A través de un comunicado de prensa, la Dirección Nacional de Protección de Datos Personales (DNPDP) invitó a los interesados a debatir sobre una posible modificación de la Ley No. 25.326 de Protección de Datos Personales (LPDP).

Recientemente, la DNPDP emitió un comunicado de prensa que plantea la necesidad de repensar la ley actual impulsando un proceso de reflexión acerca de la regulación de la protección de datos personales en Argentina. Fundamenta la necesidad de modificar el marco normativo en (i) los avances tecnológicos que se han dado desde la sanción de la LPDP en el año 2000, (ii) la experiencia que ha adquirido la DNPDP durante este tiempo y (iii) el nuevo escenario internacional, en particular el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.

En estas circunstancias, la DNPDP sostiene la necesidad de una reforma parcial o total.

Así, la DNPDP identifica ciertas líneas de discusión que incluyen la necesidad de incorporar en la ley nuevos conceptos que no fueron considerados al sancionarse la LPDP pero que resultan importantes a la luz del debate global actual. Entre otros aspectos, menciona la inclusión de normas de responsabilidad demostrada (accountability, en inglés) que obliguen a los responsables de las bases de datos a demostrar el efectivo cumplimiento con la LPDP. Entre estas normas se encuentran la de incorporar un “delegado de protección de datos” en organismos públicos (y algunos organismos privados) que sea el responsable directo en materia de protección de datos personales, la introducción del “derecho al olvido” o derecho a la desindexación y la incorporación de la política de “privacidad desde el diseño” y los estudios de impacto.

Por otro lado, también propone modificar ciertos aspectos de la ley actual reflexionando acerca del objeto de la ley y sobre si su protección debería abarcar tanto a personas físicas como jurídicas. Asimismo, busca revisar las definiciones contenidas en la ley e incorporar nuevas.

Además, la DNPDP también considera necesario reformular los principios generales establecidos en la ley, incluyendo la reformulación integral de las transferencias internacionales de datos personales, las condiciones especiales del consentimiento en caso de menores y ciertos parámetros de licitud del tratamiento de los datos, como así también la incorporación de la notificación obligatoria a la autoridad de aplicación de los incidentes de filtración de datos (data breach, en inglés).

El documento también identifica la necesidad de revisar los derechos y obligaciones de los titulares de datos, los usuarios y los responsables de bancos de datos o archivos, haciendo especial énfasis en posibles modificaciones con relación a los servicios de información crediticia.

Por último, propone discutir el diseño institucional y facultades de la DNPDP, incluyendo su autonomía. Esto es algo que ha sido expresamente mencionado por la Unión Europea al otorgar a la Argentina el carácter de jurisdicción con un nivel adecuado de protección en materia de datos personales y que podría tener relevancia a la luz del nuevo Reglamento (UE) 2016/679. El comunicado también plantea la posibilidad de revisar las sanciones previstas en la norma a fin de hacer el mecanismo de sanción más eficaz.

Si bien el proceso de discusión tiene mayor relevancia por haber sido impulsado por la propia autoridad de aplicación, no tenemos conocimiento de que la DNPDP haya preparado un proyecto de ley para discusión en el Congreso de la Nación.