Nueva norma de fiscalización de la AAIP

La AAIP dictó el último día del año 2020 una guía de inspección para auditar empresas, con dos anexos.

Argentina - Corte Suprema delimita acceso a la información pública y secreto fiscal

Se publica un muy interesante fallo de la CSJN. Se trata del caso "Olivera Gustavo" fallado el 12/11/2020 sobre acceso información pública respecto a la fiscalización pedida a AFIP a partir de una denuncia que hizo el presentante. Es la primera vez que veo que la CSJ comienza a discriminar con precisión en materia tributaria lo que esta amparado por secreto fiscal y lo que no. El fallo tiene impacto en el habeas data y en cuestiones de acceso bajo la ley 25.326.

La agencia de datos personales de Colombia publica el documento Guía para el Tratamiento Adecuado de las Fotografías como Datos Personales

 La agencia de datos personales de Colombia publica una guía sobre uso adecuado de fotos.

Argentina - Presentan proyecto de ley de datos personales

En noviembre de 2020 ingresó un Proyecto de ley sobre protección de datos personales. El objetivo de este proyecto es reemplazar la vetusta ley 25.326 que ha cumplido 20 años. Como dice el tango, 20 años no es nada, pero en tiempos de Internet me parece que es mucho. La ley 25.326 quedó anticuada por el cambio tecnológico y el cambio normativo de estándares internacionales como el Europeo (hace dos años entró en vigencia el RGPD).

El proyecto fue girado a las Comisiones de Asuntos Constitucionales, Justicia, Legislación General y Presupuesto y Hacienda. Los autores son: Karina  Banfi (UCR - Buenos Aires), Mario Negri (UCR - Córdoba) y otros. El proyecto fue elaborado por la oposición al actual gobierno. Imagino que el oficialismo presentará su propio proyecto.

El proyecto tiene fuertes similitudes con la versión presentada por la AAIP hace unos años y que se inspiraba en el RGPD europeo. Fue un proyecto que se trabajó con mucho consenso de la academia y del sector privado.

Algunas diferencias con el proyecto anterior de la AAIP son importantes y las resaltamos mas abajo. 

Ahora señalo algunas cosas buenas y otras malas que tiene el proyecto:

Principios generales

- datos biométricos - no son considerados datos sensibles.

- sigue el consentimiento tácito, que en materia de Internet en algunos casos parece lógico pero va a ser problemático interpretarlo. Y puede ser materia de abusos... 

- se introduce el interés legítimo que no esta en la ley 25.326, muy positivo, pero va a implicar pensar de otro modo el derecho de los datos personales luego de basarnos por dos décadas en el consentimiento.

- no veo temas de IA, algoritmos, y transparencia en materia de procesamiento de datos personales. Tampoco hay nada de covid19 a la pandemia.

- en materia de DPO, parece que muy pocos casos lo van a tener que nombrar (y esas empresas ya tienen uno aunque la ley no lo establezca!), esto va en contra de la difusión de la cultura de la protección de datos personales.

Ciberseguridad

Creo que hay muchas cosas para hacer, se copia parte del GDPR y se lo mezcla con lo que está actualmente contemplado en la ley 25.326, pero se puede mejorar. Para empezar, poner a cargo de todos los proveedores de servicios informáticos (no solo los que tienen datos personales), la obligación legal de seguridad. Es decir que este deber no recae  sólo en cabeza del responsable y del encargado del tratamiento sino también de quien instala un app, un firewall, o quien vende un antivirus. Y estos estándares  deben ser obligatorios, si no no sirven, y nadie se toma la molestia (y el gasto) de implementarlos. Es que hoy en día en Internet la ciberseguridad es algo colectivo, como el medioambiente. Si no cuidas tus datos, otros sufren las consecuencias. Una reciente comparación entre las normas de la 47 del 2018 y los estándares mas reconocidos de la industria muestra que no estamos tan mal en materia de reglas, pero la norma de la AAIP no es obligatoria, debería ser obligatoria por ley, con una delegación a la AAIP para actualizar los estándares. 

Asimismo, respecto el Estado, disponer que los titulares de datos tenemos que ser informados de qué sucede con la seguridad de nuestros datos. Del hacking a Migraciones, a Vialidad, a la Policía Federal (que ni siquiera se dignó a responder el pedido de la AAIP), etc. nos enteramos por los diarios, pero ninguna entidad del Estado tuve la delicadeza de avisarnos. Mas bien lo esconden o se niegan a informar esto, debería ser obligatorio que informen aunque sea vía web. 

A modo de ejemplo de lo que digo, hace poco le pedí a Migraciones que me de acceso a mis datos personales y las normas de seguridad que habría implementado  y me contestó con generalidades, pero lo mas sorprendente es me respondieron que los datos que tiene son confidenciales, invocando el decreto reglamentario de la ley de migraciones.

Outsourcing

Se repite el mismo error del proyecto anterior que es tratar la tercerización de datos personales o outsourcing en dos normas dentro del proyecto. Los arts. 26 y 39 tratan con redacción diferente el mismo instituto. En todo el derecho comparado esto se trata de una sola forma en una sola norma. La solución no se da borrando uno de los artículos sino amalgamando ambos, pues ambos tienen cosas interesantes. En el art. 39 hay que borrar lo de los dos años. No da borrar cada dos años los datos. Por otra parte deberíamos tomar como modelo de este tema el GDPR o la normativa española que lo implementa que es mas completa aun.

Informes comerciales

En materia de informes comerciales -tema central para el desarrollo del mercado crediticio- se establece que todo tiene que pasar por el BCRA. Esto es un error, porque actualmente es al revés, no todo pasa por el BCRA, sino que las empresas de informes comerciales toman datos públicos del BCRA que es fuente pública y los republican, además de compartir datos entre los bancos. Además es un error que todo pase por el BCRA porque existen deudas no financieras, que no tienen nada que ver con el BCRA. Por otra lado es una forma innecesaria de obligar al Estado, en este caso al BCRA a intermediar en algo que no le compete.

Revisión judicial de sanciones

Se  sigue con la idea de que no haya recurso de Alzada, tal vez con la idea de dotar de más independencia a la AAIP, y que solo tenga revisión judicial con un recurso directo ante una cámara de apelaciones. Esto parte de una visión de que el Convenio 108 y su protocolo  (Argentina fue el país n. 33 en suscribirlo) así lo exigirían. El Convenio no dice expresamente eso, pero a veces en aras a dotar de mas independencia a las agencias se hacen esas cosas.

