Protección de Datos Personales | Martínez & Asociados

Resumen Ejecutivo: La nueva Ley de Protección de Datos Personales establece un marco normativo integral para el tratamiento de información personal, alineándose con estándares internacionales como el GDPR. Este análisis examina las obligaciones para organizaciones públicas y privadas, derechos de los titulares y sanciones aplicables.

La digitalización acelerada de los últimos años ha puesto en evidencia la necesidad de contar con un marco normativo robusto que garantice la protección de los datos personales. La nueva ley representa un cambio paradigmático en la forma en que las organizaciones deben gestionar la información de las personas.

Principios Fundamentales

La normativa se sustenta en siete principios rectores que deben guiar toda actividad de tratamiento de datos personales:

Legalidad: Todo tratamiento debe tener una base legal que lo justifique.
Consentimiento: El titular debe otorgar su consentimiento libre, informado, específico e inequívoco.
Finalidad: Los datos deben ser recolectados para fines determinados, explícitos y legítimos.
Minimización: Solo deben recolectarse los datos estrictamente necesarios para la finalidad declarada.
Exactitud: Los datos deben ser actuales y exactos, actualizándose cuando sea necesario.
Confidencialidad: Implementación de medidas de seguridad adecuadas.
Responsabilidad proactiva: El responsable del tratamiento debe demostrar el cumplimiento de estos principios.

Ámbito de Aplicación

Sujetos Obligados

La ley alcanza a toda persona física o jurídica, pública o privada, que realice tratamiento de datos personales en territorio argentino o cuyos efectos se produzcan en el país, independientemente de dónde se encuentre establecida.

Datos Sensibles

Se consideran datos sensibles aquellos que revelan:

Origen racial o étnico
Opiniones políticas
Convicciones religiosas o filosóficas
Afiliación sindical
Datos genéticos o biométricos
Datos relativos a la salud
Datos sobre orientación sexual

El tratamiento de estos datos está sujeto a restricciones especiales y requiere el consentimiento explícito del titular.

Derechos de los Titulares

Derechos ARCO Plus

Los titulares de datos personales gozan de los siguientes derechos:

Acceso: Conocer qué datos se están tratando y con qué finalidad.
Rectificación: Corregir datos inexactos o incompletos.
Cancelación: Solicitar la supresión de datos cuando ya no sean necesarios.
Oposición: Oponerse al tratamiento de datos en determinadas circunstancias.
Portabilidad: Recibir sus datos en formato estructurado y transmitirlos a otro responsable.
Limitación: Solicitar la restricción del tratamiento en casos específicos.
Revocación del consentimiento: Retirar el consentimiento otorgado en cualquier momento.

Obligaciones de las Organizaciones

1. Registro de Actividades de Tratamiento

Todas las organizaciones deben mantener un registro detallado de sus actividades de tratamiento de datos que incluya:

Finalidad del tratamiento
Categorías de datos tratados
Categorías de destinatarios
Transferencias internacionales (si las hubiera)
Plazos de conservación
Medidas de seguridad implementadas

2. Designación de un Delegado de Protección de Datos

Las organizaciones que traten datos sensibles a gran escala o realicen seguimiento sistemático de personas deben designar un Delegado de Protección de Datos (DPO). Este profesional será el punto de contacto con la autoridad de control y los titulares.

3. Evaluación de Impacto en la Protección de Datos

Cuando el tratamiento implique un alto riesgo para los derechos de los titulares, se debe realizar una Evaluación de Impacto (EIPD) antes de iniciar el tratamiento.

4. Notificación de Brechas de Seguridad

Las violaciones de seguridad que afecten datos personales deben notificarse a la Autoridad de Aplicación dentro de las 72 horas de conocido el incidente. Si el riesgo es alto, también debe informarse directamente a los titulares afectados.

Transferencias Internacionales

Las transferencias de datos personales a países u organizaciones internacionales solo están permitidas cuando:

El país destinatario cuenta con un nivel de protección adecuado reconocido por la autoridad argentina
Se implementen garantías apropiadas (cláusulas contractuales tipo, normas corporativas vinculantes)
Exista consentimiento explícito del titular
Sea necesario para la ejecución de un contrato o por razones de interés público

Régimen Sancionatorio

El incumplimiento de las obligaciones establecidas en la ley puede dar lugar a:

Sanciones Aplicables

Apercibimiento: Para infracciones leves o primeras infracciones sin daño significativo.

Multas: Desde $1.000.000 hasta $100.000.000, según gravedad y facturación de la empresa.

Suspensión temporal: Prohibición de realizar tratamientos por hasta 6 meses.

Suspensión definitiva: Prohibición permanente del tratamiento de datos.

Comparación con GDPR

La nueva ley argentina presenta importantes similitudes con el Reglamento General de Protección de Datos europeo (GDPR), lo que facilita las operaciones de empresas multinacionales. Entre las coincidencias destacan:

Principios fundamentales del tratamiento
Derechos de los titulares (ARCO plus)
Obligación de realizar evaluaciones de impacto
Designación de DPO en ciertos casos
Notificación de brechas de seguridad
Enfoque de responsabilidad proactiva

Pasos para el Cumplimiento

Guía de Implementación

Auditoría de datos: Identificar qué datos se recolectan, con qué finalidad y dónde se almacenan.
Mapeo de flujos: Documentar cómo circulan los datos dentro y fuera de la organización.
Revisión legal: Verificar que todos los tratamientos tengan base legal adecuada.
Actualización de políticas: Redactar o actualizar políticas de privacidad y avisos de tratamiento.
Implementación técnica: Desarrollar mecanismos para ejercicio de derechos y seguridad de datos.
Capacitación: Entrenar al personal en los nuevos requerimientos normativos.
Designación de responsables: Nombrar un DPO si corresponde.
Monitoreo continuo: Establecer procesos de revisión y actualización periódica.

Conclusiones

La nueva Ley de Protección de Datos Personales representa un avance significativo en la tutela de los derechos fundamentales en el entorno digital. Su correcta implementación no solo evita sanciones, sino que genera confianza en los clientes y usuarios.

Las organizaciones deben comenzar cuanto antes el proceso de adecuación, considerando que el cumplimiento normativo requiere cambios tanto en aspectos tecnológicos como organizacionales y culturales.

La asesoría legal especializada resulta fundamental para diseñar e implementar un programa de cumplimiento efectivo, adaptado a las características específicas de cada organización.

Volver a Publicaciones