El 30 de junio de 2023, el Poder Ejecutivo argentino, representado por su presidente, presentó ante el Congreso Nacional un nuevo proyecto de ley para reemplazar la actual Ley de Protección de Datos Personales (en adelante, el "Proyecto").
El Proyecto se basa en un anteproyecto elaborado por la Autoridad de Protección de Datos (DPA, por sus siglas en inglés) en septiembre de 2022, y en los comentarios, opiniones y aportes presentados por distintos actores del sector público y privado, la sociedad civil y la academia, durante un proceso de consulta pública.
De aprobarse el Proyecto, el actual Régimen de Protección de Datos Personales, entre otros, sería actualizado de la siguiente manera:
- La definición de datos sensibles sería reemplazada por una nueva que abarcaría toda información referida al ámbito privado de las personas o cuyo uso indebido pueda dar lugar a discriminación o pueda representar un alto riesgo para los titulares de los datos. Además de incorporar a las categorías actuales de datos sensibles, también se enumeran, como ejemplos de lo que constituyen datos sensibles, los datos relacionados con la identidad de género de las personas y los datos genéticos y biométricos.
- Se aclara el ámbito de aplicación, indicando que no se puede afectar el secreto con respecto a las fuentes de los periodistas, pero que, sin embargo, la ley sí aplica a cualquier otro tratamiento de datos personales realizado en el contexto de las actividades de los periodistas.
- Se prevé expresamente la aplicación extraterritorial de la ley, quedando sujetos a sus disposiciones tanto aquellos responsable o encargados del tratamiento que estén ubicados en Argentina—aunque el tratamiento se realice en otro país—como aquellos que no estén ubicados en Argentina pero cumplan otras condiciones (como por ejemplo, suministrar bienes y servicios a personas ubicadas en Argentina).
- Se introduce el principio de responsabilidad proactiva o accountability, requiriendo que los responsables y encargados del tratamiento implementen medidas de debida diligencia para identificar, prevenir, rendir cuentas y mitigar los impactos de sus actividades de tratamiento.
- Se reconoce nuevas bases legales además del consentimiento, incluido el interés legítimo del responsable del tratamiento de datos como así también la ejecución de medidas contractuales preliminares. Cuando se invoque el interés legítimo, los responsables del tratamiento deberán realizar un análisis detallado, previo y documentado.
- Además de los requerimientos actuales respecto del consentimiento del titular de los datos, éste deberá otorgarse de forma específica e inequívoca.
- La información que deberá facilitarse a los titulares de los datos deberá ser más amplia e incluirá, entre otras cosas, la base legal para el tratamiento de los datos y el plazo durante el cual se conservarán.
- Se reconoce una nueva base legal para el tratamiento de datos sensibles. El tratamiento de datos sensibles estará sujeto a una responsabilidad reforzada.
- Se regula específicamente el tratamiento de datos personales de menores. Por ejemplo, el consentimiento de los mayores de dieciséis años para el tratamiento de sus datos personales se considerará, en términos generales, válido.
- Los responsables del tratamiento estarán obligados a notificar los incidentes de seguridad a la DPA en un plazo de 72 horas desde que tengan conocimiento del incidente, así como también a los titulares de los datos.
- El consentimiento como base legal para la transferencia internacional de datos personales sólo se admitirá de forma excepcional y cuando no afecte a un gran número de personas.
- Se reconoce a los titulares de los datos, además del derecho de acceso, rectificación, actualización o supresión de sus datos personales, el derecho a oponerse al tratamiento de sus datos personales (actualmente sólo reconocido para los casos de marketing directo); el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado o semiautomatizado de datos personales cuando dicha decisión pueda tener efectos discriminatorios; el derecho a la portabilidad de los datos; y el derecho a solicitar la limitación del tratamiento. El plazo para responder a las solicitudes de los titulares de los datos se fija en 10 días para todos los casos.
- Cuando se tomen decisiones basadas únicamente en el tratamiento automatizado o semiautomatizado de datos personales, los responsables del tratamiento deberán facilitar a los titulares de los datos, a pedido de éstos, información sobre los criterios y procedimientos utilizados en dicha decisión, teniéndose en consideración los secretos comerciales e industriales. En aquellos casos en los que los responsables del tratamiento no faciliten dicha información basándose en secretos comerciales e industriales, la DPA podrá realizar auditorías para verificar cualquier contenido discriminatorio, erróneo o sesgado del tratamiento.
- Los responsables del tratamiento podrán realizar auditorías a los encargados del tratamiento para verificar el cumplimiento de la ley.
- Los encargados del tratamiento están obligados a informar a los responsables y a la DPA sobre los incidentes de seguridad cuando dichos incidentes supongan un riesgo para la administración de los datos personales.
- Tanto los responsables del tratamiento como los encargados del tratamiento estarán obligados a contar con políticas de privacidad.
- Los responsables del tratamiento estarán obligados a aplicar medidas de privacidad desde el diseño y por defecto y a realizar evaluaciones de impacto sobre la protección de datos (EIPD, por sus siglas en inglés) cuando se cumplan determinadas condiciones. En este último caso, cuando la EIPD ponga de manifiesto la existencia de un riesgo elevado para los titulares de los datos, los responsables del tratamiento tendrán que presentar su informe ante la DPA y no podrán iniciar sus actividades de tratamiento hasta que la DPA emita su dictamen sobre dicho informe.
- Los responsables y encargados del tratamiento de datos deberán designar un delegado de protección de datos o un representante en Argentina o inscribirse en el Registro Nacional de Protección de Datos Personales si se cumplen determinadas condiciones.
- Se introducen normas específicas sobre la elaboración de perfiles y la puntuación de los titulares de los datos.
- La DPA podrá imponer multas por un importe del 2% al 4% de la facturación total mundial y anual del responsable o encargado del tratamiento de datos. Alternativamente, podrá imponer multas por un importe total de hasta 1.000.000 de unidades móviles; la unidad móvil se establece en ARS 10.000.
- Por último, se incluye a los encargados del tratamiento de datos como posibles sujetos pasivos en las acciones de habeas data.
El Proyecto establece que sus disposiciones entrarán en vigor a los 180 días de su publicación en el Boletín Oficial, con excepción de su artículo 79 sobre sanciones administrativas, que entrará en vigor una vez realizada la publicación. La Ley de Protección de Datos Personales permanecerá vigente durante el período mencionado y, por lo tanto, su infracción dará lugar a las sanciones establecidas en el artículo 79.