Por: Maria Florencia Crespo
- Introducción
Hay quienes dicen, ya desde hace algunos años, que los datos son el nuevo petróleo. Una empresa que conozca nuestros datos y que tenga la capacidad suficiente para su análisis y procesamiento puede determinar hábitos de consumo y, de acuerdo con nuestros gustos, acercarnos propuestas comerciales y publicidad. Y ello puede ser muy cómodo para los consumidores. Ahora bien, los datos también pueden ser utilizados para la comisión de delitos como por ejemplo el robo de identidad o el ‘’phishing’’ (es decir, la ‘’pesca’’ de los datos mediante maniobras de engaño) o incluso para inducirnos a pensar de una determinada manera en un momento dado (como lo sucedido con el escándalo de Cambridge Analytica). Es por ello que debemos prestar mucha atención a aquellos actos que realizamos de manera cuasi automática cuando sin ningún reparo otorgamos nuestros datos en sitios de internet, o de cualquier otra forma que puedan ser almacenados por las empresas.
- Legislacion Europea: GDPR. Generalidades
La GDPR (General Data Protection Regulation por sus siglas en inglés) de la Union Europea es, a esta altura, la normativa de mayor evolución y protección para con los titulares de datos que existe en el mundo. Fue sancionada el 27 de abril de 2016 y para el 25 de mayo de 2018 entró en vigencia. Entonces, las principales empresas del mundo, aunque no europeas, debieron adoptar medidas para satisfacer los requisitos de esta regulación. El principal objetivo de GDPR es la protección de las personas físicas en lo que respecta al tratamiento de datos personales. A diferencia de su antecesora, la Directiva Europea de Protección de Datos de 1995, GDPR es una regulación. Las directivas, recordemos, son meras recomendaciones y no son legalmente vinculantes mientras que las regulaciones, en efecto, son leyes que se deben cumplir. GDRP cuenta con 99 artículos en 11 capítulos y más de 150 considerandos que pueden servir como pautas de iterpretación de su articulado. Cabe destacar que, el derecho a la privacidad, forma parte de la Convención Europea de Derechos Humanos de 1950 que establece que toda persona tiene derecho al respeto de su vida privada y familiar, su hogar y su correspondencia.
La GDRP europea regula los datos que trate una persona, ya sea física o jurídica, en el marco de una actividad comercial. No aplica, por tanto, a los datos que puedan obtenerse por una actividad ‘’doméstica’’ o no comercial. Ello, siempre y cuando, los datos obtenidos luego no sean utilizados para otro tipo de actividad como por ejemplo, financiera. En tal caso, aquél que los obtuvo primeramente por un actividad no comercial, deberá solicitar al titular la correspondiente autorización y quedará sujeto entonces a la GDPR. Por caso, los datos, de acuerdo con la regulaciòn europea, son cualquier informaciòn relativa a una persona física viva identificada o identificable. Asimismo, los datos personales que hayan sido anonimizados pero que puedan utilizarse para identificar a una persona, también son datos personales bajo la tutela de GDPR.
Respecto a las multas, la GDPR se caracteriza por ser una norma muy cara para dejar de cumplir: prevé sanciones económicas que van desde los 20.000.000 de Euros al 4% de los ingresos anuales del grupo económico al que corresponda la empresa infractora, óptandose por la de mayor cuantía.
A efectos de evitar sanciones, la UE elaboró una guía con 7 recomendaciones para que los sujetos obligados puedan ajustarse a GDPR. Al respecto, recomienda:
- Verificar los datos que se recopilan, el fin de tal recopilación y sobre que base jurídica.
- Informar a clientes, empleados y otras personas cuando se recopilen sus datos personales.
- Conservar los datos personales solamente mientras sea necesario.
- Proteger los datos personales que se estén tratando.
- Conservar documentación de las actividades de tratamiento de datos.
- Asegurarse que los subcontratistas, en caso de tenerlos, respeten las normas.
