Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ARTÍCULO 1.- Objeto. La presente ley tiene por objeto la protección integral de los datos
personales a fin de garantizar el pleno ejercicio y el respeto de los derechos de sus titulares,
conforme a lo establecido en el artículo 43, párrafo tercero, de la Constitución Nacional y los
Tratados en los que la República Argentina sea parte.
1
h. Autodeterminación informativa: derecho de la persona de ejercer control sobre todo
dato que le concierne, de decidir o autorizar de forma libre, previa, expresa e
informada la recolección, uso o tratamiento de sus datos personales. Este control debe
de poder ejercerse en cualquier momento por el individuo, pudiendo actualizar,
rectificar o suprimir esa información.
i. Delegado de protección de datos: persona humana o jurídica encargada de informar
al Responsable o al Encargado del tratamiento sobre sus obligaciones legales en
materia de protección de datos, así como de velar y supervisar el cumplimiento
normativo, y de cooperar con la Autoridad de aplicación, sirviendo como punto de
contacto entre ésta y el Responsable o Encargado del tratamiento de datos.
j. Responsable de tratamiento de datos personales: persona humana o jurídica, pública
o privada, u otro organismo, que solo o conjuntamente con otros decide sobre la
finalidad y el tratamiento de datos personales.
k. Encargado del tratamiento: persona humana o jurídica, pública o privada, que trate
datos personales por cuenta del Responsable del tratamiento de manera manual
automatizada o parcialmente automatizada.
l. Representante de Responsable o Encargado de tratamiento: persona humana o
jurídica que ejerce la representación en el territorio nacional de Responsables o
Encargados de tratamiento que no se encuentran establecidos en la República
Argentina.
m. Entidades crediticias: comprende a las entidades que proveen información de
situación crediticia al Banco Central de la República Argentina.
n. Grupo económico: sociedades controlantes, controladas y aquellas vinculadas en las
cuales se tenga influencia significativa en las decisiones, denominación, domicilio,
actividad principal, participación patrimonial, porcentaje de votos y, para las
controlantes, principales accionistas. Constituyen un conjunto de empresas que
pueden presentarse formal y aparentemente independientes pero sin embargo se
encuentran entrelazadas al punto de formar un todo complejo pero compacto que
responde a un mismo interés.
o. Tratamiento de datos: cualquier operación o conjunto de operaciones, automatizada,
parcialmente automatizada o no automatizada, realizada sobre datos personales, que
permita, de manera enunciativa, la recolección, conservación, organización,
estructuración, almacenamiento, modificación, relacionamiento, evaluación, bloqueo
o destrucción y, en general, el procesamiento, así como también su cesión a través
de comunicaciones, consultas, interconexiones o transferencias.
p. Eliminación de datos: acción mediante la cual un dato deja de existir de manera
permanente, sin posibilidad de recuperarlo mediante ningún procedimiento posible
con la tecnología disponible en el momento del tratamiento.
q. Anonimización: la aplicación de medidas dirigidas a impedir la identificación de una
persona humana a partir de la posesión de información concreta sobre la misma, a la
luz de la tecnología disponible en el momento del tratamiento. Refiere asimismo a los
esfuerzos dirigidos a impedir que la identificación sea posible al cruzar una base de
datos con otra sobre la que el encargado del tratamiento tiene conocimiento o supone
su existencia.
2
r. Automatización del tratamiento: grado máximo de automatización en el cual el
tratamiento de los datos recae sobre un algoritmo que una vez puesto en
funcionamiento es independiente de la actuación humana.
s. Elaboración de perfiles: toda forma de tratamiento automatizado y parcialmente
automatizado de datos personales consistente en utilizarlos para evaluar
determinados aspectos de una persona humana, en particular para analizar o predecir
cuestiones relativas al rendimiento profesional, situación económica, salud,
preferencias personales, intereses, fiabilidad, comportamiento, ubicación, etnia, raza,
género o movimientos de dicha persona humana.
t. Incidente de seguridad de datos personales: ocurrencia de uno o varios eventos en
cualquier fase del tratamiento que atenten contra la confidencialidad, la integridad y la
disponibilidad de los datos personales. Se puede derivar de la situación en la que dos
bases de datos puedan ser cruzadas por un tercero para atentar contra la
anonimización de los mismos.
u. Transferencia internacional: la transmisión de datos personales fuera del territorio
nacional.
