X

Datos personales: hacia una nueva ley con viejas mañas

El proyecto de protección que presentó el Gobierno busca actualizar una vieja norma del 2000, pero conserva muchos de los problemas que otras regulaciones, como la europea, procuraron corregir. 

Datos personales: hacia una nueva ley con viejas mañas

11/04/2019 9:59

En épocas de algoritmos, convergencia y marketing segmentado, ya no sólo la noticia es una mercancía que se compra y se vende. Los datos personales se transformaron en un bien que se produce, se atesora, se clasifica, se comercializa y genera ganancias a las principales corporaciones del planeta. Quien produce esos datos con las huellas de su actividad a lo largo del día recibe a cambio, además del acceso a los servicios que son la plataforma de extracción de su información personal, publicidad comercial y política elaborada y distribuida a su medida. Los usuarios de internet (particularmente, los de las redes sociales) son mineros digitales que, incluso cuando descansan, colaboran en el dragado del yacimiento de datos que procesa el sistema.

¿Cómo se regula esta actividad global? Por ahora, con el famoso juego del ensayo y error y con reacciones fragmentarias. Hay países que avanzaron en la protección de datos personales por ley, mientras que, en dependencias diferentes, se reflexiona sobre la pertinencia de las leyes antitrust y en otros espacios se avanza con discusiones sobre los principios de libertad de expresión y las convenciones sobre discriminación para adecuarlos a las sociedades informacionales. Es difícil integrar todas las piezas del rompecabezas digital, por lo que este artículo centra su atención en las reglas de juego sobre datos personales.

La Argentina se encamina a cerrar la segunda década del siglo XXI con una ley de datos personales desactualizada y manoseada, pues pertenece a una edad antigua de internet. La ley 25.326 fue sancionada en 2000 y sufrió al menos 85 modificaciones (decretos, resoluciones) que desdibujaron su objetivo, habilitando su incumplimiento por parte de los poderes del Estado. Este cuadro contrasta con los esfuerzos realizados en otras latitudes que concretaron cambios regulatorios recientes, como en la Unión Europea.

El año pasado, el presidente Mauricio Macri envió al Congreso un proyecto de ley para modificar la vieja ley de Protección de Datos Personales. Esa iniciativa contiene aspectos sensibles que merecen un debate amplio por los efectos que tendrá, tanto en la vida cívica como privada de los millones de habitantes del país, y porque toca intereses de los conglomerados tecnológicos cuyo petróleo son los datos personales, de entidades financieras y crediticias y, por supuesto, del propio Estado en sus diferentes poderes y niveles de funcionamiento. Un Estado que no se distingue por la separación entre los espacios público, estatal, gubernamental, partidario y que protagoniza extorsiones de servicios de inteligencia a la élite política, económica, judicial y periodística con el tráfico de datos personales.

Las regulaciones legales para proteger los derechos ciudadanos avanzan más lentamente que las tecnologías y los movimientos y organizaciones civiles o sociales llegan tarde a las legislaciones. Las empresas que lideran la economía digital y -luego- los estados llevan ventaja en las tareas de colecta, procesamiento, edición, explotación y almacenamiento de los datos de miles de millones de usuarios. La apariencia de libertad que suele invocarse para argumentar sobre el carácter voluntario de conexión de los ciudadanos a las redes no se corresponde con el efecto disuasor contra la desconexión que suponen la pérdida de relaciones sociales, productivas y afectivas, y la imposibilidad de gestionar servicios elementales para una vida digna (turnos en hospitales, pago de servicios, inscripciones en el sistema educativo). De modo tal que, visto que estar online es casi obligado, resulta estratégico saber qué ocurre con la estela de datos que los usuarios producen en una actividad que, en promedio, ocupa cerca de ocho horas diarias en la Argentina (en todos los dispositivos y plataformas), según la consultora We Are Social.

NUEVO PROYECTO, MISMAS MAÑAS. Si bien una legislación nacional nunca será suficiente para regular la transmisión y recopilación de datos a través de sistemas de cableado internacionales -que son propiedad de las compañías líderes en el mercado mundial-, los estados coparticipan del entramado de reglas de juego en constante movimiento relativas a los datos personales.

