CAMBIO DE ROLES 2022

"PROTECCIÓN DE DATOS PERSONALES"

UNIVERSIDAD TORCUATO DI TELLA

1
ANTEPROYECTO DE LEY

CAPÍTULO 1- DISPOSICIONES GENERALES

ARTÍCULO 1°. - OBJETO. La presente ley tiene por objeto la protección integral de
los datos personales mediante el establecimiento de nuevas normas y estándares
técnicos que garanticen el pleno ejercicio y el respeto de los derechos de sus
titulares, conforme a lo establecido en el artículo 43, párrafo tercero, de la
Constitución Nacional y los Tratados en los que la República Argentina sea parte.

ARTÍCULO 2°. - DEFINICIONES. A los fines de la presente ley se entiende por:

a) Autoridad de control: al órgano que debe garantizar el cumplimiento de los
principios y objetivos de esta ley, de acuerdo a lo establecido en el Capítulo
10 de la presente.
b) Base de datos: conjunto organizado de datos personales que sean objeto
de tratamiento, electrónico o no, cualquiera que fuere la modalidad de su
formación, almacenamiento, administración, organización o acceso.
c) Consentimiento: toda manifestación de voluntad libre, específica,
informada e inequívoca por la que el titular de los datos, su representante
legal o mandatario, acepta, ya sea mediante una declaración o una clara
acción afirmativa, el tratamiento de datos personales que le conciernen.
d) Datos personales: todo tipo de información referida a una persona humana
identificada o identificable, incluyendo datos biométricos. Esta información
puede ser desde nombres, números de ID, información de ubicación,
información encriptada o identificadores online entre otros. Se considerará
identificable toda persona humana cuya identidad pueda determinarse,
directa o indirectamente, en particular mediante un identificador, como por
ejemplo un nombre, un número de identificación, datos de localización, un
identificador en línea o uno o varios elementos propios de la identificación
física, fisiológica, genética, psíquica, económica, cultural o social de dicha
persona.
e) Datos sensibles: datos personales que revelan el origen racial o etnico;
opiniones políticas, convicciones religiosas, filosóficas o morales;
participación o afiliación en una organización sindical o política; información

2 de 48
 referente a la salud, preferencia o vida sexual; hábitos y costumbres
familiares; datos genéticos y datos biométricos dirigidos a identificar de
manera unívoca a una persona física; datos de geolocalización.
f) Datos genéticos: datos personales relativos a las características genéticas
heredadas o adquiridas de una persona física que proporcionen una
información única sobre la fisiología o la salud de esa persona.
g) Datos biométricos: datos personales obtenidos a partir de un proceso
tecnológico determinado, relacionados con las características físicas,
fisiológicas o conductuales de una persona de existencia visible que permita
su identificación, como imágenes faciales o datos dactiloscópico;
h) Datos relativos a la salud: datos personales de la salud física o mental de
una persona física, incluida la prestación de servicios de atención sanitaria,
que revelen información sobre su estado de salud.

i) Destinatario: la persona física o jurídica, autoridad pública, servicio u otro

organismo al que se comuniquen datos personales, se trate o no de un
tercero. No obstante, no se considerarán destinatarios las autoridades
públicas que puedan recibir datos personales en el marco de una
investigación concreta de conformidad con la ley.
j) Seudonimización o disociación de datos: el tratamiento de datos
personales de manera tal que ya no puedan atribuirse a una persona física
identificada o identificable sin utilizar información adicional, siempre que
dicha información adicional figure por separado y esté sujeta a medidas
técnicas y organizativas destinadas a garantizar que los datos personales
no se atribuyan a dicha persona.
k) Anonimización de datos: el tratamiento de datos personales de manera tal
que ya no puedan atribuirse a una persona física identificada o identificable
incluso con información adicional.
l) Encargado del tratamiento: persona humana o jurídica, pública, privada o
mixta, que trate datos personales designado por el responsable del
tratamiento.
m) Entidades crediticias: entidades que proveen información de situación
crediticia al Banco Central de la República Argentina.
n) Fuente de acceso público irrestricto: la que contiene información

3 de 48
 destinada a ser difundida al público, de libre acceso e intercambio; accesible
ya sea en forma gratuita o mediante una contraprestación.
o) Fuente de acceso público restricto: la que contiene información que no
está sujeta a confidencialidad ni tampoco está destinada a ser difundida
irrestrictamente al público y cuyo acceso a terceros resulta generalmente
condicionado al cumplimiento de ciertos requisitos.
p) Empresa: persona física o jurídica dedicada a una actividad económica,
independientemente de su forma jurídica, incluidas las sociedades o
asociaciones que desempeñen regularmente una actividad económica.
q) Grupo económico: conjunto de sociedades controlantes, sus respectivas
controladas y aquellas otras vinculadas en las cuales se tenga influencia
significativa en las decisiones, denominación, domicilio, actividad principal,
participación patrimonial, porcentaje de votos y, en el caso de las primeras,
principales accionistas.
r) Incidente de seguridad de datos personales: todo hecho que ocasione la
destrucción, pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma, o la comunicación o
acceso no autorizados a dichos datos.
s) Responsable del tratamiento: persona humana o jurídica, pública, privada
o mixta, titular de la base de datos y, como tal, que determine los fines y los
medios del tratamiento.
t) Titular de los datos: persona humana cuyos datos sean objeto del
tratamiento al que se refiere la presente ley.
u) Transferencia internacional: la transmisión de datos personales fuera del
territorio nacional.
v) Tratamiento de datos: cualquier operación o procedimiento, electrónico o
no, organizado, que permita la recolección, conservación, ordenación,
almacenamiento, modificación, relacionamiento, evaluación, bloqueo o
destrucción y, en general, el procesamiento de datos personales, así como
su cesión a través de comunicaciones, consultas, interconexiones o
transferencias.
w) Tercero: la persona humana o jurídica, pública o privada distinta del titular
de los datos, del responsable del tratamiento, del encargado del tratamiento

4 de 48
 de datos, sus finalidades y medios.
x) Mecanismos de autorregulación vinculantes: conjunto de principios,
normas y procedimientos, de adopción voluntaria y cumplimiento vinculante,
homologados por la autoridad de control, que tiene como finalidad regular el
comportamiento de los responsables y encargados respecto a los
tratamientos de datos personales que lleven a cabo, de modo que
contribuya a la correcta aplicación de la presente Ley. Los mecanismos de
autorregulación vinculantes se pueden traducir en códigos de conducta, de
buenas prácticas, normas corporativas vinculantes, sellos de confianza,
certificaciones u otros mecanismos que coadyuven a contribuir a los
objetivos señalados.

ARTÍCULO 3°. – EXCEPCIONES A LA APLICACIÓN DE LA LEY. Queda

exceptuado de los alcances de la presente ley el tratamiento de datos que efectúe
una persona humana para su uso exclusivamente privado o de su grupo familiar en
conformidad con el artículo 19 de la Constitución Nacional. El régimen de
tratamiento y protección de los datos personales establecidos en esta ley no se
aplicará al tratamiento de datos que realicen los medios de comunicación social en
el ejercicio de las libertades de emitir opinión y de informar, establecidos en el
artículo 14 de la Constitución Nacional. Aún así, están sujetos a los principios
generales en materia de responsabilidad civil fundados en lo dispuesto por el
artículo 1710 y siguientes del Código Civil y Comercial de la Nación, debiendo
responder ante los daños que causen con la publicación de noticias que involucren
el tratamiento de datos.

ARTÍCULO 4°. - ÁMBITO DE APLICACIÓN. Las normas de la presente ley serán

de aplicación cuando:
a) El responsable del tratamiento tenga residencia en el territorio nacional, aun
cuando el tratamiento de datos tenga lugar fuera de dicho territorio.
b) El responsable del tratamiento se encuentre establecido en un territorio en
el cual se aplica la legislación nacional en virtud de las normas del derecho
argentino.
c) El titular de los datos resida en la República Argentina, y la recolección o
proceso de datos se realice dentro del territorio.

5 de 48
d) El tratamiento de datos de titulares que residan en la República Argentina
sea realizado por un responsable del tratamiento que no se encuentre
establecido en el territorio nacional y las actividades de dicho tratamiento se
encuentren relacionadas con la oferta de bienes o servicios a dichos
titulares de los datos en la República Argentina, o con el seguimiento de sus
actos, comportamientos o intereses, excepto cuando la ley del lugar donde
se encuentra el responsable del tratamiento sea más favorable para la
protección de los datos.

6 de 48
CAPÍTULO 2- PRINCIPIOS RELATIVOS AL TRATAMIENTO DE DATOS.

ARTÍCULO 5°. - PRINCIPIO DE LICITUD, LEALTAD Y TRANSPARENCIA. Los

datos personales deben ser tratados de manera lícita, leal y transparente. El
tratamiento se considera leal cuando el responsable se abstenga de tratar los
datos personales a través de medios engañosos o fraudulentos.

ARTÍCULO 6°. - PRINCIPIO DE FINALIDAD. Los datos personales deben ser

solicitados y recogidos con fines determinados, explícitos y legítimos, y no deben
ser tratados de manera incompatible con dichos fines. No se considerarán
incompatibles con los fines iniciales tanto el tratamiento ulterior de los datos
personales con fines de archivo en interés público, de investigación científica e
histórica o estadísticos.

ARTÍCULO 7°. - PRINCIPIO DE MINIMIZACIÓN DE DATOS. Los datos

personales deben ser tratados de manera que sean adecuados, pertinentes,
proporcionales y limitados a lo necesario en relación con los fines para los que
fueron recolectados.

ARTÍCULO 8°. - PRINCIPIO DE EXACTITUD. Los datos personales deberían

mantenerse exactos, completos y actualizados hasta donde sea necesario para las
finalidades de su tratamiento, de tal manera que no se altere su veracidad. Si fuera
necesario adecuarlos a sus fines, se adoptarán todas las medidas razonables para
que se supriman o rectifiquen sin dilación.

ARTÍCULO 9°. - PLAZO DE CONSERVACIÓN. Los datos personales no deben

ser mantenidos más allá del tiempo estrictamente necesario para el cumplimiento
de la finalidad del tratamiento; transcurrido ese periodo deben ser anonimizados.
Los datos personales pueden conservarse durante períodos más largos siempre
que se trate exclusivamente con fines de archivo en interés público, fines de
investigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación
de las medidas técnicas y organizativas apropiadas que impone la presente Ley a
fin de proteger los derechos del titular de los datos.

ARTÍCULO 10°. - PRINCIPIO DE RESPONSABILIDAD PROACTIVA. El

responsable o encargado del tratamiento debe adoptar las medidas técnicas y

7 de 48
organizativas apropiadas a fin de garantizar un tratamiento adecuado de los datos
personales y el cumplimiento de las obligaciones dispuestas por la presente Ley, y
que le permitan demostrar a la autoridad de control su efectiva implementación.

ARTÍCULO 11°. - PRINCIPIO DE LEGALIDAD. Los datos personales sólo pueden

tratarse con sujeción a la ley.

ARTÍCULO 12°. - PRINCIPIO DE SEGURIDAD, INTEGRIDAD Y

CONFIDENCIALIDAD. Los datos personales deben ser tratados de tal manera que
se garantice su adecuada seguridad, confidencialidad e integridad, lo cual implica
la protección mediante salvaguardias de seguridad técnicas, administrativas u
organizacionales razonables y adecuadas contra tratamientos no autorizados o
ilegítimos, incluyendo el acceso, pérdida, destrucción, daños o divulgación, aún
cuando éstos ocurran de manera accidental.

ARTÍCULO 13°. - PRINCIPIO DE ACCESO, RECTIFICACIÓN, CANCELACIÓN,

OPOSICIÓN Y PORTABILIDAD. Se debería disponer de métodos razonables,
ágiles, sencillos y eficaces para permitir que aquellas personas cuyos datos
personales han sido recopilados puedan solicitar el acceso, rectificación y
cancelación de sus datos, así como el derecho a oponerse a su tratamiento y, en lo
aplicable, el derecho a la portabilidad de esos datos personales. Como regla
general, el ejercicio de esos derechos debería ser gratuito.

