Legislacion Argentina Sobre Proteccion de Datos Personales ADC

Legislación argentina sobre protección de datos personales
Autor: Eduardo Ferreyra1
1. La Constitución y la protección de los datos personales: El derecho a la

privacidad está presente en el art. 18 de la Constitución Nacional2, que afirma que “el
domicilio es inviolable, como también la correspondencia epistolar y los papeles privados”
y solo “una ley determinará en qué casos y con qué justificativos podrá procederse a su
allanamiento y ocupación.”. Por su parte, el art. 19 amplía dicha protección a toda las
conductas íntimas, al sostener que “las acciones privadas de los hombres que de ningún
modo ofendan al orden y a la moral pública, ni perjudiquen a un tercero, están sólo
reservadas a Dios, y exentas de la autoridad de los magistrados”
El alcance de estas disposiciones fue delineado por la Corte Suprema de Justicia en

el fallo “Ponzetti de Balbin v. Editorial Atlántida”3 (1985). Allí, el máximo tribunal sostuvo
que “la protección material del ámbito de la privacidad resulta uno de los mayores valores
del respeto a la dignidad de la persona y un rasgo diferencial entre el Estado de derecho
democrático y las formas políticas autoritarias y totalitarias” (cons. 19). Asimismo, la Corte
definió el derecho a la privacidad como “el derecho del individuo para decidir por sí mismo
en qué medida compartirá con los demás sus pensamientos, sus sentimientos y los hechos
de su vida personal” (cons. 19).
La reforma constitucional de 1994 produjo importantes cambios en la materia. En

primer lugar, incorporó a nuestro ordenamiento jurídico diversos tratados internacionales
de derechos humanos, a los cuales dotó de jerarquía constitucional (art. 75 inc.12). Entre
1
Abogado. Investigador de la Asociación por los Derechos Civiles. Magíster en Derechos Humanos y
Democratización en América Latina de la Universidad Nacional de San Martín
2Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/0-4999/804/norma.htm
3 Disponible en
http://www.psi.uba.ar/academica/carrerasdegrado/psicologia/sitios_catedras/obligatorias/723_etica2/material/casuisti
ca/ponzetti_de_babin_derechos.pdf
1
aquellos que interesan para nuestra temática, debemos mencionar la Convención
Americana sobre Derechos Humanos (CADH)4, que establece el derecho a la intimidad en
el art. 11 inciso 2, al afirmar que “nadie puede ser objeto de injerencias arbitrarias o
abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni
de ataques ilegales a su honra o reputación”. A continuación, el inciso 3 consagra el
derecho de toda persona a la “protección de la ley contra esos ataques o injerencias”. Esta
disposición es prácticamente similar al art. 17 del Pacto Internacional sobre Derechos
Civiles y Políticos (PIDCP)5, que también fue incorporado por la reforma del 94.
En segundo lugar, la reforma establece en forma expresa el derecho a la protección

de los datos personales en la Constitución Nacional a través de la incorporación de la
acción de hábeas data. En este sentido, el art. 43 tercer párrafo sostiene que “toda persona
podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su
finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a
proveer informes, y en caso de falsedad o discriminación, para exigir la supresión,
rectificación, confidencialidad o actualización de aquéllos.” De esta manera, a la
consagración de los derechos de fondo (privacidad, intimidad) prevista por la Constitución
original, se adicionó el establecimiento del remedio procesal del habeas data, lo cual
permitió considerar el derecho a la protección de los datos personales como un derecho
constitucional.
2. Leyes sobre privacidad e intimidad: Entre las leyes que regulan el derecho a la
privacidad y la intimidad encontramos las siguientes:
 Ley de Correos 20.2166: en su art. 6, la normativa explicita el principio de la

inviolabilidad de la correspondencia consagrado por la Constitución Nacional, al
disponer que ello “importa la obligación de no abrirlos, apoderarse de ellos,
suprimirlos, dañarlos o desviarlos intencionalmente de su curso, ni tratar de conocer
4 Disponible en http://www.oas.org/dil/esp/tratados_B-32_Convecion_Americana_sobre_Derechos_Humanos.htm
5 Disponible en http://www.ohchr.org/SP/ProfessionalInterest/Pages/CCPR.aspx
6 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/20000-24999/21843/norma.htm
2
su contenido, así como de no hacer trascender quienes mantienen relaciones entre sí
o dar ocasión para que otros cometan tales infracciones”.
 El Código Civil también contiene disposiciones que protegen el derecho a la

intimidad. El viejo Código7 establecía en su art. 1071 bis que “el que
arbitrariamente se entrometiere en la vida ajena, publicando retratos, difundiendo
correspondencia, mortificando a otros en sus costumbres o sentimientos, o
perturbando de cualquier modo su intimidad, y el hecho no fuere un delito penal,
será obligado a cesar en tales actividades, si antes no hubieren cesado, y a pagar una
indemnización que fijará equitativamente el juez, de acuerdo con las
circunstancias…” Actualmente, el nuevo Código Civil y Comercial 8 consagra –a
través de su art. 52- el derecho de toda persona a reclamar la prevención y
reparación de los daños ocasionados por afectaciones a su “intimidad personal o
familiar, honra o reputación, imagen o identidad” o cualquier otra lesión a su
“dignidad personal.” Por otra parte, uno de los aspectos más importantes de la
intimidad, como la imagen, merece una especial protección del Código, al requerir
el consentimiento expreso de la persona para la captación o reproducción de su voz
e imagen (salvo excepciones que se refieren a actos públicos, asuntos de interés
científico, cultural y educacional; información sobre acontecimientos de carácter
general, entre otros)
 La ley 27.078 de Tecnologías de la Comunicación y la Información 9 –más conocida

como ley Argentina Digital- también consagra el principio de la inviolabilidad de
las comunicaciones, al igual que la ley de correos. Pero su ámbito de aplicación es
mucho mayor, ya que actualizó el concepto de correspondencia para incluir dentro
del mismo a toda “comunicación que se efectúe por medio de Tecnologías de la
7 Disponible en https://www.oas.org/dil/esp/Codigo_Civil_de_la_Republica_Argentina.pdf
8 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/235000-239999/235975/norma.htm#6
3
Información y las Comunicaciones (TIC)”. De esta manera, además de los correos
postales, la garantía de protección se extiende al correo electrónico y a “cualquier
otro mecanismo que induzca al usuario a presumir la privacidad del mismo y de los
datos de tráfico asociados a ellos, realizadas a través de las redes y servicios de
telecomunicaciones”. Así, toda interceptación – y su posterior registro y análisis-
debe ser requerida por juez competente.
 La ley 23.79810 que declaró de interés nacional la lucha contra el SIDA estableció
que no se puede individualizar a las personas que padecen esta enfermedad a través
de registros, ficheros o almacenamiento de datos. Para cumplir con este propósito,
la normativa establece que dichas bases deben estar codificadas (art. 2 inc. e). El
objetivo es restringir lo máximo posible el acceso de terceros a este tipo de
información, debido al posible efecto discriminatorio que el conocimiento de esta
enfermedad puede provocar sobre el individuo afectado.
 La ley 26.529 de Derechos de los Pacientes 11 ordena que toda actividad médica
vinculada al tratamiento de información del paciente debe respetar la intimidad y la
confidencialidad de los datos sensibles del mismo (art. 2 inc. c). A su vez, se
considera a la historia clínica como inviolable y se dispone que los establecimientos
asistenciales públicos o privados y los profesionales de la salud tienen a su cargo la
guarda y custodia de la misma, debiendo instrumentar los medios y recursos
necesarios para evitar el acceso a personas no autorizadas (art.18).
 En Julio de 2014 se sancionó la ley 26.95112, por la cual se creó el Registro

Nacional “No Llame”, con el objetivo de proteger a los titulares y usuarios de
servicios de telefonía de los abusos de procedimientos de contacto para ofrecer,
4
vender o regalar bienes o servicios no solicitados (art. 1). La normativa establece la
creación de un registro (art. 2) -que funciona dentro del ámbito de la Dirección
Nacional de Protección de Datos Personales- ante el cual pueden inscribirse las
personas que deseen no recibir llamados de ofrecimiento de productos u otro bien.
Aquellos establecimientos que realizan este tipo de ofrecimientos son considerados
por esta ley como responsables o usuarios de bases de datos (art. 7) y tienen la
obligación de no dirigirse a las personas que se inscriban en el registro (art. 7), bajo
amenaza de sufrir una sanción a establecer por la Dirección, quien es la autoridad de
aplicación.
3. Ley de protección de datos personales: Luego de su consagración constitucional en 1994,

la protección de datos personales en Argentina necesitaba de un marco legal que por un
lado, reglamente la acción de habeas data –ya establecida por el texto constitucional- y por
el otro, fijase los derechos de fondo que la redacción del art. 43 no había contemplado. De
esta manera, varios proyectos fueron presentados para sancionar una ley sobre la temática.
Finalmente, en el mes de Octubre de 2000 se aprobó la ley 25.326 de Protección de los
Datos Personales13, la cual está basada en la española Ley Orgánica de Regulación del
Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD)14 –
posteriormente reemplazada por la Ley Orgánica de Protección de Datos Personales
(LOPD)15-. El entramado normativo se completó en 2001 con la reglamentación de la ley a
través del decreto 1558/0116, que creó la Dirección Nacional de Protección de Datos
Personales (DNPDP), autoridad de aplicación de la ley 25.326.
La importancia de la protección de los datos personales para la defensa de los

derechos fundamentales de las personas fue reconocida por el legislador, quien declaró el
14 Disponible en http://noticias.juridicas.com/base_datos/Derogadas/r0-lo5-1992.html
15 Disponible en
https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/2014/Ley_Organica_15-
1999_de_13_de_diciembre_de_Proteccion_de_Datos_Consolidado.pdf
5
carácter de orden público de los capítulos I (Disposiciones Generales), II (Principios
Generales), III (Derechos de los titulares de los datos) IV (Usuarios y responsables de
archivos, registros y bancos de datos) y del art. 32 (Sanciones Penales). Esta declaración
implica que las disposiciones reconocidas son consideradas como parte esencial de los
principios que hacen a la existencia de un Estado de derecho y republicano, por lo que
cualquier violación a las mismas vuelve nulo el acto en cuestión.
a) Objeto: La ley protege en forma integral los datos personales asentados en

archivos, registros, bancos o bases de datos17 (art. 1) . Asimismo, la ley establece que
también gozan de protección los datos almacenados en “otros medios técnicos de
tratamiento de datos”, por lo que no es condición necesaria para la aplicación de la ley que
los datos se hallen en una base de datos. Lo importante es que exista un “tratamiento de
datos”.
En cuanto al ámbito de aplicación, la ley regula las bases de datos públicas y