La presente ley también es aplicable al tratamiento de datos personales efectuado por las
Fuerzas Armadas, fuerzas de seguridad y de inteligencia. El tratamiento de datos realizado
por dichas autoridades y cualquier medida que imponga una limitación a los derechos y
garantías establecidos en la presente ley, deberá ser necesaria y proporcional, conforme al
interés público, tener en cuenta los intereses legítimos del titular de los datos y establecer
salvaguardas conforme a lo establecido en el artículo 33 de la presente ley, y respetar los
derechos fundamentales consagrados en la Constitución Nacional.
Queda exceptuado de los alcances de la presente ley el tratamiento de datos que efectúe una
persona humana para su uso exclusivamente privado o de su grupo familiar y, por tanto, sin
conexión alguna con una actividad profesional o comercial.
ARTÍCULO 4.- Ámbito de aplicación territorial. La presente ley será aplicable a cualquiera
de los siguientes casos:
a. El Responsable o Encargado del tratamiento se encuentra establecido en el territorio
de la República Argentina, aun cuando el tratamiento de datos tenga lugar fuera de
dicho territorio;
3
b. El Responsable o Encargado no se encuentra establecido en el territorio de la
República Argentina, pero:
1. Realiza tratamiento de datos en el territorio de la República Argentina mediante
cualquier medio o procedimiento, físico o electrónico, conocido o por conocer,
que le permite recolectar, usar, almacenar, indexar o tratar información de
personas que se encuentren en dicho territorio.
2. Efectúa actividades de tratamiento relacionadas con: (i) la oferta de bienes o
servicios a personas que se encuentren en el territorio de la República
Argentina; o, (ii) el perfilamiento, seguimiento o control de los actos,
comportamientos o intereses de dichas personas.
3. Se encuentra establecido en un lugar al que se aplica la legislación de la
República Argentina en virtud del derecho internacional o contractual.
ARTÍCULO 7.- Principio de finalidad. Los datos personales deben ser recolectados con
fines específicos, explícitos y lícitos. Los datos personales sólo deben limitarse su tratamiento
al cumplimiento de estos fines y no otros.
No se considerarán incompatibles con los objetivos iniciales el tratamiento ulterior de los datos
personales con fines estadísticos, de archivo, investigación científica e histórica de interés
público.
ARTÍCULO 8.- Principio de minimización de datos. Es preciso que los datos personales
sean tratados adecuadamente y de manera pertinente según los objetivos de su recolección.
A solicitud de la Autoridad de aplicación, los Responsables o Encargados deberán proveer
una justificación de la necesidad de recolectar los datos en cada caso.
ARTÍCULO 9.- Principio de exactitud. Los datos personales sujetos de tratamiento con un
objetivo fijado deben poseer exactitud y actualidad. En caso de ser necesario la actualización,
se llevarán adelante las medidas pertinentes para que no se altere la veracidad. Queda
prohibido el tratamiento de datos falsos, desactualizados, inexactos, incompletos o que
induzcan a error.
4
En los casos en que los datos son proporcionados por su Titular se presume su exactitud.
ARTÍCULO 10.- Plazo de conservación. Los datos personales no deben ser mantenidos
más allá del tiempo estrictamente necesario para el cumplimiento de la finalidad del
tratamiento.
Los datos personales pueden conservarse durante períodos más largos siempre que se traten
exclusivamente con fines estadísticos, de archivo en interés público, de investigación
científica o histórica, sin perjuicio de la aplicación de las medidas técnicas y organizativas
apropiadas que impone la presente ley a fin de proteger los derechos del Titular de los datos.
La conservación de datos personales queda a solicitud de la Autoridad de aplicación, los
Responsables o Encargados.
