PROYECTO DE LEY
REFORMA DEL RÉGIMEN DE PROTECCIÓN DE DATOS PERSONALES
Artículo 1.- Modifíquese el Artículo 3 de la ley 1845 de la Ciudad Autónoma de Buenos Aires, el cual quedará redactado de la siguiente manera:
“Artículo 3°.- Definiciones. A los fines de la presente ley se entiende por:
Datos personales: Información de cualquier tipo referida a personas humanas o de existencia ideal, determinadas o determinables.
Datos sensibles: Aquellos datos personales que revelan origen racial o étnico, opiniones políticas, convicciones religiosas o morales, afiliación sindical, información referente a la salud o a la vida sexual o cualquier otro dato que pueda producir, por su naturaleza o su contexto, algún trato discriminatorio al titular de los datos; así como los datos biométricos de las personas humanas.
Datos biométricos: Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana que permitan o confirmen la identificación única de una persona, como imágenes faciales o datos dactiloscópicos.
Datos informatizados: Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado.
Archivos, registros, bases o bancos de datos: Indistintamente, designan al conjunto organizado de datos personales objeto de tratamiento, cualquiera sea la modalidad o forma de su recolección, almacenamiento, organización o acceso, incluyendo tanto los automatizados como los manuales.
Tratamiento de datos: Cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, registro, organización, elaboración, extracción, utilización, cotejo, supresión, y en general, el procesamiento de datos personales, así como también su cesión a terceros a través de todo tipo de comunicación, consulta, interconexión, transferencia, difusión, o cualquier otro medio que permita el acceso a los mismos.
Titular de datos: Persona humana o de existencia ideal cuyos datos sean objeto de tratamiento.
Responsable del archivo, registro, base o banco de datos: Persona física o de existencia ideal del sector público de la Ciudad de Buenos Aires que sea titular de un archivo, registro, base o banco de datos.
Encargado del tratamiento: Persona física o de existencia ideal, autoridad pública, dependencia u organismo que, solo o juntamente con otros, realice tratamientos de datos personales por cuenta del responsable del archivo, registro, base o banco de datos.
Usuario de datos: Persona física que, en ocasión del trabajo y cumpliendo sus tareas específicas, tenga acceso a los datos personales incluidos en cualquier archivo, registro, base o banco de datos del sector público de la Ciudad de Buenos Aires.
Fuentes de acceso público irrestricto: Exclusivamente, se entienden por tales a los boletines, diarios o repertorios oficiales, los medios de comunicación escritos, las guías telefónicas en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección o cualquier otro dato que indique de su pertenencia al grupo.
Disociación de datos: Todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable”.
Artículo 2.- Modifíquese el Título III de la ley 1845 de la Ciudad Autónoma de Buenos Aires, el cual quedará redactado de la siguiente manera:
Título III
Principios Generales de la Protección
de Datos Personales
Capítulo I
Calidad de los Datos
Artículo 6°.- Calidad de los datos. Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos con relación al ámbito y finalidad para los que se hubieren obtenido.
La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la presente ley.
Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas con aquéllas que motivaron su obtención.
Los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario para responder con veracidad a la situación de su titular.
Los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y sustituidos, o en su caso completados, por el responsable o usuario del archivo, registro, base o banco de datos cuando se tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate, sin perjuicio de los derechos del titular establecidos en la presente ley.
Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular.
Los datos personales deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados, sin necesidad de que lo requiera el titular de los mismos.
Artículo 7.- Todo tratamiento de datos personales debe ser lícito. En el caso de las personas humanas, debe ser claro que se están recogiendo, utilizando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. Toda información y comunicación relativa al tratamiento de dichos datos debe ser fácilmente accesible, y fácil de entender, utilizando un lenguaje llano y claro.
Artículo 8.- El tratamiento de los datos solo será lícito si se cumple alguna de las siguientes condiciones:
a. El tratamiento es necesario para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas a las instituciones y organismos de la Ciudad;
b. El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
c. El tratamiento es necesario para el cumplimiento de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
d. El interesado ha prestado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
e. El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
f. El tratamiento responde a razones de interés público en el ámbito de la salud pública, archivo en interés público, fines de investigación científica o histórica, fines estadísticos, o para la formulación, ejercicio o la defensa de reclamaciones.
Capítulo II
Consentimiento
Artículo 9.- Consentimiento. El consentimiento debe prestarse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos personales que le conciernen, por medio escrito, verbal, o electrónico.
