I. Introducción. El régimen de Protección de Datos Personales en Argentina y su proceso de actualización
Si bien el régimen de Protección de Datos Personales se encuentra en la esencia de nuestro ordenamiento jurídico, la Constitución Nacional (I), puede mencionarse su nacimiento en la reforma de ésta, del año 1994. En ese momento se estableció expresamente el derecho sobre los datos personales, en el artículo 43 (II). A ello se suma que desde el año 2000 Argentina cuenta con una ley especial en la materia (la Nº 25326 de Habeas Data, con su decreto reglamentario N° 1558/2001).
Lo hasta aquí señalado permitió que Argentina sea considerada un país de protección adecuada por la Unión Europea (UE) (III). Este punto resulta sumamente importante pues facilita nada más y nada menos que la tan necesaria transferencia internacional de datos.
Ahora bien, Argentina debe seguir siendo acreedora de esta calificación (país de protección adecuada). La UE revisa constantemente la situación de los países relativa a la protección de los datos personales y va incluyéndolos y eliminándolos de la calificación de “protección adecuada”, según corresponda.
Es más, la sanción del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) (IV) en el año 2018, vino a imponer un nuevo estándar que debe ser alcanzado a fin de continuar con la calificación de “país de protección adecuada”.
Con eso en vistas, Argentina ha iniciado (hace ya unos años) un proceso de actualización normativo, cuyo hito consiste en la presentación este año de un proyecto de ley de protección de datos personales (V).
Ahora bien, mientras se aguarda el tratamiento de éste, se pueden mencionar los siguientes puntos que revelan el proceso de actualización normativa que está teniendo Argentina hace unos años:
En 2017 (VI) se estableció que la autoridad de aplicación sería independiente: la Agencia de Acceso a la Información Pública (AAIP) (VII), ente autárquico que funciona con autonomía funcional en el ámbito de la Jefatura de Gabinete de Ministros. Este punto es esencial para fortalecer este régimen en tanto la autoridad no dependerá de los vaivenes políticos y así brindará mayor seguridad jurídica a los administrados.
Se dictaron numerosas resoluciones: (I) la N° 40/2018, AAIP: Política Modelo de Protección de Datos y Delegado de Protección de Datos para organismos públicos; (II) la N° 47/2018, AAIP: Medidas de Seguridad recomendadas para tratamiento y conservación de datos personales en medios informatizados; (III) la N° 132/2018, AAIP, referida a la inscripción de bases de datos que, si bien mantiene la obligatoriedad, en tanto no puede eliminarse sin una reforma de la LDH, el trámite se realiza exclusivamente a través del sistema Trámites a Distancia (TAD), no tiene arancel, el formulario se simplificó y se eliminó la obligación de la reinscripción anual; (IV) la N° 159/2018, AAIP, que agrega la posibilidad de hacer transferencia internacional a países que no sean considerados de protección adecuada siempre que sea entre empresas que pertenezcan al mismo grupo económico y siguiendo ciertos lineamientos -Normas Corporativas Vinculantes (Binding Corporate Rules). Si éstas, del grupo, difieren de los lineamientos, se deberán someter al control de la AAIP; (V) la N° 4/2019, AAIP, Criterios orientadores para las mejores prácticas. Entre ellos se menciona cómo otorgar el derecho de acceso a datos de videovigilancia y se explica el derecho a explicación ante respuestas otorgadas mediante tratamiento automatizado de datos. Asimismo, se define qué se entiende por disociación de datos y por datos biométricos. También se dan pautas para la recopilación del consentimiento.
Emisión de la Guía de Evaluación de Impacto en la Protección de Datos [viii] (PIA, por sus siglas en inglés) (IX), en colaboración con la unidad reguladora de control de datos de Uruguay.
En el año 2019, Argentina adhiere al Convenio 108[x] para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y su Protocolo Adicional, originalmente abierto solamente para los países europeos. Así, Argentina es el miembro N° 54 en suscribir el Convenio 108 y el tercer país latinoamericano en acceder a este convenio.
En el año 2022, se convirtió en ley la adhesión de Argentina al Convenio 108+ (XI), versión modernizada del Convenio 108.
Recientemente se habilitó un formulario web para la inscripción de Responsables de Bases de Datos Personales que no residan en la Argentina (XII).
Pues bien, dentro de este proceso de actualización también se pueden mencionar las resoluciones AAIP 240/2022 (XIII) y 244/2022 (XIV), objeto de este artículo, mediante las cuales se actualiza la graduación y calificación de las sanciones del régimen de protección de datos personales.
