DESAFÍOS Y SOLUCIONES PARA LAS LEYES DE

PROTECCIÓN DE DATOS PERSONALES

ANÁLISIS COMPARATIVO ENTRE EL PROYECTO DE LEY DE
PROTECCIÓN DE DATOS DE ARGENTINA Y EL REGLAMENTO
GENERAL DE PROTECCIÓN DE DATOS DE LA UNIÓN EUROPEA

Trabajo final Diplomatura en Gobernanza de Internet – Universidad de San Andrés

Autor: Gaspar E. Pisanu
Fecha de entrega: 17 de septiembre de 2018
INTRODUCCIÓN

La necesidad de crear un marco regulatorio que proteja los datos personales surgió
hace aproximadamente 60 años. Encontramos el primer caso de una norma de esta
naturaleza en 1970, en el estado federado de Hesse, Alemania 1. A partir de entonces,
más de 160 países han consagrado el derecho a la privacidad en sus constituciones 2.
Sin embargo, en los últimos tiempos, la evolución de las tecnologías de información y
comunicaciones (conocidas como TICs) hicieron que estas regulaciones queden
desactualizadas y limitadas para una correcta protección. La realidad actual exige
adaptar las legislaciones a fin de poner a los titulares de los datos personales
nuevamente en control sobre su información. Esto es necesario fundamentalmente a
partir del crecimiento exponencial de la cantidad de información que se recolecta, los
usos de los datos y la velocidad de procesamiento.

El caso más emblemático en estos procesos de actualización ha sido el del Reglamento

General de Protección de Datos de la Unión Europea (en adelante, GDPR, por sus
siglas en inglés) la cual entró en vigencia el 25 de mayo de 2018. La etapa de
elaboración de esta normativa ha dejado varias enseñanzas y el resultado final de las
mismas ha sido tomado como una guía para el resto de los países.

Tal es el caso de Argentina. La Agencia de Acceso a la Información Pública de

Argentina, órgano encargado de la aplicación de la Ley de Protección de Datos
Personales, elaboró durante 2017 un anteproyecto de ley 3 para la actualización de la
normativa, el cual, luego de varias modificaciones, ya se encuentra en comisiones del
poder legislativo.

El presente trabajo pretende identificar aquellos puntos comunes en las regulaciones

1 Hessische Datenschutzgesetz, 7 de octubre de 1970. (GVBl. I S. 625)

2 Zachary Elkins, Tom Ginsburg, James Melton. 2005. The “Constitute Project”. Acceso el 16 de
septiembre de 2018. https://www.constituteproject.org/search?lang=en&key=privacy
3 Agencia de Acceso a la Información Pública. “Anteproyecto de Ley de Protección de los Datos
Personales”. Acceso 16 de septiembre de 2018.
https://www.argentina.gob.ar/normativa/anteproyecto-de-ley-de-proteccion-de-los-datos-
personales
que han presentado y/o aún presentan mayores desafíos. Al mismo tiempo, se intentará
brindar una solución a dichas problemáticas utilizando como basamento la experiencia
en la etapa de negociaciones del Reglamento Europeo, trabajos académicos y
científicos, notas de prensa, regulaciones en la materia de diferentes países y los
criterios jurídicos establecidos por la doctrina. Todo ello será estructurado a través de un
análisis comparativo entre el GDPR y el anteproyecto de ley de protección de datos de
Argentina.
EL “NÚCLEO DURO” DE LA LEY DE PROTECCIÓN DE DATOS
PERSONALES

Tanto el Reglamento General de la Unión Europea como el anteproyecto de ley

argentino, así como también varias leyes y proyectos en todo el mundo, contienen
ciertas disposiciones, que con pocas diferencias, establecen un marco general y
necesario de derechos y principios en materia de protección de datos personales. Hace
varios años, y particularmente desde la aprobación del GDPR, mucho se ha discutido
sobre este tema, dando como resultado puestas en común entre legisladores y
académicos. Debido a la abundancia de bibliografía sobre estos temas, en esta parte
del trabajo, el foco estará puesto en aquellas cuestiones que presentan mayores
conflictos.

DEFINICIONES

El anteproyecto argentino incluye definiciones claras que, aunque no son tan precisas
como las de la norma europea, establecen los conceptos más importantes (Art. 2). Sin
embargo, a diferencia del GDPR, el anteproyecto incluye en las definiciones a las
“fuentes de acceso público irrestricto”. Dispone que es aquella fuente “que contiene
información destinada a ser difundida al público, de libre acceso e intercambio por
razones de interés general, accesible ya sea en forma gratuita o mediante una
contraprestación”. Según esta definición, mucha información accesible al público
en Internet se encontraría comprendida. Es el caso de los contenidos “públicos” de
plataformas como Facebook y Twitter, entre otras. De ser así, el tratamiento de estos
datos no requeriría el consentimiento de sus titulares (art. 11 inc. b), lo cual iría
claramente en contra del espíritu general de la ley, al perder los usuarios el control
sobre la recolección y tratamiento masivos de su información. Sin embargo, hay quienes
consideran que prohibir el acceso a esta información puede devenir en un impedimento
para el desarrollo de nuevas pequeñas y medianas empresas que trabajan con estos
datos4. Para evitar estos inconvenientes, es necesario que la ley, ya sea en su propio

4 Fatemi, Falon. 2017. “The Case for Keeping Public Data Public”. Forbes, 29 de septiembre de
2017. https://www.forbes.com/sites/falonfatemi/2017/09/29/the-case-for-keeping-public-data-
public
cuerpo normativo o en su decreto reglamentario, contenga disposiciones estrictas y
limitadas respecto de los casos en los cuales se podrá hacer uso de esta información y
los casos en que será necesario el consentimiento de los titulares de los datos.

PRINCIPIOS

De forma similar, el anteproyecto de ley argentino y el GDPR consagran principios

fundamentales para una correcta protección de los datos personales: principio de
licitud, lealtad y transparencia, principio de finalidad, principio de minimización de datos,
principio de exactitud, limitación del plazo de conservación, principio de responsabilidad
proactiva, principio de seguridad de los datos personales, principio de confidencialidad.

Cabe hacer especial mención del principio de adecuación. Este implica que los datos no
deben ser transferidos a un país o territorio tercero, a menos que el país o territorio en
cuestión garantice un nivel adecuado de protección para los derechos y libertades de
los usuarios en relación con el procesamiento de datos personales. Mientras los países
no dicten normas que brinden una adecuada protección, es importante crear
mecanismos seguros para la transmisión de datos a terceros países. Para ello, es
necesario establecer pautas estrictas y sistemas transparentes de control e incluir
recursos eficientes que aseguren que los derechos de los usuarios viajen junto a su
información. El capítulo 5 del GDPR (arts. 44 a 50), por ejemplo, establece mecanismos
para la transmisión de datos, como la determinación de la adecuación de terceros
países respecto de las garantías mínimas para la protección de datos. Al comparar el
anteproyecto de ley argentino con el GDPR, concluimos que este ha brindado (aunque
en menor medida) las condiciones necesarias para proteger el intercambio de datos
tanto con otros países, como con servicios de tratamiento de datos personales por
medios tecnológicos tercerizados.

DERECHOS

La reforma incluye una amplia lista de derechos de los usuarios similar a la de la

reglamentación europea: derecho de acceder a la información propia de forma clara y
comprensible, derecho a rectificar los datos, derecho a oponerse a su tratamiento,
derecho a solicitar la supresión de los mismos, derecho a oponerse a ser objeto de una
decisión basada únicamente en el tratamiento automatizado de datos y derecho a
transferir los datos de una plataforma a otra que ofrezca similares servicios. Estos
derechos son clave para que cada usuario permanezca en control de su información.

Sin embargo, existe un derecho que no debe ser incluido en estas regulaciones, el
llamado “derecho al olvido”. En las leyes de protección de datos personales, es común
confundir el derecho a eliminación o supresión de los datos con el derecho al
olvido. Mientras que el primero permite a los usuarios pedir que se borre su información
cuando dejan de usar un servicio o producto, el derecho al olvido implica obligar a
terceros a esconder información referida al titular de los datos cuando esta deja de ser
relevante o queda desactualizada.

Varios trabajos académicos5 concluyen que la existencia del derecho al olvido genera un
riesgo de eliminación excesiva de información y por lo tanto, podría ser usado como
mecanismo de censura. Además, poner a intermediarios de información en la posición
de decisores sobre la relevancia de la información y el interés público con el que
debiera equilibrarse genera un problema de legitimidad y un incentivo peligroso para los
sujetos involucrados. La propuesta de modificación de la ley argentina evita
correctamente confundir estos derechos y no reconoce un “derecho al olvido”,
alejándose así del GDPR europea.

LEGALIDAD PARA EL PROCESAMIENTO

Toda ley de protección de datos debe establecer claramente los casos en los cuales
los datos pueden ser procesados. Para cumplir con este requisito, el anteproyecto de
ley (art. 11), al igual que la norma europea (art. 6), dispone que el tratamiento será lícito
cuando: exista consentimiento del titular, sea necesario para la ejecución de un
contrato, para el cumplimiento de una obligación legal, sea necesario para proteger
intereses vitales del interesado y cuando sea necesario por cuestiones de interés
público.

