Nueva norma de fiscalización de la AAIP

La AAIP dictó el último día del año 2020 una guía de inspección para auditar empresas, con dos anexos.

Argentina - Corte Suprema delimita acceso a la información pública y secreto fiscal

Se publica un muy interesante fallo de la CSJN. Se trata del caso "Olivera Gustavo" fallado el 12/11/2020 sobre acceso información pública respecto a la fiscalización pedida a AFIP a partir de una denuncia que hizo el presentante. Es la primera vez que veo que la CSJ comienza a discriminar con precisión en materia tributaria lo que esta amparado por secreto fiscal y lo que no. El fallo tiene impacto en el habeas data y en cuestiones de acceso bajo la ley 25.326.

La agencia de datos personales de Colombia publica el documento Guía para el Tratamiento Adecuado de las Fotografías como Datos Personales

 La agencia de datos personales de Colombia publica una guía sobre uso adecuado de fotos.

Argentina - Presentan proyecto de ley de datos personales

En noviembre de 2020 ingresó un Proyecto de ley sobre protección de datos personales. El objetivo de este proyecto es reemplazar la vetusta ley 25.326 que ha cumplido 20 años. Como dice el tango, 20 años no es nada, pero en tiempos de Internet me parece que es mucho. La ley 25.326 quedó anticuada por el cambio tecnológico y el cambio normativo de estándares internacionales como el Europeo (hace dos años entró en vigencia el RGPD).

El proyecto fue girado a las Comisiones de Asuntos Constitucionales, Justicia, Legislación General y Presupuesto y Hacienda. Los autores son: Karina  Banfi (UCR - Buenos Aires), Mario Negri (UCR - Córdoba) y otros. El proyecto fue elaborado por la oposición al actual gobierno. Imagino que el oficialismo presentará su propio proyecto.

El proyecto tiene fuertes similitudes con la versión presentada por la AAIP hace unos años y que se inspiraba en el RGPD europeo. Fue un proyecto que se trabajó con mucho consenso de la academia y del sector privado.

Algunas diferencias con el proyecto anterior de la AAIP son importantes y las resaltamos mas abajo. 

Ahora señalo algunas cosas buenas y otras malas que tiene el proyecto:

Principios generales

- datos biométricos - no son considerados datos sensibles.

- sigue el consentimiento tácito, que en materia de Internet en algunos casos parece lógico pero va a ser problemático interpretarlo. Y puede ser materia de abusos... 

- se introduce el interés legítimo que no esta en la ley 25.326, muy positivo, pero va a implicar pensar de otro modo el derecho de los datos personales luego de basarnos por dos décadas en el consentimiento.

- no veo temas de IA, algoritmos, y transparencia en materia de procesamiento de datos personales. Tampoco hay nada de covid19 a la pandemia.

- en materia de DPO, parece que muy pocos casos lo van a tener que nombrar (y esas empresas ya tienen uno aunque la ley no lo establezca!), esto va en contra de la difusión de la cultura de la protección de datos personales.

Ciberseguridad

Creo que hay muchas cosas para hacer, se copia parte del GDPR y se lo mezcla con lo que está actualmente contemplado en la ley 25.326, pero se puede mejorar. Para empezar, poner a cargo de todos los proveedores de servicios informáticos (no solo los que tienen datos personales), la obligación legal de seguridad. Es decir que este deber no recae  sólo en cabeza del responsable y del encargado del tratamiento sino también de quien instala un app, un firewall, o quien vende un antivirus. Y estos estándares  deben ser obligatorios, si no no sirven, y nadie se toma la molestia (y el gasto) de implementarlos. Es que hoy en día en Internet la ciberseguridad es algo colectivo, como el medioambiente. Si no cuidas tus datos, otros sufren las consecuencias. Una reciente comparación entre las normas de la 47 del 2018 y los estándares mas reconocidos de la industria muestra que no estamos tan mal en materia de reglas, pero la norma de la AAIP no es obligatoria, debería ser obligatoria por ley, con una delegación a la AAIP para actualizar los estándares. 

Asimismo, respecto el Estado, disponer que los titulares de datos tenemos que ser informados de qué sucede con la seguridad de nuestros datos. Del hacking a Migraciones, a Vialidad, a la Policía Federal (que ni siquiera se dignó a responder el pedido de la AAIP), etc. nos enteramos por los diarios, pero ninguna entidad del Estado tuve la delicadeza de avisarnos. Mas bien lo esconden o se niegan a informar esto, debería ser obligatorio que informen aunque sea vía web. 

A modo de ejemplo de lo que digo, hace poco le pedí a Migraciones que me de acceso a mis datos personales y las normas de seguridad que habría implementado  y me contestó con generalidades, pero lo mas sorprendente es me respondieron que los datos que tiene son confidenciales, invocando el decreto reglamentario de la ley de migraciones.

Outsourcing

Se repite el mismo error del proyecto anterior que es tratar la tercerización de datos personales o outsourcing en dos normas dentro del proyecto. Los arts. 26 y 39 tratan con redacción diferente el mismo instituto. En todo el derecho comparado esto se trata de una sola forma en una sola norma. La solución no se da borrando uno de los artículos sino amalgamando ambos, pues ambos tienen cosas interesantes. En el art. 39 hay que borrar lo de los dos años. No da borrar cada dos años los datos. Por otra parte deberíamos tomar como modelo de este tema el GDPR o la normativa española que lo implementa que es mas completa aun.

Informes comerciales

En materia de informes comerciales -tema central para el desarrollo del mercado crediticio- se establece que todo tiene que pasar por el BCRA. Esto es un error, porque actualmente es al revés, no todo pasa por el BCRA, sino que las empresas de informes comerciales toman datos públicos del BCRA que es fuente pública y los republican, además de compartir datos entre los bancos. Además es un error que todo pase por el BCRA porque existen deudas no financieras, que no tienen nada que ver con el BCRA. Por otra lado es una forma innecesaria de obligar al Estado, en este caso al BCRA a intermediar en algo que no le compete.

Revisión judicial de sanciones

Se  sigue con la idea de que no haya recurso de Alzada, tal vez con la idea de dotar de más independencia a la AAIP, y que solo tenga revisión judicial con un recurso directo ante una cámara de apelaciones. Esto parte de una visión de que el Convenio 108 y su protocolo  (Argentina fue el país n. 33 en suscribirlo) así lo exigirían. El Convenio no dice expresamente eso, pero a veces en aras a dotar de mas independencia a las agencias se hacen esas cosas.

Multas

Esta es un tema importante, sin multas importantes, la espada de la ley no tiene filo, no pincha ni corta. Actualmente la multa máxima en la ley 25.326 es de 100,000 pesos, que al cambio en USD da una cifra muy baja de usd 625, sobre todo para las tecnológicas. El proyecto propone atarlo al salario mínimo, vital y móvil (a dic. 2020 es $20.587).  El máximo son 5925 unidades de este salario o 2% del volumen de negocio total anual global del ejercicio anterior, lo que sea mayor. Si se trata de una empresa extranjera, lo segundo va a ser siempre mayor. El resultado del máximo arroja aproximadamente 121 millones de pesos que en dólares da 762,000.

Otro problema actual es que la revisión (lenta) de la multa por la vía judicial, hace que la misma no se cobre nunca. Cuando llega el momento de cobrarla, con varios años de litigio la multa es muy baja. A modo de ejemplo, citamos el caso de la empresa que operaba Globinfo cuya razón social es Open Discovery SA.  La sanción de la DNPDP es del año 2009, el fallo de la justicia (aun no está firme) confirmatorio del acto administrativo sancionatorio es de octubre 2020, es decir que pasaron 11 años. Cuando la sanción quede firma posiblemente pasen 12 o 13 años. Con la inflación que tiene Argentina la multa de pesos 50.001 ahora no es nada... y es una invitación a infringir.