En la Argentina el control de los datos personales por parte del Estado es ejercido por un funcionario que depende del Poder Ejecutivo y cuyo margen de autonomía es muy limitado. En efecto, la ley 25.326 preveía un organismo de control descentralizado que el decreto 995/2000 (firmado inmediatamente después de la ley) vetó por falta de previsión presupuestaria. Un año después, el decreto 1.558 creó la Dirección Nacional de Datos Personales en el Ministerio de Justicia y Derechos Humanos, que pasaría a ser la autoridad de aplicación, con un director designado por el Poder Ejecutivo, que le asigna presupuesto. En 2016, a través de la ley 27.275, se creó la Agencia de Acceso a la Información Pública que -por un decreto de Macri- pasó a depender de la Jefatura de Gabinete de Ministros, como organismo de control de esa misma norma, pero también de la ley 25.326 de Protección de Datos Personales.

Con cada modificación de la ley vigente, la autoridad de aplicación fue cada vez más subsumida al/la presidente/a, hasta quedar directamente controlada por el jefe de Gabinete de Ministros desde 2017.

El proyecto de ley con el que el Gobierno aspira a modificar la ley continúa subordinando la autoridad de aplicación al Poder Ejecutivo, algo que en las regulaciones de datos personales de la Unión Europea y Estados Unidos claramente se evita, en aras de la transparencia y la auditoría de la acción estatal.

Otro eje sensible refiere al tipo de consentimiento que debe prestar el titular de los datos, es decir, el ciudadano de a pie. La ley de 2000 estipula la necesidad de que el consentimiento sea libre, expreso e informado por escrito de parte del titular. Una de las excepciones a esta cláusula es el tratamiento de los datos por parte de las entidades financieras. Es decir, los bancos, en relación con el tratamiento de datos personales de sus clientes, no se rigen por esta norma sino por el artículo 39 de la ley 21.526 de Entidades Financieras, decretada en febrero de 1977, durante la última dictadura.

El consentimiento es una de las escasas posibilidades de intervención que tiene el titular de los datos respecto del complejo sistema de gestión de organizaciones públicas y privadas que escapan a su escrutinio directo, por lo que el carácter de ese consentimiento y las excepciones establecidas configuran la médula de toda ley de datos personales. El proyecto del Ejecutivo es permisivo respecto de la manipulación de esos datos ciudadanos, establece la controvertida y ambigua figura de "consentimiento tácito" y exceptúa la necesidad de consentimiento previo para el tratamiento de datos en listados cuyas variables sean el DNI, CUIT/CUIL, ocupación, fecha de nacimiento, domicilio y email. Esto último va a contramano del fallo Torres Abad que, en 2018, prohibió a la Jefatura de Gabinete usar la base de datos de ANSES sin consentimiento expreso de los ciudadanos. Además, como señala Carolina Martinez Elebi, el proyecto oficial habilita a las empresas a trasladar libremente los datos personales a través de las fronteras.

Según la ley vigente, en caso de que una persona tenga indicios de que se estén utilizando sus datos personales de manera inadecuada puede anteponer en la Justicia una acción de protección de los datos personales (hábeas data), demostrando el banco de datos a que se refiere, su responsable, y alegar las razones por las cuales considera que ese banco de datos cuenta con esa información y está utilizándola en términos que no cumplen con la ley. No resulta factible que una persona sin formación jurídica cuente con los recursos requeridos para satisfacer las exigencias de una eventual demanda. El nuevo proyecto establece que “toda persona podrá interponer acción de amparo para tomar conocimiento de los datos a ella referidos y de su finalidad”, sin que necesariamente exista un motivo de sospecha de incumplimiento demostrable.

EUROPA A LA VANGUARDIA. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea, aprobado en 2016 y en vigencia desde mayo de 2018, es un modelo para muchos otros países y constituye, asimismo, una referencia de estándar para las compañías globales de Internet, por lo que se trata de una regulación que de facto tiene efectos incluso en otras latitudes. De hecho, Macri ordenó a sus colaboradores la redacción del proyecto de ley oficial para ser considerado “país adecuado” según los nuevos criterios vigentes en Europa.