Si el consentimiento del interesado se ha de prestar a raíz de una solicitud por medios electrónicos, la solicitud deberá ser clara, concisa, y no perturbar innecesariamente la utilización del servicio para el que se presta.
El consentimiento debe prestarse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe prestarse el consentimiento para todos ellos.
Artículo 10.- Revocatoria. El interesado tiene derecho a revocar su consentimiento en cualquier momento. La opción del ejercicio de este derecho debe ser garantizada por quien solicita el consentimiento sin generar obstáculos innecesarios o dilatorios, debiendo tener una simplicidad semejante la revocación del consentimiento al medio que se utilizó para prestarlo en primer lugar.
Artículo 11.- Consentimiento Informado. Para que el consentimiento sea informado, el interesado debe conocer, como mínimo, la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o revocar su consentimiento sin sufrir perjuicio alguno.
Artículo 12.- Excepción. El consentimiento del interesado para categorías especiales de datos personales puede no ser necesario por razones de interés público, las cuales deberán estar debidamente fundadas. Se deberá evaluar la proporcionalidad entre el interés público y el tratamiento a los efectos de determinar la dispensa del consentimiento.
Artículo 13.- Si el cumplimiento de un contrato o la prestación de un servicio se supeditan a consentir el tratamiento de datos personales que son innecesarios para el cumplimiento de dicho contrato, se presume que el consentimiento prestado para el tratamiento no ha sido libre.
Capítulo III
Finalidad y Proporcionalidad
Artículo 14.- Finalidad. Todo dato personal que sea recogido, utilizado, consultado o tratado de cualquier otra manera debe estar justificado por una finalidad, que deberá ser causa suficiente para su solicitud o tratamiento. Cumplida la finalidad, o devenida abstracta por cualquier otro motivo, el dato solicitado en virtud de esa finalidad debe o bien ser destruido, o deberá alegarse una nueva finalidad que cumpla con las condiciones de causa suficiente y proporcionalidad.
Artículo 15.- Proporcionalidad. Debe existir necesariamente una relación de proporcionalidad entre el dato solicitado o utilizado y la finalidad invocada para que dicha solicitud o uso sean lícitos. Dicha relación de proporcionalidad será un elemento central en la valoración a la hora de determinar si existe causa suficiente.
Artículo 16.- Toda persona física tiene derecho al olvido, el cual consiste en el derecho a que el registro de sus datos personales se suprima y dejen de tratarse si:
a. Ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo;
b. Si han revocado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen;
c. Si el tratamiento de sus datos personales incumple de otro modo la presente Ley.
Este derecho será especialmente irrestricto en los casos donde el interesado prestó su consentimiento siendo menor de edad sin estar plenamente informado de la extensión del tratamiento, y quisiera suprimir tales datos personales. La retención ulterior de estos datos personales solo será lícita si se cumpliere con lo normado en el artículo 8 de la presente.
Capítulo IV
Datos Sensibles
Artículo 17.- Datos sensibles. Ninguna persona puede ser obligada a proporcionar datos sensibles. En particular no se podrá solicitar a ningún individuo datos sensibles como condición para su ingreso o promoción dentro del sector público de la Ciudad de Buenos Aires.
Los datos sensibles sólo pueden ser tratados cuando medien razones de interés general autorizadas por ley. También podrán ser tratados con finalidades estadísticas o científicas, siempre y cuando no puedan ser identificados sus titulares.
Queda prohibida la formación de archivos, registros, bases o bancos de datos que almacenen información que directa o indirectamente revele datos sensibles, salvo que la presente ley o cualquier otra expresamente disponga lo contrario o medie el consentimiento libre, previo, expreso, informado y por escrito del titular de los datos.
Los datos relativos a antecedentes penales o contravencionales o infracciones administrativas sólo pueden ser objeto de tratamiento por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas.
Artículo 18.- Datos relativos a la salud. Los establecimientos sanitarios dependientes de la Ciudad de Buenos Aires y los profesionales vinculados a las ciencias de la salud que presten servicios en los mismos pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional.
Capítulo V
Datos de Niños, Niñas y Adolescentes
Artículo 19.- La edad de consentimiento para el tratamiento de los datos personales es 16 años. El consentimiento prestado por el menor de 16 años es inválido, siendo únicamente lícito el tratamiento de sus datos si el consentimiento fuera prestado por el titular de la patria potestad o tutela del niño, niña o adolescente.
Artículo 20.- El responsable del tratamiento deberá hacer esfuerzos razonables para verificar en tales casos que el consentimiento fuera prestado o autorizado efectivamente por el titular de la patria potestad o tutela del niño, niña o adolescente, teniendo en cuenta la tecnología disponible.
