Nuevas resoluciones de la Agencia de Acceso a la Información Pública (AAIP) vinculadas con el régimen de sanciones por la violación de datos personales

Toda ley que se precie de ser efectiva de ser acatada en el cumplimiento de las obligaciones que impone debe contar con un régimen de sanciones que intimide a cualquier potencial infractor por lo grave que resultan las sanciones en juego así como por la inmediatez en la aplicación de las mismas. 

La Ley de Protección de Datos Personales de Argentina (Ley 25.326) no cumple con dichos recaudos puesto que por un lado el monto máximo para las multas previsto alcanza los $100.000 (casi 300 dólares) y no es actualizable, y por otro, la revisión judicial de las sanciones que aplique la AAIP puede llegar a tardar más de doce años en virtud del plazo de duración del único antecedente judicial firme existente de ratificación del criterio sancionatorio (caso Open Discovery de abril 2022 del fuero Contencioso Administrativo Federal). 

El marco legal sancionatorio establecido solo puede ser modificado por otra ley, primordialmente en lo que incumbe a los montos de las sanciones. Sin embargo la AAIP a través de la Resolución 240/2022 (publicada en el B.0. del 5 de diciembre de 2022) ha establecido un nuevo régimen de clasificación de infracciones y fija nuevos criterios de graduación de las sanciones para aquellas conductas violatorias tanto de la Ley 25.326 como de la Ley 26.951 de Registro No Llame. 

A los efectos prácticos esta norma: i) mantiene los criterios de clasificación de las infracciones en leves, graves y muy graves;  ii) atenúa la sanción por incumplimiento de las obligaciones de registración ante el Registro Nacional de  Bases de Datos; iii) agrava la sanción para aquellos que recolecten o le den tratamiento a datos sensibles sin consentimiento del titular iv) las sanciones consideradas como graves tendrán una sanción mínima de $80.001 y las muy graves tendrán un piso de $90.001 v) mantiene el monto máximo de sanción aplicable en $100.000. 

Sin embargo el 6 de diciembre se publicó la Resolución 244/2022 que establece el criterio a utilizar cuando una conducta sancionable encuadre en varias infracciones que motiven varias sanciones pecuniarias, y estableciéndose los siguientes topes máximos para las infracciones leves de $3.000.000, para las infracciones graves, $10.000.000 y para las muy graves, $15.000.0000.  Es probable que el criterio empleado para reglamentar la función sancionatoria de la autoridad de aplicación más allá del criterio fijado por la ley  genere planteos de inconstitucionalidad por parte de los sancionados, demorando aún más los ya interminables procesos judiciales de revisión de las sanciones aplicadas por la autoridad de aplicación por violación de datos personales. 

Desde Crearis-Latam propiciamos la sanción de una ley de protección de datos personales que prevea un régimen de sanciones claro, eficiente y rápido en su aplicación funcionando como conminación para cualquier potencial infractor del régimen de protección de los datos personales. 

Se acompañan ambas resoluciones https://www.boletinoficial.gob.ar/detalleAviso/primera/277165/20221205?busqueda=1 https://www.boletinoficial.gob.ar/detalleAviso/primera/277300/20221206

Comentarios
* No se publicará la dirección de correo electrónico en el sitio web.