Las nuevas tecnologías y los datos personales

El autor analiza el impacto de la Big Data en el manejo de datos personales, los distintos derechos frente a los cambios tecnológicos y nuevas formas de recolectar datos

Por Franco Raffinetti

Hace unas semanas Netflix estrenó “The Social Dilemma”, un documental que muestra “la cocina” de las redes sociales (Facebook, Google, Twitter, Instagram, Snapchat, Pinterest, entre otras) y el impacto que éstas producen en el comportamiento de las personas.

La particularidad del documental es que son los propios ex presidentes, vicepresidentes, directores, jefes de producto y creadores de herramientas de nuestra vida cotidiana (Google Drive, el chat de Gmail, el “me gusta” de Facebook) los que revelan el “lado oscuro” de estas grandes compañías. ¡Spoiler alert!

La gran mayoría se muestra arrepentido de haber sido parte de dichas empresas de Silicon Valley. Además, participan en este interesante documental prestigiosos académicos de Stanford, Harvard y New York University.

Quien vea “The Social Dilemma” se va a encontrar con clichés tales como “si no pagás por el producto entonces tú eres el producto” o “creemos que muchos servicios son gratis pero no lo son. Los que pagan son los anunciantes”.

Además, el espectador podrá introducirse en el mundo de los sistemas de IA (inteligencia artificial) implementados por estas compañías y su pugna para crear el mejor modelo que anticipe nuestras acciones.

 

Inteligencia artificial y algoritmos

“La IA es una innovación tecnológica disruptiva que tiene que ver con el reconocimiento de patrones. Los sistemas de IA utilizan ordenadores, algoritmos y diversas técnicas para procesar datos e información y resolver problemas o tomar decisiones que antes solo podían ser realizadas por nuestra capacidad cognitiva”. (Corvalán Juan Gustavo, Perfiles digitales humanos. Capítulo 2, El impacto de la IA en la protección de datos, Thomson Reuters, La Ley, año 2020).

Sin embargo, pasar directamente a los algoritmos y al mundo de la IA sería saltearnos una cuestión fundamental. Toda esta tecnología funciona a partir de la incorporación de grandes cantidades de datos (Big Data). Datos para que el algoritmo aprenda y entienda. Datos de validación para ajustar los parámetros del modelo y más datos para evaluar ese modelo que ya ha sido entrenado.

(Los algoritmos son definidos como un conjunto de instrucciones, reglas o una serie metódica de pasos que puede utilizarse para hacer cálculos, resolver problemas y tomar decisiones…los algoritmos son la base de la IA, que ejecutan instrucciones a partir de diversas técnicas, para transformar datos en patrones de información, luego en conocimiento y, desde allí, automatizar tareas, elaborar predicciones o previsiones” (obra citada).

En el documental, Shoshana Zuboff (socióloga, profesora emérita de Harvard) menciona que empresas como Facebook o Google se dedican a vender la certeza de que sus anuncios van a ser exitosos, es decir, que van a llegar al público elegido. Justamente remarca que las grandes predicciones comienzan con mucha data. Queda claro por qué los datos son considerados por muchos especialistas como el oro del siglo XXI: sin datos el negocio de las redes sociales no sería tal.

 

Para el big data hace falta el “Big OK, llevate mis datos”

El Big Data no es ni más ni menos que el conjunto de datos que todos los usuarios le proporcionan a estas compañías o que le permiten obtener a través de herramientas de extracción de datos (cookies y pixeles).

La gran mayoría no lo sabe, pero en las redes sociales consentimos permanentemente estas prácticas. Es necesario estar “alfabetizados” sobre estos temas para tener real consciencia sobre lo que estamos autorizando.

Por ello, la idea es tener un primer acercamiento al tan amplio mundo de los datos personales, mencionando los aspectos más relevantes de la regulación con la que contamos en la Argentina. Seguramente quedarán cuestiones que podrán ser desarrolladas en otra oportunidad.

 

¿Qué es un dato personal?

Los datos personales son toda información que se relaciona con vos y puede identificarte, por ejemplo: DNI, dirección, teléfono, situación crediticia, imagen, etc.

En Argentina estos datos están protegidos principalmente por la Ley Nº 25.326 (en adelante “LPDP”) y el Decreto Reglamentario Nº 1558/2001. La LPDP fue sancionada en el año 2001. No hace falta aclarar que los avances tecnológicos que se han dado durante estas casi dos décadas dejan a esta ley muy atrás, por no decir que es obsoleta. Son innumerables las situaciones de nuestro día a día que no se encuentran previstas en ella.

De todas maneras, la regulación se complementa con Resoluciones y Disposiciones que emite la Autoridad de Aplicación en la materia, la Agencia de Acceso a la Información Pública (en adelante “La Agencia”). Hay que tener en cuenta que en algunos casos se trata de meras recomendaciones.

