Nuevos paradigmas para nuevos desafíos.
POR VERÓNICA FERRARI Y TAMAR COLODENCO. (*)
@TamiColodenco
Los datos personales se han convertido en la materia prima que alimenta a la industria digital. Es hora de que la regulación del tratamiento y la transferencia de datos personales se adapte a los tiempos que corren. ¿Pero cuáles son los estándares adecuados de protección de datos? ¿Cómo se logra un balance entre la innovación, el desarrollo económico y la protección de la privacidad de los ciudadanos?
El Reglamento General de Protección de Datos (RGPD) es el nuevo marco normativo para el tratamiento de datos personales en la Unión Europea (UE). Fue aprobado en 2016 pero será de cumplimiento obligatorio a partir de mayo de 2018. En un contexto donde la transferencia de datos es moneda corriente para cualquier negocio que tenga una pata en el ecosistema digital, la legislación que emana de un país —o, en este caso, una región— tiene efectos a nivel global. La discusión alrededor de los noventa y nueve artículos que componen el reglamento generó críticas y alabanzas de distintos sectores que se verán afectados por las nuevas disposiciones. Esta reforma, que para muchos actores privados es excesivamente proteccionista, volvió a poner en agenda una cuestión central para el desarrollo de la economía digital: cuál es el estándar mínimo de protección de datos que no obstaculiza la innovación a la vez que protege adecuadamente los derechos de los ciudadanos.
Las principales novedades que introduce el RGPD tienen que ver con el alcance de la normativa y con los nuevos derechos tutelados. Respecto al alcance, el reglamento abarca a todas las empresas que tratan datos de ciudadanos europeos, independientemente de su locación física o jurídica. Por ejemplo, una aplicación mexicana deberá adaptarse a la legislación europea si algunos de esos usuarios son ciudadanos de la UE. En definitiva, esto afectará a gran cantidad de empresas digitales que operan globalmente. Otros cambios tienen que ver con las altas multas que pueden recaer sobre las empresas que no cumplen con la directiva. Además, el reglamento impone condiciones estrictas al proceso de consentimiento de los usuarios que deben poder fácilmente revocarlo y acceder a los términos y condiciones de las plataformas en lenguaje accesible.
Respecto a los nuevos derechos y obligaciones, el RGDP impone que ante cualquier violación de la seguridad de los datos personales debe notificarse el hecho sin dilación. También existe un “derecho de acceso” que permite a los ciudadanos pedir información acerca del uso que se le da a sus datos. Además, las empresas deben darle a los usuarios que lo soliciten una copia de todos los datos personales que son objeto del tratamiento.
El nuevo reglamento regula también el derecho de supresión (también conocido como “derecho al olvido”) que obligará a las empresas a suprimir datos personales en caso de que ya no sean necesarios en relación con los fines para los que fueron recogidos o que el interesado haya retirado el consentimiento. Uno de los puntos más polémicos en este respecto es si la supresión de contenidos debería tener alcance también por fuera de Europa. Empresas como Google y Facebook sostienen que ningún país debería imponer a otro regulaciones de este tipo. Por el contrario, afirman, cada país debería poder definir autónomamente cuál es el balance óptimo entre libertad de expresión y privacidad. Por otra parte, este artículo plantea que las empresas estarán obligadas “a suprimir sin dilación indebida los datos personales” aún cuando no haya una decisión judicial acerca de la licitud del pedido. Según las compañías, esto podría generar una especie de autocensura donde, por temor a enfrentar multas onerosas y sin la mediación de la justicia, se daría de baja contenido lícito a pedido de los usuarios. Está por verse como se aplicarán en la práctica estas disposiciones.
