La Ley de Protección de Datos Personales de Argentina (Ley 25.326 de Protección de Datos Personales) es la piedra angular de la regulación de privacidad de datos en el país, promulgada en 2000 y significativamente influenciada por las directivas de la Unión Europea. Su objetivo primordial es garantizar la protección integral de la información personal registrada en archivos, registros o bases de datos, asegurando el derecho de las personas a la privacidad y a la autodeterminación informativa. La ley se aplica a todas las entidades públicas y privadas que procesan datos personales dentro del territorio argentino o por responsables no ubicados en el país pero sujetos a la ley argentina a través de tratados internacionales o utilizando medios ubicados en Argentina.
La ley establece principios fundamentales para el procesamiento de datos, entre ellos la licitud, el consentimiento, la limitación de la finalidad, la calidad de los datos, la seguridad, la confidencialidad y los derechos de los interesados (acceso, rectificación, actualización y supresión). Una característica fundamental es el requisito de “consentimiento informado”, que debe ser expreso, escrito o por medios equivalentes, obtenido antes de la recopilación de datos y puede ser revocado. La ley también crea el Registro Público de Bases de Datos dependiente de la Agencia de Acceso a la Información Pública (AAIP), donde deben registrarse todas las bases de datos.
El incumplimiento de la Ley 25.326 desencadena un sólido régimen sancionador administrado por la AAIP. La ley establece un sistema gradual de sanciones diseñado para ser proporcional a la gravedad de la infracción. Estos incluyen:
<ol><li><strong>Advertencias:</strong> Para infracciones iniciales o menores.</li>
<li><strong>Multas:</strong> Van desde ARS $1.000 hasta ARS $100.000, ajustando su monto en función de la naturaleza de los derechos afectados, el volumen de datos procesados, los beneficios obtenidos por el infractor, el grado de dolo, la reincidencia y la capacidad económica del infractor.</li>
<li><strong>Suspensión:</strong> Cierre temporal de la base de datos, registro, sistema o archivo por hasta un año.</li>
<li><strong>Cierre Definitivo y Supresión de Datos:</strong> La sanción administrativa más severa, aplicada por infracciones graves, reiteradas o sistémicas.</li>
</ol>El procedimiento se inicia por denuncia o de oficio por la AAIP. Luego de una investigación, la agencia emite una resolución que puede imponer sanciones y ordenar medidas correctivas, como cesar el procesamiento ilícito, publicar la sanción o implementar protocolos de seguridad específicos. Las decisiones pueden ser recurridas administrativamente y posteriormente impugnadas ante los tribunales.
Las tendencias recientes en materia de aplicación de la ley muestran una mayor actividad y multas más altas por parte de la AAIP, particularmente tras el énfasis global en la privacidad de los datos. Casos notables han involucrado a empresas de telecomunicaciones, instituciones financieras y minoristas por fallas en las medidas de seguridad que llevaron a violaciones de datos, transferencias ilegales de datos e incumplimiento de las solicitudes de acceso de los interesados.
En conclusión, la Ley de Protección de Datos Personales de Argentina proporciona un marco legal integral para la privacidad. Su mecanismo de aplicación, con sanciones de varios niveles que culminan en multas sustanciales y cierres operativos, subraya los riesgos legales y financieros del incumplimiento. Las organizaciones que operan en Argentina deben priorizar una gobernanza sólida de los datos, una gestión del consentimiento explícito, protocolos de seguridad estrictos y el respeto de los derechos de los interesados para mitigar estos riesgos y alinearse con las expectativas regulatorias en evolución.