar. Tenemos así cuestiones como el derecho al olvido, que requiere contraponer privacidad versus libertad de prensa y acceso a la información. Con la pandemia del covid 19 se contrapone el derecho a la privacidad y confidencialidad sobre los datos de salud al uso de esos datos por motivos de interés general y salud pública para controlar la pandemia. El uso de tecnologías de vigilancia como los drones, tanto estatales como de particulares, requiere conciliar la libertad de su empleo frente a los límites de privacidad de terceros. La vigilancia masiva y las herramientas procesales de acceso a datos para combatir el delito demandan conciliar la seguridad pública con la privacidad de todos. Las regulaciones sobre transferencia internacional de datos requieren conciliar el comercio internacional con la soberanía de datos. Toda legislación de protección de datos implica en muchos casos un límite a las transacciones sobre la información de las personas, regulación que en muchas jurisdicciones donde no hay un derecho fundamental sobre los datos es limitada por otros derechos como la libertad de empresa, de expresión o el derecho a comerciar datos.

Tercero, el aspecto geopolítico de los datos personales no puede ser ignorado y muchos artículos de esta obra tratan ese enfoque, que ayuda a comprender los resultados de algunas reformas, decisiones judiciales o acuerdos internacionales. Los ejemplos abundan, y basta con enumerar algunas: las batallas transatlánticas entre Europa y Estados Unidos por la regulación del flujo de datos transfronterizos, los casos Schrems I y II, el papel de Snowden, las prohibiciones impuestas por el ex presidente Trump a TikTok y WeChat en Estados Unidos, la posición del Reino Unido en materia de datos personales luego del Brexit, el rol de los países BRIC como una alternativa a la hegemonía de Estados Unidos en materia digital, las obligaciones de data localization fundadas en el erróneo concepto de soberanía de datos o soberanía estatal digital, la cooperación en materia del combate del ciberdelito y sus limitaciones legales basados en la privacidad, la Cloud Act y el acceso a datos de plataformas en otros países, las normas sobre terrorismo que afectan la privacidad de extranjeros, las cuestiones de ciberseguridad y los ciberataques no sólo a empresas sino también a países, así como las jurisdicciones que esponsorean el hacking como una forma de ciberguerra continua. Todos estos conflictos involucran en buena medida la aplicación extraterritorial de normas sobre datos personales.

Cuarto, el efecto del Reglamento Europeo de Protección de datos (RGPD) se viene haciendo sentir hace ya más de dos años en todo el mundo, y también en la región latinoamericana, llegando incluso a la Costa Oeste de Estados Unidos (California), con la sanción de la CCPA. Además de California, China es otra jurisdicción que se ha sumado a la ola normativa de privacidad. En mayo de 2020 entró en vigencia un nuevo Código Civil para China, que contiene tanto las típicas normas del derecho a la privacidad que uno encuentra en los códigos de derecho privado (y otros derechos personalísimos) como también normas de protección de datos personales con sabor europeo.

Todo esto lleva a una conclusión obvia: el RGPD se ha transformado en el estándar de facto a escala mundial, y por lo tanto constituye una forma de nivelar para arriba la protección de datos. Los países deberían partir de esta base para legislar, a los fines de evitar diferencias sustanciales que sean obstáculos al libre flujo de datos personales.

En el plano internacional, el Convenio 108  y su protocolo adicional, junto con el Convenio 108+, se expandieron por toda América Latina y están teniendo otro importante efecto armonizador.

En América Latina algunos países han adoptado leyes modernas inspiradas en el RGPD, como el caso de Brasil; otros, como la Argentina y Chile, han elaborado proyectos legislativos modernos fuertemente inspirados en la nueva norma europea. Muchos otros han ido adaptando normas reglamentarias que de a poco van introduciendo los nuevos elementos europeos con regulaciones parciales, como es el caso de Uruguay y la Argentina.

