PROYECTO DE LEY


Expediente 0701-D-2018
Sumario: DATOS PERSONALES - LEY 25326 -. MODIFICACIONES. CREACION, EN EL AMBITO DEL HONORABLE CONGRESO, DE LA "COMISION BICAMERAL DE SEGUIMIENTO DE LA LEY DE PROTECCION DE DATOS PERSONALES".
Fecha: 12/03/2018
Proyecto
El Senado y Cámara de Diputados...


DATOS PERSONALES. LEY 25.326
MODIFICACION
Artículo 1°: Modificase el artículo 2° de la Ley 25.326 que quedará redactado de la siguiente manera:
“ARTICULO 2°.- (Definiciones). A los fines de la presente ley se entiende por:
Datos personales: Información de cualquier tipo, referida a personas físicas o de existencia ideal determinadas o determinables.
Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
Archivo, registro, base o banco de datos: Indistintamente, designan al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad para su obtención, recolección, formación, almacenamiento, organización o acceso.
Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.
Responsable de archivo, registro, base o banco de datos: Persona física o de existencia ideal pública o privada, que es titular de un archivo, registro, base o banco de datos.
Datos informatizados o nube de computación: Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado, incluyendo el contenido en aquel modelo en cual un tercero brinda infraestructura, plataformas o servicios de software para habilitar acceso conveniente por demanda a un conjunto compartido de recursos computacionales configurables, por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo mínimo de administración o de interacción con el proveedor de servicios.
Datos Biométricos: Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana que permitan o confirmen su identificación única.
Datos Genéticos: Datos personales relativos a las características genéticas heredadas o adquiridas de una persona humana que proporcionen una información sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.
Titular de los datos: Toda persona física o persona de existencia ideal con domicilio legal o delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se refiere la presente ley.
Usuario de datos: Toda persona, pública o privada que realice a su arbitrio el tratamiento de datos, ya sea en archivos, registros o bancos de datos propios o a través de conexión con los mismos.
Responsable del tratamiento: Toda persona física o persona de existencia ideal, pública o privada, titular de la base de datos, que decide sobre el tratamiento de datos, sus finalidades y medios.
Disociación de datos: Todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable”.
Artículo 2°: Modificase el artículo 7°, de la Ley 25.326 que quedará redactado de la siguiente manera:
“ARTICULO 7°.- (Categoría de datos).
1. Ninguna persona puede ser obligada a proporcionar datos sensibles.
2. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley. También podrán ser tratados con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares.
3. Queda prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la Iglesia Católica, las asociaciones religiosas y las organizaciones políticas y sindicales podrán llevar un registro de sus miembros.
4. Los datos relativos a antecedentes penales o contravencionales sólo pueden ser objeto de tratamiento por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas.
5. En el tratamiento de datos concernientes a un niño, niña o adolescente, se deberá privilegiar la protección del interés superior de éstos, conforme a la Convención sobre los Derechos del Niño y demás instrumentos internacionales que busquen su bienestar y protección integral”.
Artículo 3°: Incorpórese el artículo 7° Bis, de la Ley 25.326 que quedará redactado de la siguiente manera:
“ARTÍCULO 7° Bis. - (Notificación de incidentes de seguridad).
El responsable del tratamiento deberá informar a la autoridad de control en un tiempo razonable, atendiendo a las circunstancias del caso, las vulneraciones de seguridad de datos personales ocurridas en cualquier fase del tratamiento de datos que afecten de forma significativa derechos de titulares de los datos, en cuanto confirme que ocurrió la vulneración y haya tomado las medidas necesarias para iniciar un proceso de revisión exhaustiva de la magnitud de la afectación.
De igual manera, el responsable del tratamiento también deberá informar al titular de los datos la vulneración de seguridad ocurrida, en un lenguaje claro y sencillo.
La notificación a que se refieren los incisos anteriores deberá contener, al menos, la siguiente información:
a) La naturaleza del incidente;
b) Los datos personales comprometidos;
c) Las acciones correctivas realizadas de forma inmediata;
d) Las recomendaciones al titular de los datos acerca de las medidas que éste pueda adoptar para proteger sus intereses;
e) Los medios a disposición del titular de los datos para obtener mayor información al respecto.