II. Las Resoluciones AAIP 240/2022 y 244/2022: la nueva clasificación y graduación de sanciones Mediante la Resolución AAIP 240/2022 se derogan las Disposiciones de la Dirección Nacional de Protección de Datos Personales (DNPDP) 9/2015 y 13/2015[xv] y se sustituyen los Anexos I y II al artículo 2 de la Disposición DNPDP 7/2005.
A continuación se muestran las nuevas clasificaciones y graduaciones de infracciones
II.1. Clasificación de infracciones
La resolución AAIP 240/2022 indica que las infracciones serán:
Leves cuando consistan en:
a) Efectuar tratamiento de datos personales sin encontrarse inscripto (infracción al artículo 3 de la Ley 25.326).
b) No informar en tiempo y forma modificaciones, actualizaciones o bajas a las bases de datos registradas.
c) No proporcionar en tiempo y forma la información que solicite la DNPDP.
e) No respetar el principio de gratuidad previsto en el artículo 19 de la Ley 25.326.
Graves cuando consistan en:
a) Falta de inscripción de las bases de datos cuando haya sido requerido por la DNPDP.
b) Declarar datos falsos o inexactos al efectuar la registración de las bases de datos.
c) Tratar datos de carácter personal sin contar con una base de legitimación adecuada.
d) Recoger datos de carácter personal sin proporcionar a los titulares el derecho de información (artículo 6 de Ley 25.326).
e) No atender en tiempo y forma la solicitud de los titulares de los datos personales de los derechos de acceso, rectificación o supresión cuando legalmente proceda.
f) Proceder al tratamiento de datos de carácter personal que no reúnan las calidades de ciertos, adecuados, pertinentes y no excesivos con relación al ámbito y finalidad para los que se hubieren obtenido.
g) Incumplir el deber de confidencialidad y seguridad sobre los datos de carácter personal.
h) Mantener bases de datos locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que la normativa determina.
i) Mantener por más tiempo que el establecido legalmente el registro, archivo o cesión de los datos significativos para evaluar la solvencia económico-financiera de los titulares de los datos.
j) Tratar, dentro de la prestación de servicios de información crediticia, datos personales patrimoniales que excedan la información relativa a la solvencia económica y al crédito del titular de tales datos.
k) No retirar o bloquear el nombre y dirección de correo electrónico de los bancos de datos destinados a publicidad cuando su titular lo solicite (artículo 27, inciso 3 de la Ley 25.326).
l) Hacer ilegalmente uso del isologo creado a través de la resolución AAIP 12/2018 (identificación de los responsables inscriptos).
m) Contactar con el objeto de publicidad, oferta, venta o regalo de bienes o servicios utilizando los servicios de telefonía en cualquiera de sus modalidades a quienes se encuentren debidamente inscriptos ante el Registro Nacional No Llame, creado por la ley 26951.
n) Utilizar los servicios de telefonía en cualquiera de sus modalidades para publicitar, ofertar, vender o regalar bienes o servicios sin haber obtenido de la autoridad de aplicación la habilitación de usuario autorizado para la descarga de la lista de inscriptos ante el Registro Nacional No Llame.
o) No adoptar las medidas que garanticen el cumplimiento de la ley N° 26951 en campañas en las que se contraten empresas tanto en el país como en el exterior que utilicen los servicios de telefonía en cualquiera de sus modalidades para publicitar, ofertar, vender o regalar bienes o servicios.
p) Obstruir el ejercicio de la función de inspección y fiscalización a cargo de la DNPDP.
q) No dar respuesta a los requerimientos cursados por la DNPDP.
Muy graves cuando consistan en:
a) Omitir denunciar, con motivo del tratamiento de datos personales en Internet, el domicilio legal y demás datos identificatorios del responsable, sea ante el Registro Nacional de Bases de Datos así como en su política de privacidad, de modo tal que mediante dicha conducta afecte el ejercicio de los derechos del titular del dato y la actividad de contralor.
b) Conformar un archivo de datos cuya finalidad sea contraria a las leyes o a la moral pública.
c) Recoger datos de carácter personal mediante ardid, engaño o fraude a la ley.
d) Tratar los datos de carácter personal en forma ilegítima o con menosprecio de los principios y garantías establecidos en ley 25326 y normas reglamentarias.
e) Realizar acciones concretas tendientes a impedir u obstaculizar el ejercicio por parte del titular de los datos de los derechos reconocidos en la ley 25326.
f) Mantener datos personales inexactos o no efectuar las rectificaciones, actualizaciones o supresiones que legalmente procedan cuando resulten afectados los derechos de las personas que la ley 25326 ampara y haya sido intimado previamente por la DNPDP.
g) Transferir datos personales de cualquier tipo a países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados, salvo excepciones que puedan aplicar.