ARTÍCULO 12.-Derecho de acceso. El Titular de los datos tiene derecho de solicitar y recibir
confirmación y estado del tratamiento de sus datos personales. En caso de ser utilizados, el
titular de los datos tiene derecho a ellos así como a cualquier tipo de información relacionada
a las condiciones generales y específicas del procesamiento. La información contemplada es
la siguiente:
a. Las finalidades del tratamiento y las bases legales sobre las cuales se legitiman;
b. Las categorías que los integren;
c. Los destinatarios o las categorías de destinatarios a los que se cedan que se cedan o
prevean ceder los datos (o cualquier versión procesada de ellos), considerando que
también deben estar explicitados en la solicitud de consentimiento y no solo provistos
a demanda del Titular.
d. Información sobre las transferencias internacionales de datos que se hayan efectuado
o se prevea efectuar, incluyendo países de destino y base legal que justifique la
transferencia.
e. El plazo previsto de conservación de los datos o, en su defecto, los criterios que vayan
a determinar este plazo.
f. Información sobre el derecho a solicitar la rectificación, supresión de los datos y
oposición a su tratamiento.
g. Información sobre el derecho a iniciar un trámite de protección de datos personales
ante la Autoridad de aplicación.
h. El origen de los datos personales si su recolección no es directamente a través del
Titular de los datos.
i. Carácter de las decisiones -automatizadas o deliberadas-, e información significativa
sobre la lógica aplicada.
5
j. En el caso de información recolectada en procedimientos médicos/científicos en los
cuales el acceso a información pueda inferir con la validez de los resultados
recolectados, el Titular de los datos tiene acceso a la información considerada
relevante y suficiente por la institución médica y/o Comité de Ética de investigación
pertinente, por un período limitado de tiempo hasta la consumación de los objetivos
del estudio. Deberá informarse el plazo previsto de este período de información
limitada y, una vez finalizado, el interesado tendrá derecho a su acceso al no interferir
con los intereses de la investigación.
El derecho de acceso del Titular de los datos personales bajo ningún término autoriza el
informe de datos pertenecientes a terceros aún si se vincularan con el interesado. La
información solicitada debe proveerse a través del medio más conveniente para el Titular de
los datos, ya sea electrónico, telefónico, por escrito u otro idóneo a tal fin. Su comunicación
debe ser clara, accesible, completa, exenta de codificaciones, con una descripción de los
términos técnicos utilizados y lenguaje comprensible por la población general.
ARTÍCULO 13.- Derecho de rectificación. El Titular de los datos tiene el derecho a obtener
del Responsable del tratamiento la rectificación de sus datos personales, cuando éstos
resulten ser inexactos, falsos, errados, incompletos o no se encuentren actualizados.
ARTÍCULO 14.- Derecho de oposición. En el caso de que la base legal del tratamiento de
datos se encuentre dentro de las excepciones al consentimiento, igualmente el titular puede
oponerse al tratamiento de sus datos o de una finalidad específica de éste. Asimismo cuando
el tratamiento de datos afecte sus derechos y libertades fundamentales, o el titular de los
datos hubiese fallecido -en este caso, la oposición deberá ser formulada por sus sucesores
universales-.
El responsable del tratamiento debe dejar de tratar los datos personales objeto de oposición,
salvo que existan motivos legítimos para el tratamiento que prevalezcan sobre los derechos
del titular de los datos, a definir por la Autoridad de aplicación a través de una evaluación del
motivo. El Titular tendrá derecho a que el tratamiento de datos personales se limite a su
almacenamiento durante el periodo que medie entre una solicitud de rectificación u oposición
hasta su resolución por el Responsable.
ARTÍCULO 15.- Derecho de supresión. El Titular de los datos tiene derecho a solicitar la
supresión de sus datos personales al Responsable del tratamiento. La supresión procede
cuando:
a. El Titular de los datos revoque el consentimiento en que se basa el tratamiento de
datos y éste no se ampare en otra base legal;
6
b. Los datos personales ya no sean necesarios en relación con los fines para los que
fueron recolectados;
c. El Titular de los datos haya ejercido su derecho de oposición conforme al artículo 28,
y no prevalezcan otros motivos legítimos para el tratamiento de sus datos;
d. Los datos personales hayan sido tratados ilícitamente;
e. Los datos personales deban suprimirse para el cumplimiento de una obligación legal
o por orden de autoridad competente;
f. Los datos son tratados para fines de publicidad, prospección comercial o
mercadotecnia.