4. El responsable del tratamiento deberá documentar toda vulneración de seguridad de los datos personales ocurrida en cualquier fase del tratamiento de datos, identificando, de manera enunciativa pero no limitativa, la fecha en que ocurrió, el motivo de la vulneración, los hechos relacionados con ella y sus efectos, y las medidas correctivas implementadas de forma inmediata y definitiva”.
Artículo 4°: Modifíquese el artículo 16, de la Ley 25.326 que quedará redactado de la siguiente manera:
“ARTICULO 16.- (Derecho de rectificación, actualización o supresión).
1. Toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad los datos personales de los que sea titular, que estén incluidos en un banco de datos. Tendrá derecho a solicitar la supresión de las bases de datos y sistemas de tratamiento cuando este no tenga un fin público, a fin de que los datos no estén en su posesión y dejen de ser tratados por este último.
2. El responsable o usuario del banco de datos, debe proceder a la rectificación, supresión o actualización de los datos personales del afectado, realizando las operaciones necesarias a tal fin en el plazo máximo de cinco días hábiles de recibido el reclamo del titular de los datos o advertido el error o falsedad.
3. El incumplimiento de esta obligación dentro del término acordado en el inciso precedente, habilitará al interesado a promover sin más la acción de protección de los datos personales o de hábeas data prevista en la presente ley.
4. En el supuesto de cesión, o transferencia de datos, el responsable o usuario del banco de datos debe notificar la rectificación o supresión al cesionario dentro del quinto día hábil de efectuado el tratamiento del dato.
5. La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.
6. Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del banco de datos deberá o bien bloquear el archivo, o consignar al proveer información relativa al mismo la circunstancia de que se encuentra sometida a revisión.
7. Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos”.
Artículo 5°: Modifíquese el artículo 23, de la Ley 25.326 que quedará redactado de la siguiente manera:
“ARTICULO 23.- (Supuestos especiales).
1. Quedarán sujetos al régimen de la presente ley, los datos personales que, por haberse almacenado para fines administrativos, deban ser objeto de registro permanente en los bancos de datos de las fuerzas armadas, fuerzas de seguridad, organismos policiales o de inteligencia; y aquellos sobre antecedentes personales que proporcionen dichos bancos de datos a las autoridades administrativas o judiciales que los requieran en virtud de disposiciones legales.
2. El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, fuerzas de seguridad, organismos policiales o inteligencia, sin consentimiento de los afectados, queda limitado a aquellos supuestos y categoría de datos que resulten necesarios para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos. Los archivos, en tales casos, deberán ser específicos y establecidos al efecto, debiendo clasificarse por categorías, en función de su grado de fiabilidad.
3. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento
4. También quedaran sujetos al régimen de la presente ley los datos personales (fotográficos, fílmicos y sonoros de cualquier otra naturaleza), recolectados lícitamente a través de dispositivos montados en VANTs, drones o todo otro vehículo aéreo no tripulado capaz de mantener un nivel de vuelo controlado y sostenido, que puede ser piloteado a distancia o en forma remota, desde uno o varios puntos de control, e incluso, ser programado para su vuelo en forma autónoma con un programa específico”.
Se entenderá lícita la recolección de tales datos en la medida que se realice con el consentimiento de su titular, de conformidad de lo previsto en los artículos 5to y 6to de la presente Ley.
5. El tratamiento de datos que utilizan servicios de computación en la nube estará permitido cuando se garantice el cumplimiento de los principios y obligaciones establecidos por la presente ley.
El responsable del tratamiento debe elegir un proveedor de servicios que garantice el cumplimiento de la presente ley y responderá solidariamente ante el titular de los datos y ante la autoridad de control por incumplimientos del proveedor.
En especial, el responsable del tratamiento deberá controlar que el proveedor del servicio de computación en la nube:
a) Cuente con una política de protección de datos personales o condiciones de servicio en los que se detallen las medidas dispuestas para garantizar la protección de los datos personales, y que su aplicación sea efectiva. Debe además verificar que se prevean mecanismos para notificar los cambios que se produzcan sobre la política de protección de datos personales o condiciones de servicio;
b) Informe las subcontrataciones que involucren los datos personales objeto del tratamiento sobre el que se presta el servicio, notificando al responsable del tratamiento de cualquier cambio que se produzca;
c) No incluya condiciones en la prestación del servicio que lo autoricen o permitan asumir la titularidad sobre las bases de datos tratados bajo esta modalidad”.