h) Ceder ilegítimamente los datos de carácter personal fuera de los casos en que tal accionar esté permitido.
i) Recolectar y tratar datos sensibles sin que medie el consentimiento del titular de los datos, razones de interés general autorizadas por ley o sean tratados con finalidades estadísticas/ científicas sin la debida anonimización.
j) Formar archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles, salvo en los casos expresamente previstos en el artículo 7°, inciso 3 de la ley 25326.
k) Incumplir el deber de confidencialidad y seguridad respecto de los datos sensibles, así como de los que hayan sido recabados y tratados para fines penales y contravencionales.
l) No cesar en el uso y tratamiento ilegítimo de datos de carácter personal cuando sea requerido para ello por el titular y/o por la DNPDP.
m) Realizar maniobras tendientes a sustraerse o impedir el desarrollo de la actividad de contralor de la DNPDP.
II.2. Clasificación de infracciones
La resolución AAIP 240/2022 indica que las infracciones serán graduadas de la siguiente manera:
Ante la comisión de infracciones leves: se podrán aplicar hasta 2 apercibimientos y/o una multa $1.000 a $80.000.
Ante la comisión de infracciones graves: se podrán aplicar hasta 4 apercibimientos, suspensión de 1 a 30 días y/o multa de $80.001 a $90.000.
Ante la comisión de infracciones muy graves: se podrán aplicar hasta 6 apercibimientos, suspensión de 31 a 365 días, clausura o cancelación del archivo, registro o banco de datos y/o multa de $90.001 a $100.000. Además, se aclara que superados los 6 apercibimientos no podrá aplicarse nuevamente este tipo de sanción.
Tener en cuenta que la resolución AAIP 240/2022 indica que las sanciones son independientes de la responsabilidad por daños y perjuicios derivados de la inobservancia de la ley y de las sanciones penales que correspondan.
Por otro lado, se indica que sin perjuicio de las sanciones que se apliquen, la DNPDP podrá imponer a la sancionada una obligación de hacer con el objeto de que cese en el incumplimiento que dio origen a la sanción y la capacitación obligatoria en materia de protección de datos personales para evitar que la conducta infraccional se produzca nuevamente.
Asimismo, se determina que la aplicación y cuantía de las sanciones se graduará atendiendo a:
a. la naturaleza y dimensión del daño o peligro de los derechos personales afectados;
b. el beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción;
c. la reincidencia en la comisión de la infracción;
d. la resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la autoridad de aplicación;
e. el incumplimiento de los requerimientos u órdenes impartidas por la autoridad de aplicación;
f. el reconocimiento o aceptación expresa que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar;
g. la condición económica del infractor;
h. la adopción demostrada de medidas correctivas y mecanismos y procedimientos internos capaces de minimizar el daño, tendientes al tratamiento seguro y adecuado de los datos;
i. la proporcionalidad entre la gravedad de la falta y de la sanción;
j. si se han afectado datos personales de niños, niñas y adolescentes;
k. el volumen de los datos tratados;
l. la categoría de datos personales afectados, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas;
m. otros que pueda considerar la autoridad de aplicación según la naturaleza del caso.
Por su parte, se indica que ante incidentes de seguridad, se considerará como atenuante la colaboración con la autoridad de control y la implementación demostrada de medidas correctivas, mecanismos y procedimientos internos capaces de minimizar el daño por parte del responsable o encargado de tratamiento.
A su vez, se menciona que cada infracción deberá ser sancionada en forma independiente, debiendo acumularse cuando varias conductas sancionables se den en las mismas actuaciones y que, en los casos donde haya pluralidad de sujetos afectados y el acto administrativo condenatorio incluya más de una sanción pecuniaria por idéntica conducta sancionable, resultan aplicables los topes máximos previstos en la normativa vigente.
En cuanto a la reincidencia, se fija que se configurará cuando quien habiendo sido sancionado por alguna de las infracciones previstas en las leyes 25326 y 26951 (Registro Nacional “No Llame”) y/o sus reglamentaciones, incurriere en otra de similar conducta sancionable dentro del término de 2 años a contar desde la notificación del acto administrativo que aplica la sanción.
A su vez, se indica que la multa deberá ser abonada dentro de los 10 días hábiles administrativos desde su notificación y que la falta de pago hará exigible su cobro por ejecución fiscal, constituyendo suficiente título ejecutivo el testimonio autenticado de la resolución condenatoria firme.
