El Gobierno busca regular el uso de datos personales en bancos y empresas que ofrecen créditos
/https://assets.iprofesional.com/assets/jpg/2023/07/557178.jpg)
El proyecto del Poder Ejecutivo establece reglas para proteger los datos personales de los niños y prohíbe, entre otras cuestiones, a las empresas de información crediticia el tratamiento de datos de parientes del titular
Si bien la Argentina fue precursora en la región en materia de Protección de Datos Personales, sentando las bases y brindando un marco regulatorio robusto, con este proyecto se busca actualizar una legislación que cuenta con más de 20 años de antigüedad.
El proyecto enviado al Congreso establece, entre otras cuestiones, una protección especial para los niños en los juegos y aplicaciones que involucre información personal.
Protección de datos en niños y adolescentes
El proyecto prevé una protección especial para los niños y establece reglas específicas para proteger los datos personales de los niños cuando se procesan en el contexto de los servicios de la sociedad de la información.
"Se prohíbe realizar el tratamiento de datos personales de niños, niñas y adolescentes en los juegos, aplicaciones, desarrollos e innovaciones tecnológicas, u otras actividades afines que involucren información personal, más allá de lo estrictamente necesario para la realización de la actividad", indica la iniciativa.
Sin embargo, establece que será válido "el consentimiento de adolescentes a partir de 16 años para el tratamiento de sus datos personales".
En ese sentido, dispone que los menores de 16 años podrán "dar un asentimiento informado", pero el tratamiento únicamente se considerará lícito "si la persona titular de la responsabilidad parental o quien se encuentre a cargo de su ejercicio o de la guarda o tutela sobre la niña, el niño o adolescente otorgó el consentimiento".
"Es tarea del Estado y de las entidades educativas proveer información y capacitar a niñas, niños y adolescentes sobre los eventuales riesgos a los que se enfrentan respecto del tratamiento indebido de sus datos personales, sobre el uso responsable y seguro de sus datos personales, sobre su derecho a la privacidad y a la autodeterminación informativa, y sobre el respeto de los derechos de los demás", indica el proyecto.
Privacidad de datos de clientes en bancos y empresas crediticias
En uno de sus capítulos, el proyecto regula la protección de datos de información crediticia del sector financiero y no financiero.
A través de la iniciativa, se prohíbe a las empresas prestadoras de servicios de información crediticia el tratamiento de datos de parientes de la persona titular de los datos, exceptuando el supuesto de quienes participen dentro de una misma sociedad comercial. Tampoco se pueden tratar los datos comerciales negativos referidos a la prestación de los servicios públicos esenciales.
De acuerdo al proyecto, solo se podrán tratar datos personales que sean significativos para evaluar la solvencia económico financiera durante los últimos 5 años. Sin embargo, el plazo se reducirá a dos años si el deudor cancela o extingue la obligación, a contar a partir de la fecha precisa en que lo ha hecho, y esto debe constar en el informe crediticio.
En tanto, la solicitud de la persona titular de los datos, los responsables de tratamiento que elaboren un sistema de puntuación o calificación de acuerdo al comportamiento crediticio de las personas, deberán comunicarle el detalle de la fórmula aplicada, las variables consideradas, el procedimiento y la información que se toma en cuenta, o el algoritmo que se utiliza y su composición.
Las entidades crediticias, financieras, y cualquier otro acreedor, deben comunicar en forma diligente a la titular de los datos el cambio de situación crediticia, por un medio que permita acreditar el envío y su fecha. Esa comunicación se debe realizar cuando las obligaciones pasen de cumplimiento normal a incumplimiento, dentro de los 10 días hábiles de producida la nueva clasificación. .
En el caso que se deniegue a la titular de los datos la celebración de un contrato, solicitud de trabajo, servicio, crédito comercial o financiero, sustentado en un informe crediticio, se le debe informar tal circunstancia, así como la empresa que proveyó dicho informe, y hacerle entrega de una copia.
El Gobierno busca actualizar la ley de datos personales
En el año 2000, se aprobó la Ley 25.326 de Protección de Datos Personales, reglamentada por el Decreto 1558/2001 y varias resoluciones y disposiciones emitidas por la Agencia de Acceso a la Información Pública (AAIP) pero con los distintos avances tecnológicos esta norma quedó desactualizada.
Para la AAIP, "es necesaria la actualización para fortalecer las capacidades estatales de regulación y gestión de políticas públicas en pos de enfrentar los nuevos desafíos impuestos por la transformación y desarrollo tecnológico en un contexto de la economía digital globalizada, y a su vez contribuir con la armonización de los estándares regionales e internacionales en materia de protección de datos personales, desde un enfoque de Derechos Humanos y desde una mirada situada y soberana".
