Editorial

Datos Personales siguiendo los pasos agigantados de la tecnología

Riggio María Jimena – Oscar Freddi
El proyecto de Ley de Datos Personales emerge como condición imprescindible para seguir avanzando y equiparar los pasos agigantados de la tecnología, después de 20 años, es necesario adecuar una norma que ya nos queda muy chica.

La velocidad con la que la innovación y las transformaciones tecnológicas vienen produciéndose, marcó de forma imperiosa la obligación de modificar la desactualizada Ley N° 25.326, una ley que se redactó cuando internet tenía solo 5 años en nuestro país y recién los celulares desembarcaban en las manos de los argentinos con funciones solo de llamadas y sms. Como en una especie de condición imprescindible para seguir avanzando, después de 20 años, se tornó necesario contar con instrumentos adecuados para velar por la protección de los datos personales con el objetivo de eliminar la falta de cumplimiento de una norma que ya nos queda muy chica. 

El Big Data, se estima que llegará a sus más altos niveles en el próximo año, ya que se espera el desarrollo de softwares refinados con el uso de inteligencia artificial, sumado a lo ya desarrollado hasta la fecha. Sin embargo, al día de hoy, ya contamos con un huracán de datos que giran en torno a todas las actividades que llevamos a cabo diariamente. Por ejemplo, en relación a las empresas, los datos más utilizados son: información de los clientes en sistemas de CRM, datos transaccionales en sistemas de gestión, las transacciones de tienda web y los datos contables, como así también los machine-generated, que se generan a partir de los registros de llamadas; los weblogs, los medidores inteligentes, los sensores de fabricación, registros de equipos, datos de sistemas comerciales, las famosas bases de datos de proveedores, clientes, precios, facturaciones, entre otras cosas; como también aquellos datos producidos por cualquier particular en su cotidianidad, tales como la información biométrica, las huellas dactilares, escaneo de retina, reconocimiento facial, notas de voz, correos electrónicos, llamadas telefónicas, estudios médicos, agenda, redes sociales, etc.

Es por ello que no podía pensarse en nuevos escenarios, con movimientos constantes de enormes flujos de datos, protegidos con los viejos estándares. Así, este proyecto busca alcanzar niveles normativos que sean capaces de compatibilizar la economía digital, la innovación tecnológica y la protección de derechos fundamentales, en el marco de un proyecto de desarrollo inclusivo.

Si bien la Autoridad ha intentado mantener hasta ahora los criterios de protección en materia de datos personales en los estándares internacionales, con normativa atomizada y complementaria, lamentablemente, ello no suple la necesidad de actualizar la Ley de fondo.

En los últimos años, varios países ya han transitado procesos de actualización normativa en materia de Protección de Datos Personales, citando como ejemplo a Brasil, Ecuador y Cuba, al tiempo que otros se encuentran en pleno proceso, como es el caso de Chile, Paraguay y Costa Rica. Por su parte, Argentina había quedado, respecto de sus vecinos, en puestos muy lejanos en lo que refiere a la actualización, de ahí la necesidad de la elaboración de este proyecto de ley.

El flamante proyecto de actualización de la Ley de Datos Personales, toma la base del proyecto elaborado en 2018, pero a su vez se le suma valor incorporando nuevos estándares, recomendaciones y lecciones aprendidas en nuestra región, y en el mundo, en los últimos años, tales como legislaciones a nivel internacional que rigen como modelos en la materia (Por ejemplo: el Reglamento Europeo de Protección de Datos Personales; o las Recomendaciones de Ética de Inteligencia Artificial de UNESCO; entre otros).

Otro dato a destacar es que el anteproyecto se somete al proceso de elaboración participativa de las normas, donde se invita a todas las personas interesadas y a la ciudadanía en su conjunto a una consulta pública, un mecanismo que fomenta la participación ciudadana y que permite resultados más reales y acordes a las prácticas sobre la materia, impulsadas por sus verdaderos actores. Para participar de este proceso habrá tiempo hasta el 28 de septiembre del corriente.