La resolución AAIP 244/2022 (complementa la resolución AAIP 240/2022) deroga la disposición DNPDP 71-E/2016[xvi] y se establece que cuando un acto administrativo condenatorio incluya más de una sanción pecuniaria por idéntica conducta sancionable dentro de cada uno de los niveles de Graduación de las Sanciones previsto por la resolución 240/2022, deberán aplicarse los siguientes topes máximos: a) para las infracciones leves $3 millones, b) para las infracciones graves $10 millones y c) para las infracciones muy graves $ 15 millones.
III. Conclusión
Nos encontramos ante un claro proceso de actualización del régimen de protección de datos personales que ya lleva sus años pero que en el último tiempo ha tomado una velocidad exacerbada. En este sentido, las resoluciones AAIP 240/2022 y 244/2022 son también un claro ejemplo de ello.
Pérez, Alati, Grondona, Benites & Arntsen
(*) Abogada. Consejera en Pérez Alati, Grondona, Benites & Arntsen (Pagbam). Especialista en tecnología y datos personales, defensa de la competencia, derecho del consumidor y lealtad comercial. Graduada de la Universidad Católica Argentina. Magíster de la Université Catholique de Lyon (Francia). Profesora en las universidades del CEMA y Austral
(I) Dicha protección estuvo implícita siempre en el derecho a la privacidad. Así, el artículo 19 de la Constitución Nacional dispone: “Las acciones privadas de los hombres que de ningún modo ofendan al orden y a la moral pública, ni perjudiquen a un tercero, están sólo reservadas a Dios, y exentas de la autoridad de los magistrados. Ningún habitante de la Nación será obligado a hacer lo que no manda la ley, ni privado de lo que ella no prohíbe”. También podría mencionarse que la privacidad está amparada por los Tratados Internacionales de Derechos Humanos que poseen raigambre constitucional (artículo 75 inciso 22 de la Constitución Nacional).
(II) Así, el artículo 43 tercer párrafo de la Constitución Nacional dispone: “Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las fuentes de información periodística”.
(III) Año 2003 a través de la Decisión N° 2003/490 EC.
(IV) General Data Protection Regulation. La extensión de este trabajo no me permite profundizar en el GDPR más allá de mencionar que fue adoptado el 27 de abril de 2016 entrando en vigencia el 25 de mayo de 2018 tras una transición de dos años y, a diferencia de su antecesora la Directiva 95/46 / CE de 1995, no obliga a los gobiernos nacionales a aprobar ninguna legislación habilitante, por lo que es directamente vinculante y aplicable. Asimismo, el GDPR tiene un impacto significativo para todas las organizaciones y su forma de manejar los datos debido principalmente a dos aspectos: (i) su extraterritorialidad: todo aquel que quiera tratar datos de residentes europeos se verá alcanzado por el GDPR; e (ii) imposición de sanciones muy grandes para aquellas empresas que violenten el régimen, llegando hasta un 4% de los ingresos globales.
(V) https://www.argentina.gob.ar/aaip/datospersonales/proyecto-ley-datos-personales
(VI) Mediante la Ley N° 27.275.
(VII) https://www.argentina.gob.ar/aaip
(VIII) https://www.argentina.gob.ar/sites/default/files/guia_final.pdf
(IX) Privacy Impact Assessment
(X) https://www.argentina.gob.ar/noticias/argentina-estado-parte-del-convenio-108
(XI) https://www.argentina.gob.ar/noticias/se-convirtio-en-ley-la-adhesion-de-argentina-al-convenio-108
(XII) https://www.argentina.gob.ar/noticias/registro-de-bases-de-datos-personales-para-responsables-extranjeros
(XIII) https://www.boletinoficial.gob.ar/detalleAviso/primera/277165/20221205 publicada en el Boletín Oficial el 5 de diciembre de 2022.
(XIV) https://www.boletinoficial.gob.ar/detalleAviso/primera/277300/20221206 publicada en el Boletín Oficial el 6 de diciembre de 2022.
(XV) Mediante la Disposición DNPDP 1/2003, la cual fue derogada por la Disposición DNPDP 7/05 (posteriormente actualizada por la Disposición DNPDP 9/15 y Disposición DNPDP 13/15) se estableció el régimen de clasificación de infracciones y la graduación de sanciones.
(XVI) Dicha norma establecía que “cuando un acto administrativo condenatorio incluya más de una sanción pecuniaria por idéntica conducta sancionable dentro de cada uno de los niveles de “Graduación de Sanciones” previsto por la Disposición DNPDP N° 7/05 y sus modificatorias, deberán aplicarse los siguientes topes máximos: a) para las infracciones leves: PESOS UN MILLÓN ($ 1.000.000.-), b) para las infracciones graves: PESOS TRES MILLONES ($ 3.000.000.-) y c) para las infracciones muy graves: PESOS CINCO MILLONES ($ 5.000.000.-)”.