Luego de la instancia de consulta pública y el análisis de los aportes, opiniones y comentarios recibidos, la Agencia de Acceso a la Información Pública presentó el Proyecto de Ley de Protección de Datos Personales en el Congreso, para modernizar la legislación actual según los avances tecnológicos.

El proyecto que se presentó en el Congreso se inicia afirmando que "se debe conciliar el derecho a la protección de datos personales con el derecho a la libertad de expresión y el acceso a la información pública. En ningún caso puede afectar el secreto de las fuentes de información periodística".

Los nuevos artículos con avances tecnológicos

El proyecto de actualización de la ley de defensa de datos personales incluye muchas novedades tecnológicas de los últimos años, por caso:

Notificación de incidentes de seguridad: En caso de que ocurra un incidente de seguridad de datos personales, el Responsable del tratamiento debe notificarlo a la Autoridad de aplicación dentro de las 72 horas de haber tomado conocimiento de aquél.

De igual manera, el Responsable del tratamiento debe informar al Titular de los datos sobre el incidente de seguridad ocurrido, en un lenguaje claro y sencillo. Si ello supe un esfuerzo desproporcionado, la notificación puede realizarse mediante una comunicación pública

Asimismo, el proyecto afirma que sus cláusulas se aplican a empresas que no se encuentran establecidas en la Argentina, la que deberán contar con un representante en el país.

Los responsables están obligados a informar incidentes de seguridad

La obligación para la exactitud de los datos

La iniciativa prohíbe el tratamiento de datos falsos, desactualizados, inexactos, incompletos o que induzcan a error, lo que pone un límite a los buscadores, y consagra los siguientes beneficios:

1. Derecho de rectificación

El Titular de los datos tiene el derecho a obtener del Responsable del tratamiento la rectificación de sus datos personales, si éstos resultaran ser inexactos, falsos, errados, incompletos o no se encuentran actualizados.

En el supuesto de cesión o transferencia internacional de datos erróneos o desactualizados, el Responsable del tratamiento debe notificar la rectificación al cesionario dentro del plazo de 5 días hábiles de haber tomado conocimiento efectivo del error o la desactualización.

Durante el proceso de verificación y rectificación de la información de que se trate, el Responsable debe bloquear el dato, o bien consignar, al proveer información relativa a éste, la circunstancia de que se encuentra sometido a revisión.

2. Derecho de oposición

El Titular puede oponerse al tratamiento de sus datos o de una finalidad específica de éste, si no prestó consentimiento.

El Responsable del tratamiento debe dejar de tratar los datos personales objeto de oposición, salvo que existan motivos legítimos para el tratamiento que prevalezcan sobre los derechos del Titular de los datos.

El titular puede oponerse al tratamiento de sus datos y pedir la supresión

3. Derecho de supresión

Si bien el proyecto admite el derecho de supresión, ésta no procede si pudiese causar perjuicios a derechos o intereses legítimos de terceros, si prevalecen razones de interés público para el tratamiento de datos cuestionado.

Los límites a los algoritmos con información personal

El Titular de los datos tiene derecho a no ser objeto de una decisión basada única o parcialmente en el tratamiento automatizado de datos, incluida la elaboración de perfiles e inferencias, que le produzca efectos jurídicos perniciosos, lo afecte significativamente de forma negativa o tenga efectos discriminatorios.

Se entiende por decisiones parcialmente automatizadas o semiautomatizadas aquellas en las que no hay intervención humana significativa, o sea, los algoritmos.

El interesado tiene derecho a solicitar la revisión por una persona humana de las decisiones tomadas sobre la base del tratamiento automatizado o semiautomatizado que afecten a sus intereses, incluidas las decisiones encaminadas a definir sus aspectos personales, profesionales, de consumo, de crédito, de su personalidad u otros.

El Responsable del tratamiento debe proporcionar, siempre que se le solicite, información clara, completa y adecuada sobre los criterios y procedimientos utilizados para la decisión automatizada o semiautomatizada, con observancia de secretos comerciales e industriales.

En caso de no proporcionar la información a que se refiere este artículo con base en la observancia del secreto comercial e industrial, la Autoridad de aplicación puede realizar auditorías para verificar, entre otros, aspectos discriminatorios o de contenido erróneo o sesgado, en el tratamiento automatizado o semiautomatizado de información personal.

La autoridad puede realizar auditorías ante denuncias de discriminación

El Responsable del tratamiento debe adoptar las medidas adecuadas para salvaguardar los derechos del Titular de los datos; como mínimo, el derecho a obtener intervención humana por parte del Responsable del tratamiento, a expresar su punto de vista y a impugnar la decisión.

Qué otras novedades prevé el proyecto

El proyecto de la AAIP establece el Derecho a la portabilidad de datos personales.

Si se tratan datos personales mediante medios electrónicos o automatizados, el Titular de los datos tiene derecho a obtener una copia de los datos personales que hubiere proporcionado al Responsable o que sean objeto de tratamiento, en un formato que le permita su ulterior utilización por parte de otro Responsable.

El Titular de los datos puede solicitar que sus datos personales se transfieran directamente de Responsable a Responsable si ello fuera técnicamente posible.

Este derecho no procede en los siguientes casos:

• Su ejercicio impone una carga financiera o técnica excesiva o irrazonable sobre el Responsable del tratamiento.
• Vulnera la privacidad de otro Titular de los datos.
• Afecta las obligaciones legales del Responsable del tratamiento.
• Impide que el Responsable del tratamiento proteja sus derechos, seguridad, bienes, o los del Encargado del tratamiento, o del Titular de los datos o de un tercero.

El responsable puede oponerse a la portabilidad si es una carga financiera excesiva

Sin perjuicio de otros derechos del Titular, el derecho a la portabilidad de los datos personales no es procedente si se trata de información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamiento efectuado por el Responsable con base en los datos personales del Titular.

 Los límites a los informes de situación crediticia

Se prohíbe a las empresas prestadoras de servicios de información crediticia el tratamiento de datos de parientes del Titular, exceptuando el supuesto de quienes participen dentro de una misma sociedad comercial.

Plazo de conservación de la información crediticia: sólo se pueden tratar datos personales que sean significativos para evaluar la solvencia económico financiera durante los últimos 5 años, y el plazo se reduce a 1 año si el deudor cancela o extingue la obligación.

Deber de comunicación: a solicitud del Titular, los Responsables de tratamiento que elaboren un sistema de puntuación y/o calificación de acuerdo al comportamiento crediticio de las personas, deberán comunicarle detalladamente los datos sobre cuál es la fórmula, variables, el procedimiento y la información que se toma en cuenta o el algoritmo que se utiliza y su composición.

Por último, establece multas de 5 a 1 millón de una unidad móvil, cuyo valor inicial es de $10.000 y se actualizará por IPC, o de 2% a 5% de la facturación anual global.