Una reflexión sobre el sistema actual de protección de datos personales y el rol del Estado. Es muy común que durante el día, y quizás varias veces, recibamos llamadas de alguna empresa comercial ofreciéndonos algún producto crediticio, promoción o servicio.
Bueno, eso no es lo importante, por muy incómodo o irritante que sea.Es muy común, en dichas llamadas,que las empresas nos tengan individualizados por nombre y apellido o inclusive a través de otros datos personales como nuestro domicilio. Lo primero que uno piensa es de dónde consiguen esos datos si no los hemos entregado directamente bajo nuestro consentimiento explícito. Quizás el sentido común es el de asumir que existe una libertad de flujo de información de datos personales en el mercado y que es normal que nuestros datos personales pasen de mano en mano de diversas empresas que lo utilizan para captar clientela. Sin embargo, no siempre lo normal es regla, puesto que, sí existe reglamento explícito sobre este tema y existen organismos públicos autónomos y descentralizados que controlan y regulanel sistema de acceso a la información de datos personales.
Desde el 30 de Octubre del año 2000 se encuentra vigente la Ley 25.326 de Protección de los Datos Personales, cuya última actualización corresponde al año 2008 por medio de la Ley 26.343 sobre información crediticia. La Ley 25.326 establece en su artículo 1° el principio normativo: “La presente ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43,párrafo tercero de la Constitución Nacional”. Esta ley es el recurso por antonomasia de la ciudadanía para acogerse ante abusos de terceros de los datos personales.
El órgano público destinado al control y aplicación de las sanciones correspondiente a las faltas a la protección de datos personales es la Dirección Nacional de Protección de DatosPersonales–DNPDP-. Hoy en día, una empresa o cualquier tercero que haga uso de datos personales sin el consentimiento del titular, está incurriendo en un ilícito, salvo algunas excepciones que se enmarcan en necesidades del Estado (salud, seguridad pública, defensa, etc.). Por ejemplo, una empresa o un tercero que realiza un contrato directo con la persona y que, por tanto, recibe los datos personales, no puede cederlos a otros sin el consentimiento del titular. Bajo esta circunstancia, y según la ley,se estaría incurriendo en un ilícito.Esto queda explícito en el artículo 11, inciso 1 de la ley mencionada: “Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente [empresa A] y del cesionario [empresa B] y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo”. Esta práctica puede estar dándose sin que los sepamos a ciencia cierta.
Hoy en día en la Argentina existe un sistema jurídico que nos ampara; sin embargo, tiene limitada posibilidad de sanción, pues si bien existe una entidad fiscalizadora, la principal fuente de acción se basa en la denuncia. Y ésta requiere un procedimiento formal que no incentiva racionalmente a los afectados a denunciar cuando se están utilizando sus datos personales sin su consentimiento. Esto significa que los costos burocráticos reducen los beneficios posibles de realizar las denuncias. En términos coloquiales, si me llaman por teléfono ofreciéndome una tarjeta comercial utilizando mis datos, se me hace un poco desmotivador identificar formalmente a la empresa -como me lo exige la ley-, e ir directamente a la DNPDP, llenar un formulario de denuncia, esperar aque sea acogida y, dependiendo del caso, comparecer ante un juez. Entonces, si bien es cierto que existe un entramado institucional que rige la protección de los datos personales, el sistema burocrático no genera los incentivos necesarios para que se dé un control ciudadano y las respectivas denuncias.
Por otra parte, está todo el fenómeno del desarrollo de las tecnologías de la información y de internet, como plataforma de interconexión y transferencia de información. La ley no contempla un apartado especial sobre la utilización de datos personales por terceros en el extranjero y las sanciones de cesión de datos a otras empresas que vinculen flujos de internet. Por ejemplo, la ley básicamente regula lo que corresponde al territorio nacional pero, por ejemplo, existe el almacenamiento de información y datos en los sistemas de “cloudcomputing”, una nube virtual donde los usuarios almacenan sus bases de datos personales. Sin embargo, los servidores donde se almacenan se encuentran en el extranjero; en el caso del servicio de Google, los servidores se encuentran en EE.UU.Entonces, ¿bajo qué normativas se asegura la protección de datos en el extranjero?, ¿cuáles son los organismo competentes que puedan sancionar faltas a la protección de datos?
La preocupación sobre nuestros datos personales partió de una situación trivial como son las típicas llamadas de promoción. Pero cuando reflexionamos en torno a todas nuestras actividades diarias, vemos que nuestros datos fluyen por demasiados canales de información, por diversos cesionarios, empresas y redes sociales. Un sistema casi irreconocible e incapaz de ser monitoreado en su plenitud. En la Argentina, existe la normativa, pero aún falta una actualización en torno a los incentivos para el control ciudadano a través de sus denuncias, la consideración de las nuevas tecnologías para su incorporación a la normativa vigente y una regulación sobre un posible sistema de mercado de base de datos.Actualmente existen acuerdos ad hoc con la Unión Europea en los cuales cada Estado debe legislar y monitorear que las empresas internacionales solo cedan información de datos personal a aquellos terceros que cuenten con un sistema de protección de datos según las normas internacionales, pero las normativas internacionales – si uno es crítico al respecto- en la práctica sólo operan como estándares de competencia de mercado, es decir, aquellas empresas que se guíen por las normas internacionales pueden posicionarse competitivamente mejor que sus contendoras.
Por último, es importante una iniciativa permanente por parte el organismo competente respecto de mantener informada a la ciudadanía de sus derechos sobre la protección de datos. Asimismo, regular las cesiones o intercambios de base datos, pues la ley asume que las cesiones de una empresa a otra pueden ser gratuitas u onerosas. Por tanto, se puede generar un mercado de datos que puede atentar contra nuestra libertad de consentimiento informado y deliberativa sobre a quiénes entregamos nuestros datos personales. Se debe insistir además en la reducción en los costos burocráticos para la realización de denuncias personales o colectivas frente a un abuso.
Luis Trigo S.
Analista de CECREDA
Comments are closed.