Como quinto aspecto, cabe resaltar la aparición de nuevos actores. Los temas de privacidad ya no sólo se aplican a bases de datos de las industrias clásicas (marketing, informes comerciales, etcétera) sino que dominan o tienen una fuerte injerencia en la agenda de la regulación de Internet, del comercio internacional, de la libertad de expresión, del open banking en el mundo fintech, de la inteligencia artificial y la gobernanza algorítmica y de la transparencia del Estado. El nivel de respeto a la privacidad determina que una sociedad pueda ser catalogada como dictadura o como democracia (aunque hay que admitir que todos, incluso los más democráticos, caen en el pecado de espionaje bajo la excusa de amparar a sus ciudadanos). 

Los temas de regulación de datos personales son tan centrales que numerosos nuevos actores se quieren sentar a decir algo en la mesa de la privacidad.

En el ámbito internacional, en 2016, en las Naciones Unidas se creó el puesto de relator especial de la ONU sobre el derecho a la privacidad . Este nuevo cargo internacional se suma a las agencias regulatorias locales y a las europeas (el WP29, ahora EDPB junto con EDPS), que se reúnen en la Global Privacy Assembly  y en la región en la Red Iberoamericana de Protección de Datos Personales .

Las empresas más importantes del mundo también cuentan con un encargado de privacidad o DPO (incluso, aunque la ley no lo requiera localmente, casi todas ya lo han nombrado hace años). Este nuevo actor, el DPO, está destinado a jugar un papel cada vez más importante en las organizaciones internacionales, privadas y estatales. El rol del DPO es importante para evangelizar dentro de la organización. Sin alguien que cumpla este rol, las organizaciones van a seguir viendo las obligaciones sobre datos personales como un gasto y un costo, y no como una ventaja. Se forma así un círculo vicioso, porque las organizaciones que no adoptan medidas de seguridad ni protocolos internos sobre privacidad terminan siendo descuidadas (negligentes, para usar un término legal) con los datos personales, lo que acaba lesionando derechos de sus clientes, usuarios o partners. Los incidentes de seguridad afectan también la reputación comercial de la empresa y el valor de las que cotizan en bolsa. En el ámbito estatal también se comenzó la sana práctica de designar encargados de datos personales o privacidad. 

Para terminar con el listado de nuevos actores, las organizaciones de la sociedad civil latinoamericanas han comenzado hace unos años a involucrarse en este tema de protección de datos (cuando antes se concentraban en otros derechos más tradicionales, como la libertad de expresión, la igualdad, o los derechos sociales). Esto debe ser bienvenido porque durante mucho tiempo la privacidad y los datos personales estuvieron ausentes en la agenda de estas organizaciones regionales (por el contrario la EFF, la ACLU, EPIC, CDT o Privacy International llevan en algunos casos treinta años de lucha). Recuerdo que en muchas reuniones del board international de Privacy International, del cual formé parte muchos años, este debate era un tema recurrente y finalmente terminó siendo una realidad. La presencia de estar organizaciones trae más presión y control al Estado para respetar adecuadamente este derecho. Por otra parte, como el tema se puso de moda, esto ha provocado incluso cierto recelo y competencia entre las diferentes ONG por estar en el centro de la escena, dominar la agenda y marcar el terreno. 

También aparecen cursos, posgrados, diplomados y másters. Esto es natural consecuencia de que, como requisito para ser DPO, varias legislaciones exigen comprobación de conocimientos. Esto generó además obras jurídicas sobre la materia y profesores especializados. Nelson Remolina Angarita, reconocido experto colombiano en protección de datos, dicta su curso sobre estos temas desde el año 2001 en la Universidad de los Andes (Bogotá, Colombia). Renato Jijena Leiva, experto chileno de datos, dicta un curso similar de Derecho Informático con alto contenido de datos personales desde 1995 en la Universidad Católica de Valparaíso (en 1992, siete años antes de la sanción de la ley chilena de datos personales, ya había escrito una obra sobre la materia). El profesor brasileño Danilo Doneda dicta un curso de datos personales en la Universidad de Río de Janeiro y en la Fundación Getulio Vargas (FGV), y es autor de una obra sobre datos personales publicada una década antes que la LGPD viera la luz. Además, Danilo fue visiting scholar en la agencia italiana de datos personales y estudió junto con el profesor Stefano Rodotà. Por mi parte, el curso de protección de datos personales que organicé en la Universidad de San Andrés lleva una década. Además, en nuestra universidad el tema de los datos personales se enseña tanto en grado como en posgrado. En la Argentina, el resto de las universidades también ofrecen cursos de grado o posgrado sobre datos personales.

