1. INTRODUCCIÓN
Vivimos en una sociedad en la que los datos personales han cobrado extrema relevancia. Desde hace tiempo se han convertido en uno de los principales activos de las empresas. No obstante, pocas veces nos preguntamos por qué los datos personales son tan importantes o, incluso, para qué sirven.
Más allá de las finalidades específicas para las cuales se recolectan y procesan datos personales, en términos generales podemos concluir que juegan un rol muy importante -y hasta determinante- a la hora de tomar decisiones.
Cada vez más la sociedad se plantea como abierta e inclusiva y, a partir de eso, se desarrollan iniciativas privadas, políticas públicas y leyes para promover la diversidad, equidad e inclusión ("DEI", Diversity, Equity and Inclusion). Básicamente, lo que se busca es lograr el respeto a las características inherentes de cada persona y permitir que esas características se transmitan de forma natural al grupo en el que cada individuo se desenvuelve (ya se familiar, social o laboral). El fin último suele ser cumplir con cuestiones estrictamente legales y éticas y, en ciertos casos, acceder a beneficios comerciales.
A nivel nacional, por ejemplo, la Ley N° 23.592 contra Actos Discriminatorios sanciona a quienes, entre otras cosas, lleven adelante actos u omisiones discriminatorias motivadas en la raza, religión, nacionalidad, ideología, opinión política o gremial, sexo, posición económica, condición social o caracteres físicos de una persona.[1]
Asimismo, mediante la Ley N° 27.636 de Promoción del Acceso al Empleo Formal para Personas Travestis, Transexuales y Transgénero, se establecen medidas de acción positiva, como la de fijar cupos no inferiores al 1% de los puestos de trabajo dentro de los organismos públicos que componen al Estado Nacional. Ello, para dar cumplimiento a las obligaciones del Estado en materia de igualdad y no discriminación, y para garantizar el ejercicio de los derechos reconocidos por, entre otros, la Convención Americana sobre Derechos Humanos y su Protocolo Adicional en materia de derechos económicos, sociales y culturales.[2]
También existen leyes como, por ejemplo, la Ley N° 27.506 que crea el Régimen de Promoción de la Economía Del Conocimiento, que otorgan beneficios a quienes, entre otras cosas, contraten mujeres, personas travestis, transexuales y transgénero, o personas con discapacidad.[3] Además, existen resoluciones que exigen la paridad de género en la composición de los directorios de ciertas empresas de la Ciudad Autónoma de Buenos Aires[4] para garantizar la diversidad en el directorio, teniendo en consideración la diversidad de género, origen geográfico, edad, perfil étnico y experiencia profesional.[5]
Asimismo, el artículo 17 la Ley de Contrato de Trabajo N° 20.744 prohíbe cualquier tipo de discriminación entre los trabajadores por motivo de sexo, raza, nacionalidad, religiosos, políticos, gremiales o de edad. Adicionalmente, respecto de la mujer se agrega de forma específica que no se la podrá discriminar por su estado civil (artículo 172).
Por otro lado, las empresas están impulsando de manera proactiva sus propias iniciativas. Así, y entre otras cosas, permiten a los empleados agregar en su firma los pronombres personales con los que se identifican, crean grupos internos o coordinan eventos y capacitaciones para abordar temáticas sociales específicas con referentes en la materia, e implementan políticas y procedimientos para crear espacios de trabajo más representativos.
Ciertamente, las iniciativas de DEI se han convertido en un asunto prioritario en el cual tanto las empresas como el Estado están invirtiendo tiempo y recursos. Pero para que dichas políticas tengan el impacto deseado es necesario que estén basadas en datos y, más precisamente, en datos personales. En muchas ocasiones esto último se pasa por alto y, con ello, se omite la debida protección y seguridad de los datos personales. En este sentido, es importante tener presente la protección de los datos desde el diseño ya que una mala implementación de una buena idea puede afectar negativamente la consecución del fin noble que se pretende alcanzar.
2. OBJETIVO
El principal objetivo de este artículo es plantear una aproximación al tratamiento de datos personales en el marco de la implementación de políticas de DEI. El artículo no pretende tratar este asunto de manera exhaustiva ni concluyente, sino más bien servir como punto de partida e invitación a la reflexión para crear espacios más inclusivos sin descuidar la debida protección de los derechos de los titulares de datos personales.