ARTÍCULO 14°. - PRINCIPIO DE INTERPRETACIÓN RESTRICTIVA. Toda

invocación de la seguridad nacional o el interés público que pretenda justificar la
recolección o tratamiento de datos personales sin el consentimiento de su titular
debe ser concreta e interpretada restrictivamente. En ningún caso podrán
invocarse como medios para suprimir un derecho garantizado por esta ley, para
desnaturalizarlo o privarlo de contenido real.

ARTÍCULO 15°. - LICITUD DEL TRATAMIENTO DE DATOS. El tratamiento de

datos es lícito sólo si se cumple al menos una (1) de las siguientes condiciones:

a) El titular de los datos de su consentimiento para el tratamiento de sus datos

para uno o varios fines específicos conforme lo dispuesto en los artículos
19, 20 y 21.

8 de 48
 b) El tratamiento de datos se realice sobre datos que figuren en fuentes de
acceso público irrestricto.
c) El tratamiento de datos se realice en ejercicio de funciones propias de los
organismos públicos y sean necesarios para el cumplimiento estricto de sus
competencias, y respetando los principios y derechos establecidos por la
presente Ley, los organismos citados en el artículo 53 serán regidos por lo
establecido en el mismo.
d) El tratamiento de datos sea necesario para el cumplimiento de una
obligación legal aplicable al responsable del tratamiento.
e) El tratamiento de datos derive de una relación jurídica entre el titular de los
datos y el responsable del tratamiento, y resulte necesario para su
desarrollo o cumplimiento.
f) El tratamiento de datos resulte necesario para salvaguardar el interés vital
del titular de los datos o de terceros, y el titular de los datos esté física o
jurídicamente incapacitado para dar su consentimiento.
g) El tratamiento sea necesario para la satisfacción de intereses legítimos
perseguidos por el responsable del tratamiento o por un tercero, siempre
que sobre dichos intereses no prevalezcan los intereses o los derechos y
libertades fundamentales del titular de los datos que requieran la protección
de datos personales, en particular cuando este último sea un niño, niña o
adolescente.

Lo dispuesto en el inciso g) no será de aplicación al tratamiento de datos realizado

por las autoridades públicas en el ejercicio de sus funciones.

ARTÍCULO 16. - NOTIFICACIÓN DE INCIDENTES DE SEGURIDAD. En caso de

que ocurra un incidente de seguridad accidental o voluntario de los datos personales
que trate, o la comunicación o acceso no autorizados a dichos datos, el responsable
del tratamiento debe notificarlo a la autoridad de control dentro de las setenta y dos
(72) horas de haber tomado conocimiento del incidente. Si la notificación a la
autoridad de control no tiene lugar en el plazo de setenta y dos (72) horas, deberá ir
acompañada de indicación de los motivos de la dilación. De igual manera, el
responsable del tratamiento debe informar al titular de los datos sobre el incidente

9 de 48
de seguridad ocurrido, en un lenguaje claro y sencillo, y si ello no fuera posible se
realizará mediante la difusión o publicación de un aviso en un medio de
comunicación social masiva y de alcance nacional. La notificación debe contener, al
menos, la siguiente información:
a) La naturaleza del incidente.
b) Los datos personales que pueden estimarse comprometidos.
c) Las acciones correctivas realizadas de forma inmediata.
d) Las recomendaciones al titular de los datos acerca de las medidas que éste
puede adoptar para proteger sus intereses.
e) Los medios a disposición del titular de los datos para obtener mayor
información al respecto.
f) Cuando dichas vulneraciones se refieran a datos personales sensibles o a
datos relativos a obligaciones de carácter económico, financiero, bancario,
comercial, o de salud psíquico físico, el responsable deberá también efectuar
esta comunicación a los titulares de estos datos.

10 de 48
CAPÍTULO 3- CONSENTIMIENTO

ARTÍCULO 17. - CONSENTIMIENTO PREVIO. El consentimiento del titular debe

otorgarse en forma previa al tratamiento y debe ser específico e informado en
cuanto a su finalidad o finalidades. Debe manifestarse de manera inequívoca,
mediante una declaración fehaciente o un acto afirmativo que demuestre con total
claridad la manifiesta libre voluntad del titular. El consentimiento debe darse para
todas las actividades de tratamiento realizadas con el mismo o los mismos fines.
Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos
ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por
medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar
innecesariamente el uso del servicio para el que se presta. Cuando el
consentimiento lo otorgue un tercero, éste deberá encontrarse expresamente
autorizado por el titular a otorgar dicho consentimiento.

ARTÍCULO 18. - REVOCACIÓN DEL CONSENTIMIENTO. El consentimiento del

titular de los datos puede ser revocado en cualquier momento por el mismo sin
expresión de causa sin efectos retroactivos, estando obligado el responsable del
tratamiento a informar esta posibilidad y facilitar la revocación en forma simple,
sencilla y gratuita.

ARTÍCULO 19. - EXCEPCIONES AL CONSENTIMIENTO PREVIO. No es

necesario el consentimiento para el tratamiento de datos cuando se trate de listados
cuyos datos se limiten a nombre y apellido, documento nacional de identidad,
identificación tributaria o previsional, fecha de nacimiento, ocupación; además de las
excepciones para el tratamiento de datos según terceros explicitadas en el artículo
39; y de las excepciones relativas a los organismos de seguridad e inteligencia
según lo especificado en el Artículo 53. En cualquier caso, debe tenerse en cuenta
el inciso c) del artículo 15 sobre Licitud del Tratamiento de datos.

11 de 48
CAPÍTULO 4- CATEGORÍAS DE DATOS ESPECIALES

ARTÍCULO 20. - TRATAMIENTO DE DATOS SENSIBLES.

Se prohíbe él tratamiento de datos sensibles, excepto cuando:
a) El titular de los datos haya dado su consentimiento expreso a dicho
tratamiento, o se refiera a datos personales que el interesado haya hecho
manifiestamente públicos.
b) Sea necesario para salvaguardar el interés vital del titular de los datos y éste
se encuentre física o legalmente incapacitado para prestar el consentimiento
y sus representantes legales no lo puedan realizar en tiempo oportuno; y no
existiendo familiar directo como lo determina el artículo 17 de la presente ley.
c) Se refiera a datos que sean necesarios para el reconocimiento, ejercicio o
defensa de un derecho en un proceso judicial.
d) Tenga una finalidad histórica, estadística o científica en tanto y en cuanto no
vulnere los derechos de privacidad.
e) Sea necesario por razones de interés público en el ámbito de la salud
pública, como la protección frente a amenazas transfronterizas graves para la
salud, o para garantizar elevados niveles de calidad y de seguridad de la
asistencia sanitaria y de los medicamentos o productos sanitarios.
f) Se realice en el marco de asistencia humanitaria en casos de desastres
naturales.

ARTÍCULO 21. - DATOS PERSONALES RELATIVOS A LA SALUD. Los datos

personales relativos a la salud del titular sólo pueden ser objeto de tratamiento
cuando sean necesarios para el diagnóstico de una enfermedad o para la
determinación de un tratamiento médico realizado por establecimientos de salud
públicos o privados, de acuerdo a los derechos del paciente establecidos por la Ley
Nº 26.529, de Derechos del Paciente, Historia Clínica y Consentimiento Informado y
sus modificatorias. El titular de los datos debe tener acceso y portabilidad de los
mismos respecto de su historia clínica.

ARTÍCULO 22. - TRATAMIENTO DE DATOS PERSONALES BIOMÉTRICOS. El

responsable que trate datos personales biométricos, deberá proporcionar al titular la
siguiente información específica:

12 de 48
 a) La identificación del sistema biométrico usado;
b) La finalidad específica para la cual los datos recolectados por el sistema
biométrico serán utilizados;
c) El período durante el cual los datos biométricos serán utilizados;
d) La forma en que el titular puede ejercer sus derechos.
Un reglamento regulará la forma y los procedimientos que se deben utilizar para la
implementación de los sistemas biométricos.

ARTÍCULO 23. TRATAMIENTO DE DATOS PERSONALES RELATIVOS AL

PERFIL BIOLÓGICO HUMANO. El responsable de datos sólo puede realizar
tratamiento de datos personales solo con el consentimiento del titular, relativos al
perfil biológico del titular, para los siguientes fines:
a) Realizar diagnósticos médicos;
b) Prestar asistencia médica o sanitaria en caso de urgencia;
c) Realizar estudios o investigaciones científicas, que vayan en beneficio de la
salud humana;
d) Cumplir resoluciones judiciales.
Este tipo de tratamiento queda prohibido cuando el mismo haya sido recolectado en
un ámbito laboral.

ARTÍCULO 24. - TRATAMIENTO DE DATOS DE INFANCIAS. En el tratamiento de

datos personales se debe privilegiar la protección del interés superior de éstos,
conforme a la Convención Sobre los Derechos del Niño y demás instrumentos
internacionales que busquen su bienestar y protección integral.
a) No se podrá realizar el tratamiento de datos personales de menores y
adolescentes en los juegos, aplicaciones de Internet u otras actividades que
involucren información personal más allá de lo estrictamente necesario para
el desarrollo de la actividad.
b) No se podrán tratar datos sensibles de menores y adolescentes a menos que
se cuente con el consentimiento expreso del titular de la responsabilidad
parental o tutela o cuando, dicho tratamiento sea indispensable para el
interés público o para salvaguardar la vida de aquellos o un tercero.
c) El consentimiento de la persona menor de edad es válido cuando se aplique
al tratamiento de datos vinculados a la utilización de servicios

13 de 48
 específicamente diseñados y aptos para ellos. En estos casos, el
consentimiento es lícito si el menor de edad tiene como mínimo trece (13)
años. Si la niña o niño es menor de trece (13) años, tal tratamiento
únicamente se considera lícito si el consentimiento fue otorgado por el titular
de la responsabilidad parental o tutela sobre la niña o niño, y sólo en la
medida en que se dio o autorizó.
d) El Responsable del tratamiento debe realizar esfuerzos razonables para
verificar que el consentimiento haya sido otorgado por el titular de la
responsabilidad parental o tutela, teniendo en cuenta sus posibilidades para
hacerlo.
e) La información sobre el tratamiento de datos a que se refiere este artículo
debe ser brindada de forma simple, clara y accesible, considerando las
características físico motoras, perceptivas, sensoriales, intelectuales y
mentales del usuario, con el uso de recursos audiovisuales cuando
corresponda, con el fin de brindar la información necesaria a los padres o al
tutor legal y adecuado a la comprensión del menor o adolescente.
Es tarea del Estado y de las entidades educativas, proveer información y capacitar a
los menores de edad y adolescentes sobre los eventuales riesgos a los que se
enfrentan respecto del tratamiento indebido de sus datos personales, y proveer de
conocimiento acerca del uso responsable y seguro de sus datos personales, su
derecho a la privacidad, a la autodeterminación informativa y el respeto de los
derechos de los demás.

14 de 48
CAPÍTULO 5- CESIÓN Y TRANSFERENCIA

ARTÍCULO 25. - CESIÓN. La cesión de datos personales requiere el

consentimiento previo del titular, salvo las excepciones legales. El responsable del
tratamiento a quien se ceden los datos personales queda sujeto a las mismas
obligaciones legales y reglamentarias que el responsable cedente. Ambos
responden por la observancia de aquéllas ante la autoridad de control y el titular de
los datos de que se trate.

ARTÍCULO 26. - CONDICIONES PARA TRANSFERENCIAS INTERNACIONALES.

Toda transferencia internacional de datos personales es lícita si se cumple con las
siguientes condiciones:
a) Cuente con el consentimiento expreso del titular de los datos.
b) El país u organismo internacional o supranacional receptor proporcione un
nivel de protección adecuado según lo establecido por el artículo 64 de esta
ley, y a condición de que los titulares de datos cuenten con derechos
exigibles y acciones legales efectivas.

