El régimen de protección de datos en Argentina: estado actual y desafíos a futuro. A cargo de Julieta Murillas

AD 42/2022

El régimen de protección de datos en Argentina: estado actual y desafíos a futuro

Resumen: Los requerimientos tecnológicos originados por los avances de las últimas décadas, sumado a los nuevos estándares internacionales fijados por la entrada en vigencia del Reglamento General de Protección de Datos aprobado por la Unión Europea, han puesto de resalto la necesidad de que la Argentina actualice su normativa en materia de protección de datos personales. En el presente artículo se analizará el régimen vigente y la forma en que ha evolucionado la protección de este derecho en dicho país, como punto de partida para pensar futuras reformas normativas.

Abstract: The technological requirements originated by the advances of the last decades, added to the new international standards set by the entry into force of the General Data Protection Regulation approved by the European Union, have highlighted the need for Argentina to update its regulations on personal data protection. This article will analyze the current regime and the way in which the protection of this right has evolved in Argentina, as a starting point for thinking about future regulatory reforms.

Palabras clave: protección de datos personales, tecnología, derechos humanos, Argentina.

Key words: data privacy, technology, human rights, Argentina.

I.- Introducción

En las últimas décadas se advierte un incremento exponencial en la adopción de normativas relativas a la protección de los datos personales a nivel global. Esto pone de manifiesto el interés cada vez mayor por parte de los Estados en tutelar efectivamente este derecho fundamental, derivación del clásico derecho a la privacidad, frente a los vertiginosos avances tecnológicos y el aumento de la cantidad de personas con acceso a internet alrededor del mundo. En tal sentido, GREENLEAF (2020) destaca que la década entre 2010 y 2019 ha sido protagonista del récord de promulgación de leyes de privacidad de datos por los distintos países y territorios autónomos -62 en total-, alcanzando en la actualidad un total de 143 países con este tipo de normas (GREENLEAF, 2021)^[1].

La República Argentina se encuentra entre los primeros Estados que han regulado sobre la cuestión, siendo incluso pionera a nivel regional (junto con Chile), a través de la Ley N° 25.326. A ella se suman numerosas reglamentaciones que ha dictado la autoridad de aplicación de la norma, en el marco de sus facultades, y una copiosa jurisprudencia que ha ido moldeando la interpretación de dicha ley, transformándola en una garantía fundamental para la defensa de los datos personales en nuestra sociedad (PALAZZI, 2021).

Sin perjuicio de la evolución que en materia de protección de datos ha vivido la Argentina, la Ley N° 25.326, que supo estar a la vanguardia de este tipo de regulación, ha quedado hoy desactualizada y requiere de una reforma integral que dé suficiente respuesta a los desafíos de la era digital y que esté a la altura de los estándares internacionales vigentes.

II.- Régimen jurídico argentino

a.- Ley vigente

A partir de 1994, año en el cual la Constitución Nacional argentina fue reformada por última vez, el derecho a la protección de datos personales adquirió raigambre constitucional, a través de la inclusión de la acción de hábeas data bajo la categoría de «nuevos derechos y garantías»^[2]. De este modo, el art. 43, tercer párrafo, de la Constitución establece que: “[t]oda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las fuentes de información periodística”.

Posteriormente, en el año 2000, se sancionó la mencionada Ley N° 25.326 de Protección de Datos Personales^[3], norma de orden público que, además de establecer los principios aplicables en la materia, regula el procedimiento de la acción constitucional de hábeas data. Esta normativa se inspiró en la legislación europea, en particular la Directiva 95/46/CE (13) relativa a la protección de datos, del año 1995.

La ley tiene por objeto “la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre (…)” (art. 1). El mismo artículo establece que la protección es aplicable también a los datos relativos a personas jurídicas, y que en ningún caso se podrá afectar la base de datos ni las fuentes de información periodísticas.