Mientras la ley argentina vigente protege el "honor y la intimidad de las personas", la normativa europea habla de "los derechos y libertades". El RGPD define 27 temas a regular, atiende específicamente al entorno digital y establece los mecanismos posibles para el control de quienes utilizan los datos y la demostración del cumplimiento de la norma.

A la vez, impide que empresas y gobiernos usen los datos de los ciudadanos sin su consentimiento expreso inequívoco -lo que constituye una diferencia sustancial con la iniciativa del gobierno de Macri al respecto- y preserva los derechos de los titulares de los datos.

En cuanto al control de su aplicación, el reglamento europeo establece que los organismos de control deben ser públicos, independientes y cooperar entre sí y con la UE. En cuanto a sus funciones, son más amplias que la sola aplicación del reglamento. Por ejemplo, tiene la responsabilidad de sensibilizar al público y empresas respecto de la temática, brindar información a interesados y estar pendiente de los cambios tecnológicos que puedan afectar la protección de datos. La norma además crea un Comité Europeo de Protección de Datos, de carácter supranacional, cuya función es controlar a las autoridades de control de cada Estado.

Otro eje en el que la normativa europea ahonda en detalles es respecto de cómo y con qué criterios deben tratarse los datos. En su artículo 5, plantea que el tratamiento debe ser lícito, leal y transparente para con el interesado, adecuado, pertinente y limitado a los fines para los cuales fueron relevados (que deben estar previamente determinados, ser explícitos y legítimos). Los datos deben ser además exactos y estar actualizados y su plazo de conservación debe limitarse a la función para la cual fueron recolectados. También debe garantizarse que no sean accesibles a un número indeterminado de personas. El responsable de su tratamiento debe ser capaz de demostrar todo esto y tiene la obligación de responder a las consultas de las autoridades de control y de los interesados.

El reglamento de la UE determina como técnicas de protección la seudonomización y minimización de datos (usar sólo lo necesario), el cifrado y la garantía de confidencialidad. Como medidas posibles de garantizar estos criterios, propone la posibilidad de seguir un código de conducta o contar con mecanismos de certificación (para lo cual crea un organismo que otorgue el "Sello Europeo de Protección de Datos").

Además, el tratante de los datos debe evaluar, previamente a su utilización, el impacto que ésta podría tener para los derechos y libertades de los titulares. En caso de violación de la seguridad de los datos durante el proceso, debe notificarlo a la autoridad de control y al interesado.

Los titulares  pueden presentar un pedido o reclamo ante la autoridad de control respecto al tratamiento de sus datos, y ésta deberá responderle y sancionar a los responsables, de corresponder. A diferencia del recurso hábeas data en Argentina, no es el titular de los datos en este caso el responsable de fundamentar su pedido o demostrar que se ha violado su protección, sino que recae en el tratante la responsabilidad de demostrar que cumple con la normativa y que la protección está garantizada, así como la de informar todo procedimiento que se ha realizado sobre los datos.

MÁS EXCEPCIONES QUE REGLAS. El proyecto de ley de Protección de Datos Personales del gobierno de Macri no cuenta con avances en su trámite legislativo. La posibilidad de abrir el debate está abierta y resulta necesaria, dado que esta iniciativa, como expresó la Fundación Vía Libre, “establece una serie de flexibilidades y excepciones que desprotegen a los ciudadanos frente al Estado y frente al sector privado, especialmente, frente al sector de la economía de la información que tiene en los datos personales el insumo fundamental de su negocio”.

Si bien el proyecto actualiza la vieja norma vigente e introduce algunos avances (como la responsabilidad de los tratantes de los datos de realizar una evaluación de impacto previa a su utilización o el derecho de toda persona a “interponer acción de amparo para tomar conocimiento de los datos a ella referidos y de su finalidad”, sin que necesariamente exista un motivo de sospecha de incumplimiento demostrable, el texto del proyecto tiene suficientes fisuras como para que los objetivos que dice perseguir sean fácilmente relativizados o evadidos a través de excepciones.

Cuando un proyecto de ley relativo a uno de los aspectos más sensibles de la vida cotidiana en las sociedades informacionales -como el de los datos personales- habilita más excepciones que reglas, la protección de los derechos queda expuesta a la intemperie.

