Nueva Ley de Protección de Datos
Modificación Ley 19.628
Proyecto en tramitación
¿Por qué se necesita una nueva ley?
La Ley 19.628, vigente desde 1999, fue diseñada para un mundo anterior a las redes sociales, los teléfonos inteligentes y el comercio electrónico masivo. Sus principales limitaciones son:
- No contempla las nuevas tecnologías de tratamiento de datos
- Los derechos de los titulares son limitados (sin derecho al olvido, sin portabilidad)
- No existe un organismo regulador dedicado con capacidad sancionatoria
- Las sanciones son bajas y poco efectivas
- No regula la transferencia internacional de datos
¿Qué cambia con el nuevo texto?
Nuevos derechos para los ciudadanos
El proyecto introduce derechos modernos inspirados en el GDPR europeo:
- Derecho al olvido (supresión): exigir la eliminación de datos cuando ya no son necesarios
- Portabilidad de datos: recibir los propios datos en un formato transferible
- Oposición: oponerse a ciertos tipos de tratamiento, incluyendo la elaboración de perfiles
- Explicación de decisiones automatizadas: conocer la lógica de decisiones que te afectan tomadas por algoritmos
Nuevas bases legales para el tratamiento
El proyecto establece bases legales claras para tratar datos, más allá del consentimiento:
- Consentimiento libre, específico e informado
- Ejecución de contrato con el titular
- Cumplimiento de obligación legal
- Intereses vitales del titular
- Interés legítimo del responsable (con equilibrio de intereses)
- Misión de interés público
Categorías especiales de datos
Datos de salud, biométricos, genéticos, de origen étnico, opiniones políticas, creencias religiosas y orientación sexual requieren protección reforzada y bases legales más estrictas.
Obligaciones para las empresas
| Obligación | ¿Qué implica? |
|---|---|
| Registro de actividades | Documentar qué datos tratas, para qué, base legal, plazos de conservación |
| Consentimiento explícito | No más casillas pre-marcadas; acción afirmativa del usuario |
| Notificación de brechas | Informar a la autoridad y a los afectados ante brechas que generen riesgo |
| Evaluación de impacto (EIPD) | Para tratamientos de alto riesgo, evaluar impacto en privacidad antes de implementar |
| Delegado de Protección de Datos (DPD) | Designar un responsable interno en ciertos tipos de organizaciones |
| Contratos con encargados | Contratos formales con proveedores que procesen datos por cuenta tuya |
El nuevo organismo regulador
El proyecto crea la Agencia de Protección de Datos Personales, un organismo independiente con facultades de fiscalización, sanción e interpretación de la ley. Esto es un cambio radical respecto a la situación actual donde no existe un regulador específico con poder sancionatorio.
¿Qué deben hacer las empresas ahora?
Sin esperar a que la ley entre en vigor, recomendamos:
- Auditar los datos personales que actualmente manejas (mapeo de datos)
- Revisar y actualizar los formularios de recolección de datos
- Limpiar bases de datos con datos innecesarios o de finalidades ya cumplidas
- Revisar contratos con proveedores que procesen datos de tus clientes
- Capacitar al equipo en conceptos básicos de privacidad
- Actualizar la política de privacidad del sitio web