Podemos dividir los datos personales en dos grandes grupos: generales y sensibles. Estos últimos son los que se diferencian del resto y la ley los define como los que revelan el origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

Los resultados de un estudio médico, si una persona es heterosexual o homosexual, la religión que uno profesa, son ejemplos de datos que tienen una protección mayor para la legislación argentina. El principio general es la imposibilidad de recolectar y tratar este tipo de datos salvo que existan razones de interés general autorizadas por Ley.

También podrán ser tratados datos sensibles con fines estadísticos o científicos cuando no se pueda identificar a sus titulares, es decir, que exista un proceso de disociación de datos previo. La realidad es que cuando no hay ninguna posibilidad de identificar a una persona, directamente, ese dato no se encuentra protegido por Ley y caen todas las obligaciones y especificaciones referenciadas a lo largo del artículo.

 

Consentimiento y datos personales

Volviendo a una cuestión antes mencionada, en cualquier instancia que se requieran datos personales será necesario un consentimiento previo del titular del dato. Pero no se trata de cualquier autorización para que se utilicen nuestros datos. Según la legislación argentina, el consentimiento debe ser libre, expreso, informado y por escrito o por un medio que se le equipare (por ej.: medios electrónicos).

Cuando hablamos de que el consentimiento debe ser informado, nos referimos a determinadas aclaraciones que no pueden faltar en esos típicos formularios que suscribimos a la hora de realizar un estudio médico, para utilizar una app, realizar una encuesta, etc. Estas especificaciones son las siguientes:

  • la finalidad del uso de nuestros datos.
  • la existencia de la base de datos donde se almacenan
  • el carácter obligatorio o facultativo de las respuestas al cuestionario que se ponga a disposición
  • la posibilidad de solicitar acceso en cualquier momento a los datos que se suministren, de realizar algún tipo de modificación o directamente solicitar que se eliminen los datos.

Ver también la Disposición AAIP 60/2016, la Resolución AAIP 159/2018 y normativa concordante.

 

¿Cuándo no será necesario obtener nuestro consentimiento?

Por ley, no es necesario el consentimiento de la persona:

-cuando los datos se obtengan de fuentes de acceso público irrestricto. Ej: la guía telefónica.
-cuando se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal.
-cuando se trate de listados cuyos datos se limiten a nombre, DNI, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio.
-cuando se deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento. Ej: contrato laboral.
-cuando se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes.

 

Cesión y transferencia internacional de datos personales

Quien reciba nuestros datos podrá cederlos a un tercero con el único fin de cumplir con el objeto que nosotros consentimos. Para ejemplificar, si una persona le envía su CV a una empresa para una búsqueda laboral, la empresa no podrá remitirlo a una agencia de marketing para su utilización en una campaña publicitaria.

Además, esa cesión deberá haber sido informada claramente, identificando al cesionario (“Tus datos serán cedidos a x”). Una vez realizada la transferencia, el cesionario quedará sujeto a las mismas obligaciones del cedente.

Ante cualquier inconveniente, la responsabilidad se torna solidaria. De todos modos, y como todo principio general, también existen excepciones.

Una práctica por demás habitual es la transferencia internacional de datos personales. La información personal que le brindamos a empresas como Facebook o Google termina siendo transferida al extranjero para su almacenamiento. Esta exportación de datos no es libre y está sujeta a determinadas reglas.

En primer lugar, debemos saber que La Agencia es la encargada de determinar qué países tienen “niveles adecuados de protección”. En otras palabras, los países que tengan niveles de protección similares a los nuestros. Esos países podrán intercambiar datos con Argentina libremente.

Actualmente son: Estados miembros de la Unión Europea y miembros del espacio económico europeo (EEE), Reino Unido De Gran Bretaña E Irlanda Del Norte, Confederación Suiza, Guernsey, Jersey, Isla de Man, Islas Feroe, Canadá sólo respecto de su sector privado, Principado de Andorra, Nueva Zelanda, República Oriental del Uruguay y Estado de Israel sólo respecto de los datos que reciban un tratamiento automatizado. (Disposición DNPDP 60/2016 y Resolución AAIP 34/2019).

Las empresas que no se encuentren en esos países deberán realizar un trámite previo. Deberán elegir entre (i) suscribir un contrato modelo de transferencia de datos o (ii) entre empresas de un mismo grupo económico establecer normas corporativas vinculantes (Binding Corporate Rules).

 

Bases de datos

Todo aquel que tenga bases de datos en el país deberá inscribirlas ante La Agencia. A partir de una modificación establecida en el año 2018, ya no se requiere de una renovación anual sino que deberá modificarse cuando la base de datos sufra alteraciones o cambios a fin de mantenerla actualizada.

Teniendo en cuenta lo expuesto, las empresas que tengan datos nuestros en la Argentina deberán realizar al menos una vez este trámite. Cualquier persona puede acceder al listado de bases de datos registradas,dando cumplimiento con el derecho de información establecido por ley.

 

Derechos respecto de los datos personales

¿Además del derecho a la información, qué otro derecho les otorga la legislación argentina a los titulares de los datos?

Derecho de acceso: todos tenemos la posibilidad de dirigirnos a una empresa, organismo público o profesional y consultar si tienen datos nuestros, dónde los obtuvo y qué hace con esa información.