5 Access Now. 2016. “Analizando el “derecho al olvido” en el mundo”. Octubre 2016.

https://www.accessnow.org/cms/assets/uploads/2016/10/the-Right-to-be-forgotten-Spanish.pdf
El anteproyecto incluye la posibilidad del tratamiento sin necesidad del consentimiento
del titular cuando la información se encuentre en una fuente de acceso público
irrestricto, una problemática que ya hemos explicado. Por otro lado, existen otras formas
de tratamiento lícito comunes en el proyecto argentino y en el GDPR: el interés legítimo
del responsable del tratamiento y la seguridad nacional. Ambos casos presentan
importantes observaciones que se desarrollarán más adelante.

APLICACIÓN EXTRATERRITORIAL

El anteproyecto de ley argentino describe, en el artículo 4, su ámbito de aplicación y, al

igual que el GDPR, plasma el principio de extraterritorialidad. Esto implica que la ley
será aplicada cuando: a) el responsable del tratamiento se encuentre establecido en el
territorio nacional, aún cuando el tratamiento de datos tenga lugar fuera de dicho
territorio; b) sea aplicable según las normas del derecho internacional; c) el tratamiento
se realice sobre datos de titulares que residan en la República Argentina. Esta
disposición permite brindar suficiente protección a los datos personales y a los derechos
de los usuarios que estén en Argentina, aún cuando el responsable de su tratamiento se
encuentre en el extranjero.

Esta ampliación respecto del ámbito de aplicación ha resuelto muchos problemas que
se daban con regulaciones anteriores. Muchas contiendas judiciales resultaron
favorables a grandes compañías como Google o Facebook, argumentando que los
jueces de un determinado país no tenían jurisdicción, ya que no se encontraban
físicamente en el mismo6.

No obstante, la implementación de este principio podría traer algunas complicaciones

propias del derecho internacional: conflictos de jurisdicción (es decir, que dos o más
jueces o tribunales de distintas naciones entiendan que tienen facultades para dirimir
sobre un mismo asunto), conflicto de leyes (cuando dos o más normas de distintos
países son aplicables para el mismo caso), etc. Para evitar estas situaciones, es
necesario que los legisladores indiquen claramente los casos en que las leyes son

6 Fioretti, Julia. 2016. “Facebook wins privacy case against Belgian data protection authority”.
Reuters, 29 de junio de 2018. https://www.reuters.com/article/us-facebook-belgium-
idUSKCN0ZF1VV
aplicables fuera del territorio, a qué sujetos deben aplicarse específicamente y cuáles
son los mecanismos a utilizar para la ejecución de las decisiones judiciales.

PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO

A medida que aumenta el número de usuarios de servicios en línea, se hace cada vez
más importante brindar seguridad a los datos personales y a la privacidad. Para lograr
esto es fundamental que durante la fase de diseño de productos y servicios se
desarrollen e implementen medidas tecnológicas y organizacionales apropiadas 7.
Tanto el GDPR como el proyecto argentino regulan la “protección de datos desde el
diseño y por defecto” en normas prácticamente idénticas (art. 25 y art. 38
respectivamente) y de ese modo contribuyen a la seguridad e integridad de la
información.

PROCESOS DE MÚLTIPLES PARTES INTERESADAS

Debido a la multidisciplinariedad de las problemáticas y la diversidad de sectores

sociales que son afectados, es fundamental que todos los interesados en el desarrollo
y creación de una ley de protección de datos personales puedan participar y
opinar de forma abierta y transparente junto a los legisladores y otros entes públicos
encargados de la creación y aplicación de la norma. Este requisito fundamental ha sido
un punto débil tanto en el GDPR, como en el anteproyecto de ley argentino.

En el caso del GDPR, las negociaciones se realizaron acorde con el proceso de

elaboración de leyes de la UE, el cual asegura cierto grado de transparencia. Sin
embargo, esta ha sido una de las leyes con mayor cabildeo por parte de representantes
de la industria que intentaron debilitar los estándares de protección de datos 8, lo que se

7 Ann Cavoukian, Ph.D. Information & Privacy Commissioner. Ontario, Canada. 2011. “Privacy by
Design: The 7 Foundational Principles”. Acceso el 16 de septiembre de 2018.
https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf
8 Warman, Matt. 2012. “EU Privacy regulations subject to 'unprecedented lobbying'”. The
Telegraph UK, 8 de febrero de 2012. https://www.telegraph.co.uk/technology/news/9070019/EU-
Privacy-regulations-subject-to-unprecedented-lobbying.html
vio evidenciado gracias a la publicación de las propuestas de modificación producto de
estas iniciativas9.