El presente comienza con un repaso de las principales consultas de las empresas vinculadas a los datos que están interesadas en recolectar y procesar a los fines de implementar políticas de DEI. Con ello se busca dar -en una segunda instancia- el encuadre jurídico correspondiente que permita un tratamiento adecuado de los datos. Por último, se plantean algunas recomendaciones relevantes en la materia.
3. DESARROLLO
Gran parte de nuestras vidas se desarrolla dentro del ámbito laboral, por lo que es importante sentirse cómodo y respetado. Por eso, las empresas se preocupan por generar una cultura inclusiva y celebrar la diversidad que cada empleado aporta. A tal fin, suelen desarrollar políticas, iniciativas, programas, capacitaciones y alianzas que, para ser exitosas, se basan en datos.
Los datos que habitualmente pretenden recolectar a los fines de diseñar políticas de DEI suelen ser datos personales que permiten obtener información referente al origen racial y étnico, género, religión, salud y/u orientación sexual.
Generalmente, las consultas se orientan a entender si dichos datos pueden ser objeto de tratamiento dentro de la empresa (o grupo empresario) y cuáles son las mejores prácticas para su recolección y procesamiento. Esto último por entender que un acceso a, o uso indebido de, los datos personales podría afectar significativamente el derecho a la privacidad e intimidad, y tener como resultado el efecto contrario al deseado: discriminación.
En otros casos, las consultas apuntan a confirmar que los cuestionarios, políticas o programas estén realmente diseñados de modo tal que sean inclusivos. Por ejemplo, que en un cuestionario o formulario destinado a empleados la pregunta sobre el sexo/género incluya la palabra "auto percibido" y/o que entre sus opciones de respuesta esté no sólo el tradicional binario masculino/femenino sino también la opción "X" o no binario, transexual, intersexual, u otros.[6]
4. DATOS PERSONALES - LEY DE PROTECCIÓN DE DATOS PERSONALES
No todos los datos iguales. No es lo mismo hablar del precio de un producto, de la orientación sexual de una persona o del volumen de ventas mensual de una empresa. Según el contexto y cómo se clasifique un dato, será el tratamiento que deba darse al mismo.
Bajo la Ley de Protección de Datos Personales N° 25.326 ("Ley"), "dato personal" es toda información referida a personas físicas (humanas, según la letra del Código Civil y Comercial de la Nación) o de existencia ideal, determinadas o determinables. Consecuentemente, los datos que revistan el carácter de "personales" deben ser recolectados y procesados de conformidad con los términos y principios que la Ley enuncia. Entre otros, los principios de proporcionalidad, legalidad, calidad y transparencia.
Por el contrario, aquellos datos que no puedan atribuirse a personas determinadas o determinables -ya sea porque no están de ningún modo vinculadas a éstas o porque se sometieron a un proceso de disociación- quedarían fuera del alcance de la Ley.
Asimismo, el artículo 2 de la Ley clasifica como datos sensibles a aquellos datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.[7] En cuanto a los datos personales biométricos, sólo se consideran como datos sensibles cuando puedan revelar datos adicionales cuyo uso pueda resultar potencialmente discriminatorio para su titular (por ejemplo, datos que revelen origen étnico o información referente a la salud).[8]
5. BASE LEGAL - RECOLECCIÓN Y PROCESAMIENTO
En Argentina, la base legal para la recolección y tratamiento de datos personales es el consentimiento previo, expreso e informado del titular de los mismos. Además, debe cumplirse con el deber de informar a los titulares, entre otras cosas, las finalidades para las cuales los datos serán recolectados y procesados y con quiénes serán compartidos.
No obstante, la Ley prevé ciertos supuestos en los cuales no es necesario obtener el consentimiento para la recolección y procesamiento de los datos. Entre dichas excepciones se incluye, por ejemplo, el supuesto en el que los datos personales derivan de una relación contractual, científica o profesional del titular de los datos, y resultan necesarios para su desarrollo o cumplimiento.
Ahora bien, los datos de empleados vinculados a su orientación sexual, origen étnico, entre otros ¿quedan comprendidos bajo dicho supuesto? En otras palabras, el empleador que cuenta con, o que quiere desarrollar e implementar, políticas de DEI ¿podría recolectar y tratar a tal fin dichos datos personales sin el consentimiento previo, expreso e informado del empleado por entender que derivan de la relación laboral y resultan necesarios para su desarrollo o cumplimiento?
