Leyes.
El artículo 43 de la Constitución Federal, párrafo tercero, dispone, en su parte pertinente, que cualquier persona podrá interponer una acción para acceder a los datos personales que le conciernan y a la información sobre la finalidad para la cual se conservan, incluidos en registros o bancos de datos públicos o privados, así como solicitar la supresión, corrección, confidencialidad o actualización de los datos cuando sean inexactos o discriminatorios.
Estas disposiciones no crean un derecho constitucional expreso a la privacidad o a la protección de datos, pero sí crean el marco básico para la protección de ese derecho, así como la base para la legislación, posteriormente promulgada, que regula los detalles de esa protección.
La Ley 25.326, la Ley de Protección de Datos Personales (LPDP), incluye las normas básicas sobre datos personales. Se ajusta a los estándares internacionales y la Comisión Europea ha considerado que otorga una protección adecuada. El Decreto 1558 de 2001 incluye las reglamentaciones emitidas en virtud de la LPDP. Los organismos pertinentes han emitido reglamentaciones adicionales.
En noviembre de 2022, Argentina ratificó la Decisión 108 del Consejo de Europa, con sus modificaciones, mediante la Ley 27.699.
Definición de datos personales
Los datos personales se definen como cualquier tipo de información referida a personas físicas o jurídicas, determinadas o que puedan determinarse.
Definición de datos personales sensibles
Los datos sensibles incluyen datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas, filosóficas o morales, la afiliación sindical y la información relativa a la salud y a las actividades sexuales.
Autoridad nacional de protección de datos.
Según el Decreto 746 de 2017, es la Agencia de Acceso a la Información Pública.
Registro.
Todos los archivos, registros, bases de datos y bancos de datos, públicos o privados, que tengan como finalidad el suministro de información, deben inscribirse en el Registro organizado por la autoridad nacional de protección de datos. Este registro exige la siguiente información, que deberá proporcionarse al registro:
- El nombre y domicilio del responsable del archivo, registro, base de datos o banco de datos
- Las características y finalidad del archivo, registro, base de datos o banco de datos
- La naturaleza de los datos personales incluidos o que deban incluirse en el archivo, registro, base de datos o banco de datos
- La forma en que se recopilan y actualizan los datos
- El destino de los datos y la identidad de las personas físicas o jurídicas a quienes puedan ser comunicados dichos datos
- La forma en que se interrelaciona la información registrada
- Los medios para garantizar la seguridad de los datos, indicando la categoría de personas con acceso al tratamiento de los datos
- El plazo durante el cual se conservarán los datos
- La forma y las condiciones en que las personas interesadas podrán acceder a los datos referentes a ellas, y los procedimientos a seguir para la rectificación y actualización de los datos registrados
Responsable de protección de datos.
Por lo general, no existe un requisito específico para designar un delegado de protección de datos. En determinadas circunstancias, cuando se aplican normas de seguridad especiales, puede ser necesario designar un delegado responsable de la seguridad de los datos.
Recolección y procesamiento.
Los datos personales recopilados para su tratamiento deben ser veraces, adecuados, pertinentes y no excesivos en relación con el alcance y la finalidad para los que se obtuvieron. La recopilación de datos no se realizará por medios desleales, fraudulentos ni de cualquier otra forma ilegal.
Los datos personales no podrán utilizarse para fines distintos o incompatibles con aquellos para los que se recopilaron inicialmente. Los datos personales deberán ser exactos y actualizarse debidamente cuando sea necesario. Los datos personales total o parcialmente inexactos, o aquellos que estén incompletos, serán suprimidos y sustituidos, o completados cuando corresponda, por el responsable del archivo o base de datos, cuando tenga conocimiento de la inexactitud o incompleción de la información.
Se requiere el consentimiento del interesado, que deberá ser libre, expreso e informado y por escrito u otra forma equivalente, salvo que:
- Los datos personales se obtuvieron de fuentes abiertas al acceso público sin restricciones.
- Los datos personales se obtuvieron en el marco del cumplimiento de funciones estatales o en cumplimiento de una obligación legal
- Los datos personales consisten en listas cuyos datos se limitan al nombre, número de documento nacional de identidad, identificación fiscal o de seguridad social, ocupación, fecha de nacimiento y domicilio.
- Los datos personales se derivan de una relación contractual, científica o profesional y son necesarios para dicha relación
- Los datos personales resultan de operaciones realizadas por las entidades financieras con sus clientes o consisten en la información que dichas entidades financieras reciben de sus clientes de conformidad con la Ley de Entidades Financieras.