privadas. Respecto a éstas últimas se ha producido la siguiente controversia: el texto del
art.1 –al igual que el del art. 43 de la Constitución Nacional- sólo menciona a las bases de
datos privadas “destinadas a dar informes”. Una interpretación literal llevaría a concluir que
las bases de datos privadas no destinadas a dar informes no están sujetas a las disposiciones
de la ley. De esta manera, bases de datos que almacenan grandes cantidades de datos
personales –como las bases de las entidades financieras- estarían fuera del alcance de la ley
25.326.
Sin embargo, una interpretación respetuosa de los derechos fundamentales de los

ciudadanos debe llevarnos a considerar que todas las bases de datos privadas que posean
datos personales que puedan afectar los derechos de las personas están sujetas a las
disposiciones de la ley. No es la finalidad de la base de datos sino la capacidad que aquellas
tengan para generar eventuales perjuicios a los ciudadanos lo que debe servir como guía
para la aplicación o no de la ley. Esta interpretación se sustenta, por un lado, en la jerarquía
de los derechos que la normativa viene a proteger (derechos al honor y a la intimidad, entre
17 Estos términos son tratados en forma indistinta por la ley, por lo que de aquí en adelante utilizaremos la
expresión “base de datos”
6
otros) y por el otro, en el carácter “integral” que la propia ley determina como esencial a su
finalidad protectoria. Este criterio ha sido apoyado por la jurisprudencia, que en varias
ocasiones ha resuelto que la ley de protección de datos personales se aplica a todo tipo de
bases de datos18.
b) Definiciones: La ley 25.326 nos brinda en su art. 2 un listado de definiciones de

los conceptos más importantes que serán utilizados en sus disposiciones.
Datos personales: Información de cualquier tipo referida a personas físicas o de existencia

ideal determinadas o determinables. De esta manera, la ley protege todos los datos que
puedan ser vinculados a alguna persona. Si el dato está anonimizado o disociado, no gozará
de la protección normativa. Sin embargo, si existiera la posibilidad de determinar la
identidad de una persona, el dato sería considerado “personal”, ya que la ley habla también
de “persona determinable”.
Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas,
convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a
la salud o a la vida sexual. La categoría de “datos sensibles” recibe una protección mayor
por parte de la legislación –como se verá más abajo-, debido a que se trata de información
que revela aspectos esenciales de la personalidad de las personas, y por ende, son
susceptibles de afectar la intimidad, la autonomía o el libre desarrollo de los individuos en
forma intensa.
Archivo, registro, base o banco de datos: Indistintamente, designan al conjunto organizado

de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no,
cualquiera que fuere la modalidad de su formación, almacenamiento, organización o
acceso.
Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos o no, que

permitan la recolección, conservación, ordenación, almacenamiento, modificación,
18 Consultar "Halabi, Ernesto c/ Citibank N.A.". C.N.Com., Sala C, 26/03/02. JA, 2002-III-18. ED, 197-327 (sumario
disponible en http://www.saij.gob.ar/convert-html-to-pdf?url=/jurisprudencia/FA02130235-halabi_citibank_amparo-
nacional-2002.htm&name=halabi-ernesto-c-citibank-na-s.pdf) o “CCiv. y Com.San Martin, Sala II, 21/2/2002, "P. c/Forma
Crédito SA", LLBA 2002-859”
7
relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos
personales, así como también su cesión a terceros a través de comunicaciones, consultas,
interconexiones o transferencias.
Responsable de archivo, registro, base o banco de datos: Persona física o de existencia ideal
pública o privada, que es titular de un archivo, registro, base o banco de datos.
Datos informatizados: Los datos personales sometidos al tratamiento o procesamiento

electrónico o automatizado.
Titular de los datos: Toda persona física o persona de existencia ideal con domicilio legal o
delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se
refiere la presente ley.
Usuario de datos: Toda persona, pública o privada que realice a su arbitrio el tratamiento de
datos, ya sea en archivos, registros o bancos de datos propios o a través de conexión con los
mismos.
Disociación de datos: Todo tratamiento de datos personales de manera que la información

obtenida no pueda asociarse a persona determinada o determinable.
c) Principios generales relativos a la protección de datos personales: La ley 25.326

ha establecido una serie de principios a los cuales deben sujetarse todas las operaciones de
tratamiento de datos. Estos principios tienen como función el de servir como pautas
generales para un tratamiento legítimo y respetuoso de los derechos de los titulares de los
datos personales. A continuación detallaremos los principios contemplados por la ley
25.326
 Los datos deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y
finalidad para los que se hubieren obtenido (art.4 inc.1): este principio exige que las
operaciones de tratamiento de datos personales únicamente se hagan sobre aquellos datos
que sean estrictamente necesarios para las finalidades establecidas.
8
 La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma
contraria a las disposiciones de la ley (art. 4 inc.2): para ser legítima, toda adquisición de
datos debe ser hecha de acuerdo a los requisitos que establece la legislación. De esta
manera, se prohíbe el robo de información, el engaño, la estafa o cualquier otro ardid ilícito
para conseguir datos personales.
 Los datos personales no pueden ser utilizados para finalidades distintas o incompatibles con
aquellas que motivaron su obtención (art. 4 inc. 3) : la ley establece la obligación – en
forma previa a la recolección de datos- de informar al titular de los datos la finalidad para la
cual van a ser utilizados. El motivo es que la persona pueda tener la certeza de qué es lo que
van a hacer con sus datos, a fin de que su consentimiento pueda ser dado con la suficiente
información. Si se permitiera un cambio en la finalidad del tratamiento, el derecho del
titular del dato sería fácilmente burlado.
 Los datos deben ser exactos y actualizarse en caso que fuese necesario (art. 4 inc. 4): este
principio protege el derecho de las personas a que los datos que figuren en las bases de
datos sean verdaderos. Una de las formas de hacer efectivo este derecho es mediante la
actualización de los datos cuando sea pertinente.
 Los datos inexactos o incompletos deben ser suprimidos, sustituidos o completados (art. 4
inc. 5): como corolario del principio anterior, se establece la obligación del responsable de
contar con una base de datos exacta y completa, eliminando, reemplazando o completando
aquellos datos que no sean verdaderos o precisos.
 El almacenamiento de los datos debe realizarse de modo que el titular pueda ejercer el
derecho de acceso (art. 4 inc. 6): Uno de los aspectos esenciales de la protección de datos
personales consiste en brindar al titular del dato la facultad de conocer cuáles son los datos
que figuran en las bases, de manera de permitirle poder controlar qué información existe
sobre él y así, poder comprobar su exactitud, veracidad, completitud, etc. Para ello, es
condición necesaria el acceso a las bases de datos.
9
 Los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los
fines para los cuales fueron recolectados (art. 4 inc.7): complementando el principio de
prohibición de uso para una finalidad distinta, la ley establece la obligación del responsable
de la base de datos de eliminar los datos cuando el motivo por el cual fueron recolectados
haya dejado de existir. Aparte de ser una consecuencia lógica del hecho de que si la
finalidad de recolección se ha cumplido ya no tiene sentido conservar el dato, este principio
busca evitar la utilización de datos para fines cuyo consentimiento no ha sido dado por el
titular del dato.
 Consentimiento (art.5): La ley establece como regla general que todo tratamiento de datos
debe realizarse con el consentimiento libre, expreso e informado del titular. De lo contrario,
el tratamiento será considerado ilícito. Respecto a la forma que debe adoptar el
consentimiento, el principio establece que debe ser hecho por escrito o por un medio que se
lo equipare, de acuerdo a las circunstancias. Así, el consentimiento tácito o presunto no es
considerado válido por la ley. Sin embargo, dicho principio no es absoluto. Existen casos
en los cuales no es necesario el consentimiento del titular del dato, los cuales serán
mencionados a continuación:
I. Datos que se obtengan de fuentes públicas de acceso irrestricto: esta excepción

abarca aquellos datos que al consistir en hechos notorios, son de público conocimiento o
que figuran en registros públicos.
II. Se recaben para el ejercicio de funciones propias de los poderes del Estado o en
virtud de una obligación legal: tampoco se exige consentimiento cuando se trate de datos
que el Estado necesita recolectar para poder cumplir con las actividades propias de su
naturaleza.
III. Datos no íntimos: cuando se trate de datos que se limiten a nombre, documento
nacional de identidad, identificación tributaria o previsional, ocupación, fecha de
nacimiento y domicilio, la ley no exige consentimiento para su tratamiento. El motivo es
que se considera que estos datos en principio no generan ninguna afectación al derecho a la
intimidad.
10
IV. Datos utilizados en el marco de una relación contractual, científica o profesional
del titular del dato: la condición es que los mismos resulten necesarios para el desarrollo o
cumplimiento de la relación.
V. Datos utilizados por entidades financieras: Las operaciones realizadas por las
entidades financieras y las informaciones que reciban de sus clientes también están
exceptuadas del consentimiento, en la medida en que se traten de operaciones activas, es
decir, aquellas en que el banco es acreedor (ej, cuando el banco otorga un préstamo). Las
operaciones pasivas, en las que el banco es deudor, no están alcanzadas por esta
disposición, debido a que se encuentran protegidas por el secreto bancario.
 Información (art. 6): La obligación de informar, necesaria para que el consentimiento

prestado por el titular de los datos sea válido, implica que el responsable deba comunicar –
previamente al tratamiento de datos- al titular de manera expresa y clara la siguiente
información:
I. La finalidad del tratamiento y los posibles destinatarios del mismo
II. La existencia de la base de datos y la identidad y domicilio de su responsable.
III. El carácter obligatorio o facultativo de las respuestas al cuestionario que se le

proponga, en especial en lo referente a los datos sensibles.
IV. Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la

inexactitud de los mismos.
V. La posibilidad del interesado de ejercer los derechos de acceso, rectificación y

supresión de los datos.
 Datos sensibles (art. 7): Definidos en el art. 2, los datos sensibles reciben una especial
protección dentro de la legislación, debido a su potencialidad para causar situaciones
discriminatorias a sus titulares. De esta manera, la ley establece que ninguna persona puede
ser obligada a proporcionar datos sensibles. Esta disposición se complementa con la
prohibición a toda base de datos de almacenar información que directa o indirectamente
revele datos sensibles. Sin perjuicio de estas barreras protectorias, en ciertos casos la ley
11
permite algunas excepciones. En materia de recolección y tratamiento, se concede la
autorización en dos supuestos: cuando medien razones de interés general autorizadas por
ley o cuando sean tratados con finalidades estadísticas o científicas, siempre que sus
titulares no puedan ser identificados. Por otro lado, se permite a la Iglesia Católica, las
asociaciones religiosas y las organizaciones políticas y sindicales que puedan llevar un
registro de sus miembros.
 Deber de confidencialidad (art. 10): esta obligación pesa sobre todas las personas que
intervienen en el proceso de tratamiento de datos (responsable, usuario, terceros) y
comprende el deber de mantener el secreto profesional sobre los datos personales, aun
después de finalizada la relación con el titular. Este deber puede cesar por medio de una
resolución judicial y por motivos de seguridad pública, defensa nacional o salud pública.
 Cesión de datos personales (art.11): La transferencia de datos personales desde una base a
otra es permitida, sólo si se cumplen los siguientes requisitos: que la cesión se haya
realizado para cumplir fines directamente relacionados con el interés legítimo de cedente y
cesionario; que el titular del dato haya dado su consentimiento previo, y que éste haya sido
informado de la finalidad de la cesión, y de la identificación del cesionario o de los
elementos para poder hacerlo. Si la transferencia se produce, el cesionario quedará sujeto a
las mismas obligaciones reglamentarias y legales del cedente, el cual a su vez, deberá
responder en forma solidaría y conjunta ante cualquier violación de la legislación.
Asimismo, el consentimiento es revocable y el titular puede solicitar en cualquier momento
al cesionario que deje de realizar el tratamiento correspondiente.
Sin embargo, el consentimiento no siempre es necesario. Existen varias excepciones