Multas

Esta es un tema importante, sin multas importantes, la espada de la ley no tiene filo, no pincha ni corta. Actualmente la multa máxima en la ley 25.326 es de 100,000 pesos, que al cambio en USD da una cifra muy baja de usd 625, sobre todo para las tecnológicas. El proyecto propone atarlo al salario mínimo, vital y móvil (a dic. 2020 es $20.587).  El máximo son 5925 unidades de este salario o 2% del volumen de negocio total anual global del ejercicio anterior, lo que sea mayor. Si se trata de una empresa extranjera, lo segundo va a ser siempre mayor. El resultado del máximo arroja aproximadamente 121 millones de pesos que en dólares da 762,000.

Otro problema actual es que la revisión (lenta) de la multa por la vía judicial, hace que la misma no se cobre nunca. Cuando llega el momento de cobrarla, con varios años de litigio la multa es muy baja. A modo de ejemplo, citamos el caso de la empresa que operaba Globinfo cuya razón social es Open Discovery SA.  La sanción de la DNPDP es del año 2009, el fallo de la justicia (aun no está firme) confirmatorio del acto administrativo sancionatorio es de octubre 2020, es decir que pasaron 11 años. Cuando la sanción quede firma posiblemente pasen 12 o 13 años. Con la inflación que tiene Argentina la multa de pesos 50.001 ahora no es nada... y es una invitación a infringir.

Esto el proyecto lo soluciona con una recurso directo a la cámara de apelaciones, con lo cual no hay revisión del acto administrativo en primera instancia. Pero igualmente el tema de las multas efectivas requiere una mirada especial para que la ley no pierda fuerza.

Acción de habeas data

La acción de habeas data cambia respecto a la ley 25.326. Se le da una redacción al estilo del amparo en el art. 71, lo que no la hace tan clara, preferiría algo mas directo y puntual (un buen ejemplo es la ley procesal de la Pcia de Bs As.). Asimismo se crea una legitimación colectiva, pero no es muy claro su alcance, la redacción podría ser mejor.

- otra vez se comete el error de invitar a las provincias a adherir ¿a adherir a que? La Constitución Nacional claramente delimita las facultades de la Nación y las provincias. Las normas de fondo son nacionales, las normas procesales y de derecho público son provinciales. No da adherir a una norma de otro rango, mala práctica si es la praxis. La Nación no va a adherir a algo hecho en una provincia, y las provincias no deberían adherir a algo nacional (para algo tienen legisladores provinciales), las provincia deberían respetar su propia autonomía y legislar cuando les corresponde.

Padres pueden revisar telefono movil de los hijos menores de edad

 Fallo

Reforma a la ley de videovigilancia de la Ciudad Autónoma de Buenos Aires

La Legislatura de la Ciudad Autónoma de Buenos Aires modificó la Ley 5.688 que regula el Sistema Público Integral de Video-Vigilancia en la Ciudad Autónoma de Buenos Aires. 

El principal propósito de la reforma es el establecimiento de ciertos límites a la implementación de los sistemas de video-vigilancia pueda poseer, motivando la equidad y garantizando el derecho a la privacidad mediante el uso de estos sistemas.  En este sentido, se modifican los artículos 478,480, 483, 484 y 490 de la Ley 5.688 y se incorpora el artículo 480 bis. 

Dentro de las modificaciones más relevantes se establece que el Sistema de Reconocimiento Facial de Prófugos será empleado únicamente para tareas requeridas por el Ministerio Público Fiscal, el Poder Judicial de la Nación, Provincial y de la Ciudad Autónoma de Buenos Aires, como para la detención de personas buscadas por orden judicial registradas en la Base de Datos de Consulta Nacional de Rebeldías y Capturas (CONARC). Encontrándose prohibida la posibilidad de incorporar imágenes, datos biométricos y/o registros de personas que no se encuentren registradas en dicha base de datos. 

Asimismo, en relación con la información obtenida por medio de las grabaciones, se prohíbe tanto la cesión como la copia o modificación de las grabaciones para entregarlas a los medios de difusión audiovisual y/o gráficos. 

Ver texto de la reforma.

Primera multa de datos personales validada por la justicia argentina

Salió convalidada por la justicia (aun no está firme) la primera sanción de la ex DNPDP (en el caso a Open Discovery, la empresa detrás de Globinfo y Dateas). La sanción de la DNPDP es del 2009, el fallo confirmatorio del acto administrativo sancionatorio es de octubre 2020, es decir que pasaron 11 años. Con la inflación que tiene Argentina la multa de pesos 50.001 ahora no es nada... y es una invitación a infringir.

Pregunta, ahora que se convalidó (y si queda firme en cámara) y se confirma que el procesamiento es ilegal, los titulares de datos personales allí registrados pueden demandar a Globinfo por el cese de uso del procesamiento ilegal? Se puede hacer una acción de clase?

La odisea de comprar libros en el exterior desde la Argentina

En septiembre de 2020 compré en Marcial Pons varios libros de Derecho y tecnología (mi especialidad como abogado) que uso para leer, escribir y dar clases como Profesor de Derecho. Un mes antes había comprado otros libros en Marcial Pons y llegaron sin problemas puerta a puerta.

Pero en septiembre de 2020 mediante una norma de la secretaria de comercio el gobierno volvió a detener libros en forma arbitraria (como hicieron en 2011) con la "excusa de la tinta". Esto claramente viola los acuerdos de la OMC. 

Para destrabar los libros de la Aduana hay que pagarle a un despachante de aduanas sus honorarios y ademas pagar las tasas correspondientes en la aduana y otros gastos a DHL.

El siguiente es el periplo para recuperar los libros que tuve que hacer:

- contactar a DHL y pedir explicaciones, nunca contestaron, luego de muchos llamados y correos se dignaron a explicarme que tenia que retirar la guía. 

- buscar un despachante de aduana, le escribí a varios y solo logre que me conteste uno, que me paso un presupuesto. El presupuesto con sus honorarios y tasas es más caro que el precio de los libros con el transporte internacional desde Madrid.

- hay que transferir a la guía al despachante (porque yo no estoy registrado como importador y exportador), esto lleva un tiempo.

- luego el despachante tiene que hace su trabajo. Ya van casi un mes y medio.

- pero no termina ahi porque DHL no acepta el traspaso de la guía al despachante de aduana, sino que le pide permiso a la librería española Marcial Pons. La librería me escribe un email y me pide permiso para cambiar la guía a un despachante de aduana.

- Autorizo el cambio via email y me confirman que el cambio esta hecho.

Se nota que los politicos que nos gobiernan no han leido un p...obre libro en toda su vida.

Reglamentan el derecho del consumidor a revocar la operación con un botón de arrepentimiento

 

MINISTERIO DE DESARROLLO PRODUCTIVO SECRETARÍA DE COMERCIO INTERIOR

Resolución 424/2020

RESOL-2020-424-APN-SCI#MDP

Ciudad de Buenos Aires, 01/10/2020

Tribunal autoriza embargo de cuenta de Mercado Pago

 El fallo de primera instancia lo había rechazado porque no era entidad bancaria, pero la Alzada dijo que las cuentas de fintechs pueden ser objeto de embargo.

Texto del caso.

Proyecto de reforma de la ley 1845 de CABA para adaptarlo al RGPD europeo

PROYECTO DE LEY

REFORMA DEL RÉGIMEN DE PROTECCIÓN DE DATOS PERSONALES

Artículo 1.- Modifíquese el Artículo 3 de la ley 1845 de la Ciudad Autónoma de Buenos Aires, el cual quedará redactado de la siguiente manera:

“Artículo 3°.- Definiciones. A los fines de la presente ley se entiende por:

Datos personales: Información de cualquier tipo referida a personas humanas o de existencia ideal, determinadas o determinables.

Datos sensibles: Aquellos datos personales que revelan origen racial o étnico, opiniones políticas, convicciones religiosas o morales, afiliación sindical, información referente a la salud o a la vida sexual o cualquier otro dato que pueda producir, por su naturaleza o su contexto, algún trato discriminatorio al titular de los datos; así como los datos biométricos de las personas humanas.

Datos biométricos: Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana que permitan o confirmen la identificación única de una persona, como imágenes faciales o datos dactiloscópicos.

Consumidores y comercio electronico

MINISTERIO DE DESARROLLO PRODUCTIVO SECRETARÍA DE COMERCIO INTERIOR

Resolución 270/2020. RESOL-2020-270-APN-SCI#MDP

AAIP emite documento sobre Datos personales y registro de temperatura durante COVID19

La Agencia argentina informa cómo deben tratarse los datos personales ante el registro de temperatura corporal.

3 de septiembre de 2020

En el contexto de la pandemia del COVID-19 y de la emergencia sanitaria local, la toma de temperatura corporal en los ingresos a edificios o en la vía pública es una medida que organismos públicos o privados pueden implementar, con el fin de prevenir la propagación de la enfermedad. Pero este tipo de control puede tener un impacto en la privacidad o la intimidad de las personas, por lo que es importante que los distintos actores involucrados tengan en consideración la Ley 25.326 de Protección de Datos Personales.

 

Con el objetivo de facilitar el cumplimiento por parte de los responsables del tratamiento de datos personales, así como informar a la ciudadanía sobre sus derechos, la Agencia de Acceso a la Información Pública elaboró una Guía para el tratamiento de datos personales ante el registro de temperatura corporal, en la que se establecen pautas y principios generales.

 

Para acceder a la guía completa hacé click aquí.

 

Cualquier persona que considere que su privacidad o sus datos personales están siendo afectados puede realizar una denuncia ante la Agencia.

 

Asimismo, las instituciones públicas y privadas que implementen o planeen implementar una herramienta de geolocalización pueden realizar consultas sobre el alcance de la Ley 25.326 ante la Agencia.

FUENTE web de la AAIP

Texto del documento.

Brasil crea estructura y cargos dentro de la autoridad de datos personales por decreto n. 10.470 del 26 de agosto de 2020

El PE de Brasil crea la  estructura y cargos dentro de la autoridad de datos personales por decreto n. 10.470 del 26 de agosto de 2020, el decreto se publica justo con la entrada en vigencia de la LGPD, luego de muchas idas y vueltas.

Texto de la norma (PDF) (HTML)

DECRETO Nº 10.474, DE 26 DE AGOSTO DE 2020

 

Vigência         

Aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados e remaneja e transforma cargos em comissão e funções de confiança.

Reglamentan el dec. 274 de competencia desleal

 

MINISTERIO DE DESARROLLO PRODUCTIVO SECRETARÍA DE COMERCIO INTERIOR

Resolución 241/2020

RESOL-2020-241-APN-SCI#MDP

Ciudad de Buenos Aires, 21/08/2020

Condena penal por abuso sexual a través de redes digitales

Este es un caso que se comentó en el seminario que armamos en el 2017 en UDESA sobre violencia de genero en internet y  acoso digital a mujeres en Internet.

Abajo hay link a la resolución del Tribunal Superior de Justicia de Córdoba, por la cual resolvió confirmar la condena por abuso sexual. 

El máximo tribunal de Córdoba entendió que los actos que realizaba el imputado utilizando una computadora afectaba la integridad sexual de la víctima, sin que haya existido contacto físico. 

En casación no se discutieron los hechos, solo la calificación y el argumento del defensor fue que no se abuso sexualmente porque no existió contacto físico impúdico que seria un requisito inexcusable para la configuración del delito penal. 

El fallo rechaza esa postura y entiende que puede existir abuso sexual via Internet.

Fallo del STJ de Córdoba.

Primer caso judicial de derecho al olvido en Argentina - confirman sentencia de primera instancia que reconoce derecho al olvido

 Texto del fallo de camara.

Texto del fallo de primera instancia.

Recetas electrónicas o digitales.

 

Ley 27553

Recetas electrónicas o digitales.

El Senado y Cámara de Diputados de la Nación Argentina reunidos en Congreso, etc. sancionan con fuerza de Ley:

Artículo 1º- La presente ley tiene por objeto:

a) Establecer que la prescripción y dispensación de medicamentos, y toda otra prescripción, puedan ser redactadas y firmadas a través de firmas manuscritas, electrónicas o digitales, en recetas electrónicas o digitales, en todo el territorio nacional;

b) Establecer que puedan utilizarse plataformas de teleasistencia en salud, en todo el territorio nacional, de conformidad con la ley 25.326 de Protección de los Datos Personales y la ley 26.529 de Derechos del Paciente.

