El proyecto de ley de “Protección de Datos Personales del Paraguay” ya cuenta con la aprobación en general de la Cámara de Diputados y solo falta su estudio en particular, lo cual está en planes de la mayoría cartista en la Cámara Baja pese a que los sectores afectados y ni siquiera los diputados tienen clara qué versión se utilizará como base. Hasta la estatal Secretaría de Defensa del Consumidor y el Usuario (Sedeco) reclamó esto.
Lea más: “Cuco” de hackeos en Diputados haría correr riesgosa ley de datos personales
“Está es una audiencia donde no nos pasaron el proyecto que se iba a tratar, nos pasaron el original del año 2021, no nos llegó el actual así que poco ya nada puedo decir que del proyecto pro el cual estamos acá, no sé cual es el final”, dijo la titular de Sedeco, Sara Irún.
Se llegó al absurdo de que se estaría usando el dictamen de la Comisión de Equidad Social e igualdad entre el hombre y la mujer, encabezada por la líder de bancada cartista Rocío Abed, pisoteando todo el trabajo previo e introduciendo una propuesta que ni siquiera el Ministro de Tecnologías de Información y la Comunicación, Gustavo Villate se animó a defender plenamente, pero sí mostró interés en que se le dé poder a legislando a través de la reglamentación.
Sistema financiero advierte de riesgos
La primera en pronunciarse firmemente fue la presidenta de la Asociación de Bancos del Paraguay (Asoban), Liz Cramer quién planteó la enorme incertidumbre ante la cantidad de versiones sobre el proyecto, no por culpa propia ni falta de interés, sino por falta de respuesta clara de la Cámara Baja.
Lea más: Cartismo podría dar una estocada letal a la transparencia con excusa de “protección de datos”
“¿Cuál será el proyecto que será sometido a votación en Diputados? Esa es la gran pregunta que tenemos y en el sector privado tenemos una gran cantidad de versiones”, dijo Cramer, que pidió parar la pelota y analizar seriamente con todos los sectores un proyecto que podría impactar a la economía.
“Por favor, ante una ley tan importante, paremos y podamos unificar criterio en cuanto a lo que se presente y podamos dar una información y una respuesta por lo menos responsable”, señaló y sugirió algunos puntos que piden sean considerados (ver cuadro).
| Puntos alertados por Asoban |
|---|
Limitación del plazo de conservación. La redacción del Proyecto de Ley original establece que los datos no podrán conservarse por más tiempo del estrictamente necesario para los fines del tratamiento, y que será la Autoridad de Control quien defina los plazos de supresión o revisión. Esta disposición, si no contempla excepciones o flexibilidades, podría perjudicar significativamente las prácticas bancarias vinculadas al análisis de riesgo, cumplimiento normativo y prevención del fraude. En el sector financiero, la conservación prolongada de datos no solo es necesaria, sino muchas veces obligatoria por normativas prudenciales, fiscales y de prevención del lavado de dinero, que exigen mantener registros durante largos períodos. Además, los modelos de análisis de riesgo crediticio y prevención de fraude dependen de series históricas extensas para funcionar con precisión. Restringir el tiempo de conservación sin reconocer estas realidades podría forzar la eliminación anticipada de información valiosa, afectando negativamente la capacidad del sistema financiero de operar de manera segura y eficiente. |
Tratamiento de datos de información crediticia. El Proyecto de ley original hace una remisión genérica a la ley N.º 6534/20 de Protección de Datos personales crediticios para el tratamiento de datos de información crediticia, y en algunas modificaciones propuestas por las Comisiones Especiales incluso mencionan que el presente proyecto de ley será de aplicación supletoria para las cuestiones no previstas en la ley N.º 6534/20. Es necesaria una regla clara y taxativa que detalle cómo interactúan ambas normas, y de qué manera deben ser cumplidas por los bancos. |
Derecho a no ser objeto de decisiones individuales, automatizadas o semiautomatizadas. El Proyecto de Ley propone una redacción más restrictiva que estándares internacionales al incluir procesos semiautomatizados y requerir revisión humana, lo cual deja un amplio margen de discrecionalidad para una nueva Autoridad de Control. Debería limitarse a decisiones finales totalmente automatizadas con efectos jurídicos significativos. |