La norma bajo análisis regula sobre dos tipos de datos: los «datos personales», entendidos como aquella “información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables”; y los «datos sensibles» que abarcan aquellos “datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual” (art. 2).

Asimismo, en su Capítulo II, la Ley N° 25.326 dispone una serie de principios generales aplicables a la protección de los datos.  Entre los más relevantes, la norma contempla el principio de calidad de los datos (art. 4); el principios de consentimiento -libre, expreso e informado- del titular de los datos personales para el tratamiento lícito de estos últimos (art. 5); y el principio de información, que refiere al deber de comunicar en forma expresa y clara, al momento de recabar los datos personales, cuestiones como la finalidad para la que serán tratados, las consecuencias de su proporción, la negativa a hacerlo o su inexactitud, y la posibilidad de ejercer los derechos relativos al acceso, rectificación o supresión de los datos (art. 6).

En lo relativo a los datos sensibles, la norma prescribe que ninguna persona puede ser obligada a proporcionarlos, y que solo pueden ser recolectados y objeto de tratamiento en dos casos: cuando medien razones de interés general autorizadas por ley; o para finalidades estadísticas o científicas, cuando no puedan ser identificados sus titulares. Además, prohíbe la creación de bases que almacenen información que directa o indirectamente revele este tipo de datos, y solo habilita el tratamiento de datos sobre antecedentes penales o contravencionales a las autoridades públicas competentes (art. 7). En cuanto a los datos relativos a la salud, se permite su recolección y tratamiento por parte de los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud, siempre respetando el principio del secreto profesional (art. 8).

Por otra parte, la norma prohíbe la transferencia internacional de datos personales con países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados (art. 12). Y también incluye los principios de licitud de la base de datos (art. 3), seguridad (art. 9), confidencialidad (art. 10) y cesión (art. 11).

A continuación, la Ley N° 25.326 enumera, en su Capítulo III, los derechos de los titulares de los datos. Comienza por el derecho a solicitar información a la autoridad de control sobre las bases de datos personales, sus finalidades y responsables (art. 13). Prosigue con el derecho de acceso, entendido como el derecho de todo titular a solicitar y obtener información sobre sus datos personales incluidos en bases de datos públicas o privadas, de forma gratuita y en un plazo de diez días corridos. En el caso de que el responsable de tratar el dato no brinde dicha información, queda expedita la acción de hábeas data (art. 14).

La norma regula también los derechos de rectificación, actualización o supresión (art. 16). La rectificación de un dato incorrecto supone su sustitución a los fines de reflejar la situación real del titular, mientras que la actualización de un dato pretende que éste sea temporalmente verdadero o vigente (PEREA, 2021). En cuanto al derecho de supresión, el artículo establece que no procederá cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos. Asimismo, prevé un plazo de cinco días hábiles de recibido el reclamo o advertido el error o falsedad, para que el responsable del tratamiento del dato proceda a la rectificación, actualización o supresión, de lo contrario queda habilitada la vía para promover la acción de hábeas data.

El texto normativo continúa con la enunciación de los derechos y deberes de los usuarios y responsables de archivos, registros y bancos de datos, comenzando por su inscripción (Capítulo IV), su control por el órgano competente (Capítulo V), un sistema sancionatorio frente al incumplimiento de la norma (Capítulo VI) y la regulación procedimental de la acción de hábeas data (Capítulo VII).

En este marco, la República Argentina cuenta con una Dirección Nacional de Protección de Datos Personales, bajo la órbita de la Agencia de Acceso a la Información Pública (AAIP), organismo descentralizado que resulta ser la autoridad de aplicación y órgano de control de la Ley N° 25.326, y que tiene a su cargo el registro de bases de datos.

Es dable destacar que -a la luz del régimen descripto- en el año 2003 la Argentina fue declarada de nivel de protección adecuado por la Comisión Europea a los fines de las transferencias internacionales de datos personales^[4].  Ello implica que el flujo de datos personales desde y hacia los países de la Unión Europa no requiere de formalidad previa alguna para su concreción.

