La Agencia de Acceso a la Información Pública (en adelante "AAIP") ha aprobado una serie de "criterios orientadores e indicadores de mejores prácticas" para la aplicación de la Ley de Protección de Datos Personales N° 25.326 a través de la Resolución 4/2019.


En palabras de la AAIP, ha resultado necesario establecer estos criterios para la correcta interpretación e implementación de las normas de protección de datos personales, de modo que la ciudadanía en general pueda acceder a ellos, y así fortalecer el ejercicio de los derechos que resguarda la ley.

En virtud de ello, la AAIP se ha expedido en materia de:

  1. recolección de datos mediante sistemas de video vigilancia;
  2. tratamiento automatizado de datos;
  3. disociación de datos;
  4. datos biométricos; y
  5. consentimiento del titular del dato, incluyendo el consentimiento de los menores de edad.

En este sentido, las recomendaciones son las siguientes:

(i) Derecho de acceso a datos personales recolectados mediante sistemas de video vigilancia

En caso de que el titular de los datos personales recolectados mediante sistemas de video vigilancia solicite acceder a sus datos, se debe tener en cuenta lo siguiente.

  1. El titular de los datos personales debe acreditar correctamente su identidad mediante su DNI. Además, debe comunicar una fecha y hora aproximada de la captura de su imagen y toda otra información necesaria para la correcta identificación.
  2. El responsable de la base de datos debe proporcionarle al titular sus datos de forma clara, explicando el lugar y tiempo en que se registraron las imágenes, la finalidad, eventuales cesiones y/o el destino de los datos y si la base de datos ha sido registrada debidamente en el Registro Nacional de Bases de Datos de la Dirección Nacional de Datos Personales.
  3. Si el titular de los datos fundara correctamente los motivos para la obtención de sus datos, el responsable deberá proporcionarle la imagen, a costo del titular. Si la imagen permitiera identificar a algún tercero, el responsable deberá aplicar técnicas de disociación de datos para evitar su identificación.
  4. El responsable de la base de datos deberá informar al titular de los datos que, en caso de disconformidad con la respuesta brindada a su solicitud, podrá presentar un reclamo ante la Dirección Nacional de Protección de Datos Personales.

(ii) Tratamiento automatizado de datos

Con respecto a esta cuestión, siempre que el responsable de la base de datos tome decisiones basadas en el tratamiento automatizado de datos, que tengan efectos jurídicos perniciosos para el titular, o lo afecten significativamente de forma negativa, el titular del dato tendrá derecho a solicitar al responsable una explicación sobre la lógica aplicada en la decisión.

(iii) Disociación de datos

Una persona no será considerada determinable cuando el procedimiento para su correcta identificación requiera la aplicación de medidas o plazos desproporcionados o inviables.

(iv) Datos biométricos

La AAIP define a los datos biométricos como "aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativo a las características físicas, fisiológicas o conductuales de una persona humana, que permitan o confirmen su identificación única". En este sentido, la AAIP estableció que los datos biométricos son considerados datos sensibles.

(v) Consentimiento

Una vez que el titular del dato preste su consentimiento sobre sus datos personales, el responsable de la base de datos debe acreditar la identidad del titular del dato y confirmar que efectivamente es quien prestó el consentimiento a través de mecanismos de validación de identidad eficaces.

En caso de cesión de datos personales entre organismos públicos, el consentimiento del titular del dato no será requerido cuando: (i) el cedente hubiera obtenido esos datos en ejercicio de sus funciones; (ii) el cesionario utilice los datos para una finalidad enmarcada dentro de su competencia; y (iii) los datos involucrados sean adecuados y no excesivos.

Por último, cuando se traten datos de menores de edad, se deberá tener en cuenta: (i) que el menor podrá prestar su consentimiento teniendo en cuenta sus características psicofísicas, aptitudes y desarrollo, de acuerdo con el principio de autonomía progresiva de los arts. 26 y 639 del Código Civil y Comercial; y (ii) que el titular de la responsabilidad parental del menor de edad podrá prestar el consentimiento para el tratamiento de los datos personales del niño, niña o adolescente. Si así fuera, el responsable de la base de datos deberá asegurarse de que el consentimiento haya sido otorgado efectivamente por el titular de la responsabilidad parental.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.