Notificación de una violación de la seguridad de los datos personas a la autoridad de control. Los plazos previstos en el Proyecto de Ley para notificar a la Autoridad de Control sobre una violación de seguridad son excesivamente breves, lo que podría dificultar una evaluación adecuada del incidente y de sus posibles impactos, lo cual se aleja de realidades de negocio en las que interactúan varios actores (los responsables y encargados de tratamientos de datos, técnicos, auditores, autoridades gubernamentales, etc.). |
Cargas administrativas para el sector privado. El texto actual de estos artículos impone una serie de obligaciones que, en la práctica, pueden resultar operativamente gravosas. Entre ellas, la designación obligatoria de un delegado u oficial de protección de datos, la figura del representante local, la realización de evaluaciones de impacto y las consultas previas a la autoridad de control. Proponemos simplificar estos requerimientos y evitar duplicidades, permitiendo mecanismos de autorregulación y certificación internacional. Además, los plazos establecidos para responder a requerimientos o implementar medidas son demasiado exigentes y podrían resultar difíciles de cumplir en entornos complejos como el bancario. |
Reglas generales para las transferencias internacionales de datos personales. Este artículo es relevante para el sector bancario, ya que los bancos a menudo operan en múltiples jurisdicciones y pueden estar involucrados en transferencias de datos que pasan por varios países. El proyecto establece un régimen extraterritorial muy amplio que puede generar conflictos y superposiciones regulatorias para empresas que operan en múltiples jurisdicciones. Sugerimos limitar el alcance a conductas con nexo sustancial con el país, como datos recolectados localmente, personas residentes o entidades con presencia física en el territorio. Las restricciones a transferencias internacionales deberían ser mínimas y permitir mecanismos flexibles que garanticen seguridad equivalente (p. ej. cláusulas contractuales o códigos de conducta). |
Amplias facultades de la Autoridad de Control. Observamos que el Proyecto de Ley otorga a la autoridad de aplicación facultades amplias y en algunos casos discrecionales, incluyendo la posibilidad de ordenar medidas correctivas, cautelares e incluso la suspensión de tratamientos de datos. Consideramos indispensable acotar y delimitar con mayor precisión el alcance de estas facultades, incorporando criterios objetivos, garantías procesales y plazos definidos. En particular, sugerimos que cualquier medida que implique la interrupción de operaciones bancarias requiera la intervención previa del Poder Judicial. |
Entre ellos, destaca la alerta sobre la posibilidad de dar superpoderes a un órgano administrativo, incluso por sobre atribuciones el Poder Judicial. “En particular sugerimos que cualquier medida que implique la suspensión de operaciones bancarias requiera la intervención previa del Poder Judicial, esto es absolutamente critico. No podría una actividad administrativa parar el funcionamiento podría afectar a todo el sistema”, remarcó.
La misma el compromiso de Asoban “con el avance de una ley que brinde seguridad a la ciudadanía, garantías claras sobre sus datos al tiempo que asegure la operatividad y la seguridad jurídica del sector bancario en el desarrollo de sus funciones”.
Repudian intento de engaño del cartismo
El proyecto de Abed que sería usado como base para el análisis intentó hacerse pasar como fruto de un gran debate, cuando en realidad se presentó el mismo día que el proyecto se aprobó en general, y esto motivó el repudio público de. del director de Paraguay Ciberseguro, Miguel Ángel Gaspar, uno de los actores sociales que trabajo en la propuesta original.
“Me resultó indignante una parte del correo que decía que este proyecto estuvo en las diferentes comisiones porque eso no es cierto, este proyecto no estuvo en ninguna comisión, fue el anterior que presentamos nosotros. (...) A mi no me gustaría ser utilizado para legitimar un proceso que no se dio”, dijo.
Aclarado ese punto, criticó puso en duda el entendimiento de quienes redactaron este proyecto, basado en que a su criterio “hay cuestiones puestas demasiado genéricas que requieren una discusión mucho más profunda”.
“No deberíamos dejar tanto a la reglamentación porque estaría ocurriendo lo que está pasando con la ley de datos crediticios, que a quién debe proteger la parte crediticia de banca, nosotros no le importamos; y quién sí quiere protegernos no tiene recursos”, dijo y pidió respuestas “más concretas a Mitic y sobre todo Cancillería”.