Artículo 6°: Modifíquese el artículo 29, de la Ley 25.326 que quedará redactado de la siguiente manera:
“ARTÍCULO 29.- (Autoridad de control).
1. Créase la Agencia Nacional de Protección de Datos Personales (ANPDP) como órgano de control que debe velar por el cumplimiento de los principios y procedimientos establecidos en la presente ley.
2. La ANPDP gozará de autonomía funcional y actuará como órgano descentralizado en el ámbito del Ministerio de Justicia y Derechos Humanos de la Nación.
3. La ANPDP será dirigida y administrada por un Director designado por el término de cuatro (4) años, por el Poder Ejecutivo con acuerdo del Senado de la Nación, previo dictamen de la Comisión Bicameral del Honorable Congreso constituida al efecto, debiendo ser seleccionado entre personas con antecedentes en la materia. El director a cargo de la ANPDP tendrá rango y jerarquía de secretario.
4. El Director tendrá dedicación exclusiva en su función, encontrándose alcanzado por las incompatibilidades fijadas por ley para los funcionarios públicos y cesará de pleno derecho en sus funciones de mediar alguna de las siguientes circunstancias:
a) Renuncia;
b) Vencimiento del mandato;
c) Fallecimiento; y
d) Estar comprendido en alguna situación que le genere incompatibilidad o inhabilidad.
5. El Director podrá ser removido por mal desempeño, por delito en el ejercicio de sus funciones o por crímenes comunes. El Poder Ejecutivo nacional llevará adelante el procedimiento de remoción del director de la ANPDP, dándole intervención a la Comisión Bicameral del Honorable Congreso de la Nación, quien emitirá un dictamen vinculante.
6. La ANPDP contará con el personal técnico y administrativo que establezca la ley de presupuesto general de la administración nacional. El personal estará obligado a guardar secreto respecto de los datos de carácter personal de los que tome conocimiento en el desarrollo de sus funciones.
7. LA ANPDP se financiará a través de:
a) Lo que recaude en concepto de tasas por los servicios que preste;
b) El producido de las multas referidas en el capítulo VI de esta ley;
c) Las asignaciones presupuestarias que se incluyan en la Ley de Presupuesto de la Administración Nacional”.
Artículo 7°: Incorpórese el artículo 29 Bis, de la Ley 25.326 que quedará redactado de la siguiente manera:
“ARTÍCULO 29 Bis.- Crease en el ámbito del Honorable Congreso de la Nación, la Comisión Bicameral de seguimiento de la Ley de Protección de Datos Personales N° 25.326, de acuerdo con el siguiente procedimiento:
a) Ambas Cámaras del Congreso deben elegir los miembros componentes de la Comisión Bicameral Permanente de seguimiento de la Ley de Protección de Datos Personales, integrada por siete (7) senadores y siete (7) diputados cuya composición debe mantener la proporción de la representación del cuerpo;
b) En un plazo no mayor de sesenta (60) días a contar desde la promulgación de la presente ley, la Comisión Bicameral, debe constituirse al efecto y designar autoridades que la componen. La Comisión elige por el voto de la mayoría de sus miembros un Presidente, un vicepresidente y un secretario anualmente.
La presidencia es alternativa y corresponde un (1) año a cada Cámara. Las decisiones de la Comisión Bicameral se adoptan por mayoría simple;
Los integrantes de la Comisión Bicameral duran en el ejercicio de sus funciones hasta la siguiente renovación de la Cámara a la que pertenecen, y pueden ser reelectos.
c) La Comisión Bicameral creada por la presente es la encargada de relacionarse con la autoridad de aplicación de la presente ley, recibir el informe anual correspondiente y comunicar a la autoridad cuando ambas Cámaras previo a cualquier decisión que cualquiera de ellas o el Congreso en su conjunto deba adoptar en la materia, así como en cuantas ocasiones sea necesario.
d) Elevar al pleno de ambas Cámaras el informe de la autoridad con el dictamen correspondiente”.
Artículo 8°: Incorpórese el artículo 29 Ter, de la Ley 25.326 que quedará redactado de la siguiente manera
“ARTÍCULO 29 Ter. - (Facultades de la autoridad de control).
