El pasado junio, el presidente de Argentina, Alberto Fernández presentó el Proyecto de Ley de Protección de Datos Personales que se planea, reemplazará la Ley No. 25326.
Esta nueva actualización se apega a estándares internacionales como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea o el Convenio No. 108 del Consejo de Europa con respecto al tratamiento de datos, además de integrar aspectos en torno al cumplimiento de los Derechos Humanos.
¿Era realmente necesaria esta actualización? La ley anterior tiene más de 20 años de antigüedad, por lo que sí, considerando los cambios que se han suscitado en los últimos años desde la sociedad con respecto a la tecnología y el uso de datos, se trata un tema verdaderamente imprescindible.
Por otra parte, es importante -y necesario- que nos preguntemos y analicemos la actualización, ¿cómo deben prepararse las empresas, organizaciones, directores, Compliance Officers para esto?
A continuación, te contamos brevemente los aspectos más relevantes de una forma realista, considerando aspectos que tal vez sean más complejos de lo que se percibe a simple vista.
¿Cuál era el alcance de la Ley de Protección de Datos en Argentina?
La antigua Ley de Protección de Datos Personales argentina tenía un alcance amplio y se aplicaba a todas las entidades sujetas a la ley que realizaran actividades de tratamiento de datos personales (respetando principios fundamentales) que permitan o no identificar a una persona con el consentimiento informado de los titulares, a menos que existiese una base legal para el tratamiento sin consentimiento. Cabe destacar que también regulaba la transferencia internacional de datos personales.
¿Quién supervisa que todo esté funcionando en orden?
La Agencia de Acceso a la Información Pública (AAIP) es la autoridad encargada de supervisar y controlar el cumplimiento de la ley, así como de recibir denuncias y aplicar sanciones en caso de incumplimiento.
Modificación de Ley de Protección de Datos
La modernizada Ley de Protección de datos en Argentina agregó más elementos que tanto tú, como director (a), y tu Oficial de Cumplimiento Normativo (Compliance Officer) deben tener presentes desde ya para lograr la adaptación total de la empresa durante este 2023.
Algunos de ellos son:
- Nuevos derechos (como portabilidad de datos y oposición al tratamiento automatizado).
- La figura del Delegado de Protección de Datos o Data Protection Officer (DPO).
- El deber de notificación de incidentes de seguridad a la autoridad de aplicación (AAIP) dentro de las 72 horas de haber tomado conocimiento del incidente.
Para organizaciones del sector financiero:
- Prohibición a prestadoras de servicios de información crediticia el tratamiento de datos de parientes del titular de datos, salvo que participen dentro de una misma sociedad comercial.
- La conservación de la información crediticia para la evaluación de solvencia económica financiera tendrá un plazo de 5 años y solo 1 año en los casos de que el deudor cancele o se extinga su deuda.
¿Cuáles son las Sanciones por incumplimiento de la Ley de Protección de Datos en Argentina?
En caso de que tu organización incumpla con la Ley de Protección de Datos en Argentina, la Agencia de Acceso a la Información Pública (AAIP) tiene la facultad de imponerte diversas sanciones y medidas correctivas. He ahí la importancia de un buen Compliance Officer, no querés ir en contra del cumplimiento de la normatividad.
Te comentamos algunas posibles sanciones de la ley de protección de datos personales que la AAIP podría aplicar:
Apercibimiento: emitir una advertencia o apercibimiento a la entidad infractora, instándola a corregir las prácticas contrarias a la ley.
Multas económicas: imponer multas económicas proporcionales a la gravedad de la infracción y la capacidad económica del infractor.
- Multas que pueden llegar hasta 1.000.000 de unidades móviles, o de 2 % a 5 % de la facturación total anual global del ejercicio financiero anterior, según la modernización de la ley de protección de datos personales.
Clausura parcial o total: ordenar, en casos graves de infracción, la clausura parcial o total de la actividad o servicio relacionado con el tratamiento de datos personales por un período determinado.
Prohibición de tratamiento de datos: prohibir el tratamiento de datos personales cuando se detecte un incumplimiento significativo y reiterado de la ley.
Publicación de la infracción: publicar los datos relativos a la infracción y a la entidad infractora, en aras de la transparencia y el cumplimiento normativo.
Es importante que tengas presente que las sanciones pueden variar en función de la gravedad y la reiteración de las infracciones, así como de las circunstancias específicas de cada caso.
Recordá que es posible que se apliquen medidas correctivas adicionales, ya que, además de la ley de protección de datos personales, está la adhesión de Argentina al convenio 108+.
