Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Trabajo Final DiGI - Gaspar Pisanu
Trabajo Final DiGI - Gaspar Pisanu
La necesidad de crear un marco regulatorio que proteja los datos personales surgió
hace aproximadamente 60 años. Encontramos el primer caso de una norma de esta
naturaleza en 1970, en el estado federado de Hesse, Alemania 1. A partir de entonces,
más de 160 países han consagrado el derecho a la privacidad en sus constituciones 2.
Sin embargo, en los últimos tiempos, la evolución de las tecnologías de información y
comunicaciones (conocidas como TICs) hicieron que estas regulaciones queden
desactualizadas y limitadas para una correcta protección. La realidad actual exige
adaptar las legislaciones a fin de poner a los titulares de los datos personales
nuevamente en control sobre su información. Esto es necesario fundamentalmente a
partir del crecimiento exponencial de la cantidad de información que se recolecta, los
usos de los datos y la velocidad de procesamiento.
DEFINICIONES
El anteproyecto argentino incluye definiciones claras que, aunque no son tan precisas
como las de la norma europea, establecen los conceptos más importantes (Art. 2). Sin
embargo, a diferencia del GDPR, el anteproyecto incluye en las definiciones a las
“fuentes de acceso público irrestricto”. Dispone que es aquella fuente “que contiene
información destinada a ser difundida al público, de libre acceso e intercambio por
razones de interés general, accesible ya sea en forma gratuita o mediante una
contraprestación”. Según esta definición, mucha información accesible al público
en Internet se encontraría comprendida. Es el caso de los contenidos “públicos” de
plataformas como Facebook y Twitter, entre otras. De ser así, el tratamiento de estos
datos no requeriría el consentimiento de sus titulares (art. 11 inc. b), lo cual iría
claramente en contra del espíritu general de la ley, al perder los usuarios el control
sobre la recolección y tratamiento masivos de su información. Sin embargo, hay quienes
consideran que prohibir el acceso a esta información puede devenir en un impedimento
para el desarrollo de nuevas pequeñas y medianas empresas que trabajan con estos
datos4. Para evitar estos inconvenientes, es necesario que la ley, ya sea en su propio
4 Fatemi, Falon. 2017. “The Case for Keeping Public Data Public”. Forbes, 29 de septiembre de
2017. https://www.forbes.com/sites/falonfatemi/2017/09/29/the-case-for-keeping-public-data-
public
cuerpo normativo o en su decreto reglamentario, contenga disposiciones estrictas y
limitadas respecto de los casos en los cuales se podrá hacer uso de esta información y
los casos en que será necesario el consentimiento de los titulares de los datos.
PRINCIPIOS
Cabe hacer especial mención del principio de adecuación. Este implica que los datos no
deben ser transferidos a un país o territorio tercero, a menos que el país o territorio en
cuestión garantice un nivel adecuado de protección para los derechos y libertades de
los usuarios en relación con el procesamiento de datos personales. Mientras los países
no dicten normas que brinden una adecuada protección, es importante crear
mecanismos seguros para la transmisión de datos a terceros países. Para ello, es
necesario establecer pautas estrictas y sistemas transparentes de control e incluir
recursos eficientes que aseguren que los derechos de los usuarios viajen junto a su
información. El capítulo 5 del GDPR (arts. 44 a 50), por ejemplo, establece mecanismos
para la transmisión de datos, como la determinación de la adecuación de terceros
países respecto de las garantías mínimas para la protección de datos. Al comparar el
anteproyecto de ley argentino con el GDPR, concluimos que este ha brindado (aunque
en menor medida) las condiciones necesarias para proteger el intercambio de datos
tanto con otros países, como con servicios de tratamiento de datos personales por
medios tecnológicos tercerizados.
DERECHOS
Sin embargo, existe un derecho que no debe ser incluido en estas regulaciones, el
llamado “derecho al olvido”. En las leyes de protección de datos personales, es común
confundir el derecho a eliminación o supresión de los datos con el derecho al
olvido. Mientras que el primero permite a los usuarios pedir que se borre su información
cuando dejan de usar un servicio o producto, el derecho al olvido implica obligar a
terceros a esconder información referida al titular de los datos cuando esta deja de ser
relevante o queda desactualizada.
Varios trabajos académicos5 concluyen que la existencia del derecho al olvido genera un
riesgo de eliminación excesiva de información y por lo tanto, podría ser usado como
mecanismo de censura. Además, poner a intermediarios de información en la posición
de decisores sobre la relevancia de la información y el interés público con el que
debiera equilibrarse genera un problema de legitimidad y un incentivo peligroso para los
sujetos involucrados. La propuesta de modificación de la ley argentina evita
correctamente confundir estos derechos y no reconoce un “derecho al olvido”,
alejándose así del GDPR europea.