Finalmente, con todo este desarrollo normativo las empresas han comenzado a prestar más atención a las leyes de datos personales. Se están dando cuenta de que invertir en cuestiones de privacidad no implica un gasto, sino que, por el contrario, significa una inversión que rinde sus réditos. Un informe reciente de Cisco titulado “De la privacidad a la ganancia: cómo lograr retornos positivos de las inversiones en privacidad. Estudio de parámetros de privacidad de datos de Cisco de 2020” da cuenta de esta tendencia .

3. Dos décadas de protección de datos en la Argentina

El 4 de octubre del año 2000 el Congreso de la Nación sancionó la Ley N.º 25.326 de Protección de Datos Personales. Esta ley fue publicada en el Boletín Oficial del 2 de noviembre de 2000. El 2 de noviembre de 2020 se cumplieron dos décadas de vigencia de esa ley argentina, pionera en la región. A esa fecha, sólo Chile tenía una ley de datos personales vigente. Después de su sanción y de que la Argentina fue declarada país adecuado, siguió la aprobación de leyes de similar tenor en Uruguay, Perú, Colombia, México y Brasil, entre muchas otras.

Por otra parte, en estas dos décadas la protección de datos ha evolucionado mucho. Ya no se trata de una norma extraña sino que, a la luz de ella, se han dictado numerosas reglamentaciones que regulan todo tipo de cuestiones como video-vigilancia, drones, apps, marketing, informes comerciales y bases de datos estatales. Una simple consulta en InfoLeg arroja como resultado cerca de 110 normas de diverso rango legal que referencian a la Ley N.º 25.326. Numerosa jurisprudencia ha moldeado la interpretación de la ley y la ha transformado en una garantía fundamental para la defensa de los datos personales en la sociedad de la información.

Durante estas dos décadas, el gobierno creó primero la Dirección Nacional de Protección de Datos Personales (DNPDP) dentro del Ministerio de Justicia y luego la transfirió a la Agencia de Acceso a la Información Pública (AAIP, organismo de aplicación de la Ley de acceso a la Información Pública). Cuando la DNPDP pasó a formar parte de la AAIP, la Argentina consolidó una autoridad independiente de datos personales. Había sido declarada como país adecuado y uno de los puntos que la Comisión Europea había señalado era la falta de independencia de la agencia por depender de un ministerio y no tener autonomía. Con esto, la Argentina cumple un requisito importante del modelo europeo, que es la independencia de las autoridades de datos personales. 

En estas dos décadas, la DNPDP primero y luego su sucesora, la AAIP, adoptaron numerosas resoluciones, impusieron varias sanciones e iniciaron auditorías y actuaciones contra empresas. En estos veinte años, el derecho a la protección de datos evolucionó considerablemente.

En el plano internacional, la Argentina también hizo buena letra. El 15 de diciembre de 2017, por medio la Ley N.º 27.411, la República Argentina adhirió a La Convención de Budapest sobre el Ciberdelito. El 2 de enero de 2019, aprobó el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal (Convenio 108), junto con su protocolo adicional, por medio de la Ley N.º 27.483 y, en julio de 2020, tuvo media sanción el denominado Convenio 108+.

En el plano internacional, a lo largo de estas dos décadas sucedieron muchos cambios tecnológicos, lo que provocó que las normas europeas fueran modificadas en 2016, y así entró en vigencia un nuevo reglamento que, como ya señalamos, provocó otra intensa ola de reformas. Leyes como la brasileña, aprobada en 2018 y en vigencia desde agosto de 2020 (con entrada en vigencia de su régimen sancionatorio para 2021), y la CCPA de California (en vigencia desde 2020) y ahora la ley de Virginia marcaron un nuevo hito en la expansión de las ideas europeas de protección de datos personales. El Derecho argentino intenta adaptarse a estas tendencias, y ya se han discutido diversos proyectos de leyes inspirados en ellas.

