La protección de los datos personales es tan crucial para las empresas como, muchas veces, ignorada por las mismas, desconociendo que existen importantes normas legales e internacionales que se deben cumplir, con significativas consecuencias patrimoniales, personales y reputacionales ante su infracción.

¿Están protegidos legalmente los datos personales?

Sí.

La protección de datos personales en Argentina es un derecho constitucional (artículo 43 de la Constitución Nacional) y está principalmente reglamentado por la Ley Nº 25.326 de Protección de Datos Personales (en adelante, la LPDP), su Decreto Reglamentario Nº 1558/2001, el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal y su Protocolo Modificatorio (aprobados por las leyes Nº 27.483 y Nº 27.699, y también conocidos como Convenio 108 y Convenio 108 modernizado), y las normas complementarias de la Agencia de Acceso a la Información Pública (en adelante, la AAIP).

¿Qué se entiende por datos personales en Argentina?

La LPDP define a los “datos personales” como “… información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables” (Articulo 2° — (Definiciones))[1].

La LPDP aplica a los datos personales “…  asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes … “ (Artículo 1 — (Objeto), primer párrafo).

¿Qué es una base de datos personales destinada a dar informes?

La AAIP entiende por base de datos personales destinada a dar informes a todo registro, archivo, base o banco de datos que permita obtener información sobre las personas, se transmitan o no a terceros.

Además, el organismo de control interpreta que la LPDP no exige que el destinatario del informe deba ser una tercera persona ajena al responsable o usuario de la base de datos, sino que también abarca los usos internos de la información personal (por ejemplo, base de datos de clientes, proveedores, personal, etc)[2].

¿Se aplica la LPDP solo en territorio argentino?

De acuerdo a la LPDP, sus regulaciones se aplican a las personas humanas o jurídicas (titulares de los datos) que tengan domicilio legal o delegaciones o sucursales en el país (Articulo 2° — (Definiciones)).

Sin embargo, la AAIP interpreta que las personas humanas o jurídicas que realizan tratamiento de datos personales de argentinos, aun cuando no tengan establecimiento en el territorio, deben inscribirse con el fin de dar cumplimiento a la LPDP.

¿Cuáles son las obligaciones legales de protección de los datos personales en Argentina[3]

Quienes realicen tratamiento de datos personales y sean titulares de bases de datos deben cumplir con las siguientes obligaciones:

a) Información y consentimiento del titular de los datos

Para poder tratar datos personales, la LPDP exige el consentimiento de su titular, libre, expreso e informado, el que deberá constar por escrito, o por otro medio equivalente (Artículo 5º — (Consentimiento) 1.).

Para que el titular de datos preste su consentimiento en las condiciones mencionadas, previo a la recolección de los datos personales se le debe informar, en forma expresa y clara:

“a) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios;

b) La existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable;

c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles[4];

d) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos;

e) La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos” (Artículo 6 — (Información).

La LPDP establece casos de excepción a la obligación de recabar el consentimiento previo del titular de los datos personales, entre ellos: cuando los datos se obtengan de fuentes de acceso público irrestricto; cuando se recaben en virtud de una obligación legal; cuando se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio; y cuando deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento (Artículo 5 — (Consentimiento) 2.).

La LPDP define al “tratamiento de datos” como “… operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias” (Articulo 2° — (Definiciones))

b) Registro del responsable de las bases de datos y de las bases de datos

Quienes efectúen el tratamiento de datos personales deben registrarse como titulares de bases de datos en la AAIP y, además, registrar en el organismo de control todas las bases de datos de las que sean propietarios.

c) Garantizar los derechos de acceder, actualizar, rectificar y solicitar la eliminación de datos personales

Los titulares de bases de datos deben garantizar a las personas cuyos datos personales se encuentren recolectados y tratados en las mismas el ejercicio de los siguientes derechos:

(i) Derecho de acceder a la base de datos que contenga sus datos personales y a solicitar información sobre los mismos; y

(ii) Derecho de solicitar que sus datos personales sean actualizados, rectificados, o suprimidos de las bases de datos.

El derecho de acceso sólo puede ser ejercido en forma gratuita a intervalos no inferiores a seis meses, salvo que se acredite un interés legítimo que lo justifique.

Además, existen derechos específicos para solicitar que las empresas de publicidad, venta directa, o similares, retiren los datos de sus bases para no ser contactados (Registro Nacional No Llame), y para solicitar la rectificación de datos sobre deudas ya canceladas o eliminación de datos sobre deudas canceladas transcurrido cierto tiempo.

d) Garantizar la seguridad y confidencialidad de los datos personales

Los responsables de las bases de datos deben “… adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado” (Artículo 9 — (Seguridad de los datos)).

Con relación a esta obligación, la AAIP – por medio de la Resolución Nº 47/2018 – aprobó medidas de seguridad recomendadas para el tratamiento y conservación de los datos personales en medios informatizados y no informatizados[5].

El responsable y las personas que intervengan en cualquier fase del tratamiento de datos personales deben guardar secreto profesional respecto de estos, aun después de finalizada su relación con el titular del archivo de datos (Artículo 10 — (Deber de confidencialidad) 1.).

¿Se deben registrar las bases de datos de videovigilancia?

Sí.

Por la Disposición Nº 10/2015, una imagen o registro fílmico constituyen un dato personal a los efectos de la LPDP, en tanto que una persona pueda ser determinada o determinable.

Las bases de datos de videovigilancia deben ser entonces registradas, junto con el llamado «manual de tratamiento de datos personales» que serán recogidos por la videovigilancia.