Ahora bien, los nuevos requerimientos tecnológicos de los últimos veintidós años, y su vertiginosa evolución, así como la entrada en vigencia del Reglamento General de Protección de Datos^[5] (GDPR, por sus siglas en inglés) aprobado por la Unión Europea, entendida como la norma más actualizada sobre el tema, ponen al desnudo la necesidad inminente de una actualización de la normativa argentina que se ha mantenido casi sin cambios desde el año 2000.

En tal sentido, la reforma integral del actual régimen de protección de datos personales es exigible, en primer término, a los fines de garantizar adecuadamente la protección de un derecho fundamental de raigambre constitucional, frente a los desafíos tecnológicos que impone la sociedad del siglo XXI. Estos desafíos abarcan desde algunos riesgos menores, como las cookies y el marketing, hasta mayores amenazas provenientes de la utilización de drones, decisiones tomadas mediante inteligencia artificial, empresas que recopilan datos personales desde cualquier parte del mundo, reconocimiento facial y datos biométricos (PALAZZI, 2021), todo ello potenciado por la irrupción de la pandemia de COVID-19. Pero, además, es necesario aggiornar la normativa vigente a los actuales estándares internacionales frente al riesgo de perder el estatus otorgado por la Comisión Europea, lo cual tiene especial relevancia para nuestro país en materia comercial en general, y de comercio electrónico en particular (PUCCINELLI, 2018).

b.- Proyectos de reforma

Frente a este contexto, en el año 2018 se elaboró un proyecto de ley para reemplazar la Ley N° 25.326 a los fines de alinear la legislación nacional al nuevo reglamento europeo. La propuesta normativa fue el resultado de un proceso que duró más de dos años, en el que intervinieron múltiples actores interesados en la materia, provenientes del sector privado, del ámbito académico y de la sociedad civil^[6].

En términos generales, se pueden mencionar los siguientes cambios relevantes en relación al régimen actual:

• la exclusión del ámbito de aplicación de la ley de las personas jurídicas^[7];
• la regulación de nuevos conceptos, como los de «datos genéticos» y «datos biométricos», y la adecuación de los conceptos de la ley vigente;
• la incorporación de nuevos principios: en particular, siguiendo el régimen europeo actual, el principio de extraterritorialidad^[8]; y del principio de responsabilidad proactiva^[9];
• la regulación del consentimiento, cuestión tanto novedosa como controvertida, en tanto prescribe que el tratamiento de datos requiere del consentimiento libre e informado, habilitando su obtención en forma expresa o tácita (con excepción de los datos sensibles)^[10];
• en relación al deber de seguridad, la inclusión de la obligación de notificar los incidentes de seguridad, en un breve plazo, tanto a la autoridad de control como a los titulares de los datos cuando dicho incidente pueda derivar en la posibilidad de causar daño a su persona o bienes;
• respecto de las transferencias internacionales, se incluyen especificaciones que aclaran o amplían la base legal sobre cómo deben realizarse, por ejemplo, en relación al consentimiento, los mecanismos de autorregulación vinculante y las cláusulas contractuales;
• se incorporan los «datos de niñas, niños y adolescentes» como categoría específica de datos;
• se regulan derechos adicionales para los titulares de los datos, como el derecho de oposición al tratamiento de datos, cuando el titular no haya prestado consentimiento; la adecuación del derecho de supresión de datos personales, del cual se deriva el actualmente conocido «derecho al olvido»^[11]; y los derecho a oponerse a las valoraciones personales automatizadas, y a la portabilidad de datos personales; y
• se crea la figura de un funcionario especializado, el Delegado de Protección de Datos, cuya designación será obligatoria para algunos casos específicamente definidos en la ley.