El Responsable del tratamiento debe adoptar las medidas adecuadas para salvaguardar los
derechos del Titular de los datos; como mínimo, el derecho a obtener intervención humana
por parte del Responsable del tratamiento, a expresar su punto de vista y a impugnar la
decisión. El Responsable del tratamiento no podrá llevar a cabo tratamientos automatizados
o semiautomatizados de datos personales que tengan como efecto la discriminación en
detrimento de los Titulares de los datos, particularmente si se encuentran basados en alguna
7
de las categorías de datos contenidas en la definición de datos sensibles del artículo 2 de la
presente ley.
ARTÍCULO 18.- Ejercicio de los derechos. El ejercicio de cualquiera de los derechos del
Titular de los datos no es requisito previo, ni impide el ejercicio de otro. Los derechos previstos
en este capítulo son personales, intransferibles e irrenunciables y no pueden limitarse por
ningún acto o convención. Será nula de pleno derecho toda estipulación en contrario. El
Responsable del tratamiento debe responder y, en su caso, satisfacer los derechos del Titular
de los datos dentro de los diez días hábiles de haber sido intimado fehacientemente.
Vencido el plazo sin que se satisfaga el pedido, o si a juicio del Titular de los datos la respuesta
se estimara insuficiente, quedará expedito el trámite de protección de los datos personales
ante la Autoridad de aplicación o, a elección del Titular de los datos, podrá interponer la acción
de Habeas Data prevista en la presente ley. En caso de optar por la acción de Habeas Data,
o de haberla iniciado con anterioridad, no podrá iniciar el trámite de protección ante la
Autoridad de aplicación.
El ejercicio de los derechos previstos en esta ley en el caso de Titulares de los datos de
personas fallecidas les corresponde a sus sucesores universales.
El derecho de acceso solo puede ser ejercido en forma gratuita a intervalos superiores a tres
meses, salvo que se acredite la existencia de nuevas razones que justifiquen el pedido antes
del vencimiento del plazo. Si se ejerce en intervalos inferiores a dicho plazo, el Responsable
podrá cobrar un canon razonable en función de los costos administrativos afrontados para
facilitar la información al Titular de los datos.
8
Si se estimara un intento de ejercicio abusivo de los derechos enumerados en este Capítulo,
el Responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente
infundado o excesivo de la solicitud. Se considera como tal el que contraría los fines de la
presente ley, excede los límites impuestos por la buena fe o resulta manifiestamente
infundado o excesivo.
La información sobre datos personales también puede ser denegada por los responsables
del tratamiento de bases de datos públicas, cuando de tal modo se pudieran obstaculizar
actuaciones judiciales o administrativas en curso. La resolución que así lo disponga debe ser
fundada y notificada al titular de los datos. Dichas limitaciones y restricciones serán
reconocidas de manera expresa mediante una norma de rango legal o constitucional,
salvaguardando la integridad de los datos personales y restringiendo su uso estricto a los
fines que persiga dicha norma, con el propósito de brindar certeza suficiente a los Titulares
de los datos acerca de la naturaleza y alcances de la medida.
En cualquier caso, el responsable del tratamiento debe brindar acceso a los datos en cuestión
en la oportunidad en que el titular de los datos demuestre que son necesarios para ejercer su
derecho de defensa.
Podrán establecerse limitaciones específicas cuando exista una orden fundada, dictada por
autoridad judicial competente para la prevención, persecución, investigación, detención y
represión de las infracciones penales, o de las infracciones a las normas éticas en las
profesiones reguladas.
