Las EMPRESAS argentinas y su responsabilidad generada por el tratamiento de los Datos – M Eugenia Lo Giudice

Facebook tiene 2.300 millones de usuarios, YouTube 1.900 millones.

Ambos superan la población de China e India, los países más poblados del planeta.

Introducción:

Actualmente impera las ansias de participación sobre lo que se entiende como “el primer medio verdaderamente colectivo, Internet”¹ y con ello mediante diversas redes sociales y aplicaciones. Se espera estar actualizados sobre ultimas novedades, compartir y “pagar” con datos a las empresas u organizaciones, a cambio del ofrecimiento de supuestos servicios gratuitos.

Ante esto, lo que debemos preguntarnos como ciudadanos titulares de los datos es, qué hacen las empresas con ellos?, dónde y cómo los almacenan?, están realmente los datos protegidos?, qué ocurre con aquellos datos que ya no los usan?, entre otras preguntas. Y como Empresas, qué responsabilidad les cabe frente al importante flujo de datos que recaban, procesan y tienen en su haber?

Facebook tiene 2.300 millones de usuarios, YouTube 1.900 millones. Ambos superan la población de China e India, los países más poblados del planeta.

Las empresas hoy en día cuentan con un activo muy importante en su haber, los “datos”. Es importante comprender el valor que tiene el tratamiento de los datos por parte de las mismas por la consecuente responsabilidad civil, administrativa y penal que conlleva.

1.- Recolección de Datos

Las empresas, definidas como la actividad económicamente organizada apta para producir bienes materiales e inmateriales (es decir, servicios) destinados al mercado general teniendo como objeto obtener beneficios económicos, cuentan en la actualidad con los datos como un asset o activo fundamental.

Frecuentemente, datos sonentregados a Empresas privadas y públicas, por los propios titulares muchas veces desprevenidos o inconscientes del valor de los mismos o del alcance de la información que ceden y sin tener noción de la existencia de los metadatos que incluyen.

Las “redes sociales y aplicaciones” con acuerdos recíprocos, se han convertido nuevos canales de venta, comunicación y atención al cliente en los diversos sectores que recaban datos. A su vez diversas aplicaciones ponen a disposición de forma “gratuita”, la comodidad de ser instaladas pidiendo “autorización” para usar los datos mediante una tercera red como puede ser Twitter o Facebook. Es decir se tratan de sitios o aplicaciones que piden acceso a la cuenta de un usuario. Interesante sería saber cuántos titulares de datos efectivamente leen las políticas de privacidad y términos de uso, siendo conscientes de las cesiones y derechos que posee en su calidad de tal.

Estamos hablando de ejemplos como, si se descarga una App para programar sesiones de ejercicio con amigos, es posible que esta te solicite acceso a Calendario y Contactos de Google para sugerirte amigos con quienes programar una sesión y los horarios disponibles…

Otra información significativa, en el área de salud, la recopilación de datos es un producto muy valioso. Se calcula que la industria de datos personales de salud tiene un valor de alrededor de 3,4 billones de dólares. Los expedientes sanitarios tienen un valor 60 veces superior a los datos de las tarjetas de crédito robadas, debido a la cantidad y al detalle de datos personales que contienen, se comercializan en el mercado negro.

2.- RIESGOS para la Empresa:

A) La empresa se posiciona en zona de riesgo respecto a los datos bajo dos miradas.

Tomando los datos sin el conocimiento del usuario (les cabe la responsabilidad en su tratamiento y conservación) y por el otro la “cultura digital”, está llevando concientización del valor de los datos a sus titulares. Por lo que los consumidores ante la posibilidad de que las empresas no le brinden seguridad de cómo protegerán sus datos personales, no las tomarán en cuenta o aún más, se manifestarán en contra de ellas.

Las empresas, conocidas como Data Driven Company, adoptan estrategias de datos (toman datos, los analizan y prevén un camino a seguir para lograr sus objetivos). Lo que lleva a una captación creciente en cuanto volumen de datos, que a su vez trae un creciente número y nuevas formas de ciberamenazas y ciberataques, buscando acceder a ellos. Asi surgen las posibilidades de brechas de seguridad y fugas de información que pueden dejar al descubierto millones de datos.

Se estima que el año que viene, 2020, la producción de datos será 44 veces más grande que si la comparamos con 11 años atrás, un aumento del 4.300%

Nos adentramos así al problema de la ciberseguridad (irrupciones a los sistemas con información confidencial ya sea con o sin autorización del dueño), Data Breach o (fuga de datos con información expuesta o publicada) Data Leaks.

De acuerdo al Mapa Global sobre Data Breach & Data Leak-2019, en el 2018 se produjo uno de los más mediáticos casos de Data Leaks con la exposición de millones de datos de usuarios de Facebooks. O una base de búsqueda de trabajo en la India que dejó expuesto los records de unos 275mill de ciudadanos indios por 2 semanas. Dubsmash, una popular app de videos, sufrió un robo de datos a finales de 2018, incidente afectó a alrededor de 162 millones de usuarios. La información extraída de Dubsmash se ofrecía a la venta en la dark web, aparentemente la base de datos completa se ofrecía en alrededor de 20 mil dólares, pagados a través de transacciones con criptomoneda. junto con otros 500 millones de cuentas robadas de sitios como la app de citas CoffeMeetsBaguel, que justamente en el dia de San Valentin se enteraron sus usuarios de la exposición de su datos personales, y asi MyHeritage, MyFitnessPal, entre otros.

B) En cuanto a la escaza concientización de titulares de los datos sobre su valor, existe una progresiva concienciación en el cambio de cultura apareciendo el “usuario informado” que con cautela se está preocupando.

Según un estudio del 2018 de una consultora que encuestó a 12.500 personas en 14 países, Veritas Technologies, “Consumidores de Privacidad de Datos Mundiales”, referente mundial en protección de datos y almacenamiento definido por software, encontró que 1 de cada 5 (31.5%) de los consumidores cree que la mayoría de las empresas no sabe cómo proteger sus datos personales.

El 38.4% de los encuestados a nivel global dejaría de comprar en una empresa que no proteja sus datos, mientras que el 50.4% rompería su lealtad hacia una marca y consideraría recurrir a un competidor. Incluso, 8 de cada 10 (77.1%) pediría a sus amigos y familiares que boicotearan a una organización.

Según el estudio, al menos un tercio de los consumidores estarían de acuerdo en revisar y evaluar claramente cómo se está manejando su información en esta nueva era digital.

Es por estas razones que las Empresas deben dedicarle la debida atención al tratamiento de los datos de sus clientes o usuarios.

3.- Legislación

La Argentina cuenta para la protección de los Datos con diferentes instrumentos legales que se fueron desarrollando. Desde la propia Constitución Nacional (derecho a la privacidad según su art. 18, ampliado por el art. 19); fallos como “Ponzetti de Balbin v. Editorial Atlántida” (1985), definiendo el derecho a la privacidad como “el derecho del individuo para decidir por sí mismo en qué medida compartirá con los demás sus pensamientos, sus sentimientos y los hechos de su vida personal”; Tratados Internacionales como la Convención Americana sobre Derechos Humanos, el Pacto Internacional sobre Derechos Civiles y Políticos hasta el remedio procesal constitucional denominado “Habeas Data” (CN art.43, 3er párr.).

A su vez se respalda en un plexo legislativo que avala lo anterior, desde lo dispuesto por el viejo Código Civil (art.1071 bis) pasando por el Código Civil y Comercial actual (art.52). Leyes como la ley 27.078 de Tecnologías de la Comunicación y la Información (conocida como ley Argentina Digital), que extiende la protección al correo electrónico y a “cualquier otro mecanismo que induzca al usuario a presumir la privacidad del mismo y de los datos de tráfico asociados a ellos, realizadas a través de las redes y servicios de telecomunicaciones”. La Ley del Dcho. de los Pacientes o la que creó el Registro Nacional de “No llame”, etc.

En cuanto a la Ley 25.326 /2000 propiamente de Protección de Datos Personales, vino a dar el encuadre de lo planteado constitucionalmente. Estuvo basada en la Ley Orgánica de Datos Personales de España y fue reglamentada por Decreto 1558/01, que creó la Dirección Nacional de Protección de Datos Personales como la autoridad de aplicación.

En esta Ley se describen Principios Generales, Derechos de los titulares de los datos, define a los Usuarios y responsables de archivos, registros y bancos de datos, establece las sanciones penales. Y otorga el mecanismo procesal de defensa a través del Habeas Data. Categoriza los datos en Datos nominativos (Listados referidos a nombre, domicilio, documento de identificación u otros datos meramente identificatorios, Art. 5, inc. 2, c); Datos sobre antecedentes penales y contravencionales (tratamiento a cargo de la autoridad pública, Art. 7 inc. 4); Datos sensibles (Art. 2 y Art. 7); Datos de Salud física/mental de los pacientes, bajo secreto profesional (Art. 8); Datos de información crediticia (Art. 26); Servicios de Datos Informatizados (Art. 25); Marketing de Comportamiento (Art. 27).

La Ley considera que los Datos personales que revelen información de origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, , no pueden obligar a sus titulares a proporcionarlos. Solo se pueden recolectar y tratar por razones de interés general autorizadas por ley o por finalidades estadísticas o científicas (debiendo estar “disociados”).

Asimismo prohibe la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles.

En cuanto a los datos de salud, los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, deben resguardarlos y asimismo respetar el principio del Secreto Profesional.

También la Ley dispone sobre los Datos de Información crediticia que incluye los Datos de carácter patrimonial significativos para evaluar la solvencia económica-financiera y crédito, obtenidos de fuentes de acceso público irrestricto o facilitados por el interesado. Y datos sobre el cumplimiento o incumplimiento de las obligaciones de carácter patrimonial, facilitados por el acreedor. (Art. 26).

