En noviembre de 2020 ingresó un Proyecto de ley sobre protección de datos personales. El objetivo de este proyecto es reemplazar la vetusta ley 25.326 que ha cumplido 20 años. Como dice el tango, 20 años no es nada, pero en tiempos de Internet me parece que es mucho. La ley 25.326 quedó anticuada por el cambio tecnológico y el cambio normativo de estándares internacionales como el Europeo (hace dos años entró en vigencia el RGPD).
El proyecto fue girado a las Comisiones de Asuntos
Constitucionales, Justicia, Legislación General y Presupuesto y Hacienda. Los
autores son: Karina Banfi (UCR - Buenos
Aires), Mario Negri (UCR - Córdoba) y otros. El proyecto fue elaborado por la oposición al actual gobierno. Imagino que el oficialismo presentará su propio proyecto.
El proyecto tiene fuertes similitudes con la versión presentada por la AAIP hace unos años y que se inspiraba en el RGPD europeo. Fue un proyecto que se trabajó con mucho consenso de la academia y del sector privado.
Ahora señalo algunas cosas buenas y otras malas que tiene el proyecto:
Principios generales
- datos biométricos - no son considerados datos sensibles.
- sigue el consentimiento tácito, que en materia de Internet en algunos casos parece lógico pero va a ser problemático interpretarlo. Y puede ser materia de abusos...
- se introduce el interés legítimo que no esta en la ley 25.326, muy positivo, pero va a implicar pensar de otro modo el derecho de los datos personales luego de basarnos por dos décadas en el consentimiento.
- no veo temas de IA, algoritmos, y transparencia en materia de procesamiento de datos personales. Tampoco hay nada de covid19 a la pandemia.
- en materia de DPO, parece que muy pocos casos lo van a tener que nombrar (y esas empresas ya tienen uno aunque la ley no lo establezca!), esto va en contra de la difusión de la cultura de la protección de datos personales.
Ciberseguridad
Creo que hay muchas cosas para hacer, se copia parte del GDPR y se lo mezcla con lo que está actualmente contemplado en la ley 25.326, pero se puede mejorar. Para empezar, poner a cargo de todos los proveedores de servicios informáticos (no solo los que tienen datos personales), la obligación legal de seguridad. Es decir que este deber no recae sólo en cabeza del responsable y del encargado del tratamiento sino también de quien instala un app, un firewall, o quien vende un antivirus. Y estos estándares deben ser obligatorios, si no no sirven, y nadie se toma la molestia (y el gasto) de implementarlos. Es que hoy en día en Internet la ciberseguridad
es algo colectivo, como el medioambiente. Si no
cuidas tus datos, otros sufren las consecuencias. Una reciente
comparación entre las normas de la 47 del 2018 y los estándares mas reconocidos de la industria muestra que no estamos tan mal en materia de reglas,
pero la norma de la AAIP no es obligatoria,
debería ser obligatoria por ley, con una delegación a la AAIP para actualizar los estándares.
Asimismo, respecto el Estado, disponer que los titulares de datos tenemos que ser informados de qué sucede con la seguridad de nuestros datos. Del
hacking a Migraciones, a Vialidad,
a la Policía Federal (que ni siquiera se dignó a responder el pedido de la AAIP), etc. nos enteramos por los diarios, pero ninguna entidad del Estado tuve la delicadeza de avisarnos. Mas bien lo esconden o se niegan a informar esto, debería ser obligatorio que informen aunque sea vía web.
A modo de ejemplo de lo que digo, hace poco le pedí a Migraciones que me de acceso a mis datos personales y las normas de seguridad que habría implementado y me contestó con generalidades, pero lo mas sorprendente es me respondieron que los datos que tiene son confidenciales, invocando el decreto reglamentario de la ley de migraciones.