a la regla: cuando lo disponga una ley, cuando se trate de uno de los supuestos por los
cuales no es necesario el consentimiento para el tratamiento del dato (ver arriba), cuando se
trate de cesiones de datos entre dependencias de los órganos del Estado en forma directa,
siempre y cuando se realicen dentro del marco de sus competencias; se trate de datos
relativos a la salud, a condición de que sean necesarios por razones de salud pública,
12
emergencia o para realizar estudios epidemiológicos y se preserve la identidad de los
titulares de los datos; y cuando se hubiera aplicado un procedimiento de disociación de la
información, de manera que las personas no puedan ser identificadas.
d) Derechos de los titulares de los datos: la ley concede una serie de derechos a los
titulares de datos en contra de tratamientos ilegítimos o abusivos.
I. Derecho a la información (art. 13) : para poder controlar a los responsables de

bases de datos, primero se los debe identificar. Por ello, las personas poseen la facultad de
solicitar al organismo regulador (en este caso la DNPDP) que les informe sobre las bases de
datos existentes, así como sus finalidades e identidades de sus responsables.
II. Derecho de acceso (art. 14): este derecho permite al titular de los datos solicitar y
obtener información acerca de los datos sobre él que figuren en toda base de datos, sea
pública o privada. En este caso, el obligado es el responsable de la base de datos, quien
debe brindar la información dentro de los diez días corridos de haber sido notificado. Si así
no lo hiciere o la información fuera insuficiente, el titular podrá iniciar una acción de
habeas data. Este derecho puede ser ejercido en forma gratuita a intervalos de seis meses,
salvo que se acredite un interés legítimo por ejercerlo antes de dicho periodo. Si no, el
derecho persistirá pero el responsable de la base de datos podrá cobrar una suma de dinero
para su acceso.
Para que una información no sea considerada insuficiente, el contenido deber ser
producido de la siguiente manera (art. 15): en primer lugar, la información debe ser clara y
acompañada de una explicación que sea accesible al conocimiento de la población. En
segundo lugar, también debe ser amplia, en el sentido de que verse sobre todo el registro
que pertenezca al titular, aun cuando éste hubiera solicitado sólo una parte. Por último,
debe ser entregada –a opción del titular- por escrito, por medios electrónicos, telefónicos,
de imagen, u otro idóneo a tal fin. Cabe destacar que en ningún caso podrán brindarse datos
de terceros, aun cuando estén vinculados con la persona que hizo la solicitud.
13
III. Derecho de rectificación, actualización o supresión (art. 16): Si los datos son
falsos o están desactualizados, toda persona puede solicitar al responsable o usuario de la
base de datos su corrección, actualización o incluso su supresión, si así correspondiere.
Respecto a la supresión, la ley prohíbe que se adopte este tipo de medida cuando la medida
pudiera causar perjuicios a derechos o intereses de terceros, o cuando existiera una
disposición legal de conservar los datos.
Una vez recibido el pedido, el obligado tiene cinco días hábiles para cumplir con la
solicitud. Si el responsable se hubiera anoticiado del error o la falsedad, también deberá
cumplir con su deber en el mismo plazo, aun cuando no hubiera mediado solicitud del
titular. Asimismo, durante el proceso de verificación y rectificación de la información, las
bases de datos deberán bloquear el archivo o comunicar al momento de proveer la
información que la misma se encuentra sometida a dicho proceso. Por otro lado, si se
hubiera efectuado una cesión de datos, el cedente tiene la obligación de notificar la
rectificación o supresión al cesionario dentro de los cinco días hábiles de efectuarse el
tratamiento de datos. Al igual que sucede con el derecho al acceso, si el responsable no
cumpliere con sus obligaciones, el titular podrá iniciar una acción de protección de datos
personales.
Este marco protectorio no se aplica en el caso de bases de datos públicos, las cuales
en ciertos casos pueden negar el acceso, la rectificación o la supresión de datos. La primera
excepción está dada por asuntos de protección de la defensa de la nación, del orden y la
seguridad pública, o de la protección de derechos e intereses de terceros. El segundo
supuesto se vincula con el peligro de obstaculizar actuaciones judiciales o administrativas
relacionadas con investigaciones sobre el cumplimiento de obligaciones tributarias o
previsionales; el desarrollo de funciones de control de la salud y del medio ambiente y la
investigación de delitos penales y verificación de infracciones administrativas. En todos los
casos la decisión de negar la petición del titular del dato debe estar fundada y ser notificada
al afectado, aunque éste todavía podría intentar una acción de habeas data.
14
Finalmente, se establece que cuando exista una definición del perfil de una persona
basada en el tratamiento informatizado de sus datos personales, ésta no puede servir como
único fundamento de decisiones judiciales o actos administrativos que impliquen
valoraciones de conductas humanas (art. 20). Tal como surge de su redacción, el sector
privado está excluido de la disposición, por lo que actividades como la calificación de
riesgo crediticio que realizan ciertas empresas para determinar si una persona debe o no
recibir un préstamo dinerario, no estarían comprendidas por la norma.
e) Registro de datos personales: La legislación argentina establece la obligación de
todos los registros públicos y privados destinados a dar informes de inscribirse en un
registro que la autoridad de contralor debía habilitar (art. 21) El Registro Nacional de Bases
de Datos fue creado en Noviembre de 2003 mediante la disposición 2/0319 y funciona bajo
la órbita de la Dirección Nacional de Protección de Datos Personales. La única excepción al
deber de registro son las bases de datos para uso exclusivamente personal (art. 24).
f) Supuestos especiales: En lo relativo a los supuestos especiales, la ley contiene

algunas disposiciones sobre las bases de datos de las fuerzas de seguridad, fuerzas armadas
u organismos policiales y de inteligencia (art. 23). En primer lugar, se dispone que dichas
bases también deben cumplir con los preceptos establecidos por la ley. No obstante, el
tratamiento de datos con fines de defensa nacional o seguridad pública no requiere el
consentimiento de los interesados, siempre que el mismo se limite a datos estrictamente
necesarios para el estricto cumplimiento de misiones de defensa nacional, seguridad pública
o represión de delitos; y las bases de datos que se formen sean específicas y clasificadas por
categorías, en función de su grado de fiabilidad. Asimismo, los datos personales que sean
recolectados con fines policiales deben ser cancelados cuando ya no sean necesarios para
las averiguaciones que motivaron su almacenamiento.
g) Servicios de información crediticia (art. 26): El tratamiento de datos personales

que revelen información sobre la situación financiera de las personas resulta un ámbito de
19 Disponible en http://www.jus.gob.ar/media/33394/disp_2003_02.pdf
15
marcada sensibilidad, ya que lo que allí se difunda puede afectar intensamente la capacidad
de los individuos para llevar adelante sus actividades económicas o para mejorar su nivel de
vida. Un informe negativo sobre el pasado comercial de una persona puede ser decisivo
para que ésta no pueda acceder al sistema financiero. Es por ello que la legislación ha
regulado de manera especial la situación de las entidades que brindan servicios de este tipo.
En primer lugar, la norma establece que sólo podrán tratarse datos personales de
carácter patrimonial relativos a la solvencia económica y al crédito. Dichos datos pueden
obtenerse de fuentes públicas, de informaciones facilitadas por el interesado o con su
consentimiento. Cuando se trate de datos sobre el cumplimiento o incumplimiento de
obligaciones, el acreedor o quien actúe por su cuenta e interés también puede facilitarlos.
Además de los derechos consagrados en forma general, la normativa establece dos

derechos particulares a estos casos. El primero es un caso especial del derecho al acceso,
por medio del cual el titular de los datos puede exigir que se le comunique todas las
informaciones, evaluaciones y apreciaciones sobre él que hayan sido comunicadas en los
últimos seis meses previos a la solicitud. El segundo es el derecho a solicitar la eliminación
de datos personales por el transcurso del tiempo. La ley dispone que las bases de datos sólo
puedan registrar los datos necesarios para evaluar la solvencia económico-financiera de los
afectados durante los últimos cinco años. A su vez, cuando el deudor cancele la obligación,
el plazo se reduciría a dos años.
La reglamentación intentó aclarar la disposición legislativa al determinar que el

plazo de cinco años se cuente desde “la fecha de la última información adversa archivada
que revele que dicha deuda era exigible”, mientras que el plazo de dos años corre a partir de
la “fecha precisa en que se extingue la deuda”. Por último, la Corte Suprema se encargó de
sentar los criterios para la aplicación de los plazos en los fallos “Catania” 20 y “Nápoli”21.
En el primero de ellos, el máximo tribunal estableció que el plazo de cinco años empieza a
20 Disponible en http://www.habeasdata.org/wp/2011/11/17/derecho-al-olvido-fallo-csjn-catania/
21 Disponible en http://www.habeasdata.org/wp/2011/11/17/derecho-al-olvido-caso-napoli-de-la-csjn/
16
correr con independencia de que se haya operado o no la prescripción respecto a la deuda
cuya eliminación de la base de datos se solicita. De esta manera, el término de cinco años
no queda pospuesto por el hecho de que la deuda todavía sea exigible.
En el segundo fallo, la Corte interpretó que la expresión “última información

adversa archivada” debe referirse al “último dato -en su sentido cronológico- que ha
ingresado al archivo”. Así, no pueden considerarse las “sucesivas reiteraciones del mismo
dato (…) que han sido informadas y aparecen asentadas en la base de datos mencionada”.
Con esta interpretación, la Corte buscó evitar la prolongación indefinida del momento de
comienzo del plazo de cinco años, ya que de lo contrario, hubiera bastado que todos los
meses el acreedor informase de la deuda para que nunca operase el inicio de los 5 años.
Bases de datos con fines de publicidad: El uso de la tecnología para expandir los
clientes de una empresa a través del ofrecimiento de productos, promociones o servicios ha
supuesto una práctica que -además de resultar molesta- puede afectar la intimidad de las
personas. Es por ello que la ley 25326 consideró necesario dedicar un apartado (art.27) a
las bases de datos cuya finalidad principal es la realización de actividades de publicidad.
Allí, se establece la autorización para el tratamiento de datos “que sean aptos para
establecer perfiles determinados con fines promocionales, comerciales o publicitarios; o
permitan establecer hábitos de consumo”. El requisito para esta autorización es que los
datos figuren en documentos accesibles al público, hayan sido facilitados por los titulares u
obtenido con su consentimiento.
El decreto reglamentario completó estas disposiciones, al establecer el permiso para