Esto el proyecto lo soluciona con una recurso directo a la cámara de apelaciones, con lo cual no hay revisión del acto administrativo en primera instancia. Pero igualmente el tema de las multas efectivas requiere una mirada especial para que la ley no pierda fuerza.

Acción de habeas data

La acción de habeas data cambia respecto a la ley 25.326. Se le da una redacción al estilo del amparo en el art. 71, lo que no la hace tan clara, preferiría algo mas directo y puntual (un buen ejemplo es la ley procesal de la Pcia de Bs As.). Asimismo se crea una legitimación colectiva, pero no es muy claro su alcance, la redacción podría ser mejor.

- otra vez se comete el error de invitar a las provincias a adherir ¿a adherir a que? La Constitución Nacional claramente delimita las facultades de la Nación y las provincias. Las normas de fondo son nacionales, las normas procesales y de derecho público son provinciales. No da adherir a una norma de otro rango, mala práctica si es la praxis. La Nación no va a adherir a algo hecho en una provincia, y las provincias no deberían adherir a algo nacional (para algo tienen legisladores provinciales), las provincia deberían respetar su propia autonomía y legislar cuando les corresponde.

Padres pueden revisar telefono movil de los hijos menores de edad

 Fallo

Reforma a la ley de videovigilancia de la Ciudad Autónoma de Buenos Aires

La Legislatura de la Ciudad Autónoma de Buenos Aires modificó la Ley 5.688 que regula el Sistema Público Integral de Video-Vigilancia en la Ciudad Autónoma de Buenos Aires. 

El principal propósito de la reforma es el establecimiento de ciertos límites a la implementación de los sistemas de video-vigilancia pueda poseer, motivando la equidad y garantizando el derecho a la privacidad mediante el uso de estos sistemas.  En este sentido, se modifican los artículos 478,480, 483, 484 y 490 de la Ley 5.688 y se incorpora el artículo 480 bis. 

Dentro de las modificaciones más relevantes se establece que el Sistema de Reconocimiento Facial de Prófugos será empleado únicamente para tareas requeridas por el Ministerio Público Fiscal, el Poder Judicial de la Nación, Provincial y de la Ciudad Autónoma de Buenos Aires, como para la detención de personas buscadas por orden judicial registradas en la Base de Datos de Consulta Nacional de Rebeldías y Capturas (CONARC). Encontrándose prohibida la posibilidad de incorporar imágenes, datos biométricos y/o registros de personas que no se encuentren registradas en dicha base de datos. 

Asimismo, en relación con la información obtenida por medio de las grabaciones, se prohíbe tanto la cesión como la copia o modificación de las grabaciones para entregarlas a los medios de difusión audiovisual y/o gráficos. 

Ver texto de la reforma.

sncionan a Open discovery S.A. por violar la ley 25.326

 Buenos Aires, 15 de octubre de 2020

Y VISTOS:

Para sentencia los autos indicados, de los que

RESULTA:

1) A fs. 2/44 se presenta la firma Open Discovery SA, por apoderada y promueve demanda contra el Estado Nacional - Ministerio de Justicia de la Nación - Dirección Nacional de Protección de Datos Personales (DNPDP. en adelante), a fin de solicitar la declaración de nulidad de la Disposición de fecha 22 de abril de 2009, dictada por la Dirección Nacional de Protección de Datos Personales dentro del Expte Nro. 161.423/2007 en cuanto le impuso una multa de $ 50.001 y ordenó la clausura de todas las bases de datos utilizadas para elaborar el informe “Globinfo”.

Refiere que dicha firma brinda servicios de información en el marco de lo normado por la ley 25.326, elaborando informes comerciales y de localización de paraderos y que la DNPDP, en el marco del Expte Nro. 156.925/06 efectuó un minucioso análisis de todas y cada una de las páginas que por aquel entonces integraban el sitio Globinfo.com, concluyendo en la Nota DNPDP Nro. 97 del 26/1/07 que si bien el tratamiento de datos personales realizado no era en principio contrario a la legislación de protección de datos personales, debería cumplir con el requisito de licitud de la inscripción en el Registro Nacional de Bases de Datos.

Explica que su parte acogió tal resolución, que quedo firme, existiendo por tanto un derecho subjetivo para realizar la actividad, que es ni más ni menos que el corolario constitucional de ejercer industria licita; que, al consentir lo resuelto, su parte solicitó y obtuvo de la DNPDP la inscripción de sus bases de datos y que ello se reflejó en el dictado de un nuevo acto administrativo que quedó firme y que ratificaba que el tratamiento de datos realizado era licito.

Señala que, no obstante los actos administrativos firmes reseñados; la DNPDP trastocó por completo su criterio e incurriendo en manifiestos errores de derecho y arbitrariedades, concluyó dictando la Disposición de fecha 22/4/09 del Expte Nro. 161.423/07 cuya declaración de nulidad aquí solicita.

Explica que dicha resolución juzgó ilegal lo que antes había expresamente considerado como legal y que , en base a ello, impuso una multa de $ 50.001 y le ordenó la clausura de las bases de datos con las que se elabora el informe “Globinfo”; que dicha resolución administrativa fue recurrida mediante revocatoria con jerárquico en subsidio y que este último recurso fue denegado por el Sr. Ministro de Justicia, habiendo quedado notificada la denegatoria el día 13 de agosto de 2010, por lo que la presente demanda es promovida dentro del plazo previsto por el art. 25 de la ley 19.549,

Sostiene que la DNPDP tuvo ante sus ojos la totalidad de las constancias relativas al informe Globinfo y que luego de eso, dio su visto bueno y que así lo demuestran las impresiones hechas de todas y cada una de las páginas del sitio www.globinfo.com.ar, pues a fs. 2 de dichas actuaciones obra el informe modelo Globinfo Argentina , que contiene los campos de información que luego la DNPDP decidió improcedentes: POSIBLES FAMILIARES, POSIBLES PADRES, POSIBLE ESPOSA, POSILES VECINOS, señalando que los campos de “posibles familiares” y “posibles vecinos” resultaron luego el motivo de disputa, sosteniéndose que no procederían en un informe comercial.

Entiende que el acto cuya nulidad persigue se dictó en contradicción con el acto administrativo contenido en la Nota Nro. 97 del Expte. Nro. 156.925/06, modificando un criterio anterior y sancionándola por no ajustarse al criterio presentado en esa misma resolución.

Considera que el organismo tendría que haberla convocado a una audiencia, con el fin de comunicar con claridad cuál era su visión sobre el tema, sus recomendaciones y guía, pero con su accionar, la DNPDP echó a perder literalmente años de tiempo a todos los involucrados, concluyendo con una sanción injusta y arbitraria que merece revocarse porque se funda en una supuesta infracción que consiste en la violación de un criterio expresado en la misma disposición por la que se la sanciona y contradictoria con los actos y declaraciones previas del organismo de contralor.

Señala que existe cosa juzgada administrativa

Cierra el petitorio del escrito inicial solicitando que se declare la nulidad del acto administrativo impugnado, absolviéndosela de todo cargo y sanción.

Ofrece prueba, funda en derecho y formula reserva del caso federal.

2) A fs. 117/127 se presenta -por apoderados- el Estado Nacional - Ministerio de Justicia y Derechos Humanos- Dirección Nacional de Protección de Datos Personales y contesta la demanda.