Artículo 21.- Cualquier información y comunicación cuyo tratamiento afecte intereses de niños, niñas y adolescentes debe facilitarse en un lenguaje claro, sencillo, y fácil de entender.
Artículo 22.- El tratamiento indebido de datos personales de niños, niñas y adolescentes por parte de entidades privadas a los efectos de mercadotecnia o elaboración de perfiles de personalidad o de usuario cuando se utilicen servicios ofrecidos directamente a un niño será sancionado con arresto de 5 a 30 días de quien lo autorizara y multa de $15.000 a $1.000.000.
Capítulo VI
Cesión y Transferencia de datos
Artículo 23.- Cesión de datos.
1. Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.
2. Al consentimiento para la cesión de datos personales le son aplicables las disposiciones previstas en el Capítulo II del presente título.
3. El consentimiento no es exigido cuando:
a) así lo disponga expresamente una ley especial referida a cuestiones sensibles, en particular sobre salud pública, emergencias y seguridad.
b) en los supuestos previstos en el artículo 13 de la presente ley;
c) se realice entre órganos del sector público de la Ciudad Autónoma de Buenos Aires en forma directa, en la medida del cumplimiento de sus respectivas competencias;
d) se trate de datos personales relativos a la salud, y sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados;
e) se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables.
f) cuando la información sea requerida por un magistrado del Poder Judicial, el Defensor del Pueblo o el Ministerio Público, en el marco de una causa judicial en particular.
4. El cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate.
Artículo 24.- Transferencia interprovincial.
1. Es prohibida la transferencia de datos personales a cualquier provincia o municipio cuya administración pública no proporcione niveles de protección adecuados a los establecidos por la Ley Nacional N° 25.326 y la presente ley.
2. La prohibición no regirá en los siguientes supuestos:
Colaboración judicial interjurisdiccional;
Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica, en tanto se realice en los términos del inciso 3°, apartado e) del artículo anterior;
Transferencias bancarias, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable;
Intercambio de información entre los respectivos organismos provinciales o nacionales dentro del marco de sus competencias, a requerimiento de la autoridad judicial y en el marco de una causa;
Cuando la transferencia tenga por objeto la lucha contra el crimen organizado, el terrorismo y el narcotráfico, y se realice a requerimiento de la autoridad judicial y en el marco de una causa;
Consentimiento del titular de los datos.
Artículo 25.- Transferencia internacional.
1. Es prohibida la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no aseguren que los datos personales contarán con una protección adecuada a la proporcionada por la presente ley.
2. La prohibición no regirá en los siguientes supuestos:
Colaboración judicial internacional;
Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica, en tanto se realice en los términos del inciso 3°, apartado e) del artículo 10 de la presente ley;
Transferencias bancarias, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable;
Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte y se realice a requerimiento de la autoridad judicial y en el marco de una causa;
Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico, y se realice a requerimiento de la autoridad judicial y en el marco de una causa.
Consentimiento del titular de los datos.”
Artículo 3.- Modifíquese la numeración de la ley 1845 conforme a los cambios introducidos por la presente.
FUNDAMENTOS
Sr. Presidente,
En el año 2005 la Legislatura de la Ciudad Autónoma de Buenos Aires sancionó la ley 1845, de Protección de Datos Personales. Dicha norma tomaba como referencia la Ley Nacional 25.326, que regula la protección de Datos en todo el territorio de la República,
Sin dudas esta ley constituyó un hito para la Ciudad en la materia que estamos tratando, avanzando en la protección de los datos personales de las personas que desde la revolución tecnológica, la globalización y el alcance universal que ha logrado internet, se ha vuelto una materia de especial atención en lo que respecta a la libertad y privacidad de las personas; adquiriendo relevancia mundial la preocupación por la recolección y el uso de datos tanto por el estado como por entidades privadas.
Esta ley vigente, aunque de avanzada para su momento, ha quedado obsoleta en el transcurso de estos quince años respecto de los estándares que hoy en día posee el mundo en lo que es Datos Personales, los cuales la Ciudad está en plenas condiciones de mantener. Es en ese sentido que el presente proyecto de ley deviene una necesidad de actualizar ciertos parámetros y derechos básicos que en el mundo están consagrados a la hora de proteger la privacidad de las personas y el uso de sus datos.
En los años 2016 y 2018 el Parlamento Europeo ha sancionado dos reglamentos relativos a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y entidades privadas, y la circulación de esos datos; actualizando y derogando los Reglamentos previos de los años 2001 y 2002. De allí se toman algunas consideraciones que resultan indispensables a la hora de tratar Datos Personales.