Es un trámite gratuito y quien reciba la solicitud tiene 10 días para contestar el pedido.

Derecho de rectificación, actualización o supresión: mientras dure la verificación de la solicitud, el encargado deberá bloquear los datos o informar que se encuentran sometidos a revisión. Quien reciba la solicitud tiene 5 días para dar cumplimiento con el pedido.

En caso de que los responsables no cumplan con el ejercicio de estos derechos, el titular del dato podrá:

(i) realizar una denuncia ante la Agencia de Protección de Datos Personales;

(ii) Iniciar la acción de protección de datos personales o Habeas Data, que es una acción judicial específica que prevé la Ley 25326 en su art. 33.

 

Sanciones por incumplimientos a la regulación de datos personales

Los incumplimientos a la regulación de protección de datos pueden acarrear distintas sanciones: apercibimiento, suspensión, multa de entre $1.000 y $100.000 y clausura o cancelación de la base de datos.

Como podrán apreciar, se trata de multas con montos demasiado bajos. Este es uno de los grandes problemas de tener una Ley de 2001. En Argentina, es más costoso dar cumplimiento con las obligaciones que abonar las multas que pudieran generarse.

Para hacer un paralelismo, en caso de infringir el Reglamento General de Protección de Datos de la Unión Europea (GDPR), norma que regula la protección de datos en Europa, una empresa puede llegar a recibir una sanción de hasta 20 millones de Euros o el 4% del máximo volumen de negocio total anual global del ejercicio financiero anterior, optando por el de mayor cuantía. Permanentemente se dan a conocer multas millonarias por incumplimientos al GDPR.

Por otro lado, y para quienes les interese el Derecho Penal, el Código Penal Argentino establece la pena de prisión para quien: insertara o hiciera insertar a sabiendas datos falsos en un archivo de datos personales o proporcionara a un tercero a sabiendas información falsa contenida en un archivo de datos personales a sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales. revelare a otra información registrada en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de una ley.

 

Proyecto de reforma a la ley de datos personales

Una ley del año 2001 que trate cuestiones de tecnología necesita ser reformada. La Agencia abrió un proceso de consulta durante un año, se recibieron comentarios y se conformó un proyecto final que se envió al Poder Ejecutivo.

Tiempo más tarde, ese proyecto fue remitido al Senado de la Nación. En dicha instancia nunca se terminó de discutir y el 29 de febrero de este año perdió estado parlamentario.

Es muy importante que este proyecto de reforma pueda ser analizado y aprobado por el Congreso. Además de aggiornarse a las nuevas tendencias en materia de tecnología e incorporar un montón de cuestiones que hasta el momento no están previstas, esta nueva ley va en línea con la normativa de datos de la Unión Europea.

Se puede decir que esta Ley, que entró en vigencia en el año 2018, es la regulación de datos más importante que existe actualmente a nivel mundial, más que nada por su amplio ámbito de aplicación. Una empresa argentina tranquilamente puede ser alcanzada por las disposiciones del GDPR.

Tal como lo hace la Agencia, la Unión Europea también determina qué país considera adecuado para una libre transferencia internacional de datos. Argentina por el momento lo es. Ese status al día de hoy se encuentra en proceso de revisión y teniendo una Ley que se encuentre tan alineada al GDRP nos aseguraría mantener esa posición en materia de datos personales.

 

¿Qué se puede destacar del proyecto de reforma en materia de datos personales?

Las multas se cuantifican en relación al salario mínimo vital y móvil (hasta 500). Teniendo en cuenta el monto actual del SMV, las multas podrían alcanzar la suma de $8.000.000.

Se introduce la “evaluación de impacto” para los casos en los que un tratamiento pueda entrañar un alto riesgo de afectación a los titulares. Esta medida está inspirada en la regulación de derecho ambiental.

Se crea la figura del delegado de protección de datos.
Se incorpora la obligación de notificar a la Autoridad de Aplicación y al titular del dato cuando se produzca un incidente de seguridad. Al día de hoy se trata de una recomendación.

Cualquier titular podrá solicitar que sus datos se transfieran directamente de responsable a responsable, cuando sea posible (portabilidad)

Se elimina la obligación general de inscripción de bases de datos.
En el 2020, podemos mencionar la entrada en vigencia de las nuevas leyes de protección de datos en California (USA), Tailandia y Brasil

 

La educación sobre datos personales es clave

Es importante que los derechos vayan acompañados de una conciencia general por parte de todos (ciudadanos y mundo empresarial).

Entender los derechos, obligaciones y limitaciones que el manejo de datos personales implica, permitirá tener un mayor cuidado a la hora de ceder y procesar los mismos.

La IA ya es una realidad, vino para quedarse y está en permanente evolución. Interiorizarnos sobre su fuente de alimentación es el puntapié necesario para comprender estos sistemas.

Queda en nosotros dejar de ser meros espectadores y convertirnos en los verdaderos protagonistas de esta “revolución de los datos”.