Argentina dio un paso clave en materia de protección de datos personales con la sanción este miércoles del Convenio 108+ por parte de la Cámara de Diputados, que incorpora novedades como los derechos de los individuos sobre los algoritmos de Google o Twitter.
"El Convenio busca un equilibrio entre la protección de los datos personales y el derecho a la libertad de expresión, que incluye la libertad para obtener e impartir información", por ejemplo, en Google o YouTube, aclara a iProUP Luis García Balcarce, oficial de proyecto en Asociación por los Derechos Civiles (ADC).
Según el experto, "el acuerdo internacional confirma que el ejercicio del derecho a la protección de datos, que no es absoluto, no deberá ser utilizado como medio general para impedir el acceso a documentos públicos".
Datos personales: cuál es la posición de la Argentina
En paralelo a la adopción del estándar internacional, la Agencia de Acceso a la Información (AAIP) avanzó en un anteproyecto de nueva ley de defensa de derechos de datos personales para actualizar las normas locales con los lineamientos del Convenio 108+.
Esa iniciativa local está definiendo el alcance de un nuevo derecho a la "portabilidad" de esta información. Para algunos, tal derecho debería permitir llevarse a los seguidores de Twitter a TikTok, por ejemplo.
En este sentido, Juan Pablo Almark, presidente de la Asociación Latinoamericana de Privacidad (ALAP), precisa a iProUP que "ese alcance no está definido. La portabilidad no alcanzaría datos de terceros, sino los gustos y preferencias de la persona, entre otros".
"Se podrían exportar los seguidores y, si la nueva plataforma te lo permite, invitarlos, pero no trasladarlos con el status de seguidores, ya que ellos deben aceptar utilizar la otra plataforma, sus términos y condiciones, y seguir al titular en dicha red", considera.
Datos personales: en qué consiste el Convenio 108+
"El antecedente de este acuerdo multilateral es el Convenio 108 de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal", señala a iProUP el especialista Flavio Lowenrosen.
"Se trata de un instrumento multilateral de carácter vinculante en materia de protección de datos personales, cuyo objeto es proteger la privacidad de individuos contra posibles abusos en el tratamiento de sus datos", agrega.
Argentina se convirtió en el 54º país que adhirió al Convenio 108. El pacto entró en vigencia en el país el 1 de junio de 2019. Así, se consiguió un estándar de "nivel adecuado de protección" que facilita los negocios.
En tanto, "el Convenio 108+ también tiene el potencial de ser aplicado en todo el mundo, por lo que su aprobación contribuirá a la permanencia de la consideración de Argentina por parte de la Unión Europea como un país con un nivel adecuado de protección'", manifiesta Balcarce.
Entre las actualizaciones con que cuenta el Convenio 108+, Balcarce enumera :
- Incluye el proceso automatizado y no automatizado de datos personales
- Amplía la definición de datos sensibles, incluyéndose los genéticos y biométricos
- Con referencia a la seguridad de la información, establece la obligatoriedad de notificar incidentes de seguridad
- Reconoce el derecho a obtener conocimiento sobre el procesamiento de datos (algoritmos)
La legislación añade la información biométrica y genética como "datos sensibles"
El experto remarca que "este derecho sobre los algoritmos es importante en términos de elaboración de perfiles de personas".
"Al aprobarse el Convenio 108+, Argentina deberá tomar las medidas necesarias en su legislación para aplicar, en todo el territorio, sus principios para garantizar el tratamiento adecuado de los datos personales y que los titulares puedan ejercer sus derechos", afirma.
Datos personales: qué incorpora del Convenio el proyecto local
Altmark señala que "el Convenio 108+ trae conceptos nuevos para nuestra legislación. A raíz de esto, la AAIP lanzó un proceso participativo de consulta pública para presentar un proyecto de reforma integral de la ley local de protección de datos personales".
"En primer lugar, ambas normas incorporan a nuestra legislación dos nuevas categorías de datos sensibles: genéticos y biométricos", señala el experto.
Además, indica que "el proyecto argentino precisa que la obligación de informar, al menos a la autoridad de control, los incidentes de seguridad que puedan afectar derechos y libertades de los titulares de los datos tendrá un plazo de 48 horas. Además, cuando el incidente pueda entrañar riesgos para los titulares, también deberán ser notificados a nivel local".
"La iniciativa incorpora el derecho a la portabilidad de los datos, una especie de derecho de portabilidad numérica pero respecto a la información que procesa una compañía sobre vos y la posibilidad de trasladarlos a otro proveedor", subraya Altmark.
Además, indica que "ambas normativas incorporan el concepto de 'Privacidad desde el Diseño', por el cual el responsable debe procurar analizar todo nuevo tratamiento teniendo a la privacidad como un pilar interno", indica.
Datos personales: qué medidas de resguardo se prevén
El Convenio 108+ y el proyecto argentino prevén el concepto de Accountability, que pone la carga de la prueba del cumplimiento de las normas de protección de derechos personales en la empresa que los procese. Y la ley argentina precisa con mucho detalle esa obligación.
Los usuarios tendrán derecho a conocer cómo funcionan los algoritmos
Las dos normas ponen en cabeza del Responsable o Encargado la obligación de velar por los derechos a la privacidad y, además, ordenan realizar auditorías de compliance. Según Altmark, las responsabilidades mínimas de estas nuevas figuras que fija el proyecto argentino son:
- Adopción de procesos internos para llevar adelante de manera efectiva las medidas de responsabilidad
- Implementación de procedimientos para atender el ejercicio de los derechos por parte de los titulares de los datos
- Realización de supervisiones o auditorías, internas o externas, para controlar el cumplimiento de las medidas adoptadas
- Diseño de protocolos de evaluación de impacto
"Las medidas deben quedar documentadas y a disposición en caso de ser requeridas por la autoridad de aplicación", establece el proyecto de la AAIP.
Datos personales: cómo es la normativa en la que avanza Argentina
Altmark señala que "el proyecto de protección de datos personales de la AAIP, además, incorpora varios temas nuevos", entre los que destaca:
- Nuevas bases legales para el tratamiento de datos: actualmente, la base legal es el consentimiento con algunas excepciones. Con la reforma, se incluye el interés legítimo
- Se incorpora un apartado sobre el tratamiento de datos de niños, niñas y adolescentes
- Representante de responsables y encargados que no estén establecidos en la Argentina
Este último punto, muy cuestionado, le asigna a ese ejecutivo la responsabilidad de actuar 'en representación de', por lo que puede ser objeto de sanciones administrativas que fija el proyecto.
"En dichas condiciones, les costará bastante a las empresas extranjeras encontrar un representante que asuma semejante riesgo", considera Altmark.
Ente las cuestiones que generan mayor revuelo se destacan las nuevas multas que podrá dictaminar la Autoridad de Aplicación, que tienen un monto máximo de $1.000 millones de unidades móviles, que equivalen a unos $10.000 al momento de la sanción de la ley y son actualizables por el índice de precios al consumidor del Indec.
"Como si esto fuera poco, el proyecto prevé la posibilidad de una sanción máxima de hasta un 4% de la facturación total anual global del ejercicio financiero anterior", concluye Altmark.