Toda ley de protección de datos debe establecer claramente los casos en los cuales
los datos pueden ser procesados. Para cumplir con este requisito, el anteproyecto de
ley (art. 11), al igual que la norma europea (art. 6), dispone que el tratamiento será lícito
cuando: exista consentimiento del titular, sea necesario para la ejecución de un
contrato, para el cumplimiento de una obligación legal, sea necesario para proteger
intereses vitales del interesado y cuando sea necesario por cuestiones de interés
público.
APLICACIÓN EXTRATERRITORIAL
Esta ampliación respecto del ámbito de aplicación ha resuelto muchos problemas que
se daban con regulaciones anteriores. Muchas contiendas judiciales resultaron
favorables a grandes compañías como Google o Facebook, argumentando que los
jueces de un determinado país no tenían jurisdicción, ya que no se encontraban
físicamente en el mismo6.
6 Fioretti, Julia. 2016. “Facebook wins privacy case against Belgian data protection authority”.
Reuters, 29 de junio de 2018. https://www.reuters.com/article/us-facebook-belgium-
idUSKCN0ZF1VV
aplicables fuera del territorio, a qué sujetos deben aplicarse específicamente y cuáles
son los mecanismos a utilizar para la ejecución de las decisiones judiciales.
A medida que aumenta el número de usuarios de servicios en línea, se hace cada vez
más importante brindar seguridad a los datos personales y a la privacidad. Para lograr
esto es fundamental que durante la fase de diseño de productos y servicios se
desarrollen e implementen medidas tecnológicas y organizacionales apropiadas 7.
Tanto el GDPR como el proyecto argentino regulan la “protección de datos desde el
diseño y por defecto” en normas prácticamente idénticas (art. 25 y art. 38
respectivamente) y de ese modo contribuyen a la seguridad e integridad de la
información.
7 Ann Cavoukian, Ph.D. Information & Privacy Commissioner. Ontario, Canada. 2011. “Privacy by
Design: The 7 Foundational Principles”. Acceso el 16 de septiembre de 2018.
https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf
8 Warman, Matt. 2012. “EU Privacy regulations subject to 'unprecedented lobbying'”. The
Telegraph UK, 8 de febrero de 2012. https://www.telegraph.co.uk/technology/news/9070019/EU-
Privacy-regulations-subject-to-unprecedented-lobbying.html
vio evidenciado gracias a la publicación de las propuestas de modificación producto de
estas iniciativas9.
Los gobiernos tienen la obligación de proteger los datos personales, incluso cuando esa
información se encuentra en manos de organismos del Estado. Pese a ello, suelen
establecerse limitaciones y excepciones a la protección de datos respecto de
ciertas actividades gubernamentales, frecuentemente aduciendo necesidades
prácticas o la protección de otros intereses en pugna. El GDPR contiene una lista de 10
causales por las cuales los Estados miembros pueden limitar los derechos de los
usuarios (art. 23). La vaguedad del lenguaje utilizado, a menudo incorporado adrede, es
utilizado para evitar la aplicación de la norma al sector público. Por ejemplo, permite la
restricción de derechos, amplia e indefinidamente, a causa de “otros objetivos
El artículo 11, sobre la licitud del tratamiento de los datos, establece que no se requerirá
el consentimiento de los titulares de los datos para su procesamiento “cuando se realice
en ejercicio de funciones propias de los poderes del Estado y sean necesarios para el
cumplimiento estricto de sus competencias” (inc. c). Esta misma disposición se
encuentra en la ley vigente de habeas data (art. 5, inc. b), la cual el gobierno argentino
utilizó como referencia en 2016, particularmente la Jefatura de Gabinete Nacional, para
hacer uso de los datos personales de ciudadanos registrados en la
Administración Nacional de Seguridad Social (ANSES) para comunicaciones
oficiales del gobierno10. Posteriormente, el 10 de septiembre de 2018, la Sala V de la
Cámara en lo Contencioso y Administrativo Federal resolvió 11, revirtiendo la decisión del
juez de primera instancia, que si la titular de los datos no presta consentimiento expreso
para el tratamiento de los mismos, el organismo que los obtuvo, en este caso ANSES,
no puede cederlos ni darlos a conocer.
10 2016. “Rechazo al plan del Gobierno para usar datos de la ANSeS en su comunicación”.
