Transcripción de la columna en Radio Carve de 30 de diciembre, 2022
La normativa aplicable en la Protección de Datos Personales ha tenido novedades en este último tiempo conforme la sanción de la Ley de Rendición de Cuentas por el período de 2021. Por esa razón, nos estamos comunicando con la Dra. Agustina Santos del estudio Posadas, para que nos cuente sobre estas novedades y evacúe ciertas dudas que puedan surgir sobre la normativa.
Saludo.
- Para empezar, por si existen oyentes que no están interiorizados en la materia ¿podría explicarnos brevemente qué es la Protección de Datos Personales y cuál sería su marco normativo?
SÍ, claro.
Cuando nos referimos a la Protección de Datos Personales, nos estamos refiriendo a un Derecho Humano Fundamental. Todas las personas, tanto físicas como jurídicas, tiene el derecho de que sus datos personales (almacenados en base de datos ya sean privadas o públicas) tengan un tratamiento adecuado y que no sean utilizados para fines no informados.
Bajo este postulado, se sancionó en el año 2008 la Ley 18.331 conocida como Ley de Protección de Datos Personales y su Decreto reglamentario Nro. 414/2009.
- Y actualmente, ¿cuál es la novedad introducida por la ley de Rendición de Cuentas?
La ley 20.075 denominada “Aprobación de Rendición de Cuentas y Balance de Ejercicio Presupuestal. Ejercicio 2021” en sus artículos 62 y 63 introdujeron modificaciones a los artículos 13 y 34 de la ley 18.331.
La modificación del artículo 13 de la ley, es respecto a la información que se le debe proveer a la personas físicas o jurídicas que autorizan el tratamiento de sus datos personales en una base de datos.
Mientras que la modificación efectuada al artículo 34 de la ley, refiere a los cometidos del órgano de contralor, que es la Unidad Reguladora de Protección de Datos Personales (conocida también como la URCDP)
- ¿Nos podría especificar en qué consiste la modificación del artículo 13 de la ley?
La Ley de Rendición de Cuentas, expandió el artículo 13 de la ley 18.331 y agregó que además de la información ya prevista por la normativa, se debe informe a los titulares de datos personales cuando sus datos vayan a ser sometidos a un -tratamiento automatizado-. En tal caso, se debe especificar en la información proveída los criterios de valoración, los procesos aplicados y la solución de tecnología o el programa utilizado.
- ¿Y cuál era la información que la ley 18.331 ya disponía debía ser informada?
Como les comentaba la Ley de Rendición de Cuentas sólo realiza un agregado al artículo 13 de la Ley de Datos Personales. El referido artículo ya disponía cierta información que se debía proveer.
Cuando el dueño de una base de datos va a recabar datos personales, debe adquirir un consentimiento informado, expreso, preciso e inequívoco del titular de los datos personales. Será un consentimiento informado si se provee de la siguiente información:
A) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios.
B) La existencia de la base de datos, electrónico o de cualquier otro tipo, de que se trate, la identidad y domicilio de su responsable.
C) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles.
D) Las consecuencias de proporcionar los datos y de la negativa a hacerlo o su inexactitud.
E) La posibilidad del titular de ejercer los derechos previstos en los artículos 14 a 16 de la presente ley.
F) La existencia o no de transferencias internacionales de datos.
G) En el caso de tratamientos automatizados de datos regulados por el artículo 16 de la presente ley, los criterios de valoración, los procesos aplicados y la solución tecnológica o el programa utilizado.
A partir del primero de enero del año que viene, también deberá informar lo dispuesto por la Ley de Rendición de Cuentas que anteriormente les comenté. Esto es, en caso de realizar un tratamiento automatizado de datos: los criterios de valoración, los procesos aplicados y la solución de tecnología o el programa utilizado.
- Usted comentó que debía recogerse el consentimiento de forma expresa, precisa e inequívoca ¿cómo se suele hacer en la práctica?
Bueno, se sugiere siempre utilizar una metodología que cumpla con tal requerimiento, pero siempre dependerá de la forma en que se tiene la comunicación con el titular de los datos. A modo de ejemplo, lo más común es recoger el consentimiento de forma escrita, en donde el titular del dato tenga la opción de elegir alguna de las siguientes alternativas: SI ACEPTO o NO ACEPTO seguido de su firma.
Es importante aclarar que, este paso debe realizarse de forma previa a comenzar el tratamiento de los datos.
- Muchas gracias Dra. Y respecto a la segunda modificación ¿podría especificar su contenido?
Sí, claro.
La ley de Rendición de Cuentas, como conversábamos, también realizó un agregado al artículo 34 de la ley de Protección de Datos que regula los cometidos de la URCDP.
A partir del primero de enero del próximo año (que entra en vigor la ley de Rendición de Cuentas), la URCDP también podrá: Establecer los criterios y procedimientos que deban observar los responsables y encargados, en el tratamiento automatizado de datos personales indicados en el artículo 16 de Ley (el artículo 16 refiere, justamente, a tratamiento automatizado de datos personales)
Hoy por hoy ya tiene diversas potestades, tales como:
- Asistir y asesorar sobre el cumplimiento de la ley.
- Dictar normas y reglamentaciones que se deban observar en el desarrollo de las actividades previstas por la ley.
- Realizar censo de las bases de datos.
- Controlar el cumplimiento de la ley.
- Exigir a los responsables y encargados de tratamiento de las bases de datos información sobre las mismas.
- Tomar medidas de seguridad para la conservación de archivos y documentos inspeccionados.
- Incautar documentos si la gravedad del caso lo requiere.
- Participar en inspecciones en bienes muebles o inmuebles, con previa orden judicial.
- Requerir información a terceros o realizar intimación a comparecencia ante la autoridad.
- Solicitar el auxilio de la fuerza pública para el desarrollo de sus cometidos.
- Solicitar información a entidades públicas o privadas.
- Emitir opinión toda vez que se sea requerida por las autoridades competentes.
- Asesorar en forma necesaria al poder ejecutivo en la consideración de los proyectos de la ley que refieran a la protección de datos.
- Informas a cualquier persona sobre la existencia de bases de datos, sus finalidades, identidad de sus responsables, de forma gratuita.
- Dra. Una ultima consulta ¿en todos los casos se debe recoger el consentimiento de los titulares de los datos personales o existen excepciones?
El principio general es recoger el consentimiento informado, pero existe una excepción en el artículo 9 de la Ley de Protección de Datos que debe ser interpretado de forma expresa restrictiva.
La excepción incluye:
- Los datos provengan de fuentes públicas de información, tales como registros o publicaciones en medios de comunicación masiva.
- Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal.
- Se trate de listados cuyos datos se limiten en el caso de personas físicas a nombres y apellidos, documento de identidad, nacionalidad, domicilio y fecha de nacimiento. En el caso de personas jurídicas, razón social, nombre de fantasía, registro único de contribuyentes, domicilio, teléfono e identidad de las personas a cargo de esta.
- Deriven de una relación contractual, científica o profesional del titular de los datos, y sean necesarios para su desarrollo o cumplimiento.
- Se realice por personas físicas para su uso exclusivo personal, individual o doméstico.
Escuchá la nota completa aquí.
Autora