Ciertamente es debatible si un empleador podría verse relevado de asegurar el consentimiento de los empleados alegando que los datos referentes a, por ejemplo, la orientación sexual, son necesarios para dar cumplimiento a las obligaciones que tiene como empleador o para el desarrollo de la relación contractual que mantiene con el empleado (entendiendo que la política de DEI forma parte integrante del contrato de trabajo).
Si bien cada caso debe ser analizado en particular considerando, por ejemplo, el negocio del empleador, la industria a la que pertenece, el contexto en el que se recolectan los datos y las finalidades para las que serán utilizados, en nuestra opinión como principio general la respuesta es que el consentimiento es necesario. Aún más, destacamos que este tipo de datos son considerados por la Ley como datos sensibles; por lo que su recolección y procesamiento debe llevarse adelante con mayores recaudos (aun cuando la Ley adopta un enfoque restrictivo, conforme se verá seguidamente).
6. DATOS PERSONALES SENSIBLES
El principio general respecto de los datos sensibles es que ninguna persona puede ser obligada a proporcionarlos y que esos datos sólo pueden ser recolectados y procesados cuando existan razones de interés general autorizadas por ley o para fines estadísticos o científicos, en la medida en que no pueda identificarse a los titulares.
Lo anterior porque, justamente, los datos sensibles revelan aspectos muy íntimos de la vida privada de las personas y es información con potencial discriminatorio. No obstante, en la práctica suelen ser objeto de tratamiento a los fines de establecer medidas de acción positiva orientadas a lograr la efectiva inclusión social y laboral.
Para ello, se sigue el criterio establecido por la Resolución N° 159/2018 (que incluye lineamientos y contenidos básicos de normas corporativas vinculantes -asunto relativo a transferencias internacionales de datos personales-). Dicha Resolución dispone que los datos sensibles pueden ser tratados cuando sea necesario por ley o con el consentimiento previo del titular de los datos.
En este sentido, en la práctica se consideraría que el consentimiento previo, expreso e informado es suficiente para procesar datos sensibles. Asimismo, de incluir en los cuestionarios preguntas relativas a datos sensibles, el empelado debería tener la posibilidad de optar por responderlas o no.
7. DATOS DISOCIADOS
Hemos mencionado brevemente que los datos no personales -es decir, aquellos que no refieran a personas humanas o de existencia ideal determinadas o determinables- quedan fuera del alcance de la Ley.
Pero también existe la posibilidad de que los datos personales sean sometidos a un mecanismo de disociación por el cual la información obtenida no pueda asociarse a persona determinada o determinable, o que para lograr la asociación deban aplicarse medidas o plazos desproporcionados o inviables.
En la práctica no existe un criterio claro ni uniforme respecto a qué medidas o plazos serían desproporcionados o inviables. No obstante, se contempla y acepta que existe un riesgo residual de eventual re-identificación, el cual debe controlarse de forma sostenida en el tiempo.
Ciertamente, si una organización decidiera someter los datos de diversidad, equidad e inclusión de sus empleados a un proceso de disociación, ello brindaría mayor protección a los titulares de datos ya que quedarían mejor protegidos frente a una eventual discriminación arbitraria. Pero para ello el proceso de disociación debería ser adecuado y romper la cadena de identificación tanto de manera directa como indirecta. Es decir, se deberían tomar las medidas necesarias para que no se re-identifique al titular del dato ni siquiera como consecuencia de combinar o cruzar variables o datos de una o varias fuentes. También debería tenerse especial cuidado para que nadie acceda de forma indebida a la base de datos con datos no disociados, que la misma cuente con medidas de seguridad adecuadas[9] y que la disociación se produzca en todas las bases de datos que los contengan. Tan pronto se produjera una re-identificación, la Ley resultaría aplicable.
8. CONCLUSIÓN
Es clave generar una cultura inclusiva, transversal en todo ámbito. Pero ello no debe servir de paraguas para recolectar y tratar datos personales sensibles sin ningún tipo de recaudo. Tal supuesto podría tener implicancias severas en la intimidad de las personas así como desencadenar en actos discriminatorios, todo lo cual se debe evitar.