No obstante, el proyecto de ley perdió estado parlamentario con el cambio de gobierno en 2019. Ello motivó que, a fines de 2020, fuera presentado en la Cámara de Diputados un nuevo proyecto^[12] que lo tuvo como base, manteniendo los criterios aquí descriptos, pero que corrió la misma suerte que su predecesor. De haberse tratado alguno de los proyectos de ley por el Congreso de la Nación, la Argentina contaría con un régimen normativo actualizado al estándar del GDPR europeo, acorde a los nuevos requerimientos tecnológicos, que atiende equilibradamente a todos los intereses en juego, y que tiene en cuenta que el tratamiento de datos personales tiene una connotación internacional, excediendo el ámbito doméstico, y requiere estar a la altura de las regulaciones más avanzadas (PUCCINELLI, 2018).

c.- Evolución de la protección de datos

Sin perjuicio de ello, cabe poner de resalto que -en el ínterin- la protección de datos ha ido evolucionando a través de las numerosas disposiciones regulatorias de la más diversa índole que ha ido emitiendo la autoridad de aplicación de la Ley N° 25.326. En tal sentido, por ejemplo, a través de la Disposición 60–E/2016 de la por entonces Dirección Nacional de Protección de Datos -en la actualidad, AAIP- se estableció un listado de países con legislación adecuada en materia de datos personales, a los fines de efectuar una transferencia internacional, y disponer modelos de contrato, tanto para los casos de cesión como para los de prestación de servicios, que deberán ser suscriptos para realizar transferencias internacionales de datos a países sin legislación adecuada (JURI, 2019). Asimismo, dicho órgano ha regulado también en torno al régimen sancionatorio, normas de inspección y control, guías de buenas prácticas -como la relativa al desarrollo de apps-, medidas para la seguridad de la información, el registro nacional «no llame», entre otras.

Por otra parte, también debe mencionarse la Ley N° 26.388 sobre Delitos Informáticos, promulgada en 2008, que introdujo una serie de cambios en el Código Penal argentino e incorporó ciertos tipos penales relacionados con la protección de datos personales^[13].

A nivel internacional, en el año 2017 el Comité de Ministros del Consejo de Europa aceptó el pedido que hizo Argentina para adherir al Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, más conocido como «Convenio 108», el cual fue aprobado por la Ley N° 27.483, y se encuentra vigente en el país desde junio de 2019. Este tratado, además de regular sobre los principios y garantías básicas en la materia, contiene obligaciones respecto de la independencia de la autoridad de control y al flujo transfronterizo de datos personales. De igual modo, en julio de 2020 la Argentina firmó el protocolo adicional, «Convenio 108 +», que actualiza a su predecesor, e incorpora principios como el de transparencia, proporcionalidad, responsabilidad, minimización de datos y privacidad en el diseño. Es dable destacar que, previo a la firma de estos Convenios, el Estado argentino ya era parte desde 2017, de la «Convención de Budapest» que establece parámetros y criterios para la lucha contra ciberdelitos.

En lo referente al plano internacional, resta mencionar que tanto la Agencia de Acceso a la Información Pública nacional como la Defensoría del Pueblo de la Ciudad de Buenos Aires, son parte de la Red Iberoamericana de Protección de Datos. Esta Red surge en 2003 como foro integrador de los diversos actores, tanto del sector público como privado, que desarrollen iniciativas y proyectos relacionados con la protección de datos personales en Iberoamérica, con la finalidad de promover los desarrollos normativos necesarios para garantizar una regulación avanzada del derecho a la protección de datos personales.

Junto al plexo normativo nacional e internacional que regula el derecho sub examine, no puede dejar de destacarse la labor interpretativa de la jurisprudencia local. En tal sentido, si bien en la Argentina algunos de los denominados «nuevos derechos» todavía no han sido regulados por la norma, sí han sido receptados jurisprudencialmente, siendo los jueces quienes han ido definiendo sus contornos. Tal es el caso del «derecho al olvido», respecto del cual la Corte Suprema de Justicia de la Nación (CSJN) se expidió por primera vez en el leading case “Rodríguez, María Belén” (Fallos: 337: 1174).

