Expertos en protección de datos piden modificar la ley: "Corremos el riesgo de ser manipulados por empresas o gobiernos"

"La commodity más valiosa es la información", dijo el infame corredor de bolsa Gordon Gekko, interpretado por el actor Michael Douglas en la película de 1987 Wall Street. Ya entrado el siglo XXI, la frase no deja de tener vigencia, aunque el objeto de referencia es completamente distinto. Ya no -sólo- refiere a información sobre movimientos en las altas esferas del poder político y económico, sino a los datos personales de las 7.700 millones de personas que habitan el planeta. Y especialmente los de las que tienen acceso a internet.

La recopilación de vastas cantidades de información de los usuarios digitales se ha convertido en una práctica habitual, y con ella predeciblemente surgieron problemas respecto de su regulación legal. A lo largo de los últimos años, se ha comprobado que entidades de los sectores público y privado han usado la información con propósitos distintos a aquellos por los que les fue confiada originalmente.

Por esta razón, y ante distintos escándalos de alto perfil, distintos Estados están realizando esfuerzos para reducir el impacto de estas prácticas. A la vanguardia se encuentra la Unión Europea, que en 2018 implementó una ley conocida como RGPD: se trata de un riguroso marco legal que establece lineamientos en términos de protección de datos para empresas y gobiernos, así como elevadas multas para quienes no cumplan con ellos. Estas pueden llegar hasta los 20 millones de euros o el 4% de las ganancias anuales de la compañía a nivel global, y han alcanzado a gigantes como Google, Facebook o British Airways.

Argentina tiene su propio proyecto de ley sobre la materia. La iniciativa sigue la mayoría de los lineamientos de la RGPD y, de hecho, uno de sus objetivos centrales es implementar una cantidad suficiente de regulaciones para ser considerado "país adecuado" por la UE.

No obstante, y a pesar de encontrarse el país en medio de un proceso electoral -momento en el cual la manipulación de datos puede causar mayores estragos a través de campañas para influenciar el voto del electorado- el proyecto duerme en el Congreso. Y los legisladores no han dado pasos concretos para aprobarlo y actualizar las regulaciones existentes, que datan del año 2000.

Infobae dialogó al respecto de estos temas con Estelle Massé, analista de políticas globales de Access Now, una ONG dedicada a defender la protección de los derechos digitales de los usuarios alrededor del mundo. Massé analizó los riesgos que entraña continuar con la ley vigente -tanto en materia política como comercial-; los aspectos del proyecto actual a mejorar y su comparación con la nueva legislación europea; y la factibilidad de que un gobierno, partido político o empresa intente influenciar un proceso electoral en el futuro.

"No proteger los datos de manera adecuada implica un riesgo muy grande para el proceso electoral. Hacerlo no solamente es necesario porque es un derecho fundamental, sino también para proteger las instituciones democráticas y los períodos electorales, y asegurarse que el voto no haya sido manipulado", explicó.

La especialista explicó que la finalidad que se le quiera dar a los datos tienen una importancia fundamental, por lo que es determinante especificarla de antemano. Para fundamentar su explicación, se refirió al caso de Cambridge Analytica y la influencia que la compañía de análisis de datos tuvo en la campaña a favor del Brexit y de distintos candidatos republicanos -entre ellos Donald Trump- en las elecciones estadounidenses de 2016.

"Usaron datos de Facebook que se supone que son para fines comerciales para luego rastrear y hacer targeting para intentar influenciar el voto. Ahora, no se demostró de manera clara que pudieron hacerlo, pero sí que al no proteger nuestros datos dejamos abierto al riesgo de ser manipulados por empresas o por sectores públicos a que intenten hacer eso", explicó.

Otro desafío de esta naturaleza concierne de manera exclusiva a los gobiernos, que, en control de la mayor parte del Estado, podrían acceder a información y bases de datos usadas con propósitos de gestión.

Desde el capítulo argentino de Access Now advirtieron que el proyecto permite el tratamiento de datos para el cumplimiento de las funciones y competencias del Estado o para los casos de "protección de la defensa de la Nación, del orden y la seguridad públicos, o de la protección de los derechos e intereses de terceros". Esto, explicaron, implica que sería el propio Estado quien determinaría cuándo se cumplen los requisitos para usar los datos con un propósito distinto al original.

Para reducir las chances de potenciales abusos, Massé resaltó la necesidad de contar con autoridades de control verdaderamente independientes.

"Implica que el Estado no venga a involucrarse cuando empieza una investigación. Que la oficina tenga poderes para investigar y los recursos para hacerlo", indicó.

El marco regulatorio actual en Argentina y un proyecto para actualizarlo que recibió cuestionamientos

En Argentina, no obstante, el control de los datos personales por parte del Estado es ejercido por un funcionario que depende del Poder Ejecutivo y tiene un limitado margen de autonomía. La ley del año 2000 preveía la creación de un organismo descentralizado e independiente, pero el decreto reglamentario firmado inmediatamente después lo vetó por falta de previsión presupuestaria.

A lo largo de los años se sucedieron distintas figuras que funcionaron como organismo de control -desde 2016 es la Agencia de Acceso a la Información Pública- pero todas continuaron bajo la esfera del Ejecutivo. Y el proyecto tampoco prevé cambiarlo. "En el estado actual del proyecto, es nombrada directamente por el Presidente", aportó Gaspar Pisanu, miembro del capítulo argentino de Access Now.

