Main Menu

Una nueva dimensión de los derechos

Read Carefully

Vivimos el pasaje de un usuario digital a un ciudadano digital, portador de derechos sobre su propia identidad y los datos que genera. Legislación pendiente y otros desafíos para seguir el ritmo a los cambios sociales y económicos del nuevo escenario.

La hiperconectividad y el avance de las nuevas tecnologías, pusieron en la escena la necesidad de resguardar la gestión, la propiedad y el uso de los datos generados por el tráfico digital. En este marco, la protección de datos personales es un derecho fundamental de los usuarios en entornos digitales, que hoy se posa en el centro de la escena. La entrada en vigencia del Reglamento General de Protección de Datos de la Unión Europea (RGPD), impulsó a los países del resto del mundo a revisar sus propios marcos regulatorios para adaptarse al estándar y seguir comerciando con Europa. Sumado a ello, el despertar de los ciudadanos para que se respeten, impone a las empresas y gobiernos salir de la zona de confort que disfrutaron por años y hacerse cargo por el uso indebido de un gran caudal de datos privados en el pasado y asegurar que no se repita en el futuro.


 

Fue uno de los mayores escándalos vinculados al tema de la privacidad de nuestra época. No sólo tuvo como resultado una pérdida de US$37.000 millones en un día para Facebook, sino que -por primera vez en escala masiva- encendió la alarma sobre el tratamiento de los datos personales que ciertas empresas estaban realizando sin el consentimiento de los usuarios.

En este caso, se trató de la consultora británica dedicada al análisis de datos, Cambridge Analytica que detonó mediáticamente en 2018, pero todo comenzó cinco años antes. En 2013, Facebook incluyó “This is your digital life”, un test de personalidad que fue descargado y respondido por 270.000 personas quienes, además, accedieron a que sus datos fueran recopilados para uso académico. Sin embargo, la aplicación no solo tomó esa información, sino también los datos de sus contactos. A pesar de que la política de privacidad de Facebook prohíbe la venta de esta información o su uso para publicidad, a raíz de la investigación posterior, pudo determinarse que la consultora utilizó los datos en la campaña presidencial de Donald Trump y en la campaña a favor del Brexit. Así, esta movida afectó a 87 millones de cuentas en todo el mundo, de las cuales 2,7 millones eran europeas y una gran mayoría de Estados Unidos.

El caso terminó de avivar la discusión acerca de los derechos de los usuarios de Internet y las vulnerabilidades a las que se ven expuestos, como el uso fraudulento de sus datos personales o la falta de robustez de las plataformas digitales a la hora de garantizar la seguridad de la información sensible de los usuarios. El tema es muy amplio, la regulación está en ciernes y las nuevas tecnologías en desarrollo traerán nuevos desafíos. No obstante, la protección de los datos personales se instala como un tema central.

Del usuario digital al ciudadano digital

El crecimiento exponencial de la tecnología y el gran tráfico de datos que circula en las redes, señalan el pasaje de un usuario digital a un ciudadano digital, portador de derechos sobre su propia identidad digital y los datos que genera. La seguridad de los usuarios en este entorno es fundamental y es una condición para para el desarrollo del comercio electrónico y que Internet de las Cosas (IoT, por sus siglas en inglés) y 5G no se vean limitadas en su expansión. Este movimiento también es reflejado por la administración pública que -al digitalizar sus procesos- puede promover nuevos espacios de transparencia y participación ciudadana, y ofrecer mejores servicios a los habitantes.

Para Gaspar Emilio Pisanu, abogado y analista de políticas públicas para América latina en  Access Now, no se trata de la aparición de nuevos derechos, sino de los derechos humanos que ya conocemos que comienzan a jugar en una nueva dimensión que es el entorno digital. “Si hablamos de privacidad, no se puede dejar de contemplar el uso de las cámaras de seguridad y de los datos que recolectan las grandes plataformas. Si hablamos de libertad de expresión, no podemos dejar de lado como interactúa este derecho en las redes sociales”.

