Convergencia Research, Consultoría especializada en Latinoamérica y Caribe
miércoles 25 de enero de 2023

La actualización de la ley de protección de datos personales entra en la recta final

Su principal impulsor es la Agencia de Acceso a la Información Pública. El pilar del proyecto es el titular de los datos como sujeto de derecho, garantizando el ejercicio del derecho fundamental de las personas humanas. Además, busca entregar reglas claras a las firmas cuyo negocio principal es el manejo de los datos de las personas. Polémica por las sanciones propuestas a los incumplidores.

A 22 años de la sanción de la Ley 25.326 de Protección de Datos Personales, un proyecto de actualización se acerca a su debate en el Congreso, tras haber atravesado un proceso de consulta pública, revisiones, mesas de audiencia e incluso un antecedente de reforma en 2018 que perdió estado parlamentario.

Su principal impulsor es la Agencia de Acceso a la Información Pública (AAIP), que estrenó nueva directora en febrero de 2022, Beatriz de Anchorena, y la meta central de su gestión fue encarar la actualización. La funcionaria planteó a Convergencia como pilar del nuevo texto al titular de los datos como sujeto de derecho: la ley vigente se enfoca en la protección de los datos personales e incluye a personas de existencia ideal (empresas, asociaciones, entre otros) dentro de su objeto; en cambio, la nueva normativa apunta a garantizar el ejercicio del derecho fundamental de las personas humanas. Es decir, el dato en sí mismo ya no está en el centro, sino la persona. Aquí yace el cambio del paradigma contenido en la reforma.

Se toma en cuenta, además, la realidad de la economía digital actual, distante de la incipiente de 2000, cuando se sancionó la ley vigente: las empresas de facturación en crecimiento son aquellas que tienen en su core de negocio los datos personales. A esta realidad es la que apunta el proyecto de ley: la idea de la AAIP es generar reglas claras tanto al titular de datos como a las empresas, a los emprendedores, a aquellos cuyos negocios utilizan los datos personales. Entre esas reglas se incluyen sanciones de peso, en la misma línea del “Reglamento General de Protección de Datos” (por sus siglas en inglés, GDPR), establecido por el Parlamento Europeo en 2016 y en vigencia desde 2018. La Ley 25.326, de 2000, fijó multas pecuniarias de un máximo de $ 100.000 (US$ 10.000 de la época), en tanto que el nuevo proyecto contempla límites atados a unidades móviles, lo que supone montos de hasta US$ 60 millones o el 4% de la facturación anual global del grupo económico.

Por otro lado, según resalta Anchorena, se incorpora la neutralidad tecnológica, de manera que el texto no quede obsoleto: la ley aplica a todo tipo de tratamiento de datos al margen de las tecnologías o procedimientos que se utilicen para dicho efecto.

Consulta. El proyecto que se sometió a discusión pública a partir de agosto constaba de 76 artículos, distribuidos en 11 capítulos, y fue el resultado de un proceso de revisión iniciado en 2008. Recuperó a su vez lo avanzado por la gestión del anterior director de la AAIP, Eduardo Bertoni, que había comenzado el proceso de reforma mediante una plataforma de creación participativa de normas -“Justicia2020”-: el proyecto elaborado a instancias de esas consultas con todo el ecosistema público y privado se presentó en el Congreso pero no fue tratado, por lo que perdió estado parlamentario y Bertoni renunció a su cargo en la AAIP en enero de 2021.

De los 76 artículos que integraron la propuesta de anteproyecto de actualización normativa, 43 fueron revisados y modificados a partir de 173 comentarios de 123 participantes. Se incorporaron a su vez 4 nuevos artículos, por lo que el proyecto final cuenta con 80. Entre las modificaciones efectuadas a partir de la consulta pública está la incorporación del principio de preeminencia en el artículo 10°: establece que, en caso de duda sobre la interpretación y la aplicación de la ley, prevalecerá la más favorable al titular de los datos personales. Se agregaron también detalles sobre el rol del encargado de tratamiento de la información en entes públicos o privados: “Se encuentra obligado a la implementación de la debida diligencia en la materia, entendida como un proceso continuo, orientado a identificar, prevenir, rendir cuentas y mitigar los impactos adversos que se pudieran ocasionar”. Se modificó también el artículo 17°, que aborda el tratamiento de datos sensibles, incluyendo que, “cuando los organismos públicos traten datos personales sensibles, deberán proveer condiciones más estrictas de seguridad, lo que debe implementarse mediante salvaguardas apropiadas adicionales, diseñadas específicamente”.