No obstante, Eduardo Bertoni, director de la Agencia de Acceso a la Información (AAIP) defendió el carácter independiente del organismo y aseguró que efectivamente es un ente autárquico. Para fundamentarlo, indicó que el Poder Ejecutivo no puede remover al director de la agencia de manera discrecional, sino que se requiere la aprobación de legisladores del Congreso mediante un dictamen vinculante emitido por una comisión bicameral con la potestad de hacerlo.

Además, Pisanu explicó que el proyecto autoriza el tratamiento de datos para el cumplimiento de competencias del Estado o para los casos de "protección de la defensa de la Nación, del orden y la seguridad públicos, o de la protección de los derechos e intereses de terceros". Esto, aseguró, implica que sea el propio Estado quien determine cuándo puede acceder a los datos personales de los ciudadanos.

Ante este cuestionamiento, Bertoni expresó que, "como ocurre siempre en la interpretación de normas jurídicas, esta debe hacerse en armonía con los derechos fundamentales reconocidos por la Constitución, y por los principios y garantías que trae el propio proyecto". "Por ende, cualquier posibilidad de abuso se minimiza", agregó.

Respecto del apartado referido a la posibilidad de acceder a datos en casos de defensa nacional o seguridad pública, aseguró que la descripción del artículo deja en claro su restrictividad y es "compatible con estándares iberoamericanos de protección de datos personales y con la regulación europea".

Sobre el proyecto en general, tanto Massé como Pisanu destacaron que representa un paso adelante, al dar a los usuarios mayor control sobre sus datos. No obstante, pusieron el foco en la necesidad de endurecer las sanciones previstas en el proyecto. Su colega del capítulo argentino elaboró sobre este tema y aseguró que, en contraste con la ley europea, el proyecto "establece multas bajas sin carácter disuasorio, lo que puede implicar la falta de cumplimiento de la ley por parte de grandes empresas".

Consultado sobre este ítem, Bertoni concedió que "desde que se elaboró el ante proyecto en 2017 hasta ahora, las multas medidas en dólares han quedado desfasadas"."Estoy de acuerdo que es un tema que debería revisarse en el Congreso. De todos modos, me parece importante destacar que el proyecto propone una forma de actualización permanente de las multas, cuestión que no ocurre en la ley actual", expresó.

Desde Access Now mencionaron otras dos falencias, respondidas posteriormente por Bertoni a Infobae:

Access Now: "Que solo es necesario comunicar a los usuarios las filtraciones de datos o incidentes de seguridad 'cuando sea probable que entrañe altos riesgos a sus derechos', lo que implica excesivo margen de actuación a las empresas ya que son estas mismas las que evaluarán ese riesgo".

AAIP: "El proyecto no habla de "filtraciones" sino de "incidentes de seguridad". Un incidente de seguridad que termine en una "filtración" de datos personales siempre debe ser comunicado de acuerdo con el proyecto, porque una filtración constituirá siempre un riesgo a los derechos del titular. Si la empresa no informa una filtración puede ser sancionada de acuerdo con lo que establece el proyecto.

Access Now: "La posibilidad de obtener el consentimiento de forma tácita o de directamente no requerirlo en ciertos casos mencionados por la ley". Estos son nombre y apellido, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento, domicilio y correo electrónico, ni para el tratamiento de la información crediticia.

AAIP: "Esta forma de consentimiento es solo aplicable en algunos casos y con ciertas restricciones. En particular, en torno al consentimiento tácito, será admitido cuando surja de manera manifiesta del contexto del tratamiento de datos y la conducta del titular de los datos sea suficiente para demostrar la existencia de su autorización. En ningún caso procederá para el tratamiento de datos sensibles. En todos los casos, el responsable del tratamiento tendrá la carga de demostrar que el titular de los datos consintió el uso de sus datos personales".

Protección aún en casos donde se prestó consentimiento

La ley europea también incluye regulaciones que protegen datos sensibles -bajo protección constitucional a nivel europeo- y prohíben su entrega, aún en los casos donde los usuarios dieran su consentimiento. En otras palabras, los protege de sí mismos.

"No puedes negar tu derecho constitucional y la ley te protege de eso. Muchas empresas tienen términos y condiciones muy largos, que ya sabemos nadie lee. Por ejemplo una aplicación es para una cosa pero dice 'te voy a pedir todos estos por si acaso'. Eso se considera ilícito. Y es exactamente por esto que se sancionó a Google (se le impuso una multa de 50 millones de Euros en Francia en enero), porque estaba pidiendo datos de una manera en que el usuario no tenía posibilidades de decir que no".

Para concluir, Massé indicó que si bien la implementación de la ley europea no se está dando todo lo rápido que querrían, sí observan efectos positivos en la práctica. "En el último año hubo un aumento del 60 al 70% en el número de quejas mandadas por ciudadanos. Están usando sus derechos y están entendiendo mejor qué derechos tienen. Estas quejas van a hacer también que se vayan cambiando las prácticas, porque la ley está haciendo efecto", finalizó.

Seguí leyendo: