Datos, regulación y economía digital

Un análisis del proyecto de Ley de Protección de Datos Personales. POR CAROLINA MARTÍNEZ ELEBI (*) @titayna Empecemos

Un análisis del proyecto de Ley de Protección de Datos Personales.
POR CAROLINA MARTÍNEZ ELEBI (*)
@titayna

Empecemos por el principio. Durante 2017, la Agencia de Acceso a la Información Pública de Argentina, a cargo de la aplicación de la Ley de Protección de Datos Personales, elaboró un anteproyecto de ley para actualizar la normativa siguiendo el ejemplo de la Unión Europea (UE), que había aprobado el Reglamento General de Protección de Datos (RGPD —GDPR, por sus siglas en inglés—). Uno de los motivos que impulsó esta decisión fue que Argentina continúe siendo considerado “país adecuado” por parte de la UE. En agosto de 2018, después de algunos debates y modificaciones, el presidente Mauricio Macri envió al Congreso Nacional el proyecto de ley, que todavía no fue tratado, por lo que quedará para 2019, año de elecciones presidenciales.

Teniendo en cuenta que los objetivos centrales de un proyecto de ley de protección de datos personales deben estar orientados, precisamente, a la protección, y que actualmente estamos viviendo el auge de una economía de los datos, la economía digital, que se ve limitada por cualquier mecanismo técnico y regulatorio que busque proteger a los datos y a la privacidad de los titulares de esos datos, es necesario que el debate en torno a este proyecto sea profundo e incluya a todas las partes involucradas e interesadas en emitir su opinión.

A favor de la protección

El proyecto consta de 12 capítulos y 95 artículos, el doble de los que tiene la ley vigente. Entre los puntos a destacar, se encuentran la enunciación de los siguientes principios fundamentales para la correcta protección de los datos personales: principio de licitud, lealtad y transparencia; principio de finalidad1; principio de minimización de datos; principio de exactitud; limitación del plazo de conservación; principio de responsabilidad proactiva; principio de seguridad de los datos personales; y principio de confidencialidad.

Además, la reforma incluye una amplia lista de derechos de los titulares de los datos, tales como: derecho de acceder a la propia información de forma clara y comprensible, derecho a rectificar los datos, derecho a oponerse a su tratamiento, derecho a solicitar la supresión de los mismos, derecho a oponerse a ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos —algo fundamental en un contexto de cada vez mayor uso de la inteligencia artificial, a través de la técnica del machine learning, para la toma de decisiones2— y derecho a transferir los datos de una plataforma a otra que ofrezca similares servicios (derecho de portabilidad de los datos). Estos derechos son necesarios para que los titulares de los datos tengan un mayor control de su información. Además, el titular de los datos tiene derecho a revocar el consentimiento otorgado para el tratamiento de sus datos (artículo 13).

Es importante destacar que el derecho de solicitar la supresión de los datos genera controversias debido a que su mala implementación —y a la confusión con el llamado “derecho al olvido”—, o la falta de control en los casos en que se aplique, puede afectar derechos fundamentales como el de libertad de expresión y acceso a la información. Es por eso que en el proyecto de ley que se somete a consideración, se ha aclarado que el derecho de supresión no procede cuando el tratamiento de datos persiga un fin público o sea necesario para ejercer el derecho a la libertad de expresión e información.

Otro aspecto que incorpora el proyecto de ley es la regulación de la “protección de datos desde el diseño y por defecto” (art. 38), al igual que lo hizo el RGPD europeo en su artículo 25. De esta manera, se contribuye a la seguridad e integridad de la información. Sin embargo, en el caso de que hubiera algún incidente de seguridad en las bases de datos personales —que siempre los hay— los responsables del tratamiento de esos datos tendrán la obligación de notificarlo a la autoridad de control y, en los casos “graves”, al titular de los datos. Esta notificación tiene como objetivo minimizar los perjuicios al titular de los datos, una vez ocurrido el incidente de seguridad.

Una ley para favorecer la economía digital

¿Cuál es el objeto del proyecto de Ley de Protección de Datos Personales? Según su artículo 1, “la protección integral de los datos personales a fin de garantizar el ejercicio pleno de los derechos de sus titulares” y el objetivo es que esto sea conforme a los tratados de derechos humanos en los que Argentina es parte y a lo establecido en el artículo 43, párrafo tercero, de la Constitución Nacional (CN). Sin embargo, entre los argumentos del proyecto se explica que el proyecto intenta cumplir con una legislación más moderna que respete los derechos y garantías establecidos por nuestra CN y que, al mismo tiempo, “se adapte a las nuevas tecnologías y a los cambios regulatorios ocurridos en el derecho comparado durante los últimos años”. Esta adaptación a las nuevas tecnologías está relacionada directamente a los avances en materia de negocios de la economía digital.

Sin embargo, tiene algunos aspectos problemáticos que la tornan inviable para cumplir con el objetivo de proteger los derechos de la ciudadanía. Entre los problemas más destacados del proyecto, están la no incorporación de los datos biométricos y genéticos como datos sensibles3, lo que deja este tipo de datos a merced de la protección más laxa de la norma; la inclusión de la figura del consentimiento “tácito” (artículo 12); la habilitación a las empresas de trasladar libremente los datos personales a través de las fronteras —que, sin esperar a la sanción de la ley, la Agencia de Acceso a la Información Pública aprobó la Resolución 159/2018 en la que habilita a las empresas que conformen un mismo grupo económico a realizar transferencia internacional de datos personales4—; las nulas protecciones de los ciudadanos frente al Estado; y el mantenimiento de una autoridad de aplicación y control subsumida al Poder Ejecutivo.