Outsourcing
Se repite el mismo error del
proyecto anterior que es tratar la tercerización de datos personales o outsourcing en dos normas dentro del proyecto. Los arts. 26 y 39 tratan con redacción diferente el mismo instituto. En todo el derecho comparado esto se trata de una sola forma en una sola norma. La solución no se da borrando uno de los artículos sino amalgamando ambos, pues ambos tienen cosas interesantes. En el art. 39 hay que borrar lo de los dos años. No da borrar cada dos años los datos. Por otra parte deberíamos tomar como modelo de este tema el GDPR o la normativa española que lo implementa que es mas completa aun.
Informes comerciales
En materia de informes comerciales -tema central para el desarrollo del mercado crediticio- se establece que todo tiene que pasar por el BCRA. Esto es un error, porque actualmente es al revés, no todo pasa por el BCRA, sino que las empresas de informes comerciales toman datos públicos del BCRA que es fuente pública y los republican, además de compartir datos entre los bancos. Además es un error que todo pase por el BCRA porque existen deudas no financieras, que no tienen nada que ver con el BCRA. Por otra lado es una forma innecesaria de obligar al Estado, en este caso al BCRA a intermediar en algo que no le compete.
Revisión judicial de sanciones
Se sigue con la idea de que no haya recurso de Alzada, tal vez con la idea de dotar de más independencia a la AAIP, y que solo tenga revisión judicial con un recurso directo ante una cámara de apelaciones. Esto parte de una visión de que el
Convenio 108 y su protocolo (
Argentina fue el país n. 33 en suscribirlo) así lo exigirían. El Convenio no dice expresamente eso, pero a veces en aras a dotar de mas independencia a las agencias se hacen esas cosas.
Multas
Esta es un tema importante, sin multas importantes, la espada de la ley no tiene filo, no pincha ni corta. Actualmente la multa máxima en la ley 25.326 es de 100,000 pesos, que al cambio en USD da una cifra muy baja de usd 625, sobre todo para las tecnológicas. El proyecto propone atarlo al salario mínimo, vital y móvil (a dic. 2020 es $20.587). El máximo son 5925 unidades de este salario o 2% del volumen de negocio total anual global del ejercicio anterior, lo que sea mayor. Si se trata de una empresa extranjera, lo segundo va a ser siempre mayor. El resultado del máximo arroja aproximadamente 121 millones de pesos que en dólares da 762,000.
Otro problema actual es que la revisión (lenta) de la multa por la vía judicial, hace que la misma no se cobre nunca. Cuando llega el momento de cobrarla, con varios años de litigio la multa es muy baja. A modo de ejemplo, citamos el caso de la empresa que operaba Globinfo cuya razón social es Open Discovery SA. La sanción de la DNPDP es del año 2009, el fallo de
la justicia (aun no está firme) confirmatorio del acto administrativo sancionatorio es de octubre 2020, es decir que
pasaron 11 años. Cuando la sanción quede firma posiblemente pasen 12 o 13 años. Con la inflación que tiene Argentina la multa de pesos 50.001 ahora no es nada... y es una invitación a infringir.
Esto el proyecto lo soluciona con una recurso directo a la cámara de apelaciones, con lo cual no hay revisión del acto administrativo en primera instancia. Pero igualmente el tema de las multas efectivas requiere una mirada especial para que la ley no pierda fuerza.
Acción de habeas data
La acción de habeas data cambia respecto a la ley 25.326. Se le da una redacción al estilo del amparo en el art. 71, lo que no la hace tan clara, preferiría algo mas directo y puntual (
un buen ejemplo es la ley procesal de la Pcia de Bs As.). Asimismo se crea una legitimación colectiva, pero no es muy claro su alcance, la redacción podría ser mejor.
- otra vez se comete el error de invitar a las provincias a adherir ¿a adherir a que? La Constitución Nacional claramente delimita las facultades de la Nación y las provincias. Las normas de fondo son nacionales, las normas procesales y de derecho público son provinciales. No da adherir a una norma de otro rango, mala práctica si es la praxis. La Nación no va a adherir a algo hecho en una provincia, y las provincias no deberían adherir a algo nacional (para algo tienen legisladores provinciales), las provincia deberían respetar su propia autonomía y legislar cuando les corresponde.