Luego de una negativa genérica y particular, refiere que no ha existido un cambio de criterio de la Administración, sino que se ha procedido a inscribir la base de datos, por un lado, y una vez advertido -por varias denuncias efectuadas por terceros- que el tratamiento de datos realizados para elaborar el informe Globinfo y el propio informe (por su contenido) vulneraban el principio de calidad del dato contemplado en la Ley Nro. 25.326 y los requisitos del artículo 26 de la misma norma, se procedió a requerir la reformulación del mismo, de manera que cumpliera con lo que exige la normativa citada.

Explica que el requerimiento cursado a la actora y su posterior inscripción para cumplir con la licitud requerida por el artículo 3 de la Ley Nro. 25.326, no constituyen actos cuya naturaleza jurídica y efectos la Administración no pueda revisar, ya que no producen derechos adquiridos, ni hacen cosa juzgada que impida al órgano de control una revisión de los exámenes efectuados anteriormente.

Destaca que en la estructura funcional de la DNPDP existe el Departamento de Investigación e Información, cuya función es advertir las anomalías en el tratamiento de datos personales que efectúan los responsables de las bases de datos inscriptas, y que actúa de oficio o ante denuncias (como en la especie), que dan origen al procedimiento investigativo regulado por la norma específica.

Considera que, contrariamente a lo sostenido por la demandada, no existe un “sorpresivo cambio de criterio” ya que previamente se intimó a la actora a rectificar su conducta y esta respondió con reticencia a efectuar las modificaciones que se le requerían, negándose a reformular dicho informe, lo que dio lugar a la imposición de sanciones y que solo ante el hecho consumado del “bloqueo del sitio” a través del cual se suministraba el citado informe, Open Discovery SA procedió a reformularlo, el que finalmente, luego de varias observaciones y las consecuentes correcciones, mereció la aprobación de la DNPD, por ajustarse a la Ley Nro. 25.326.

Señala que en el expediente administrativo puede observarse que se encuentran agregadas las notas mediante las cuales se acredita la voluntad de la actora de acogerse al criterio sustentado desde un principio por la DNPD, lo que torna aplicable la teoría de los actos propios en que ha incurrido la accionante quien, luego de sostener indebidamente la existencia de cosa juzgada administrativa, posteriormente troca su criterio aceptando y cumpliendo en su totalidad las observaciones que desde el inicio del trámite se le hicieran, con lo cual, la cuestión ha devenido abstracta.

Por último, considera que la demanda debe ser rechazada en todas sus partes, con costas.

Ofrece prueba y formula reserva del caso federal.

3) A fs. 170 se proveyó la prueba ofrecida por las partes, a fs. 259 se ponen los autos para alegar en los términos del art. 482 del CPCCN, habiendo alegado la parte actora a fs. 264/271 y la parte demandada a fs.272/274.

A fs. 275 pasan los autos a dictar sentencia.

CONSIDERANDO:

I.-Previo a introducirme en el tratamiento de la cuestión de fondo, considero pertinente precisar cual es el objeto concreto de la presente demanda:

La actora, la firma Open Discovery SA solicita la declaración de nulidad de la Disposición de fecha 22 de abril de 2009, dictada por la Dirección Nacional de Protección de Datos en cuanto le impuso una multa de $ 50.001 y ordenó la clausura de todas las bases de datos utilizadas para elaborar el informe “Globinfo”.

Todo ello, dentro del marco del Expediente Administrativo Nro. 161.423/2007 del Registro de la DNPD, al cual le fueron acumulados los expedientes 161.818/07 y 158.875/07; se encuentra individualizado actualmente como CUDAP EXP- S04:0001021/2011 y fue acompañado en copias certificadas (conforme constancia obrante a fs. 106)

II.- De las actuaciones administrativas reservadas en Secretaría surge el siguiente estado de situación:

a) En fecha 30/8/07 la Defensoría del Pueblo de la Ciudad de Buenos Aires, en el marco de la Actuación Nro. 954/07 iniciada de oficio a fin de investigar la legalidad de la actividad desarrollada por la empresa de informes y datos crediticios y personales Globinfo Argentina (www.globinfo.com.ar) resolvió dar intervención a la DNPD, a fin de que conforme a su facultad establecida por el art. 29 de la Ley Nro. 25.326, proceda a investigar la posible infracción al art 15 inc 2 de la norma por parte de la empresa Globinfo Argentina ( razón social Open Discovery SA) cuyo sitio web es www.globinfo.com.ar y determine –de corresponder- las sanciones pertinentes (vide Resolución Nro 2608/07, obrante en folios 4/6 del CUDAP EXP- S04:0001021/2011)

b) En fecha 10/10/07 la DNPD cursó la Nota Nro. 792 dirigida a la firma Open Discovery SA poniendo en su conocimiento lo solicitado por la Defensoría del Pueblo de la Ciudad de Buenos Aires y que debía responderse en un plazo máximo de diez días (vide folios 7/16 del CUDAP EXP- S04:0001021/2011)

c) En fecha 29/10/07 la firma Open Discovery SA efectuó una presentación ante la DNPD, sosteniendo la ausencia de infracción al artículo 15, inciso 2 de la Ley Nro. 25.326 (vide folios 13/16 del CUDAP EXP- S04:0001021/2011)

d) En fecha 15/2/08 la DNPD emitió un Acta de Constatación señalando que el informe que emite la empresa Open Discovery SA incluye datos de “posibles familiares” y “posibles vecinos”, los cuales no son relevantes para evaluar la solvencia y el crédito del titular del dato ; que también se incumpliría con el interés requerido en el artículo 26, inciso 5 de la ley, al no constar la relación con el giro de las actividades comerciales o crediticias de los cesionarios, vulnerando el principio de calidad de los datos previsto por el artículo 4, inciso 1 de la ley 25.235 ya que no son pertinentes y resultan excesivos en relación al ámbito y finalidad para los que se hubieren obtenido y que si bien los datos pueden ser obtenidos sin el consentimiento del titular, se destinan a una finalidad distinta de la que originó su recolección original, lo que vulnera lo dispuesto por el art. 4 de la ley 25.326, por lo que el informe que emite la empresa Open Discovery SA encuadraría en una infracción muy grave, de acuerdo al punto 3 del Anexo I de la Disposición DNPD Nro. 7/05, que considera infracción muy grave y susceptible de aplicar una sanción de hasta SEIS ( 6) APERCIBIMIENTOS, SUSPENSION DE TREINTA Y UNO (31) a TRESCIENTOS SESENTA Y CINCO DIAS, CLAUSUSRA o CANCELACION DEL ARCHIVO, REGISTRO o BANCO DE DATOS y/o MULTA de PESOS CINCUENTA MIL UNO ( $ 50.001) a PESOS CIEN MIL ( $ 100.000.00) conforme la graduación prevista en el Anexo II de la antedicha Disposición, por lo que se citó y emplazó por el plazo de cinco días hábiles a Open Discovery SA (responsable de Globinfo) para que presente su descargo por escrito y ofrezca las pruebas que hagan a su derecho (vide Acta de Constatación obrante a folios 21/22 del CUDAP EXP- S04:0001021/2011)

e) En los folios 47/66 del CUDAP EXP- S04:0001021/2011 luce agregada una presentación efectuada por la firma Open Discovery SA, individualizada como “FORMULA DESCARGO ANTE IMPUTACION EXACTAMENTE IDENTICA A LA EFECTUADA CON ANTERIORIDAD”