ceder datos personales con fines de publicidad sin necesidad de requerir el consentimiento
del titular, siempre que los datos se utilicen para “perfiles determinados, que categoricen
preferencias y comportamientos similares de las personas”. En este caso, el titular sólo debe
ser identificado por su pertenecia a tales grupos y los datos que puedan individualizarlos
deben ser aquellos estrictamente necesarios para hacerle llegar la oferta.
17
Por otro lado, la norma menciona que los titulares de los datos ejercerán su derecho
al acceso sin costo alguno y podrán solicitar en cualquier momento el retiro o bloqueo de su
nombre de la base de datos. Como correlato de este derecho, el decreto reglamentario
consagra la obligación de que toda comunicación por publicidad indique en forma “expresa
y destacada” al titular que goza de tal facultad.
h) Control (art. 30) y sanciones (art. 31): En su versión original, la ley 25.326
disponía que el órgano de control encargado del cumplimiento de la ley gozaría de
“autonomía funcional” y actuaría como “órgano descentralizado en el ámbito del Ministerio
de Justicia de la Nación”. A su vez, el director sería designado “por el término de cuatro (4)
años , por el Poder Ejecutivo con acuerdo del Senado de la Nación”. Sin embargo, al
momento de promulgarse la ley, el Poder Ejecutivo observó los artículos en los que dichas
disposiciones estaban presentes, con el argumento de que la incorporación de un órgano
descentralizado implicaba un incremento en las erogaciones del Estado que no estaba
previsto en las partidas presupuestarias. De está manera, el actual órgano de contralor
consiste en una Dirección Nacional de Protección de Datos Personales que opera en el
ámbito de la Secretaría de Asuntos Registrales dependiente del Ministerio de Justicia y
Derechos Humanos. Asimismo, el director es elegido por cuatro años por el Poder
Ejecutivo, sin la necesidad de contar con el acuerdo del Senado.
A pesar de esta reducción en la jerarquía, las funciones de la Dirección continúan

siendo las mismas que fueron establecidas por la ley 25326, a saber: asesorar a los titulares
de los datos personales en el ejercicio de sus derechos, recibir denuncias e iniciar
investigaciones contra responsables de tratamiento de datos que no cumplan con la
normativa, inscribir y llevar a cargo el registro de las bases de datos del país, emitir
dictamenes y sanciones de acuerdo a la ley, entre otros.
En lo relativo a las sanciones, la ley faculta al órgano de control a aplicar sanciones

de apercibimiento, suspensión, multa -de 1.000 a 100.000 pesos- o cancelación de la base
18
de datos, las cuales deben dictaminarse en virtud de la “gravedad y extensión de la
violación y de los perjuicios derivados de la infracción”
i)Acción de protección de datos personales (arts. 33 a 43): Los derechos a la

protección de datos personales consagrados en la ley 25326 -y en otros instrumentos
normativos- serían sólo ilusorios si no contaran con una acción judicial para solicitar su
implementación en caso de incumplimiento. Para ello, la ley ha establecido la acción de
habeas data, que no es más que detallar aquello que ya había sido consagrado por la
Constitución luego de la reforma del 94. No obstante, la redacción de la ley amplía los
supuestos previstos por la Carta Magna. Mientras que la Constitución limitaba la acción a
casos de falsedad o discriminación, la ley 25326 extiende su alcance a cualquier caso que
implique una infracción a la ley de datos personales. Es decir que el habeas data procederá
ante cualquier caso que implique una violación a los principios y los derechos vinculados a
la protección de datos personales.
La acción deberá ser interpuesta por el afectado (en el caso de personas jurídicas,
serán sus representantes legales), sus tutores o curadores o sucesores y será dirigida contra
los responsables y usuarios de la base de datos cuestionada. En caso de que la acción sea
llevada a cabo contra una base de datos pública de organismos nacionales o el dato se
encuentre en un archivo interconectado en redes interjurisdiccionales, la competencia será
federal.
Con el objetivo de hacer el procedimiento lo más expedito posible, se dispuso que

rijan las reglas del amparo y en forma supletoria, del juicio sumarísimo. El juez podrá
disponer que, mientras se desarrolla el proceso, se bloqueen provisionalmente los datos
cuando sea manifiesto el carácter falso, discriminatorio o inexacto del mismo. En caso que
se acepte la demanda, la sentencia deberá especificar si la información debe suprimida,
rectificada, actualizada o declarada confidencial, estableciendo un plazo para su
cumplimiento.
19
Comparación entre la ley argentina de protección de datos personales y el
nuevo Reglamento General de Protección de Datos de la Unión Europea
Autor: Eduardo Ferreyra22
Introducción: El 27 de Abril de 2016 el Parlamento Europeo y el Consejo de la

Unión Europea (UE) sancionaron el Reglamento General de Protección de Datos (RGPD)23
que sustituye a la vieja Directiva 95/46, instrumento normativo que reguló la protección de
datos personales en la UE por más de veinte años. La principal característica general de este
Reglamento es que, a diferencia de la Directiva -que necesitaba de la transposición por las
leyes nacionales de los países miembros para su entrada en vigencia-, su aplicación es
inmediata y no hay necesidad de incorporación por parte del ordenamiento jurídico interno.
22
Abogado. Investigador de la Asociación por los Derechos Civiles. Magíster en Derechos Humanos y
Democratización en América Latina de la Universidad Nacional de San Martín
23 Disponible en http://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32016R0679&from=ES
20
Por el contrario, el Reglamento desplazará cualquier norma interna en las materias que
regule. Como excepción, únicamente cuando el propio Reglamento lo disponga
expresamente, las legislaciones nacionales podrán dictar regulación complementaria. A
pesar de que la nueva normativa ya ha entrado en vigor, se ha previsto un plazo de dos años
– a contar desde el 25 de mayo de 2016- para el inicio de su aplicación, en virtud de que se
ha considerado prudente otorgar a los sujetos afectados por la nueva regulación un tiempo
razonable para poder adaptarse a las flamantes exigencias legales. El RGPD consiste en 99
artículos reunidos en 11 capítulos y cuenta con 173 considerandos que sirven como
explicación de las disposiciones y eventualmente pueden servir como pautas para su
interpretación.
A causa de su reciente sanción, el Reglamento es un instrumento normativo

actualizado, por lo que el fenómeno de las nuevas tecnologías de la información y la
comunicación (TIC) ha sido considerado, sobre todo en lo que se refiere a las amenazas y
potenciales afectaciones que puedan ocasionar a la protección de los datos personales. En
paralelo a esto, debemos recordar que la legislación argentina se ha inspirado en gran
medida en el modelo europeo de protección de datos. Como ejemplo, podemos mencionar
que nuestra ley de protección de datos personales se basa en la ley española de 1992
(reemplazada en 1999 por la actual Ley Orgánica de Protección de Datos de Carácter
Personal). Debido a estas consideraciones, no resulta ocioso realizar un análisis
comparativo de nuestra legislación con el RGPD, a fin de ver cuáles son las diferencias de
regulación y detectar aquellas áreas que nuestra legislación no ha regulado en virtud de que
el momento de su sanción no permitía prever las características de la expansión del
fenómeno digital en los siguientes años. Es por ello que a continuación, describiremos las
principales novedades que el Reglamento ha traído y lo compararemos con lo dispuesto en
la legislación argentina.
Objeto (art. 1): El RGPD dispone que su objetivo es establecer normas que se refieran
tanto a la protección de los datos personales de las personas físicas como a la libre
circulación de aquellos datos. Debido a esta doble función, si bien la normativa establece
21
la protección de los derechos y libertades fundamentales de las personas físicas -en
particular el derecho a la protección de datos personales en sí mismo-, también sostiene que
este fin no puede restringir ni prohibir la libre circulación de datos dentro del mercado
interior de la UE.
La ley 25326 también establece como objetivo la protección integral de los datos
personales aunque los considera como un medio para proteger el derecho al honor y a la
intimidad de las personas, así como el acceso a la información. Por otra parte, no solamente
las personas físicas están cubiertas por la legislación sino que las personas jurídicas
también podrán ampararse en la normativa “en cuanto resulte pertinente”, según el lenguaje
de la ley.
Finalmente, ésta última contiene una referencia a que no se podrán afectar las bases
de datos ni las fuentes de información periodística. En este sentido, el RGDP dispone que
los tratamientos de datos personales con fines periodísticos deben gozar de excepciones a
ciertas disposiciones del Reglamento pero deja a cada Estado miembro la determinación de
cuáles serán esas exenciones.
Ámbito de aplicación material (art. 2): El criterio establecido por el Reglamento para su
aplicación es la actividad desarrollada, a saber, la realización de un proceso de tratamiento -
automatizado o no- de datos personales contenidos o destinados a estar en un fichero. En
cambio, en la ley argentina el criterio es el lugar en donde están contenidos los datos
personales, en este caso, que se encuentren en una base de datos pública o privada
destinada a dar informes.
Por otro lado, el Reglamento establece que sus disposiciones no se aplicarán al tratamiento
de datos personales realizados con fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales, o de ejecución de sanciones penales. Esto es así
debido a que en forma conjunta se sancionó la Directiva 2016/680, que establece un marco
autónomo y detallado para regular este tipo de tratamiento de datos. Por el contrario, en la
22
ley argentina existen disposiciones que regulan las bases de datos de las fuerzas de
seguridad y/o policiales, aunque en forma escueta..
Ámbito de aplicación territorial (art.3): El Reglamento establece dos supuestos para su

aplicación territorial: el primero se produce cuando el tratamiento de datos se realiza en el
contexto de actividades de un establecimiento situado en la UE, con independencia de que
el tratamiento tenga lugar o no en la UE. El segundo supuesto aparece cuando hay
tratamiento de datos personales de interesados que viven en la UE por parte de un
responsable o encargado que no reside en la UE, siempre que la actividad de tratamiento de
datos se vincule con la oferta de bienes y servicios a dichos interesados o con el control de
su comportamiento, en la medida que tenga lugar en la UE.
En la ley argentina, sólo se habla de “archivos, registros, bancos de datos, u otros medios
técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes”
sin mencionar la sede de su establecimiento ni el lugar en el que se lleva a cabo el
tratamiento de datos como criterio para su aplicación territorial. La única referencia en este
sentido está dada por el art. 44, que somete a la jurisdicción federal a los “registros,
archivos, bases o bancos de datos interconectados en redes de alcance interjurisdiccional,
nacional o internacional”.
Definiciones (art. 4): El Reglamento contiene un amplio catálogo de definiciones acerca