¿Cómo debes prepararte para la actualización de la Ley de Protección de Datos?
Es de vital importancia que te asegures de que tu organización cumpla con la modernizada ley de protección de datos en Argentina, ya que tu organización se fortalecerá en términos de confianza y reputación, lo que a su vez puede fomentar relaciones sólidas con clientes y socios comerciales con organizaciones dentro y fuera del territorio argentino.
Al establecer políticas y prácticas adecuadas para el cumplimiento legal y normativo, tu organización puede demostrar su compromiso con la ética empresarial y el respeto por los derechos individuales.
Además, el cumplimiento de esta ley contribuye a construir una base sólida para el crecimiento sostenible y la competitividad en un entorno cada vez más digitalizado y centrado en los datos.
Como podés ver, garantizar el cumplimiento de la ley de protección de datos no solo permite evitar sanciones legales y multas que podrían ser perjudiciales para la viabilidad financiera de tu organización.
Realizar una auditoría de datos
El primer paso para garantizar el cumplimiento de la ley de protección de datos es realizar una auditoría exhaustiva de los datos personales que maneja tu organización. Esta auditoría te ayudará a identificar qué datos se recopilan, cómo se almacenan, quién tiene acceso a ellos, con qué fines se utilizan, cómo los eliminan y mucho más. Será necesario que tú y los demás miembros del Directorio y el Comité de Compliance trabajen en conjunto con el área de cumplimiento de la organización para revisar que todos los aspectos legales y normativos estén siendo considerados en esta revisión.
Establecer políticas y procedimientos internos
Una vez que hayas identificado los datos personales y su flujo dentro de la organización, es fundamental que el Directorio establezca políticas y procedimientos internos claros y precisos. Estas políticas deben abordar aspectos como el consentimiento informado de los titulares de los datos, la finalidad específica del tratamiento, la seguridad de la información, la retención y la eliminación de los datos. El Compliance Officer será fundamental para asegurar que estas políticas cumplan con los requisitos legales y se implementen adecuadamente en toda la organización.
Designar un responsable de protección de datos
Es importante que designen a un Data Protection Officer (DPO). Esta persona se encargará de supervisar y asegurar el cumplimiento de la ley de protección de datos. El DPO debe tener conocimientos especializados en la materia y trabajar en estrecha colaboración con el área de Compliance para garantizar que se sigan los protocolos establecidos.
Implementar medidas de seguridad
La seguridad de la información es un aspecto crítico en el cumplimiento de la ley de protección de datos. Es necesario implementar medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales contra accesos no autorizados, pérdida, destrucción o daño. Entre esas medidas, se puede incluir el uso de cifrado, sistemas de autenticación, políticas de contraseñas, cortafuegos, entre otros. El área de Compliance y de Seguridad pueden asesorar y monitorear la implementación de estas medidas y asegurarse de que se cumplan los requisitos legales y los estándares de seguridad adecuados.
Mantener registros y documentación
Finalmente, es esencial mantener registros y documentación adecuada sobre las actividades de tratamiento de datos personales. Esto incluye registros de consentimiento, políticas y procedimientos internos, evaluaciones de impacto en la protección de datos, incidentes de seguridad, etc. No olviden asegurarse de conocer las certificaciones que maneja en materia de seguridad de la información (ciberseguridad) y la propia reputación del proveedor. Esta última puede aportar o quitar valor a tu organización, a la hora de elegir uno como solución para centralizar y proteger los datos de sus stakeholders.
¿Qué otros aspectos no debemos perder de vista sobre la actualización de la Ley de Protección de Datos?
De acuerdo con algunos especialistas, algunos aspectos de la nueva actualización de ley no han considerado a detalle el tamaño o industria de cada organización, aspectos que deben ser tomados en cuenta a la hora de catalogar las sanciones, señalando que algunas multas pueden ser muy altas para sectores particulares.
Esto podría significar que: “es posible que la implementación de la norma resulte dispar no únicamente entre un sector y otro, si no entre empresas de un mismo sector, debido a que cada una se verá obligada a realizar su propia interpretación de las disposiciones de la norma”, asegura el abogado Marcos Blanco, en una entrevista para BNamericas.
Es por esto que resulta fundamental que las organizaciones y sus Compliance Officers comiencen a mirar con lupa la nueva actualización de esta ley, considerando que la transformación digital y las automatizaciones pueden traer mayor complejidad a la hora de cumplir con esta norma.