f) En fecha 22/4/08 el Sr Director de la DNPD dispuso acumular los expedientes 161.423/07, 161.818/07 y 158.875/07 por razones de economía procesal y a fin de evitar pronunciamientos contradictorios, adoptando una única resolución que evalúe el accionar de Open Discovery SA en los informes Globinfo ( vide folios 67/70 del CUDAP EXP- S04:0001021/2011)

g) -El Expte Nro. 158.875/07 fue iniciado por el Sr. Roberto Miguel Mónaco por infracción al artículo 14 de la ley 25.326, ya que el denunciante solicitó formalmente el acceso a sus datos personales y no recibió respuesta alguna (vide folios 729/731 del CUDAP EXP- S04:0001021/2011)

h) El Expte nro. 161.818/07 fue iniciado a raíz de una denuncia presentada por la Sra. Mónica Beatriz Mancinelli, en cuanto manifestó que la empresa Open Discovery SA no verifica la identidad del solicitante al emitir un informe Globinfo, relatando como compró uno para su marido bajo una identidad inexistente. (vide folios 503/5041 del CUDAP EXP- S04:0001021/2011)

i) En fechas 15/10/08 y 2/03/09 la Dirección General de Asuntos Jurídicos del Ministerio de Justicia, Seguridad y Derechos Humanos emitió los Dictámenes nro. 7686/08 y 1322/09, respectivamente, en referencia al Expediente Nro. 161.423/07 (con acumulados Nro. 161.818/07 y 158.875/07)

j) En fecha 22/4/08 el Sr. Director Nacional de Protección de Datos Personales dictó la Disposición Nro. 05 mediante la cual dispuso aplicar a la empresa Open Discovery SA la sanción de multa de PESOS CINCUENTA MIL UNO ($ 50.001) y clausurar todas las bases de datos para emitir el informe Globinfo, informes personales y genealógicos, ubicadas en la calle Ortiz de Ocampo nro. 2635 1 “D”, Ciudad de Buenos Aires, impidiéndose el tratamiento ilegitimo de datos personales hasta que se demuestre que el informe Globinfo cumple con los extremos de la ley Nro. 25.326, todo ello por haber incurrido en la conducta prevista en el punto 3, inciso c) del Anexo I de la Disposición DNPD Nro. 7/05. ( vide folios 569/590 del CUDAP EXP- S04:0001021/2011)

k) En fecha 3/7/09, la firma Open Discovery SA interpone recurso de reconsideración y jerárquico en subsidio contra la Disposición DNPD Nro. 05 de fecha 22/4/08 y que le fuera notificada en fecha 19/6/09 (vide folios 592/590 del CUDAP EXP- S04:0001021/2011)

l) En fecha 25/1/10 el Sr. Director Nacional de Protección de Datos Personales, mediante Disposición Nro. 02/10, rechazó el recurso de reconsideración interpuesto por la firma Open Discovery SA contra la Disposición DNPD Nro. 05 de fecha 22/4/08 (vide folios 643/652 del CUDAP EXP- S04:0001021/2011)

m) En fecha 14/7/10 el Sr. Ministro de Justicia, Seguridad y Derechos Humanos, mediante Resolución Nro. 1818/10, rechazó el recurso jerárquico interpuesto en subsidio al de reconsideración por la empresa Open Discovery SA contra la Disposición DNPDP Nro. 05/09 de fecha 22/4/08 (vide folios 694/696 del CUDAP EXP- S04:0001021/2011)

III.- Corresponde ahora efectuar una breve reseña del marco normativo aplicable al caso de autos.

La actividad que realiza la firma aquí actora se encuentra sujeta a las previsiones de la Ley Nacional de Protección de los Datos Personales Nro. 25.326 que tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional y que , en relación a los hechos de autos, dispone lo siguiente:

El artículo 4 de dicha norma, en sus incisos 1 y 3 establece, respectivamente, que los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido y que los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención.

En su artículo 5 estableció que: “El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias.

El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 6° de la presente ley.

2. No será necesario el consentimiento cuando:

a) Los datos se obtengan de fuentes de acceso público irrestricto;

b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal;

c) Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad,

Identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio;

d) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento;

e) Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley 21.526.

En el artículo 11, se estableció que “Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.”

En su art. 26, inciso 5 dispone que “La prestación de servicios de información crediticia no requerirá el previo consentimiento del titular de los datos a los efectos de su cesión, ni la ulterior comunicación de ésta, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios”

En cuanto a la potestad de aplicar sanciones administrativas, de conformidad con el art 31 de la norma bajo análisis, el organismo de control podrá aplicar las sanciones de apercibimiento, suspensión, multa de mil pesos ($ 1.000.-) a cien mil pesos ($ 100.000.-), clausura o cancelación del archivo, registro o banco de datos.

Por su parte, el punto 3, inciso C del Anexo I de la Disposición DNPDP Nro. 7/05 establece que será considerada como infracción muy grave el “ c) Ceder ilegítimamente los datos de carácter personal fuera de los casos en que tal accionar esté permitido”.

Por último, en cuanto a las funciones del órgano de control, el artículo 29 de la norma de referencia, lo facultó para imponer las sanciones administrativas que en su caso correspondan por violación a esta ley y de las reglamentaciones que se dicten en su consecuencia.

IV.-En este contexto, a la luz de las constancias habidas en autos y del marco normativo vigente al momento de los hechos, se analizará si la Disposición DNPDP Nro 05 dictada en fecha 22 de abril de 2009 por la Dirección Nacional de Protección de Datos Personales resultó arbitraria o irregular.

De la compulsa de las actuaciones se desprende que el acto cuya impugnación persigue la actora reúne los requisitos establecidos en el art. 7 de la ley 19.549, toda vez que ha sido dictado por autoridad competente, de conformidad con los hechos y antecedentes de la causa -en particular, lo relativo a la configuración de la conducta infractora- y el derecho aplicable. En efecto, de dichas constancias administrativas resultan relevantes tanto el acta de constatación como el dictamen jurídico elaborado sobre la base de los hechos señalados en la referida acta de constatación.

Ello así, por cuanto, para así decidir, la DNPDP tuvo por acreditado que el informe Globinfo incorpora una amplia cantidad de información personal que no se ajustaría a las prescripciones de la ley 25.326; que entre el tipo de datos que la empresa dice tratar y la forma en la que en realidad se efectúa ese tratamiento es donde se produce la circunstancia que da lugar a la infracción; que deviene ilícito el tratamiento realizado para ceder los datos en informes cuyo contenido excede lo autorizado por la ley; que los informes bajo análisis no cumplen con el principio de calidad del dato establecido en el artículo 4 de la ley 25.326, ya que la empresa denunciada no distingue entre los intereses de los cesionarios y brinda la totalidad de la información recabada, de modo que quien adquiere un informe Globinfo con fines de localización de paraderos de personas, obtiene además de esta información, la situación patrimonial del informado, concluyendo que no se cumple el requisito del interés legítimo para la cesión de los datos, conforme el artículo 11 de la ley 25.326

Asimismo deben ponderarse los términos de la disposición impugnada, todo lo cual conduce a tener por suficientemente fundada -fáctica y jurídicamente- la sanción impuesta.

En tal sentido, no se advierte la presencia de vicios en lo elementos esenciales del acto administrativo cuestionado ni en la valoración de la DNPDP, en tanto que aquél describe adecuadamente los hechos y no puede imputarse arbitrariedad en su valoración por la autoridad administrativa.