Cualquier norma de rango constitucional o legal que tenga como propósito limitar el derecho
a la protección de datos personales deberá contener, como mínimo, disposiciones relativas
a:
a. La finalidad del tratamiento;
b. Las categorías de datos personales de que se trate;
c. El alcance de las limitaciones establecidas;
d. Los plazos de conservación de los datos personales;
e. La determinación del responsable o responsables;
f. Los posibles riesgos para los derechos y libertades de los Titulares de los datos y
medidas implementadas para evitarlos;
g. El derecho de los Titulares de los datos a ser informados sobre la limitación, salvo que
resulte perjudicial o incompatible a los fines de ésta.
Las limitaciones previstas en este artículo deberán ser las necesarias, adecuadas y
proporcionales en una sociedad democrática, y deberán respetar los derechos y las libertades
fundamentales de los titulares de los datos.
9
CAPÍTULO 4: CONSENTIMIENTO
ARTÍCULO 20.- Consentimiento. Cuando la base legal para el tratamiento de datos sea el
consentimiento del Titular, se requiere que éste sea previo, libre, específico, informado e
inequívoco para una o varias finalidades determinadas, ya sea mediante una declaración o
una clara acción afirmativa.
Se entiende por:
a. Previo, cuando se solicita el consentimiento antes de la recolección de los datos;
b. Específico, que cuando el tratamiento de datos tenga varios fines, el Titular otorgue el
consentimiento para cada uno de ellos;
c. Informado, de modo que el Titular cuente con la información establecida en el artículo
12;
d. Inequívoco, de manera que no presente dudas sobre el alcance de la autorización
otorgada por el Titular.
El Responsable deberá ser capaz de demostrar que el Titular consintió el tratamiento de sus
datos personales.
ARTÍCULO 21.- Revocación del consentimiento. El Titular de los datos podrá revocar el
consentimiento en cualquier momento y sin necesidad de fundamentar la petición. La
revocatoria de la autorización no procederá cuando exista un deber legal o contractual para
continuar con el tratamiento de los datos. Dicha revocación no tiene efectos retroactivos.
10
b. Asistir y asesorar a las personas que lo requieran acerca de los alcances de la
presente ley y de los medios legales de que disponen para la defensa de sus
derechos;
c. Ejercer la supervisión, control y evaluación de las actividades efectuadas por el
Responsable y Encargado del tratamiento de datos personales; en el caso que para
tal fin se requiera el auxilio de la fuerza pública, podrá solicitar autorización judicial
para acceder a locales, equipos o programas de tratamiento de datos a fin de verificar
infracciones al cumplimiento de esta ley;
d. Dictar las normas y criterios orientadores que se deben observar en el desarrollo de
las actividades comprendidas por esta ley; específicamente, dictar normas
administrativas y de procedimiento relativas a las funciones a su cargo, y las normas
y procedimientos técnicos relativos al tratamiento de datos y condiciones de seguridad
de las bases de datos;
e. Atender los requerimientos y denuncias interpuestos en relación al tratamiento de
datos;
f. Controlar el cumplimiento de los requisitos y garantías que deben reunir los
tratamientos de datos de conformidad con la presente ley y las normas que dicte la
autoridad de control;
g. Solicitar información a los Responsables o Encargados de tratamiento, los que
deberán proporcionar los antecedentes, documentos, programas u otros elementos
relativos al tratamiento de datos que se le requieran; en estos casos, la Autoridad
deberá garantizar la seguridad y confidencialidad de la información y elementos
suministrados;
h. Dictar órdenes administrativas para garantizar el debido tratamiento de los datos
personales y derechos de los Titulares, e imponer las sanciones por violación de la
presente ley y de las reglamentaciones que se dicten en consecuencia;
i. Iniciar las actuaciones administrativas de oficio, a petición de parte o por solicitud de
otra autoridad o de organizaciones con interés legítimo;
j. Implementar mecanismos voluntarios de solución de controversias para que los
Titulares y los Responsables o Encargados lleguen a acuerdos que garanticen el
debido tratamiento de los datos personales y los derechos de los Titulares;
k. Constituirse en querellante en las acciones penales que se promovieran por
violaciones a la presente ley;
l. Interponer acciones colectivas de Habeas Data conforme a lo establecido en la
presente ley;
m. Aprobar las cláusulas contractuales modelo para la transferencia internacional de
datos;
n. Homologar los mecanismos de autorregulación vinculantes y supervisar su
cumplimiento;
o. Asistir, asesorar y capacitar a las personas, entidades públicas y privadas acerca de
los alcances de la presente ley;
p. Promover la cultura de la privacidad, el debido tratamiento de datos y la
autodeterminación informativa, así como una gestión responsable, ética y
transparente del procesamiento automatizado;
q. Desarrollar investigación aplicada y conocimiento sobre la protección de datos
personales;
11
r. Divulgar los derechos de los Titulares en relación con el tratamiento de datos
personales e implementar campañas pedagógicas para capacitar e informar a los
ciudadanos, Responsables y Encargados acerca del ejercicio y garantía del derecho
fundamental a la protección de datos;
s. Promover la capacitación y formación profesional en materia de protección de datos
personales;
t. Formular el presupuesto anual de gastos y cálculo de recursos, que la Agencia elevará
por intermedio del Poder Ejecutivo nacional para su aprobación legislativa mediante
la Ley Nacional de Presupuesto del ejercicio correspondiente.
u. Publicar un informe anual que dé cuenta sobre la marcha de la Agencia.
v. Controlar los Mecanismos de protección de datos personales llevados a cabo por los
Responsables de tratamiento.
w. Ejecutar otras facultades que le sean asignadas por la ley o su reglamentación.
ARTÍCULO 25.- Control. La Autoridad de aplicación será objeto de control por parte de la
Sindicatura General de la Nación y de la Auditoría General de la Nación. Es obligación
permanente e inexcusable de la Autoridad de aplicación dar a sus actos publicidad y
transparencia en materia de recursos, gastos, nombramientos de personal y contrataciones.
ARTÍCULO 27.- Trámite de protección de los datos personales. El titular de los datos o
su representante legal puede iniciar un trámite de protección de los datos personales
presentando ante la Autoridad de aplicación una denuncia, por escrito y mediante cualquier
medio habilitado por la autoridad de control, expresando con claridad el contenido de su
requerimiento y de los preceptos de esta ley que considere vulnerados.
La presentación debe realizarse dentro de los treinta días hábiles siguientes a la fecha en que
se comunique la respuesta al titular de los datos por parte del responsable del tratamiento de
acuerdo a lo previsto en la citada norma, o en cualquier momento si el plazo allí establecido
hubiere vencido sin respuesta del responsable del tratamiento.
La Autoridad de aplicación dará traslado al responsable del tratamiento, para que en el plazo
de quince días hábiles, emita respuesta, ofrezca las pruebas que estime pertinentes y
manifieste por escrito lo que a su derecho convenga.
La Autoridad de aplicación admitirá las pruebas que considere procedentes. Asimismo, podrá
solicitar del responsable del tratamiento las demás pruebas que considere necesarias. La
producción de las pruebas deberá realizarse en un plazo máximo de diez días hábiles.
Concluida la recepción de pruebas y producidas estas, la Autoridad de aplicación notificará
12
al responsable del tratamiento el derecho que le asiste para que, de considerarlo necesario,
presente sus alegatos dentro de los cinco días hábiles siguientes a su notificación.
ARTÍCULO 31.- Infracciones leves, graves y gravísimas. Las infracciones a esta ley se
califican, atendida su gravedad, en leves, graves y gravísimas.
13
5. No dar cumplimiento a las instrucciones impartidas por la Autoridad de
aplicación que no estén sancionadas específicamente como infracción grave
o gravísima;
6. No efectuar el bloqueo temporal de los datos personales del titular cuando éste
lo haya solicitado fundadamente o denegar la solicitud sin justa causa;
7. Impedir el ejercicio legítimo del derecho a la portabilidad de los datos
personales del titular;
8. Cometer cualquier otra infracción a los principios, deberes y obligaciones
establecidas en esta ley que no sea calificada como una infracción grave o
gravísima.
14
2. Destinar maliciosamente los datos personales a una finalidad distinta de la
consentida por el titular o prevista en la ley que autoriza su tratamiento;
3. Comunicar, transmitir o ceder a terceros, a sabiendas, información no veraz,
incompleta, inexacta o desactualizada del titular de datos;
4. Vulnerar, a sabiendas, el deber de secreto o confidencialidad sobre los datos
personales sensibles y datos personales relativos a la comisión y sanción de
infracciones penales, civiles, administrativas y disciplinarias;
5. Comunicar o ceder a terceros, a sabiendas, datos personales sensibles sin el
consentimiento del titular;
6. Tratar datos personales sensibles con manifiesta falta de diligencia o cuidado;
7. No comunicar oportunamente, habiendo estado en conocimiento de ello y
disponiendo de los medios para hacerlo, la vulneración de las medidas de
seguridad que puedan afectar la confidencialidad, disponibilidad o integridad
de los datos personales;
8. Actuar con falta de diligencia o cuidado en la protección de los datos
personales que conciernen a los niños, niñas y adolescentes.
En todos los casos la Autoridad de aplicación dará a publicidad la resolución en su sitio web
y, si lo considere pertinente, en el Boletín Oficial y ordenará su publicación en el sitio web del
Responsable, a su costa.
El valor inicial de la unidad móvil se establece en diez mil (10.000) pesos, y será actualizado
anualmente utilizando la variación del índice de precios al consumidor (IPC) que publica el
Instituto Nacional de Estadística y Censos (INDEC) o el indicador oficial que lo reemplace en
el futuro.
La Autoridad de aplicación realizará su actualización el último día hábil de cada año, entrando
en vigencia desde el momento de su publicación en el Boletín Oficial y en su página web.
15
a. Las sanciones leves serán sancionadas con apercibimiento y/o multa de hasta el
equivalente a mil (1.000) Salarios Mínimos Vitales y Móviles vigentes al momento de
la imposición de la sanción;
b. Las sanciones graves serán sancionadas con multa de mil uno (1.001) a cinco mil
(5000) Salarios Mínimos Vitales y Móviles vigentes al momento de la imposición de la
sanción y/o suspensión de las actividades relacionadas con el tratamiento de datos
hasta por un término de seis meses. En el acto de suspensión se indicarán las
medidas correctivas que deberán adoptarse;
c. Las sanciones gravísimas serán sancionadas con multa de cinco mil uno (5.001) a
dieciocho mil (18.000) Salarios Mínimos Vitales y Móviles vigentes al momento de la
imposición de la sanción y/o cierre inmediato y definitivo de la operación que involucre
el tratamiento de datos sensibles. En todos los casos la autoridad de control dará a
publicidad la resolución en su sitio web, y ordenará su publicación en el sitio web del
responsable, a su costa.
ARTÍCULO 35.- Incumplimiento por parte del sector público. En caso de que la Autoridad
de aplicación advierta un presunto incumplimiento de las disposiciones de la presente ley por
parte de un organismo público, podrá imponer medidas correctivas a fin de subsanar y mitigar
los efectos producidos por el incumplimiento a la presente ley. Entre ellas, la obligación de
documentar los procedimientos establecidos para el tratamiento de los datos personales,
disponer planes de responsabilidad y cumplimiento, capacitación especializada y formación
profesional obligatoria en la materia para el personal de los organismos, disponer la
implementación de mejoras de infraestructura y medidas de seguridad, entre otras
disposiciones.
Las infracciones a la ley por parte de organismos públicos serán pasibles de las sanciones
previstas en el artículo 32 por parte de la Autoridad de aplicación. Además, respecto de los
funcionarios públicos, se puede proceder a la aplicación de las sanciones disciplinarias y
penales establecidas en los artículos 117 bis y 157 bis del Código Penal de la Nación
Argentina. Por último, los organismos públicos responderán civilmente por los daños
causados según lo establecido en el artículo 1724 del Código Civil y Comercial de la Nación
Argentina.
16
físicas o jurídicas que cumplan con un estándar de protección efectiva, resguardando la
Anonimización, la integridad y la disponibilidad de los datos personales. La evaluación de la
aplicación de dicho estándar queda sujeta a la Autoridad de aplicación.