Por otro lado, en caso de actividades de videovigilancia se debe informar previamente al público: la existencia de cámaras de seguridad (sin que sea necesario precisar su ubicación puntual), los fines para los que se captan las imágenes, y los datos de contacto del responsable de la base de datos.

¿Existen normas específicas para la transferencia internacional de datos?

Sí.

Según la AAIP, las transferencias internacionales de datos personales son los flujos de datos personales que realizan los responsables o encargados de tratamiento desde un país a otro, poniendo como ejemplo una empresa argentina (responsable del tratamiento) que recopila datos de sus clientes y contrata servicios de almacenamiento en la nube de una empresa en Estados Unidos (encargado del tratamiento) para gestionar esos datos[6].

Se encuentra prohibida la transferencia de datos personales con países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados, salvo ciertas excepciones (LPDP, artículo 12 — (Transferencia internacional)).

La Disposición DNPDP 60/2016 y la Resolución AAIP 34/2019 establecen los países que Argentina considera con niveles adecuados en materia de protección de datos personales y que, en la actualidad, son: Estados miembros de la Unión Europea y del espacio económico europeo (EEE); Reino Unido de Gran Bretaña e Irlanda del norte; Confederación Suiza; Guernsey; Jersey; Isla de Man; Islas Feroe; Canadá (sólo respecto de su sector privado); Principado de Andorra; Nueva Zelanda; República Oriental del Uruguay; y Estado de Israel (sólo respecto de los datos que reciban un tratamiento automatizado).

En caso de países que no proporcionen un nivel adecuado de protección, los datos personales pueden transmitirse si sus titulares prestan su consentimiento o si lo realiza bajo las formas admitidas por el organismo de control.

La AAIP aprobó contratos modelo para la transferencia de datos personales a países no adecuados, como también la Guía de Implementación de la Red Iberoamericana de Protección De Datos (RIPD) (Disposición Nº 60/2016 y Resolución Nº 198/2023).

 Cuando se desee transferir datos personales a países no adecuados mediante contratos que difieran de los modelos aprobados, se debe solicitar que la AAIP los apruebe dentro de los treinta días corridos desde su firma.

Cuando la transferencia internacional de datos personales se produzca entre empresas de un mismo grupo económico, la AAIP estableció lineamientos y contenidos básicos para las normas corporativas vinculantes (Resolución Nº 159/2018). Si las empresas adoptan normas de autorregulación distintas de los lineamientos establecidos en la resolución, deberán presentarlas ante la AAIP dentro de los treinta días siguientes de efectuada la transferencia.

En enero de 2024, la Comisión Europea revalidó el estatus de la República Argentina como país adecuado para el libre flujo transfronterizo de datos personales[7].

¿Cuáles son las consecuencias legales del incumplimiento de las normas de protección de datos personales en Argentina?

La LPDP faculta a la AAIP a la imposición de sanciones administrativas de apercibimiento, suspensión, multa, clausura o cancelación del archivo, registro o banco de datos (Artículo 31 — (Sanciones administrativas). La AAIP cuenta con registros de infractores de la LPDP y del Registro Nacional No Llame.

Además, el Código Penal tipifica ciertos delitos en relación con los datos personales (artículos 117 bis, y 157 bis).

Finalmente, aparte de las sanciones administrativas y penales, los infractores serán responsables por los daños y perjuicios que se ocasionen con fundamento en los principios generales de responsabilidad civil establecidos en el Código Civil y Comercial de la Nación, pudiendo los damnificados accionar individual o colectivamente.

Colofón

Las mencionadas cuestiones fueron escogidas solo para llamar la atención de las empresas sobre temas frecuentemente ignorados o desatendidos: la protección de datos personales en Argentina tiene regulaciones legales que deben cumplirse y cuya infracción puede dar lugar a importantes sanciones y contingencias económicas. Ni que hablar de los daños reputacionales, de inconmensurable repercusión, que se pueden provocar ante, por ejemplo, filtraciones de datos de sus bases.

El régimen de protección de datos personales está en constante evolución y es mucho más complejo que las cuestiones enumeradas, por lo que las empresas deberán relevar exhaustivamente sus actividades, recurrir a sus asesores legales de confianza para evaluar su estado de cumplimiento normativo y encarar los planes de acción necesarios para estar al día con las exigencias legales.

Mario E. Castro Sammartino

 

[1] La LPDP es anterior al Código Civil y Comercial de la Nación. Desde la vigencia de éste último corresponde hablar de personas humanas y jurídicas.

[2] https://www.argentina.gob.ar/aaip/datospersonales/responsables/basesainformar

[3] Hay obligaciones adicionales para ciertas actividades empresarias, tales como las que presten servicios de telefonía móvil y las entidades financieras.

[4] La LPDP define a los “datos sensibles” como los “datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual” (Articulo 2° — (Definiciones)). Ninguna persona está obligada a proporcionar datos personales sensibles.

[5] https://servicios.infoleg.gob.ar/infolegInternet/anexos/310000-314999/312662/norma.htm

[6] https://www.argentina.gob.ar/transferencias-internacionales

[7] https://ec.europa.eu/commission/presscorner/detail/es/ip_24_161

 

 

Nuestras publicaciones expresan exclusivamente la opinión de su autor y no constituyen consejo ni opinión legal sobre caso alguno. De necesitarlo debe consultar con su abogado de confianza.

Si desea información sobre cuestiones legales de interés o consultar sobre su caso particular, por favor, suscríbase a nuestro Blog Legal o contáctenos a su conveniencia.