En consecuencia, con arreglo a las consideraciones vertidas precedentemente, corresponde confirmar la procedencia de la sanción aplicada a la firma aquí actora; toda vez que las conductas descriptas incurren en infracción a lo estipulado por la ley 25.326, en concordancia con el punto 3, inciso C del Anexo I de la Disposición DNPDP Nro. 7/05, norma reglamentaria de la Ley Nacional de Protección de Datos Personales.

V.- Sentado lo anterior, en lo referente al monto de la multa es menester señalar que, tal como se dijo, el art. 31 de la ley 25.326, establece que el organismo de control podrá aplicar las sanciones de apercibimiento, suspensión, multa de mil pesos ($ 1.000.-) a cien mil pesos ($ 100.000.-).En ese orden de ideas, hay que señalar que, como principio, la graduación de la sanción es resorte primario del órgano administrativo y constituye una potestad discrecional de la autoridad de aplicación.

Ello así, cabe concluir que el monto de la misma, PESOS CINCUENTA MIL UNO ($ 50.001), respeta los límites legales impuestos, por manera que en consideración a los parámetros expuestos, así como en función de las infracciones comprobadas; no puede ser considerada excesiva.

En tales condiciones, toda vez que el análisis formulado precedentemente permite colegir que la multa impuesta a la firma Open Discovery SA encuentra adecuado sustento en los extremos de hecho y de derecho debidamente verificados, no advirtiéndose que el temperamento adoptado por la DNPDP carezca de motivación ni que pueda configurarse como infundado, arbitrario, ilegitimo ni irrazonable, cabe concluir que la presente demanda no puede prosperar.

En mérito a lo expuesto,

FALLO:

1) Rechazando la demanda de conformidad a los considerandos IV y V.

2) Atento las particularidades de la causa, las costas se imponen por su orden (conf. arts. 68, segundo párrafo y 71 del CPCCN).

Regístrese, notifíquese, devuélvanse las actuaciones administrativas que - en copias certificadas- se encuentran reservadas en Secretaría y oportunamente, archívese.

 

CECILIA G. M DE NEGRE

JUEZ FEDERAL

Primera multa de datos personales validada por la justicia argentina

Salió convalidada por la justicia (aun no está firme) la primera sanción de la ex DNPDP (en el caso a Open Discovery, la empresa detrás de Globinfo y Dateas). La sanción de la DNPDP es del 2009, el fallo confirmatorio del acto administrativo sancionatorio es de octubre 2020, es decir que pasaron 11 años. Con la inflación que tiene Argentina la multa de pesos 50.001 ahora no es nada... y es una invitación a infringir.

Pregunta, ahora que se convalidó (y si queda firme en cámara) y se confirma que el procesamiento es ilegal, los titulares de datos personales allí registrados pueden demandar a Globinfo por el cese de uso del procesamiento ilegal? Se puede hacer una acción de clase?

La odisea de comprar libros en el exterior desde la Argentina

En septiembre de 2020 compré en Marcial Pons varios libros de Derecho y tecnología (mi especialidad como abogado) que uso para leer, escribir y dar clases como Profesor de Derecho. Un mes antes había comprado otros libros en Marcial Pons y llegaron sin problemas puerta a puerta.

Pero en septiembre de 2020 mediante una norma de la secretaria de comercio el gobierno volvió a detener libros en forma arbitraria (como hicieron en 2011) con la "excusa de la tinta". Esto claramente viola los acuerdos de la OMC. 

Para destrabar los libros de la Aduana hay que pagarle a un despachante de aduanas sus honorarios y ademas pagar las tasas correspondientes en la aduana y otros gastos a DHL.

El siguiente es el periplo para recuperar los libros que tuve que hacer:

- contactar a DHL y pedir explicaciones, nunca contestaron, luego de muchos llamados y correos se dignaron a explicarme que tenia que retirar la guía. 

- buscar un despachante de aduana, le escribí a varios y solo logre que me conteste uno, que me paso un presupuesto. El presupuesto con sus honorarios y tasas es más caro que el precio de los libros con el transporte internacional desde Madrid.

- hay que transferir a la guía al despachante (porque yo no estoy registrado como importador y exportador), esto lleva un tiempo.

- luego el despachante tiene que hace su trabajo. Ya van casi un mes y medio.

- pero no termina ahi porque DHL no acepta el traspaso de la guía al despachante de aduana, sino que le pide permiso a la librería española Marcial Pons. La librería me escribe un email y me pide permiso para cambiar la guía a un despachante de aduana.

- Autorizo el cambio via email y me confirman que el cambio esta hecho.

Se nota que los politicos que nos gobiernan no han leido un p...obre libro en toda su vida.

Reglamentan el derecho del consumidor a revocar la operación con un botón de arrepentimiento

 

MINISTERIO DE DESARROLLO PRODUCTIVO SECRETARÍA DE COMERCIO INTERIOR

Resolución 424/2020

RESOL-2020-424-APN-SCI#MDP

Ciudad de Buenos Aires, 01/10/2020

Tribunal autoriza embargo de cuenta de Mercado Pago

 El fallo de primera instancia lo había rechazado porque no era entidad bancaria, pero la Alzada dijo que las cuentas de fintechs pueden ser objeto de embargo.

Texto del caso.

Proyecto de reforma de la ley 1845 de CABA para adaptarlo al RGPD europeo

PROYECTO DE LEY

REFORMA DEL RÉGIMEN DE PROTECCIÓN DE DATOS PERSONALES

Artículo 1.- Modifíquese el Artículo 3 de la ley 1845 de la Ciudad Autónoma de Buenos Aires, el cual quedará redactado de la siguiente manera:

“Artículo 3°.- Definiciones. A los fines de la presente ley se entiende por:

Datos personales: Información de cualquier tipo referida a personas humanas o de existencia ideal, determinadas o determinables.

Datos sensibles: Aquellos datos personales que revelan origen racial o étnico, opiniones políticas, convicciones religiosas o morales, afiliación sindical, información referente a la salud o a la vida sexual o cualquier otro dato que pueda producir, por su naturaleza o su contexto, algún trato discriminatorio al titular de los datos; así como los datos biométricos de las personas humanas.

Datos biométricos: Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana que permitan o confirmen la identificación única de una persona, como imágenes faciales o datos dactiloscópicos.

Consumidores y comercio electronico

MINISTERIO DE DESARROLLO PRODUCTIVO SECRETARÍA DE COMERCIO INTERIOR

Resolución 270/2020. RESOL-2020-270-APN-SCI#MDP

AAIP emite documento sobre Datos personales y registro de temperatura durante COVID19

La Agencia argentina informa cómo deben tratarse los datos personales ante el registro de temperatura corporal.

3 de septiembre de 2020

En el contexto de la pandemia del COVID-19 y de la emergencia sanitaria local, la toma de temperatura corporal en los ingresos a edificios o en la vía pública es una medida que organismos públicos o privados pueden implementar, con el fin de prevenir la propagación de la enfermedad. Pero este tipo de control puede tener un impacto en la privacidad o la intimidad de las personas, por lo que es importante que los distintos actores involucrados tengan en consideración la Ley 25.326 de Protección de Datos Personales.

 

Con el objetivo de facilitar el cumplimiento por parte de los responsables del tratamiento de datos personales, así como informar a la ciudadanía sobre sus derechos, la Agencia de Acceso a la Información Pública elaboró una Guía para el tratamiento de datos personales ante el registro de temperatura corporal, en la que se establecen pautas y principios generales.

 

Para acceder a la guía completa hacé click aquí.

 

Cualquier persona que considere que su privacidad o sus datos personales están siendo afectados puede realizar una denuncia ante la Agencia.

