¿Es la Ley de Protección de Datos Personales idónea para proteger los datos personales de ciudadanos argentinos y la libre circulación de datos en internet?
Por Marina Basavilbaso
La intención del presente trabajo es analizar la idoneidad de la presente Ley N° 25.326 de Protección de los Datos Personales (en adelante, “Ley de Protección de Datos Personales” o la “Ley”) para proteger tanto la transmisión de datos personales en Internet y otros servicios online como la libre circulación de datos y analizar si el último anteproyecto de modificación de dicha ley (“Proyecto de Reforma”) implica algún cambio real en la materia.
En primer lugar, es dable aclarar que la Ley de Protección de Datos Personales, como su propio art. 1° lo dice, busca proteger los datos personales almacenados en archivos o bancos de datos, tanto públicos como privados, para garantizar el honor y la intimidad de las personas. Si bien la protección de los datos personales es digna de protección por parte del Estado en todos los casos, el objeto de la Ley parece tomar especial relevancia a la luz del incansable tráfico de datos que se da en Internet y en las distintas plataformas online. Del texto original de la Ley se desprende que ésta no fue originalmente pensada para proteger a los usuarios de servicios online ni la libre circulación de datos en Internet. Sin embargo, hoy en día este es uno de los escenarios que presenta mayor vulnerabilidad para los titulares de los datos, y la Ley y sus modificaciones tienen que orientarse a generar un ecosistema que permita un tráfico adecuado y protegido de los datos, tanto para los titulares que desean consentir su procesamiento, como para los usuarios que prefieren proteger su intimidad y sin duda, para los titulares de los sitios que necesitan de estos datos para hacer funcionar los servicios. Así lo hemos visto con la reciente entrada en vigencia del Reglamento General de Protección de Datos (“GDPR” por sus siglas en inglés) de la Unión Europea y de la Ley de Protección de Datos brasilera (“LGPD” por sus siglas en portugués).
Dentro de los distintos temas reglamentados por la Ley y sus normas complementarias (sobre todo Disposiciones de la ex Dirección Nacional de Protección de Datos Personales y actual Agencia de Acceso a la Información Pública) considero especialmente relevantes para la materia que nos ocupa:
· El consentimiento;
· El ámbito de aplicación de la Ley;
· La cesión internacional de datos.
A continuación, se describirá cómo están regulados estos temas actualmente en la Ley y sus normas complementarias, si el Proyecto de Reforma los trata y qué sería necesario modificar para que la normativa en la materia sea realmente adecuada.
I. El consentimiento previo [arriba]
La Ley de Protección de Datos Personales en su art. quinto establece:
“ARTICULO 5° — (Consentimiento).
1. El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias.
El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 6° de la presente ley.
2. No será necesario el consentimiento cuando:
a) Los datos se obtengan de fuentes de acceso público irrestricto;
b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal;
c) Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio;
d) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento;
e) Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley 21.526.”
Parece claro que para que el tratamiento de datos personales sea lícito es necesario solicitar del titular del dato su consentimiento libre, expreso e informado y que el mismo deberá constar por escrito o por otro medio que se le equipare, salvo que el tratamiento entre en algunas de las excepciones. Ahora bien, cuando hablamos de tratamiento de datos en Internet o servicios online, el consentimiento del titular no se pide por escrito de manera tradicional sino a través del llamado “click to accept”. El click to accept es el sistema según el cual el operador de un servicio online interesado en procesar datos personales de un tercero le describe al titular de los datos el modo en el que llevará a cabo el procesamiento, y el titular acepta que sus datos sean procesados haciendo click en un casillero dispuesto al efecto. De esta manera el consentimiento es libre y expreso y, aunque no consta por escrito, sí consta por otro medio equiparable. En este sentido, parece especialmente relevante el art. 1106 del Código Civil y Comercial que, si bien trata los contratos de consumo celebrados fuera del establecimiento comercial, dispone que, cuando en las leyes especiales se exija que el contrato conste por escrito, este requisito se debe entender satisfecho si el contrato contiene un soporte electrónico u otra tecnología similar. Más allá de este artículo en particular, son muchos los artículos del Código Civil y Comercial que han traído luz en este sentido dejando claro que la validez del consentimiento por medios electrónicos es una cuestión ya superada en la Argentina y así ha sido incorporado en nuestro Proyecto de Reforma, y en GDPR.
El Proyecto de Reforma de la Ley trae algunas modificaciones respecto el consentimiento, sin embargo, en honor a la brevedad parece importante destacar que el Proyecto ha incorporado la opción de que el consentimiento se preste de manera tácita, y que específicamente determina que “En todos los casos, el responsable del tratamiento tiene la carga de demostrar que el titular de los datos consintió el uso de sus datos personales”.
Respecto del consentimiento tácito, será requerido que el consentimiento surja del comportamiento del titular de los datos y que los datos requeridos sean necesarios para el fin que motiva la recolección. Parece tratarse de una incorporación feliz que sin duda favorecerá el tráfico de datos, en línea con los objetivos delimitados por GDPR.
En cuanto a la carga de la prueba, parece lógico exigir al responsable del tratamiento demostrar que cuenta con el consentimiento del titular de los datos para su procesamiento, y este criterio es compartido en derecho comparado.
II. El ámbito territorial como criterio de aplicabilidad de la Ley [arriba]
La Ley argentina en su art. 44, al regular el ámbito de aplicación establece que la Ley “(…) es de orden público y de aplicación en lo pertinente en todo el territorio nacional.” El Proyecto de Reforma no propone hasta el momento ningún cambio en este aspecto, pero es muy posible que este punto sea revisado a la brevedad.
El ámbito de aplicación de la ley se ha tornado particularmente relevante desde que GDPR ha extendido su ámbito de aplicación a todas las empresas que ofrezcan bienes o servicios a ciudadanos europeos. Siguiendo el criterio establecido por la Unión Europea, Brasil ha adoptado este criterio, y también lo ha hecho el Proyecto de Reforma argentino.
El Art. 4° del Proyecto de Reforma extiende el ámbito de aplicación a los casos en los que:
“a) el responsable del tratamiento se encuentre establecido en el territorio nacional, aun cuando el tratamiento de datos tenga lugar fuera de dicho territorio;
b) el responsable del tratamiento no se encuentre establecido en el territorio nacional, sino en un lugar en que se aplica la legislación nacional en virtud del derecho internacional;
c) el tratamiento de datos de titulares que residan en la REPÚBLICA ARGENTINA sea realizado por un responsable del tratamiento que no se encuentre establecido en el territorio nacional y las actividades de dicho tratamiento se encuentren relacionadas con la oferta de bienes o servicios a dichos titulares de los datos en la REPÚBLICA ARGENTINA, o con el seguimiento de sus actos, comportamientos o Intereses.”
Considerando que la autoridad de aplicación argentina de la Ley de Protección de Datos Personales históricamente ha sido más propensa a seguir los criterios europeos que los criterios norteamericanos, era esperable que se introdujeran estos cambios en el Proyecto de Reforma.
III. La transferencia internacional de datos [arriba]
En relación a lo dicho anteriormente, otro de los temas clave al analizar la idoneidad de la Ley para proteger el tratamiento de datos personales en Internet es la transferencia internacional de datos.
El texto actual del art. 12 de la Ley distingue entre países y organismos nacionales o supranacionales con niveles de protección adecuada y otros con niveles de protección no adecuados. En este tema, es importante tener en cuenta la Disposición 60/2016 de la Dirección Nacional de Protección de Datos Personales que prohíbe la transferencia internacional a países que no presentan los niveles de protección adecuados sin el marco de contratos que contengas las cláusulas específicamente contenidas en la Disposición.
El Proyecto de Reforma aborda este tema en el art. 23, y extiende mucho los casos en los que está permitida la transferencia internacional de datos. Considerando que el receptor de los datos asume las mismas obligaciones de cuidado que el transferente, la extensión resulta sumamente pertinente y adecuada a la necesidad de favorecer el tráfico.
En base a lo expuesto, parece claro que la nueva versión del anteproyecto de Ley de Protección de Datos Personales es esperanzadora en cuanto presenta un escenario más favorable para la protección de datos personales y el tráfico de éstos en Internet, pero su sanción no debe hacerse esperar más. Con los cuatro unicornios tecnológicos como bandera, la Argentina ha demostrado sobradamente que es líder regional en el ámbito de las compañías tecnológicas, por lo que una legislación actual que garantice una adecuada protección resulta esencial a todas luces.
| 