4. Las novedades de las últimos dos décadas contadas a través de esta obra y sus autores

Esta obra colectiva busca brindar testimonio de todo lo ocurrido a lo largo de estas dos décadas de protección de datos a través de artículos de especialistas y personas involucradas en el día a día en este campo, en la Argentina. Se incluyen artículos que analizan algún principio general o instituto de la protección de datos (como el consentimiento, el interés legítimo, las transferencias internacionales o la portabilidad) y comentarios a casos concretos nacionales o extranjeros que han marcados hitos en la historia de la protección de datos, como es el caso “Schrems II”.

La obra está dividida en 7 capítulos —distribuidos en dos tomos— que contienen un total de 31 artículos escritos por 28 autores.

El primer capítulo comienza con un comentario de Eduardo Bertoni, quien fue director de la AAIP hasta fines de 2020. Bertoni escribió una nota donde explica por qué la Ley N.º 25.326 nació anticuada —concordamos ampliamente con su visión— y relata los avances que se lograron con la independencia de la agencia local, y a escala internacional con la aprobación de varios convenios, así como las últimas normas importantes aprobadas por la agencia, lo que sirve como una suerte de balance de gestión.

El profesor Oscar R. Puccinelli es el autor de un artículo titulado “La Ley N.º 25.326 de cara a su reforma integral: el proyecto elaborado en el marco del Programa Justicia 2020”, en el que se comenta el proyecto de reforma que, de haber sido tratado por el Congreso de la Nación, habría actualizado nuestra ley de datos personales al estándar del RGPD europeo.

Sigue una nota del profesor brasileño Danilo Doneda sobre el reconocimiento del derecho fundamental a la protección de los datos personales en la jurisprudencia del Tribunal Federal de Brasil. Se trata del comentario a un reciente fallo de ese país sobre la tutela de los datos sobre geolocalización durante la pandemia del covid 19. El caso sirve para demostrar cómo los tribunales brasileños, sin ley vigente en ese momento, consideraron a la protección de datos personales como un derecho fundamental.

Luego hay una nota escrita por María Julia Giorgelli y Javier Raimo sobre las propuestas para la reforma de la Ley de Protección de Datos de la Ciudad de Buenos Aires N.º 1.845 —de la cual participe en su redacción— y la influencia del RGPD europeo. Ambos autores trabajan en la agencia porteña de datos personales. La nota contiene un anexo con el proyecto de ley presentado en la Legislatura. Su simple lectura evidencia el influjo europeo.

Lisandro Frene realiza un balance sobre las dos décadas de vigencia de la Ley N.º 25.326 y cuál fue el resultado en diversos aspectos de su aplicación.

Son dos los artículos que abordan la extraterritorialidad de las leyes de protección de datos personales, tema siempre actual y en constante evolución. Mariano Peruzzotti escribe sobre la extraterritorialidad del RGPD y sus efectos en la Argentina. Este autor comenta el alcance territorial de la Ley de Protección de Datos Personales a través de una interpretación jurisprudencial de la ley actual. Por su parte, Lucía López Laxague analiza la extraterritorialidad del RGPD europeo y la obligación de nombramiento de un DPO. La nota de esta autora fue su tesina en la Maestría de Derecho Empresarial de la Universidad de San Andrés.

Otra nota de Lisandro Frene, , repasa críticamente las novedades de los últimos veinte años con relación a la actividad de la agencia argentina de datos personales y su funcionamiento y enforcement.

Finalmente, el profesor Oscar Puccinelli escribe además sobre el impacto del RGPD europeo y de los “estándares” de la Red Iberoamericana de Protección de Datos en las recientes reformas, proyectos de reformas y nuevas leyes de protección de datos en Latinoamérica.

El segundo capítulo de esta obra contiene artículos sobre los principios generales de las leyes de protección de datos personales. Agustín Allende Larreta escribe sobre el principio de finalidad en el tratamiento de datos personales. Por su parte, Andrés Chomczyk analiza la evolución del deber de información en la Ley Argentina de Protección de Datos Personales y en los estándares internacionales. Respecto al consentimiento, Diego Fernández analiza el consentimiento de los menores de edad para el tratamiento de sus datos personales. En otro artículo, Agustín Allende Larreta aborda el tema de la portabilidad de los datos personales. Para finalizar, una nota muy práctica de Diego Fernández y Manuela Adrogué analiza el tratamiento de datos sensibles en la legislación y la jurisprudencia argentinas. 