 

Asimismo, las instituciones públicas y privadas que implementen o planeen implementar una herramienta de geolocalización pueden realizar consultas sobre el alcance de la Ley 25.326 ante la Agencia.

FUENTE web de la AAIP

Texto del documento.

Brasil crea estructura y cargos dentro de la autoridad de datos personales por decreto n. 10.470 del 26 de agosto de 2020

El PE de Brasil crea la  estructura y cargos dentro de la autoridad de datos personales por decreto n. 10.470 del 26 de agosto de 2020, el decreto se publica justo con la entrada en vigencia de la LGPD, luego de muchas idas y vueltas.

Texto de la norma (PDF) (HTML)

DECRETO Nº 10.474, DE 26 DE AGOSTO DE 2020

 

Vigência         

Aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados e remaneja e transforma cargos em comissão e funções de confiança.

Reglamentan el dec. 274 de competencia desleal

 

MINISTERIO DE DESARROLLO PRODUCTIVO SECRETARÍA DE COMERCIO INTERIOR

Resolución 241/2020

RESOL-2020-241-APN-SCI#MDP

Ciudad de Buenos Aires, 21/08/2020

Condena penal por abuso sexual a través de redes digitales

Este es un caso que se comentó en el seminario que armamos en el 2017 en UDESA sobre violencia de genero en internet y  acoso digital a mujeres en Internet.

Abajo hay link a la resolución del Tribunal Superior de Justicia de Córdoba, por la cual resolvió confirmar la condena por abuso sexual. 

El máximo tribunal de Córdoba entendió que los actos que realizaba el imputado utilizando una computadora afectaba la integridad sexual de la víctima, sin que haya existido contacto físico. 

En casación no se discutieron los hechos, solo la calificación y el argumento del defensor fue que no se abuso sexualmente porque no existió contacto físico impúdico que seria un requisito inexcusable para la configuración del delito penal. 

El fallo rechaza esa postura y entiende que puede existir abuso sexual via Internet.

Fallo del STJ de Córdoba.

Primer caso judicial de derecho al olvido en Argentina - confirman sentencia de primera instancia que reconoce derecho al olvido

 Texto del fallo de camara.

Texto del fallo de primera instancia.

Recetas electrónicas o digitales.

 

Ley 27553

Recetas electrónicas o digitales.

El Senado y Cámara de Diputados de la Nación Argentina reunidos en Congreso, etc. sancionan con fuerza de Ley:

Artículo 1º- La presente ley tiene por objeto:

a) Establecer que la prescripción y dispensación de medicamentos, y toda otra prescripción, puedan ser redactadas y firmadas a través de firmas manuscritas, electrónicas o digitales, en recetas electrónicas o digitales, en todo el territorio nacional;

b) Establecer que puedan utilizarse plataformas de teleasistencia en salud, en todo el territorio nacional, de conformidad con la ley 25.326 de Protección de los Datos Personales y la ley 26.529 de Derechos del Paciente.

Toda prescripción electrónica o digital y plataforma de teleasistencia en salud que reúnan los requisitos técnicos y legales son válidas de acuerdo a la legislación vigente que no se encuentre modificada por la presente ley.

Artículo 2º- La presente ley es de aplicación para toda receta o prescripción médica, odontológica o de otros profesionales sanitarios legalmente facultados a prescribir, en los respectivos ámbitos de asistencia sanitaria y atención farmacéutica pública y privada.

Los medicamentos prescriptos en recetas electrónicas o digitales deben ser dispensados en cualquier farmacia del territorio nacional, servicios de farmacia de establecimientos de salud y establecimientos del sector salud habilitados para tal fin, acorde a las disposiciones vigentes. Asimismo, se aplica para toda plataforma de teleasistencia en salud que se utilice en el país.

Artículo 3º- La autoridad de aplicación de la presente ley será establecida por el Poder Ejecutivo nacional, coordinando su accionar con las autoridades jurisdiccionales competentes y los organismos con incumbencia en la materia que dichas autoridades determinen, quienes definirán por vía reglamentaria los plazos necesarios para alcanzar la digitalización total en prescripción y dispensación de medicamentos, toda otra prescripción, y regular el uso de plataformas de teleasistencia en salud.

El Instituto Nacional de Servicios Sociales para Jubilados y Pensionados deberá ser convocado por la autoridad de aplicación a los fines de colaborar en la reglamentación que se dicte a tal efecto.

Artículo 4º- Para la implementación de la presente ley se deben desarrollar y/o adecuar los sistemas electrónicos existentes y regular su implementación para utilizar recetas electrónicas o digitales, y plataformas de teleasistencia en salud, todo lo cual debe regular el organismo que el Poder Ejecutivo nacional oportunamente establezca y los organismos que cada jurisdicción determine.

Asimismo, dichos organismos son los responsables de la fiscalización de los sistemas de recetas electrónicas o digitales, y de los sistemas de plataformas de teleasistencia en salud, quienes deben garantizar la custodia de las bases de datos de asistencia profesional virtual, prescripción, dispensación y archivo. También son responsables de establecer los criterios de autorización y control de acceso a dichas bases de datos y garantizar el normal funcionamiento y estricto cumplimiento de la ley 25.326 de Protección de los Datos Personales, la ley 26.529 de Derechos del Paciente y demás normativas vigentes en la materia.

Artículo 5º- Modifícase el inciso 7 del artículo 19 de la ley 17.132, el que quedará redactado de la siguiente manera:

7. Prescribir o certificar en recetas manuscritas, electrónicas o digitales, en las que debe constar la siguiente información en idioma nacional: nombre, apellido, profesión, número de matrícula, domicilio, número telefónico y correo electrónico cuando corresponda. Solo pueden anunciarse cargos técnicos o títulos que consten registrados en la autoridad de aplicación competente y en las condiciones que se reglamenten. Las prescripciones y/o recetas deben ser formuladas en idioma nacional, fechadas y firmadas en forma manuscrita, electrónica o digital. En caso de ser redactadas electrónicamente, la firma y demás requisitos técnicos y legales deben adecuarse a la legislación vigente. En caso de utilizar la firma digital, la misma debe adecuarse a la ley 25.506, de firma digital, adhiriendo al régimen e intermediando una autoridad certificante.

Artículo 6º- Incorpórase el artículo 2° bis al título I de la ley 17.132, el que quedará redactado de la siguiente manera:

Artículo 2° bis: Se habilita la modalidad de teleasistencia para el ejercicio de la medicina, odontología y actividades de colaboración de las mismas, garantizando los derechos establecidos en la ley 26.529 de Derechos del Paciente. La teleasistencia puede desarrollarse solo para prácticas autorizadas a tal fin, de acuerdo a protocolos y plataformas aprobadas para la misma por la autoridad de aplicación.

Artículo 7º- Modifícase el artículo 3º de la ley 23.277, el cual quedará redactado de la siguiente manera:

Artículo 3º: El psicólogo puede ejercer su actividad autónoma en forma individual y/o integrando equipos interdisciplinarios, en forma privada o en instituciones públicas o privadas que requieran sus servicios.

En ambos casos pueden hacerlo a requerimiento de especialistas en otras disciplinas o de personas que voluntariamente soliciten su asistencia profesional. Pueden desarrollar el ejercicio de estas actividades a través de plataformas de teleasistencia previamente habilitadas para tal fin y autorizadas por la autoridad de aplicación, de acuerdo a protocolos y plataformas aprobadas por la misma y garantizando los derechos establecidos en la ley 26.529 de Derechos del Paciente.