La causa tuvo inicio a raíz de una demanda de daños y perjuicios interpuesta por una modelo publicitaria contra Google Inc. y Yahoo Argentina S.R.L. por violación a sus derechos al honor e intimidad, que entendió lesionados por la vinculación de su persona a sitios de internet de contenido erótico o pornográfico, como también por el uso no autorizado de su imagen. Sobre este último punto, la peticionaria solicitó que las demandadas cesaran en el uso de su retrato en la herramienta de «búsqueda por imágenes».

Sobre tales premisas, el Alto Tribunal precisó, en primer término, que se encontraban en conflicto, por un lado, el derecho la libertad de expresión e información y, por el otro, el derecho al honor y a la imagen, al tiempo que puso de resalto la importancia de la actividad de los «motores de búsqueda» para el funcionamiento de internet. En esta línea, señaló que corresponde juzgar la eventual responsabilidad de estos últimos de acuerdo a las normas que establecen una responsabilidad subjetiva, es decir, basada en la idea de culpa, en tanto los «buscadores» no tienen una obligación general de monitorear (supervisar, vigilar) los contenidos que se suben a la red y que son proveídos por los responsables de cada una de las páginas web. Sin embargo, indicó que hay casos en que el «buscador» puede llegar a responder por un contenido que le es ajeno, y eso sucederá cuando haya tomado efectivo conocimiento de la ilicitud de ese contenido, si tal conocimiento no fue seguido de un actuar diligente.

Así, a los efectos de determinar el efectivo conocimiento requerido para responsabilizar a un «buscador», la CSJN dispuso que, ante la ausencia de una regulación legal específica, conviene sentar una regla que distinga nítidamente los casos en que el daño es manifiesto y grosero, a diferencia de otros en que sea opinable, dudoso o exija un esclarecimiento. En el primer caso, es decir, cuando la naturaleza ilícita -civil o penal- de estos contenidos es palmaria y resulta directamente de consultar la página señalada, basta con una comunicación fehaciente del damnificado o, según el caso, de cualquier persona, sin requerir ninguna otra valoración ni esclarecimiento. Por el contrario, en los casos en que el contenido dañoso que importe eventuales lesiones al honor o de otra naturaleza, corresponde exigir la notificación judicial o administrativa competente, no bastando la simple comunicación privada.

En conclusión, la Corte señaló (en voto dividido) que el denominado thumbnail -consistente en una copia reducida tanto en píxeles (resolución) como en bytes (tamaño del archivo) de las imágenes originales- “tiene respecto de la imagen original «subida» a una página de Internet, una función de mero «enlace». La misma que tiene el snippet, o pequeña porción del texto que contiene esa página. Dan idea al usuario del contenido de la página y le permiten decidir si accederá, o no, a aquélla. Obviamente, la imagen original y el texto original -«subidos» a la página web- son responsabilidad exclusiva del titular de aquélla, único creador del contenido”, constituyendo el «buscador» un mero intermediario.

El criterio subjetivo fue reiterado por el Tribunal -en su nueva composición- en el fallo «Gimbutas, Carolina Valeria» (Fallos: 340: 1236), que fue replicado, a su vez, en diversas oportunidades posteriores. Es decir que, para la jurisprudencia argentina actual, es el afectado quien debe hacerle saber al buscador cada URL que considere dañoso (MILLER, 2020).

Por último, en esta reseña evolutiva, debe hacerse mención del rol del sector privado en la adecuación a los nuevos estándares europeos, uniformando su regulación, a través de auditorías, tareas relativas al compliance normativo con el GDPR, informes y evaluaciones, capacitaciones y actualización de procedimientos internos de tratamiento de datos (FALIERO, 2018).