EEUU vs. Europa: la batalla por la protección de datos
El RGDP será de aplicación obligatoria a partir de mayo de 2018 y las empresas norteamericanas —como Google, Facebook o Amazon— tendrán que cumplir con las normas europeas que son muchas y muy complejas. Hasta el 2015, existía un acuerdo EEUU-Europa llamado Safe Harbor (o puerto seguro) que permitía la transferencia de datos entre ambas partes. En 2015, las revelaciones de Edward Snowden sobre actividades de vigilancia masiva de EEUU y una demanda de un activista austriaco1 desembocaron en un fallo de la Corte Europea de
Justicia que anuló el acuerdo de Safe Harbor por considerar que los estándares de protección de datos de los Estados Unidos no cumplían con los requisitos europeos. En 2016, se adoptó un nuevo acuerdo: el Privacy Shield. Este acuerdo incluye elementos de protección más robustos como un ombudsman de datos que velará por los intereses de los ciudadanos europeos en lo que respecta al uso de sus datos en EEUU.
Muchas compañías norteamericanas dieron el visto bueno al Privacy Shield, entendiendo que introducía reglas de juego claras y mecanismos concretos para cumplir con la directiva europea sin interrumpir sus negocios. La sociedad civil, por su parte, no tomó con el mismo entusiasmo la introducción del acuerdo. Organizaciones como Digital Rights Ireland, Electronic Frontier Foundation (EFF), Acces Now y Privacy International manifestaron preocupación al entender que el Privacy Shield no protege adecuadamente a los ciudadanos europeos de potenciales actividades de vigilancia masiva por parte de EE.UU. En definitiva, el desafío es encontrar vasos comunicantes entre dos paradigmas opuestos de protección de datos. Europa está yendo por la vía más proteccionista y panregulatoria mientras que en Estados Unidos los estándares de protección suelen ser más bajos y la regulación más parcial y sectorial.
Palabras clave en la regulación de datos
Datos personales: según la ley actual de protección de los datos personales (Ley 25.326), estos datos son considerados información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables. El anteproyecto que reformaría esta normativa agrega que se consideran datos personales los datos biométricos.
Datos sensibles: son datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
Transferencia de datos: la ley 25.326 prohíbe la transferencia de datos personales de cualquier tipo con países u organismos internacionales que no proporcionen niveles de protección adecuados. Hay excepciones por cuestiones de salud, colaboración judicial, lucha contra crímenes internacionales o transferencias bancarias. El anteproyecto además incluye la posibilidad de transferir datos sin el consentimiento del titular en casos como, por ejemplo, cuando se trate de una transferencia internacional pero entre distintas filiales de una misma empresa.
Tratamiento de datos: el anteproyecto que busca actualizar la ley 25.326, define tratamiento de datos a cualquier procedimiento que permita, entre otras cosas, recolectar, conservar, almacenar, modificar, borrar, o ceder datos personales. Compañías y gobiernos, por ejemplo, son responsables del tratamiento de nuestros datos.
Big Data: hay una falta de consenso en cuanto a qué es big data. La Universidad de Berkley, por ejemplo, compiló unas 40 definiciones sobre el tema1. En líneas generales, es un término que se aplica a la capacidad de procesar grandes y diversas cantidades de datos a gran velocidad. El data mining (o “minería de datos”) tiene que ver con lo que se puede hacer a través de algoritmos con estas enormes cantidades de datos. Por ejemplo, establecer patrones, predecir comportamientos.
1 https://datascience.berkeley.edu/what-is-big-data/
El panorama en América Latina y Argentina
A imagen del modelo europeo, en América Latina, en líneas generales, existe una amplía protección de los datos personales. La protección de datos personales tiene reconocimiento en gran parte de las constituciones de la región y, a partir de los 90, empezaron a aprobarse leyes integrales que regulan el tratamiento de los datos tanto por parte del sector público como del privado. Convertirse en países con un nivel adecuado de protección de acuerdo a los estándares europeos y así facilitar la transferencia de datos y las inversiones aparecen como algunas de las razones que enumera el experto Alberto Cerda Silva2 para explicar la ola regulatoria en la región.