ARTÍCULO 27.- EXCEPCIONES DE LAS CONDICIONES PARA

TRANSFERENCIAS INTERNACIONALES. Se contempla la excepción a las
condiciones del artículo 26 si se cumple con al menos una de las siguientes
condiciones;
a) Sea necesaria para la prevención o el diagnóstico médico, la prestación de
asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios.
b) Sea necesaria para el reconocimiento, ejercicio o defensa de un derecho en
un proceso judicial.
c) Sea necesaria para el mantenimiento o cumplimiento de una relación jurídica
entre el responsable del tratamiento y el titular de los datos.
d) Sea efectuada en los casos de colaboración judicial internacional.
e) Sea requerida para concretar transferencias bancarias o bursátiles, en lo
relativo a las transacciones respectivas y conforme la legislación que les
resulte aplicable.

15 de 48
 f) Tenga por objeto la cooperación internacional entre organismos de
inteligencia para la lucha contra el crimen organizado, el terrorismo, el lavado
de activos, los delitos informáticos y el narcotráfico.
g) El responsable del tratamiento transferente y el destinatario adopten
mecanismos de autorregulación vinculante, siempre y cuando éstos sean
acordes a las disposiciones previstas en esta Ley.
h) Se realice en el marco de cláusulas contractuales que contengan
mecanismos de protección de los datos personales acordes con las
disposiciones previstas en la presente Ley. El receptor de los datos
personales asume las mismas obligaciones que corresponden al responsable
del tratamiento que transfirió los datos personales.

ARTÍCULO 28. - CARÁCTER ADECUADO DEL PAÍS U ORGANISMO

RECEPTOR. La autoridad de control podrá autorizar la transferencia o transmisión
internacional de datos, siempre que el transmisor y el receptor de los datos otorguen
las garantías adecuadas en relación con la protección de los derechos de las
personas que son titulares, en conformidad con lo dispuesto en el artículo 71 de
esta ley. La autoridad de control podrá imponer condiciones previas para que se
verifique la transferencia.

ARTÍCULO 29. - SERVICIO DE TRATAMIENTO DE DATOS PERSONALES POR

MEDIOS TECNOLÓGICOS TERCERIZADOS. El servicio de tratamiento de datos
personales por medios tecnológicos tercerizados está permitido cuando se garantice
el cumplimiento de los principios y obligaciones establecidos en la presente ley. El
responsable del tratamiento deberá elegir un proveedor de servicios que garantice el
cumplimiento de la presente ley. El responsable del tratamiento responderá ante el
titular de los datos y ante la autoridad de control por incumplimientos del proveedor.
En especial, el responsable del tratamiento deberá controlar que el proveedor del
servicio de tratamiento de datos personales por medios tecnológicos tercerizados:
a) Cuente con una política de protección de datos personales o condiciones de
servicio que no sean incompatibles con las disposiciones previstas en la
presente ley;

16 de 48
b) Informe los tipos de subcontrataciones que involucren los datos personales
objeto del tratamiento sobre el que se presta el servicio, notificando al
responsable del tratamiento de cualquier cambio que se produzca;
c) No incluya condiciones en la prestación del servicio que lo autoricen o
permitan asumir la titularidad sobre las bases de datos tratados bajo esta
modalidad.

17 de 48
CAPÍTULO 6 - DERECHOS DE LOS TITULARES DE LOS DATOS.

ARTÍCULO 30. - DERECHO DE ACCESO. El titular de los datos, previa

acreditación de su identidad, tiene derecho a solicitar y obtener del responsable
confirmación acerca de si los datos personales que le conciernen están siendo
tratados por él y, en tal caso, acceder a dichos datos. El responsable del tratamiento
debe estar obligado a responder a las solicitudes del interesado sin dilación
indebida, y a explicar sus motivos en caso de que no fuera a atenderlas.

ARTÍCULO 31. - DERECHO A LA INFORMACIÓN. La información debe ser

suministrada en forma clara y acompañada de una explicación de los términos que
se utilicen, en lenguaje de fácil entendimiento, y debe versar sobre:
a) Las finalidades del tratamiento de datos;
b) Las categorías de datos personales de que se trate;
c) Los destinatarios o las categorías de destinatarios a los que se cedieron o se
prevean ceder los datos personales, en particular cuando se trate de una
transferencia internacional;
d) El plazo previsto de conservación de los datos personales o, de no ser ello
posible, los criterios utilizados para determinar este plazo;
e) La existencia del derecho a solicitar del responsable del tratamiento la
rectificación, supresión de datos personales o a oponerse a dicho
tratamiento;
f) El derecho a iniciar un trámite de protección de datos personales ante la
autoridad de control;
g) Cuando los datos personales no se hayan obtenido del titular de los datos,
toda información disponible sobre su origen;
h) La existencia de decisiones automatizadas, incluida la elaboración de perfiles
a que se refiere el artículo 30 y 46, al menos en tales casos, información
significativa sobre la lógica aplicada, sin que ello afecte derechos
intelectuales del responsable del tratamiento;
i) En ningún caso el informe puede revelar datos pertenecientes a terceros, aun
cuando se vinculen con el Titular de los datos. La información, a opción del
Titular de los datos, puede entregarse por escrito, por medios electrónicos,
telefónicos, de imagen, u otro idóneo a tal fin.

18 de 48
ARTÍCULO 32. - DERECHO DE RECTIFICACIÓN. El titular de los datos tiene el
derecho a obtener del responsable del tratamiento la rectificación de sus datos
personales, cuando éstos resulten ser inexactos, falsos, errados, incompletos o no
se encuentren actualizados. En el supuesto de cesión o transferencia internacional
de datos erróneos o desactualizados, el responsable del tratamiento debe notificar
la rectificación al cesionario dentro del quinto (5°) día hábil de haber tomado
conocimiento efectivo del error o la desactualización. Durante el proceso de
verificación y rectificación del error o falsedad de la información que se trate, el
responsable del tratamiento debe bloquear el dato, o bien consignar, la
circunstancia de que se encuentra sometido a revisión.

ARTÍCULO 33.- DERECHO DE OPOSICIÓN. El titular de los datos puede oponerse

al tratamiento de sus datos cuando:
a) No haya prestado consentimiento;
b) El tratamiento de datos afecte sus derechos y libertades fundamentales;
c) El tratamiento de datos sea utilizado exclusivamente con fines de marketing
directo de bienes o servicios, así como cualquier otro propósito comercial o
fines publicitarios;
d) El titular de los datos hubiere fallecido. En este caso, la oposición deberá ser
formulada por sus sucesores universales.
El responsable del tratamiento debe dejar de tratar los datos personales objeto de
oposición, salvo que existan motivos legítimos para el tratamiento que prevalezcan
sobre los derechos del titular de los datos. No procederá la oposición cuando el
tratamiento de los datos se realice exclusivamente con fines históricos, estadísticos
o científicos o para estudios o investigaciones que atiendan fines de interés público.

ARTÍCULO 34. - DERECHO AL OLVIDO. El titular de los datos tiene derecho a

solicitar la supresión de sus datos personales de las bases de datos al responsable
del tratamiento cuando el tratamiento no tenga un fin público, a fin de que los datos
ya no estén en su posesión y dejen de ser tratados por este último. La supresión
procede cuando:
a) Los datos personales ya no sean necesarios en relación con los fines para
los que fueron recolectados.

19 de 48
 b) El titular de los datos revoque el consentimiento en que se basa él
tratamiento de datos y éste no se ampare en otro fundamento jurídico.
c) El titular de los datos haya ejercido su derecho de oposición conforme al
artículo 40, y no prevalezcan otros motivos legítimos para el tratamiento de
sus datos.
d) Los datos personales hayan sido tratados ilícitamente.
e) Los datos personales deban suprimirse para el cumplimiento de una
obligación legal.
f) Los datos son tratados para fines de publicidad, prospección comercial o
mercadotecnia
La supresión no procederá cuando pudiese causar perjuicios a derechos o intereses
legítimos de terceros; existan razones de interés público o los datos personales
deban ser conservados durante los plazos previstos en las disposiciones aplicables
o, en su caso, en las contractuales entre el responsable o encargado del tratamiento
y el titular de los datos. La supresión tampoco procede cuando el tratamiento de
datos sea necesario para ejercer el derecho a la libertad de expresión e información,
especialmente en lo referido a lo necesario para la consolidación del Proceso de
Memoria, Verdad y Justicia y de los Derechos Humanos en general.

ARTÍCULO 35. - DERECHO A LA PORTABILIDAD DE DATOS PERSONALES . El

titular de datos tiene derecho a solicitar y recibir del responsable una copia de los
datos personales que le conciernen de manera estructurada, en un formato
genérico y de uso común que permita ser operado por distintos sistemas, y a
comunicarlos o transferirlos a otro responsable de datos.
Este derecho no procederá cuando:
a) Vulnere la privacidad de otro titular de los datos;
b) Vulnere las obligaciones legales del responsable o encargado del
tratamiento;
c) Impida que el responsable del tratamiento proteja sus derechos, su
seguridad o sus bienes, o los derechos, seguridad y bienes del encargado
del tratamiento, o del titular de los datos o de un tercero.

20 de 48
ARTÍCULO 36. - EJERCICIO DE LOS DERECHOS. Los derechos previstos en este
capítulo son personales, intransferibles e irrenunciables y no pueden limitarse por
ningún acto o convención.
Si los datos personales del titular se encuentran en una base de datos que es
administrada o tratada por diversos responsables, el titular puede ejercer sus
derechos ante cualquiera de ellos. El responsable del tratamiento debe responder y,
en su caso, satisfacer los derechos del titular de los datos dentro de los diez (10)
días hábiles de haber sido intimado fehacientemente. Vencido el plazo sin que se
satisfaga el pedido, o si a juicio del titular de los datos la respuesta se estimara
insuficiente, quedará expedito el trámite de protección de los datos personales ante
la autoridad de control en los términos del artículo 69 o, a elección del titular de los
datos, podrá interponer la acción de habeas data prevista en los artículos 76, 77, 78,
79, 80, 81, 82, 83, y 84 de la presente Ley.
El responsable del tratamiento debe establecer medios y procedimientos sencillos,
expeditos, accesibles y gratuitos que permitan al titular de los datos ejercer los
derechos previstos en esta Ley. El derecho de acceso a que se refiere el artículo 32
sólo puede ser ejercido en forma gratuita a intervalos no inferiores a tres (3) meses,
salvo que se acredite la existencia de nuevas razones que justifiquen el pedido
antes del vencimiento del plazo.
El ejercicio de estos derechos en el caso de titulares de los datos de personas
fallecidas les corresponde a sus sucesores universales. Los herederos no podrán
acceder a los datos del causante ni solicitar su rectificación o supresión cuando la
persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.

ARTÍCULO 37. - EXCEPCIONES AL EJERCICIO DE LOS DERECHOS. Los

responsables del tratamiento de bases de datos públicas pueden, mediante decisión
fundada, denegar los derechos enumerados en los artículos 23, 24, 25, 26, 27, 28 y
29 en función de la protección de la defensa de la Nación, del orden y la seguridad
públicos, o de la protección de los derechos e intereses de terceros. La información
sobre datos personales también puede ser denegada por los responsables del
tratamiento de bases de datos públicas, cuando de tal modo se pudieran
obstaculizar actuaciones judiciales o administrativas en curso. La resolución que así
lo disponga debe ser fundada y notificada al titular de los datos. En cualquier caso,
el responsable del tratamiento debe brindar acceso a los datos en cuestión en la

21 de 48
oportunidad en que el titular de los datos demuestre que son necesarios para
ejercer su derecho de defensa.