Toda prescripción electrónica o digital y plataforma de teleasistencia en salud que reúnan los requisitos técnicos y legales son válidas de acuerdo a la legislación vigente que no se encuentre modificada por la presente ley.

Artículo 2º- La presente ley es de aplicación para toda receta o prescripción médica, odontológica o de otros profesionales sanitarios legalmente facultados a prescribir, en los respectivos ámbitos de asistencia sanitaria y atención farmacéutica pública y privada.

Los medicamentos prescriptos en recetas electrónicas o digitales deben ser dispensados en cualquier farmacia del territorio nacional, servicios de farmacia de establecimientos de salud y establecimientos del sector salud habilitados para tal fin, acorde a las disposiciones vigentes. Asimismo, se aplica para toda plataforma de teleasistencia en salud que se utilice en el país.

Artículo 3º- La autoridad de aplicación de la presente ley será establecida por el Poder Ejecutivo nacional, coordinando su accionar con las autoridades jurisdiccionales competentes y los organismos con incumbencia en la materia que dichas autoridades determinen, quienes definirán por vía reglamentaria los plazos necesarios para alcanzar la digitalización total en prescripción y dispensación de medicamentos, toda otra prescripción, y regular el uso de plataformas de teleasistencia en salud.

El Instituto Nacional de Servicios Sociales para Jubilados y Pensionados deberá ser convocado por la autoridad de aplicación a los fines de colaborar en la reglamentación que se dicte a tal efecto.

Artículo 4º- Para la implementación de la presente ley se deben desarrollar y/o adecuar los sistemas electrónicos existentes y regular su implementación para utilizar recetas electrónicas o digitales, y plataformas de teleasistencia en salud, todo lo cual debe regular el organismo que el Poder Ejecutivo nacional oportunamente establezca y los organismos que cada jurisdicción determine.

Asimismo, dichos organismos son los responsables de la fiscalización de los sistemas de recetas electrónicas o digitales, y de los sistemas de plataformas de teleasistencia en salud, quienes deben garantizar la custodia de las bases de datos de asistencia profesional virtual, prescripción, dispensación y archivo. También son responsables de establecer los criterios de autorización y control de acceso a dichas bases de datos y garantizar el normal funcionamiento y estricto cumplimiento de la ley 25.326 de Protección de los Datos Personales, la ley 26.529 de Derechos del Paciente y demás normativas vigentes en la materia.

Artículo 5º- Modifícase el inciso 7 del artículo 19 de la ley 17.132, el que quedará redactado de la siguiente manera:

7. Prescribir o certificar en recetas manuscritas, electrónicas o digitales, en las que debe constar la siguiente información en idioma nacional: nombre, apellido, profesión, número de matrícula, domicilio, número telefónico y correo electrónico cuando corresponda. Solo pueden anunciarse cargos técnicos o títulos que consten registrados en la autoridad de aplicación competente y en las condiciones que se reglamenten. Las prescripciones y/o recetas deben ser formuladas en idioma nacional, fechadas y firmadas en forma manuscrita, electrónica o digital. En caso de ser redactadas electrónicamente, la firma y demás requisitos técnicos y legales deben adecuarse a la legislación vigente. En caso de utilizar la firma digital, la misma debe adecuarse a la ley 25.506, de firma digital, adhiriendo al régimen e intermediando una autoridad certificante.

Artículo 6º- Incorpórase el artículo 2° bis al título I de la ley 17.132, el que quedará redactado de la siguiente manera:

Artículo 2° bis: Se habilita la modalidad de teleasistencia para el ejercicio de la medicina, odontología y actividades de colaboración de las mismas, garantizando los derechos establecidos en la ley 26.529 de Derechos del Paciente. La teleasistencia puede desarrollarse solo para prácticas autorizadas a tal fin, de acuerdo a protocolos y plataformas aprobadas para la misma por la autoridad de aplicación.

Artículo 7º- Modifícase el artículo 3º de la ley 23.277, el cual quedará redactado de la siguiente manera:

Artículo 3º: El psicólogo puede ejercer su actividad autónoma en forma individual y/o integrando equipos interdisciplinarios, en forma privada o en instituciones públicas o privadas que requieran sus servicios.

En ambos casos pueden hacerlo a requerimiento de especialistas en otras disciplinas o de personas que voluntariamente soliciten su asistencia profesional. Pueden desarrollar el ejercicio de estas actividades a través de plataformas de teleasistencia previamente habilitadas para tal fin y autorizadas por la autoridad de aplicación, de acuerdo a protocolos y plataformas aprobadas por la misma y garantizando los derechos establecidos en la ley 26.529 de Derechos del Paciente.

Artículo 8º- Modifícase el artículo 9° de la ley 17.565, el que quedará redactado de la siguiente manera:

Artículo 9°: En las farmacias el expendio de drogas, medicamentos o especialidades medicinales se ajusta a las siguientes formas de acuerdo a lo que establezca la legislación vigente o determine la autoridad sanitaria:

1. Expendio legalmente restringido;

2. Expendio bajo receta archivada;

3. Expendio bajo receta;

4. Expendio libre.

Deben conservarse las recetas correspondientes a los puntos 1 y 2, en formato papel o digital, durante un plazo no menor de tres (3) años, después de dicho plazo pueden ser destruidas o borradas, previa comunicación a la autoridad sanitaria.

Artículo 9º- Modifícase el artículo 10 de la ley 17.565, el que quedará redactado de la siguiente manera:

Artículo 10: En las farmacias deben llevarse los siguientes registros o archivos digitales habilitados por la autoridad sanitaria:

a) Recetario;

b) Contralor de estupefacientes;

c) Contralor de psicotrópicos;

d) Inspecciones;

e) Otros registros o archivos digitales que la autoridad competente estime pertinentes. Éstos deben ser aprobados por la autoridad sanitaria.

Deben llevarse en forma legible y sin dejar espacios en blanco, sin alterar el orden de los asientos de las recetas despachadas y sin enmiendas ni raspaduras. La autoridad sanitaria puede autorizar otro sistema copiador de recetas, siempre que el mismo asegure la inalterabilidad de los asientos. En caso de que estos libros sean llevados electrónicamente, la firma y demás requisitos técnicos y legales deben adecuarse a la legislación vigente y a lo que establezca la autoridad de aplicación, asegurando la inalterabilidad de los registros.

