El Gobierno impulsa una nueva nueva ley de protección sobre la actividad online en la que establece que son "datos personales" la información sobre las personas en motores de búsqueda con algoritmos, como Google o YouTube.
Por otro lado, esta propuesta de "Ley Google" prevé la inclusión de notificación de incidentes de seguridad con la obligación de hacerlo dentro de las 48 horas de haber tomado conocimiento.
Beatriz de Anchorena, titular de la Agencia de Acceso a la Información Pública (AAIP), es quien impulsa el proyecto para aggiornar la Ley de Protección de Datos Personales que tiene 22 años.
"Impulsar la actualización normativa de la Ley de Protección de Datos Personales fue el compromiso que asumí en la Audiencia Pública el pasado 25 de febrero, durante el proceso de postulación como titular de la Agencia", dice De Anchorena a iProUP.
Y remarca: "Este fue uno de los ejes estratégicos del plan de trabajo que presenté en aquella ocasión. Hoy, luego de cinco meses de asumir la gestión en la Agencia, ese compromiso se hace realidad".
En los próximos días y durante todo este mes, el proyecto estará disponible a la consulta pública para que sea tratado en el Congreso en octubre.
Infografía
¿Qué cambios afectan a los buscadores como Google?
La nueva ley prevé los derechos de "rectificación" y "supresión" que se debatieron recientemente en una causa contra Google en la Corte Suprema de Justicia. Los portales de búsquedas -como Google, YouTube, entre otros- que utilizan algoritmos para brindar información, se verán afectados por un artículo que hace referencia a las "decisiones automatizadas".
"Se trata del derecho a oponerse a ser objeto de una decisión automatizada o semiautomatizada de datos", explican a iProUP Daniel Monastersky y Facundo Malaureille, de Data Governance Latam.
"Otorga el derecho a obtener intervención humana del responsable del tratamiento y requerir la exhibición de los patrones de programación del algoritmo por que se llegó a esa decisión", indican.
Dentro de las obligaciones del responsable también aparece en el proyecto: designar a un delegado de protección de datos e incluir un representante en el país.
¿Qué otros aspectos se prevén en la "Ley Google"?
Monastersky y Malaureille enumeran las siguientes características del proyecto de Anchorena, que se suman a los anteriores:
- Se amplía la definición de datos sensibles con la incorporación de datos genéticos y biométricos
- En cuanto al consentimiento, debe ser previo, libre, específico, informado e inequívoco
- Se incluye un artículo específico para los derechos de niñas, niños y adolescentes con el consentimiento lícito desde los 13 años
- Posee un sistema de transferencias internacionales que incluye países con legislación y garantías adecuadas, y excepciones específicas
- Dentro de los derechos de los titulares, se incluyen acceso, oposición, portabilidad, rectificación, supresión y control sobre las inferencias
Al respecto, Beatriz Busaniche, directora de la fundación Vía Libre, indica que "inferencia es cuando se realiza análisis de datos y se infieren cosas en función de esos datos, como la pertenencia a determinados grupos por ciertas compras, gustos o likes, por ejemplo".
Las empresas deberán informar a sus usuarios sobre un incidente de seguridad hasta 48 horas después de ocurrido
"El proyecto pretende regular esos datos. No es una prohibición de hacer inferencias, sino otorgarles entidad de datos personales y darles derechos a las personas sobre datos inferidos", puntualiza.
¿Qué indica la "Ley Google" sobre la información crediticia?
Monasterky y Malaureille explican que "se incluye en los artículos 47, 48 y 49 lo referido a datos de información crediticia. En esa legislación, se fijan criterios generales para el tratamiento de datos personales".
"Se establece que podrán ser conservados por hasta 5 años o 1 año cuando se cancele o extinga la obligación. De ser requerido por el titular, las entidades deberán comunicar detalladamente cuál es la fórmula o al algoritmo utilizado", remarcan.
Además, señalan que las compañías "deben comunicar al titular de los datos cuando cambie su situación crediticia".
¿Cuáles son las sanciones previstas por la "Ley Google"?
"El proyecto establece nuevos criterios para la fijación de las multas con unidades móviles (UM) y porcentaje de facturación anual global. Esas unidades móviles que se crean se actualizarán anualmente de acuerdo al Índice de Precios al Consumidor (IPC)", advierten Monasterky y Malaureille.
Además, precisan que "se amplían los criterios para graduar los valores teniendo en cuenta el tipo de dato, riesgo y posición económica del infractor". También se amplían las facultades de la AAIP para las siguientes actividades sancionatorias:
- Tramitación de denuncias y sanciones
- Investigación y fiscalización
- Establecer mecanismos voluntarios de solución de controversias
- Emitir órdenes obligatorias
- Promoción de la cultura de la privacidad
- Asesoramiento y capacitación
- Certificación y homologación
¿Cuáles son las potestades del ente regulador de la "Ley Google"?
Busaniche remarca que "hace tiempo que desde la comunidad civil venimos pidiendo una reforma integral de la ley para su fortalecimiento, ya que la actual es de difícil aplicación". Además, advierte que "hay consenso en que si el organismo encargado de hacerlo cumplir carece de recursos para ejercer su función, la norma será letra muerta, como ocurre en la actualidad".
La ley actual está desactualizada: se promulgó hace 22 años
"Proponemos más autonomía del sector público e independencia respecto del sector privado para la AAIP. Para esto, es central la cuestión del presupuesto. Asimismo, "es clave el aumento de la capacidad punitiva del organismo, a través de multas", considera.
¿Cuál es el estatus de Argentina en materia de protección de datos?
Juan Pablo Altmark, presidente de la Asociación Latinoamericana de Privacidad, señala a iProUP que la ley que reglamentó el habeas data en 2000 permitió en su momento de Argentina ser un país con adecuado nivel de protección de datos, por parte de la Unión Europea.
"Pero desde aquel momento, el mundo se volvió más complejo y la Unión Europea se alineó detrás del famoso GDPR o Reglamento General de Protección de Datos, actualmente la normativa más estricta en la materia. Detrás lo hicieron países de Latinoamérica y hasta China", completa.
Según el letrado, "el Reglamento Europeo estableció un techo muy alto para las sanciones por su incumplimiento, llegando como máximo hasta el 4% de la facturación global".
Desde la AAIP informan a iProUP: "En agosto se realizaron varias mesas de debate con organizaciones civiles, organismos públicos, cámaras empresariales. El día 30 de ese mes se presentaron en la Cúpula del Centro Cultural Kirchner los lineamientos de la actualización de la Ley de Protección de Datos Personales, en un encuentro que reunió a más de 150 participantes".
La consulta pública sobre el proyecto estará disponible en el mes de septiembre. Para ello, se pondrá a disposición un espacio para la incorporación de todos comentarios y aportes", precisan.
"En la era digital, un país con tanta capacidad de proveer servicios de calidad y, a la vez, con imperiosa urgencia por generar divisas, debe tener un marco normativo adecuado", enfatiza Altmark.
"Desde ya, generará costos para que las empresas se adecúen, pero quedarse atrás tendría consecuencias catastróficas para nuestra industria digital y de servicios del conocimiento", concluye.