El tercer capítulo aborda los derechos y las obligaciones. José Alejandro Bermúdez Durana, ex comisionado de Datos Personales de Colombia, explica el principio de responsabilidad proactiva o accountability en las legislaciones colombianas y su origen en los estándares internacionales. Una nota de Pablo Segura analiza la importancia del DPO en las organizaciones. Una nota de mi autoría pone el foco en el rol del DPO y su interfaz con el régimen de compliance. El texto contiene dos anexos con las normas de Argentina y Uruguay que requieren nombrar un DPO en ciertos casos. Junto con Andrés Chomczyk escribimos sobre ciberseguridad, incidentes de seguridad y data breach en América Latina. Aquí cierra el primer tomo de esta obra.

El segundo tomo abre con el cuarto capítulo, que lo integra el siempre actual tema de las transferencias internacionales de datos personales. Mariano Peruzzotti, desde otro artículo, hace un repaso de la regulación argentina actual a la luz del Derecho Comparado. El caso “Schrems II” es comentado por Esteban Ruiz Martínez y por Mikel Recuero Linares. 

El quinto capítulo trata sobre la protección de los datos personales en Internet. Los temas que aquí se tratan son el derecho de supresión en redes sociales —analizado por Lucia Suyai Mendiberri—, el problema del ejercicio de los derechos de datos personales en Internet —por Esteban Ruiz Martínez— y la aplicación del caso “Belén Rodríguez” a la protección de datos —por quien suscribe—.

El sexto capítulo analiza los tratamientos de datos sectoriales. Se incluyen notas sobre datos de salud y su tratamiento por farmacéuticas (escrita conjuntamente con Franco Rizzo Jurado), sobre telemedicina y datos del paciente (por Ambrosio Nougues), sobre datos electorales (escrita por Lisandro Frene en coautoría con Damián Navarro), sobre los sistemas de videovigilancia pública (por Hugo Vaninetti) y sobre captación de datos personales por medio de drones (por Juan Cruz González Allonca, quien fue director de la Dirección Nacional de Datos Personales e impulsor durante su cargo de la norma sobre drones que él mismo comenta).

El séptimo capítulo está dedicado a los datos personales y su relación con el proceso penal y el Derecho Penal. De nuevo, no es frecuente la interfaz entre ambas ramas del Derecho, y el tratamiento de este tema en la doctrina argentina desde la óptica de los datos personales era escaso, por no decir nulo. Por eso nos pareció interesante tratar expresamente varios temas. Hernán Blanco aborda el tema del impacto que la investigación penal tiene sobre la protección de los datos personales de los ciudadanos. Otra nota trata acerca de la transferencia internacional de datos personales en materia penal y el impacto de la Cloud Act de Estados Unidos. Ese trabajo, escrito por las especialistas en delitos informáticos Daniela Dupuy y Mariana Kiefer, hace un aporta muy actual porque justamente este tema se está debatiendo en el Council of Europe a raíz de la modernización del Convenio de Budapest. Finalmente, el uso de técnicas de OSINT (mal llamado “ciberpatrullaje”) y los datos personales que genera esa actividad es comentado por Marcelo Temperini y Maximiliano Macedo. 

La profundidad de todas estas notas demuestra que en la Argentina las dos décadas de protección de datos no transcurrieron en vano. Se han formado numerosos especialistas a la luz de la Ley N.º 25.326 y se ha creado una sólida comunidad de practitioners y académicos.

Finalmente, agradezco el apoyo económico del CETYS y de Derecho UDESA y las gestiones de María Vazquez para la impresión de esta obra.

5. Conclusiones

El entusiasmo que mostraron todos los autores al concebir esta obra, realizada en su mayor parte durante la pandemia, plantea la posibilidad de seguir desarrollando con más frecuencia este tipo de compilaciones, dado que los temas son tan amplios y diversos que es imposible que sean cubiertos por un solo autor. Por este motivo, invitamos a todos aquellos interesados en contribuir al desarrollo de los datos personales en la región a enviarnos contribuciones de actualidad para seguir adelante con esta obra mediante tomos adicionales.