Debe buscarse la manera de equilibrar ambos derechos, es decir, garantizar la diversidad, equidad e inclusión y proteger adecuadamente los datos personales para garantizar el derecho al honor y a la intimidad de las personas. A todo evento, al tratar datos personales vinculados con la diversidad, equidad e inclusión es recomendable:
- Obtener el consentimiento previo, expreso e informado del titular de los datos y guardar evidencia del mismo.
- Que las bases de datos creadas a tal fin cuenten con medidas técnicas y organizativas de seguridad adecuadas considerando la naturaleza de los datos allí almacenados, y que el responsable y los usuarios de la misma respeten en cada etapa del procesamiento lo previsto por la Ley.
- Implementar las referidas medidas de seguridad adecuadas y capacitar al personal que tenga acceso a los datos para mantener la correcta confidencialidad de los mismos. En lo posible, y como una medida adicional, someter los datos a procesos de disociación.
- Desarrollar políticas que informen de forma transparente, entre otros cosas, el uso que se dará a dichos datos y con quiénes se pueden compartir, al igual que los derechos que asisten a los titulares y los medios para ejercerlos.
- Limitar el acceso a los datos sensibles sólo a aquellas personas y en aquellos casos en los que sea estrictamente necesario para cumplir con las finalidades informadas a los titulares de los datos.
- Realizar evaluaciones de impacto de riesgos y considerar la protección de los datos desde la concepción de toda política de diversidad, equidad e inclusión. Para lo primero, por ejemplo, puede recurrirse a la Guía de Evaluación de Impacto en la Protección de Datos elaborada entre Argentina y Uruguay.[10]
Citas
[1] Disponible en: http://servicios.infoleg.gob.ar/infolegInternet/verNorma.do?id=20465
[2] Los “Principios de Yogyakarta: principios sobre la aplicación de la legislación internacional de derechos humanos en relación con la orientación sexual e identidad de género”, también ofrecen orientación en la aplicación de la legislación internacional de derechos humanos en relación con la orientación sexual, la identidad de género, la expresión de género y la diversidad corporal.
[3] Ley N° 27.506 del Régimen de Promoción de la Economía del Conocimiento. Disponible en: http://servicios.infoleg.gob.ar/infolegInternet/anexos/320000-324999/324101/texact.htm. Otro ejemplo es el artículo 87 de la ley N° 24.013. Disponible en: http://servicios.infoleg.gob.ar/infolegInternet/verNorma.do?id=412
[4] La Inspección General de Justicia (IGJ) emitió en 2020 la Resolución General N° 34 a través de la cual resolvió, entre otras cosas, que el órgano de administración y, en su caso, de fiscalización de ciertas sociedades debe estar compuesto de forma tal que respete la diversidad de género (de ser par, misma cantidad de hombres que de mujeres; de ser impar, mínimamente un tercio deben ser mujeres). La misma fue cuestionada por numerosas empresas e incluso en instancia judicial.
[5] Resolución General 797/2019 de la Comisión Nacional de Valores.
[6] A partir del dictado del Decreto 476/2021, los documentos Nacionales de Identidad y los Pasaportes Ordinarios para Argentinos incluyen en el campo referido al “sexo” la opción: "F" -Femenino-, “M” - Masculino- o “X”. Se aclara que la nomenclatura “X” comprende las siguientes acepciones: no binaria, indeterminada, no especificada, indefinida, no informada, auto percibida, no consignada; u otra acepción con la que pudiera identificarse la persona que no se sienta comprendida en el binomio masculino/femenino.
[7] El Convenio para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal (Convenio 108), el cual Argentina ha ratificado y forma parte de nuestro ordenamiento, ofrece una definición más amplia de datos sensibles.
[8] De acuerdo a la Resolución 4/2019 de la Agencia de Acceso a la Información Pública -que aprueba los criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley Nº 25.326-, los datos biométricos son aquellos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan o confirmen su identificación única.
[9] La Resolución 47/2018 de la Agencia de Acceso a la Información Pública establece medidas de seguridad recomendadas para el tratamiento y conservación de datos personales. Disponible en: http://servicios.infoleg.gob.ar/infolegInternet/verNorma.do?id=312662
[10] Disponible en https://www.argentina.gob.ar/sites/default/files/guia_final.pdf
Artículos
Barreiro
opinión
ver todosAlfaro Abogados
PASSBA
Bragard
Kabas & Martorell