Para la elaboración del proyecto se tuvieron en cuenta el Reglamento General de Protección de Datos, las Recomendaciones sobre Ética de la Inteligencia Artificial de la ONU para la UNESCO, y el Convenio 108+, al que Argentina ratificó por ley en noviembre pasado, entre otros instrumentos.
En los fundamentos, el Poder Ejecutivo explicó que el proyecto se encuadra en el derecho humano a la protección de los datos personales y la autodeterminación informativa; la innovación tecnológica -basada en principios éticos- que promueva un desarrollo económico inclusivo; y la construcción de confianza a través de reglas de juego claras.
Datos personales: las multas,, actualizadas por inflación
Además de actualizar lo referido a las distintas sanciones, en relación a las multas, la iniciativa incorpora una unidad móvil sujeta a la variación del Índice de Precios al Consumidor (IPC) y eleva los montos sustantivamente.
En el proyecto se plantea un valor inicial de la unidad móvil de $10.000, que deberá actualizarse anualmente según la variación del Índice de Precios al Consumidor (IPC) publicado por el INDEC.
Las multas irían desde las cinco unidades móviles hasta un millón o desde el 2% al 4% de la facturación total anual global del infractor en el ejercicio financiero anterior a la aplicación de la sanción.
Derecho a la portabilidad de datos personales
Si se tratan datos personales mediante medios electrónicos o automatizados, la persona Titular de los datos tiene derecho a obtener una copia de los datos personales que hubiere proporcionado al Responsable de tratamiento o que sean objeto de tratamiento, en un formato que le permita su ulterior utilización por parte de otro Responsable de Tratamiento.
La persona Titular de los datos puede solicitar que sus datos personales se transfieran directamente de Responsable a Responsable de tratamiento si ello fuera técnicamente posible.
De todos modos, este derecho no procede si:
- Su ejercicio impone una carga financiera o técnica excesiva o irrazonable sobre el Responsable de tratamiento, de conformidad con lo que establezca la normativa complementaria;
- Vulnera la privacidad de otra persona Titular de los datos;
- Afecta las obligaciones legales del Responsable de tratamiento;
- Impide que el Responsable de tratamiento proteja sus derechos, seguridad, bienes, o los del Encargado de tratamiento, o de la persona Titular de los datos o de un tercero.
Otras modificaciones
El proyecto impone además la obligación de comunicar las violaciones de datos a la AAIP dentro de las 72 horas posteriores a tomar conocimiento de la vulneración, si es que es probable que esta suponga un riesgo para los derechos de los interesados. Asimismo, establece que el responsable de los datos únicamente podrá ser relevado del deber de confidencialidad a través de resolución judicial u obligación legal.
Además, se permite el tratamiento de datos sensibles con finalidades estadísticas o científicas, siempre que el titular de los datos no pueda ser identificado.
En ningún caso se puede afectar el secreto de las fuentes de información periodística. Sin perjuicio del secreto de la fuente de información periodística, todo otro tratamiento de los datos personales en el marco de esta actividad se encuentra alcanzado por la ley.
Los datos personales deben ser recogidos con fines determinados, explícitos y legítimos. No deben ser tratados de manera incompatible.
Queda exceptuado de los alcances de la ley, el tratamiento de datos que efectúe una persona humana para su uso exclusivamente privado o de su grupo familiar y, por tanto, sin conexión alguna con una actividad profesional o comercial.
Los datos personales no deben ser mantenidos más allá del tiempo estrictamente necesario para el cumplimiento de la finalidad del tratamiento
Pueden conservarse durante períodos más largos, siempre que se trate exclusivamente de fines estadísticos, de archivo en interés público, de investigación científica o histórica, sin perjuicio de la aplicación de las medidas técnicas y organizativas.
En el caso en que la base legal para el tratamiento de datos sea el consentimiento de la persona titular de los datos, se requiere que este sea expreso, previo, libre, específico, informado e inequívoco, para una o varias finalidades determinadas, ya sea mediante una declaración o una clara acción afirmativa.
En torno al tratamiento de datos sensibles, se debe implementar la responsabilidad reforzada. Esto implica mayores niveles de seguridad, confidencialidad, restricciones de acceso, uso y circulación.
Por otro lado, el proyecto incorpora el principio de extraterritorialidad que establece que la normativa se aplicará se aplicará a las organizaciones fuera de Argentina si, por ejemplo, ofrecen bienes o servicios o monitorean el comportamiento de las personas en nuestro país.