de conceptos que son considerados decisivos para la regulación del tratamiento de datos
personales. En este sentido, la lista es mucho más larga que la prevista por la ley argentina.
Entre los conceptos incorporados por el Reglamento y que no figuran en la ley 23.526 se
cuentan: limitación de tratamiento, elaboración de perfiles, datos genéticos, datos
biométricos, empresa, grupo empresarial, normas corporativas vinculantes, servicio de la
sociedad de la información, entre otros.
Por otra parte, la definición de datos personales del Reglamento establece que una
persona se considerará identificable cuando su identidad pueda “determinarse, directa o
23
indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un
número de identificación, datos de localización, un identificador en línea o uno o varios
elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural
o social de dicha persona”. Por el contrario, la ley argentina no cuenta con ningún criterio o
definición para establecer el carácter identificable de una persona.
Respecto a los datos sensibles, el Reglamento -que las denomina “categorías

especiales de tratamiento de datos”- incluye varios datos ya previstos por la ley argentina, a
saber: datos que revelen origen étnico o racial, las opiniones políticas, las convicciones
religiosas o filosóficas, la afiliación sindical, los datos relativos a la salud o a la vida sexual
de las personas. Sin embargo, incorpora algunos tipos de datos que no están previstos en la
legislación argentina, como los datos genéticos, los datos biométricos dirigidos a identificar
de manera unívoca a una persona física y los datos relativos a la orientación sexual de una
persona. A su vez, la ley 25326 considera como dato sensible a los datos que revelen
convicciones morales, situación no prevista por el Reglamento.
En relación a los sujetos contemplados, la ley argentina reconoce tres supuestos: el

titular de los datos (aquel cuyos datos son objeto de tratamiento), el responsable de la base
de datos (quien es titular de un archivo de datos) y el usuario de los datos (quien realiza el
tratamiento de datos). Por el lado del Reglamento, existe un número más amplio de sujetos
definidos por la ley: el interesado (término con que se denomina en la normativa europeo a
lo que en la ley argentina se conoce como titular de los datos), el responsable (similar al
previsto en la normativa argentina), el encargado (aquel que trate datos personales por
cuenta del responsable del tratamiento), el destinatario (aquel al que se comuniquen datos
personales, se trate o no de un tercero), el tercero (aquella persona distinta del interesado,
del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas
para tratar los datos personales bajo la autoridad directa del responsable o del encargado) el
representante (quien representa al responsable o al encargado en lo que respecta a sus
respectivas obligaciones en virtud del Reglamento). Asimismo, se contemplan definiciones
24
de empresa, grupo empresarial, organización internacional autoridad de control y autoridad
de control interesada.
Por último, se contempla a los servicios de la sociedad de la información, para cuya

definición se remite a los afirmado por la Directiva (UE) 2015/1535 , que establece que es
“todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía
electrónica y a petición individual de un destinatario de servicios”.24
Principios (art. 5): En principio, existe una relativa similitud entre los principios
consagrados en ambas legislaciones. Así, los dos ordenamientos reconocen los principios
de licitud, finalidad, exactitud, necesidad, confidencialidad y limitación del plazo de
conservación. Sin embargo, las diferencias surgen al momento de determinar el contenido
de cada uno de ellos. Por ejemplo, mientras que para la ley argentina el principio de licitud
se cumple cuando la base de datos se encuentra inscripta en el Registro y observa los
principios establecidos en la ley, el Reglamento (art. 6) establece una serie detallada y
precisa de condiciones las cuales -al menos una- deben ser cumplidas para ser considerado
lícito el tratamiento, a saber: si el interesado dio su consentimiento para el tratamiento de
sus datos personales para uno o varios fines específicos; si el tratamiento es necesario para
la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de
este de medidas precontractuales; si el tratamiento es necesario para el cumplimiento de
una obligación legal aplicable al responsable del tratamiento; si el tratamiento es necesario
para proteger intereses vitales del interesado o de otra persona física; si el tratamiento es
necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio
de poderes públicos conferidos al responsable del tratamiento o si el tratamiento es
necesario para la satisfacción de intereses legítimos perseguidos por el responsable del
tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los
24 Directiva (UE) 2015/1535 por la que se establece un procedimiento de información en materia

de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información,
disponible en http://eur-lex.europa.eu/legal-
content/ES/TXT/HTML/?uri=CELEX:32015L1535&from=ES
25
intereses o los derechos y libertades fundamentales del interesado que requieran la
protección de datos personales, en particular cuando el interesado sea un niño.
Asimismo, mientras la ley argentina define al principio de finalidad como aquel

mediante el cual los datos no pueden ser utilizados para finalidades distintas o
incompatibles con aquellas que motivaron su obtención, el Reglamento consagra que los
datos pueden ser “recogidos con fines determinados, explícitos y legítimos y no serán
tratados ulteriormente de manera incompatible con dichos fines”.
Por otro lado, el Reglamento consagra explícitamente el principio de minimización

de los datos, que ordena que los datos serán “adecuados, pertinentes y limitados a lo
necesario en relación con los fines para los que son tratados”. De esta manera, la normativa
europea dispone como principio general la obligación de recolectar, almacenar y procesar
la menor cantidad de información posible.
La limitación de la conservación también está definida de manera precisa por el

Reglamento, que establece que los datos sean “mantenidos de forma que se permita la
identificación de los interesados durante no más tiempo del necesario para los fines del
tratamiento de los datos personales”
En sintonía, la normativa europea consagra el principio de integridad y

confidencialidad, ordenando que los datos sean “tratados de tal manera que se garantice una
seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no
autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la
aplicación de medidas técnicas u organizativas apropiadas “.
Finalmente, el Reglamento agrega el principio de responsabilidad proactiva, por el

cual los responsables de tratamiento de datos serán responsables del cumplimiento de todos
los principios y además, deberán ser capaces de demostrar tal cumplimiento.
26
Consentimiento (art. 7): En el Reglamento el consentimiento constituye una de las bases
legítimas por las cuales se considera lícito el tratamiento de datos. Esto significa que si bien
es uno de los más importantes, el consentimiento no tiene una preeminencia en el sistema
de protección de datos de la UE sino que coexiste con otras bases legítimas establecidas por
la legislación, a saber: si es necesario para la ejecución de un contrato en la que el
interesado es parte; si es necesario para el cumplimiento de una obligación legal del
responsable del tratamiento; si es necesario para proteger intereses vitales del interesado u
otra persona física; si es necesario para el cumplimiento de una misión de interés público o
en ejercicio de poderes públicos; y si es necesario para la satisfacción de intereses legítimos
perseguidos por el responsable del tratamiento o un tercero, en tanto no prevalezcan los
intereses o los derechos del interesado.
Por el contrario, en la legislación argentina el consentimiento es la regla general

para la licitud de todo tratamiento de datos personales y los casos en los que no se necesita
dicho consentimiento están configurados como excepciones a dicha regla.
Al momento de definir el consentimiento, el Reglamento afirma que es una

“manifestación de voluntad libre, específica, informada e inequívoca por la que el
interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el
tratamiento de datos personales que le conciernen”. De esta manera, la normativa europea
no utiliza el calificativo “expreso” presente en la legislación argentina y admite además de
una declaración, la presencia de otras “acciones afirmativas claras” que sean expresión del
consentimiento del interesado. En este último sentido, la ley argentina determina que el
consentimiento sólo puede otorgado por escrito o por otro medio que se le equipare.
Otra diferencia con la normativa argentina es que el Reglamento establece

expresamente que es el responsable del tratamiento de datos el encargado de demostrar que
el interesado consintió en que sus datos personales sean tratados. Asimismo, la normativa
europea determina que para establecer el carácter libre del consentimiento, deberá tenerse
en cuenta los datos personales que se solicitan para la ejecución del contrato. Si la persona
27
debe suministrar o aceptar el tratamiento de datos que no son necesarios para la ejecución
de dicho contrato, tal situación será tomada como un elemento en contra de considerar al
consentimiento como libre.
Finalmente, el Reglamento contiene disposiciones referidas al consentimiento

prestado por menores de edad en relación a los servicios que se le ofrecen (art.8). La norma
ordena que el consentimiento será considerado lícito cuando el menor tenga como mínimo
dieciséis (16) años. Si es menor de esa edad, el consentimiento debe ser dado por el o la
titular de la patria potestad o por el que ejerza la tutela. Por el contrario, en la legislación
argentina no hay disposiciones referentes al consentimiento de menores de edad.
Datos sensibles (art. 9): Además de las diferencias en cuanto a qué se considera
dato sensible (vistas más arriba) existen divergencias en la forma de regular su tratamiento.
Según el Reglamento, la regla general es la prohibición de todo tratamiento referente a este
tipo de datos. Sin embargo, existen una serie de situaciones en las cuales el tratamiento de
datos sensibles estaría autorizado. La primera contemplada es el consentimiento explícito
del interesado. Luego, el Reglamento despliega un listado de excepciones que funcionan
como permisos para tratar datos sensibles (entre ellas, la necesidad de cumplir con derechos
y obligaciones del responsable, la existencia de un interés vital del interesado o de otra
persona física, la presencia de un interés público esencial, etc). En definitiva, lo importante
es la existencia de una base legal que justifique el tratamiento de datos sensibles.
En forma similar, la ley argentina establece la prohibición de formar bases de datos

que revelen datos sensibles. Asimismo, también dictamina que ninguna persona puede ser
obligada a proporcionar datos sensibles. Sin embargo, al momento de establecer las
excepciones, la ley sólo se refiere a la existencia de “razones de interés general autorizadas
por ley” y no contiene un listado detallado de salvedades, al estilo del Reglamento.
Finalmente, ambas legislaciones disponen que los registros de antecedentes penales

deben quedar siempre bajo control de las autoridades públicas.
28
Derechos de los interesados o titulares de los datos (arts. 13 a 21): Al igual que
la ley argentina, el Reglamento consagra los derechos tradicionales vinculados a la
protección de datos personales, como el derecho a la información, el derecho al acceso, el
derecho a la rectificación y el derecho a la oposición. Sin embargo, agrega tres nuevos
derechos no previstos -o previstos de manera distinta-en la ley 25326.
El primero es el derecho a la supresión o “derecho al olvido”, por el cual toda

persona tiene la facultad de solicitar la supresión de los datos personales que ya no sean
necesarios para el cumplimento de las finalidades para las que fueron recogidos, cuando se
haya retirado el consentimiento y no exista otra base legal para el tratamiento del mismo,
cuando el tratamiento haya sido realizado en forma ilícita, etc. En estos casos, el
responsable del tratamiento deberá adoptar medidas razonables, teniendo en cuenta la
tecnología disponible y el coste de su aplicación, incluyendo medidas técnicas, con miras a
informar a otros responsables de la solicitud de supresión de cualquier enlace a esos datos
personales o cualquier copia o réplica de los mismos.
El segundo derecho incorporado es el derecho a la limitación del tratamiento. En

