Sin protección para los datos personales en una Argentina digital

En la Argentina está vigente una Ley de Protección de Datos que, sancionada en el 2000, ya estaba a destiempo. Cuáles son las dificultades que esta norma tiene en épocas de redes sociales, medios digitales y fake news y un nuevo proyecto de ley que cuenta con limitaciones.

Por Agustín Bontempo – @agusbontempo | Imagen de Jonathan Burton.

El siglo XXI nació con el auge de nuevas tecnologías que empezaron a condicionar cada vez con mayor ahinco las relaciones personales. Por supuesto que hay desarrollos que vienen de mucho tiempo atrás*. Pero pensar el uso de Internet en los hogares, la telefonía celular, los medios digitales, las redes sociales, fueron tomando mayor importancia en el siglo actual.

Nos proponemos cuestionar la normativa vigente, revisar algunas transformaciones que hubo en estos casi 20 años desde su sanción y tener un primer abordaje sobre el texto enviado por el Ejecutivo Nacional al Congreso.

Una ley de protección a destiempo

La Ley 25.326 de Protección de los Datos Personales se sancionó y promulgó en octubre de 2000. La norma se sancionó en un momento determinado del desarrollo de internet y de las prácticas relacionadas con el uso y cuidado de datos personales: poco uso de internet por el conjunto de la población y mucho menos manipulación de datos en la nube, técnicas rudimentarias y en formato papel para la circulación de información sensible, poco conocimiento sobre las nuevas tecnologías, incluso en algunos ámbitos de investigación de la misma.

En materia de noticias, la prensa gráfica, la radio y la televisión contaban con altos niveles de credibilidad y prácticamente no tenían competencia con otros formatos de circulación.

La vieja Ley establece entre sus principios generales que “Los archivos de datos no pueden tener finalidades contrarias a las leyes y a la moral pública”. Al día de hoy, cada dato que depositamos en la web es, de alguna manera un tanto extraña para buena parte de la población, un elemento fundamental para recibir ofertas y propuestas de todo tipo, ser alcanzado por encuestas e incluso que las campañas publicitarias puedan tener algún tipo de orientación particular. Estos ejemplos permanecen en la sintonía de otros rasgos característicos de la ley como el impedimento de recolectar datos de maneras desleales y con fines distintos a aquellos para los cuales cada persona decidió brindarlos. Finalmente, se supone –según la norma- que una vez utilizados, los datos deben ser destruidos. Basta con poner los nombres de cualquier persona en el motor de búsqueda de internet para encontrarse con información prácticamente imposible de hacer desaparecer de allí.

La ley establece ciertas particularidades en relación al consentimiento para el tratamiento de los datos personales, siendo cada ciudadano o ciudadana que habite el territorio nacional quien deba dar la correspondiente conformidad. Sin embargo, hoy en día asistimos a un sinnúmero de ocasiones donde nuestros datos están a disposición de diferentes instituciones públicas o privadas, requiriendo algún tipo de trámite para, ya no suprimir los datos, sino al menos dejar de ser convocado con algún fin a partir de los mismos. En este sentido, el Estado o cada institución que cuente con los datos supuestamente brindados por las propias personas, es responsable de la seguridad y confidencialidad de los mismos.

De acuerdo con la normativa, está prohibida la transferencia de datos personales de cualquier tipo con países u organismos nacionales, sin embargo no existe control aceptable de esta condición, ya que la información viaja por diversos circuitos sin autorización alguna. Cualquier lector o lectora de este artículo puede que haya recibido contacto a su teléfono personal o casilla de correo electrónico de empresas internacionales (y ya a esta altura no debería sorprendernos cómo eso sucede con bancos, compañías de telefonía celular o cualquier otra institución nacional).

A este escueto nivel de análisis tratemos de imaginar qué puede estar sucediendo con cada campo que completamos cuando hacemos alguna compra por internet, sacando algún turno médico, firmando algún petitorio o cualquier otro ejemplo y, por supuesto, qué tipo de seguridad hay al respecto más allá de que cada sitio web garantice los mejores estándares. En este orden, sin ir mucho más lejos, los robos virtuales o el uso de identidades para encuestas solo para mencionar algunos ejemplos, son hechos cada vez más habituales.