Si nos situamos en los aspectos fundamentales de la norma se distinguen los más relevantes: 

  • Sujeto protegido: los datos personales a proteger corresponden únicamente a personas humanas. Nuestra normativa protege por igual a los datos personales de personas jurídicas.  
  • Nuevos conceptos se incorporan, tales como: Anonimización, Autodeterminación informativa, datos biométricos, datos genéticos, incidente de seguridad, entre otros. 
    -    Sobre estos, la principal distinción se ve entre: Datos Biométricos: hasta hoy no contemplados y son aquellos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan o confirmen su identificación única, tales como imágenes faciales o datos dactiloscópicos, entre otros; Datos genéticos; se redefine el viejo concepto de Datos personales, información de cualquier tipo referida a personas humanas determinadas o determinables. Pudiendo considerarse ser determinable la persona cuando pueda  ser identificada por uno o varios elementos característicos de la identidad física, fisiológica, genética, biométrica, psíquica, económica, cultural, social o de otra índole de dicha persona y se redefine el concepto con una visión más amplia en protección a su titular de los Datos Personales Sensibles: determinándolos como aquellos que se refieran a la esfera íntima de su Titular, o cuya utilización indebida puedan dar origen a discriminación o conlleve un riesgo grave para éste. Y enuncian algunos como: los que puedan revelar aspectos como origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical u opiniones políticas; datos relativos a la salud, discapacidad, a la preferencia u orientación sexual, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona humana. 
  • Se elimina el principio de legalidad: la ley actual en nuestro país establece que toda base de datos personales tiene que ser registrada ante el Registro Nacional de Base de Datos, como  declaración jurada sobre la existencia y el contenido de esos datos. La eliminación de esta exigencia, permite no caer ante el incumplimiento de la norma, ya que en la práctica dicha registración no se efectuaba en gran parte de los casos. Hoy el foco del proyecto está en otros mecanismos reales de protección de dichos datos y no en un mero registro.
  • Se incorpora el Principio de Neutralidad Tecnológica: el cual aplica a cualquier tratamiento de datos personales, con independencia de las técnicas, procesos o tecnologías –actuales o futuras- que se utilicen para ello.
  • Se adecúan los Principios de: i) Finalidad: por el cual los datos deben ser recogidos con fines determinados, explícitos y legítimos, y no deben ser tratados de manera incompatible con los mismos. Excepción a ello es cuando los mismos son utilizados con fines estadísticos, de archivo, investigación científica e histórica de interés público. ii) Minimización de datos: los datos personales deben ser tratados de manera que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que fueron recolectados; iii) Exactitud: los datos personales deben ser veraces, exactos, completos, comprobables y actualizados. En los casos que los datos son proporcionados por su Titular se presume su exactitud.
  • Se incorpora el Principio de Responsabilidad Proactiva: refiere a la importancia de la tenencia responsable de los datos personales y a las medidas que efectivamente se toman para lograrlo.
  • Consentimiento tácito: se incorpora la posibilidad de que el consentimiento, que hasta hoy debía ser expreso únicamente, exigencia que ya no es compatible con los nuevos estándares internacionales, se pueda prestar en forma tácita, con excepción de los datos sensibles. El Proyecto de Reforma admite que el consentimiento sea tácito cuando se cumplan estos tres requisitos: 
    -    el titular de los datos, teniendo en cuenta el contexto y su conducta, demuestra que está dando su autorización;
    -    los datos requeridos tienen que ser necesarios para la finalidad determinada de la recolección, y
    -    se informe antes de la recolección de los datos, cierta información obligatoria tal como, la finalidad de la recolección, los datos identificatorios de la empresa a la que se están brindando los datos, los derechos que le asisten al titular de los datos: revocar el consentimiento, acceso a los mismos, actualización o rectificación, eliminación, entre otros y cómo hacer para hacerlos valer.
  • Interés legítimo como una excepción al consentimiento: el tratamiento de datos será lícito cuando sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos del titular de los datos, en particular cuando el titular sea un niño, niña o adolescente. Asimismo, no será válido para el caso de tratamiento de datos por autoridades públicas.
  • Se amplía y refuerza la Información al Titular de los datos que el Responsable del tratamiento debe brindar, antes de la recolección, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Se establecen los mínimos que deberá contener dicha información.
  • Derecho a la portabilidad: se incorpora como un nuevo derecho que actualmente no se encuentra contemplado e implica la posibilidad de que el titular de los datos pueda solicitar que sus datos personales se transfieran, cuando sea técnicamente posible, directamente de responsable a responsable.
  • Datos de niños, niñas y adolescentes: incorpora distinción en el tratamiento de datos para ellos. Será válido el consentimiento de un niño, niña o adolescente mayor de 13 años, cuando se aplique al tratamiento de datos vinculados a la utilización de servicios específicamente diseñados o aptos para ellos. Si son menores de 13 años, tal tratamiento únicamente se considera lícito si el consentimiento fue otorgado por el titular de la responsabilidad parental o tutela sobre el niño/a, y solo en la medida en que se dio o autorizó.
  • Respecto de los Derechos de los titulares de los datos:
    -    Eliminan el Derecho de Información: entendido este como la solicitud información al organismo de control relativo a la existencia de archivos, registros, bases o bancos de datos personales, sus finalidades y la identidad de sus responsables.
    -    Amplía el Derechos a acceso en su alcance general.
    -    Incorpora el Derecho de oposición: pudiendo el titular oponerse al tratamiento de sus datos o de una finalidad específica de éste, cuando no haya prestado consentimiento. El Responsable del tratamiento debe dejar de tratar los datos personales objeto de oposición, salvo que existan motivos legítimos para el tratamiento que prevalezcan sobre los derechos del titular de los datos.
    -    Obligaciones de los Responsables y Encargados del tratamiento, se establecen, entre ellas las más relevantes: designar a una persona o área que asuma la función de protección de datos personales, desarrollar sus políticas para el tratamiento de los datos, llevar adelante la Evaluación de Impacto relativa a la protección de datos personales y la confección de un Informe previo, cuando una evaluación de impacto muestre que el tratamiento entrañaría un alto riesgo, el Responsable debe informar a la Autoridad de aplicación.
  • Notificación de incidente de seguridad: se incorpora como novedad la obligación, ante un incidente de seguridad de las bases de datos personales, de notificar a la Autoridad en un plazo de 72 horas de ocurrido el hecho. Asimismo, establece la obligación de notificar a los titulares de los datos personales cuando sea probable que entrañe altos riesgos a sus derechos.