Clarin.com, 25 de julio de 2016. https://www.clarin.com/politica/rechazo-gobierno-datos-anses-
comunicacion_0_rJrBCMNu.html
11 CNACAF. Caso “Torres Abad, Carmen c/ EN-JGM s/ habeas data”. Sala V. 03 de Julio de
2018. Expte. Nº 49.482/2016/CA1. http://cpdp.defensoria.org.ar/wp-
content/uploads/sites/5/2017/10/Fallo-Camara-Contencioso.pdf
Estas excepciones pueden acarrear consecuencias graves producto de la interpretación
excesiva de las normas de seguridad nacional que, en particular, los gobiernos en
Argentina han utilizado para denegar el acceso a la información personal12.
Encontramos ejemplos de esto en el caso Urteaga13 y Ganora14.
Es por ello que se deben limitar y esclarecer este tipo de excepciones, incluidas la
supervisión de la autoridad de aplicación, la existencia de mecanismos accesibles de
recurso y reparación y los principios de derechos humanos para el tratamiento 15,
fundamentalmente, los de necesidad, proporcionalidad y de autorización legal previa.
INTERÉS LEGÍTIMO
12 Asociación por los Derechos Civiles. 2018. “Acceso a la información pública y excepciones de
seguridad nacional en Argentina”. Acceso el 16 de septiembre de 2018.
https://adcdigital.org.ar/wp-content/uploads/2018/05/ADC-Info-publica-y-seguridad-nacional-
Argentina.pdf
13 CSJN. Caso “Urteaga, Facundo Raúl c/ estado Nacional - Estado Mayor Conjunto de las
FFAA s/ amparo Ley 16.986”. U.14 XXXIII. 15 de octubre de 1998. Fallos 321:2767.
14 CSJN. Caso “Ganora, Mario Fernando y otra s/ hábeas corpus”. G.529 XXXIII. 16 septiembre
de 1999. Fallos 322:2139
15 Necessary & Proportionate. “Principios internacionales sobre la aplicación de los derechos
humanos a la vigilancia de las comunicaciones”. Acceso el 16 de septiembre de 2018.
https://necessaryandproportionate.org/es/necesarios-proporcionados
norma. Si bien mejoró lo dispuesto por la Directiva de 1995 al establecer los derechos
de los titulares como un límite, esto no resulta suficiente. Según lo redactado en el
artículo, las compañías serán quienes evalúen los derechos en juego, lo que puede
llevarlas a efectuar el tratamiento de datos manteniendo a los usuarios en
desconocimiento de esta actividad.
16 Article 29 Data Protection Working Party. Bruselas 2012. Carta a Mr. Page. 16 de octubre de
2012. https://www.cnil.fr/sites/default/files/typo/document/20121016-letter_google-article_29-
FINAL.pdf
haciendo imposible realizar un balance entre el legítimo interés de la empresa y los
derechos y libertades fundamentales de sus usuarios. La investigación también
determinó que Google no adoptó ninguna medida que limite la combinación de
información ni proveyó herramientas claras y comprensibles para que sus usuarios
sigan en control de sus datos.
Uno de los puntos más cruciales y, al mismo tiempo, más discutidos en los procesos de
elaboración de las leyes de protección de datos personales es su implementación. Para
que las disposiciones contenidas en la norma sean aplicadas efectivamente y no tengan
solo un valor virtual, es necesario crear autoridades de control independientes y
mecanismos coercitivos robustos.
Esta misma crítica puede realizarse al GDRP, ya que el artículo 53 deja a voluntad de
los estados miembros el método por el cual se conformará la autoridad, permitiendo que
los mismos sean electos por su parlamento, su gobierno, su Jefe de Estado o por un
organismo independiente.
La creación de una autoridad de control independiente es una problemática común en
varios países de la región. Casos extremos son los de Chile y Paraguay, que cuentan
con leyes de protección de datos personales desde hace más de 15 años (2001 y 1999,
respectivamente) y aún no disponen de una autoridad de aplicación. Un ejemplo
reciente se presentó en Brasil, cuyo proceso de creación de una ley de protección de
datos personales que cumplía, en su esencia, con todos requisitos necesarios para un
loable marco regulatorio, vio afectada su eficacia debido al veto del Presidente sobre el
artículo que disponía la creación de la autoridad de control17.
SANCIONES
17 Coalizão Direitos na Rede. Brasil 2018. “Vetos de Temer ameaçam eficácia da Lei de
Proteção de Dados Pessoais”. Publicado 15 de agosto de 2018.
https://direitosnarede.org.br/c/np-sancao-lgpd/
El anteproyecto de ley argentino establece como sanción en el artículo 76, inc. b, una
“multa que podrá alcanzar el equivalente a quinientos (500) salarios mínimos vigentes al
momento de la imposición de la sanción”. Para el caso de grandes empresas que
manejan datos personales en la Argentina, esta suma máxima podría resultar escueta.