ARTÍCULO 37.- Deducciones impositivas. Incorpórese, con aplicación a partir del período
fiscal 2023 y siguientes, a la Ley de Impuesto a las Ganancias, texto ordenado en 2019 y sus
modificaciones:
ARTÍCULO 38.- Empresas emergentes. Las empresas emergentes (“startups”) que deseen
incorporar Mecanismos de protección de datos personales tienen el derecho de recibir ayuda
técnica e integral por parte de la Autoridad de aplicación para la correcta implementación de
estos tratamientos.
ARTÍCULO 39.- Procedencia. La acción de Habeas Data procede para tutelar los derechos
que resulten restringidos, alterados, lesionados o amenazados por un tratamiento de datos
personales contrario a la presente ley por parte de Responsables o Encargados de
tratamiento de datos personales.
ARTÍCULO 40.- Legitimación activa y pasiva. La acción de Habeas Data podrá ser ejercida
por el Titular de los datos afectado, sus tutores, curadores o por el titular de la responsabilidad
parental o tutela en caso de niñas, niños o adolescentes. En el caso de las personas humanas
fallecidas, la acción podrá ser ejercida por sus sucesores universales.
17
ARTÍCULO 41.- Competencia. Será competente para entender en esta acción el juez del
domicilio del actor o del demandado, a elección del actor.
ARTÍCULO 42.- Orden público. Las normas de la presente ley son de orden público y de
aplicación en lo pertinente en todo el territorio nacional. Se invita a las provincias y a la Ciudad
Autónoma de Buenos Aires a adherir a las disposiciones de esta ley que fueren de aplicación
exclusiva en jurisdicción nacional.
ARTÍCULO 43.- Derogación. Cumplido el plazo previsto en esta ley, quedarán derogadas
las Leyes Nros. 25.326 y 26.343.
ARTÍCULO 44. Vigencia.- Las disposiciones de la presente ley entrarán en vigencia a partir
de su publicación en el Boletín Oficial.
Los Responsables y Encargados del tratamiento contarán con el plazo máximo de un año
desde la publicación de la presente ley en el Boletín Oficial, para adaptarse a las obligaciones
contenidas en ella.
18
FUNDAMENTOS
Señor presidente:
En el año 2000 se sancionó la Ley N° 25.326, norma de orden público, que regula los
principios generales aplicables en la materia de protección de datos personales y el
procedimiento de la acción de hábeas data.
19
protección capaces de compatibilizar la economía digital, la innovación tecnológica y la
protección de derechos fundamentales, en el marco de un proyecto de desarrollo inclusivo.
En nuestra región, en los últimos años, varios países han transitado procesos de actualización
normativa en materia de Protección de Datos Personales, como es el caso de Brasil, Ecuador
y Cuba, al tiempo que otros se encuentran en pleno proceso para su actualización, como es
el caso de Chile, Paraguay y Costa Rica.
Habiendo transcurrido más de veinte años desde la sanción de la Ley N° 25.326, surge la
necesidad de actualizar la normativa vigente para garantizar el derecho a la protección de los
datos personales y la privacidad, siendo este un derecho fundamental de los individuos.
Por todas las razones expuestas, solicitamos al resto de los/as diputados/as que acompañen
este proyecto de ley.
Firmantes:
ABALO, Martina
BERISSO, Olivia
CHIAROMONTE PASSAGGINO, Agustina
DOMINGO CAMPOS, Valentín
DURAN, Pablo
GÓMEZ BELCASTRO, Justo
LORENZEN COSA, Lisandro
LOZANO, Aaron
MARTÍN, Máximo
MORAN, Trinidad
MOSCONI, Selene
PALIOFF NOSAL, Tiago
PICCIOLI, Camila
PICCO, Gina
PINEDA, Bruno
POLACK, Candela
PRIOLETTA, Chiara
REYNOSO, Pilar
ROMANO, Nadia
ROMERO OMBRONI, Ludovico
SANCHEZ, Gabriela
SÁNCHEZ LORIA, Gonzalo
SORIA, Emiliano José
VITALE, Sofía
WETTSTEIN, Catalina
ZAPATA, Baltazar
20