Artículo 10.- Incorpórase el artículo 21 bis a la ley 17.818, el que quedará redactado de la siguiente manera:

Artículo 21 bis: En caso de que las recetas mencionadas en la presente ley sean redactadas electrónicamente, o en caso de que los registros obligatorios sean llevados electrónicamente, la firma y demás requisitos técnicos y legales deben adecuarse a la legislación vigente y a lo que establezca la autoridad de aplicación.

Artículo 11.- Incorpórase el artículo 18 bis a la ley 19.303, el que quedará redactado de la siguiente manera:

Artículo 18 bis: En caso de que las recetas mencionadas en la presente ley sean redactadas electrónicamente, o en caso de que los registros obligatorios sean llevados electrónicamente, la firma y demás requisitos técnicos y legales deben adecuarse a la legislación especial vigente y a lo que establezca la autoridad de aplicación.

Artículo 12.- Todos los procedimientos relativos a la regulación de la prescripción, dispensa y circuitos para la provisión de estupefacientes y psicotrópicos (importación, exportación, formularios y recetarios oficiales, libros, registros o archivos obligatorios, vales y cualquier otra documentación inherente a los mismos) deben, a partir de la presente ley, ser digitalizados según los plazos y criterios fijados por la autoridad competente.

Artículo 13.- Los sistemas aludidos en la presente ley deben contemplar el cumplimiento de todas las normativas vigentes que regulan toda la cadena de comercialización de medicamentos incluyendo los requisitos de trazabilidad de éstos y de la firma manuscrita, electrónica o digital. También debe contemplarse la emisión de constancia de teleasistencia, prescripción y dispensación para los pacientes, por vía informatizada o impresión de dicha constancia y la posibilidad de bloqueo por el farmacéutico cuando exista error manifiesto en la prescripción, para que el prescriptor pueda revisar, anular o reactivar según el caso.

La autoridad de aplicación puede realizar los convenios de colaboración y coordinación necesarios con los colegios de profesionales de la salud y los colegios de farmacéuticos a los efectos de hacer ejecutable el objeto previsto en la presente ley.

Artículo 14.- Invítase a las provincias y a la Ciudad Autónoma de Buenos Aires a adherir a la presente ley.

Artículo 15.- El Poder Ejecutivo nacional reglamentará la presente ley dentro de los ciento veinte (120) días de su promulgación.

Artículo 16.- Comuníquese al Poder Ejecutivo nacional.

DADA EN LA SALA DE SESIONES DEL CONGRESO ARGENTINO, EN BUENOS AIRES, A LOS VEINTITRES DIAS DEL MES DE JULIO DEL AÑO DOS MIL VEINTE.

REGISTRADA BAJO EL N° 27553

CLAUDIA LEDESMA ABDALA DE ZAMORA - SERGIO MASSA - Marcelo Jorge Fuentes - Eduardo Cergnul

e. 11/08/2020 N° 31753/20 v. 11/08/2020

Fecha de publicación 11/08/2020

Executive Order on Addressing the Threat Posed by WeChat

 Esta es la orden dictada por Trump respecto a Wechat. Cualquier similitud con el caso Schrems II, es pura coincidencia...

Executive Order on Addressing the Threat Posed by TikTok

 Este es el texto de la medida o decreto dictada por Trump respecto a Tik Tok

COMISIÓN ASESORA EN MATERIA DE LUCHA CONTRA EL CIBERDELITO

 

MINISTERIO DE SEGURIDAD SUBSECRETARÍA DE INVESTIGACIÓN CRIMINAL Y COOPERACIÓN JUDICIAL

Disposición 655/2020

Que la Ley de Ministerios (T.O Decreto N° 438/92) y sus modificatorias asigna al MINISTERIO DE SEGURIDAD la competencia de entender en la determinación de los objetivos y políticas del área de su competencia; ejecutar los planes, programas y proyectos del área de su competencia elaborados conforme las directivas que imparta el PODER EJECUTIVO NACIONAL.

Que la citada ley, también faculta al MINISTERIO DE SEGURIDAD a entender en la determinación de la política criminal y en la elaboración de planes y programas para su aplicación, así como para la prevención del delito.

Que el Anexo II del Decreto N° 50, del 19 de diciembre de 2019, establece que la SUBSECRETARÍA DE INVESTIGACIÓN CRIMINAL Y COOPERACIÓN JUDICIAL de la SECRETARÍA DE SEGURIDAD Y POLÍTICA CRIMINAL deberá desarrollar y planificar actividades de investigación de delitos complejos, con especial atención entre otros a los ciberdelitos y delitos informáticos. Asimismo, deberá coordinar la aplicación de políticas, estrategias y acciones para la prevención y conjuración de los delitos federales con las áreas competentes del MINISTERIO DE SEGURIDAD, y de otras dependencias y con los gobiernos provinciales y de la CIUDAD AUTÓNOMA DE BUENOS AIRES, brindando asistencia técnica y generando espacios de discusión, trabajo conjunto e intercambio de información.

Comunicados y opiniones del caso Schrems II

El caso Schrems II al invalidar el Acuerdo del Privacy Shield que había reemplazado al anulado Safe Harbour generó una importante serie de opiniones, notas y comunicados que puso nuevamente en actualidad la cuestión de las transferencias internacionales de datos personales.


Unión Europea

EDPS statement

EDPB (FAQs sobre Schrems II PDF)

EDPB statement

EDPB 20/7/2020

DPC Irlanda (primer statement)

CNIL

AEPD

Alemania



Estados Unidos

Comunicado del Departamento de Comercio de EEUU

FAQ del Departamento de Comercio de EEUU

Blogs y artículos

IAPP (Caitlin Fenessy)

Lawfare (Peter Wire)

Privacy Academy (Daniel Solove)

Teach privacy (Daniel Solove).

Dataguidance (listado de DPAs)

European Law Blog (Theodore Christakis)

Hogan Lovels 
Jones Day

Hunton

Paul Hastings

Baker

Baker Roundatable

JDSUPRA

National Law Rev.