virtud de este derecho, la persona puede solicitar que sus datos sean conservados pero sin
que puedan ejercerse otro tipo de tratamiento. Las condiciones en que procede este derecho
son: que el interesado impugne la exactitud de los datos personales, durante un plazo que
permita al responsable verificar la exactitud de los mismos; que el tratamiento sea ilícito y
el interesado no solicite la supresión sino su limitación; el responsable ya no necesite los
datos personales pero el interesado sí para la formulación, el ejercicio o la defensa de
reclamaciones; y cuando el interesado se haya opuesto a un tratamiento de datos, mientras
se verifica si los motivos del responsables prevalecen o no sobre los del interesado. En
estos casos, el responsable puede trasladar temporalmente los datos seleccionados a otro
sistema de tratamiento, impedir el acceso de usuarios a los datos personales seleccionados o
retirar temporalmente los datos publicados de un sitio de Internet.
29
El tercer derecho que se agrega es el derecho a la portabilidad, en virtud del cual
toda persona tiene derecho a recibir los datos personales que le incumban que haya
facilitado a un responsable del tratamiento y a transferirlos a otro responsable, sin que el
anterior pueda impedirlo. El interesado puede pedir la entrega de sus datos en un formato
de uso común o lectura mecánica o que directamente se le entregue al nuevo responsable,
siempre que sea técnicamente posible.
Derecho a la oposición y marketing directo: En el considerando 47, el Reglamento

sostiene que el tratamiento de datos con fines de marketing directo puede considerarse
realizado por interés legítimo. Sin embargo, dentro de la normativa, el legislador ha
contemplado como un supuesto especial del derecho a la oposición el caso de estas bases de
daos. En ese sentido, se otorga el derecho a las personas a oponerse en todo momento al
tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles. Si
el interesado ejerce este derecho, los datos personales deben dejar de ser tratados para estos
fines. A fin de facilitar este ejercicio, se consagra la obligación de informar al interesado en
la primera comunicación que se mantenga con él de la existencia de este derecho en forma
clara y al margen de cualquier otro tipo de información.
Decisiones individuales automatizadas (art.22): El RGPD consagra el derecho de toda

persona a no ser objeto de una decisión basada únicamente en el tratamiento automatizado,
incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte
significativamente de modo similar. De esta manera, se busca garantizar un tratamiento leal
y transparente respecto del interesado con el fin de evitar -por dar un ejemplo- decisiones
producidas por la utilización de algoritmos que pueden exacerbar los ya existentes patrones
sociales de discriminación y exclusión.
30
La doctrina25 ha sostenido que en este supuesto pueden deducirse dos derechos
derivados del Reglamento. El primero es el derecho a la no discriminación, mediante el
cual las personas tienen el derecho a no verse discriminadas por decisiones algorítmicas
basadas en la utilización de datos que revelan prejuicios raciales, sociales, de género o de
cualquier otro tipo. El segundo derecho es el derecho a una explicación, que faculta a las
personas a solicitar al responsable de un tratamiento de datos que informe acerca de la
lógica y el funcionamiento del algoritmo utilizado para sus operaciones. Como bien dice el
nombre, este derecho se satisface cuando el proceso es explicado en forma clara y
comprensiva para la persona, de manera que ésta pueda evaluar si la toma de decisión ha
afectado alguno de sus derechos.
Esta disposición podrá ceder en los siguientes casos: cuando sea necesario para la
celebración o la ejecución de un contrato entre el interesado y un responsable del
tratamiento; esté autorizada por el Derecho de la Unión o de los Estados miembros que se
aplique al responsable del tratamiento y asimismo establezca medidas adecuadas para
salvaguardar los derechos y libertades y los intereses legítimos del interesado; o cuando
haya un consentimiento expreso del interesado.
Tal como lo vimos al momento de describir la legislación vigente, la ley argentina

declara que las decisiones que se basen únicamente en un tratamiento informatizado de
datos personales serán consideradas insanablemente nulas. Sin embargo, esta disposición
únicamente se aplica a decisiones judiciales o administrativas, con los que quedan fuera de
su regulación las entidades privadas, que son las que actualmente hacen un uso intensivo de
las tecnologías de Big Data para la toma de decisiones automatizadas.
25 Ver Bryce Goodman y Seth Flaxman “European Union regulations on algorithmic decision-
making and a “right to explanation” 2016, Oxford, disponible en
https://arxiv.org/pdf/1606.08813v3.pdf
31
Medidas técnicas y de seguridad: Tanto el Reglamento como la ley 25.326 coinciden en
establecer la obligación para los responsables de bases de datos de implementar medidas
técnicas y organizativas que garanticen el cumplimiento con las disposiciones de las
normativas respectivas. Sin embargo, el Reglamento establece numerosas disposiciones que
detallan algunas de las medidas o herramientas que los responsables deben implementar
para asegurar la licitud de sus tratamientos de datos, cuestión que está ausente en la ley
25.326. Entre los tipos de medidas a adoptar se encuentran:
 Registro de las actividades del tratamiento (art. 30): A diferencia de Argentina, los
responsables de tratamiento de datos no deben inscribir sus bases de datos en
ningún registro pero sí tienen la obligación de llevar un registro de las actividades
de tratamiento de datos que realizan, las cuales deben estar a disposición de las
autoridades de control cuando éstas lo requieran. Esta obligación no se aplica a
aquellas empresas u organizaciones que empleen menos de 250 personas, a menos
que el tratamiento pueda entrañar un riesgo para los derechos o libertades
fundamentales de los interesados, incluya datos sensibles o se refiera a datos sobre
condenas penales.
 Privacidad por diseño y por defecto (art. 25): La primera consiste en la obligación
de todo responsable de tratamiento de aplicar desde el mismo momento en que se
determina los medios de tratamiento todas las medidas necesarias (seudominización,
limitación del tratamiento, etc) para respetar la privacidad de los usuarios. De esta
manera, todo proveedor de servicio, aplicación o similar debe tomar en cuenta al
momento de diseñar su producto la necesidad de que el mismo no afecte los
derechos de las personas. Vinculado con esto, se encuentra el deber de garantizar
por defecto que todo tratamiento de datos tenga como objeto sólo aquellos
necesarios para los fines de su actividad. Asimismo, estas medidas deben garantizar
que los datos personales no sean accesibles a un número indeterminado de personas.
32
 Medidas de seguridad adecuadas (art. 24): El Reglamento establece que los
responsables o encargados de tratamiento de datos deben adoptar medidas
adecuadas para garantizar un nivel de seguridad adecuado al riesgo que dicho
tratamiento puede implicar para los derechos y la libertades de las personas. Para
evaluar dicho riesgo, se deberán tomar en cuenta los riesgos que pueda presentar la
eventual destrucción o alteración de la base de datos o el acceso no autorizado a
dichos datos. Además del riesgo, las medidas a adoptar deben tener en cuenta el
estado de la técnica, los costos de aplicación, y la naturaleza, alcance, contexto y
fines del tratamiento. Asimismo, se establece la obligación de incluir en el registro
de actividades la descripción de las medidas de seguridad adoptadas, en cuanto sea
posible. Por último, se considera que la adhesión a un código de conducta o a un
mecanismo de certificación constituye un elemento para demostrar el cumplimiento
de los requisitos de seguridad.
 Notificación de una violación de seguridad (art. 33 y 34): En caso de una violación

a la seguridad de los datos personales, el Reglamento dispone que el responsable
debe notificar de inmediato -o a más tardar en 72 horas- a la autoridad de control.
En caso de que se lo haga después del plazo, se deberá indicar los motivos de la
demora. La excepción a la notificación tendrá lugar cuando sea improbable que la
violación constituya un riesgo para los derechos y las libertades de las personas
físicas. Por otro lado, el responsable tendrá la obligación de documentar todos los
incidentes ocurridos, sus causas y las medidas correctivas adoptadas.
Respecto al titular de los datos o interesado, el Reglamento establece la obligación

por parte del responsable o encargado de comunicarle sin dilación indebida la
violación únicamente cuando exista un alto riesgo para los derechos y las libertades
de las personas físicas. Este deber puede eximirse cuando: el responsable ya haya
adoptado medidas de protección apropiadas -en particular aquellas que hagan
ininteligibles los datos personales a personas no autorizadas a acceder a los mismos,
33
como el cifrado-, el responsable ha tomado medidas ulteriores que garantizan que
ya no existe le riesgo o cuando suponga un esfuerzo desproporcionado.
La autoridad de control puede decidir que existe un alto riesgo y así obligar a los
responsables a notificar la violación a los interesados.
 Evaluación de impacto de protección de datos (art. 35 y 36): Cuando sea probable

que un tratamiento de datos presente un alto riesgo para los derechos y libertades de
las personas físicas, el Reglamento prevé la obligación por parte del responsable o
encargado de realizar una evaluación de impacto de las operaciones de tratamiento
en la protección de datos personales. En particular, evaluación se exigirá en caso de:
1. elaboración de perfiles sobre cuya base se tomen decisiones que produzcan
efectos jurídicos para las personas físicas o que les afecten significativamente de
modo similar; 2. tratamiento a gran escala de las categorías especiales de datos
(“datos sensibles” según la terminología de la ley argentina) o de datos relativos a
condenas penales, y 3. observación sistemática a gran escala de una zona de acceso
público. Asimismo, cada autoridad de control tiene la facultad de decidir qué
operaciones necesitarán evaluación y cuáles no. Finalmente, el Reglamento prevé
un contenido mínimo de la evaluación y determina que cuando proceda, se deberá
recabar la opinión de los interesados.
Cuando la evaluación demuestre que la operación de tratamiento implica un alto

riesgo si no se adoptan medidas para mitigarlo, el responsable deberá consultar en
forma previa a la autoridad de control antes de iniciar la actividad de tratamiento
 Delegado de protección de datos (arts. 37 a 39): El DPD es una figura creada por el
Reglamento y constituye una de las principales novedades del futuro sistema
europeo de protección de datos personales. El reglamento establece que los
responsables y encargados del tratamiento deberán designar uno cuando: el
tratamiento se realice por una autoridad u organismo público (con excepción de la
34
función judicial), las actividades principales del responsable consistan en
operaciones de tratamiento que requieran una observación habitual y sistemática de
interesados a gran escala; o cuando las actividades principales del responsable o del
encargado consistan en el tratamiento a gran escala de datos sensibles o datos
relativos a condenas penales.
El nombramiento del delegado se hará en base a sus cualidades personales, su