Artículo 8º- Modifícase el artículo 9° de la ley 17.565, el que quedará redactado de la siguiente manera:

Artículo 9°: En las farmacias el expendio de drogas, medicamentos o especialidades medicinales se ajusta a las siguientes formas de acuerdo a lo que establezca la legislación vigente o determine la autoridad sanitaria:

1. Expendio legalmente restringido;

2. Expendio bajo receta archivada;

3. Expendio bajo receta;

4. Expendio libre.

Deben conservarse las recetas correspondientes a los puntos 1 y 2, en formato papel o digital, durante un plazo no menor de tres (3) años, después de dicho plazo pueden ser destruidas o borradas, previa comunicación a la autoridad sanitaria.

Artículo 9º- Modifícase el artículo 10 de la ley 17.565, el que quedará redactado de la siguiente manera:

Artículo 10: En las farmacias deben llevarse los siguientes registros o archivos digitales habilitados por la autoridad sanitaria:

a) Recetario;

b) Contralor de estupefacientes;

c) Contralor de psicotrópicos;

d) Inspecciones;

e) Otros registros o archivos digitales que la autoridad competente estime pertinentes. Éstos deben ser aprobados por la autoridad sanitaria.

Deben llevarse en forma legible y sin dejar espacios en blanco, sin alterar el orden de los asientos de las recetas despachadas y sin enmiendas ni raspaduras. La autoridad sanitaria puede autorizar otro sistema copiador de recetas, siempre que el mismo asegure la inalterabilidad de los asientos. En caso de que estos libros sean llevados electrónicamente, la firma y demás requisitos técnicos y legales deben adecuarse a la legislación vigente y a lo que establezca la autoridad de aplicación, asegurando la inalterabilidad de los registros.

Artículo 10.- Incorpórase el artículo 21 bis a la ley 17.818, el que quedará redactado de la siguiente manera:

Artículo 21 bis: En caso de que las recetas mencionadas en la presente ley sean redactadas electrónicamente, o en caso de que los registros obligatorios sean llevados electrónicamente, la firma y demás requisitos técnicos y legales deben adecuarse a la legislación vigente y a lo que establezca la autoridad de aplicación.

Artículo 11.- Incorpórase el artículo 18 bis a la ley 19.303, el que quedará redactado de la siguiente manera:

Artículo 18 bis: En caso de que las recetas mencionadas en la presente ley sean redactadas electrónicamente, o en caso de que los registros obligatorios sean llevados electrónicamente, la firma y demás requisitos técnicos y legales deben adecuarse a la legislación especial vigente y a lo que establezca la autoridad de aplicación.

Artículo 12.- Todos los procedimientos relativos a la regulación de la prescripción, dispensa y circuitos para la provisión de estupefacientes y psicotrópicos (importación, exportación, formularios y recetarios oficiales, libros, registros o archivos obligatorios, vales y cualquier otra documentación inherente a los mismos) deben, a partir de la presente ley, ser digitalizados según los plazos y criterios fijados por la autoridad competente.

Artículo 13.- Los sistemas aludidos en la presente ley deben contemplar el cumplimiento de todas las normativas vigentes que regulan toda la cadena de comercialización de medicamentos incluyendo los requisitos de trazabilidad de éstos y de la firma manuscrita, electrónica o digital. También debe contemplarse la emisión de constancia de teleasistencia, prescripción y dispensación para los pacientes, por vía informatizada o impresión de dicha constancia y la posibilidad de bloqueo por el farmacéutico cuando exista error manifiesto en la prescripción, para que el prescriptor pueda revisar, anular o reactivar según el caso.

La autoridad de aplicación puede realizar los convenios de colaboración y coordinación necesarios con los colegios de profesionales de la salud y los colegios de farmacéuticos a los efectos de hacer ejecutable el objeto previsto en la presente ley.

Artículo 14.- Invítase a las provincias y a la Ciudad Autónoma de Buenos Aires a adherir a la presente ley.

Artículo 15.- El Poder Ejecutivo nacional reglamentará la presente ley dentro de los ciento veinte (120) días de su promulgación.

Artículo 16.- Comuníquese al Poder Ejecutivo nacional.

DADA EN LA SALA DE SESIONES DEL CONGRESO ARGENTINO, EN BUENOS AIRES, A LOS VEINTITRES DIAS DEL MES DE JULIO DEL AÑO DOS MIL VEINTE.

REGISTRADA BAJO EL N° 27553

CLAUDIA LEDESMA ABDALA DE ZAMORA - SERGIO MASSA - Marcelo Jorge Fuentes - Eduardo Cergnul

e. 11/08/2020 N° 31753/20 v. 11/08/2020

Fecha de publicación 11/08/2020

Executive Order on Addressing the Threat Posed by WeChat

 Esta es la orden dictada por Trump respecto a Wechat. Cualquier similitud con el caso Schrems II, es pura coincidencia...

Executive Order on Addressing the Threat Posed by TikTok

 Este es el texto de la medida o decreto dictada por Trump respecto a Tik Tok

COMISIÓN ASESORA EN MATERIA DE LUCHA CONTRA EL CIBERDELITO

 

MINISTERIO DE SEGURIDAD SUBSECRETARÍA DE INVESTIGACIÓN CRIMINAL Y COOPERACIÓN JUDICIAL

Disposición 655/2020

Que la Ley de Ministerios (T.O Decreto N° 438/92) y sus modificatorias asigna al MINISTERIO DE SEGURIDAD la competencia de entender en la determinación de los objetivos y políticas del área de su competencia; ejecutar los planes, programas y proyectos del área de su competencia elaborados conforme las directivas que imparta el PODER EJECUTIVO NACIONAL.

Que la citada ley, también faculta al MINISTERIO DE SEGURIDAD a entender en la determinación de la política criminal y en la elaboración de planes y programas para su aplicación, así como para la prevención del delito.

Que el Anexo II del Decreto N° 50, del 19 de diciembre de 2019, establece que la SUBSECRETARÍA DE INVESTIGACIÓN CRIMINAL Y COOPERACIÓN JUDICIAL de la SECRETARÍA DE SEGURIDAD Y POLÍTICA CRIMINAL deberá desarrollar y planificar actividades de investigación de delitos complejos, con especial atención entre otros a los ciberdelitos y delitos informáticos. Asimismo, deberá coordinar la aplicación de políticas, estrategias y acciones para la prevención y conjuración de los delitos federales con las áreas competentes del MINISTERIO DE SEGURIDAD, y de otras dependencias y con los gobiernos provinciales y de la CIUDAD AUTÓNOMA DE BUENOS AIRES, brindando asistencia técnica y generando espacios de discusión, trabajo conjunto e intercambio de información.

Comunicados y opiniones del caso Schrems II

El caso Schrems II al invalidar el Acuerdo del Privacy Shield que había reemplazado al anulado Safe Harbour generó una importante serie de opiniones, notas y comunicados que puso nuevamente en actualidad la cuestión de las transferencias internacionales de datos personales.


Unión Europea

EDPS statement

EDPB (FAQs sobre Schrems II PDF)

EDPB statement

EDPB 20/7/2020

DPC Irlanda (primer statement)

CNIL

AEPD

Alemania



Estados Unidos

Comunicado del Departamento de Comercio de EEUU

FAQ del Departamento de Comercio de EEUU

Blogs y artículos

IAPP (Caitlin Fenessy)

Lawfare (Peter Wire)

Privacy Academy (Daniel Solove)

Teach privacy (Daniel Solove).

Dataguidance (listado de DPAs)

European Law Blog (Theodore Christakis)

Hogan Lovels 
Jones Day

Hunton

Paul Hastings

Baker

Baker Roundatable

JDSUPRA

National Law Rev.

