Protección y tratamiento de datos personales

PROYECTO DE LEY 

El proyecto mantiene la regulación específica del tratamiento de datos personales relativos a obligaciones de carácter económico, financiero, bancario o comercial, pero innova, entre otras cosas, en los siguientes aspectos:

• Estable principios rectores y actualización de conceptos legales: Se propone la incorporación de principios que confieran una base unitaria para la regulación del tratamiento de datos personales, que a su vez permita orientar la aplicación de la ley en la cotidianeidad y su interpretación por nuestros tribunales de justicia. En ese sentido, se consagran los principios de proporcionalidad, calidad, seguridad, responsabilidad, información, transparencia y publicidad, entre otros.

 De ser aprobado el proyecto en este punto, la regulación del tratamiento de datos personales promete ser más estricta pero a la vez ofrecer mayores y mejores garantías a las personas, de un uso adecuado, seguro y acotado de sus datos personales. Esto tendrá repercusión en los más diversos escenarios, desde las compras on line que se realizan vía internet en empresas de retail, las que habitualmente requieren de información personal del usuario, hasta la celebración de contratos complejos, cuyo contenido muchas veces incluye información personal de los contratantes, a la que se da el carácter de confidencial. 

• Refuerza e incorpora nuevos derechos: Se reconocen al titular de datos personales los derechos de acceso a los mismos, rectificación de datos, cancelación y oposición al tratamiento o uso de ellos (derechos conocidos como ARCO), a los que se otorga el carácter de irrenunciables y gratuitos, sin que pueda limitarse su ejercicio. Destaca, asimismo, la creación del derecho a la portabilidad de datos personales, en virtud del cual el titular de datos puede solicitar y obtener del responsable del tratamiento de los mismos, una copia de éstos en formato electrónico y comunicarlos o transferirlos a otro responsable de datos.

El ejercicio pleno de tales derechos cobra notoria importancia hoy en día, cuando pocos podrían imaginar su vida sin herramientas de comunicación e intercambio, provistas por empresas tales como Facebook, Google o Amazon, por nombrar sólo algunas, cuya actividad primordial es la gestión de datos personales.  

Por otra parte, se refuerza la regulación del denominado “derecho al olvido”, en relación con los datos que se refieren a infracciones penales, civiles, administrativas y disciplinarias, con lo cual se pretende equilibrar el derecho de las personas a reducir el acceso a información desfavorable y que afecta su reputación social, con el derecho a la información y el interés público que hay envuelto en el acceso a ella. 

• Regula detalladamente el consentimiento del titular de datos personales: El consentimiento debe ser libre, informado e inequívoco y otorgado mediante una declaración verbal, escrita o a través de un medio electrónico o acto afirmativo que dé cuenta con claridad la voluntad del titular, en forma previa al tratamiento de datos y específica en cuanto a su finalidad. En este punto, el proyecto supera con creces la regulación actual, que sólo exige que el consentimiento sea dado por escrito.

• Incrementa las obligaciones de los responsables de datos: El proyecto de ley introduce nuevos deberes para las instituciones responsables del tratamiento de datos, tales como deberes de información, de reserva, confidencialidad, información, transparencia, de adoptar medidas de seguridad y de acreditar la licitud del tratamiento que realizan. Como contrapartida, a fin de no imponer trabas excesivas a la circulación de la información, se propone establecer estándares diferenciados de cumplimiento de los deberes de información y seguridad, distinguiendo entre personas naturales y jurídicas, el tamaño de la empresa y el volumen y finalidades de los datos que trata. En efecto, no es lo mismo comparar el volumen y naturaleza de datos que administra el Registro Civil, con los que puede administrar, por ejemplo, una empresa pequeña dedicada al reclutamiento y selección de personal.

• Estándar más estricto en el tratamiento de datos sensibles: El proyecto establece que el tratamiento de este tipo de datos sólo puede realizarse cuando el titular consienta libre e informadamente, en forma expresa, con lo cual se eleva el estándar exigido por la actual legislación, sin perjuicio de regularse también, calificadas excepciones a esta regla. Así, por ejemplo, cuando exista una situación médica o de salud de la persona.

• Creación de una autoridad de control: Esta es una de las mayores innovaciones del proyecto, que dispone la creación de una institución especializada y de carácter técnico, que denomina “Agencia de Protección de Datos Personales”, cuya principal función es velar por el cumplimiento de la normativa en materia de tratamiento de datos personales y fiscalizar y sancionar los incumplimientos. Esta modificación, promete dar mayor protección a las personas, en lo que respecta a la tutela de sus datos personales, quiénes podrán dirigir reclamos y consultas a esta institución si estiman que existe una vulneración. Vgr., ante la negativa de DICOM u otra empresa administradora de datos, de eliminar los registros de una deuda que se encuentre pagada por el titular de datos personales.