Sin embargo, en la actualidad, América Latina presenta una fragmentación en los niveles de protección de datos personales: por ejemplo, hay países que todavía no cuentan con regulación integral —como Brasil—, existe falta de armonización entre estos marcos legislativos,
y hay un problema general de deficiencia en la aplicación de estas leyes, muchas veces por debilidad de los organismos encargados de ponerlas en práctica.
En Argentina, el derecho a la protección de los datos personales está reconocido en el artículo 43 de la Constitución y está regulado a través de la Ley de Protección de Datos Personales. Este marco permite que Argentina sea considerado como un país con un nivel adecuado de protección por la Comisión Europea. Sin embargo, el marco actual, es laxo en cuanto al manejo que puede hacer el Estado de los datos personales de la ciudadanía. Por ejemplo, la ley prohibe tratar y ceder datos sin el consentimiento del titular. Sin embargo, este requisito puede ser dejado de lado cuando es el Estado el que realiza este tratamiento en el marco de sus funciones, como explica el informe “El Estado recolector” de Asociación por los Derechos Civiles (ADC)3. La otra debilidad estructural del marco argentino, tenía que ver con un órgano de control débil y dependiente del Poder Ejecutivo. En 2017, y a través de un decreto presidencial, la por entonces Dirección Nacional de Protección de Datos Personales se unió a la recientemente creada Agencia de Acceso a la Información Pública, creando un único ente autárquico dentro del ámbito de Jefatura de Gabinete. Contar con un solo organismo para garantizar el acceso a la información pública y la protección de datos personales también despertó críticas desde ONGs como ADC y Fundación Vía Libre que alertaron sobre posibles riesgos de que un derecho predomine sobre el otro.
En el último tiempo, con la necesidad de adecuar los marcos regulatorios a los desarrollos tecnológicos
y para responder a la creciente transferencia internacional de datos personales, nuevas leyes han comenzado a surgir América Latina. En Argentina, en 2017, se presentó un anteproyecto4 para actualizar la ley de protección de datos. El borrador recoge muchos de los ejes del RGDP europeo, como la idea de datos biométricos y datos genéticos como datos personales, y aspectos positivos en cuanto a protección de la privacidad como la necesidad de realizar evaluaciones de impacto a fin de prevenir riesgos para este derecho, el principio de “protección de datos desde el diseño y por defecto” que implica que este principio debe estar embebido en todas las medidas tecnológicas y organizativas llevadas adelante por los responsables del tratamiento. Otros aspectos, por otro lado, despiertan reparos. El anteproyecto, a fin de flexibilizar el flujo de datos necesarios para el desarrollo de la economía digital, señala que el consentimiento para el tratamiento de los datos pueda ser tácito. Desde la ADC, por ejemplo, advirtieron sobre la vaguedad de este punto del borrador puede dar lugar a ambigüedades dejando en una situación de desprotección a los titulares de datos. También hubo críticas desde el sector privado durante el proceso de discusión del anteproyecto. Las críticas se concentraron en algunos puntos de la regulación que podrían resultar ambiguos y de difícil cumplimiento para PyMES y startups que trabajan con datos, como por ejemplo los relacionados con las notificaciones de incidentes de seguridad o las evaluaciones de impacto.
Los nuevos desafíos de la economía digital
Los desafíos actuales en cuanto a datos personales son numerosos. Desde cómo desarrollos tecnológicos como big data, inteligencia artificial e Internet de las cosas ponen en jaque nociones vinculadas al tratamiento de los datos como el consentimiento, cómo hacer que la regulación y las políticas promuevan el flujo de datos necesario para el desarrollo de la economía digital y la innovación, pero sin desproteger la privacidad de usuarias y usuarios, hasta los espacios en los que deberían darse estas discusiones.