Datos personales: hacia una nueva ley con viejas mañas

Profesor e investigador. Universidad Nacional de Quilmes, UBA y Conicet.

El proyecto de protección que presentó el Gobierno busca actualizar una vieja norma del 2000, pero conserva muchos de los problemas que otras regulaciones, como la europea, procuraron corregir. 

En épocas de algoritmos, convergencia y marketing segmentado, ya no sólo la noticia es una mercancía que se compra y se vende. Los datos personales se transformaron en un bien que se produce, se atesora, se clasifica, se comercializa y genera ganancias a las principales corporaciones del planeta. Quien produce esos datos con las huellas de su actividad a lo largo del día recibe a cambio, además del acceso a los servicios que son la plataforma de extracción de su información personal, publicidad comercial y política elaborada y distribuida a su medida. Los usuarios de internet (particularmente, los de las redes sociales) son mineros digitales que, incluso cuando descansan, colaboran en el dragado del yacimiento de datos que procesa el sistema.

¿Cómo se regula esta actividad global? Por ahora, con el famoso juego del ensayo y error y con reacciones fragmentarias. Hay países que avanzaron en la protección de datos personales por ley, mientras que, en dependencias diferentes, se reflexiona sobre la pertinencia de las leyes antitrust y en otros espacios se avanza con discusiones sobre los principios de libertad de expresión y las convenciones sobre discriminación para adecuarlos a las sociedades informacionales. Es difícil integrar todas las piezas del rompecabezas digital, por lo que este artículo centra su atención en las reglas de juego sobre datos personales.

La Argentina se encamina a cerrar la segunda década del siglo XXI con una ley de datos personales desactualizada y manoseada, pues pertenece a una edad antigua de internet. La ley 25.326 fue sancionada en 2000 y sufrió al menos 85 modificaciones (decretos, resoluciones) que desdibujaron su objetivo, habilitando su incumplimiento por parte de los poderes del Estado. Este cuadro contrasta con los esfuerzos realizados en otras latitudes que concretaron cambios regulatorios recientes, como en la Unión Europea.

El año pasado, el presidente Mauricio Macri envió al Congreso un proyecto de ley para modificar la vieja ley de Protección de Datos Personales. Esa iniciativa contiene aspectos sensibles que merecen un debate amplio por los efectos que tendrá, tanto en la vida cívica como privada de los millones de habitantes del país, y porque toca intereses de los conglomerados tecnológicos cuyo petróleo son los datos personales, de entidades financieras y crediticias y, por supuesto, del propio Estado en sus diferentes poderes y niveles de funcionamiento. Un Estado que no se distingue por la separación entre los espacios público, estatal, gubernamental, partidario y que protagoniza extorsiones de servicios de inteligencia a la élite política, económica, judicial y periodística con el tráfico de datos personales.

Las regulaciones legales para proteger los derechos ciudadanos avanzan más lentamente que las tecnologías y los movimientos y organizaciones civiles o sociales llegan tarde a las legislaciones. Las empresas que lideran la economía digital y -luego- los estados llevan ventaja en las tareas de colecta, procesamiento, edición, explotación y almacenamiento de los datos de miles de millones de usuarios. La apariencia de libertad que suele invocarse para argumentar sobre el carácter voluntario de conexión de los ciudadanos a las redes no se corresponde con el efecto disuasor contra la desconexión que suponen la pérdida de relaciones sociales, productivas y afectivas, y la imposibilidad de gestionar servicios elementales para una vida digna (turnos en hospitales, pago de servicios, inscripciones en el sistema educativo). De modo tal que, visto que estar online es casi obligado, resulta estratégico saber qué ocurre con la estela de datos que los usuarios producen en una actividad que, en promedio, ocupa cerca de ocho horas diarias en la Argentina (en todos los dispositivos y plataformas), según la consultora We Are Social.

NUEVO PROYECTO, MISMAS MAÑAS. Si bien una legislación nacional nunca será suficiente para regular la transmisión y recopilación de datos a través de sistemas de cableado internacionales -que son propiedad de las compañías líderes en el mercado mundial-, los estados coparticipan del entramado de reglas de juego en constante movimiento relativas a los datos personales.