Cuando se solicite la autorización para la recogida y el tratamiento de datos, se informará al interesado sobre la finalidad del tratamiento, así como sobre las personas o grupos de personas que tendrán acceso a la información tratada. Asimismo, se identificará el archivo, registro o banco de datos donde se conservará la información, junto con su responsable. Se informará al interesado sobre el carácter voluntario u obligatorio de las respuestas solicitadas, así como sobre las consecuencias de proporcionar los datos personales, de negarse a proporcionarlos o de proporcionar información falsa. También se le informará sobre su derecho de acceso, rectificación y supresión de los datos pertinentes.
Se aplican normas especiales a los datos sensibles. Nadie podrá ser obligado a revelar datos sensibles. Los datos sensibles solo podrán recopilarse y procesarse cuando sea necesario y con el consentimiento expreso de la ley, o con fines estadísticos o científicos, siempre que no se pueda identificar a la persona a la que se refieren.
Los datos relativos a antecedentes penales sólo podrán ser tratados por las autoridades públicas competentes.
Transferencias y divulgaciones a terceros
Los datos personales solo podrán transferirse para fines legítimos del cedente y del cesionario, y generalmente con el consentimiento previo del titular de los datos, quien deberá ser informado de la finalidad de la transferencia y de la identidad del cesionario. Este consentimiento podrá revocarse.
No se requiere el consentimiento para la transferencia de datos cuya recopilación no fue necesaria. Tampoco es necesario para la transferencia de datos entre organismos estatales, para el desempeño de sus respectivas actividades, o en relación con datos de salud, si la transferencia es necesaria por razones de salud pública o de emergencia, o para la realización de estudios epidemiológicos, siempre que se reserve la identidad de las personas a las que se refieren dichos datos mediante un mecanismo de disociación adecuado. Asimismo, el consentimiento no es necesario, en general, para los datos personales, si se utiliza un mecanismo de disociación adecuado que impida la identificación de los interesados.
Transferencias transfronterizas
Se prohíbe la transferencia transfronteriza de datos personales a países u organizaciones internacionales o supranacionales que no brinden protección adecuada a dichos datos, a menos que:
- El interesado consiente expresamente dicha cesión.
- La transferencia es necesaria para la cooperación judicial internacional
- La transferencia se realiza como parte de ciertos intercambios de datos médicos.
- Transferencias bancarias o bursátiles, en el contexto de transacciones bancarias o bursátiles
- La transferencia se realiza según lo previsto en el contexto de los tratados internacionales de los que Argentina es parte.
- La transferencia tiene como propósito la cooperación internacional entre agencias de inteligencia involucradas en el combate al crimen organizado, terrorismo y narcotráfico.
Seguridad.
El responsable de un archivo de datos, o quien lo utilice, deberá adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales, a fin de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y para detectar el uso indebido de la información. Queda prohibido el registro de datos personales en archivos, registros o bancos de datos que no cumplan con los requisitos legales de integridad y seguridad.
Notificación de infracciones
La falta de notificación de una violación de la seguridad de los datos no constituye en sí misma una violación del régimen de protección de datos, pero puede repercutir en las consecuencias de la violación de la seguridad, especialmente si dicha falta de notificación da lugar a otras violaciones de seguridad o daños. El responsable de los datos debe mantener registros de las violaciones de seguridad, los cuales podrán ser solicitados por la autoridad de protección de datos.
La notificación de violaciones de datos puede ser obligatoria si la autoridad de protección de datos solicita específicamente información sobre violaciones de datos.
Cumplimiento.
Existen varios mecanismos de cumplimiento:
- La autoridad de protección de datos podrá hacer cumplir las disposiciones legales y reglamentarias en materia de protección de datos, imponiendo multas en caso de infracción.
- La violación de las normas de protección de datos puede constituir un delito sancionado con penas de prisión impuestas por los tribunales penales.
- Podrán interponerse acciones judiciales para acceder a los datos personales y solicitar su corrección, supresión, confidencialidad o actualización.
El marketing electrónico.
El marketing electrónico, en la medida en que pueda implicar el procesamiento de datos personales, está sujeto a las reglas generales aplicables a dichos datos, como el consentimiento válido del titular de los datos, avisos de privacidad adecuados en cuanto al uso y la divulgación de datos personales y los derechos del titular de los datos.
Privacidad en línea.
Aunque no existen regulaciones detalladas sobre privacidad en línea, las normas generales sobre privacidad establecidas por el Código Civil y Comercial son aplicables en este contexto. Las molestias derivadas de comunicaciones no solicitadas pueden ser objeto de acciones legales. La recopilación no autorizada de datos personales estará sujeta a las normas generales aplicables a dichos datos.