Se encuentra considerado el Derecho al Olvido (ciertas informaciones deben ser eliminadas de los archivos transcurrido un determinado espacio de tiempo desde el momento en que acaeció el hecho a que se refieren, para evitar que el individuo quede prisionero de su pasado).

Se exige“Licitud” de los datos, es decir los archivos de datos no pueden tener finalidades contrarias a las leyes o a la moral pública; “Calidad”, que sean ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido y la recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a la ley.

Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención, deben ser exactos y actualizarse en el caso de que ello fuere necesario. Este sería uno de los fundamentos del principio que se gesta de “obsolesencia de los datos”.

Los datos total o parcialmente inexactos o que sean incompletos, deben ser suprimidos y sustituidos o completados, por el responsable de la base de datos cuando se tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate.

Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular y deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados.

El “consentimiento” del titular para otorgar el tratamiento de sus datos en nuestra Ley es fundamental sin él, el tratamiento de los datos es ilícito.

El mismo debe ser libre, expreso, informado, escrito o por algún medio que lo equipare, y revocable.

En cuanto a los tipos de Responsabilidades previstas las hay de tipo Civil (patrimonial por los daños derivados de actos propios o de terceros que accedan a la información); Administrativa (van desde Multas, Cancelación, Clausura del Banco de datos) y Penal (con penas de prisión).

En Argentina los derechos para proteger nuestros datos personales se conocen como derechos “ARCO” y son los siguientes:

• Derecho de Acceso. Tenemos derecho a saber qué información tiene una organización sobre nosotros.
• Derecho de Rectificación. Tenemos derecho a rectificar nuestra información si está desactualizada o es incorrecta.
• Derecho de Cancelación. Tenemos derecho a cancelar el uso de nuestra información si ya no utilizamos ningún servicio de una empresa. Pueden mantener información nuestra por motivos legales, pero ya no pueden usar nuestros datos para nada más.
• Derecho de Oposición. Si una organización ha obtenido nuestra información sin nuestro consentimiento o queremos que deje de utilizarla, este derecho nos permite oponernos a que utilicen nuestros datos.

Unión Europea: RGDP (Reglamento General de Datos Personales, 2018)

Fundamental ha sido asimismo en las variadas legislaciones la influencia del Reglamento Europeo de Protección de Datos. Esto es así por lo que afecta a las compañías europeas pero también a compañías internacionales. Porque el ámbito de aplicación no se establece por el origen de las organizaciones, sino por la procedencia (en este caso europea) de los titulares de los datos.

El RGPD estandariza la legislación de protección de datos para todas las naciones que son miembros de la Unión Europea (UE) para simplificar de manera potencial sus iniciativas de cumplimiento pero más allá aunque la organización no este radicada en Europa pero capte, almacene o trate datos de ciudadanos europeos para ofrecerles bienes o servicios o controlar su comportamiento, deberá someterse a la nueva disciplina que impone el RGPD.

El RGPD requiere un cambio cultural. Exige programas y equipos cross-funcionales trabajando en paralelo a través de múltiples líneas de negocio y geografías. Desde los técnicos en sistemas IT, a los abogados de Compliance, pasando por los responsables de riesgos, de auditoría interna, de marketing y gestión de clientes y por supuesto, de ciberseguridad.

Tiene cambios desde la obligación de notificar las brechas de seguridad al regulador en las siguientes 72 horas de detección de las mismas, monto de multas muy elevadas, crea la figura de “Delegado de Protección de Datos”, la realización de simulacros de accidentes de escape de información en actividades consideradas de alto riesgo, entre otros.

El RGPD trajo aparejado un cambio en materia de privacidad que impactó hasta en las webs, formularios, contratos, etc. de las empresas y organizaciones.

4.- Conclusión: resaltado el valor de los datos personales y la responsabilidad generada para las Empresas en materia de su tratamiento, es imperativo la necesidad de la adecuación a tales términos.

Por lo que se debe tener en cuenta diversos supuestos que van desde la Privacy by design o privacidad desde el diseño (pasando por todas las fases del tratamiento desde su obtención hasta su destrucción), adecuarse a los términos legales hasta la estructuración de los equipos profesionales que trabajen conjuntamente.

Se debe disponer del control sobre los datos de la empresa evitando fugas de información que puede afectar a la seguridad global de la compañía independientemente del tamaño que sea.

Tener seguridad y supervisión sobre los datos de la empresa a fin que no se vea afectada la confidencialidad de los mismos y por tanto tener graves consecuencias legales y económicas al incumplir con la legislación vigente.

Enmarcar el cumplimiento de los requisitos de la normativa sobre protección de datos personales dentro de un sistema de gestión, reafirma el compromiso y diligencia de la organización con esta materia.

Por lo que puedo concluir en que se debe convertir la gestión de la privacidad de los datos en una ventaja competitiva para la Empresa.

Adoptemos un nuevo enfoque en la cultura corporativa hacia la protección de datos.

1 Según el profesor de Medio, Cultura y Comunicación de la Universidad de New York, Nicholas Mirzoeff, en su libro “Cómo ver el mundo”, Ed-Paidos 2015)