MODIFICACIONES RELATIVAS A LA PROTECCIÓN DE DATOS PERSONALES (LEY N° 20.075 SOBRE APROBACIÓN DE RENDICIÓN DE CUENTAS Y BALANCE DE EJECUCIÓN PRESUPUESTAL)
· 7 minutos de lectura
El 3 de noviembre del corriente año fue publicada la Ley N° 20.075 de Aprobación de Rendición de Cuentas y Balance de Ejecución Presupuestal (en adelante, “Ley de Rendición de Cuentas”) correspondiente al ejercicio 2021, donde se introducen modificaciones a los artículos 13 y 34 de la Ley de Protección de Datos Personales N° 18.331.
Estas modificaciones entrarán en vigencia a partir del 1ro de enero de 2023.
A continuación, comentamos las novedades referidas a la protección de datos personales:
La ley de Rendición de Cuentas sustituye a través de su artículo 62 el artículo 13 de la Ley N° 18.331 referido a los derechos de los titulares de los datos personales.
El artículo 13 antes mencionado establece el derecho de los titulares a recibir información relacionada a la recolección y tratamiento de sus datos personales. El deber de información que recae en Responsables o Encargados deberá cumplirse en forma previa a la recolección.
El alcance de este deber de informar abarca los siguientes aspectos: la existencia de la base de datos donde estarán almacenados sus datos personales, así como de la identidad y domicilio de su responsable; la finalidad de los datos y quiénes pueden ser sus destinatarios; el carácter obligatorio o facultativo de dar respuestas a los cuestionarios propuestos, en especial en cuanto a datos sensibles; las consecuencias de proporcionar los datos especificando también las consecuencias de la negativa a hacerlo, o de proporcionar datos inexactos; y ser informado de su derecho al acceso, y a la rectificación y/o supresión de dichos datos.
Actualmente el artículo 62 de la Ley de Rendición de Cuentas modifica el alcance de los aspectos que deben ser informados mediante la inclusión de dos literales. En primer lugar, el literal F) relativo a las transferencias de datos personales, en virtud del cual se obliga a informar al titular en forma previa a la recolección la existencia o no de transferencias internacionales de sus datos personales en razón del tratamiento que se pretende. El conocimiento sobre la eventual transferencia internacional y su destino, permitirá al titular evaluar con mayor precisión la exposición al riesgo de vulneración de sus datos que presenta el tratamiento que se pretende.
Asimismo, se agrega el literal G) mediante el cual se amplían los deberes de información relacionados al tratamiento automatizado de datos personales[1]. A saber, el artículo 16 de la Ley 18.331 consagra el derecho a la impugnación de valoraciones personales respecto al tratamiento automatizado de datos personales. En efecto, en mérito a lo establecido por el citado artículo, el titular de los datos personales tiene derecho a no verse sometido a una decisión que le afecte de manera significativa (por ejemplo, en la selección para un puesto de trabajo, un ascenso o una sanción, la negativa al otorgamiento de un crédito, entre otras) a consecuencia de un tratamiento de datos que tenga por fin evaluar determinados aspectos de su personalidad.
Hasta ahora la Ley 18.331 imponía la obligación de informar a los titulares sobre la posibilidad de ejercer su derecho a impugnar valoraciones personales basadas en tratamientos automatizados de sus datos personales. Como consecuencia de la inclusión del Lit. G) al Art. 13 de la Ley 18.331, al momento de la recolección de datos se deberá además informar a los titulares cuáles son los criterios de valoración, los procesos aplicados y la solución tecnológica o el programa utilizado en el tratamiento automatizado y que en definitiva puede dar lugar al ejercicio del derecho consagrado en el Art. 16. Hasta el momento, el titular tenía la posibilidad de acceder a esta información una vez impugnada la decisión automatizada que le afectara. Con las modificaciones introducidas por la Ley de Rendición de Cuentas, esta información deberá ser aportada en forma previa al tratamiento de forma tal que el titular pueda decidir previamente si aportará o no sus datos.
Se extiende además la obligación de información sobre todos los aspectos antes mencionados a aquellos casos en que los datos personales se obtienen interpuesta persona y no directamente del titular de los mismos. En cuyo caso se deberá proporcionar esta información al titular en un plazo que no podrá superar los 5 (cinco) días hábiles desde la recepción de la solicitud por parte del responsable.
Por otra parte, se otorga a la Unidad Reguladora y de Control de Datos Personales (en adelante “URCDP”) la posibilidad de establecer condiciones específicas para la publicidad permanente de esta información.
[1]A este respecto resulta ineludible señalar la definición dada en el artículo 1, literal c de la Ley 19.030 (Aprobación del Convenio N° 108 del Consejo de Europa para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal y el Protocolo Adicional al Convenio para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal, a las Autoridades de Control y a los Flujos Transfronterizos de Datos), la misma señala “por «tratamiento automatizado» se entiende las operaciones que a continuación se indican efectuadas en su totalidad o en parte con ayuda de procedimientos automatizados: Registro de datos, aplicación a esos datos de operaciones lógicas aritméticas, su modificación, borrado, extracción o difusión”;
Adicionalmente, el artículo 63 de la Ley de Rendición de Cuentas viene a incorporar un nuevo literal al artículo 34 de la Ley 18.331, otorgando la facultad a la URCDP de “establecer los criterios y procedimientos que deban observar los responsables y encargados en el tratamiento automatizado de datos personales” referido en el artículo 16 de la Ley 18.331.
Las modificaciones introducidas, continuando la línea que ha seguido nuestro Legislador hasta el momento en la materia, vienen a incorporar conceptos contenidos en el Reglamento General de Protección de Datos de la Unión Europea, el Convenio 108 y el Convenio 108 Plus recientemente ratificado por nuestro país a través de la Ley 19.948 de abril de 2021. Es así que se enfatiza en la transparencia ante la recolección y el tratamiento de los datos actualizando la normativa en línea con los desarrollos informáticos que eventualmente pueden tener incidencia en la protección de la privacidad de las personas y sus datos personales. La transparencia en relación al tratamiento permite poner al titular en posición central y le otorga el poder de decisión sobre sus datos personales.
Asimismo, se incorporan obligaciones propias de los responsables que remarcan la necesidad de ejercer una responsabilidad proactiva y que relacionan cada vez más estrechamente la materia de protección de datos con la necesidad de llevar adelante un compliance efectivo al respecto.
Lo anterior seguramente plantee un desafío al regulador dado que la automatización y en especial la utilización de algoritmos ponen a prueba el derecho a la intimidad y privacidad de las personas. Teniendo en cuenta la escasez de preceptos que al día regulan las consecuencias jurídicas que se derivan del uso de algoritmos en la toma decisiones sobre los particulares, Lit. I) del Art. 13 de la Ley 18.331 podría constituir el puntapié para una regulación concreta sobre aquellos tratamientos que tengan como objetivo la toma de decisiones basada únicamente en el dictamen emitido en forma automatizada y dotar a los particulares sometidos a estas decisiones de la información suficiente que permita conocer sus derechos frente a este tipo de tratamiento.