En el caso del anteproyecto argentino, se realizaron consultas a la comunidad y a

especialistas, lo cual llevó a la modificación del primer borrador. Sin embargo, hay
aspectos que no se tuvieron en cuenta para mejorar la inclusión, publicidad y
transparencia del proceso. En primer lugar, no conocemos la injerencia que tuvieron o
tienen los distintos interesados en la ley (lobbistas), algo que sí sucedió en el caso de la
norma europea. En segundo lugar, la participación de especialistas y organizaciones
civiles fue escueta y, generalmente, circunscrita al ámbito de la Ciudad Autónoma de
Buenos Aires.

Este proceso de formación de la ley es claramente contradictorio con lo dispuesto por la

Ley de Ética de la Función Pública (Ley 25.188), la cual dispone en su art. 2 inc. e que
todas las personas que se desempeñen en la función pública en todos sus niveles y
jerarquías deben “fundar sus actos y mostrar la mayor transparencia en las decisiones
adoptadas sin restringir información, a menos que una norma o el interés público
claramente lo exijan”.

EXCEPCIONES DEL PODER PÚBLICO

Los gobiernos tienen la obligación de proteger los datos personales, incluso cuando esa
información se encuentra en manos de organismos del Estado. Pese a ello, suelen
establecerse limitaciones y excepciones a la protección de datos respecto de
ciertas actividades gubernamentales, frecuentemente aduciendo necesidades
prácticas o la protección de otros intereses en pugna. El GDPR contiene una lista de 10
causales por las cuales los Estados miembros pueden limitar los derechos de los
usuarios (art. 23). La vaguedad del lenguaje utilizado, a menudo incorporado adrede, es
utilizado para evitar la aplicación de la norma al sector público. Por ejemplo, permite la
restricción de derechos, amplia e indefinidamente, a causa de “otros objetivos

9 LobbyPlag. Amendments Overview. Acceso 16 de septiembre de 2018.

http://lobbyplag.eu/compare/overview
importantes de interés público general de la Unión o de un Estado miembro”.
Por su parte, el proyecto de ley argentino contiene varios artículos donde el poder
público encuentra excepciones que vulneran los derechos de los usuarios.

El artículo 11, sobre la licitud del tratamiento de los datos, establece que no se requerirá
el consentimiento de los titulares de los datos para su procesamiento “cuando se realice
en ejercicio de funciones propias de los poderes del Estado y sean necesarios para el
cumplimiento estricto de sus competencias” (inc. c). Esta misma disposición se
encuentra en la ley vigente de habeas data (art. 5, inc. b), la cual el gobierno argentino
utilizó como referencia en 2016, particularmente la Jefatura de Gabinete Nacional, para
hacer uso de los datos personales de ciudadanos registrados en la
Administración Nacional de Seguridad Social (ANSES) para comunicaciones
oficiales del gobierno10. Posteriormente, el 10 de septiembre de 2018, la Sala V de la
Cámara en lo Contencioso y Administrativo Federal resolvió 11, revirtiendo la decisión del
juez de primera instancia, que si la titular de los datos no presta consentimiento expreso
para el tratamiento de los mismos, el organismo que los obtuvo, en este caso ANSES,
no puede cederlos ni darlos a conocer.

El anteproyecto también dispone que puede negarse el ejercicio de los derechos en

función de “la protección de la defensa de la Nación, del orden y la seguridad
públicos, o de la protección de los derechos e intereses de terceros” (art. 36). En
la misma sintonía, el artículo 59 dispone que "El tratamiento de datos personales (por
parte de los organismos de seguridad e inteligencia) con fines de defensa nacional o
seguridad pública por parte de las fuerzas armadas, fuerzas de seguridad, organismos
policiales o de inteligencia, cuando sea necesario realizar sin el consentimiento del
titular, queda limitado a aquellos supuestos y categorías de datos que resulten
necesarios para el estricto cumplimiento de las misiones legalmente asignadas a
aquéllos para la defensa nacional, la seguridad pública o para la represión de los
delitos".

10 2016. “Rechazo al plan del Gobierno para usar datos de la ANSeS en su comunicación”.
Clarin.com, 25 de julio de 2016. https://www.clarin.com/politica/rechazo-gobierno-datos-anses-
comunicacion_0_rJrBCMNu.html
11 CNACAF. Caso “Torres Abad, Carmen c/ EN-JGM s/ habeas data”. Sala V. 03 de Julio de
2018. Expte. Nº 49.482/2016/CA1. http://cpdp.defensoria.org.ar/wp-
content/uploads/sites/5/2017/10/Fallo-Camara-Contencioso.pdf
Estas excepciones pueden acarrear consecuencias graves producto de la interpretación
excesiva de las normas de seguridad nacional que, en particular, los gobiernos en
Argentina han utilizado para denegar el acceso a la información personal12.
Encontramos ejemplos de esto en el caso Urteaga13 y Ganora14.