En la Argentina el control de los datos personales por parte del Estado es ejercido por un funcionario que depende del Poder Ejecutivo y cuyo margen de autonomía es muy limitado. En efecto, la ley 25.326 preveía un organismo de control descentralizado que el decreto 995/2000 (firmado inmediatamente después de la ley) vetó por falta de previsión presupuestaria. Un año después, el decreto 1.558 creó la Dirección Nacional de Datos Personales en el Ministerio de Justicia y Derechos Humanos, que pasaría a ser la autoridad de aplicación, con un director designado por el Poder Ejecutivo, que le asigna presupuesto. En 2016, a través de la ley 27.275, se creó la Agencia de Acceso a la Información Pública que -por un decreto de Macri- pasó a depender de la Jefatura de Gabinete de Ministros, como organismo de control de esa misma norma, pero también de la ley 25.326 de Protección de Datos Personales.

Con cada modificación de la ley vigente, la autoridad de aplicación fue cada vez más subsumida al/la presidente/a, hasta quedar directamente controlada por el jefe de Gabinete de Ministros desde 2017.

El proyecto de ley con el que el Gobierno aspira a modificar la ley continúa subordinando la autoridad de aplicación al Poder Ejecutivo, algo que en las regulaciones de datos personales de la Unión Europea y Estados Unidos claramente se evita, en aras de la transparencia y la auditoría de la acción estatal.

Otro eje sensible refiere al tipo de consentimiento que debe prestar el titular de los datos, es decir, el ciudadano de a pie. La ley de 2000 estipula la necesidad de que el consentimiento sea libre, expreso e informado por escrito de parte del titular. Una de las excepciones a esta cláusula es el tratamiento de los datos por parte de las entidades financieras. Es decir, los bancos, en relación con el tratamiento de datos personales de sus clientes, no se rigen por esta norma sino por el artículo 39 de la ley 21.526 de Entidades Financieras, decretada en febrero de 1977, durante la última dictadura.

El consentimiento es una de las escasas posibilidades de intervención que tiene el titular de los datos respecto del complejo sistema de gestión de organizaciones públicas y privadas que escapan a su escrutinio directo, por lo que el carácter de ese consentimiento y las excepciones establecidas configuran la médula de toda ley de datos personales. El proyecto del Ejecutivo es permisivo respecto de la manipulación de esos datos ciudadanos, establece la controvertida y ambigua figura de "consentimiento tácito" y exceptúa la necesidad de consentimiento previo para el tratamiento de datos en listados cuyas variables sean el DNI, CUIT/CUIL, ocupación, fecha de nacimiento, domicilio y email. Esto último va a contramano del fallo Torres Abad que, en 2018, prohibió a la Jefatura de Gabinete usar la base de datos de ANSES sin consentimiento expreso de los ciudadanos. Además, como señala Carolina Martinez Elebi, el proyecto oficial habilita a las empresas a trasladar libremente los datos personales a través de las fronteras.

Según la ley vigente, en caso de que una persona tenga indicios de que se estén utilizando sus datos personales de manera inadecuada puede anteponer en la Justicia una acción de protección de los datos personales (hábeas data), demostrando el banco de datos a que se refiere, su responsable, y alegar las razones por las cuales considera que ese banco de datos cuenta con esa información y está utilizándola en términos que no cumplen con la ley. No resulta factible que una persona sin formación jurídica cuente con los recursos requeridos para satisfacer las exigencias de una eventual demanda. El nuevo proyecto establece que “toda persona podrá interponer acción de amparo para tomar conocimiento de los datos a ella referidos y de su finalidad”, sin que necesariamente exista un motivo de sospecha de incumplimiento demostrable.

EUROPA A LA VANGUARDIA. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea, aprobado en 2016 y en vigencia desde mayo de 2018, es un modelo para muchos otros países y constituye, asimismo, una referencia de estándar para las compañías globales de Internet, por lo que se trata de una regulación que de facto tiene efectos incluso en otras latitudes. De hecho, Macri ordenó a sus colaboradores la redacción del proyecto de ley oficial para ser considerado “país adecuado” según los nuevos criterios vigentes en Europa.