III. Conclusiones

Protagonizamos una era que se encuentra regida por un entorno digital, que evoluciona de manera acelerada y sin reglas, invade cada vez más aspectos de nuestra vida cotidiana, y altera la forma en que nos relacionamos socialmente y el modo en el que percibimos la realidad. Y si bien resultan innegables los diversos beneficios que ofrecen los avances en materia inteligencia artificial y nuevas tecnologías, dicho progreso también conlleva una serie de desafíos para la cabal protección de algunos de los derechos fundamentales -clásicos y nuevos- de las personas.

Frente a esta tensión entre Tecnología y Derecho se alza el derecho a la protección de los datos personas, o a la autodeterminación informativa, para garantizar al individuo la posibilidad efectiva de disponer y controlar los datos que le conciernen (MOLINA QUIROGA 2014), que actualmente ha sido receptado por la mayoría de los países del mundo, a través de regímenes tuitivos más o menos robustos^[14].

En el caso de Argentina, el camino recorrido hasta el momento es extenso. No obstante, se impone la necesidad de actualizar la normativa vigente, con el aporte interdisciplinar de los distintos actores involucrados en una cuestión tan técnica como el procesamiento datos, mediante una ley que unifique la reglamentación dispersa, consolide los derechos emergentes de este nuevo contexto, y que, sin dejar de promover un escenario apto para la inversión y la innovación necesarias para el desarrollo de la Argentina, garantice una debida protección del derecho personalísimo a la privacidad.

Julieta Murillas

20 de abril de 2022

---

Bibliografía

FALIERO, J. C. (2018). El futuro de la regulación en protección de datos personales en la Argentina. Sup. Esp. LegalTech 2018 (noviembre), La Ley, 55.

GREENLEAF, G. (2020). 2022 ends a decade of62 new data privacy laws. Privacy Laws & Business InternationalReport, 163, 24–26. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3572611

GREENLEAF, G. (2021). Global Tablesof Data Privacy Laws and Bills (7th Ed, January2021). Privacy Laws & Business International Report, 169(2021), 6–19. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3836261

JURI, Y. E. (2019). Protección de datos personales. Especial referencia al proyecto de reforma de la Ley argentina N° 25.326. Revista de Derecho Universidad San Sebastián, Edición Especial XIII Jornadas de Derecho Natural, 221–231. https://ri.conicet.gov.ar/handle/11336/115145

MILLER, C. H. (2020). Google olvida también en la Argentina. LA LEY 22/07/2020, 7.

MOLINA QUIROGA, E. (2014). Aplicación del principio de calidad en el tratamiento de datos personales. Sup. Const- 18/02/2014, 57, LL 2014-A-341.

PALAZZI, P. A. (2021, 28 febrero). Dos décadas de protección de datos personales en Argentina. Pablo A. Palazzi. Recuperado 11 de marzo de 2022, de https://pablopalazzi.blogspot.com/2021/03/dos-decadas-de-proteccion-de-datos.html

PEREA, A. I. (2021). Derecho a la intimidad, a la protección de datos personales y nuevos derechos. En G. PEREYRA ZABALA (Ed.), Nociones fundamentales de Derechos Humanos (1.^a ed., pp. 171–187). Visión Jurídica Ediciones.

PUCCINELLI, O. R. (2017). Un proyecto de reforma a ley 25.326 elaborado participativamente que está a la altura de las leyes más avanzadas del mundo. Revista Latinoamericana de Protección de Datos Personales, 4. https://ar.ijeditores.com/pop.php?option=publicacion&idpublicacion=330&idedicion=1996

---

^[1] Ver también el mapa que ofrece BANISAR, D. (2021), National Comprehensive Data Protection/Privacy Laws and Bills 2021, disponible en SSRN: https://ssrn.com/abstract=1951416 o http://dx.doi.org/10.2139/ssrn.1951416

^[2] Previo a ello, su protección se infería del juego armónico de las siguientes normas: art. 33 -derechos implícitos o no enumerados-, art. 19 -principio de reserva- y art. 18 -inviolabilidad del domicilio, la correspondencia y los papeles privados- de la Const. Nac. Asimismo, se encontraba regulado por el art. 1071 bis del Código Civil de la Nación, que fue reemplazado por el actual art. 1770 del Código Civil y Comercial de la Nación Argentina, y establece el derecho a la intimidad (FALIERO, 2018).