IAPP (October 2017)

NOYBEU

Blog de Ian Brown

Documentos del juicio Schrems II

Opinion del AG

Sentencia Schrems II

Documento del Privacy Shield anulado

Escrito presentado por EDPB en la Corte

Caso Schrems II TJUE (version español)

ECLI:EU:C:2020:559

Edición provisional

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)

de 16 de julio de 2020 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8 y 47 — Reglamento (UE) 2016/679 — Artículo 2, apartado 2 — Ámbito de aplicación — Transferencias de datos personales a terceros países con fines comerciales — Artículo 45 — Decisión de adecuación de la Comisión — Artículo 46 — Transferencias mediante garantías adecuadas — Artículo 58 — Facultades de las autoridades de control — Tratamiento de los datos transferidos por parte de las autoridades públicas de un tercer país con fines de seguridad nacional — Apreciación de la adecuación del nivel de protección garantizado en el país tercero — Decisión 2010/87/UE — Cláusulas tipo de protección para la transferencia de datos personales a terceros países — Garantías adecuadas ofrecidas por el responsable del tratamiento — Validez — Decisión de Ejecución (UE) 2016/1250 — Adecuación de la protección garantizada por el Escudo de la Privacidad Unión Europea-Estados Unidos — Validez — Reclamación de una persona física cuyos datos fueron transferidos de la Unión Europea a Estados Unidos»

En el asunto C‑311/18,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por la High Court (Tribunal Superior, Irlanda), mediante resolución de 4 de mayo de 2018, recibida en el Tribunal de Justicia el 9 de mayo de 2018, en el procedimiento entre

Data Protection Commissioner

y

Facebook Ireland Ltd,

Maximillian Schrems,

con intervención de:

The United States of America,

Electronic Privacy Information Centre,

BSA Business Software Alliance Inc.,

Digitaleurope,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

Caso Schrems II TJUE (inglés)

ECLI:EU:C:2020:559

JUDGMENT OF THE COURT (Grand Chamber)

16 July 2020 (*)

(Reference for a preliminary ruling — Protection of individuals with regard to the processing of personal data — Charter of Fundamental Rights of the European Union — Articles 7, 8 and 47 — Regulation (EU) 2016/679 — Article 2(2) — Scope — Transfers of personal data to third countries for commercial purposes — Article 45 — Commission adequacy decision — Article 46 — Transfers subject to appropriate safeguards — Article 58 — Powers of the supervisory authorities — Processing of the data transferred by the public authorities of a third country for national security purposes — Assessment of the adequacy of the level of protection in the third country — Decision 2010/87/EU — Protective standard clauses on the transfer of personal data to third countries — Suitable safeguards provided by the data controller — Validity — Implementing Decision (EU) 2016/1250 — Adequacy of the protection provided by the EU-US Privacy Shield — Validity — Complaint by a natural person whose data was transferred from the European Union to the United States)

In Case C‑311/18,

REQUEST for a preliminary ruling under Article 267 TFEU from the High Court (Ireland), made by decision of 4 May 2018, received at the Court on 9 May 2018, in the proceedings

Data Protection Commissioner

v

Facebook Ireland Ltd,

Maximillian Schrems,

Me puede obligar a desbloquear mi teléfono móvil en un caso penal?

La Corte Suprema de Indiana (USA) declaró que era ilegal la orden de desbloquear un teléfono celular en un caso.

Fallo del tribunal de indiana - Seo v. State of Indiana

Amicus de la EFF en el caso

Nota de la EFF sobre el caso



Pennsilvania

Commonwealth v. David

Protocolo General para la Prevención Policial del Delito con Uso de Fuentes Digitales Abiertas

RESOLUCIÓN 144/20. “CIBERPATRULLAJE”. Comisión de Libertad de Expresión.

Cámara de Diputados

Esta tarde la comisión de Libertad de Expresión realizó una reunión informativa a los efectos de abordar la resolución 144/20 del Ministerio de Seguridad, mediante la cual se aprueba el Protocolo General para la Prevención Policial del Delito con Uso de Fuentes Digitales Abiertas.  

En un comienzo estaba previsto que participe del encuentro la Ministra de Seguridad de la Nación, la Dra. Sabina Frederic. Sin embargo, no estuvo presente. Desde el oficialismo sostuvieron que la Presidencia de la Cámara baja entendió que el asunto en agenda está por fuera de las competencias de la comisión de Libertad de Expresión y que, en todo caso, debería discutirse en el marco de la comisión de Seguridad Interior.

Sin embargo, el interbloque Juntos por el Cambio aseguró haber sometido la cuestión ante la Relatoría Especial para la Libertad de Expresión de la Comisión Interamericana de Derechos Humanos (CIDH), la cual reafirmó la vinculación del “ciberpatrullaje” con el derecho a la libertad de expresión. Asimismo, los diputados de la oposición destacaron que no fueron convocados a participar de la discusión del protocolo para limitar y controlar el rol de las fuerzas de seguridad en las redes sociales. En respuesta, los diputados del interbloque Frente de Todos acusaron a Juntos por el Cambio de mantener un doble discurso y solicitaron discutir el espionaje ilegal. También propusieron realizar una reunión conjunta de la comisión de Seguridad Interior con Libertad de Expresión, de la cual participe Frederic. 

Sin embargo, los diputados dieron por finalizada la reunión sin haber alcanzado un acuerdo. 

FUENTA Agencia FOIA

Controversial Fake News Bill could setback privacy protections for Brazilians

José Alejandro Bermúdez

Former Colombian Data Protection Superintendent

Partner, Bermudez Durana Abogados

Pablo A. Palazzi

Director of CETYS, Center of Law & Society, San Andres University

Partner, Allende & Brea (Argentina)

Brazil gave a huge and long-awaited step in 2018 with the enactment of its long overdue LGPD: a comprehensive GDPR inspired piece of legislation that has become one of the most anticipated privacy regulations in the world. The impact of regulation in Brazil is massive and has enormous consequences for both its more than 200 million citizens and organizations operating in the country.

Brasil - Problemático proyecto de Fake news que incluye normas sobre retención de datos de tráfico, data localization y registro de usuarios de redes sociales

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Esta Lei estabelece normas, diretrizes e mecanismos de transparência para provedores de redes sociais e de serviços de comunicação interpessoal a fim de garantir segurança, ampla liberdade de expressão, comunicação e manifestação do pensamento.

Parágrafo único. O disposto no caput aplica-se, inclusive, aos provedores de redes sociais e de serviços de comunicação interpessoal sediados no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.

Uruguay Recomendaciones para el control de temperatura ante la situación de emergencia sanitaria nacional

La emergencia sanitaria declarada por el Decreto N° 93/020, de 13 de marzo de 2020, y derivada de la pandemia del coronavirus (COVID-19), ha generado en múltiples actores la necesidad de emplear diversas técnicas para salvaguardar la seguridad y salud de las personas, y de la sociedad en general.

Francia - El Consejo de Estado francés confirma la multa de la CNIL a Google por 50 millones de Euros

Texto de la decisión que confirma la sanción a Google. PDF

Reclamo de La Quadrature du Net. PDF.

CONSEIL D'ETAT statuant au contentieux        

N° 430810

SOCIÉTÉ GOOGLE LLC

Séance du 12 juin 2020

Lecture du 19 juin 2020

REPUBLIQUE FRANÇAISE AU NOM DU PEUPLE FRANÇAIS

Le Conseil d'Etat statuant au contentieux (Section du contentieux, 10ème et 9ème chambres réunies)