IAPP (October 2017)

NOYBEU

Blog de Ian Brown

Documentos del juicio Schrems II

Opinion del AG

Sentencia Schrems II

Documento del Privacy Shield anulado

Escrito presentado por EDPB en la Corte

Caso Schrems II TJUE (version español)

ECLI:EU:C:2020:559

Edición provisional

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)

de 16 de julio de 2020 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8 y 47 — Reglamento (UE) 2016/679 — Artículo 2, apartado 2 — Ámbito de aplicación — Transferencias de datos personales a terceros países con fines comerciales — Artículo 45 — Decisión de adecuación de la Comisión — Artículo 46 — Transferencias mediante garantías adecuadas — Artículo 58 — Facultades de las autoridades de control — Tratamiento de los datos transferidos por parte de las autoridades públicas de un tercer país con fines de seguridad nacional — Apreciación de la adecuación del nivel de protección garantizado en el país tercero — Decisión 2010/87/UE — Cláusulas tipo de protección para la transferencia de datos personales a terceros países — Garantías adecuadas ofrecidas por el responsable del tratamiento — Validez — Decisión de Ejecución (UE) 2016/1250 — Adecuación de la protección garantizada por el Escudo de la Privacidad Unión Europea-Estados Unidos — Validez — Reclamación de una persona física cuyos datos fueron transferidos de la Unión Europea a Estados Unidos»

En el asunto C‑311/18,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por la High Court (Tribunal Superior, Irlanda), mediante resolución de 4 de mayo de 2018, recibida en el Tribunal de Justicia el 9 de mayo de 2018, en el procedimiento entre

Data Protection Commissioner

y

Facebook Ireland Ltd,

Maximillian Schrems,

con intervención de:

The United States of America,

Electronic Privacy Information Centre,

BSA Business Software Alliance Inc.,

Digitaleurope,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

Caso Schrems II TJUE (inglés)

ECLI:EU:C:2020:559

JUDGMENT OF THE COURT (Grand Chamber)

16 July 2020 (*)

(Reference for a preliminary ruling — Protection of individuals with regard to the processing of personal data — Charter of Fundamental Rights of the European Union — Articles 7, 8 and 47 — Regulation (EU) 2016/679 — Article 2(2) — Scope — Transfers of personal data to third countries for commercial purposes — Article 45 — Commission adequacy decision — Article 46 — Transfers subject to appropriate safeguards — Article 58 — Powers of the supervisory authorities — Processing of the data transferred by the public authorities of a third country for national security purposes — Assessment of the adequacy of the level of protection in the third country — Decision 2010/87/EU — Protective standard clauses on the transfer of personal data to third countries — Suitable safeguards provided by the data controller — Validity — Implementing Decision (EU) 2016/1250 — Adequacy of the protection provided by the EU-US Privacy Shield — Validity — Complaint by a natural person whose data was transferred from the European Union to the United States)

In Case C‑311/18,

REQUEST for a preliminary ruling under Article 267 TFEU from the High Court (Ireland), made by decision of 4 May 2018, received at the Court on 9 May 2018, in the proceedings

Data Protection Commissioner

v

Facebook Ireland Ltd,

Maximillian Schrems,

Me puede obligar a desbloquear mi teléfono móvil en un caso penal?

La Corte Suprema de Indiana (USA) declaró que era ilegal la orden de desbloquear un teléfono celular en un caso.

Fallo del tribunal de indiana - Seo v. State of Indiana

Amicus de la EFF en el caso

Nota de la EFF sobre el caso



Pennsilvania

Commonwealth v. David

Protocolo General para la Prevención Policial del Delito con Uso de Fuentes Digitales Abiertas

RESOLUCIÓN 144/20. “CIBERPATRULLAJE”. Comisión de Libertad de Expresión.

Cámara de Diputados

Esta tarde la comisión de Libertad de Expresión realizó una reunión informativa a los efectos de abordar la resolución 144/20 del Ministerio de Seguridad, mediante la cual se aprueba el Protocolo General para la Prevención Policial del Delito con Uso de Fuentes Digitales Abiertas.  

En un comienzo estaba previsto que participe del encuentro la Ministra de Seguridad de la Nación, la Dra. Sabina Frederic. Sin embargo, no estuvo presente. Desde el oficialismo sostuvieron que la Presidencia de la Cámara baja entendió que el asunto en agenda está por fuera de las competencias de la comisión de Libertad de Expresión y que, en todo caso, debería discutirse en el marco de la comisión de Seguridad Interior.

Sin embargo, el interbloque Juntos por el Cambio aseguró haber sometido la cuestión ante la Relatoría Especial para la Libertad de Expresión de la Comisión Interamericana de Derechos Humanos (CIDH), la cual reafirmó la vinculación del “ciberpatrullaje” con el derecho a la libertad de expresión. Asimismo, los diputados de la oposición destacaron que no fueron convocados a participar de la discusión del protocolo para limitar y controlar el rol de las fuerzas de seguridad en las redes sociales. En respuesta, los diputados del interbloque Frente de Todos acusaron a Juntos por el Cambio de mantener un doble discurso y solicitaron discutir el espionaje ilegal. También propusieron realizar una reunión conjunta de la comisión de Seguridad Interior con Libertad de Expresión, de la cual participe Frederic. 

Sin embargo, los diputados dieron por finalizada la reunión sin haber alcanzado un acuerdo. 

FUENTA Agencia FOIA

Controversial Fake News Bill could setback privacy protections for Brazilians

José Alejandro Bermúdez

Former Colombian Data Protection Superintendent

Partner, Bermudez Durana Abogados

Pablo A. Palazzi

Director of CETYS, Center of Law & Society, San Andres University

Partner, Allende & Brea (Argentina)

Brazil gave a huge and long-awaited step in 2018 with the enactment of its long overdue LGPD: a comprehensive GDPR inspired piece of legislation that has become one of the most anticipated privacy regulations in the world. The impact of regulation in Brazil is massive and has enormous consequences for both its more than 200 million citizens and organizations operating in the country.

Brasil - Problemático proyecto de Fake news que incluye normas sobre retención de datos de tráfico, data localization y registro de usuarios de redes sociales

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Esta Lei estabelece normas, diretrizes e mecanismos de transparência para provedores de redes sociais e de serviços de comunicação interpessoal a fim de garantir segurança, ampla liberdade de expressão, comunicação e manifestação do pensamento.

Parágrafo único. O disposto no caput aplica-se, inclusive, aos provedores de redes sociais e de serviços de comunicação interpessoal sediados no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.