conocimiento especializado del Derecho y la práctica en materia de protección de
datos y la capacidad para desempeñar sus funciones. Asimismo, su vinculación con
el responsable o encargado podrá hacerse a través de su incorporación a la plantilla
del personal o mediante un contrato de servicios. Para garantizar su independencia,
el delegado no podrá recibir instrucciones del responsable ni podrá ser sancionado o
destituido por el mismo. Por otro lado, podrá ser contactado en cualquier momento
por los interesados para cualquier cuestión relativa la protección de sus datos.
Sus funciones serán las de: informar y asesorar sobre las obligaciones impuestas por
la normativa sobre protección de datos, supervisar el cumplimiento de dicha
normativa ( en particular, lo que respecta a la asignación de responsabilidades, la
concienciación y formación del personal que participa en las operaciones de
tratamiento y las auditorías correspondientes), ofrecer asesoramiento sobre la
evaluación de impacto sobre protección de datos y cooperar o actuar de punto de
contacto con la autoridad de control para cuestiones relativas al tratamiento de
datos.
Transferencia internacional de datos (art. 44 a 49): Tanto el Reglamento como la ley

argentina sostienen el principio de que sólo se permitirán transferencias internacionales de
datos a aquellos países que cuenten con un nivel adecuado de protección. Al momento de
determinar los criterios por los cuales se considera que un país u organización tiene un
nivel adecuado, el Reglamento contiene una detallada exposición de los elementos que se
deben analizar. Entre ellos figuran: el Estado de Derecho, el respeto de los derechos
35
humanos y las libertades fundamentales, la legislación pertinente, la existencia y el
funcionamiento efectivo de una o varias autoridades de control independientes, los
compromisos internacionales asumidos, etc. Por el contrario, la ley argentina no contiene
una disposición similar. Esta omisión fue atenuada por el decreto reglamentario, que
estableció que se debe tener en cuenta la naturaleza de los datos, la finalidad y la duración
del tratamiento o de los tratamientos previstos, el lugar de destino final, las normas de
derecho, generales o sectoriales, vigentes en el país de que se trate, así como las normas
profesionales, códigos de conducta y las medidas de seguridad en vigor en dichos lugares, o
que resulten aplicables a los organismos internacionales o supranacionales.
En caso de que el país o la organización no cuente con la adecuación, el Reglamento

prevé la transferencia de datos personales en caso de que el responsable o encargado
ofrezca garantías adecuadas, las cuales pueden ser: un instrumento jurídicamente vinculante
y exigible entre las autoridades u organismos públicos, normas corporativas vinculantes,
cláusulas tipo de protección de datos adoptadas por la Comisión o por una autoridad de
control, un código de conducta o mecanismo de certificación.
Si tampoco pueden ofrecerse garantías adecuadas, el Reglamento establece una

última lista de supuestos en los cuales procede la transferencia, a saber: cuando el
interesado haya dado explícitamente su consentimiento o cuando la transferencia sea
necesaria para: la ejecución de un contrato entre el interesado y el responsable del
tratamiento; la celebración o ejecución de un contrato, en interés del interesado, entre el
responsable del tratamiento y otra persona física o jurídica; por razones importantes de
interés público: para la formulación, el ejercicio o la defensa de reclamaciones; o para
proteger los intereses vitales del interesado o de otras personas.
A diferencia del Reglamento, nuestra legislación consagra un corto catálogo de

excepciones. La ley 25326 establece las siguientes (art.12): colaboración judicial
internacional, intercambio de datos de carácter médico, cuando así lo exija el tratamiento
del afectado, o una investigación epidemiológica; transferencias bancarias o bursátiles,
36
cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los
cuales la República Argentina sea parte; o cuando la transferencia tenga por objeto la
cooperación internacional entre organismos de inteligencia para la lucha contra el crimen
organizado, el terrorismo y el narcotráfico. A su vez, el decreto reglamentario agregó el
consentimiento expreso del titular de los datos o interesado y el caso de datos contenidos en
registros públicos abiertos a la consulta del público en general.
Órgano de control (arts. 51 a 54): El Reglamento establece que todas las autoridades de
control de los países miembros deberán actuar con total independencia en el desempeño de
sus funciones. Asimismo, los miembros serán ajenos a toda influencia externa y no
solicitarán ni admitirán ninguna instrucción. Por otro lado, se dispone que todo Estado
debe garantizar que su autoridad de control cuente en todo momento con los recursos
humanos, técnicos y financieros, así como los locales y la infraestructura necesaria para el
cumplimiento efectivo de sus funciones. Finalmente, la normativa ordena que todos los
Estados garanticen que los órganos de control gocen de un presupuesto anual público e
independiente y que estén sujetos a un control financiero que no afecte su independencia.
Estas disposiciones pueden ser contrastadas con lo dispuesto por la ley argentina y
sobre todo con lo que sucede en la práctica con nuestro órgano de control. Como se dijo
anteriormente, si bien estaba previsto el carácter descentralizado y la autonomía funcional
de la autoridad de controlar, finalmente cuestiones financieras hicieron que estas
disposiciones fuesen vetadas por el Poder Ejecutivo de turno. Como resultado, en la
actualidad la Dirección Nacional de Datos Personales (DNPDP) es un órgano dependiente
del Poder Ejecutivo y que no cuenta con los recursos financieros necesarios para cumplir
con todas las funciones que le ordena cumplir la ley de protección de datos personales.
En lo que respecta a las funciones a desarrollar, la normativa europea cuenta con un

catálogo más numeroso de tareas a ser desempeñadas por las autoridades de control, y por
37
consiguiente, sus poderes de investigación son mucho más amplios que las de la autoridad
de control argentina.
En efecto, de acuerdo a la ley 25326, la DNPDP posee funciones de asesoramiento a

las personas que vean afectadas sus datos personales, de promulgación de normas y
reglamentos necesarios para el cumplimiento de la ley, de control de los requisitos que las
bases de datos deben cumplir para poder inscribirse en el registro y de requerimiento de
información a entidades -públicas o privadas- relativas al tratamiento de datos que
realizaren. Por otro lado, la DNPDP puede imponer sanciones administrativas en caso de
violación a la ley y constituirse como querellante penal en caso de cometerse alguna
infracción criminal prevista por la normativa.
Finalmente, el órgano de control puede controlar el cumplimiento de las medidas de

seguridad adoptadas por las bases de datos. Para ello, incluso puede solicitar autorización
judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de
verificar infracciones al cumplimiento de la ley.
En el caso del Reglamento – como dijimos anteriormente- las funciones son más
numerosas. A manera ejemplificativa, podemos mencionar las siguientes: controlar la
aplicación del Reglamento, promover la sensibilización del público y su comprensión de
los riesgos, normas, garantías y derechos en relación con el tratamiento; tratar las
reclamaciones presentadas e investigar, en la medida oportuna, el motivo de la reclamación
e informar al reclamante sobre el curso y el resultado de la investigación en un plazo
razonable; llevar a cabo investigaciones sobre la aplicación del Reglamento; hacer un
seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la
protección de datos personales, en particular el desarrollo de las tecnologías de la
información y la comunicación y las prácticas comerciales, entre otras. Para llevar a cabo
esta tarea, las autoridades disponen de amplios poderes de investigación y de corrección.
Entre los primeros se cuentan: llevar a cabo auditorías de protección de datos, revisiones de
las certificaciones, ordenar la facilitación de cualquier información necesaria para el
38
desempeño de las funciones, obtener el acceso a los datos personales, los equipos y medios
de tratamiento de datos. Entre los segundos podemos mencionar la facultad de imponer
sanciones (advertencia, apercibimiento, multa o la limitación -temporal o definitiva- del
tratamiento) ordenar la supresión, rectificación o limitación de un dato personal, ordenar a
los responsables o encargados que sus operaciones se ajusten al Reglamento, que atiendan
las solicitudes de los interesados en ejercicio de sus derechos o que notifiquen a dichos
interesados en caso de un incidente de seguridad
Responsabilidad e indemnización (art. 82) : El Reglamento establece expresamente el

derecho de todo interesado a solicitar una indemnización por los daños y perjuicios
materiales e inmateriales que hubiese sufrido como consecuencia de una infracción por
parte del responsable o el encargado. Por el contrario, no existe una disposición similar en
la ley argentina, en la cual la acción de habeas data permite al afectado tomar conocimiento
de los datos personales almacenados o exigir su rectificación, supresión, confidencialidad o
actualización pero no se prevé un resarcimiento por los daños sufridos. Si bien la ley
25.326 menciona en su art. 31 que los responsables de bases de datos están sujetos a la
responsabilidad por daños y perjuicios derivados de la inobservancia de sus disposiciones,
no está consagrado en forma expresa el derecho de los titulares a solicitar una
indemnización.
Sanciones (art. 83): En la normativa europea se prevén dos tipos de sanciones. La primera
y más importante es la multa económica. El Reglamento dispone que las mismas deben
imponerse de manera individual efectiva, proporcionada y disuasoria. De esta manera, el
monto de la sanción debe ajustarse de acuerdo a las circunstancias del caso concreto. Entre
los elementos a tener en cuenta figuran: la naturaleza, gravedad y duración de la infracción,
la intencionalidad o negligencia en la infracción, las medidas tomadas para paliar la
situación, etc. En forma paralela, se dispone que las autoridades de control de cada país
tendrán la capacidad de imponer medidas correctivas en forma conjunta o en reemplazo de
la multa. Estas medidas pueden consistir en advertencias, apercibimientos, órdenes de
limitación, rectificación o supresión, retiro de la certificación, etc.
39
Respecto a las cuantías de las multas, las mismas varían de acuerdo a la gravedad de
la infracción y van desde un monto fijo (de hasta 10.000.000 o 20.000.000 de euros según
la infracción) hasta un porcentaje -si se trata de una empresa- del 4% del negocio total
anual global del ejercicio financiero anterior.
En lo que respecta a Argentina, la ley ha otorgado al órgano de control un listado de

sanciones que van desde el apercibimiento y la suspensión hasta la imposición de multas
(de $1.000 a $100.00026) y la cancelación de la base de datos. Asimismo, también se
determina que las sanciones deben aplicarse en relación a la gravedad y extensión de la
violación y de los perjuicios derivados de la infracción. Por último se establece que toda
sanción debe imponerse garantizando el principio del debido proceso.
La principal diferencia que se observa entre ambas normativas es la cuantía de las

sanciones económicas. Por un lado, el monto al que pueden alcanzar las sanciones en la UE
es mucho más alto que en Argentina. Por otro lado, en el Reglamento existe la facultad de
aplicar una multa mediante un porcentaje del negocio total, mientras que la ley 25.326 no
ha consagrado esa prerrogativa. La ausencia de la posibilidad de imponer multas por
porcentaje puede constituir un obstáculo para la capacidad de los órganos de control de
hacer cumplir la ley, ya que muchas veces los montos fijos son muy bajos o quedan
desactualizados por la marcha de la economía. De esta manera, los responsables prefieren
pagar la multa antes que cumplir con sus deberes, los cuales pueden resultar aun más
onerosos que la sanción.
Bases de datos en manos de fuerzas de seguridad o policiales: El Reglamento no