22 de 48
CAPÍTULO 7- OBLIGACIONES DE LOS RESPONSABLES Y ENCARGADOS DEL
TRATAMIENTO

ARTÍCULO 38. - MEDIDAS PARA EL CUMPLIMIENTO DE LA

RESPONSABILIDAD PROACTIVA. Los responsables y encargados del tratamiento
de datos deben implementar medidas técnicas y organizativas, proporcionales a las
modalidades y finalidades del tratamiento de datos, su contexto, el tipo y categoría
de datos tratados, así como los riesgos potenciales para los derechos y libertades
del titular de los datos. Estas medidas deben ser apropiadas a fin de garantizar y
poder demostrar ante el requerimiento de la autoridad de control que el tratamiento
cumple con las disposiciones de la presente Ley, debiendo incluir, como mínimo:
a) La implementación de procedimientos para proteger los datos personales.
b) El establecimiento de procesos para atender el ejercicio de los derechos de
los titulares de los datos, tales como recibir y responder las demandas de los
titulares de datos.
c) La capacitación y comunicación al personal sobre las políticas y prácticas
que deben llevar a cabo responsables y encargados del tratamiento de
datos.
d) La realización de supervisiones o auditorías, internas o externas, para
controlar el cumplimiento de las medidas adoptadas.
En todos los casos se debe constituir una política de privacidad propia o formar
parte de mecanismos de autorregulación vinculantes a los que el responsable o
encargado del tratamiento adhiera, valoración previo a su puesta en práctica por la
autoridad de control.

ARTÍCULO 39. - TRATAMIENTO DE DATOS POR CUENTA DE TERCEROS. La

prestación de servicios de tratamiento de datos por cuenta de terceros entre un
responsable y un encargado del tratamiento debe quedar formalizada mediante un
contrato por escrito y no requiere del consentimiento del titular de los datos. El
encargado del tratamiento se encuentra limitado a llevar a cabo sólo aquellos
tratamientos de datos encomendados por el responsable del tratamiento. Los datos
personales objeto de tratamiento no pueden aplicarse o utilizarse con un fin distinto
al que figure en el contrato ni ser cedidos a otras personas, ni aún para su
conservación, salvo autorización expresa del responsable del tratamiento.
Una vez cumplida la prestación contractual, los datos personales deberán ser

23 de 48
destruidos o devueltos al responsable del tratamiento, al igual que cualquier
soporte o documentos en que conste algún dato de carácter personal objeto del
tratamiento. El encargado puede suscribir un contrato para subcontratar servicios
que impliquen el tratamiento de datos solamente cuando exista una autorización
expresa del responsable del tratamiento. En estos casos, el subcontratado asume
el carácter de encargado en los términos y condiciones previstos en esta Ley. Para
el supuesto en que el subcontratado incumpla sus obligaciones y
responsabilidades respecto al tratamiento de datos que lleve a cabo conforme a lo
estipulado en el contrato, asumirá la calidad de responsable del tratamiento en los
términos y condiciones previstos en la presente ley.
Los contratos previstos en este artículo deben estipular el objeto, alcance,
contenido, duración, naturaleza y finalidad del tratamiento de datos, el tipo de
datos personales, las categorías de titulares de los datos y las obligaciones y
responsabilidades del responsable y encargado del tratamiento.

ARTÍCULO 40. - EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE

DATOS PERSONALES. Cuando el responsable del tratamiento prevea realizar
algún tipo de tratamiento de datos que por su naturaleza, alcance, contexto o
finalidades, sea probable que entrañe un alto riesgo de afectación a los derechos de
los titulares de los datos amparados en la presente ley, deberá realizar, de manera
previa a la implementación del tratamiento, una evaluación del impacto relativa a la
protección de los datos personales. La evaluación de impacto relativa a la
protección de los datos es obligatoria en los siguientes casos, sin perjuicio de otros
que establezca la autoridad de control:
a) Evaluación sistemática y exhaustiva de aspectos personales de personas
humanas que se base en un tratamiento de datos automatizado, como la
elaboración de perfiles, y sobre cuya base se tomen decisiones que
produzcan efectos jurídicos para las personas humanas o que les afecten
significativamente de modo similar.
b) Tratamiento de datos sensibles a gran escala, o de datos relativos a
antecedentes penales o contravencionales.
c) Observación sistemática a gran escala de una zona de acceso público. La
autoridad de contralor establecerá y publicará una lista de los tipos de

24 de 48
 operaciones de tratamiento que requieran una evaluación de impacto relativa
a la protección de datos personales.

ARTÍCULO 41. - INFORME PREVIO. El responsable del tratamiento debe informar

a la autoridad de control antes de proceder al tratamiento de datos cuando una
evaluación de impacto relativa a la protección de los datos muestran que el
tratamiento de datos entrañaría un alto riesgo, conforme a los establecido en el
artículo 64 de la presente ley. El informe a la autoridad de control debe incluir, como
mínimo, la siguiente información:
a) Las responsabilidades respectivas del responsable del tratamiento y los
encargados del tratamiento, en particular en caso de tratamiento de datos
dentro de un mismo grupo económico;
b) Los fines y medios del tratamiento previsto;
c) Las medidas y garantías establecidas para proteger los datos personales de
sus titulares de conformidad con la presente ley;
d) En su caso, los datos de contacto del Delegado de Protección de Datos;
e) La evaluación de impacto relativa a la protección de datos;
f) Cualquier otra información que solicite la autoridad de control.
Cuando la autoridad de control considere que el tratamiento de datos previsto pueda
infringir la presente ley, iniciará el procedimiento de verificación de oficio establecido
en el artículo 70.

ARTÍCULO 42 ° .- DELEGADO DE PROTECCIÓN DE DATOS. Los responsables

y encargados del tratamiento deben designar un Delegado de Protección de Datos
en cualquiera de los siguientes supuestos:
a) Cuando revistan el carácter de autoridades u organismos públicos, con la
excepción de los tribunales en el ejercicio de su función judicial;
b) Se realice tratamiento de datos sensibles como parte de la actividad
principal del responsable o encargado del tratamiento;
c) Se realice tratamiento de datos a gran escala.
Cuando los responsables y encargados del tratamiento no se encuentren obligados
a la designación de un Delegado de Protección de Datos de acuerdo a lo previsto
en este artículo, pero decidan designar de manera voluntaria o por orden expresa

25 de 48
de la autoridad de control, el Delegado de Protección de Datos designado tendrá
las funciones previstas en el artículo 43.
Cuando se trate de una autoridad u organismo público con dependencias
subordinadas, se puede designar un único Delegado de Protección de Datos para
varias de estas autoridades u organismos, teniendo en consideración su tamaño y
estructura organizativa.
Un grupo económico puede nombrar un único Delegado de Protección de Datos
siempre que esté en contacto permanente con cada establecimiento.
Las funciones del Delegado de Protección de Datos pueden ser desempeñadas
por un empleado del responsable o encargado del tratamiento o en el marco de un
contrato de locación de servicios.
En cualquier caso, el Delegado de Protección de Datos deberá ser designado en
atendiendo a requisitos de idoneidad, capacidad y conocimientos específicos para
el ejercicio de sus funciones. El responsable o encargado del tratamiento deberán
respaldarlo en el ejercicio de sus funciones y el mantenimiento de su conocimiento
especializado, facilitándole los recursos necesarios y el acceso a datos personales
y a las operaciones de tratamiento. Del mismo modo, deberán garantizarle
participación en forma adecuada y tiempo oportuno en las cuestiones relativas a la
protección de datos personales, así como la seguridad de que no recibirá
represalias cuando el ejercicio de sus funciones sea acorde a las exigencias y
principios de esta Ley. El Delegado de Protección de Datos sólo responde ante el
más alto nivel jerárquico de la organización.

ARTÍCULO 43 ° .- FUNCIONES DEL DELEGADO DE PROTECCIÓN DE DATOS.

El Delegado de Protección de Datos tiene las siguientes funciones, sin perjuicio de
otras que se le asignen especialmente:
a) Informar y asesorar a los responsables y encargados del tratamiento, así
como a sus empleados, de las obligaciones que tienen, derivadas de la
normativa de protección de datos;
b) Promover y participar en el diseño y aplicación de una política de protección
de datos que contemple los tratamientos de datos que realice el
responsable o encargado del tratamiento conforme a lo establecido en la
presente ley y tomando en consideración los estándares de seguridad

26 de 48
 determinados por la ANPDP;
c) Supervisar el cumplimiento de la presente Ley y de la política de protección
de datos de un organismo público, empresa o entidad privada;
d) Asignar responsabilidades, concientizar y formar al personal, y realizar las
auditorías correspondientes;
e) Ofrecer el asesoramiento que se le solicite para hacer una evaluación de
impacto relativa a la protección de datos, cuando entrañe un alto riesgo de
afectación para los derechos de los titulares de los datos, y supervisar luego
su aplicación;
f) Cooperar y actuar como referente ante la autoridad de control para cualquier
consulta sobre el tratamiento de datos efectuado por el responsable o
encargado del tratamiento;
g) Atender a consultas por parte de titulares de los datos.
Las funciones que puedan asignársele más allá del mínimo estipulado antes no
deberán dar lugar a conflictos de intereses, lo cual debe ser garantizado por el
responsable o encargado del tratamiento.

27 de 48
CAPÍTULO 8- SERVICIOS DE INFORMACIÓN CREDITICIA

ARTÍCULO 44. - PRESTACIÓN DE SERVICIOS DE INFORMACIÓN CREDITICIA

DEL SECTOR FINANCIERO Y NO FINANCIERO. En la prestación de servicios
de información crediticia sólo pueden tratarse datos personales de carácter
patrimonial, procedentes de informaciones facilitadas por el titular de los datos o
con su consentimiento. Pueden tratarse igualmente datos personales relativos al
cumplimiento o incumplimiento de obligaciones de contenido patrimonial,
facilitados por el acreedor o por quien actúe por su cuenta o interés, sin necesidad
de contar con el consentimiento del titular de los datos. No se podrán tratar los
datos comerciales negativos referidos a la prestación de los servicios públicos
esenciales.

ARTÍCULO 45. - COMUNICACIÓN DE INFORMACIONES, EVALUACIONES Y

APRECIACIONES. El responsable del tratamiento debe informar al titular de los
datos de su inclusión en el sistema en el plazo de treinta días desde dicha inclusión,
así como de los derechos que puede ejercer en relación con sus datos. A solicitud
del titular de los datos, el responsable o encargado del tratamiento debe comunicar
a aquél en forma gratuita las informaciones, evaluaciones y apreciaciones que sobre
él hayan sido comunicadas durante los últimos doce (12) meses y la fuente de la
información, incluyendo nombre y domicilio, en caso de corresponder.

ARTÍCULO 46. - PLAZO DE CONSERVACIÓN DE LA INFORMACIÓN

CREDITICIA. Sólo se pueden archivar, registrar o ceder los datos personales que
sean significativos para evaluar la solvencia económico financiera durante los
últimos cinco (5) años a contar desde la última información significativa, o desde el
vencimiento del plazo original de la operación de crédito de que se trate, el que
fuera mayor. El plazo se reduce a dos (2) años cuando el deudor cancele o extinga
la obligación, a contar a partir de la fecha precisa en que se extingue la deuda. Se
considera información significativa:
a) El momento en que se produce la mora del deudor;
b) Las modificaciones en las clasificaciones que otorgan al deudor las
entidades crediticias;

28 de 48
 c) El inicio de la acción judicial de cobro;
d) La sentencia judicial que dispone el pago de la deuda;
e) La fecha de la apertura del concurso de acreedores o de la declaración de
quiebra;
f) Toda aquella otra información que defina el órgano de control. No se
considera última información significativa la asentada en una base de datos
por el sólo hecho de ser la constancia final de una serie o sucesión de datos
si se trata de una mera repetición de la misma información que, sin novedad
o aditamento alguno, ha sido archivada durante los meses anteriores.

ARTÍCULO 47. - DIFUSIÓN DE LA INFORMACIÓN. Las entidades crediticias

deberán ceder la información relativa al cumplimiento de obligaciones de contenido
patrimonial al Banco Central de la República Argentina, en la forma y condiciones
que el mismo establezca, indicando qué información han cedido a terceros. El
Banco Central de la República Argentina difundirá dicha información de manera
amplia y transparente.