Es por ello que se deben limitar y esclarecer este tipo de excepciones, incluidas la
supervisión de la autoridad de aplicación, la existencia de mecanismos accesibles de
recurso y reparación y los principios de derechos humanos para el tratamiento 15,
fundamentalmente, los de necesidad, proporcionalidad y de autorización legal previa.

INTERÉS LEGÍTIMO

Las compañías frecuentemente argumentan que tienen un interés legítimo que

habilita a recolectar y procesar información personal (no sensible) sin necesidad
de notificar a los usuarios. En contraposición al punto analizado previamente, esta se
presenta como una excepción excesiva, pero para el sector privado. El GDPR recepta
esta justificación en su artículo 6, inc. 1, f, el cual dispone que: “El tratamiento solo será
lícito si cumple al menos una de las siguientes condiciones:...f) el tratamiento es
necesario para la satisfacción de intereses legítimos perseguidos por el responsable del
tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los
intereses o los derechos y libertades fundamentales del interesado que requieran la
protección de datos personales, en particular cuando el interesado sea un niño”. Esta
fue una de las disposiciones más debatidas en el proceso de negociaciones de la

12 Asociación por los Derechos Civiles. 2018. “Acceso a la información pública y excepciones de
seguridad nacional en Argentina”. Acceso el 16 de septiembre de 2018.
https://adcdigital.org.ar/wp-content/uploads/2018/05/ADC-Info-publica-y-seguridad-nacional-
Argentina.pdf
13 CSJN. Caso “Urteaga, Facundo Raúl c/ estado Nacional - Estado Mayor Conjunto de las
FFAA s/ amparo Ley 16.986”. U.14 XXXIII. 15 de octubre de 1998. Fallos 321:2767.
14 CSJN. Caso “Ganora, Mario Fernando y otra s/ hábeas corpus”. G.529 XXXIII. 16 septiembre
de 1999. Fallos 322:2139
15 Necessary & Proportionate. “Principios internacionales sobre la aplicación de los derechos
humanos a la vigilancia de las comunicaciones”. Acceso el 16 de septiembre de 2018.
https://necessaryandproportionate.org/es/necesarios-proporcionados
norma. Si bien mejoró lo dispuesto por la Directiva de 1995 al establecer los derechos
de los titulares como un límite, esto no resulta suficiente. Según lo redactado en el
artículo, las compañías serán quienes evalúen los derechos en juego, lo que puede
llevarlas a efectuar el tratamiento de datos manteniendo a los usuarios en
desconocimiento de esta actividad.

El anteproyecto de ley argentino contiene una disposición prácticamente idéntica,

estableciendo que “el tratamiento de datos es lícito sólo si se cumple al menos UNA (1)
de las siguientes condiciones:...g) el tratamiento de datos sea necesario para la
satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por
un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los
derechos del titular de los datos, en particular cuando el titular sea un niño, niña o
adolescente.” (art. 11, inc. g).

La misma crítica realizada al GDPR aplica a este proyecto de reforma. Las

disposiciones contradicen el objetivo de la protección de datos personales, en particular
respecto de grandes empresas, ya que reduce las posibilidades de control de los
usuarios sobre su información. Por eso, cabe preguntarse ¿cómo podría ejercer el titular
de los datos el derecho a oposición, rectificación o, sencillamente, de acceso a la
información si no sabe que cierta compañía ha recolectado y se encuentra procesando
sus datos?

Para citar un ejemplo, en el año 2012, Google cambió su política de privacidad. En la

nueva política, permitió la combinación de toda la información recolectada por todos los
servicios ofrecidos por la empresa para utilizarlos con cualquier finalidad. Esto derivó en
una investigación realizada por la Autoridad de Protección de Datos de la Unión
Europea junto a la organización Article 29 Working Party16. Al ser consultada la empresa
acerca del fundamento para llevar a cabo esta práctica, esgrimió que la recolección y el
procesamiento de esta información respondía a su “legítimo interés” a los fines de
“proveer, mantener, proteger y mejorar sus servicios”, entre otros justificativos de igual
vaguedad y amplitud. Esto presenta el inconveniente de no esclarecer un fin específico,

16 Article 29 Data Protection Working Party. Bruselas 2012. Carta a Mr. Page. 16 de octubre de
2012. https://www.cnil.fr/sites/default/files/typo/document/20121016-letter_google-article_29-
FINAL.pdf
haciendo imposible realizar un balance entre el legítimo interés de la empresa y los
derechos y libertades fundamentales de sus usuarios. La investigación también
determinó que Google no adoptó ninguna medida que limite la combinación de
información ni proveyó herramientas claras y comprensibles para que sus usuarios
sigan en control de sus datos.