contiene disposiciones al respecto. Sin embargo, esto no se debe a un grosero descuido. En
forma paralela, la Unión Europea sancionó la Directiva 680/2016 relativa a la protección de
las personas físicas en lo que respecta al tratamiento de sus datos personales por parte de las
26 Equivalente a 61,50 y 6150 euros o 64.38 y 6438 dólares, respectivamente (según tipo de
cambio 1 euro=16.23 pesos argentinos y 1 dólar=15,53 pesos argentinos del 23/12/2016)
40
autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento
de infracciones penales o de ejecución de sanciones penales. La mencionada norma entró
en vigor el 5 mayo de 2016 y tiene como principal finalidad el garantizar la adecuada
protección de los datos de las víctimas, testigos e investigados por la presunta comisión de
delitos. Paralelamente la Directiva pretende armonizar la cooperación transfronteriza de la
policía y los fiscales para combatir más eficazmente el crimen y el terrorismo en toda
Europa.
La Directiva establece que los principios generales de protección de datos

personales también deben aplicarse al tratamiento de este tipo de información. Asimismo,
se introducen disposiciones especiales en razón de la particular naturaleza de los datos
tratados. Así, se establece la necesidad de fijar plazos para la supresión de los datos
personales almacenados o para una revisión periódica de la necesidad de conservar los
mismos. También se dispone que los responsables del tratamiento deben distinguir
claramente entre las distintas clases de interesados, como: personas respecto de las cuales
existan motivos fundados para presumir que han cometido o van a cometer una infracción
penal, personas condenadas por una infracción penal, víctimas de una infracción penal o
terceras partes involucradas en una infracción penal. Otro principio que se consagra es la
obligación de distinguir -en la medida de lo posible- los datos personales basados en hechos
de aquellos datos personales basados en apreciaciones personales. Por último -sólo a los
fines de esta breve descripción-, se establece la prohibición de aquellas decisiones que estén
basadas únicamente en un tratamiento automatizado -incluida la elaboración de perfiles-
que produzcan un efecto negativo en el interesado. Si bien esta prohibición puede ser
dejada de lado por el derecho interno, en ese caso se debe procurar que se tomen medidas
adecuadas para resguardar los derechos y libertades del interesado, al menos el derecho a
obtener la intervención humana por parte del responsable del tratamiento.
En lo que atañe a la normativa argentina, las regulaciones sobre este tipo de

tratamiento de datos son muy escasas. En la ley 25.326 encontramos un único artículo -el
23- que se ocupa de ofrecer algún tipo de guía normativa. Pero esta disposición presenta
41
problemas debido a su indeterminación y amplitud. Asimismo, tampoco establece las
obligaciones que la Directiva europea ha consagrado para el tratamiento de este tipo de
datos. En conclusión, las bases de datos de las fuerzas de seguridad y/o policiales gozan de
una importante discrecionalidad, ya que se encuentran pobremente reguladas por la
normativa argentina. Como consecuencia, los ciudadanos encuentran numerosas
dificultades para ejercer la principal herramienta de protección de sus datos.
Conclusión: La sanción del Reglamento General de Protección de Datos ha

supuesto la mayor novedad de los últimos tiempos en materia de protección de datos
personales. La influencia de sus principios y de sus normas seguramente se extenderá mas
allá de Europa. En ese sentido, Argentina seguramente será de las primeras en acusar su
impacto. Hay dos razones principales para ello. La primera tiene que ver con que el sistema
de protección de datos personales argentino está fuertemente inspirado en el modelo
europeo. Como resultado, no es de extrañarse que las nuevas disposiciones establecidas en
el Reglamento sean prontamente analizadas, debatidas y discutidas en nuestro país, con el
objetivo de seguir adaptándonos a lo que nuestro modelo de referencia ha establecido
últimamente.
La segunda razón se vincula con la necesidad de actualizar nuestra ley de datos

personales. Sancionada en el año 2000, la ley 25.326 -con todos sus defectos- implicó un
fuerte avance en la defensa de los derechos de las personas a la protección de sus datos
personales. Sin embargo, el impresionante desarrollo de las tecnologías digitales sucedido
con posterioridad dio lugar a la aparición de variados fenómenos que ponen a prueba el
actual mecanismo de protección de datos. Por citar algunos casos, la minería de datos ha
permitido detectar y elaborar información de un conjunto muy grande de datos en forma
automática. Asimismo, las actuales tecnologías de recolección de datos les permiten
almacenar gran cantidad de datos acerca de nosotros de forma sencilla y poco onerosa. De
esta manera, las empresas pueden comercializar nuestros datos u ofrecernos productos y
servicios de acuerdo al perfil que hayan elaborado de nosotros. Asimismo, los gobiernos
cuentan con herramientas de vigilancia y a través de diversas tecnologías -como por
42
ejemplo, las tecnologías de biometría, pueden llevar un registro de nuestras actividades
cotidianas.
Por lo tanto, es necesario adecuar nuestra legislación para que responda a las
potenciales amenazas que el surgimiento de la era digital ha traído a las sociedades del
siglo XXI. En esta tarea, resulta útil consultar aquello que se está haciendo en otras partes
del mundo. No porque eso implique necesariamente que debamos copiar literalmente lo
dicho en otro lado, sino porque siempre es de ayuda saber qué es lo que han estado
haciendo países o regiones que ya han dedicado tiempo y recursos al análisis de temáticas
que resultan novedosas para nosotros.
Emprender una tarea a partir del conocimiento ya existente es mejor que empezar
desde cero. Con este objetivo en mente, es de esperar que este análisis comparativo sirva
para plantear los términos de una discusión acerca de las mejores formas de proteger los
datos de las personas en un mundo que pareciera volver cada vez mas difícil la protección
de nuestra privacidad y nuestra intimidad.
Bibliografía:
 Gils Carbó, Alejandra. Régimen legal de las bases de datos y habeas data. Editorial
La Ley. Buenos Aires. 2001
 Palazzi, Pablo. La Protección de los datos personales en la Argentina. Errepar,

Buenos Aires, 2004
 Travieso, Juan Antonio (Director) Régimen jurídico de los datos personales. Tomo I
y II Abeledo Perrot. Buenos Aires. 2014
43

Legislacion Argentina Sobre Proteccion de Datos Personales ADC

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Legislacion Argentina Sobre Proteccion de Datos Personales ADC

Cargado por

Copyright:

Formatos disponibles

Legislación argentina sobre protección de datos personales

Autor: Eduardo Ferreyra1

1. La Constitución y la protección de los datos personales: El derecho a la

El alcance de estas disposiciones fue delineado por la Corte Suprema de Justicia en

La reforma constitucional de 1994 produjo importantes cambios en la materia. En

En segundo lugar, la reforma establece en forma expresa el derecho a la protección

 Ley de Correos 20.2166: en su art. 6, la normativa explicita el principio de la

 El Código Civil también contiene disposiciones que protegen el derecho a la

 La ley 27.078 de Tecnologías de la Comunicación y la Información 9 –más conocida

 En Julio de 2014 se sancionó la ley 26.95112, por la cual se creó el Registro

3. Ley de protección de datos personales: Luego de su consagración constitucional en 1994,

La importancia de la protección de los datos personales para la defensa de los

a) Objeto: La ley protege en forma integral los datos personales asentados en

En cuanto al ámbito de aplicación, la ley regula las bases de datos públicas y

Sin embargo, una interpretación respetuosa de los derechos fundamentales de los

b) Definiciones: La ley 25.326 nos brinda en su art. 2 un listado de definiciones de

Datos personales: Información de cualquier tipo referida a personas físicas o de existencia

Archivo, registro, base o banco de datos: Indistintamente, designan al conjunto organizado

Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos o no, que

Datos informatizados: Los datos personales sometidos al tratamiento o procesamiento

Disociación de datos: Todo tratamiento de datos personales de manera que la información

c) Principios generales relativos a la protección de datos personales: La ley 25.326

I. Datos que se obtengan de fuentes públicas de acceso irrestricto: esta excepción

 Información (art. 6): La obligación de informar, necesaria para que el consentimiento

I. La finalidad del tratamiento y los posibles destinatarios del mismo

II. La existencia de la base de datos y la identidad y domicilio de su responsable.

III. El carácter obligatorio o facultativo de las respuestas al cuestionario que se le

IV. Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la

V. La posibilidad del interesado de ejercer los derechos de acceso, rectificación y

Sin embargo, el consentimiento no siempre es necesario. Existen varias excepciones

I. Derecho a la información (art. 13) : para poder controlar a los responsables de

f) Supuestos especiales: En lo relativo a los supuestos especiales, la ley contiene

g) Servicios de información crediticia (art. 26): El tratamiento de datos personales

Además de los derechos consagrados en forma general, la normativa establece dos

La reglamentación intentó aclarar la disposición legislativa al determinar que el

En el segundo fallo, la Corte interpretó que la expresión “última información

El decreto reglamentario completó estas disposiciones, al establecer el permiso para

A pesar de esta reducción en la jerarquía, las funciones de la Dirección continúan

En lo relativo a las sanciones, la ley faculta al órgano de control a aplicar sanciones

i)Acción de protección de datos personales (arts. 33 a 43): Los derechos a la

Con el objetivo de hacer el procedimiento lo más expedito posible, se dispuso que

Introducción: El 27 de Abril de 2016 el Parlamento Europeo y el Consejo de la

A causa de su reciente sanción, el Reglamento es un instrumento normativo

Ámbito de aplicación territorial (art.3): El Reglamento establece dos supuestos para su

Definiciones (art. 4): El Reglamento contiene un amplio catálogo de definiciones acerca

Respecto a los datos sensibles, el Reglamento -que las denomina “categorías

En relación a los sujetos contemplados, la ley argentina reconoce tres supuestos: el

Por último, se contempla a los servicios de la sociedad de la información, para cuya

24 Directiva (UE) 2015/1535 por la que se establece un procedimiento de información en materia

Asimismo, mientras la ley argentina define al principio de finalidad como aquel

Por otro lado, el Reglamento consagra explícitamente el principio de minimización

La limitación de la conservación también está definida de manera precisa por el

En sintonía, la normativa europea consagra el principio de integridad y

Finalmente, el Reglamento agrega el principio de responsabilidad proactiva, por el

Por el contrario, en la legislación argentina el consentimiento es la regla general

Al momento de definir el consentimiento, el Reglamento afirma que es una

Otra diferencia con la normativa argentina es que el Reglamento establece

Finalmente, el Reglamento contiene disposiciones referidas al consentimiento

En forma similar, la ley argentina establece la prohibición de formar bases de datos

Finalmente, ambas legislaciones disponen que los registros de antecedentes penales

El primero es el derecho a la supresión o “derecho al olvido”, por el cual toda

El segundo derecho incorporado es el derecho a la limitación del tratamiento. En

Derecho a la oposición y marketing directo: En el considerando 47, el Reglamento