ARTÍCULO 48. - DEBER DE COMUNICACIÓN. Las entidades crediticias deben

comunicar al titular de los datos la información a ceder al último domicilio por él
denunciado, o por un canal de comunicación habitual entre las partes que permita
acreditar el envío y su fecha. Dicha comunicación se debe efectuar cuando las
obligaciones pasen a incumplimiento, dentro de los diez (10) días hábiles de
producida la nueva clasificación, y puede remitirse en la forma y condiciones que
establezca el Banco Central de la República Argentina. En cualquier caso, el
cedente tiene la carga de acreditar el cumplimiento de la comunicación aquí
dispuesta. En caso de disconformidad con el contenido de la información
comunicada, el titular de los datos puede ejercer los derechos que le correspondan
de acuerdo a lo establecido en esta Ley y la Entidad Crediticia deberá bloquear los
datos impugnados por el plazo de treinta (30) días hábiles.

ARTÍCULO 49. - INFORMACIÓN Y ENTREGA DEL INFORME. Cuando se

deniegue al titular de los datos la celebración de un contrato, solicitud de trabajo,
servicio, crédito comercial o financiero, sustentado en un informe crediticio, deberá
informársele tal circunstancia en detalle.

29 de 48
ARTÍCULO 50. - FIADORES Y AVALISTAS. Se debe suprimir la información
relativa a los fiadores o avalistas cuando se haya cancelado o extinguido la
obligación.

ARTÍCULO 51. - RECTIFICACIÓN, OPOSICIÓN Y SUPRESIÓN. En el caso de los

archivos o bases de datos públicas conformadas por cesión de información
suministrada por entidades crediticias, los derechos de rectificación, oposición y
supresión deben ejercerse ante la entidad cedente.

30 de 48
CAPÍTULO 9 - SUPUESTOS ESPECIALES.

ARTÍCULO 52. - BASES DE DATOS PÚBLICAS. La creación, modificación o

supresión de bases de datos pertenecientes a autoridades u organismos públicos
debe hacerse por medio de norma de alcance general, publicada en el Boletín
Oficial o diario oficial. Las normas respectivas, deben indicar:
a) Órganos responsables de la base de datos.
b) Características y finalidad de los tratamientos de datos que se efectúen;
c) Personas respecto de las cuales se pretenda obtener datos y el carácter
facultativo de su suministro por parte de aquéllas;
d) Procedimiento de obtención y actualización de los datos;
e) Las cesiones, transferencias o interconexiones previstas;
f) Las oficinas ante las que se pudiesen efectuar el ejercicio de los derechos
previstos en la presente Ley.
En las normas que se dicten para la supresión de las bases de datos se debe
establecer el destino de éstas o las medidas que se adopten para su destrucción.

ARTÍCULO 53. - TRATAMIENTO DE DATOS POR ORGANISMOS DE

SEGURIDAD E INTELIGENCIA. Las bases de datos de las Fuerzas Armadas,
Fuerzas de Seguridad, organismos policiales o de inteligencia quedan sujetas a las
disposiciones de la presente ley.
Cuando sea necesario realizar, sin el consentimiento del titular, el tratamiento de
datos personales con fines de defensa nacional o seguridad pública por parte de las
Fuerzas Armadas, Fuerzas de Seguridad, Organismos Policiales o de Inteligencia
éste queda limitado a aquellos supuestos y categorías de datos que resulten
necesarios para el estricto cumplimiento de las misiones legalmente asignadas a
aquéllos para la defensa nacional, la seguridad pública o para la represión de los
delitos. Se deben suprimir, los datos personales de las bases de datos mencionadas
cuando no sean necesarios para los fines que motivaron su recolección.

ARTÍCULO 54. - BASES DESTINADAS A LA PUBLICIDAD. Pueden tratarse solo

con el consentimiento explícito de su titular datos personales con fines de
publicidad, venta directa y otras actividades análogas, cuando estén destinados a la

31 de 48
formación de perfiles determinados o que permitan establecer hábitos de consumo
que categoricen preferencias y comportamientos similares de las personas, siempre
que los titulares de los datos sólo se identifiquen por su pertenencia a tales grupos
genéricos. En toda comunicación con fines de publicidad que se realice por correo,
teléfono, correo electrónico, Internet o cualquier otro medio, el responsable o
encargado del tratamiento debe implementar reglas de procedimiento para acceder
a la información que faciliten el acceso y ejercicio del titular de los datos de los
derechos previstos en la presente Ley de forma tal que su inobservancia no pueda
constituir un obstáculo para ello. Los datos referentes a la salud no podrán ser
tratados, a fin de realizar ofertas de bienes y servicios. Estos datos no pueden
cederse a terceros sin el consentimiento previo, expreso e informado del titular de
los datos. A dicho fin, éste debe recibir información clara y suficiente respecto del
carácter sensible de los datos que proporciona y de que no está obligado a
suministrarlos, junto con la información prevista en el capítulo 2 y la mención de su
derecho a oponerse al tratamiento de sus datos.

ARTÍCULO 55. - VANTS O DRONES. La recolección de datos personales

(fotográficos, fílmicos, sonoros o de cualquier otra naturaleza) a través de
dispositivos montados en VANTS o drones será lícita en la medida que se realice
con el consentimiento del titular del dato.
En la medida que los medios tecnológicos utilizados para la recolección no
impliquen una intromisión desproporcionada en la privacidad del titular del dato, no
será necesario el consentimiento del titular de los datos en los siguientes casos:
a) Cuando estos dispositivos sean utilizados con fines de seguridad, siempre
que este uso sea compatible con lo dispuesto en el artículo 59 de la presente
Ley.
b) Cuando los datos se recolecten con motivo de la realización de un acto
público o hecho sobre el que pueda presumirse la existencia de un interés
general para su conocimiento y difusión al público.
c) Cuando los datos se recolecten con motivo de la realización de un evento
privado (se realice o no en espacio público) en el que la recolección de los
datos y su finalidad, por parte del organizador o responsable del evento,
respondan a los usos y costumbres (por ejemplo, casamientos, fiestas, etc.).

32 de 48
 d) Cuando la recolección de los datos la realice el Estado Nacional en el
ejercicio de sus funciones, conforme lo dispuesto por el artículo 60 de la
presente Ley.
e) Cuando los datos se recolecten con motivo de la atención a personas en
situaciones de emergencia o siniestros.
f) Cuando los datos se recolecten dentro de un predio de uso propio, en cuyo
caso se deberán informar las medidas de recolección de datos previstas
como condición de acceso.
La autoridad de control deberá regular la inscripción de estos dispositivos y emitir
las recomendaciones pertinentes para el uso de drones con fines recreativos y
científicos.

ARTÍCULO 56. - DISPOSITIVOS CON RECOLECCIÓN DE INFORMACIÓN VÍA EL

INTERNET DE LAS COSAS (IOT). Queda sujeta al régimen de la presente ley la
recolección de datos que surgen de los procesos de Internet de las cosas (IOT),
debiendo el responsable establecer mecanismos de garantías, y responsabilidad
sobre la gestión y almacenamiento de la información recolectada por los
dispositivos. La responsabilidad se extenderá al fabricante de dichos dispositivos o
su representante en la región. Asimismo, todo dispositivo que recolecte información
vía IOT deberá informar expresamente, de forma clara e inequívoca, tanto dentro de
su manual como de sus condiciones de uso, al titular de los datos sobre el
tratamiento que tiene la información recolectada.

ARTÍCULO 57. - MEDIDAS ANTI-SPAM. Las empresas que realicen marketing a

través de canales online, deberán respetar el derecho de los usuarios a decidir si
quieren recibir comunicaciones.

ARTÍCULO 58. - VIDEOVIGILANCIA. Las personas físicas o jurídicas, públicas o

privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de
cámaras o videocámaras con la exclusiva finalidad de preservar la seguridad de
las personas y bienes, así como de sus instalaciones.
Solo podrán captarse imágenes de la vía pública en la medida en que resulte
imprescindible para la finalidad mencionada sin que en ningún caso pueda suponer
la captación de imágenes del interior de un domicilio privado.

33 de 48
Ya sea que la cámara se encuentre en la vía pública o en una propiedad privada,
siempre que existiere, por las características del espacio, una expectativa
razonable de privacidad, el uso de videovigilancia deberá ser notificado. Los
requisitos de forma y contenido de la notificación serán regulados por la autoridad
de control.
Toda colocación de sistemas de cámaras o videocámaras realizada por el Estado
debe ser publicada en el Boletín Oficial, donde también debe indicarse la
información suficiente para que los titulares de los datos puedan ejercer los
derechos mencionados en el Capítulo 6 de esta ley.

ARTÍCULO 59.- COMUNICACIÓN O CESIÓN DE DATOS POR UN ÓRGANO

PÚBLICO. Los órganos públicos están facultados para comunicar o ceder datos
personales específicos o todo o parte de sus bases de datos a otros órganos
públicos, siempre que la comunicación o cesión de los datos resulte necesaria para
el cumplimiento de funciones legales y ambos órganos actúen dentro del ámbito de
sus competencias. La comunicación o cesión de los datos se debe realizar para un
tratamiento específico, de acuerdo con el artículo 6 de la presente Ley, y el órgano
público receptor no los podrá utilizar para otros fines. Asimismo se deberá garantizar
la seguridad en el tratamiento y procesamiento de los datos pudiendo comunicar o
ceder datos o bases de datos, cuando ellos se requieran para un tratamiento que
tenga por finalidad otorgar beneficios al titular, evitar duplicidad de trámites o
reiteración de requerimientos de información o documentos. El órgano público
receptor de los datos sólo puede conservarlos por el tiempo necesario y razonable
para efectuar el tratamiento específico para el cual fueron requeridos, luego de lo
cual deberán ser cancelados o anonimizados. Estos datos se podrán almacenar por
un tiempo mayor cuando el órgano público requiera atender reclamaciones o
impugnaciones, realizar actividades de control o seguimiento, o sirvan para dar
garantía de las decisiones adoptadas.
Para los efectos de poder comunicar o ceder datos personales a personas o
entidades privadas, los organismos públicos deberán contar con el consentimiento
inequívoco del titular, obtenido al momento de la recolección de los datos o con
posterioridad a ella. Cuando se trate de comunicar o ceder datos personales en
virtud de una solicitud de acceso a la información formulada con arreglo a lo
establecido en la Ley N° 27.275 de “Acceso a la Información Pública”, los

34 de 48
organismos públicos deberán contar con el consentimiento del titular obtenido en la
oportunidad prevista en el artículo 9 de dicha ley.

ARTÍCULO 60. - FORMATO Y CONSERVACIÓN DE LOS DATOS. Cuando los

datos sean tratados por organismos públicos deberán conservarse en un formato
interoperable y estructurado de uso compartido, con miras a la implementación de
políticas públicas, prestación de servicios públicos, descentralización de la actividad
pública, difusión y acceso de la información al público en general.

35 de 48
CAPÍTULO 10- AUTORIDAD DE CONTROL

ARTÍCULO 61. - AGENCIA NACIONAL DE PROTECCIÓN DE DATOS

PERSONALES. Créase la Agencia Nacional de Protección de Datos Personales
(ANPDP) como organismo descentralizado instituido en el ámbito del Poder
Legislativo Nacional, que se regirá con plena autarquía y autonomía funcional. La
ANPDP debe velar por el cumplimiento de los principios y procedimientos
establecidos en la presente ley. El patrimonio de la Agencia estará constituido por
los bienes que se le transfieran y por los que adquiera en el futuro por cualquier
título.