El artículo 27 de la Ley aborda los datos con fines de publicidad. En los tres puntos que allí se detallan, no hay ni un solo elemento que permita generar algún tipo de cuidado por parte de las personas que, por ejemplo en el uso de redes sociales, cada búsqueda que puedan hacer en cualquier sitio web automáticamente genera publicidades orientadas a posibles consumos que en ningún momento fueron brindados por las y los usuarios. Asimismo, el texto dice que “El titular podrá en cualquier momento solicitar el retiro o bloqueo de su nombre de los bancos de datos a los que se refiere el presente artículo”, siendo esta una matriz casi imposible para el usuario promedio de internet: ¿a dónde podemos pedir que Facebook, Instagram o Google, retiren la información que vamos vertiendo en la web? Este problema yace también porque el concepto general de datos personales en aquel entonces era muy limitado.

La Ley 25.326 tiene algunos posicionamientos generales como la gran autonomía que le asigna a los bancos de datos privados, el bajo nivel de regulación (técnicamente encargada en un organismo de control) y especialmente la obsoleta aplicación de la norma en el marco de las nuevas tecnologías de la información y la comunicación.

¿Qué paso con cada gobierno?

Más allá de que el gobierno que encabeza Mauricio Macri envió un nuevo proyecto a fines de 2018, lo que en esta casi dos décadas pasó es que cada gestión fue realizando modificaciones de acuerdo a sus necesidades. Es así que entre Leyes complementarias, Decretos, Resoluciones e incluso Disposiciones, más de 90 normas han generado algún tipo de modificación a la Ley vigente, especialmente con fines de mayor centralización y poder por parte de cada gobierno.

Según señalan Martín Becerra y Leticia Garziglia en una nota reciente, “Con cada modificación de la ley vigente, la autoridad de aplicación fue cada vez más subsumida al/ la presidente/ a, hasta quedar directamente controlada por el Jefe de Gabinete de Ministros desde 2017”, es decir, actualmente por Marcos Peña. Asimismo agregan, que “El proyecto de ley con el que el gobierno aspira a modificar la Ley continúa subordinando la autoridad de aplicación al Poder Ejecutivo, algo que en las regulaciones de datos personales de la Unión Europea y Estados Unidos claramente se evita, en aras de la transparencia y la auditoría de la acción estatal”.

En el sentido que hablan Becerra y Garziglia, el Decreto N.o 1558/ 2001 crea la Dirección Nacional de Protección de Datos Personales en el ámbito del Ministerio de Justicia y Derechos Humanos. Durante la gestión macrista, la Ley N.o 27.275 crea la Agencia de Acceso a la Información Pública como ente autárquico en el ámbito del Poder Ejecutivo. Esta Ley avanza en algunos otros puntos, como la caracterización de quiénes deben brindar información pública y, nuevamente, deja varias libertades de acción a instituciones privadas.

Entre ambas normas, sucedieron muchísimas otras que no avanzaron de fondo ni mucho menos buscaron adecuar la reglamentación a las necesidades y dificultades de la actualidad. Normas orientadas a regular la actividad financiera o la recordada ley “No llame” que buscaba proteger a usuarios y usuarias de los servicios de telefonía.

Un nuevo proyecto, más problemas

Con la firma del presidente, Mauricio Macri, y el jefe de gabinete, Marcos Peña, el gobierno envió un nuevo proyecto de ley de protección de datos personales. Entre algunas de las cuestiones sustanciales, se sigue sosteniendo la centralidad de la regulación en la Agencia de Acceso a la Información Pública, dando un privilegio destacado al Jefe de Gabinete de Ministros en un área tan sensible y en un momento histórico donde esta información adquiere valores económicos y políticos de suma relevancia.

Asimismo, especifica y/o actualiza algunos conceptos. Allí refiere a datos sensibles que puedan generar algún tipo de discriminación y su necesario cuidado pero, por ejemplo, aunque alguien no publique su elección religiosa u orientación sexual, los mismos motores de búsqueda generan lazos de información que pone al descubierto algo que, concretamente, cualquier sujeto evitó informar.