  • Transferencia Internacional de datos personales: Algo que en la normativa actual de nuestro país se encuentra prohibido, el proyecto lo permite pudiendo hacerse transferencias internacionales de datos para empresas dentro de un mismo grupo económico. El único requisito que se exige es que los datos sean utilizados con una finalidad compatible con la que la primera empresa los recolectó.

  • Mecanismos de autorregulación vinculantes: permite a las empresas la elaboración de mecanismos de autorregulación vinculantes. Podrán ser códigos de ética, de buenas prácticas, normas corporativas vinculantes, sellos de confianza, certificaciones u otros mecanismos que coadyuven a contribuir a los objetivos señalados.

  • Autoridad de control: se deja incorporada como tal la actuación de la Agencia De Acceso a la Información Pública, ente autárquico con autonomía funcional, ampliando sus facultades de control.

  • Habeas Data: además de su acción en casos en que se vean restringidos, alterados, lesionados, también lo permite en los casos en que se vean amenazados los derechos tutelados. Es decir, previo a ser efectiva su violación.

    Visto desde una realidad atravesada por la tecnología en forma enérgica, el Proyecto de Reforma y aún más en un proceso de consulta pública, viene a darnos una nueva ley argentina que contemple la protección más a medida de nuestros tiempos. La tecnología avanza, es bueno saber que las normas también.