Uruguay Recomendaciones para el control de temperatura ante la situación de emergencia sanitaria nacional

La emergencia sanitaria declarada por el Decreto N° 93/020, de 13 de marzo de 2020, y derivada de la pandemia del coronavirus (COVID-19), ha generado en múltiples actores la necesidad de emplear diversas técnicas para salvaguardar la seguridad y salud de las personas, y de la sociedad en general.

Francia - El Consejo de Estado francés confirma la multa de la CNIL a Google por 50 millones de Euros

Texto de la decisión que confirma la sanción a Google. PDF

Reclamo de La Quadrature du Net. PDF.

CONSEIL D'ETAT statuant au contentieux        

N° 430810

SOCIÉTÉ GOOGLE LLC

Séance du 12 juin 2020

Lecture du 19 juin 2020

REPUBLIQUE FRANÇAISE AU NOM DU PEUPLE FRANÇAIS

Le Conseil d'Etat statuant au contentieux (Section du contentieux, 10ème et 9ème chambres réunies)

Francia - portales de internet y expresiones de odio

Sentencia del Consejo Constitucional Francés declarando inconstitucional regulaciones que exigían a los portales de Internet bajar contenidos denunciados como expresiones de odio con la sola denuncia, considerándolo contrario a la libertad de expresión.

Limitación territorial a las cautelares de jueces argentinos

En el 2019 Cámara Federal Penal intervino por primera vez, en un caso por una fake news:

le ordenó a Google que retirara los resultados de búsqueda referidos a la supuesta
detención en México de un hijo de Elisa Carrió.

El tribunal confirmó una medida cautelar que había sido dispuesta por la jueza federal María Romilda Servini contra Google LCC. Como parte de su investigación, la magistrada había confirmado que la noticia, que circuló por la web, era falsa. El caso llegó a la Cámara cuando la compañía pidió la nulidad de esa cautelar. Cuestionó que la medida se hubiera dispuesto contra el buscador y no contra "los portales de noticias responsables de la publicación". En el recurso Google alegó que la compañía "solo es una herramienta para lograr la localización de sitios web existentes en internet" y sostuvo que el fallo de la jueza la había dejado en "una posición permanente de árbitro y censor que resulta incorrecta". Sostuvo como siempre lo hace que no es "autor ni editor ni proveedor de alojamiento de contenido de los sitios de internet", sino un mero intermediario como lo reconoce el caso de la Corte Belen Rodriguez. El tribunal de apelaciones confirmó liminarmente la cautelar, siendo el primer caso de fake news de argentina a nivel penal.

En el 2020 se requirió que la cautelar se ampliara a otros sitios y en primera instancia se extiende la cautelar sitios extranjeros. Google apela y la cámara hace lugar al recurso de Google. Según informa Matias Werner de Diario Judicial, la Cámara Federal hizo lugar al planteo de Google contra la ampliación de una medida cautelar para el bloqueo de enlaces de sitios en el extranjero. El fallo advirtió los riesgos de otorgar a los jueces la potestad de remover “los contenidos que pueden ser hallados y leídos en internet por los habitantes de todo el mundo”.

Se sostuvo que “la pretensión de extender la ampliación de una medida cautelar respecto de dominios o servicios sujetos a ley extranjera, implicaría no sólo convalidar un quebrantamiento del marco legal vigente en los países en los que esa orden fuera impartida, sino también una aceptación implícita de otorgar a un magistrado- en este caso argentino- la potestad de decidir los contenidos que pueden ser hallados y leídos en internet por los habitantes de todo el mundo”.

CHILE Ley 21.236 sobre Portabilidad Financiera es publicada en el Diario Oficial

El congreso chileno aprobó la ley 21.236 sobre Portabilidad Financiera, la que es publicada en el Diario Oficial del 10 de junio de 2020.

PDF

Uruguay - fallo considera relación laboral entre chofer y Uber

Texto de la camara de apelaciones de la decisión judicial que considera relación laboral entre el chofer y Uber.

Fallo de primera instancia.

Pedido de acceso a datos personales del App CuidAr

Hice un pedido de acceso a mis datos personales invocando la ley 25.326, lo mandé al mail que figura en la política de privacidad del App CUIDAR.

La respuesta inicial fue que me tenia que identificar a través del sistema del TAD así que volví a presentar el pedido via TAD. Me dijeron que "le solicitamos que, a fin de verificar su identidad y atento que se trata de Datos Personales y de información sensible, puede ingresar la mencionada solicitud por la MEV, “Mesa de entradas virtual - Secretaría de Innovación Pública”...

Esto esta bien pues el pedido de acceso requiere que el titular del dato se identifique, para que un tercero no acceda a mis datos. Pero el decreto reglamentario te permite acceder de diversos modos y el Estado no debería imponerte un solo modo de acceso.

Así que presente una segunda nota del mismo tenor. Esta es la nota con mi pedido de acceso

https://drive.google.com/file/d/1Tx_xOT83UPC9ZIDGQlOXE3mu5mKiV1AI/view?usp=sharing


Y esta es la respuesta que recibí el 3 de junio de 2020 (redacté algunos datos personales).

https://drive.google.com/file/d/1AAJ6qdWkhUzrSSZrC0vthSfIY82E2oQG/view?usp=sharing

El app registra latitud, longitud y altitud (????) cuando uno se "loguea" por primera vez. Solo me dieron estos datos.

Al app la use los fines de semana cuando caminaba con mis hijos, con la geolocalización activada en el celular, pero eso se ve que no registran en tiempo real la geolocalización o no me dieron acceso.

Mediante una norma el gobierno publico que datos recopilan. Pero eso cambia semana a semana porque ahora el app registra el la SUBE tambien... Ademas una norma que aprobaron los autoriza a cruzar datos de cualquier parte del estado....

Res. 144 del Min. de Seguridad - Protocolo General Para la Prevenión Policial del Delito con uso de Fuentes Digitales Abiertas

Norma anterior derogada por esta.