PABLO A. PALAZZI

Profesor Derecho UDESA

Director del CETYS, UDESA

ppalazzi@udesa.edu.ar

Buenos Aires, diciembre de 2020

Guía para la reforma de la ley 25.326

 ¿Qué debe tener como mínimo el texto legal que reemplace a la ley 25.326?

- cumplir con estándares internacionales (los institutos principales del RGPD).

- incardinarse en la Constitución Nacional y los tratados internacionales de derechos humanos.

- respetar tratados como ser Convención del Ciberdelito, Convenio 108 y su protocolo y Convenio 108 +.

- normativa del Mercosur sobre datos personales.

- Fomentar el comercio electrónico, la innovación,

- la leyes de protección de datos no sirven para inmovilizar datos o generar empleo local. 

- No solo de debe cumplir con estándares como el GDPR sino también con la directiva relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. En esto Argentina y América Latina tienen mucho que hacer.

AAIP emite comunicado sobre publicación de listado de vacunados

A raíz del debate sobre el vacunatorio VIP y el intereés de la prensa en conocer los nombres de las personas que se beneficiaron con vacunaciones fuera del orden legal, la AAIP publicó un coomunicado donde analiza la cuestión.

No se trata de una decisión en un caso concreto, sino una suerte de guía sobre el problema. Las conclusiones son las siguientes:

- entregar datos personales bajo un pedido de acceso a información pública equivale a una cesión de datos personales,

- ante un conflicto de derechos, debe tenerse en cuenta el interés público involucrado.

- los datos de quienes se vacunaron se pueden publicar en forma disasociada.

- se pueden publicar con indicación del nombre en caso de consentimiento.

- respecto a funcionarios públicos, estos tienen una excepción de datos personales en la ley de acceso a la información pública, pero esta tiene excepciones cuando hay consentimiento del funcionario o cuando del contexto se entiende que el dato es público o cuando están relacionados con la función pública.

- hay que hacer una ponderación de intereses. La AAIP se remite a los criterios de la Res. 48 de 2018. En el caso de los funcionarios públicos, estos, recuerda la AAIP tienen menor amparo de privacidad y las vacunas se compraron con fondos públicos y hay un derecho a controlar por parte de la ciudadania, controlar requiere  tener información. En la ponderación gana la transparencia.

- personas vacunadas fuera del plan oficial: se puede publicar pues el interés publico en conocer quienes se vacunaron en forma irregular a los procedimientos legales es mayor que la privacidad de estos sujetos. Esto es similar a la tutela que tiene la prensa sobre temas de interés publico cuando se cita la fuente y se usa modo potencial, según doctrina del caso Campillay. Aqui es clave el contexto: escasez de vacunas, ausencia de previsión en cuento a nuevas vacunas, y el conflicto de derechos.

Proyectos de reforma de la ley 25.326 (2018-2021)

• Proyecto Dip. Banfi y otros (2020).
• Proyecto Senador Mera (2020).
• Mensaje 147/2018 Proyecto de Ley de Protección de Datos Personales. Versión enviada por el Poder Ejecutivo Nacional al Congreso para someter a su consideración.

• Cuadro comparativo. Ley 25.326 de Protección de Datos Personales y Mensaje 147/2018 Proyecto de Ley de Protección de Datos Personales.

• Nueva versión del anteproyecto de Ley de Protección de Datos Personales. Versión elaborada luego de analizar los aportes y comentarios recibidos, durante la consulta pública de febrero de 2017, sobre el anteproyecto de Ley de Protección de Datos Personales.

• Anteproyecto de Ley de Protección de Datos Personales, primera versión.

• Aportes sobre la necesidad de una reforma a la Ley de Protección de Datos Personales. Recopilación de los aportes y comentarios recibidos, durante los meses de agosto y septiembre de 2016, en el proceso de reflexión sobre la necesidad de reformar la ley vigente.

• Mi comentario al proyecto 2018.