^[3] Disponible en: https://www.argentina.gob.ar/normativa/nacional/ley-25326-64790. La Ley N° 25.326 ha sido reglamentada por el Decreto N° 1558/01, modificado mínimamente por su similar Decreto N° 1160/10.

^[4] Ver Decisión 2003/490/CE de la Comisión de las Comunidades Europeas, del 30/06/2003, disponible en: https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32003D0490&from=ES

^[5] Ver Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de la Unión Europea, del 27/04/2016, (en vigencia desde mayo de 2018), disponible en: https://www.boe.es/doue/2016/119/L00001-00088.pdf

^[6] Ver Anteproyecto de Ley de Protección de Datos Personales, elaborado por el Poder Ejecutivo Nacional y presentado ante el Congreso de la Nación en fecha 19/08/2018: https://www.argentina.gob.ar/sites/default/files/mensaje_ndeg_147-2018_datos_personales.pdf

^[7] De la nota de elevación del último proyecto de ley, que toma como base el del 2018, surge que la decisión de excluir a las personas de existencia ideal, consistente con el «Convenio 108+», se fundó en que, según los estándares internacionales en la materia, no son sujetos titulares de derechos humanos fundamentales (cfr. Corte IDH, Opinión Consultiva OC – 22/16).

^[8] El principio de extraterritorialidad implica que la normativa se aplicará en distintos supuestos, aún cuando el responsable del tratamiento de los datos no se encuentre en territorio argentino.

^[9] El principio de responsabilidad proactiva pone en cabeza del responsable de tratar el dato el deber de demostrar a la autoridad de aplicación la efectiva implementación de las medidas técnicas y organizativas que dispone la ley y su cabal cumplimiento.

^[10]Al respecto, FALIERO (2018) señala que la introducción de la posibilidad de consentimiento tácito resulta peligroso en relaciones jurídicas donde un existe un sujeto vulnerable o débil jurídico, no habiendo sido receptado en regímenes tuitivos similares a éste, como el derecho del consumidor o los derechos de los pacientes, por su contradicción con la finalidad protectoria.

^[11] Cabe aclarar que este último recepta mayores limitaciones que en el marco regulatorio europeo, en miras a la protección de la libertad de expresión y la prohibición de la censura previa, y los particulares no pueden proceder a la remoción de contenido, sino que la decisión debe provenir de autoridad judicial (FALIERO, 2018).

^[12] Proyecto de Ley elaborado por la diputada Karina Banfi, presentado ante la Cámara de Diputados el 17/11/2020, disponible en: https://www4.hcdn.gob.ar/dependencias/dsecretaria/Periodo2020/PDF2020/TP2020/6234-D-2020.pdf

^[13] El art. 8 de la Ley N° 26.388 sustituyó el art. 157 bis del Cód. Penal, por el siguiente: “Será reprimido con la pena de prisión de un (1) mes a dos (2) años el que: 1. A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales; 2. Ilegítimamente proporcionare o revelare a otro información registrada en un archivo o en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de la ley. 3. Ilegítimamente insertare o hiciere insertar datos en un archivo de datos personales. Cuando el autor sea funcionario público sufrirá, además, pena de inhabilitación especial de un (1) a cuatro (4) años”.

^[14] Ver mapa comparativo de las leyes de protección de datos alrededor del mundo que ofrece el sitio web del bufete DLA Piper: https://www.dlapiperdataprotection.com/

---

Julieta Murillas

Abogada (Universidad Nacional del Sur, Argentina) y Magíster en Estudios Internacionales con orientación en Derechos Humanos (Universidad Torcuato Di Tella, Argentina).