El Estado argentino es uno de los principales actores en la recolección, almacenamiento y procesamiento de datos personales. Bajo la Ley 25.326 de Protección de Datos (LPDP, por sus siglas), el Estado se encuentra facultado para tratar los datos personales en el marco de sus funciones propias. Sin embargo, este hecho no implica relativizar o disminuir la obligación del sector público y de cada uno de sus organismos de cumplir con la ley, sino todo lo contrario; por sus propias funciones, el Estado tiene un deber legal y ético de cumplir y hacer respetar la ley y sus normas complementarias.
Es por ello que el Consejo Federal para la Transparencia (CFT) emitió sus Lineamientos para la formulación de un Plan de Protección de Datos Personales para el sector público. El objetivo es brindar asistencia a las organizaciones públicas para gestionar adecuadamente los datos personales.
El CFT es un organismo que está constituido por un representante de cada una de las provincias y un representante de la Ciudad Autónoma de Buenos Aires. Tiene como objetivo la cooperación técnica entre las distintas jurisdicciones y la concertación de políticas públicas de transparencia y de protección de datos personales a nivel federal. El CFT fue creado por el artículo 29 de la Ley 27.275 de Acceso a la Información Pública. Está dispone que tendrá su sede en la Agencia de Acceso a la Información Pública de la cual recibirá apoyo administrativo y técnico para su funcionamiento, a partir de un enfoque integral a fin de lograr una mejor calidad de vida de la ciudadanía.
Los Lineamientos destacan que es importante que el plan de protección de datos personales esté documentado y se revise y audite periódicamente. Además, se prevé que un plan de protección de datos personales debería:
- establecer los objetivos del organismo en materia de protección de datos personales;
- identificar la normativa aplicable;
- establecer las vías para recolectar datos personales, los tipos de datos que se recolectan y su flujo interno;
- definir las bases legales para el tratamiento de los datos;
- describir las medidas adoptadas para garantizar la seguridad de los datos personales;
- establecer los plazos de conservación;
- detallar de manera práctica la forma en la que se garantizarán los derechos de los titulares de los datos;
- definir el modo en el que se capacitará y concientizará al personal en el manejo seguro y responsable de datos personales y la privacidad;
- establecer un plan de acción para incidentes de seguridad, que incluya la notificación de las autoridades y personas afectadas;
- definir los procesos de supervisión interna para corroborar el cumplimiento de las políticas y procedimientos establecidos;
- cumplir con el principio de la responsabilidad proactiva (este punto incluye la designación de un delegado de protección de datos y la realización de evaluaciones de impacto); e
- implementar una política de privacidad.
Sobre este último punto, los Lineamientos establecen el carácter esencial de la política de privacidad en el plan de protección de datos personales y destacan que este documento permite a los organismos públicos cumplir con el deber de informar.
En relación con su contenido, los Lineamientos disponen que debe incluir información sobre las finalidades del tratamiento, los datos que se recolectan, los derechos que asisten a los titulares y cómo se pueden ejercer, el derecho de iniciar un reclamo ante la Agencia de Acceso a la Información Pública, los plazos de conservación, las medidas de seguridad adoptadas, el registro de la base de datos, las cesiones que se hagan y si se realizan transferencias internacionales. Al respecto, recomienda utilizar como guía la política modelo de protección de datos del sector público aprobada por la Resolución 40/2018 de la Agencia de Acceso a la Información Pública.
También se remarca que casi el 80% del sector público contrata proveedores de servicios de alojamiento de datos en la nube, tanto públicos (como la Empresa Argentina de Soluciones Satelitales S.A., o AR-SAT) o privados. Señala además que los proveedores del sector privado de este tipo de servicios suelen encontrarse en el extranjero y se indica que, para ello, es necesario que los responsables del tratamiento implementen acuerdos de procesamiento de datos. Este tipo de contratos permiten al responsable controlar las condiciones en que se va a brindar el servicio independientemente del lugar en que se aloje el encargado o el sub-encargado.
Asimismo, el CFT resalta que, si bien los Lineamientos constituyen una guía en la materia, cada ente (sea organismo o provincia) debe adecuarlos a los desafíos y realidades de sus jurisdicciones, teniendo en cuenta la protección de los datos personales desde el diseño de las políticas públicas y durante todo el ciclo.
Por último, en las consideraciones finales de los Lineamientos, el CFT reiteró la necesidad de modernizar los marcos normativos con nuevos principios y derechos. En este sentido, destacó que el Proyecto de Ley de Protección de Datos Personales elaborado desde la Agencia de Acceso a la Información Pública propone un cambio de paradigma: pasar de un modelo de protección de registros de datos, a uno que garantice el derecho humano de las personas.