Ciudad de Buenos Aires, 31/05/2020

VISTO el Expediente EX-2020-31145951- -APN-UGA#MSG del registro del MINISTERIO DE SEGURIDAD, el Decreto N° DECNU-2020-260-APN-PTE del 12 de marzo de 2020 y su modificatorio, la Resolución de la ex SECRETARÍA DE SEGURIDAD N° RESOL-2018-31-APN-SECSEG#MSG del 26 de julio de 2018, la Resolución de la COMISIÓN INTERAMERICANA DE DERECHOS HUMANOS (CIDH) N° 1 del 10 de abril de 2020 sobre Pandemia y Derechos Humanos en las Américas, la Ley N° 27.411 —por la que se aprueba el CONVENIO SOBRE CIBERDELITO del CONSEJO DE EUROPA, adoptado en la Ciudad de BUDAPEST, HUNGRÍA, el 23 de noviembre de 2001—, el Estatuto de la Policía Federal aprobado por el Decreto N° 333 del 14 de enero de 1958 y sus modificaciones, la Ley de Seguridad Aeroportuaria N° 26.102, la Ley de Gendarmería Nacional N° 19.349 y sus modificatorias, la Ley General de la Prefectura Naval Argentina N° 18.398 y sus modificatorias, la Ley N° 23.849 —por la que se aprueba la CONVENCIÓN SOBRE LOS DERECHOS DEL NIÑO, adoptada por la ASAMBLEA GENERAL DE LAS NACIONES UNIDAS en NUEVA YORK (ESTADOS UNIDOS DE AMÉRICA) el 20 de noviembre de 1989, y que goza de jerarquía constitucional en virtud del artículo 75, inciso 22, de la CONSTITUCIÓN NACIONAL—, la Ley de Protección de Datos Personales N° 25.326 y sus normas reglamentarias, la Ley de Seguridad Interior N° 24.059 y sus modificatorias, la Ley N° 18.711, la Ley Nacional de Protección Integral de los Derechos de las Niñas, Niños y Adolescentes Nº 26.061, y

Nuevo fallo de defensa del consumidor sanciona a plataforma online

La Sala Civil del Tribunal Superior de Justicia de Córdoba ha dictado un fallo en el cual confirmó la sanción administrativa (multa y publicación de la resolución en un diario local) aplicada por la Dirección General de Defensa del Consumidor y Lealtad Comercial de la provincia a la empresa Mercado Libre.

Texto de la decisión del STJ de Córdoba.

Uruguay - Requisitos para el nombramiento del DPO - Resolución N° 32/020 de la URCDP

Contenido:

CONSEJO EJECUTIVO DE LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES

Montevideo, 19 de mayo de 2020

VISTO: La necesidad de especificar las condiciones para la designación de Delegados de Protección de Datos.

RESULTANDO:

I. Que corresponde clarificar algunos aspectos vinculados a las condiciones para la designación, y los mecanismos para la inscripción de los delegados de protección de datos personales previstos en el artículo 40 de la Ley N° 19.670, de 17 de octubre de 2018.

CONSIDERANDO:

I. Que el artículo 12 del Decreto N° 64/020, de 20 de febrero de 2020 establece en su inciso primero una serie de condiciones para el desempeño de las funciones de los delegados, las que deberán acreditarse.

TJUE: Una firma escaneada no es una firma electrónica

AUTO DEL TRIBUNAL GENERAL (Sala Quinta)

de 14 de febrero de 2019 (*)

«Indicaciones geográficas protegidas — Escrito de interposición del recurso — Incumplimiento de los requisitos de forma — Falta de firma manuscrita — Firma escaneada — Inadmisibilidad manifiesta»

En el asunto T‑709/18,

Asociación de fabricantes de morcilla de Burgos, con domicilio social en Villarcayo (Burgos), representada por el Sr. J. Azcárate Olano y la Sra. E. Almarza Nantes, abogados,

parte demandante,

contra

Comisión Europea,

parte demandada,

que tiene por objeto un recurso basado en el artículo 263 TFUE por el que se solicita la anulación del Reglamento de Ejecución (UE) 2018/1214 de la Comisión, de 29 de agosto de 2018, por el que se inscribe una denominación en el registro de denominaciones de origen protegidas y de indicaciones geográficas protegidas [«Morcilla de Burgos» (IGP)] (DO 2018, L 224, p. 3),

EL TRIBUNAL GENERAL (Sala Quinta),

Trump vs. Twitter

By the authority vested in me as President by the Constitution and the laws of the United States of America, it is hereby ordered as follows:

Section 1.  Policy.  Free speech is the bedrock of American democracy.  Our Founding Fathers protected this sacred right with the First Amendment to the Constitution.  The freedom to express and debate ideas is the foundation for all of our rights as a free people.

Fallo colombiano admite acción de tutela por plataforma online de covid

La Alcaldía de Medellin (Colombia) sacó una plataforma online denominada "Medellin me cuida" donde se recopilaban datos de salud de los ciudadanos con fines de detectar posibles pacientes de coronavirus. Una persona presentó una acción de tutela (nuestro amparo) y el tribunal hizo lugar al reclamo minimizando la recolección de ciertos datos de salud.

En su parte pertinente el fallo dice:

De lo anterior se desprende que en primera medida va dirigido a mitigar las dificiles circunstancias en las que se encuentran las familias más vulnerables del área metropolitana y de los municipios aledaños, y de manera muy génerica se indica que se pretende obtener datos para gestionar los efectos producidos por la enfermedad COVID 19. Debe precisarse que no se está haciendo claridad a los ciudadanos para qué se usarán sus datos, pues conforme a la Ley Estatutaria 1581 de 2012, la finalidad es uno de los principios rectores respecto del trato de las bases de datos pues se debe tratar de una finalidad legítima de acuerdo con la Constitucion y la ley, esto es, el objeto de registrar cada uno de los datos, lo que no se encuentra suficientemente justificado en términos de gestionar o mitigar los efectos producidos por el virus.

Es decir que el juez no entiende que la finalidad declarada en los términos de uso justifiquen la recolección de esos datos. Esto se refuerza mas adelante cuando la misma sentencia dice, invocando la ley colombiana de datos personales que:

"...no se tienen claras las finalidades de la recepción de cada uno de los datos que son requeridos, por lo que se incumple con el principio de finalidad, siendo un derecho esencial del ciudadano el conocer el uso que se le dará a los mismos, pues pese a que efectivamente nos encontramos en uno de los casos en los que no es necesaria la autorización conforme al artículo 10 de la Ley Estatutaria 1581 de 2012, por tratarse de un asunto de urgencia médica o sanitaria, lo cierto es que el inciso final de dicho artículo también indica que “quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley”, de manera que es claro que la regulación de la administración de datos debe cumplir con lo preceptuado en dicha Ley, con mayor razón si se considera que es la propia ciudadana quien debe de suministrar sus datos".

Gracias a José Alejandro Bermudez por la información.

Texto del fallo