La solución correcta para esta problemática es la eliminación completa de tal excepción.

Sin embargo, una alternativa para evitar el uso abusivo de la misma, es la incorporación
de una “obligación de comunicación previa al tratamiento de datos”. De no existir dicha
comunicación, donde se indique la finalidad específica, existiría una prevalencia de los
intereses de las compañías sobre los intereses de los usuarios.

MECANISMOS PARA ASEGURAR EL CUMPLIMIENTO DE LAS

NORMAS

Uno de los puntos más cruciales y, al mismo tiempo, más discutidos en los procesos de
elaboración de las leyes de protección de datos personales es su implementación. Para
que las disposiciones contenidas en la norma sean aplicadas efectivamente y no tengan
solo un valor virtual, es necesario crear autoridades de control independientes y
mecanismos coercitivos robustos.

AUTORIDADES DE APLICACIÓN INDEPENDIENTE

Como ha sido mencionado con anterioridad, la recolección y el procesamiento de datos

personales pueden ser realizadas tanto por el sector público, como el privado. Para
lograr una protección efectiva de los derechos y libertades de los titulares de los datos,
es necesaria una autoridad de aplicación independiente que pueda monitorear la
implementación de la ley, realizar investigaciones y disponer sanciones frente al
incumplimiento, sin que exista la posibilidad de que responda a intereses de ningún
sector.

En este sentido, el Reglamento General de Protección de Datos de la Unión Europea

dispone que cada estado miembro establecerá que sea responsabilidad de una o varias
autoridades públicas independientes supervisar la aplicación del Reglamento (art. 51
inc.1). Hace especial referencia a la necesidad de la independencia de estos
organismos en su artículo 52, estableciendo que quienes lo conformen actuarán con
total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes,
serán ajenos a toda influencia externa y se abstendrán de cualquier acción incompatible
con sus funciones.
También exige que cada estado miembro de la UE garantice a la autoridad de aplicación
recursos humanos, técnicos y financieros, que elija y disponga de su propio personal y
que esté sujeta a un control financiero que no afecte su independencia.

El anteproyecto de ley argentino le brinda la función de autoridad de control a la Agencia

Nacional de Protección de Datos Personales (ANPDP), ente descentralizado con
autarquía económica y financiera. Dispone en su artículo 62 que la autoridad será
“dirigida, administrada y representada por un director ejecutivo designado por el término
de cuatro (4) años, por el poder ejecutivo nacional con posibilidad de ser reelegido por
una única vez.” Tanto la duración del cargo, como la posibilidad de reelección, coinciden
con los términos del mandato presidencial en Argentina, es decir, con el poder que
justamente lo designa. Esto puede traer la indeseable consecuencia del nombramiento
de un director que se ajuste a las políticas del gobierno de turno.

Un caso que justifica esta preocupación es el que se explica anteriormente, en el

análisis de las excepciones al poder público, específicamente, acerca del uso de los
datos personales de ciudadanos registrados en la Administración Nacional de Seguridad
Social (ANSES) para comunicaciones oficiales del gobierno. Cabe destacar que la
misma norma resulta incongruente al disponer que, para la remoción del director
ejecutivo, es necesaria la aprobación de una comisión bicameral del Honorable
Congreso de la Nación (art. 65). Para garantizar la independencia, este requisito
debería ser necesario también para su designación.

Esta misma crítica puede realizarse al GDRP, ya que el artículo 53 deja a voluntad de
los estados miembros el método por el cual se conformará la autoridad, permitiendo que
los mismos sean electos por su parlamento, su gobierno, su Jefe de Estado o por un
organismo independiente.
La creación de una autoridad de control independiente es una problemática común en
varios países de la región. Casos extremos son los de Chile y Paraguay, que cuentan
con leyes de protección de datos personales desde hace más de 15 años (2001 y 1999,
respectivamente) y aún no disponen de una autoridad de aplicación. Un ejemplo
reciente se presentó en Brasil, cuyo proceso de creación de una ley de protección de
datos personales que cumplía, en su esencia, con todos requisitos necesarios para un
loable marco regulatorio, vio afectada su eficacia debido al veto del Presidente sobre el
artículo que disponía la creación de la autoridad de control17.

Soluciones a este problema pueden encontrarse dentro del mismo ordenamiento

argentino. Un procedimiento que garantiza la independencia de funcionarios públicos es
el dispuesto para el nombramiento de los jueces. Este procedimiento consiste en la
designación realizada por el presidente de la Nación, con acuerdo del Senado, sobre la
base de una terna integrada por candidatos seleccionados en concurso público. Otra
solución es que la autoridad de control esté conformada por un cuerpo colegiado donde
se encuentren representadas todas las partes interesadas.

