Ley No. 25.326 de 2000, la normativa de privacidad que marcó un hito

Ley No. 25.326 de 2000, la normativa de privacidad que marcó un hito

La Ley de Protección de Datos Personales o Ley No. 25.326 de 2000 es una normativa argentina de protección de datos que fue aprobada en el año 2000. Esta ley emblemática fue la primera regulación de protección de datos que se aprobó en el continente sudamericano y estableció las disposiciones a las que deben atenerse los responsables y encargados de datos en Argentina al procesar la información relativa a los ciudadanos de dicho país. Si bien el Congreso Nacional de Argentina ha pasado los últimos años intentando aprobar una actualización de la ley de protección de datos, en una línea similar a la de la Regulación General de Protección de Datos de la UE (GDPR), estos intentos resultaron infructuosos ya que el proyecto de ley fue rechazado por el Parlamento en marzo de 2020. La Ley de Protección de Datos Personales o Ley No. 25.326 de 2000 continúa siendo un medio de protección de la privacidad personal para los argentinos.

¿Cuál es el alcance y la aplicación de la Ley 25.326 de 2000?

En cuanto al ámbito de aplicación personal, Ley No. 25.326 de 2000 se extiende “a los responsables y encargados de las bases de datos, entendiendo por tales a todas las personas naturales o jurídicas, públicas o privadas”. Por otra parte, el ámbito de aplicación territorial de la ley establece que “las regulaciones se aplican siempre que se procesen datos personales en el territorio de Argentina”. Esto significa que las actividades aisladas de tratamiento de datos que se produzcan dentro de Argentina quedan bajo la jurisdicción de la ley, aunque el resto de dichas actividades se realice fuera del país. Además, el ámbito de aplicación material de la ley abarca “cualquier tratamiento de datos personales llevado a cabo por responsables y encargados de bases de datos en Argentina”.

Según la Ley de Protección de Datos Personales o Ley No. 25.326 de 2000, el “tratamiento de datos” se define de forma amplia como: “cualquier operación o procedimiento sistemático, electrónico o no, que permita la recogida, integración, ordenación, conservación, modificación, vinculación, valoración, bloqueo, destrucción, divulgación de datos o su transferencia a terceros”. Para ello, la ley protege las siguientes formas de datos personales sensibles:

  • datos personales relacionados con el origen racial y étnico
  • datos personales relativos a opiniones políticas
  • datos personales relacionados con creencias religiosas, filosóficas o morales
  • datos personales relacionados con afiliación sindical
  • datos personales relacionados con la salud o la vida sexual

¿Con qué requisitos deben cumplir los responsables y encargados de datos en virtud de la Ley de Protección de Datos Personales o Ley No. 25.326 de 2000?

Si bien la Ley de Protección de Datos Personales fue aprobada hace más de veinte años, sigue estableciendo varios principios en lo que respecta a la protección de los datos personales de los ciudadanos argentinos. Estos principios de protección de datos incluyen:

  • Proporcionalidad en relación con la finalidad: los datos personales colectados para su tratamiento deben ser pertinentes y no excesivos en relación con el alcance y la finalidad para la cual se recogieron.
  • Transparencia: la recogida de datos no puede realizarse de manera que sea abusiva, fraudulenta o ilícita.
  • Restricción de la finalidad: los datos personales no deben utilizarse para ningún otro fin que no sea aquel para el que fueron recogidos.
  • Exactitud de los datos: todos los datos personales que se recojan con fines de tratamiento deben ser correctos y exactos en todo momento. Los responsables y encargados de datos deben actualizar, corregir y eliminar parcial o totalmente los datos personales cuando sea necesario.
  • Derecho de acceso: los datos personales deben almacenarse de forma tal que los interesados puedan ejercer su derecho de acceso.
  • Conservación de datos: los datos personales deben ser destruidos cuando ya no sean necesarios para los fines para los que fueron recogidos.
  • Confidencialidad: los responsables y encargados de datos deben vincular a las personas y organismos implicados en cualquier aspecto de sus actividades de tratamiento de datos mediante un compromiso de confidencialidad.
  • Responsabilidad: el principio de responsabilidad ha cambiado con el tiempo, en gran parte debido a la influencia de la ley GDPR de la UE. Actualmente, con el fin de cumplir con dicho principio, los individuos y agencias que procesan datos personales están obligados a implementar medidas técnicas y organizativas apropiadas para garantizar la seguridad y confidencialidad de los datos personales en su poder.

