El Registro Nacional de las Personas (Renaper, por su acrónimo), luego del supuesto incidente de seguridad que habría sufrido y del pedido de informes presentado al respecto por parte de la Asociación por los Derechos Civiles, publicó su política para la protección de los datos personales dentro del organismo (en adelante, «la Política»). La Política tiene por objeto resguardar y proteger el derecho a la privacidad de las personas humanas cuyos datos son objeto de tratamiento por parte del Renaper.

La Política tiene por objeto resguardar y proteger el derecho a la privacidad de las personas humanas cuyos datos son objeto de tratamiento por parte del Renaper. En su Disposición Nº 1/2022 (a la cual se puede acceder aquí), el Renaper señala que la Política adoptada es superadora de aquella Política Modelo de Protección de Datos Personales para Organismos Públicos elaborada por la Agencia de Acceso a la Información Pública (aprobada a través de la Resolución Nº 40/2018 de la Agencia, accesible aquí).

En ese sentido, el ámbito de aplicación de la Política pareciera extenderse a aquellos terceros que utilicen los servicios del Renaper como, por ejemplo, a los servicios de validación de identidad, actualmente utilizado por distintos proveedores de servicios digitales.  

Por su parte, la Política señala que todas las bases que contengan datos personales y sean utilizadas con fines estadísticos, deberán buscar ser anonimizadas previamente a fin de no poder vincular las mismas a ningún ciudadano en particular. A su vez, los datos anonimizados deberán imposibilitar la asociación con los titulares de datos personales previo a su tratamiento. En lo que a los datos biométricos refiere, la Política sigue lo dispuesto por el Criterio 4 de la Disposición 4/2019, reafirmando que estos se considerarán datos sensibles únicamente cuando puedan revelar datos adicionales cuyo uso resulte potencialmente discriminatorio para el titular de datos personales.

Por otro lado, la Política incorpora una obligación no presente en la Ley de Protección de Datos Personales Nº 25.326, aunque presente en la legislación comparada como, por ejemplo, el Reglamento General de Protección de Datos Personales (RGPD, por sus siglas en español) europeo, al requerir que dentro del Renaper cada responsable del tratamiento debe llevar un registro escrito de las actividades de tratamiento o procesamiento que se efectúen dentro de su competencia, la cual deberá contener, como mínimo, categorías de datos, identificación de activos y el registro de todas las actividades de procesamiento realizadas bajo su competencia. A la vez, el RENAPER deberá designar a un responsable de protección de los datos personales (generalmente conocido como un Funcionario de Protección de Datos o DPO, por sus siglas en inglés). Es esta persona quien deberá velar por el cumplimiento de la Política y quien actuará como consultor de quiénes sean responsables de tratamiento de los datos personales.

Finalmente, en lo que a incidentes de seguridad refiere, el responsable de seguridad de la información—identificado en la Política de Seguridad de la Información aprobada mediante la Resolución Renaper Nº 2979 del 13 de diciembre de 2013—tiene la obligación de comunicar la existencia del incidente tanto a la Dirección Nacional de Ciberseguridad como a la Dirección Nacional de Protección de Datos Personales de la Agencia de Acceso a la Información Pública en un plazo no superior a las 48 horas de haber tomado conocimiento y bajo las directivas impuestas en la Decisión Administrativa 641/2021 sobre los Requisitos mínimos de Seguridad de la Información para Organismos, junto con las medidas correctivas y paliativas implementadas y/o a implementar por el Renaper para minimizar las consecuencias de dicho incidente de seguridad.

No surge de la Disposición 1/2022 que se hubiera dado intervención o pedido opinión a la Agencia de Acceso a la Información Pública como autoridad de control de la Ley de Protección de Datos Personales Nº 25.326.