SANCIONES

Complementario al requisito anterior es necesario el establecimiento de sanciones

proporcionales y efectivas para los casos de violación de las disposiciones de la
norma. En Europa, antes de la sanción del GDPR, las multas eran considerablemente
bajas (EUR 150.000) por lo que muchas compañías no cumplían con la ley de
protección de datos personales, ya que su cumplimiento resultaba más oneroso que el
pago de las sanciones. Es por ello que la nueva norma europea brindó una solución a
este inconveniente al disponer multas. Según la infracción cometida, estas pueden
alcanzar un máximo de diez millones de euros (EUR 10.000.000) y, en el caso de
empresas, “una cuantía equivalente al 4 % como máximo del volumen de negocio total
anual global del ejercicio financiero anterior […]”.

17 Coalizão Direitos na Rede. Brasil 2018. “Vetos de Temer ameaçam eficácia da Lei de
Proteção de Dados Pessoais”. Publicado 15 de agosto de 2018.
https://direitosnarede.org.br/c/np-sancao-lgpd/
El anteproyecto de ley argentino establece como sanción en el artículo 76, inc. b, una
“multa que podrá alcanzar el equivalente a quinientos (500) salarios mínimos vigentes al
momento de la imposición de la sanción”. Para el caso de grandes empresas que
manejan datos personales en la Argentina, esta suma máxima podría resultar escueta.
De este modo, de acuerdo con la gravedad de la falta, podría resultar más conveniente
pagar la multa que cumplir la ley.

Otra cuestión a tener en consideración es que no todas las empresas que procesan
datos personales tienen la misma envergadura. Una regulación en esta materia no
puede desconocer la importancia que las pequeñas y medianas empresas tienen en el
desarrollo de nuevas tecnologías y servicios. De por sí, a este tipo de emprendimientos
se les presenta como un gran costo cumplir con las exigencias de estas normativas. Por
ello, las sanciones deben ser escalonadas y proporcionales al sujeto susceptible de
sanción.

SISTEMAS DE ANONIMIZACIÓN
Al regular el tratamiento de datos sensibles (aquellos que hacen referencia al origen
racial o étnico, opiniones políticas, religión, estado de salud, sexualidad, etc.), la ley
debe ser particularmente estricta y establecer una limitación general, con
excepciones limitadas y claras. La norma europea autoriza la recolección y
procesamiento de esta información sin consentimiento expreso del titular cuando sea
con la finalidad de realizar investigaciones científicas o históricas o con fines
estadísticos (art. 9 inc. 2, j). Esta disposición ha sido criticada por ser una excepción
demasiado amplia y potencialmente peligrosa en el contexto del crecimiento de la
industria de la e-salud, las IoTs (Internet de las cosas) y el análisis de “big data” para
fines políticos. Luego de una insistente lucha por parte de organizaciones civiles, se
logró incorporar al GDPR la salvedad “con fines en el interés público”, lo cual limita al
uso discrecional de esta justificación para procesar datos sensibles.

Esta excepción también se encuentra incluida en el anteproyecto de ley argentino (art.

16, inc. f). No incluye la limitación de tener por finalidad el interés público, pero tiene
como agregado el requisito de adoptar un procedimiento de disociación de datos (de
manera que la información no pueda asociarse a una persona determinada). Estos
métodos pueden brindar mayor seguridad al titular de los datos al mantenerlo en el
anonimato. No obstante, la efectividad de estos procedimiento ha sido discutida 18.
Muchos expertos aseguran que una debida anonimización de ciertos datos personales
es dificultosa e incluso imposible, en ocasiones, sin convertir los datos en inservibles.
En algunos casos es imposible asegurar que a partir del uso de técnicas de referencias
cruzadas o de técnicas de “data mining” (procesamiento de grande bases de datos pre-
existentes con el fin de generar nueva información) no sea posible reidentificar al titular
de los datos19.

A los fines de evitar estos problemas es necesario que queden plasmados en el cuerpo
de la norma, o en su decreto reglamentario, lineamientos claros acerca de los métodos
a que se deben utilizar para la anonimización y que estas técnicas sean auditadas por la
autoridad de aplicación a través de equipos técnicos independientes. Sin embargo,
persiste como correcta solución para estos casos, el requerir el consentimiento libre,
informado y revocable. Adicionalmente, ya que el anteproyecto sigue los lineamientos
generales del GDPR, sería importante incluir la finalidad de “interés público” para
autorizar el tratamiento de información sensible sin consentimiento de los titulares.