La Agencia Nacional de Protección de Datos Personales (ANPDP) deberá realizar todas las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de la presente ley. A tales efectos tendrá las siguientes funciones y atribuciones:
a) Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente y de los medios legales de que disponen para la defensa de los derechos que ésta garantiza;
b) Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley; específicamente dictar normas administrativas y de procedimiento relativas a las funciones a su cargo, y las normas y procedimientos técnicos relativos al tratamiento de datos y condiciones de seguridad de las bases de datos;
c) Atender los requerimientos y denuncias interpuestos en relación al tratamiento de datos en los términos de la presente ley;
d) Controlar el cumplimiento de los requisitos y garantías que deben reunir los tratamientos de datos de conformidad con la presente ley y las reglamentaciones que dicte la autoridad de control. A tal efecto, podrá solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la presente ley;
e) Solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de datos que se le requieran. En estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados;
f) Imponer las sanciones administrativas que en su caso correspondan por violación a las normas de la presente ley y de las reglamentaciones que se dicten en su consecuencia;
g) Percibir las tasas que se fijen por los servicios de inscripción y otros que preste;
h) Constituirse en querellante en las acciones penales que se promovieran por violaciones a la presente ley;
i) Homologar los mecanismos de autorregulación vinculantes y supervisar su cumplimiento;
j) Diseñar su estructura orgánica de funcionamiento y designar a su planta de agentes;
k) Elaborar su presupuesto anual;
l) Solicitar información a los delegados de protección de datos en los términos de lo previsto la presente ley;
m) Publicar un informe anual de rendición de cuentas de gestión;
n) Elaborar y presentar ante el Honorable Congreso de la Nación propuestas de reforma legislativa respecto de su área de competencia;
o) Celebrar convenios de cooperación y contratos con organizaciones públicas o privadas, nacionales o extranjeras, en el ámbito de su competencia, para el cumplimiento de sus funciones”.
Artículo 9°: Comuníquese al Poder Ejecutivo.

FUNDAMENTOS

Proyecto
Señor presidente:


El Honorable Congreso de la Nación sancionó en el año 2000, la Ley N° 25.326 de protección de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, con el explícito propósito de garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional.
Con el paso del tiempo y el avance de nuevas tecnologías, resulta evidente que la ley de protección de los datos personales necesita una actualización normativa.
En este sentido, fueron varios los proyectos que han tratado sobre la materia sugiriendo modificaciones a diferentes artículos de la ley vigente y otros fueron materia de regulación de la autoridad administrativa con competencia en la materia.
Respecto al último punto, el gobierno nacional anterior tomo varias decisiones vinculadas a la protección de los datos personales. En este punto se debe mencionar, la resolución 20/2015 de la Dirección Nacional de Protección de Datos Personales que fijó las condiciones de licitud para la recolección de datos personales a través de VANTS o DRONES entre varias disposiciones.
En un sentido opuesto, el gobierno actual mediante la resolución 166 – E/2016, aprobó un Convenio Marco de Cooperación entre la Administración Nacional de Seguridad Social y la Secretaría de Comunicación Pública, dependiente de la Jefatura de Gabinete, autorizando a la ANSES a proveer a la Secretaría de Estado, la información contenida en su base de datos.
Para ejemplificar y de manera puntual hay que referirse a la Administración Nacional de la Seguridad Social (ANSES) quien, resulta titular de una de las mayores y más completas bases de datos de los habitantes de la República Argentina, obtenida a través de almacenar la información proporcionada por millones de habitantes que debieron realizar algún trámite en dicha dependencia ya sea para acceder a uno de sus beneficios o como consecuencia de estar registrado en una relación laboral o previsional.
Es decir, entre los datos que se cuenta, por ejemplo, podemos señalar el N° de CUIL, nombres y apellidos, domicilio, teléfonos y correo electrónico. Estos datos fueron suministrados a la ANSES con una finalidad exclusivamente previsional y en caso de que estos datos se utilizaren para comunicar cuestiones diferentes a la finalidad con la cual fue obtenida, sería una grave una violación a la ley de protección de datos personales.