- Comprobar, primariamente, si se está sujeto a la GDPR.
- Aplicación extraterritorial de GDPR
Lo más novedoso, y también lo que mayores dolores de cabeza ha traido a algunas empresas como Google y Facebook es la aplicación extraterritorial de la norma. Esto implica que los datos deberán ser almacenados o accesibles desde la Unión Europea aunque las empresas los guarden fuera de ella. Más concretamente, la GDRP aplica a empresas que traten datos de residentes europeos aunque no se encuentren establecidas en territorio de la UE.
De acuerdo con el Art. 3 de la GDPR, aplica a:
- El tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión Europea, independientemente que el tratamiento tenga lugar o no en la Unión.
- El tratamiento de datos personales de residentes de la UE por parte de un no residente de la UE, cuando esas actividades de tratamiento de datos estén relacionadas con: la oferta de bienes y servicios en la UE y/o el control de su comportamiento (en la medida en que este tenga lugar en la UE).
- El tratamiento de datos personales por parte de un responsable que no esté establecido en la UE sino en un lugar en que el derecho de los estados miembros sea de aplicación en virtud del Derecho Internacional Público.
En resumen, el alcance territorial de GDPR se basa en los tres criterios anteriormente descriptos: establecimiento, direccionamiento o targetting y derecho internacional público.
Al respecto del criterio de establecimiento, se debe identificar el papel que cumple la empresa: si es reponsable o no del tratamiento de datos personales. Una vez confirmado dicho rol, la compañía debe evaluar si realiza actividades en el contexto de un establecimiento dentro de la UE, independientemente de donde se realiza el tratamiento de datos, la ubicación o nacionalidad del titular de los datos. Un ejemplo clásico lo constituyen los servicios de cloud computing ubicados fuera de Europa. El segundo criterio, targetting, tiene su origen a partir de actividades de tratamiento de datos que realiza una empresa que se encuentra fuera de la UE y distingue dos situaciones: a) ofrecer bienes o servicios a titulares de datos de la UE (supongamos, una empresa situada en argentina que recolecta datos de residentes europeos en el marco de una oferta de bienes o servicios a dichos interesados en la UE. Lo importante en este caso es que la oferta este dirigida a residentes europeos; y b) el monitoreo del comportamiento del titular de datos por parte de una empresa ubicada fuera de la UE a efectos de, por ejemplo, publicidad orientada, opiniones, geolocalizaión, etc. Si la compañia encuadra en este criterio de direccionamiento, entonces le aplica GDPR. Por ello, para el segundo criterio anteriormente descripto es imoportante realizar un análisis caso por caso para determinar cuando aplica GDPR o no. Finalmente, el tercer y último criterio de Derecho Internacional Público aplica al tatamiento de datos de, por ejemplo, embajadores o cónsules de la UE que se encuentren fuera de su territorio.
- Principios y Derechos consagrados en GDPR
El reglamento de la UE detalla de manera muy clara y concreta en su Art. 5 los principios del procesamiento de datos personales. Imparte premisas de Legalidad, Equidad y Transparencia del tratamiento de datos a través de acciones concretas como ser que (los datos) deben ser recopilados para fines específicos, legítimos y el consentimiento para su uso debe ser dado de manera inequívoca. Una vez cometido el fin específico para el cual los datos fueron requeridos, deben ser eliminados de las bases de almacenamiento (principio de minimización). Sin embargo, este principio tiene dos excepciones: la primera, vinculada con el interés público, implica que el procesamiento de datos posteriormente al fin específico para el cual fueron requeridos podrá continuar siempre y cuando sean utilizados para fines de investigación científica, histórica o para fines estadísticos. La segunda excepción tiene lugar cuando el titular brinda consentimiento para que sus datos se utilicen para más de un propósito determinado (propósitos que, de todos modos, deben ser detallados por el administrador).
Respecto de los derechos del titular de datos, la reglamentación determina los siguientes:
- Derecho de acceso a los datos (Art. 12,15)
- Derecho a estar informado (Art. 12, 13, 14)
- Derecho a la rectificación de datos (Art. 12, 16)
- Derecho al olvido (Art. 12, 17)
- Derecho a la restricción de procesamiento/ tratamiento de datos (Art.12, 18)
- Derecho a no ser sujeto de toma de decisiones automatizadas (Art. 11,22)
- Derecho a la Portabilidad de datos (Art. 12, 20)
- Derecho a objetar/ refutar el procesamiento de datos (Art. 12, 21)
Una novedad en materia de protección de datos es la ‘’portabilidad’’. De acuerdo con el GDPR, las personas tienen derecho a solicitar a las empresas a las cuales hayan proveído sus datos que proporcionen los mismos en un formato estructurado y de uso común (Excel, por ejemplo) para que estos datos puedan ser transmisibles a otro operador.
Respecto a filtraciones de datos, la GDPR establece que las empresas deberán informar en un plazo de 72 horas desde que han sufrido un incidente de seguridad (data breach) y no solo deberán dar parte a las autoridades competentes sino también a todos aquellos usuarios cuyos datos hayan podido estar comprometidos.
Finalmente, cabe destacar que la GDPR europea en su Art.50 insta a la cooperación internacional para la protección de datos personales.
- Legislación Argentina. Similitudes y diferencias con GDPR
En octubre de 2000 fue sancionada en nuestro país la Ley 25.326 de Protección de Datos Personales. La norma, si bien vela por los derechos de los datahabientes, ha quedado desactualizada pese a las más de 80 actualizaciones que ha recibido a lo largo de 20 años a través de diferentes decretos los cuáles no han sido suficientes a efectos de atender aspectos que, por ejemplo, la GDPR europea pretende corregir.
Observemos algunas diferencias y similitudes entre nuestra Ley 25.326 y la GDPR europea:
- En primer lugar se destaca que el Art.1 de GDPR tiene como objeto establecer normas que se refieran a la protección de datos personales de las personas físicas. La ley local, si bien tiene como objetivo la protección integral de los datos personales, considera a esto último como un medio para proteger la integridad y el honor de las personas. Asimismo, aplica tanto para personas jurídicas como físicas.
- Tal como fue descripto en el apartado precedente, la GDPR establece tres supuestos de aplicación extraterritorial. En cambio, la ley argentina solo menciona ‘’archivos, registros, bancos de datos u otros medios técnicos de tratamiento de datos sean estos públicos o privados destinados a dar informes” sin mencionar la sede de su establecimiento ni el lugar donde este se lleve a cabo.
- Un punto fundamental para el reglamento de la UE es el consentimiento. Al respecto, la GDPR en su Art.4.11 establece que “El consentimiento es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.” Esto quiere decir, lisa y llanamente, que el consentimiento tácito no es válido. Igual postura toma la ley 25.326 local cuando dice que el procesamiento de datos es ilícito si el titular no hubiera prestado su consentimiento. Ahora bien, la GDPR europea pone en cabeza de quien recaba los datos, de manera taxativa, el hecho de tener que acreditar el consentimiento lo cual no sucede, al menos no de manera taxativa, en la legislación local.
- Respecto a los derechos de los titulares de datos, ambas legislaciones consagran los derechos tradicionales respecto a la protección de datos pero, la GDPR avanza en dos derechos no regulados en la Ley 25.326: el derecho a la limitación de tratamiento (Art.18) mediante el cual la persona interesada puede solicitar que sus datos se conserven a efectos de, por ejemplo, recabar pruebas para un reclamo, pero sin que pueda ser ejercido otro tipo de tratamiento; y el derecho a la portabilidad en virtud del cual se puede solicitar a quien posea nuestros datos que sean entregados para ser transferidos a otro responsable de datos
- En lo que hace a la transferencia internacional de datos ambas legislaciones sostienen que solo se permitirán a aquéllos países que cuenten con un nivel adecuado de protección. La GDPR europea cita criterios para establecer cuando una jurisdicción es segura: el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes, los compromisos internacionales asumidos, etc. En cambio, la ley argentina, no contiene una disposición similar.