ARTÍCULO 62. - DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS

PERSONALES. La ANPDP será dirigida y administrada por una Dirección
unipersonal, designada por el término de cinco (5) años, con posibilidad de ser
reelegida por única vez.
a) Requisitos: Quien dirija la ANPDP, deberá ser una persona con idoneidad
técnica, reconocida versación y acreditada trayectoria, de al menos 10 años,
en la materia. Asimismo, no podrá tener intereses relacionados con los
asuntos bajo su órbita en las condiciones que establece la Ley 25.188, de
Ética en el Ejercicio de la Función Pública.
b) Selección: La designación se realizará mediante concurso público de
oposición y antecedentes. A estos efectos, la ANPDP será el ente
encargado de abrir la convocatoria y efectuar el procedimiento de selección
regularmente y conforme lo establezca su reglamento.
En base a los resultados del concurso, se elaborará una lista con los 5
aspirantes que hayan obtenido la mayor puntuación. A continuación, la
elección de la Dirección de la ANPDP será efectuada por la Comisión de
Selección de Autoridades de la ANPDP.
Únicamente el primer director de la ANPDP será designado por la Comisión
de Comunicación e Informática de la Honorable Cámara de Diputados de la
Nación, siguiendo los requisitos establecidos por el inciso primero del
artículo 62.
c) Conformación: Dicha Comisión deberá estar integrada por representantes
de los ámbitos público y privado. La integración será de un 30% de

36 de 48
 representantes del ámbito académico y científico, 20% de representantes
del ámbito legislativo, 20% de representantes del ámbito judicial, 20% de
representantes del ámbito ejecutivo y 10% de representantes del sector
privado. Además, deberá contar con todos sus Directores mandato cumplido
que no hayan sido removidos en virtud de los dispuesto en los artículos 62
inc. 4 y 61 inc. e y den su aval para formar parte del mismo.
La comisión deberá conformarse con la periodicidad, en el número y por el
tiempo que estime en su reglamento la ANPDP, respetando la paridad de
género y con perspectiva federal.
d) Remoción: La persona en el cargo de la Dirección de la ANPDP podrá ser
removida en caso de comisión de delitos, ineptitud o inhabilidad probada
para el ejercicio de sus funciones mediante el procedimiento que establezca
en su reglamento la ANPDP. Se volverá a realizar un proceso de selección
de la Dirección de acuerdo con las pautas establecidas en el inciso 1 del
presente artículo.

ARTÍCULO 63. - REQUISITOS E INCOMPATIBILIDADES. Para ser designado

director o directora de la Agencia Nacional de Protección de Datos Personales se
requiere ser ciudadano argentino.
Asimismo, deberán presentarse antecedentes que acrediten idoneidad para el
ejercicio de la función.
El ejercicio de la función requiere dedicación exclusiva y resulta incompatible con
cualquier otra actividad pública o privada, excepto la docencia a tiempo parcial.
Está vedada cualquier actividad partidaria mientras dure el ejercicio de la función.
Ningún funcionario a cargo de la Agencia Nacional de Protección de Datos
Personales podrá tener intereses o vínculos con los asuntos bajo su órbita en las
condiciones establecidas por la Ley de Ética en el Ejercicio de la Función Pública
N° 25.188, sus modificaciones y su reglamentación.
El director propuesto no podrá haber desempeñado cargos electivos o partidarios
en los últimos cinco (5) años previos a la designación.
El o la cónyuge o conviviente civil del Director o Directora y sus parientes hasta el
segundo grado de consanguinidad inclusive, no podrán ser director o directora ni
tener participación en la propiedad de una empresa cuyo objeto o giro comercial

37 de 48
verse sobre recolección, tratamiento o comunicación de datos personales.

ARTÍCULO 64. - FACULTADES DE LA AUTORIDAD DE CONTROL. Son

competencias y funciones de la Agencia Nacional de Protección de Datos
Personales:
a) Velar por el respeto, defensa y protección de los derechos y libertades de
las personas que son titulares de datos, en particular el derecho a la vida
privada, promoviendo una cultura de información, educación y participación
ciudadana de acuerdo a los principios y derechos establecidos en esta ley;
b) Asistir y asesorar a las personas que lo requieran acerca de los alcances de
la presente ley y de los medios legales de que disponen para la defensa de
sus derechos;
c) Dictar las normas y criterios orientadores que se deben observar en el
desarrollo de las actividades comprendidas por esta ley; específicamente,
dictar normas administrativas y de procedimiento relativas a las funciones a
su cargo, y las normas y procedimientos técnicos relativos al tratamiento de
datos y condiciones de seguridad de las bases de datos, a ser utilizadas
tanto a nivel nacional como internacional;
d) Determinar cuales son aquellos países con los cuales queda autorizada la
transferencia de datos, siendo estos quienes cumplen con las normas y
criterios establecidos por la ANPDP de acuerdo con el inciso anterior;
e) Atender los requerimientos y denuncias interpuestos en relación al
tratamiento de datos;
f) Controlar el cumplimiento de los requisitos y garantías que deben reunir los
tratamientos de datos de conformidad con la presente ley y las normas que
dicte la autoridad de control;
g) Solicitar información a las entidades públicas y privadas. En estos casos, la
autoridad deberá garantizar la seguridad y confidencialidad de la
información y elementos suministrados;
h) Imponer las sanciones administrativas que correspondan;
i) Constituirse en querellante en las acciones penales que se promovieran por
violaciones a la presente Ley;
j) Homologar y publicar los mecanismos de autorregulación vinculantes y
supervisar su cumplimiento, como promover su elaboración;

38 de 48
 k) Solicitar información a los Delegados de Protección de Datos, en los
términos de lo previsto en la presente Ley;
l) Formular el presupuesto anual de gastos y cálculo de recursos, que la
ANPDP elevará por intermedio del Poder Ejecutivo nacional para su
aprobación legislativa mediante la Ley Nacional de Presupuesto del ejercicio
correspondiente;
m) Acceder y promover la seguridad de bases de datos que han sido
bloqueadas temporal o permanentemente en virtud de una orden judicial
brindada en el marco del artículo 76 último párrafo;
n) Publicar un informe anual que dé cuenta sobre la marcha de la ANPDP.

ARTÍCULO 65. - CESE DEL DIRECTOR. Cesará de pleno derecho en sus

funciones de mediar alguna de las siguientes circunstancias:
a) Renuncia;
b) Remoción, de acuerdo con el artículo 62 inciso 4;
c) Vencimiento del mandato;
d) Fallecimiento;
e) Estar comprendido en alguna situación que le genere incompatibilidad o
inhabilidad.

ARTÍCULO 66. - PERSONAL DE LA AGENCIA NACIONAL DE PROTECCIÓN

DE DATOS PERSONALES. La Agencia Nacional de Protección de Datos
Personales contará con el personal técnico y administrativo que establezca la ley
de presupuesto general de la administración nacional.

ARTÍCULO 67. - SEDES DE LA AGENCIA NACIONAL DE PROTECCIÓN DE

DATOS PERSONALES. La Agencia Nacional de Protección de Datos Personales
(ANPDP) deberá contar con una sede central y representaciones en cada provincia.
El patrimonio de la Agencia Nacional de Protección de Datos Personales estará
constituido por los siguientes recursos:
a) Las partidas que se le asignen en el Presupuesto General de la Nación;
b) Los legados y donaciones que reciba, los cuales quedarán exentos de todo
tributo, cualquiera sea su naturaleza;

39 de 48
 c) Todo tipo de aporte, subsidio o contribución en dinero o en especie
proveniente de entidades oficiales o privadas; ya sean de equipamiento,
gastos de funcionamiento o programas de actividades;
d) Todo otro ingreso compatible con la naturaleza y finalidades del organismo.

CAPÍTULO 11- PROCEDIMIENTOS Y SANCIONES

ARTÍCULO 68. - PROCEDIMIENTO. A los efectos de constatar el cumplimiento de

las disposiciones de la presente ley, la autoridad de control podrá iniciar
procedimientos:
a) A instancias del titular de los datos o de su representante legal;
b) De verificación de oficio;
c) De verificación por denuncia de un tercero.

ARTÍCULO 69. - TRÁMITE DE PROTECCIÓN DE LOS DATOS PERSONALES. El

titular de los datos o su representante legal puede iniciar un trámite de protección de
los datos personales presentando ante la autoridad de control una denuncia, por
escrito o mediante cualquier medio habilitado por la autoridad de control,
expresando con claridad el contenido de su requerimiento y de los preceptos de
esta ley que considere vulnerados, y acreditando haber efectuado la intimación
prevista en el artículo 46.
La presentación debe realizarse dentro de los quince (15) días hábiles siguientes a
la fecha en que se comunique la respuesta al titular de los datos por parte del
responsable del tratamiento de acuerdo a lo previsto en la citada norma, o en
cualquier momento si el plazo allí establecido hubiere vencido sin respuesta del
responsable del tratamiento.
La autoridad de control dará traslado al responsable del tratamiento, para que en el
plazo de diez (10) días hábiles, emita respuesta, ofrezca las pruebas que estime
pertinentes y manifieste por escrito lo que a su derecho convenga.
La autoridad de control admitirá las pruebas que considere procedentes. Asimismo,
podrá solicitar del responsable del tratamiento las demás pruebas que considere
necesarias. La producción de las pruebas deberá realizarse en un plazo máximo
de diez (10) días hábiles. Concluida la recepción de pruebas y producidas estas, la

40 de 48
autoridad de control notificará al responsable del tratamiento el derecho que le
asiste para que, de considerarlo necesario, presente sus alegatos dentro de los
cinco (5) días hábiles siguientes a su notificación.

ARTÍCULO 70. - TRÁMITE DE VERIFICACIÓN DE OFICIO O POR DENUNCIA DE

UN TERCERO. La autoridad de control verificará el cumplimiento de la presente ley
y de la normativa que de ésta derive. La verificación podrá iniciarse de oficio o por
denuncia de un tercero. A efectos de practicar la verificación, la autoridad de control
tendrá acceso a la información y documentación que considere necesarias, de
acuerdo a lo previsto en la presente Ley y a la reglamentación correspondiente. En
caso de que corresponda, se aplicará al trámite lo previsto en el artículo 88.

ARTÍCULO 71. - RESOLUCIÓN. La resolución de la autoridad de control podrá:

a) Disponer el archivo de las actuaciones;
b) Requerirle al responsable del tratamiento que haga efectivo el ejercicio de los
derechos objeto de protección, debiendo dar cuenta por escrito de dicho
cumplimiento dentro de los quince (15) días hábiles de efectuado;
c) De verificarse incumplimientos a la presente Ley, imponer una sanción de las
previstas en el artículo 82.
La autoridad de control dictará la resolución que corresponda en un plazo máximo
de 20 días hábiles.

ARTÍCULO 72. - CONCILIACIÓN. La autoridad de control podrá en cualquier

momento del procedimiento buscar una conciliación. De llegarse a un acuerdo de
conciliación, éste se hará constar por escrito y tendrá efectos vinculantes. La
autoridad de control determinará el procedimiento que se aplicará a la conciliación.

ARTÍCULO 73. - RECURSOS. Las resoluciones de la autoridad de control

agotarán la vía administrativa a los efectos de lo previsto en la Ley Nacional de
Procedimientos Administrativos Nº 19.549 y sus modificatorias, y serán recurribles
ante los tribunales federales competentes. No procederá el recurso de alzada.