Hay que mencionar, además, que el Decreto de Necesidad y Urgencia N° 746/2017 de reciente publicación, en su artículo 19, creó la Agencia de Acceso a la Información Pública, como ente autárquico que funcionará con autonomía funcional en el ámbito de la Jefatura de Gabinete de Ministros, quien deberá velar por el cumplimiento de los principios y procedimientos establecidos en la ley de Derecho de Acceso a la Información Pública N° 27.275 y actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales N°25.326.
Esta decisión, difiere del nuevo reglamento (UE) 2016/679 de la Unión Europea y del que se puede tomar como ejemplo el cual pone la autoridad de aplicación, como un órgano descentralizado en el ámbito del Ministerio de Justicia, a diferencia de la actual que se encuentra en el ámbito de jefatura de gabinete.
Para dejar de lado este tipo de “tratamientos” con los datos personales confiados a un organismo u ente público o privados, de donde resulta que se puede ver vulnerado el derecho de aquellos quienes brindan sus datos, resultando un hecho riesgoso y de un peligro potencial de muy difícil control, corresponde avanzar en la necesidad de una reforma de la ley actual, tomando los reparos y experiencias de otras legislaciones y teniendo en cuenta el avance de las tecnologías en estos últimos 15 años.
En primer término, incorporamos definiciones al artículo 2 de la presente que giran en torno a receptar en la técnica legislativa definiciones actuales como datos en nubes de computación, tal como lo sugiere la agencia española de protección de datos. También se receptaron definiciones nuevas y que debería ser incluidas tales como datos biométricos y datos genéticos. De manera análoga a lo señalado, también se incorpora el tratamiento de datos recabados mediante el empleo de VANTs o Drones.
También resulta oportuno consagrar la protección integral que se debe tener con el tratamiento de datos referidos a menores, de acuerdo a las convenciones y tratados internacionales que protegen a los menores.
Se incorporó un artículo 7 bis como un complemento de seguridad en el tratamiento de los datos y plasmar una obligación en cabeza del responsable del tratamiento de notificar ante la ocurrencia de un incidente de seguridad.
También se receptó el denominado “derecho al olvido” que no opera cuando la finalidad de los datos reviste naturaleza de fin público.
Por último y en referencia al órgano de control y su diseño institucional resulta necesario que de reformarse la Ley Nº 25.326, contemplara una expansión de la capacidad y funciones de la actual autoridad de aplicación para cumplir con sus deberes de contralor.
Para lograr este objetivo, resultará necesario aumentar la autonomía de la autoridad y garantizar su adecuado financiamiento. Incluso, para reforzar esta posición, se propone que la misma sea dirigida por un funcionario designado por el poder ejecutivo por el término de (4) años, con el acuerdo del senado de la Nación, previo dictamen de la Comisión Bicameral, creada al efecto.
Se propone a su vez algunos mecanismos para reforzar la posición de la autoridad de control y dotarla de mayor autonomía permitiendo elaborar su presupuesto anual, diseñando su estructura orgánica y proyectar su planta de agentes.
Así las cosas, ante decisiones contrapuestas que han sido tomadas por las diferentes autoridades nacionales, y ante el incontrastable avance de nuevas tecnologías que no solo permiten recabar y tratar datos personales, sino además su entrecruzamiento entre distintos bancos de datos, y puede afectar el bien más preciado de las personas, “su intimidad”, corresponde avanzar en una modificación e incorporar artículos que garanticen una real protección de la misma.
Por los motivos expuestos, solicito de mis pares la aprobación del presente proyecto de ley.
Proyecto
Firmantes
Firmante Distrito Bloque
CAMAÑO, GRACIELA BUENOS AIRES FEDERAL UNIDOS POR UNA NUEVA ARGENTINA
Giro a comisiones en Diputados
Comisión
ASUNTOS CONSTITUCIONALES (Primera Competencia)
PETICIONES, PODERES Y REGLAMENTO
PRESUPUESTO Y HACIENDA

Honorable Cámara de Diputados de la Nación Argentina | Congreso de la Nación Argentina | Av. Rivadavia 1864 - Ciudad Autónoma de Bs. As. (C.P.C1033AAV) | + 54 11 6075-7100

Nota: La información contenida en este sitio es de dominio público y puede ser utilizada libremente. Se solicita citar la fuente.