De este modo, de acuerdo con la gravedad de la falta, podría resultar más conveniente
pagar la multa que cumplir la ley.
Otra cuestión a tener en consideración es que no todas las empresas que procesan
datos personales tienen la misma envergadura. Una regulación en esta materia no
puede desconocer la importancia que las pequeñas y medianas empresas tienen en el
desarrollo de nuevas tecnologías y servicios. De por sí, a este tipo de emprendimientos
se les presenta como un gran costo cumplir con las exigencias de estas normativas. Por
ello, las sanciones deben ser escalonadas y proporcionales al sujeto susceptible de
sanción.
SISTEMAS DE ANONIMIZACIÓN
Al regular el tratamiento de datos sensibles (aquellos que hacen referencia al origen
racial o étnico, opiniones políticas, religión, estado de salud, sexualidad, etc.), la ley
debe ser particularmente estricta y establecer una limitación general, con
excepciones limitadas y claras. La norma europea autoriza la recolección y
procesamiento de esta información sin consentimiento expreso del titular cuando sea
con la finalidad de realizar investigaciones científicas o históricas o con fines
estadísticos (art. 9 inc. 2, j). Esta disposición ha sido criticada por ser una excepción
demasiado amplia y potencialmente peligrosa en el contexto del crecimiento de la
industria de la e-salud, las IoTs (Internet de las cosas) y el análisis de “big data” para
fines políticos. Luego de una insistente lucha por parte de organizaciones civiles, se
logró incorporar al GDPR la salvedad “con fines en el interés público”, lo cual limita al
uso discrecional de esta justificación para procesar datos sensibles.
A los fines de evitar estos problemas es necesario que queden plasmados en el cuerpo
de la norma, o en su decreto reglamentario, lineamientos claros acerca de los métodos
a que se deben utilizar para la anonimización y que estas técnicas sean auditadas por la
autoridad de aplicación a través de equipos técnicos independientes. Sin embargo,
persiste como correcta solución para estos casos, el requerir el consentimiento libre,
informado y revocable. Adicionalmente, ya que el anteproyecto sigue los lineamientos
generales del GDPR, sería importante incluir la finalidad de “interés público” para
autorizar el tratamiento de información sensible sin consentimiento de los titulares.
Uno de los fenómenos que más llamó la atención luego de la entrada en vigencia del
Reglamento General de Protección de Datos fue el aumento de informes de filtraciones
de datos. Esto no significó un aumento de estos casos, sino que es producto de la
obligación de las empresas de, a partir de entonces, comunicar cuando se producen las
filtraciones.
18 Ruiz, Javier. 2016. “Cashing in on your mobile? How phone companies are exploiting their
customers’ data”. Editado por Pam Cowburn y Jim Killock. 28-32. Acceso 16 de septiembre 2018.
https://www.openrightsgroup.org/assets/files/pdfs/reports/mobile-report-2016.pdf
19 Arvind Narayanan, Vitaly Shmatikov. 2006. “How To Break Anonymity of the Netflix Prize
Dataset”. Última revisión 22 de noviembre 20017. https://arxiv.org/abs/cs/0610105
de que haya tenido constancia de ella, a menos que sea improbable que dicha violación
de la seguridad constituya un riesgo para los derechos y las libertades de las personas
físicas.”
A continuación, el artículo 34 establece la obligación del responsable de comunicar al
titular de los datos sobre el incidente “cuando sea probable que la violación de la
seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades
de las personas físicas”.
Estas disposiciones tienen en consideración que los datos personales se pueden filtrar
a pesar de que existan medidas de seguridad y correcto tratamiento de datos. Por ello,
establecen para estas situaciones adoptar mecanismos de prevención y notificación
a los usuarios. Lo malo de la regulación de esta cuestión, tanto en el GDPR como en
el anteproyecto argentino, es que deja a discreción de las compañías si corresponde o
no notificar los incidentes a los usuarios, ya que esto solo es necesario “cuando sea
probable que entrañe altos riesgos a sus derechos”. Este agregado otorga un excesivo
margen de actuación a las empresas, las cuales pueden tener un interés económico en
restar importancia a los riesgos asociados con las filtraciones de datos y, por lo tanto,
que sus usuarios no sean notificados.
Por estas razones es necesario definir de forma clara y estricta cuales serían los casos
de “alto riesgo”, aunque lo correcto sería la completa eliminación de esta condición y
establecer el mandato de comunicar siempre a los usuarios, indistintamente de la
gravedad del incidente.
CONCLUSIÓN