COMUNICACIONES EN CASO DE FILTRACIÓN DE DATOS

Uno de los fenómenos que más llamó la atención luego de la entrada en vigencia del
Reglamento General de Protección de Datos fue el aumento de informes de filtraciones
de datos. Esto no significó un aumento de estos casos, sino que es producto de la
obligación de las empresas de, a partir de entonces, comunicar cuando se producen las
filtraciones.

La GDPR dispone en su artículo 33 que “en caso de violación de la seguridad de los

datos personales, el responsable del tratamiento la notificará a la autoridad de control
competente […] sin dilación indebida y, de ser posible, a más tardar 72 horas después

18 Ruiz, Javier. 2016. “Cashing in on your mobile? How phone companies are exploiting their
customers’ data”. Editado por Pam Cowburn y Jim Killock. 28-32. Acceso 16 de septiembre 2018.
https://www.openrightsgroup.org/assets/files/pdfs/reports/mobile-report-2016.pdf
19 Arvind Narayanan, Vitaly Shmatikov. 2006. “How To Break Anonymity of the Netflix Prize
Dataset”. Última revisión 22 de noviembre 20017. https://arxiv.org/abs/cs/0610105
de que haya tenido constancia de ella, a menos que sea improbable que dicha violación
de la seguridad constituya un riesgo para los derechos y las libertades de las personas
físicas.”
A continuación, el artículo 34 establece la obligación del responsable de comunicar al
titular de los datos sobre el incidente “cuando sea probable que la violación de la
seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades
de las personas físicas”.

La propuesta de ley argentina contiene una disposición prácticamente idéntica a la

norma europea en el artículo 20. Establece que esas comunicaciones deben remitirse a
la autoridad de aplicación y, en casos graves, también a los titulares de los datos
(art. 20).

Estas disposiciones tienen en consideración que los datos personales se pueden filtrar
a pesar de que existan medidas de seguridad y correcto tratamiento de datos. Por ello,
establecen para estas situaciones adoptar mecanismos de prevención y notificación
a los usuarios. Lo malo de la regulación de esta cuestión, tanto en el GDPR como en
el anteproyecto argentino, es que deja a discreción de las compañías si corresponde o
no notificar los incidentes a los usuarios, ya que esto solo es necesario “cuando sea
probable que entrañe altos riesgos a sus derechos”. Este agregado otorga un excesivo
margen de actuación a las empresas, las cuales pueden tener un interés económico en
restar importancia a los riesgos asociados con las filtraciones de datos y, por lo tanto,
que sus usuarios no sean notificados.

Por estas razones es necesario definir de forma clara y estricta cuales serían los casos
de “alto riesgo”, aunque lo correcto sería la completa eliminación de esta condición y
establecer el mandato de comunicar siempre a los usuarios, indistintamente de la
gravedad del incidente.
CONCLUSIÓN

En materia de datos personales, el GDPR se ha convertido en una importante guía para

todos los países que quieren modernizar sus leyes a los fines de brindar una correcta
protección. Sin embargo, cada región y cada país presentan particularidades que deben
ser tomadas en cuenta.

Esto significa que los elementos positivos de la legislación de vanguardia extranjera

pueden ser incorporados a las legislaciones locales, pero debe evitarse una traslación
irreflexiva de soluciones jurídicas a un ámbito con desafíos propios y realidades
diferentes. Tanto Argentina como toda Latinoamérica presentan realidades muy distintas
de las de Europa que no podemos dejar de lado.

En el presente trabajo, ha quedado en claro que el GDPR tiene puntos débiles

importantes criticados por académicos y la sociedad civil. Por lo tanto, es necesario que
cada país realice un debate amplio y participativo a través de sus congresos y en
conjunto con especialistas, representantes de la sociedad civil y empresas, a fin de
brindar una protección adecuada a los derechos de los usuarios locales.

La iniciativa de la Agencia de Acceso a la Información Pública y, en general, el

anteproyecto de ley de protección de datos son loables. Sin embargo, el producto final
que brindará el marco regulatorio que permita a los titulares de los datos estar en
control de los mismos podría ser ampliamente mejor si se tuviesen en cuenta no solo
los comentarios de los académicos y los técnicos, sino también las experiencias en
otros países.

Por último, se destaca la necesidad de un proceso de revisión continuo de la

aplicación de las leyes de protección de datos. Constantemente, surgen nuevos
desafíos en esta materia, por lo que se hace difícil contar con una ley completamente
actualizada o a prueba de lo que pueda suceder en el futuro. Esta es otra razón por la
que la actualización de la norma argentina es una buena noticia. De todos modos, es
importante comprender que estas leyes deben ser flexibles en su aplicación y adaptarse
a tecnologías y prácticas sociales que están en cambio permanente.