El 15 de julio de 2022, se presentó el Proyecto de Ley 3661–D–2022 (en adelante, "el Proyecto"») que pretende modificar el artículo 9 de la Ley Argentina Nº 25.326 de Protección de Datos Personales. El artículo 9 actual regula el deber general de seguridad y establece que "El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado."
La regulación actual no prevé de forma expresa una obligación de notificar los incidentes de seguridad a la autoridad de control, ni a los titulares de los datos personales que puedan verse afectados por el mismo.
Sin perjuicio de ello, sobre la base del artículo 9, la autoridad de control dictó la Resolución Nº 47/2018, que recomienda a los responsables por el tratamiento de los datos a notificar a la autoridad de control respecto del incidente de seguridad sufrido. En ese sentido, la autoridad de control es de la opinión que, si bien las medidas de Resolución Nº 47/2018 son recomendadas, es esperable que los incidentes sean reportados como una medida que regula la obligación general de seguridad incluido en el régimen de protección de datos. Ello, complementado por el deber general de prevención del daño contenido en el Código Civil y Comercial de la Nación.
Sobre esta base, el Proyecto introduce el deber de notificar a la autoridad de control frente a un incidente de seguridad.
Así, establece que, frente a un incidente de seguridad, el responsable del tratamiento deberá notificarlo a la autoridad de control, en lo posible, dentro de las 72 horas de haberlo detectado y, al titular de los datos también, a menos que sea improbable que dicho incidente constituya un riesgo para los derechos de los titulares. El Proyecto también prevé la posibilidad de requerir una prórroga de hasta 10 días si se acreditan motivos que lo justifiquen. De igual manera, el responsable del tratamiento deberá realizar la denuncia penal correspondiente.
En su caso, la notificación y la denuncia deberán contener, al menos, la siguiente información:
- la naturaleza del incidente;
- la categoría de datos personales comprometidos;
- identificación de titulares afectados;
- posibles consecuencias del incidente;
- medidas adoptadas para remediarlo y, en su caso, para mitigar los posibles efectos negativos;
- medidas correctivas aplicadas para evitar futuros incidentes;
- recomendaciones al titular de los datos acerca de las medidas que este pueda adoptar para proteger sus intereses;
- Los medios a disposición del titular de los datos para obtener más información al respecto;
Asimismo, el Proyecto establece que el responsable del tratamiento deberá documentar todo incidente de la seguridad, identificando la fecha en que ocurrió, el motivo, los hechos relacionados con él y sus efectos y las medidas correctivas.