Las tecnologías son neutrales y no están dirigidas a producir un daño pero, como cualquier herramienta, acarrean algunos riesgos cuando no se utilizan correctamente. “Hay tecnologías desarrolladas por el sector privado que empiezan a tener un impacto sobre los derechos humanos, y otras del sector público, dirigidas a facilitar la vida de la gente y su seguridad, que entran en conflicto con estos derechos. Tenemos que eliminar la concepción de que, por el solo hecho de ser tecnología y estar asociada a la idea de avance, progreso e innovación, es algo bueno. La tecnología muchas veces puede implicar más riesgos que beneficios. Por eso es importante ser mesurados e implementarla considerando disminuir los riesgos que pueda generar”, explicó Pisanu.

Avances en la protección de los datos personales

En mayo de 2018 entró en vigencia el Reglamento General de Protección de Datos de la Unión Europea y marcó el camino para que el resto de los países del mundo se pusieran a trabajar en la adecuación de sus propias leyes o a desarrollar proyectos si no las tenían. La mayoría de las iniciativas en curso están alineadas con la norma de la UE.

Si bien Argentina tiene legislación del 2001, existe un nuevo proyecto de reforma de la Ley de Protección de Datos Personales impulsado por el Ejecutivo, que se encuentra en el Congreso para debate. En líneas generales, plantea el refuerzo de los derechos de los titulares de datos, aclara cuáles son las bases legales para su tratamiento e incorpora obligaciones y potestades alineadas con los estándares internacionales y con el fin de hacer frente a los desafíos que plantean las nuevas tecnologías.

Eduardo Cimato, director Nacional de Protección de Datos Personales de la Agencia de Acceso a la Información Pública, explicó que el proyecto contempla nuevos derechos para los ciudadanos, como el de conocer y cuestionar la lógica aplicada en el tratamiento automatizado de sus datos cuando esto le produzca un perjuicio. Además, prevé el derecho de portabilidad, que habilita al usuario a exigir, al responsable de su tratamiento, una copia de sus datos en un formato estructurado. En caso de necesitarlo, también podrá pedir la transferencia de esos datos a otro responsable.

El proyecto establece, además, nuevas obligaciones para las empresas y organismos públicos, como la de notificar incidentes de seguridad en las bases de datos personales; la de realizar una evaluación de impacto sobre la protección de los datos personales, siempre que haya alto riesgo de afectación a los derechos de los titulares de los datos y, la designación, en algunos casos obligatoria, de un delegado de protección de datos en la organización que se ocupa activamente de garantizar el cumplimiento de la normativa vigente.

Para Gabriela Lis, vocal y Directora de Relaciones Institucionales en la Asociación Latinoamericana de Privacidad (ALAP), el proyecto radicado en el Congreso busca generar un nuevo marco normativo que incluya las nuevas tecnologías que surgieron desde 2001 y que Argentina mantenga una legislación conforme a los lineamientos de la UE. “La ley que está en vigencia actualmente es bastante amplia, pero quedó desactualizada. A nivel regional también se están realizando cambios porque si los países no se adecúan, se dificulta el comercio con Europa. Si bien para la vieja normativa europea, Argentina cumplía con los requisitos, a partir de la sanción del nuevo reglamento, no. Ese es uno de los motivos por los cuales estamos cambiando nuestra regulación”.

La ley europea es la vara más alta y otros países en el mundo están trabajando para acercarse a ese estándar. Estados Unidos, por su parte, no tiene una ley nacional, pero el año que viene pondrá en vigencia la Legislación de California, que regirá en ese estado donde se radican las principales compañías de tecnología.“Brasil también tiene una nueva ley que entra en vigencia en 2020, la ley chilena está en revisión y Ecuador trabaja en un proyecto de ley porque no tenía”, explicó Lis.

El proyecto propuesto por el Ejecutivo fue a su vez, objeto de algunas críticas entre las que se destacan la no incorporación de los datos biométricos y genéticos como datos sensibles; la figura del consentimiento tácito por parte de los usuarios puede generar algún tipo de práctica abusiva en algunos casos; la habilitación de las empresas para trasladar libremente los datos personales a través de las fronteras; la poca protección de los ciudadanos frente al Estado; el mantenimiento de una autoridad de aplicación y control en las esferas del Poder Ejecutivo.