Brexit - se publican borradores de las decisiones de adecuación del Reino Unido

La UE publica borradores de las decisiones de adecuación de Inglaterra con posterioridad al Brexit. Hay dos decisiones, una para GPDR y otra para la directiva relacionada con la transferencia de datos en el proceso penal y actividad policial. Si sale ésta última entiendo que sería la primera decisión de adecuación bajo la LED.

Propuesta de candidato a director de la AAIP

Fuente https://www.argentina.gob.ar/noticias/propuesta-de-candidato-director-de-la-agencia

 Propuesta de candidato a director de la Agencia

El Poder Ejecutivo Nacional propuso a Gustavo Juan Fuertes como candidato a director de la Agencia.

Publicado el jueves 18 de febrero de 2021

Mediante la publicación de la Resolución 100/2021 la Jefatura de Gabinete de Ministros de la Nación postuló al abogado Gustavo Juan Fuertes como candidato a director de la Agencia de Acceso a la Información Pública.

En la actualidad Fuertes es Asesor Legal Experto en Políticas Públicas de la Secretaría de Coordinación Administrativa, Jefatura de Gabinete de Ministros de la Nación. Asimismo, fue Asesor Jurídico Administrativo de la Subsecretaría de Planificación Ambiental y Desarrollo Sostenible del Organismo Provincial para el Desarrollo Sostenible y Director Provincial de Comercio del Ministerio de Producción, Provincia de Buenos Aires.

Para conocer más sobre el candidato, accedé al proceso de selección del director de la Agencia.

Audiencias públicas en Youtube

https://www.youtube.com/watch?v=vx0YYVBG6vI

Mercosur aprueba norma sobre comercio electrónico

 

Mercosur aprueba norma sobre comercio electrónico. El texto de la norma se puede consultar en ambos idiomas oficiales aquí. La norma contiene disposiciones sobre consumidores, firma digital, comercio electrónico, derechos aduaneros digitales, datos personales, transferencia internacional de datos personales y data localization, entre otros.

Costa Rica: presentan proyecto para adaptar su ley de datos al GDPR

Según informa IPANDETEC, presentan proyecto de ley Expediente 22.388 "Reforma integral a la ley de la persona frente al tratamiento de sus datos personales" cuyo objetivo es actualizar la ley actual de Costa Rica al GDPR.

Texto del proyecto.

CPDP LATAM 2021: NEW REGULATIONS, CROSS-BORDER DATA FLOWS, AND COVID19 IN LATIN AMERICA

CPDP LATAM: NEW REGULATIONS, CROSS-BORDER DATA FLOWS, AND COVID19 IN LATIN AMERICA

Moderator 

• Luca Belli

Speakers 

• Nelson Remolina 
• Miriam Wimmer 
• Katitza Rodriguez 
• Renato Monteiro.  
• Pablo Palazzi. 
• Hannah Draper

Organisation: FGV-Rio Law School - Fundação Getúlio Vargas Law School (BR)

Room: Grand Hall Online

Timing: 18:30 - 19:45 on 27 January 2021

This side event will explore the latest data protection advancements, trends, and challenges in Latin America. Particular attention will be dedicated to new data protection frameworks in the region, challenges for cross border data flows, and the impact of the COVID-19 pandemic on data protection. This debate aims at opening the path to CPDP Latam (www.cpdp.lat), a new Latin American platform to discuss privacy, data protection and technology. CPDP LatAm encompasses the Latin American editions of the Computers, Privacy and Data Protection (CPDP) conference, the MyData conference, and Privacy Law Scholars Conference (PLSC). The 1st Latin American edition of the CPDP conference will be held in July 2021 in Rio de Janeiro, at Fundação Getulio Vargas.

This side event will focus on key issues to be further explored by CPDP LatAm 2021, which will be dedicated to Data Protection in Latin America: Democracy, Innovation and Regulation.

• Cross-Border Data Flows
• New Data Protection frameworks in LatAm
• Data protection best practices and worst practices in LatAm
• International data transfers and adequacy mechanisms

Interview over data protection bills

 I was interviewed over the new data protection bills in Argentina by Global Data Review.