ARTÍCULO 74. - INFRACCIONES LEVES, GRAVES Y GRAVÍSIMAS. Las

infracciones a esta ley se califican, atendida su gravedad, en leves, graves y

41 de 48
gravísimas.
1) Se consideran infracciones leves:
a) El incumplimiento total o parcial del deber de información y
transparencia;
b) No disponer de una dirección de correo electrónico o de un medio
electrónico equivalente, actualizado y operativo, a través del cual los
titulares de datos puedan dirigir sus comunicaciones o ejercer sus
derechos;
c) No responder o responder fuera de plazo las solicitudes formuladas
por el titular de datos en conformidad a esta ley;
d) No informar o no remitir a la Agencia Nacional de Protección de Datos
Personales las comunicaciones previstas en esta ley o en sus
reglamentos;
e) No dar cumplimiento a las instrucciones impartidas por la Agencia
Nacional de Protección de Datos Personales que no estén
sancionadas específicamente como infracción grave o gravísima;
f) No efectuar el bloqueo temporal de los datos personales del titular
cuando éste lo haya solicitado fundadamente o denegar la solicitud sin
justa causa;
g) Impedir el ejercicio legítimo del derecho a la portabilidad de los datos
personales del titular;
h) Cometer cualquier otra infracción a los principios, deberes y
obligaciones establecidas en esta ley que no sea calificada como una
infracción grave o gravísima.
2) Se consideran infracciones graves las siguientes:
a) Tratar los datos personales sin contar con el consentimiento previo
del titular de datos o sin la habilitación legal correspondiente o
tratarlos con una finalidad distinta de aquélla para la cual fueron
recolectados;
b) Ceder los datos personales del titular para un fin distinto del
autorizado por el titular;
c) Vulnerar en las operaciones de tratamiento de datos que realice, en
forma manifiesta, los principios de minimización, exactitud, seguridad
y responsabilidad;

42 de 48
 d) Realizar tratamiento de datos personales sensibles y de datos
personales de niños, niñas y adolescentes con infracción a las
normas previstas en esta Ley;
e) Vulnerar el deber de secreto o confidencialidad establecido en el
artículo 22 de esta Ley;
f) Impedir u obstaculizar el ejercicio legítimo de los derechos de acceso,
rectificación, cancelación u oposición del titular;
g) No adoptar las medidas de seguridad que resulten adecuadas,
necesarias y oportunas para el tratamiento de datos y que se
encuentren previstas en esta ley, en el reglamento respectivo o en las
instrucciones de la Agencia Nacional de Protección de Datos
Personales;
h) No efectuar las comunicaciones o no realizar los registros
correspondientes en los casos de vulneración de las medidas de
seguridad, según lo establecido en el artículo 16 de esta ley;
i) Realizar operaciones de transferencia internacional de datos en
contravención a las normas previstas por la ANPDP, según el artículo
64;
j) Adoptar medidas de calidad y seguridad insuficientes o no idóneas
para el tratamiento de datos personales con fines históricos,
estadísticos o científicos y para estudios o investigaciones que
atiendan fines de interés público;
k) Entregar información falsa, incompleta o manifiestamente errónea en
el proceso previsto en el artículo 45 de esta ley;
l) Recolectar maliciosamente a través de niños, niñas o adolescentes
datos personales de integrantes de su grupo familiar;
m) No dar cumplimiento a las instrucciones específicas y directas que le
haya impartido la Agencia Nacional de Protección de Datos
Personales.
3) Se consideran infracciones gravísimas las siguientes:
a) Efectuar el tratamiento de datos personales de manera
manifiestamente fraudulenta;
b) Destinar maliciosamente, de acuerdo a lo provisto en el artículo 5
de la presente Ley, los datos personales a una finalidad distinta de

43 de 48
 la consentida por el titular o prevista en la ley que autoriza su
tratamiento;
c) Comunicar, transmitir o ceder a terceros, a sabiendas, información
no veraz, incompleta, inexacta o desactualizada del titular de datos;
d) Vulnerar, a sabiendas, el deber de secreto o confidencialidad sobre
los datos personales sensibles y datos personales relativos a la
comisión y sanción de infracciones penales, civiles, administrativas
y disciplinarias;
e) Comunicar o ceder a terceros, a sabiendas, datos personales
sensibles sin el consentimiento del titular y en contravención a las
normas dispuestas en el artículo 20 de esta ley;
f) Tratar datos personales sensibles con manifiesta falta de diligencia
o cuidado;
g) No comunicar oportunamente, habiendo estado en conocimiento de
ello y disponiendo de los medios para hacerlo, la vulneración de las
medidas de seguridad que puedan afectar la confidencialidad,
disponibilidad o integridad de los datos personales;
h) Actuar con falta de diligencia o cuidado en la protección de los
datos personales que conciernen a los niños, niñas y adolescentes.

ARTÍCULO 75. - SANCIONES. La autoridad de control podrá imponer a los

responsables y encargados del tratamiento las siguientes sanciones:
a) Las sanciones leves serán sancionadas con apercibimiento y/o multa de
hasta el equivalente a mil (1.000) Salarios Mínimos Vitales y Móviles
vigentes al momento de la imposición de la sanción;
b) Las sanciones graves serán sancionadas con multa de mil uno (1.001) a
cinco mil (5000) Salarios Mínimos Vitales y Móviles vigentes al momento de
la imposición de la sanción y/o suspensión de las actividades relacionadas
con el tratamiento de datos hasta por un término de seis (6) meses. En el
acto de suspensión se indicarán las medidas correctivas que deberán
adoptarse;
c) Las sanciones gravísimas serán sancionadas con multa de cinco mil uno
(5.001) a dieciocho mil (18.000) Salarios Mínimos Vitales y Móviles vigentes
al momento de la imposición de la sanción y/o cierre inmediato y definitivo

44 de 48
 de la operación que involucre el tratamiento de datos sensibles.
En todos los casos la autoridad de control dará a publicidad la resolución en su
sitio web, y ordenará su publicación en el sitio web del responsable, a su costa.
Al disponer la suspensión o los cierres previstos en los incisos b) y c), la autoridad
de control podrá requerir al juez competente que, de manera temporal o definitiva,
ordene el retiro, bloqueo, suspensión y/o inhabilitación del acceso a los datos
personales a los responsables del tratamiento den acceso. A tal efecto, la
autoridad de control deberá precisar el enlace en el que se encuentren alojados los
datos personales o los procedimientos para acceder a aquél a fin de velar por su
seguridad. En ningún caso, estas medidas podrán afectar el derecho a la libertad
de expresión, información y privacidad.

45 de 48
CAPÍTULO 12- ACCIÓN DE HABEAS DATA

ARTÍCULO 76. - PROCEDENCIA. La acción de habeas data procede para tutelar

los derechos que resulten restringidos, alterados, lesionados o amenazados por un
tratamiento de datos personales contrario a la presente ley por parte de las
autoridades públicas o por particulares.
Esta acción procederá especialmente para ejercer los derechos de acceso,
rectificación, actualización, oposición, cancelación y portabilidad de los datos
previstos en la presente ley. En los casos en que se presuma o se hubiera
verificado la falsedad, inexactitud, desactualización de la información de que se
trata, o se hubiera realizado un tratamiento de datos ilícito o prohibido, la acción de
habeas data procederá para ejercer los derechos de rectificación, de oposición, o
de supresión previstos en los artículos 32, 33 y 34.

ARTÍCULO 77. - LEGITIMACIÓN ACTIVA Y PASIVA. La acción de habeas data

podrá ser ejercida por el titular de los datos afectados, sus tutores, curadores o por
el titular de la responsabilidad parental o tutela en caso de niños. En el caso de las
personas humanas fallecidas, la acción podrá ser ejercida por sus sucesores
universales. En el proceso podrá intervenir, en forma coadyuvante y cuando
corresponda, la autoridad de control, quien será notificada del inicio de la acción de
habeas data.
La acción podrá ser también intentada en representación colectiva por la autoridad
de control, siempre que su objeto se limite a la impugnación de tratamientos que
conlleven violaciones generalizadas. La acción procede respecto de los
responsables del tratamiento. Excepcionalmente los responsables del tratamiento
podrán interponer la acción contra otros responsables o encargados del
tratamiento cuando estos últimos incumplan con sus obligaciones legales o
convencionales y esto pueda acarrearles perjuicio.

ARTÍCULO 78. - COMPETENCIA. Será competente para entender en esta acción

el juez del domicilio del actor o del demandado, a elección del actor. Procederá la
competencia federal cuando la acción se interponga en contra:
a) De los responsables del tratamiento que sean parte de la Administración

46 de 48
 Pública Nacional, en los términos del artículo 8° de la Ley N°24.156 y sus
modificatorias;
b) Del responsable del tratamiento de datos accesibles en redes
interjurisdiccionales, nacionales o internacionales.

ARTÍCULO 79. - PROCEDIMIENTO APLICABLE. La acción de habeas data

tramitará según las disposiciones de la presente Ley y, supletoriamente, según el
procedimiento que corresponde a la acción de amparo común. El juez dispondrá
de amplias facultades para adaptar los procedimientos de acuerdo a las
circunstancias particulares del caso y a fin de dar mayor eficacia tuitiva al proceso.

ARTÍCULO 80. - REQUISITOS DE LA DEMANDA. La demanda deberá

interponerse por escrito, individualizando con la mayor precisión posible el nombre
y domicilio del responsable del tratamiento y, en su caso, el nombre de la base de
datos o cualquier otra información que pudiera ser útil a efectos de identificarla. En
el caso de bases de datos públicas, se procurará establecer la autoridad u
organismo público del cual dependan el responsable o el encargado del
tratamiento. El accionante deberá alegar las razones por las cuales entienda que
se esté efectuando tratamiento de datos referido a su persona y los motivos por los
cuales considere que procede el ejercicio de los derechos que le reconoce la
presente Ley. Deberá asimismo, justificar el cumplimiento de los recaudos que
hacen al ejercicio de tales derechos. El juez podrá disponer el bloqueo provisional
del acceso a la base de datos en lo referente a los datos personales motivo del
juicio cuando sea manifiesto el carácter ilícito del tratamiento de esos datos o ellos
sean inequívocamente falsos o inexactos.

ARTÍCULO 81. - TRÁMITE. Admitida la acción, el o la juez requerirá al responsable

del tratamiento la remisión de la información concerniente al accionante y el
ofrecimiento de la prueba pertinente. Podrá asimismo solicitar esa información al
encargado del tratamiento o al delegado de protección de datos. También podrá
requerir informes sobre el soporte técnico de datos, documentación de base relativa
a la recolección y cualquier otro aspecto que resulte conducente a la resolución de
la causa. El plazo para contestar el informe no podrá ser mayor de cinco (5) días
hábiles, el que podrá ser ampliado prudencialmente por el juez. Cuando un

47 de 48
responsable o encargado del tratamiento o Delegado de Protección de Datos se
oponga a la remisión del informe solicitado, con invocación de las excepciones
autorizadas por la presente Ley o por una Ley específica, deberá acreditar los
extremos que hacen aplicable la excepción legal. En tales casos, el juez podrá
tomar conocimiento personal y directo de la información requerida manteniendo su
confidencialidad.

ARTÍCULO 82. - CONTESTACIÓN DEL INFORME. Al contestar el informe, el

responsable o encargado del tratamiento o el Delegado de Protección de Datos
deberá expresar las razones por las cuales efectuó el tratamiento cuestionado y, en
su caso, aquellas razones por las que no evacuó el pedido efectuado por el
accionante.

ARTÍCULO 83. - AMPLIACIÓN DE LA DEMANDA. Contestado el informe, el actor

podrá, en el término de cinco (5) días, ampliar el objeto de la demanda, ofreciendo
en el mismo acto la prueba pertinente. De esta presentación se dará traslado al
demandado por igual término para que conteste y ofrezca prueba.

ARTÍCULO 84. - SENTENCIA. Vencido el plazo para la contestación del informe o

contestado éste, y en el supuesto del artículo 83, luego de contestada la ampliación,
y en su caso habiendo sido producida la prueba, el juez dictará sentencia. De
estimarse procedente la acción, se especificará si la información debe ser
bloqueada, suprimida, rectificada, o actualizada, estableciendo un plazo para su
cumplimiento. En ningún caso, la sentencia podrá afectar el derecho a la libertad de
expresión e información. La sentencia deberá ser comunicada a la autoridad de
control. Contra la sentencia procede el recurso de apelación.

48 de 48
CAPÍTULO 13- DISPOSICIONES TRANSITORIAS.

ARTÍCULO 85. - VIGENCIA. Las disposiciones de la presente Ley entrarán en

vigencia a partir de la publicación en boletín oficial otorgando un plazo de dos (2)
años a los responsables y encargados del tratamiento para adaptarse a las
obligaciones contenidas en ella. En dicho plazo, conservarán plena vigencia las
Leyes Nros. 25.326 y 26.343, sus normas reglamentarias y la restante normativa
dictada por la entonces Dirección Nacional de Protección de Datos Personales.

CAPÍTULO 14- DISPOSICIONES FINALES

ARTÍCULO 86. - ORDEN PÚBLICO. Las normas de la presente ley contenidas en

los capítulos 1, 2, 3, 4, 5, 6, 7, 8 y 9 son de orden público y de aplicación en lo
pertinente en todo el territorio nacional. Se invita a las provincias y a la Ciudad
Autónoma de Buenos Aires a adherir a las disposiciones de esta ley que fueren de
aplicación exclusiva en jurisdicción nacional.

ARTÍCULO 87. - JURISDICCIÓN FEDERAL. La jurisdicción federal regirá

respecto de:
a) Los tratamientos de datos efectuados por las autoridades u organismos
públicos pertenecientes a la Administración Pública Nacional;
b) Los tratamientos de datos efectuados por el sector privado, cuando los
datos se encuentren accesibles en redes interjurisdiccionales, nacionales o
internacionales.

ARTÍCULO 88. - DEROGACIÓN. Cumplido el plazo previsto en el artículo 86 de

esta ley, quedarán derogadas las Leyes Nros. 25.326 y 26.343.

ARTÍCULO 89. - Comuníquese al Poder Ejecutivo.

49 de 48
FUNDAMENTOS

Señor/a Presidente:

Ya entrado el siglo XXI, nos encontramos ante la imposibilidad de negar el

apremiante avance de las tecnologías y su inesperado impacto en nuestra vida
cotidiana, por lo que resulta oportuno reflexionar acerca del derecho a la privacidad
y la protección de datos personales que lo condiciona. Dicho derecho es
consagrado en el artículo 19 de la Constitución Nacional, aludiendo a la protección
de la esfera privada de todos los ciudadanos argentinos. Esto implica configurar un
límite, tanto para el individuo como para el Estado, a las interferencias en la
privacidad de un tercero, y supone así una obligación por parte de la Justicia a
involucrarse cuando dicho límite no se vea respetado.

El progreso tecnológico ha implicado la aparición de nuevas problemáticas:

dada la mayor cantidad de datos y más facilidad para acceder a ellos, se evidencian
nuevos peligros con respecto a su indebida utilización. Si bien nuestra sociedad está
conectada de maneras previamente inimaginables, esta interconexión abre la puerta
a formas de exposición hasta ahora impensadas. Nuestra integridad individual
puede verse vulnerada por el mal uso de nuestros datos personales por medio del
empleo de medios novedosos. Es evidente que el fortalecimiento de un marco
regulatorio de protección de datos ajustado a los parámetros vigentes resulta
imprescindible. El objetivo del presente proyecto de ley es abordar esta cuestión, a
fines de poder garantizar un tratamiento y circulación de los datos personales de los
ciudadanos que no suponga la vulnerabilidad de su privacidad, es decir, un daño
para su integridad individual. Para ello, es preciso profundizar en la necesidad de
proteger los datos personales y exponer los precedentes presentes en nuestro
ordenamiento jurídico.

En una sociedad abierta dónde los individuos, en calidad de sujetos

autónomos, son respetados en su capacidad para dirigir sus vidas y tomar
decisiones en su ámbito individual, la recolección y tratamiento de datos personales
no deben estar exentos de las regulaciones necesarias para la protección de dichas
capacidades y posibilidades individuales. En este sentido, datos que refieren a

50 de 48
nuestra identidad -nombre, edad, etnia, orientación sexual, género, opiniones
políticas, etcétera- y a nuestra salud, así como nuestros datos biométricos y
genéticos, deben ser posesión primaria de cada individuo, en tanto que hacen a su
esfera particular. Esto requiere tomar en consideración que su utilización ilícita y
fraudulenta podrían resultar potencialmente perjudiciales para su privacidad y su
vida. En consecuencia, es un derecho poder elegir de qué forma deseamos que sea
tratada aquella información que nos define y nos pertenece.

Siendo que la República Argentina ya adhiere en el marco reglamentario

multilateral para la protección de datos delineado por la Unión Europea con el
Convenio 108, el presente proyecto de ley comparte el espíritu de la reglamentación
europea sustentada, primero, en la Directiva 2016/680 y, luego, en el Reglamento
2016/679 o Reglamento General de Protección de Datos. En este sentido, coincide
con la Carta de Derechos Fundamentales de la Unión Europea en su noción del
derecho a la protección de datos de carácter personal, como un derecho inviolable y
primario de los individuos, cuyo respeto es necesario para la buena vida común.

Teniendo en mente no sólo la evidente importancia del correcto tratamiento

de los datos personales sino también el compromiso de nuestra nación con la
protección a la privacidad, este proyecto de ley conserva como piedras
fundacionales el respeto a la libertad, privacidad y consentimiento del individuo y la
consideración de la importancia del uso adecuado de los datos personales. De esta
manera, se busca proveer un marco legal para garantizar el adecuado tratamiento
de los datos pertenecientes a cada ciudadano.

El tratamiento de datos personales debe ser realizado en conformidad con

diversos principios derivados de marcos regionales e internacionales, siendo estos
un límite necesario a las organizaciones públicas o privadas que recopilan y utilizan
información personal de un individuo. Remitiendo al Reglamento General de
Protección de Datos establecido por la Unión Europea, los datos personales deben
ser tratados de manera lícita, leal y transparente; así como también se debe tener
presente la finalidad e integridad de los mismos. Es por este motivo que el presente
proyecto busca legislar la protección de datos personales rigiéndose por las
siguientes definiciones:

51 de 48
 a) Datos sensibles: Datos personales que revelan el origen racial o etnico;
opiniones políticas, convicciones religiosas, filosóficas o morales;
participación o afiliación en una organización sindical o política; información
referente a la salud, preferencia o vida sexual; hábitos y costumbres
familiares; datos genéticos y datos biométricos dirigidos a identificar de
manera unívoca a una persona física; datos de geolocalización.
b) Datos genéticos: Datos personales relativos a las características genéticas
heredadas o adquiridas de una persona física que proporcionen una
información única sobre la fisiología o la salud de esa persona.
c) Datos biométricos: Datos personales obtenidos a partir de un proceso
tecnológico determinado, relacionados con las características físicas,
fisiológicas o conductuales de una persona de existencia visible que permita
su identificación, como imágenes faciales o datos dactiloscópico;
d) Datos relativos a la salud: Datos personales de la salud física o mental de
una persona física, incluida la prestación de servicios de atención sanitaria,
que revelen información sobre su estado de salud.

Nuestro ordenamiento jurídico entiende la importancia de la protección de

cada uno de estos datos. Así, el Pacto Internacional de Derechos Civiles y Políticos
-el cual posee jerarquía constitucional, en el artículo 75 inciso 22- en su artículo 17,
establece: “1. Nadie será objeto de injerencias arbitrarias o ilegales en su vida
privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su
honra y reputación. 2. Toda persona tiene derecho a la protección de la ley contra
esas injerencias o esos ataques”. Así mismo, la Declaración Universal de Derechos
Humanos -de misma jerarquía constitucional, en el artículo 75 inciso 22- enuncia en
su artículo 12 que “Nadie será objeto de injerencias arbitrarias en su vida privada, su
familia, su domicilio o su correspondencia, ni de ataques a su honra o a su
reputación. Toda persona tiene derecho a la protección de la ley contra tales
injerencias o ataques”. De lo expuesto, no sólo puede deducirse la protección
constitucional, sino además el compromiso internacional que el Estado argentino
posee a garantizar tal protección.

52 de 48
 Tras la reforma constitucional de 1994, y con la jerarquía constitucional que
tales tratados alcanzaron, la Comisión Constituyente comprendió la importancia de
contar con un remedio constitucional para solucionar rápida y eficazmente cualquier
tipo de problema producto de la injerencia sobre los datos personales. De este
modo, a partir de dicho año, el artículo 43, tercer párrafo de la Constitución Nacional
establece: “Toda persona podrá interponer esta acción para tomar conocimiento de
los datos a ella referidos y de su finalidad, que consten en registros o bancos de
datos públicos, o los privados destinados a proveer informes, y en caso de falsedad
o discriminación, para exigir la supresión, rectificación, confidencialidad o
actualización de aquéllos. No podrá afectarse el secreto de las fuentes de
información periodística”. El remedio constitucional, conocido como Habeas Data,
reafirma el compromiso de nuestro ordenamiento jurídico para con el presente
proyecto.

Asimismo, desde los códigos sustantivos, como el Código Civil y Comercial,

también encontramos abordajes. El artículo 52 del mismo establece: “La persona
humana lesionada en su intimidad personal o familiar, honra o reputación, imagen o
identidad, o que de cualquier modo resulte menoscabada en su dignidad personal,
puede reclamar la prevención y reparación de los daños sufridos, conforme a lo
dispuesto en el Libro Tercero, Título V, Capítulo 1”. La vulneración de datos
personales es, por excelencia, la forma de menoscabar a la citada norma;
entendemos que los datos personales hacen a los derechos personalísimos, pues
estos constituyen el nombre, domicilio, intimidad, imagen y demás extractos que
conforman la dignidad de la persona.

Resulta primordial resaltar que el tratamiento de datos personales resulta

legítimo cuando mediare el consentimiento de la persona humana. Del mismo modo,
el proyecto de ley trata el derecho al olvido, en el artículo 34, doctrina la cual ha
tenido lugar en la praxis jurídica alrededor del globo y que se relaciona
estrechamente con la importancia del consentimiento. Se entiende que, a su vez,
forma parte del derecho a la protección de datos personales el que las personas
puedan retirar el consentimiento previamente dado, debiendo garantizar que el
trámite para realizar dicha revocación sea gratuito y sencillo de acceder para no
menoscabar tal derecho. Todo ello, sin perjuicio que la excepción a la regla de

53 de 48
consentimiento es el abuso del derecho, pues ningún derecho es absoluto y cuando
mediaren situaciones de seguridad nacional o de orden público, se omite el
consentimiento. Lo expuesto se encuentra reglamentado en el presente proyecto de
ley en su Capítulo Tercero.

La protección de los datos personales constituye un derecho constitucional,

consustancial a la autonomía y la privacidad individuales; pasar por alto su
protección es un atentado contra la Constitución y fundamentalmente, contra los
ciudadanos. Se evidencia entonces, la necesidad de una clara y expresa regulación
para que los dichos datos puedan ser debidamente recolectados y tratados y así,
garantizar su protección, cumpliendo con las obligaciones internacionales, así como
para con los ciudadanos de la República Argentina.

Por esto último, el presente proyecto de ley posee una perspectiva federal,
razón por la cual se insta a las provincias y a la Ciudad Autónoma de Buenos Aires
a sancionar o enmendar sus respectivas leyes de protección integral de datos
personales con el fin de abrazar los principios, nociones, fundamentos y reglas del
presente proyecto de ley. Esto permite garantizar, a todas los ciudadanos de la
Nación argentina, con independencia de donde habitaran, el derecho a la protección
de sus datos personales.

En virtud de todo lo expuesto, y con el firme propósito de nutrir la seguridad

jurídica de los individuos con respecto a sus datos personales, es que solicitamos a
nuestros pares el compromiso con el presente proyecto ley.

Firmantes: Agostina Gariboldi, Agustina Cárcamo, Ana Paula Carosio, Antonia

Fratini, Benjamín María Bisgosch, Carolina Aylén Perez Quiroga, Carolina Gazzola,
Ezequiel Jacofsky, Facundo Andrés Amarilla Sorol, Javier Múgica, Julián José
Hollmann de Petralanda, Matias Alfonso, Milagros Castro, Mora Buscaglia, Naiara
Besga, Paola Fatima Carina Nuñez Herrero, Paula Luna Garimaldi, Pedro
Macaudier, Rocío Manzano, Santiago Festa, Valentina Messina, Victoria Franco,
Victoria Selem, Violeta Farina y Tomas Pollak.

54 de 48