Como artículo 74º se incorporó a partir de la consulta pública un plazo de un año a partir de la publicación de la ley en Boletín Oficial para la adaptación de responsables y encargados de tratamiento de datos a las nuevas disposiciones.

Repercusiones. La urgencia de la necesidad de actualización de la Ley 25.326 es una idea compartida por referentes en torno a la protección de datos. En el marco del evento Argensig 2022, Adrián Acosta, jefe de la División de Seguridad Informática de la Policía Federal Argentina, sostuvo que las empresas que infringen la normativa actual “no reciben casi sanciones”. Alertó que las bases de datos son robadas “a diario”, sin repercusión alguna.

Para Juan Pablo Altmark, presidente de la Asociación Latinoamericana de Privacidad (ALAP), la complejidad estará en lograr el cumplimiento de las empresas que tratan datos personales. La tarea de la autoridad de aplicación -la Agencia de Acceso a la Información Pública y Protección de Datos Personales- deberá bajar al terreno de la práctica conceptos abstractos estipulados en el nuevo texto, con esfuerzos en “accountability” que se mostraron como el corazón de la efectividad del GDPR y el Convenio 108+. En particular es dificultosa la aplicación de la extraterritorialidad, aspecto que sigue siendo un obstáculo para los procesos encarados en la Unión Europea.

Otro punto que podría trabar el proyecto en el Congreso, a juicio de Altmark, es el monto establecido para las sanciones, muy por encima de los US$ 20 millones estipulados en la regulación europea y de US$ 10 millones en la brasileña. Por eso, ante las complicaciones de ejecución concreta que podría tener una eventual nueva ley, el titular de ALAP consideró en diálogo con Convergencia que su importancia reside en el establecimiento de nuevos estándares, más que en un cambio en la realidad del tratamiento de datos.

Para el seguimiento de posibles incumplimientos será clave además que el Estado dedique presupuesto a la gestión de la privacidad y la seguridad de la información, considerando que es el mayor procesador de datos del país, y a la vez, el menos seguro, según indica la propia ALAP. Los profesionales en privacidad de datos constituyen uno de los talentos más buscados -y mejores pagos-, por lo que el Estado deberá afrontar su incorporación para la aplicación de la nueva normativa.

Mario Adaro, ministro de la Suprema Corte de Justicia de Mendoza y referente en digitalización de sistemas judiciales, planteó durante Argensig 2022 que la discusión de la norma debe tener en cuenta el abordaje de la persona en la Web 3.0, con la participación en el metaverso y la propiedad de activos digitales que esta etapa supone. Ante esa evolución es crucial evitar “datificar” a la persona y considerar la dimensión humana desde un enfoque de reconocimiento de derechos.

Últimas noticias y análisis

Estados Unidos · Software y Aplicaciones

27/03/2024

La empresa de redes sociales de Trump se dispara en su debut en bolsa

Uruguay · TV Paga · Internet & OTT · Operadores

27/03/2024

Por medio de acuerdos con Claro y Movistar, los cableoperadores amplían su oferta de Internet

Se trata de convenios de distinto tipo, que incluyen dejar la última milla para el cableoperador o contratos por ancho de banda disponible. Antel podría sumarse con arriendo de infraestructura. Algunos cableoperadores ya están construyendo sus propias redes.

Uruguay · TV Paga · Internet & OTT · Operadores

27/03/2024

Por medio de acuerdos con Claro y Movistar, los cableoperadores amplían su oferta de Internet

Se trata de convenios de distinto tipo, que incluyen dejar la última milla para el cableoperador o contratos por ancho de banda disponible. Antel podría sumarse con arriendo de infraestructura. Algunos cableoperadores ya están construyendo sus propias redes.

Paraguay · Operadores

26/03/2024

El Gobierno analiza la privatización parcial de Copaco

El operador estatal atraviesa un delicado momento. Sus ingresos no cubren los gastos operativos y debe atender una deuda de US$ 110 millones. Además, la falta de inversiones derivó en la obsolescencia de su infraestructura. Oscar Stark, presidente de la firma, afirma que se están evaluando alternativas para lograr los fondos necesarios, incluida la posibilidad de sumar socios privados. Y cree que en 18 meses "la situación estará encausada".

América Latina · Proveedores de Equipos y Soluciones de Red

25/03/2024

Andina Link 2024: Padtec apunta a los ISP pequeños y medianos de Colombia

El proveedor brasileño Padtec participó de Andina Link 2024. Desde la feria, Hernán Yepes, gerente Regional CALA Norte, contó a Convergencialatina los planes con el mercado colombiano, sacudido con el despliegue de 5G.

Buscar más noticias