Tratamiento automatizado de datos personales. La Ley 27.699 aprobó el Protocolo de protección.
Por Manuel Larrondo -Socio EPSPA.
El 30 de noviembre de 2022 finalmente se publicó en el Boletín Oficial la Ley N° 27.699 mediante la cual la Argentina aprobó el PROTOCOLO MODIFICATORIO DEL CONVENIO PARA LA PROTECCIÓN DE LAS PERSONAS CON RESPECTO AL TRATAMIENTO AUTOMATIZADO DE DATOS DE CARÁCTER PERSONAL, conocido también como Convenio 108+ (“plus”) que fuera suscripto en Estrasburgo en octubre de 2018.
Dicho Protocolo es un instrumento normativo originario de la Unión Europea al cual se invita a los Estados a adherirse con el fin de proteger a cada persona, sin importar su nacionalidad o residencia, con respecto al tratamiento de sus datos personales, de manera de contribuir al respeto de sus derechos humanos y libertades fundamentales y, en particular, el derecho a la privacidad.
Entre los aspectos más relevantes de este Protocolo se destacan la puesta en práctica de principios básicos para la protección de datos personales tales como la legitimidad de su tratamiento y calidad de los datos. En ese sentido, dispone que el tratamiento de datos personales deberá ser proporcional al fin legítimo perseguido y deberá reflejar – en todas las etapas de tratamiento- un equilibrio justo entre todos los intereses involucrados, ya sean públicos o privados, y los derechos y las libertades pertinentes.
Se observa también el especial énfasis en la obligación de que se obtenga el consentimiento voluntario, específico, informado e inequívoco del titular de los datos o todo otro modo legítimo que establezca la ley. Asimismo, prevé que toda persona tendrá derecho a no estar sujeto a una decisión que lo afecte significativamente sobre la base exclusiva de un tratamiento automatizado de datos sin considerar sus opiniones y en sintonía con el respeto a su dignidad.
Ello así a fin de cumplir con ciertos recaudos en relación a que los datos personales:
1.- Sean tratados de forma legal;
2.- Sean procesados de manera justa y transparente y recabados con fines expresos, específicos y legítimos, incluyendo a aquellos para archivo con fines de interés público, de investigación científica o histórica o estadísticos;
3.- Sean adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados
4.- Sean precisos y, de ser necesario, mantenerse actualizados;
5.- Sean preservados de un modo que permita la identificación de los titulares de los datos durante un plazo que no exceda el necesario a los fines para los que dichos datos fueron tratados.
En ese sentido, el Protocolo Modificatorio amplía la protección a categorías especiales de datos personales, entre los que se incluyen: datos genéticos; datos biométricos que identifiquen inequívocamente a una persona; y datos personales relacionados con el origen racial o étnico, opinión política, afiliación a gremios, creencias religiosas, salud o vida sexual cuyo tratamiento estará permitido únicamente cuando se consagren salvaguardas apropiadas, complementando las que surgen del Convenio. Además, establece que cada Estado Parte dispondrá que se adopten medidas de seguridad adecuadas contra riesgos como los de acceso accidental o no autorizado a los datos, destrucción, pérdida, uso, modificación o su divulgación.
Es dable destacar que el Protocolo Modificatorio actualiza determina que la transferencia de datos a Estados u organizaciones internacionales que no sean Parte del Convenio solo podrá llevarse a cabo en la medida en que se asegure que dichos datos posean una legislación con un nivel de protección adecuado conforme a sus previsiones.
A modo de excepción, cada Parte podrá prever que la transferencia se lleve a cabo a Estados u organizaciones internacionales que no poseen legislación adecuada si se acredita alguna de las siguientes condiciones:
- que se haya obtenido el consentimiento del titular de los datos; b) que se encuentren comprometidos intereses específicos del titular de los datos; c) que prevalezcan intereses legítimos, en particular, intereses públicos importantes y la transferencia constituya una medida necesaria y proporcionada en una sociedad democrática o, d) que constituya una medida necesaria y proporcional para la libertad de expresión en una sociedad democrática.
También establece que cada Parte deberá prever una o más autoridades de control, responsables de asegurar el cumplimiento de las disposiciones del Convenio.
Finalmente y en relación a este último punto, recientemente la Agencia de Acceso a la Información Pública ha enviado al Congreso un proyecto de ley por el cual se dará inicio al debate legislativo para intentar modificar la actual Ley de Protección de Datos Personales N° 25.326 que data del año 2000 y que, dada su antigüedad, merece ser actualizada.