Además de estos principios de protección de datos, la Ley No. 25.326 de 2000 impone a los responsables del tratamiento similares obligaciones a las establecidas por otras leyes de privacidad aprobadas en los últimos años. Esto incluye garantizar que los responsables y encargados de datos se inscriban en el Registro Nacional de Bases de Datos Personales con el fin de proporcionar a los interesados notificaciones de procesamiento de datos, así como mantener registros detallados de procesamiento de datos. Asimismo, los responsables y encargados de datos están obligados a realizar Evaluaciones de Impacto sobre la Protección de Datos (DPIAs). En virtud de la ley, dichas evaluaciones deben incluir las siguientes fases:

  • identificación de los participantes y documentación de los procesos de desarrollo de la evaluación
  • análisis de la legislación aplicable
  • análisis preliminar
  • contexto del tratamiento
  • gestión de riesgos
  • plan de tratamiento de riesgos

¿Cuáles son los derechos de los interesados en virtud de la Ley No. 25.326 de 2000?

En consonancia con el carácter algo anticuado de la ley, en comparación con otras normativas de privacidad firmadas en la última década, la Ley No. 25.326 de 2000 no proporciona a los interesados en Argentina muchos derechos que ya se consideran estándar y comunes. Ejemplo de ello son el derecho de supresión, el de oposición o exclusión voluntaria y el de portabilidad de los datos. En cambio, la normativa argentina otorga a los interesados el derecho a ser informados y a acceder y rectificar sus datos personales. Además, aunque la ley no otorga a los interesados el derecho a no ser sometidos a la toma de decisiones automatizada, dichos individuos tienen derecho a solicitar una explicación de la lógica que se aplicó en la toma decisiones, en los casos en que esta les acarree consecuencias adversas.

En lo que respecta a las sanciones que pueden imponerse a los individuos y organismos que contravengan la normativa, la Autoridad Argentina de Protección de Datos (AAIP) es la entidad facultada para hacer cumplir las disposiciones y para ello utiliza el siguiente sistema de tres niveles:

  • Nivel básico, referido a infracciones leves y que incluye hasta dos advertencias y una multa de entre 3000 pesos argentinos (42 dólares) y 25000 pesos argentinos (355 dólares).
  • Nivel medio, referido a infracciones graves y que incluye hasta cuatro advertencias y/o suspensión de uno a 30 días y una multa de 25000 pesos argentinos (355 dólares) a 80000 pesos argentinos (1137 dólares).
  • Nivel crítico, referido a infracciones muy graves y que incluye hasta seis advertencias y/o suspensión de 31 a 365 días y/o clausura o cancelación del archivo, registro o base de datos y una multa de 80000 pesos argentinos (1137 dólares) a 100000 pesos argentinos (1421 dólares).

Adicionalmente, La Ley 25.326 de 2000 otorga a los ciudadanos argentinos la garantía de acción privada para presentar cargos de responsabilidad civil contra individuos y organismos que violen sus derechos. Sin embargo, los demandantes que presenten dichas acusaciones deben probar las siguientes cuatro condiciones:

  • la ilegalidad de la acción
  • el daño real y efectivo causado
  • la relación de causa-efecto entre la acción y el daño
  • la negligencia, dolo o responsabilidad objetiva

Aunque algunas de las disposiciones y derechos otorgados por la Ley de Protección de Datos Personales o Ley No. 25.326 de 2000 son algo arcaicos para los tiempos que corren, la normativa proporciona a los ciudadanos argentinos un nivel integral de protección de la privacidad. Este interés por salvaguardar la privacidad personal se reflejó en la decisión de Argentina de firmar el Convenio 108+ para la Protección de los Individuos en lo referido al Procesamiento de Datos Personales, también conocido como el actualizado Convenio 108. De este modo, la nación sudamericana persiste en el afán de garantizar el mayor nivel de protección de la privacidad posible para sus ciudadanos.