- La legislación europea determina que todos los países deberán actuar con total independencia en el desempeño de sus funciones y que los estados deberán garantizar que la autoridad de control sea ajena a toda influencia externa y que cuente con los recursos humanos, financieros técnicos y de infraestructura adecuados para el ejercicio de su función. En nuestro país el control de los datos lo ejerce la Agencia de Acceso a la Información Pública que depende de la Jefatura de Gabinete de Ministros pese a que la Ley de Protección de datos personales preveía un organismo de control descentralizado.
- Finalmente, la GDRP establece el derecho a una indemnización por los daños y perjuicios que hubiere sufrido el titular de datos como consecuencia del mal uso de los mismos. Nuestra legislación solo prevé la acción de habeas data y en el Art.31 menciona que los responsables de bases de datos están sujetos a la responsabilidad por daños y perjuicios derivados de la inobservancia de sus disposiciones, pero no está consagrado en forma expresa el derecho de los titulares a solicitar una indemnización.
En 2018 el entonces Presidente de la Nación Mauricio Macri envió un proyecto para modificar la vigente Ley 25.326. En dicho proyecto la autoridad de aplicación continúa siendo el Poder Ejecutivo, algo que la legislación Europea (y la de Estados Unidos) evita con miras a mayor transparencia.
Otro de los puntos controversiales del último proyecto de ley enviado lo suscita el hecho de que se establece la figura del consentimiento tácito (al contrario de lo que sucede en Europa donde el consentimiento tiene que ser inequívoco por parte del titular de los datos). Ello, en total oposición con el fallo Torres Abad que, precisamente, prohibió a ANSES usar su base de datos sin consentimiento expreso por parte de los ciudadanos. A fin de zanjar estas cuestiones, siempre se podrá acudir a la figura del Habeas data lo cual implica que quien lo interpone tiene que demostrar que aquel que posee los datos los está utilizando en contraposiciòn a la ley. Esta es otra diferencia con la regulación europea donde corresponde al tratante de los datos demostrar que cumple con la normativa.
Más allá de lo precedentemente expuesto, es dable destacar la multa impuesta el 14 de abril del corriente año a Google Argentina SRL y Google LLC por la Agencia de Acceso a la Información Pública por incumplimiento a la obligación de garantizar y permitir el derecho de acceso a los datos personales. El reclamo fue realizado por una usuaria de Gmail, solicitando el acceso a los datos personales contenidos en su cuenta de correo electrónico dado que un tercero no autorizado había accedido a su cuenta, modificando las contraseñas y eliminando información valiosa. Google Argentina S.R.L. rechazó los requerimientos alegando que no administraba ni tenía responsabilidades técnicas sobre Gmail, producto administrado por Google LLC. Esta última, a su vez, manifestó que la plataforma provee una herramienta online específica para recuperar el acceso a una cuenta de correo y sostuvo que, por fuera de ese procedimiento, Google LLC no podría dar información sobre la cuenta en cuestión de no mediar una orden judicial.
La Agencia de Acceso a la Información Pública determinó, sin embargo, que a pesar de ser una empresa extranjera sin presencia en Argentina, Google LLC es responsable ante la Agencia en función del artículo 44 de la Ley de Protección de Datos Personales y que Google Argentina S.R.L. es corresponsable ante la Agencia por la administración del servicio Gmail que presta Google LLC.
- Responsabilidad ante la privacidad de datos en la empresa
La sección 4 de la GDPR nos habla sobre el Delegado de Protección de datos (DPD - Data Protection Officer o también conocido como “Chief data officer”) y, si bien lo reconoce, no lo define. Sin embargo, en el Art.37 se establece que será necesario el nombramiento de un delegado de protección de datos cuando:
- "El tratamiento se lleve a cabo por una autoridad u organismo público, exceptuando los tribunales que actúen como consecuencia del ejercicio de su función judicial;"
- Cuando las actividades principales del responsable o encargado consistan en operaciones de tratamiento que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala;
- "Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 del Reglamento y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10."
Del articulado anterior, caben distinguir dos figuras diferentes: el responsable del tratamiento, que será quien decida sobre la finalidad, contenido y uso del tratamiento de datos, aunque no lo realice materialmente. Y el encargado de tratamiento que será quien trate los datos del responsable anterior, en virtud de una relación que le permita acceder a esos datos para su tratamiento.
Si bien hubiese sido preferible que la regulación determine con mayor precisión qué es un Delegado de protección de datos, sus responsabilidades y el significado de “gran escala de datos”, es aconsejable, además de los tres casos en los que la GDPR establece la obligatoriedad de contar con esta figura, que algunas empresas, bajo determinados circunstancias, también cuenten con este responsable. En tal sentido, podemos las ensayar los siguientes supuestos que ameritarían contar con un DPD:
- A fin de sortear cualquier complejidad legal en el tratamiento de los datos.
- Para dar asesoramiento a los interesados sobre sus derechos y vías de protección de sus datos.
- Para velar por la privacidad de los clientes o usuarios, previniendo incurrir en sanciones.
- Para informar sobre cambios normativos en lo que respecta a la protección de datos.
- Para supervisar que el encargado de tratamiento de los datos, a su vez, cumpla con la ley.
- Para informar sobre brechas en la seguridad de datos (de acuerdo con GDPR, esto debe hacerse en el plazo de 72 horas de ocurrido el evento).
Es importante, asimismo, que la empresa se comprometa desde la más alta esfera en temas de Data Governance, promoviendo una Politica interna de Protección de Datos. Es fundamental que se tomen decisiones sobre quién accede a los datos, qué sistemas de protección se utilizan, la finalidad de la obtención de un dato determinado y su guarda (data retention), etc. Y para ello, el Senior Management de la empresa debería liderar un Comité de Data Governance donde se expongan periódicamente las cuestiones relativas a seguridad de datos.
Vale aclarar que, la infraestructura de datos es una parte central para el cumplimiento de GDPR y por ello los sistemas de la compañía deben ser seguros y estar bien administrados. En este sentido, el rol del área de IT se torna relavante en el mantenimiento y actualización de los sitios y aplicativos de la empresa así también como en la realización de una Evaluación de Impacto de Privacidad de datos, en conjunto con el Data Protection Officer.
- Comentarios finales
Hace más de 20 años, en las oficinas de Google, se acuñó un término que en 2019 la profesora de Harvard Shoshana Zuboff vino a esclarecer: El Capitalismo de la Vigilancia. Este término alude a la manera en que las grandes empresas poseedoras de datos pueden predecir y modificar el comportamiento humano a través de distintos algorítmos con el solo propósito de beneficiar a las empresas. Es por ello que, aunque parezca menor, debemos prestar atención a la cantidad y calidad de datos que brindamos y a quienes se los facilitamos, así también como a los mecanismos que cada legislación ofrece para hacerse de esos datos y saber para qué se utilizan. Los efectos de otorgar datos de manera indiscriminada y sin control no son menores, y van desde daños a la reputación (tanto para las personas como para las empresas que poseen nuestros datos dada la merma en la confianza del público ante un escándalo o filtración de datos) y pérdidas financieras como consecuencia del incumplimiento de legislaciones y/o pago de multas o juicios por parte de las empresas. En este sentido, la figura del Compliance Officer y la del Data Protection Officer (en caso que no coincidan en la misma persona) se tornan relevantes, así también como la interacción con las áreas de seguridad informática y, por supuesto, con el Sr. Management de las organizaciones.