En relación al consentimiento (uno de los factores importantes de la norma vigente), entra en un gris preocupante. Tal como lo indican Becerra y Garziglia, “El proyecto del Ejecutivo es permisivo respecto a la manipulación de esos datos ciudadanos, establece la controvertida y ambigua figura de ‘consentimiento tácito’ y exceptúa la necesidad de consentimiento previo para el tratamiento de datos de listados cuyas variables sean el DNI, CUIL/CUIT, ocupación, fecha de nacimiento, domicilio y email”. En relación al consentimiento tácito, la norma refiere a cuando “Surja de manera manifiesta del contexto del tratamiento de datos y la conducta del titular de los datos sea suficiente para demostrar la existencia de su autorización”. En concreto, este consentimiento o autorización es absolutamente subjetiva y arbitraria por parte de quien haga uso de la información.

Otra faceta importante refiere a la seguridad del tratamiento. Allí aplica ciertas responsabilidades pero sin especificaciones que en su ausencia son peligrosas, como contemplar “el desarrollo tecnológico” que, en sí mismo, no dice nada. No conocer la estructura informática de la web, la importancia del código de cada desarrollo, las particularidades de las normativas donde cada página tiene alojado su site, entre otros puntos, arroja más incertidumbres sobre la cuestión.

En ese orden, el texto enviado por el Poder Ejecutivo Nacional mantiene dificultades para el/ la titular de los datos y presenta posibilidades y atajos para quienes usufructúen esa información.

¿Hacia dónde vamos?

Estamos pasando por un momento histórico de suma complejidad para analizar todo lo que refiere al uso y circulación de información. Si bien hay países que vienen avanzando en herramientas que protejan los datos personales de su población, el control y la supervisión en un mundo de constante desarrollo tecnológico, impone desafíos y problemas difíciles de resolver.

Más allá de eso, los gobiernos de cada país y en particular en Argentina que es donde podemos incidir, deben hacer todos los esfuerzos por avanzar en el mismo sentido. Cuando se sancionó la Ley de Protección de Datos Personales en el 2000, no existió una mirada hacia el futuro pero, además, no se priorizó el cuidado de las y los habitantes. Eso es una elección. Lo que por aquel entonces era pensar en el movimiento de información personal, omitía la posibilidad que los datos personales sean mucho más que aquellos necesarios para un trámite bancario o que los mismos adquieran valores económicos sustanciales en un mundo donde el marketing, la publicidad y el consumo, escalan a velocidades fenomenales.

Algo similar ocurrió oportunamente con la mal llamada “Ley de Medios” que este medio y en particular este cronista trató de abordar. Una ley que era de avanzada en muchos aspectos de cara a controlar el desarrollo de monopolios, que sugería mayor participación y libertad de expresión, impulsaba un organismo de control y regulación más democrático pero que, al igual que el caso que analizamos, se quedaba a mitad de camino en la regulación de medios digitales y/ o su aplicación general estaba más supeditada a un lucha político- partidaria que a su plena implementación.

En este marco, no deberían ser llamativos los riesgos que se corren cada vez que ponemos un dato personal en la web (desde los más comunes y básicos hasta los gustos y orientaciones políticas), siendo esto el puntapié inicial para estar atravesados y atravesadas en un mundo donde cada compra online puede terminar en una compra ilícita, donde consumir noticias reales (más allá de opiniones y posiciones) y fake news tienen un hilo cada vez más fino, donde la publicidad nos sigue a cada rincón donde utilicemos alguna tecnología.

El análisis actual es escueto pero apunta a abrir debates al conjunto de la sociedad. Aún no sabemos en que quedará la nueva ley de protección de datos personales, pero sí sabemos que de la participación del conjunto de la ciudadanía depende que haya una norma a medida de las necesidades actuales.

*Al respecto, se sugiere revisar la conceptualización de Manuel Castells sobre Sociedad de la Información y Sociedad Informacional, así como las criticas planteadas por Claudio Katz, incluyendo en el análisis los conflictos en las relaciones sociales que esta nueva etapa conlleva.