PROYECTO DE TP


Expediente 0501-D-2019
Sumario: RESPONSABILIDAD DE INFORMAR ANTE VULNERACION DE SEGURIDAD DE BASES DE DATOS PERSONALES. REGIMEN.
Fecha: 12/03/2019
Publicado en: Trámite Parlamentario N° 6
Proyecto
El Senado y Cámara de Diputados...


RESPONSABILIDAD DE INFORMAR ANTE VULNERACIÓN DE SEGURIDAD DE BASES DE DATOS PERSONALES
Artículo 1°.- Objeto. La presente ley tiene por objeto establecer la responsabilidad de informar a los titulares de datos personales, ante casos de vulneración en la seguridad en infraestructuras de soporte de bases de datos personales.
Artículo 2°.- Definiciones. A los efectos de la presente ley, se entiende por:
a. Datos personales: información de cualquier tipo referida a personas físicas o determinadas o determinables, inclusive los datos biométricos y los datos de hábito. Se entiende por determinable la persona que pueda ser identificada, directa o indirectamente, mediante algún identificador o por uno o varios elementos característicos de la identidad física, fisiológica, genética (datos genéticos), psíquica, económica, cultural o social de dicha persona. No será considerada persona determinable cuando, para lograr su identificación, se requiera la aplicación de medidas o plazos desproporcionados o inviables. Los datos personales pueden, a su vez, ser datos sensibles.
b. Datos personales sensibles: aquellos que afectan la esfera íntima de su titular con potencialidad de originar una discriminación ilícita o arbitraria, en particular, los que revelan origen racial o étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, participación o afiliación en una organización sindical, información referente a la salud o preferencia sexual.
c. Datos personales de hábito: aquellos que hacen al hábito de una persona, como ser horarios de entrada y salida de su hogar y oficina, recorridos habituales con su vehículo o transporte público, etc.
d. Vulneración de datos: toda violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público.
e. Responsable del tratamiento: persona humana o jurídica, pública o privada, titular de la base de datos, que decide sobre el tratamiento de datos, sus finalidades y medios.
f. Base de datos: conjunto organizado de datos personales que sean objeto de tratamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso. Indistintamente, se la puede denominar también archivo, registro, fichero o banco de datos.
Artículo 3°.- Autoridad de Aplicación. El Poder Ejecutivo Nacional determinará la Autoridad de Aplicación de la presente ley.
Artículo 4°.- Procedimiento. Ante una vulneración en la seguridad de la infraestructura que soporta una base de datos, el responsable del tratamiento debe informar a los titulares de los datos y a la Autoridad de Aplicación, en un plazo no mayor de quince (15) días, en un lenguaje claro y sencillo, según los procedimientos impuestos por la Autoridad de Aplicación, por un medio fehaciente.
Artículo 5°.- Notificación. La notificación ante una vulneración en la seguridad debe contener, al menos, la siguiente información:
a. La naturaleza del incidente;
b. La fecha en que se produjo el incidente, con exactitud, si fuera posible, o aproximada;
c. Los datos personales comprometidos, ya sean identificatorios, sensibles o de hábito,
d. Las acciones correctivas realizadas de forma inmediata;
e. Las recomendaciones al titular de los datos acerca de las medidas que éste pueda adoptar para proteger sus intereses;
f. Los medios a disposición del titular de los datos para obtener mayor información al respecto.
g. Las acciones correctivas y preventivas que se adoptarán.
Artículo 6°.- Sanciones. Ante incumplimiento con lo dispuesto en la presente ley, se aplicarán las siguientes sanciones:
a. Apercibimiento;
b. Suspensión;
c. Multa del veinticinco por ciento (25%) al ciento cincuenta por ciento (150%) del valor mensual del Salario Mínimo, Vital y Móvil vigente al momento de la constatación de la infracción, por cada dato personal, sensible o de hábito vulnerado.
La reglamentación determinará las condiciones y procedimientos para la aplicación de las sanciones previstas, las que deberán graduarse en relación a la gravedad y extensión de la violación y de los perjuicios derivados de la infracción.
Artículo 7°.- Reglamentación. La presente ley será reglamentada a los noventa (90) días luego de su publicación en el Boletín Oficial.
Artículo 8°.- Adhesión. Se invita a las Provincias y a la Ciudad Autónoma de Buenos Aires a adherir a las disposiciones de la presente ley.
Artículo 9°.- Comuníquese al Poder Ejecutivo Nacional.

FUNDAMENTOS

Proyecto
Señor presidente:


Una violación de los datos personales puede causar, si no se toman medidas de manera rápida y adecuada, pérdidas económicas sustanciales y perjuicios sociales para el titular de los datos personales afectado, incluida la usurpación de la identidad.
Por consiguiente, tan pronto como el responsable de tratamiento de datos se percate de que se ha vulnerado de la seguridad de su infraestructura, debe informar a los titulares cuyos datos personales e intimidad puedan verse afectados negativamente por dichas violaciones quienes deberán recibir notificación inmediata para que puedan adoptar las precauciones necesarias.
Se debe considerar que una violación afecta negativamente a los datos y la intimidad del titular cuando conlleva, por ejemplo, fraude o usurpación de identidad, daños materiales, humillación grave o daño para la reputación.
La notificación debe incluir información sobre las medidas adoptadas por el responsable del tratamiento para reparar la vulneración, así como recomendaciones para el titular afectado.
Por los motivos expuestos, solicito a mis pares acompañen el presente proyecto de ley.
Proyecto
Firmantes
Firmante Distrito Bloque
WECHSLER, MARCELO GERMAN CIUDAD de BUENOS AIRES PRO
Giro a comisiones en Diputados
Comisión
ASUNTOS CONSTITUCIONALES (Primera Competencia)
Trámite en comisión (Cámara de Diputados)
Fecha Movimiento Resultado
28/05/2019 INICIACIÓN DE ESTUDIO Aprobado sin modificaciones con dictamen de mayoría y dictamen de minoría