Otra de las críticas que señalan los expertos es la necesidad de actualizar el valor de las multas que hoy se ubican por debajo de los $100.000. En esa línea, Lis opinó que esos valores pueden propiciar que las empresas prefieran incumplir la norma, “por eso desde Alap trabajamos para fomentar que las empresa adopten las mejores prácticas de protección de datos, porque de ese modo van tener mejores negocios y ser más confiables para sus clientes y proveedores”.

Por su parte, Pisanu opinó que tener una ley de datos personales es la columna vertebral cuando se habla de los derechos de los usuarios en entornos digitales. “Sin duda, es fundamental tener una ley robusta y comprensiva de los derechos de los usuarios, que además abarque otros usos de los datos como los que pueden darse con la inteligencia artificial y la toma de decisiones automática y las cámaras de vigilancia. Hay una serie de nuevas tecnologías sobre las que no hay regulación y de las que desconocemos las consecuencias de su uso. Por otra parte, una ley de protección de datos muy estricta puede generar una concentración de poder, al propiciar que solo las grandes empresas sean capaces de cumplir con los requisitos exigidos, por eso hay que debatir y estar muy atentos”.

La norma que espera su tratamiento en el Congreso obligará a las empresas a readecuarse para poder cumplirla pero, lo que es más importante, deberán replantearse su rol como responsables en el tratamiento de los datos personales y la necesidad de protegerlos. Este movimiento no implica necesariamente una mayor burocracia, aunque probablemente conlleve un proceso de capacitación y adaptación. Es importante aclarar, que la ley abarca a todas las empresas y organismos que posean datos de carácter personal de personas físicas como nombre y apellido, dirección, teléfono, DNI, fotos, firmas, correos electrónicos, datos bancarios, edad y fecha de nacimiento, sexo, nacionalidad. Es decir, todos los datos que permiten identificar a una determinada persona.

La principal exigencia para las compañías, es la obligación de registrarse en las bases en el Registro Nacional de Bases de Datos Personales. Allí deberán registrar las bases que poseen, pero no su contenido. Esto va a permitir que ese documento tenga carácter legal, requisito que en muchos casos es solicitado a las empresas cuando hacen negocios o se presentan a licitaciones. Además regirá la obligación de adoptar medidas de seguridad en el tratamiento y proyección de esos datos.

Para Lis, las empresas están a la altura de cumplir con la legislación, pero falta camino por recorrer en cuanto a la capacitación y la toma de conciencia. En esa línea advirtió que “algunas empresas están entendiendo la magnitud del tratamiento de la privacidad y los datos, pero el personal que contratan no está capacitado en la materia, por eso ofrecemos cursos y seminarios. La idea es poder plantear cuáles son los principales temas que se están discutiendo a nivel regional, los avances, las dificultades y los derechos de los usuarios digitales”.

Otros casos, mismos resultados. 

En octubre, la aplicación Movypark, que se utiliza en la ciudad de Córdoba para el cobro estacionamiento medido, presentó una falla que dejó expuestos los datos personales (números de tarjetas de débito/crédito, nombre completo, DNI y correo electrónico) de los usuarios. Si bien el número de personas afectadas no trascendió, si pudo comprobarse que el error permitió la visualización de información personal sensible a otros usuarios e incluso, habilitó la carga del costo del estacionamiento a un tercero, sin que éste diera su autorización a través de la aplicación.

El mismo mes, la plataforma peruana Ojo-Publico.com difundió que Telefónica vendió las bases de datos con la ubicación de sus clientes ala Comisión de Promoción del Perú para la Exportación y el Turismo (PromPerú) y la Autoridad Autónoma del Sistema Eléctrico de Transporte Masivo de Lima y Callao (ATTE). El operador tiene cientos de clientes en el mundo que contratan su servicio Smart Steps. La plataforma le permite al operador analizar grandes volúmenes de datos y determinar la ubicación y el traslado de los usuarios, a través de la información recopilada cuando estos realizan una llamada telefónica, envían un mensaje de texto o acceden a Internet a través de sus dispositivos móviles. Según la empresa de telefonía Telefónica, los clientes reciben datos anonimizados, agregados y extrapolados. Sin embargo, el medio asegura que las bases no serían tan anónimas y que pudo identificarse en una de ellas a un ciudadano peruano. Estos son solo dos casos, de mayor o menor escala, que se registraron recientemente, pero que sin dudas dejan a la luz mecanismos con una debilidad ética y responsable.

Top