Vallejo advierte de otro “superdios” y riesgo a AIP
La diputada Rocío Vallejo (Partido Patria Querida) también hizo una serie de cuestionamiento al proyecto del cartismo, que incluso podría reñir con preceptos básicos constitucionales como el “principio de legalidad” y que de vuelta se pretende legislar vía decreto del Poder Ejecutivo. También riesgo de atentar contra la Ley de Acceso a Información Pública (AIP).
“Acá se establecen sanciones sumamente duras y no se dice por qué te van a castigar, eso viola el principio de legalidad. Si a vos te van a castigar te tienen que decir por qué te van a castigar, acá la autoridad de turno es la que va a decir porque te van a castigar, porque la reglamentación se puede cambiar inaudita parte”, señaló.
Insistió en su preocupación ante el hecho de que hay muchas leyes, y esta sería otra, que se remite a la reglamentación. “O sea, se termina legislando a través del reglamento y eso es sumamente preocupante no solo en está ley sino en todas las que están vigentes y las que están saliendo”, dijo.
A esto hay que sumar que se plantea un director de la Agencia de Datos Personales, que a su criterio, será “un superdios el que va a estar ahi arriba”, ya que como única forma de ser removido solo con condena firme por algún delito y tendrá el manejo de todos los datos personales del país.
Lea más: Por retraso del Ejecutivo, Diputados aprueban ley de datos personales, “a medias”
Algo en lo que enfatizó es que con el artículo 24 se podría también atentar contra la Ley de Acceso a Información Pública (AIP), planteando cuestiones sumamente peligrosas como el hecho de “consultar” al funcionario público si está o no de acuerdo con que se informe sobre cuestiones que lo “afecten”.
“Deberíamos preocuparnos bastante, ya que le dedican un montón de artículos al tema del AIP y se establece un procedimiento superengorroso, para decir finalmente que en todos los casos ‘afecta a la persona’, se le corre traslado a la persona a la que se va a pedir sus datos, se le da un montón de tiempo, se le hace consultas al órgano de aplicación que no es vinculante, pero se le da 30 días, ¿con qué fin?”, cuestionó.
Villate poco claro pero defiende legislar por decreto
El ministro de Mitic, Gustavo Villate tuvo dos intervenciones durante la audiencia, ambas poco clara y sin profundizar en el proyecto de ley, más que en el aspecto que evidentemente le interesó, que es tener una norma genérica que pueda “adaptar” mediante decretos.
El diputado Rodrigo Blanco (PLRA, PL) directamente le preguntó si es que respaldaba la versión de la Comisión de Género, ante lo cual dijo que “en general, sí” pero que también tenían algunas objeciones.
“En general creo que está es una ley más que necesaria y urgente para el país, o sea, nosotros realmente creemos que hemos postergado bastante, eso no implica que se apruebe tal como este. Sobre ésta versión, evidentemente siempre hay cosas por mejorar, que se puede hacer mejor”, comenzó diciendo.
En contra de lo que solicitaron varios sectores de una ley clara y pese a que la versión de Abed ni siquiera especifica cuestiones básicas como la lista de sanciones leves o graves, Villate se mostró a favor de legislación que se pueda manipular mediante la reglamentación del Ejecutivo.
“Creemos que una ley que sea muy no reglamentarista va a hacer que nos encasillamos demasiado, sin embargo, si tiramos algunas cosas a la reglamentación nos va a permitir cierta flexibilidad para que podamos madurar como sociedad”, alegó Villate.
El proyecto podría ser tratado a vuelta del las “minivacaciones” legislativas por los días santos, aunque los diputados presentes en la audiencia dijeron que apelarán para que vuelva a comisiones. De hecho, ante todos los presentes Vallejo pidió a Villate que él hable con los diputados cartistas, ya que ninguno estuvo presente en la audiencia.
El director de Migraciones, Jorge Kronawetter también abogó por una ley de manera urgente, al igual que la titular de Sedeco, Sara Irún, cuya institución ahora es órgano de aplicación de la Ley de Protección de Datos Crediticios, atribuciones que esperan sean incluidas en la nueva ley que vaya a salir.
“Me parece que hace falta ver un análisis más profundo para ver si hay o no leyes fragmentadas, y si no habría que unir estas dos leyes. Si ya se está creando una nueva autoridad y se está creando una ley de protección de datos, que se incluya ya la de datos crediticios y que se haga un proyecto coherente y claro”, dijo Irun.