Por un lado, se incorpora al listado de definiciones la de Datos Biométricos, que constituyen aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de una persona, como imágenes faciales o datos dactiloscópicos.
A su vez, se califica a los Datos Biométricos como Datos Sensibles en los términos legales, ya que, al revelar características de individualización exacta de las personas, generan el mismo riesgo al interesado que los Datos Sensibles tradicionales por lo cual deben tener esa misma protección especial.
En cuanto a la Calidad de los Datos, se incorpora el concepto de licitud en el tratamiento los datos, junto con los supuestos que importan la licitud o no del tratamiento. Esta disposición protege el tratamiento de datos a través de reputarlos lícitos o no según un supuesto fáctico previo que justifique la actividad con los datos, como puede ser la necesidad de una realizar una función de interés público, el cumplimiento de una obligación legal, entre otros.
El consentimiento es una materia extremadamente delicada y compleja de regular, ya que resulta muy difícil encontrar un equilibrio entre la prestación de un consentimiento verdaderamente informado y libre cuando ésta se conjuga con los deberes que debe cumplir el responsable y que le son razonablemente exigibles. Se lleva a la regulación del consentimiento a los estándares internacionales, regulando que éste debe prestarse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos personales que le conciernen, por medio escrito, verbal, o electrónico. A su vez, se incorpora la prohibición de perturbar innecesariamente el servicio para el que se presta el consentimiento.
Se prevé también este Capítulo el deber de prestar consentimiento para todas las actividades de tratamiento con un mismo fin, así como el prestar consentimiento para todos los fines cuando hubiera varios. Se incorporan también los estándares para que el consentimiento sea libre e informado. Junto a ellos, una presunción a favor de las personas físicas por la cual se presume que el consentimiento no ha sido prestado libremente si se exige para el cumplimiento de un contrato o la prestación de un servicio para el cual no es necesario.
El derecho a revocar el consentimiento ya estaba presente en nuestro ordenamiento jurídico, mas se incorpora a los efectos de un goce efectivo de este derecho la obligación de que el medio para revocarlo debe ser de la misma simplicidad que aquel que se utilizó para prestarlo.
Se incorporan los principios fundamentales de finalidad y proporcionalidad, por los cuales todo dato personal que sea solicitado o utilizado debe estar justificado por una finalidad, cuya satisfacción o desaparición por cualquier motivo obligan al responsable a la supresión de los datos solicitados; al mismo tiempo que debe existir proporcionalidad entre los datos solicitados o utilizados y la finalidad invocada.
A su vez se incorpora al ordenamiento jurídico de nuestra Ciudad el derecho al olvido, por el cual los responsables no pueden aferrarse indefinidamente a los datos personales de las personas si ya no son necesarios para los fines que fueron recogidos, si se ha revocado el consentimiento, o si el tratamiento de los datos incumple la ley.
Si bien los datos personales en el ámbito particular de los Niños, Niñas y Adolescentes merecen indudablemente un tratamiento minucioso y extremadamente elaborado y su propio régimen legal, incorporamos a la ley principios fundamentales que deben observarse en el tratamiento de datos de este colectivo en particular. Así, se fija la edad de consentimiento en 16 años, debiendo el responsable verificar dentro de lo razonable que para los menos de ella edad el consentimiento haya sido prestado efectivamente por el adulto que tiene al niño, niña o adolescente a cargo. También se prevé la obligación de que la información y comunicaciones cuyo tratamiento afecten intereses de niños, niñas y adolescentes debe ser brindada en un lenguaje llano, simple y fácil de comprender.
Se prevé una sanción dentro de los límites de las potestades penales de la Ciudad para el tratamiento indebido de datos personales de NNyA a los efectos de mercadotecnia o elaboración de perfiles; previendo tanto el arresto de quien lo autorice como una multa a la persona jurídica responsable.
La protección de los Datos Personales tiene raigambre constitucional desde el año 1994, cuando se incorporó al artículo 43 de nuestra Carta Magna la acción del hábeas data. Desde dicho momento en adelante las regulaciones tanto constitucionales como internacionales han avanzado en la materia consagrando y consolidando la noción de que la protección de los datos personales es una tutela fundamental e ineludible del estado, debiendo éste generar los mecanismos y herramientas necesarias para garantizar una efectiva protección de los mismos.
Por ello, Sr. Presidente, solicito al cuerpo la aprobación del presente proyecto de ley.