La puja entre los modelos estadounidense y europeo en cuanto a protección de datos, y la armonización de los nuevos marcos legales que se discuten en Argentina y en el resto de América Latina es otra de las cuestiones que merecen atención. Pensando en el caso del nuevo reglamento europeo y su influencia en las discusión local y regional, ¿cómo debemos armonizar estos estándares con el marco Interamericano de derechos humanos y la jurisprudencia en América Latina? Esta cuestión es clave, en especial, en temas de libertad de expresión en Internet. Habrá que ver que sucede con el anteproyecto argentino y, de aprobarse, como se aplica efectivamente y que impacto tiene en el desarrollo de negocios digitales y en la protección de los derechos de los ciudadanos.
1 En octubre de 2013, la Corte Europea de Justicia determinó la invalidez del Safe Harbor a partir de una demanda iniciada por Max Schrems, un activista austriaco en el campo de la privacidad.
2 http://www.palermo.edu/cele/pdf/Internet_libre_de_censura_libro.pdf
3 https://adcdigital.org.ar/wp-content/uploads/2016/01/El-Estado-recolector.pdf
4 https://www.justicia2020.gob.ar/wp-content/uploads/2017/02/Anteproyecto-de-ley-PDP.pdf
¿Cuáles son los desafíos del nuevo organismo, y qué rol está pensando para la nueva agencia?
Creo que lo importante es que se garantice la independencia del organismo. Eso es lo que exigen los estándares internacionales. Luego, si se trata de un sólo órgano o de dos es una decisión de diseño institucional que puede tomar cada Estado. La ventaja es que, al ser un solo órgano, la tensión entre ambos derechos se resuelve internamente en el reclamo administrativo. Hay muchos ejemplos en los que, por tener dos entidades con iguales facultades, se generan decisiones contradictorias que producen una suerte de “choque de trenes frontal”. Esto, en definitiva, perjudica al ciudadano que siempre debe recurrir al Poder Judicial. Ese choque se evita con una decisión de un sólo órgano.
Por otra parte, al tratarse de un órgano único, se deben establecer reglas claras de decisión en los casos en que pueda existir conflicto de derechos. Por esto, al diseñar la estructura de la Agencia se propuso la creación de dos Direcciones Nacionales —una sobre acceso a la información, otra sobre protección de datos personales— con igual jerarquía que dependen directamente del director de la Agencia.
El anteproyecto sigue los lineamientos más modernos en materia de protección de datos, entendiendo que la normativa se aplicará aun cuando los responsables de tratar los datos no se encuentren en territorio nacional. El eje central pasa a ser el dato personal objeto de tratamiento, y no las bases de datos, como ocurre con la ley vigente. Se abandona la obligación de registro de bases de datos, y se incluye la evaluación de impacto y la obligación de notificar incidentes de seguridad.
Para estar más acorde a la era digital, se flexibilizan las normas relacionadas al consentimiento en tanto este puede ser obtenido de forma expresa o tácita, de acuerdo al contexto en el que se recepten los datos personales y al tipo de dato en cuestión. Por otra parte, el interés legítimo pasa a ser una base legal admitida expresamente para el tratamiento de datos personales.
Otras de las cuestiones a destacar es que la aplicación de la ley no podrá afectar al tratamiento de datos que realicen los medios de comunicación. Específicamente, en relación al derecho de supresión, el anteproyecto aclara que este derecho no procederá cuando el tratamiento de datos persiga un fin público o sea necesario para ejercer el derecho a la libertad de expresión e información.
Por ejemplo, hablando de big data, tanto el derecho a la información sobre qué se hace con los datos, como la relevancia del consentimiento que se deben tener en cuenta son principios que se encuentran en la ley vigente en Argentina de protección de datos personales y en el anteproyecto de reforma. Sin embargo, lo novedoso del anteproyecto es que cuando se apliquen las técnicas de big data o data mining se deberá contar con un funcionario específico, el delegado de protección de datos, y, además, se deberá hacer estudios de impacto a fin de prever riesgos para los datos personales.
(*) Ambas autoras son licenciadas en Ciencias de la Comunicación (UBA) y tienen maestrías en Políticas Públicas (Central European University).