La existencia de un consentimiento “tácito” en un proyecto de ley sobre Protección de Datos Personales hace ruido en sí mismo. Ni siquiera la definición que se intenta dar en el artículo 12 deja en claro qué se considera “consentimiento tácito” y cómo el titular de los datos puede saber que está dando ese tipo de consentimiento al tratamiento de sus datos. La creación de esta figura solo estaría respondiendo a la necesidad de agilizar el trámite a las empresas de la economía digital que, en la búsqueda de conseguir el consentimiento expreso por parte del titular de los datos, deberían invertir tiempo y recursos extra. De hecho, en el documento final del grupo de trabajo sobre Economía Digital del B20 de 2018, las regulaciones en materia de protección de datos personales son consideradas barreras comerciales que impiden el desarrollo y la innovación y se propone que estas sean revisadas para “facilitar un comercio digital abierto, inclusivo y transparente”5. Sin embargo, es importante destacar que el consentimiento debe ser siempre una manifestación de la voluntad libre, específica, informada e inequívoca manifestada mediante una declaración al efecto o una clara acción afirmativa.

Una novedad que trae el proyecto, dentro de las excepciones al consentimiento (artículo 14), es que permite que no haya consentimiento previo para el tratamiento de datos cuando sean listados que incluyan nombre, DNI, CUIL/CUIT, ocupación, fecha de nacimiento, domicilio y correo electrónico. La inclusión de esta excepción elimina el fallo Torres Abad, de julio de 2018, de la Sala V de la Cámara en lo Contencioso y Administrativo Federal, que resolvió que los datos de ANSES no pueden ser usados libremente por la Jefatura de Gabinete de Ministros. La Cámara fija límites claros y establece que si la titular de los datos no presta consentimiento expreso para el tratamiento de los mismos, el organismo que los obtuvo, en este caso ANSES, no puede cederlos ni darlos a conocer, ya que se encuentran protegidos bajo la cobertura de la Ley 25.326 de Protección de Datos Personales.

Otras excepciones que son demasiado amplias son las que permiten el tratamiento de datos sensibles que, por ejemplo, no incluyen la limitación de tener por finalidad el interés público. Sin embargo, sí tiene como agregado el requisito de adoptar un procedimiento de disociación de datos, para que la información no pueda asociarse a una persona determinada (aunque se ha discutido la efectividad de estos procedimientos). Desde la ONG Access Now consideran que “sería importante incluir la finalidad de ‘interés público’ para autorizar el tratamiento de información sensible sin consentimiento de los titulares”.

Con respecto a la transferencia internacional de datos —un tema sensible ya que se dirime entre la protección de los datos personales y el flujo de datos en el marco del desarrollo del comercio electrónico y la economía digital—, el inciso e) del artículo 23 es el que presenta preocupaciones para quienes defienden la privacidad y la protección de los datos. Este inciso otorga a las empresas la potestad de mover los datos a través de las fronteras libremente, ya que para poder hacerlo solo deben cumplir una condición de la lista. Algunas reflexiones sobre este artículo: 1) Los datos tratados por el Estado no deberían ser transferidos; 2) Se habilita a la transferencia de datos entre empresas del mismo grupo sin importar las garantías en el país de destino6; 3) La “cooperación internacional entre organismos de inteligencia” -que se desconoce con qué organismos y en el marco de qué investigaciones, debido a que todo está amparado por las normas del Secreto- es peligrosa para los ciudadanos que desconocen qué se hace con sus datos.

Otro problema que se presenta es el marco no circunscripto del tratamiento de los datos por poderes públicos. “Los gobiernos tienen la obligación de proteger los datos personales, incluso cuando esa información se encuentra en manos de organismos del Estado”, explican desde Access Now. Sin embargo, suelen establecerse limitaciones y excepciones a la protección de datos respecto de ciertas actividades gubernamentales poco definidas en la práctica como, por ejemplo, la “protección de la seguridad nacional”. De hecho, el anteproyecto de ley argentino dispone que puede negarse el ejercicio de los derechos en función de “la protección de la defensa de la Nación, del orden y la seguridad públicos, o de la protección de los derechos e intereses de terceros” (artículo 36).

Finalmente, esta situación resulta más problemática teniendo en cuenta que el diseño de la autoridad de aplicación y control dentro del mapa del Estado la convierte en un órgano subsumido al Poder Ejecutivo, en lugar de garantizar que cumpla con el objetivo de que la Agencia Nacional de Protección de Datos Personales sea un organismo descentralizado, autónomo y con autarquía económica y financiera. Esto no podrá cumplirse mientras el director ejecutivo sea designado por el Poder Ejecutivo Nacional, por el período de cuatro años y con la posibilidad de ser reelegido (artículo 62), período que coincide con el del mandato presidencial.

Como reflexión final es necesario destacar que, a pesar de que es evidente la huella del RGPD en el proyecto de ley que aún no comenzó a debatirse en el Congreso, en líneas generales establece una serie de flexibilidades y excepciones que disminuyen la protección de los ciudadanos frente al Estado, al sector privado en general y, principalmente, frente al sector de la economía de los datos. Podría concluirse que la actualización cumple más con beneficiar al sector de la economía digital que a la protección de los titulares de los datos y, de hecho, la ley 25.326 —que es la norma vigente—, protege más los datos personales que el proyecto presentado por el Poder Ejecutivo en 2018. 

Referencias: