Ciclo de Reuniones de Actualización
Cómo proteger los datos personales
Dentro del Ciclo de Reuniones de Actualización de la CAA, tres de los socios del estudio M. & M. Bomchil Abogados abordaron una temática muy sensible para los anunciantes, siempre deseosos de recolectar la mejor información posible sobre sus potenciales clientes.
Ya lo decía el personaje que interpretó Michael Douglas en la película Wall Street, de 1987: “Information is everything” (“La información es todo”). A más de dos décadas de aquel filme, la valoración que se hace del manejo de datos en la sociedad actual es aún mayor que en aquel entonces. Y con ella sobreviene también el dilema de su uso. “En plena era de la información, la polución más dañina no es sólo la relacionada con cuestiones ambientales sino la del manejo de datos”, advierte el doctor Marcelo Bombau, socio del estudio M. & M. Bomchil Abogados.
Casos de estudio hay a montones. Basta mencionar los de Edward Snowden y Julian Assange para entender la dimensión que puede tomar el problema de la protección de datos. “Se ha convertido en una pesadilla para muchas empresas tener que administrar información dinámica, en forma constante, no sólo en el país sino en el extranjero, y guardada muchas veces en un teléfono celular”, sostiene el letrado.
Frente a este panorama, entiende Bombau que el gran desafío de las empresas en la actualidad es administrar de forma legal y segura la gran cantidad de datos que “las están invadiendo”.
Bombau, junto con sus colegas de estudio Adrián Furman (socio) y Francisco Zappa (asociado), se refirió a estos temas durante una de las reuniones del Ciclo de Actualización que la Cámara Argentina de Anunciantes (CAA) brinda en forma gratuita a sus socios activos y adherentes. Allí mencionó que existen normas internacionales que intentan poner algo de orden en este desmadre. En la Argentina, la protección de datos personales tiene rango constitucional, además de contar con leyes especiales que la regulan. No es el caso de México ni de Estados Unidos, en cuyas constituciones “la palabra privacidad no existe”, aunque sí una fuerte autorregulación por sectores o interna de las propias empresas.
Otros puntos a favor de nuestro país son la existencia de un registro de bases de datos obligatorio y la existencia de una autoridad especializada en el tema (la Dirección Nacional de Protección de Datos Personales, DNPDP), que no actúa en Brasil ni en Estados Unidos, por ejemplo. Todo esto hace que, de los mencionados, el único país cuya protección de datos cuenta con la aprobación de la Unión Europea, es la Argentina.
Ahora bien: si recolecta datos en la Argentina, ¿debe uno regirse únicamente por la ley local? No, en ningún caso. Si los datos se toman para enviarlos luego a una filial en Francia, por ejemplo, también deben aplicarse las normas de la Comunidad Europea. Y peor aún: en algunos casos ni siquiera se toma en cuenta dónde se realiza la toma de datos o dónde se procesa la información, sino cuál es la nacionalidad de la persona cuyos datos están siendo tratando. Altamente complejo.
El problema de dónde se guardan los datos es de reciente data. “Hace veinte años los teníamos en un anotador o en la computadora de la oficina. Con la irrupción de las laptops la información comenzó a viajar con uno y hoy hemos perdido completamente el control a partir de la llegada de los smartphones. En Estados Unidos se alarman por los peligros que implica todo lo que tenemos almacenado en el celular, llámese plan de negocios, mail, WhatsApp o hasta los resultados de un análisis clínico”, plantea Bombau. Un agravante en este sentido es que más del 60% de las empresas norteamericanas permite el uso del teléfono personal con fines laborales.
Intimidad y honor
Furman aporta que a partir de la modificación de nuestra Carta Magna, en 1994, el reconocimiento del derecho a la protección de datos dio origen a una nueva disciplina que vela por la facultad de las personas de actuar por sí mismas para obtener la tutela de sus derechos. El denominado Habeas Data aparece en el artículo 43 de la Constitución Nacional y protege el derecho a acceder a los datos, el derecho a la intimidad y al honor.
El Estado resguarda al titular del dato y actúa cuando éste le pide un auxilio. Pero además, en forma implícita, legitima con esta norma el proceso de recolección y almacenamiento, “una situación que antes del ’94 estaba difusa, como en una nube”, explica el abogado. Es decir: la regulación protege y a la vez autoriza el tratamiento de los datos, un detalle que resulta de especial interés para los anunciantes.
Dentro del marco normativo local, junto con la Constitución Nacional aparece la Ley Nº 25.326, del año 2000, y su decreto reglamentario, además de disposiciones y dictámenes de la DNPDP. “El régimen no es complejo”, reconoce Furman. “Simplemente, hay tener claro qué personas lo van a llevar a cabo dentro de la empresa, para poder seguirlo y estar actualizado”.
La ley define como datos personales a proteger a la “información de cualquier tipo referida a personas físicas o de existencia ideal”, y como “datos sensibles” a tener en cuenta, “el origen racial, étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical, salud o vida sexual”.
Otra definición clave: ¿qué se entiende como “tratamiento de datos”? Según la ley se trata de las “operaciones sistémicas que permitan la recolección, conservación, ordenación, modificación, evaluación, cesión o bloqueo” de información personal. Es decir, cualquier acción que se haga con ese material.
Consentimiento
En el encuentro de la CAA, le correspondió a Francisco Zappa la tarea de bajar la normativa legal al terreno de las empresas. Habló, pues, de los principios generales de la Ley Nº 25.326, las pautas que deben observar las compañías al momento de tratar los datos. Mencionó en este sentido la licitud (obligación de inscripción de las bases de datos) y la calidad del dato (que debe ser cierto, adecuado, no excesivo, etc.).
Un punto central, destacó, es el consentimiento previo que debe dar el titular del dato, que “debe ser libre, expreso, informado, y por escrito”. Para que ese consentimiento sea “informado” habrá que comunicarle a la persona la finalidad del tratamiento, la ubicación que tendrá la base de datos y el nombre de su titular, y las consecuencias de proporcionar o no un dato personal. En este sentido, hay casos especiales en los que no se requiere una autorización expresa, como por ejemplo con los datos que se recaban para el ejercicio de funciones del Estado, o los listados limitados a nombre, DNI, CUIT y ocupación.
Las autorizaciones para la recolección y la cesión de datos marchan por carriles separados. Si una empresa le requiere a un empleado su autorización para la recolección de datos personales y luego, ante un presunto fraude, decide traspasar la información del correo electrónico del individuo a un abogado para un eventual análisis, estará incumpliendo la ley. Zappa recomienda a las compañías, en este caso, redactar una cláusula de consentimiento que prevea esta instancia desde el minuto uno.
A quien no cumple con los dictados de las normas jurídicas le caben apercibimientos y sanciones económicas (de $ 1.000 a $ 100.000 según la gravedad de la falta), además de sanciones penales en casos como el del acceso ilegítimo a bancos de datos (vía hackers).
Al final de la exposición se abrió un interesante debate sobre las tendencias en el tratamiento legal de las cookies, debate que replica las discusiones actualmente en curso en todo el mundo. Del mismo surgió claramente la importancia de tener en cuenta los diferentes tipos de cookies como las diferencias en el tipo de información que recaban.