Mientras la ley argentina vigente protege el "honor y la intimidad de las personas", la normativa europea habla de "los derechos y libertades". El RGPD define 27 temas a regular, atiende específicamente al entorno digital y establece los mecanismos posibles para el control de quienes utilizan los datos y la demostración del cumplimiento de la norma.

A la vez, impide que empresas y gobiernos usen los datos de los ciudadanos sin su consentimiento expreso inequívoco -lo que constituye una diferencia sustancial con la iniciativa del gobierno de Macri al respecto- y preserva los derechos de los titulares de los datos.

En cuanto al control de su aplicación, el reglamento europeo establece que los organismos de control deben ser públicos, independientes y cooperar entre sí y con la UE. En cuanto a sus funciones, son más amplias que la sola aplicación del reglamento. Por ejemplo, tiene la responsabilidad de sensibilizar al público y empresas respecto de la temática, brindar información a interesados y estar pendiente de los cambios tecnológicos que puedan afectar la protección de datos. La norma además crea un Comité Europeo de Protección de Datos, de carácter supranacional, cuya función es controlar a las autoridades de control de cada Estado.

Otro eje en el que la normativa europea ahonda en detalles es respecto de cómo y con qué criterios deben tratarse los datos. En su artículo 5, plantea que el tratamiento debe ser lícito, leal y transparente para con el interesado, adecuado, pertinente y limitado a los fines para los cuales fueron relevados (que deben estar previamente determinados, ser explícitos y legítimos). Los datos deben ser además exactos y estar actualizados y su plazo de conservación debe limitarse a la función para la cual fueron recolectados. También debe garantizarse que no sean accesibles a un número indeterminado de personas. El responsable de su tratamiento debe ser capaz de demostrar todo esto y tiene la obligación de responder a las consultas de las autoridades de control y de los interesados.

El reglamento de la UE determina como técnicas de protección la seudonomización y minimización de datos (usar sólo lo necesario), el cifrado y la garantía de confidencialidad. Como medidas posibles de garantizar estos criterios, propone la posibilidad de seguir un código de conducta o contar con mecanismos de certificación (para lo cual crea un organismo que otorgue el "Sello Europeo de Protección de Datos").

Además, el tratante de los datos debe evaluar, previamente a su utilización, el impacto que ésta podría tener para los derechos y libertades de los titulares. En caso de violación de la seguridad de los datos durante el proceso, debe notificarlo a la autoridad de control y al interesado.

Los titulares  pueden presentar un pedido o reclamo ante la autoridad de control respecto al tratamiento de sus datos, y ésta deberá responderle y sancionar a los responsables, de corresponder. A diferencia del recurso hábeas data en Argentina, no es el titular de los datos en este caso el responsable de fundamentar su pedido o demostrar que se ha violado su protección, sino que recae en el tratante la responsabilidad de demostrar que cumple con la normativa y que la protección está garantizada, así como la de informar todo procedimiento que se ha realizado sobre los datos.

MÁS EXCEPCIONES QUE REGLAS. El proyecto de ley de Protección de Datos Personales del gobierno de Macri no cuenta con avances en su trámite legislativo. La posibilidad de abrir el debate está abierta y resulta necesaria, dado que esta iniciativa, como expresó la Fundación Vía Libre, “establece una serie de flexibilidades y excepciones que desprotegen a los ciudadanos frente al Estado y frente al sector privado, especialmente, frente al sector de la economía de la información que tiene en los datos personales el insumo fundamental de su negocio”.

Si bien el proyecto actualiza la vieja norma vigente e introduce algunos avances (como la responsabilidad de los tratantes de los datos de realizar una evaluación de impacto previa a su utilización o el derecho de toda persona a “interponer acción de amparo para tomar conocimiento de los datos a ella referidos y de su finalidad”, sin que necesariamente exista un motivo de sospecha de incumplimiento demostrable, el texto del proyecto tiene suficientes fisuras como para que los objetivos que dice perseguir sean fácilmente relativizados o evadidos a través de excepciones.

Cuando un proyecto de ley relativo a uno de los aspectos más sensibles de la vida cotidiana en las sociedades informacionales -como el de los datos personales- habilita más excepciones que reglas, la protección de los derechos queda expuesta a la intemperie.