Privacidad y Tecnología en el Derecho Argentino Actual
Por Lisandro Frene
Richards, Cardinal, Tützer, Zabala & Zaefferer

El derecho suele correr detrás de los hechos. En el ámbito de la tecnología, esta brecha entre realidad y leyusualmente es mayor, principalmente debido a la velocidad exponencial del desarrollo tecnológico. Una muestra clara en Argentina por poner solo un ejemplo- es la falta de regulación de los denominados “proveedores de servicios de Internet”. Pese a la existencia de cientos de juicios principalmente contra ‘buscadores’ de Internet, de sentencias dictadas por incluso por nuestro máximo tribunal, de varios proyectos de ley desde 2004 a hoy, el tema continúa sin legislación específica en nuestro país. 

 

En este contexto, durante los últimos dos años se han dictado en Argentina disposiciones que al menos abren la puerta a un avance legislativo imperativamente necesario; normas que promuevan el desarrollo del sector, que regulen las relaciones de los distintos sujetos –cada vez más- de algún modo alcanzados por la tecnología, para disminuir el desfasaje entre hechos y derecho. 

 

Así las cosas, puede resultar útil repasar algunas de las recientes normas y  principales proyectos de ley en curso; y especular con lo que cabría esperar a nivel regulatorio en 2018.

 

En el ámbito legislativo de protección de datos personales, en Noviembre de 2016, la entonces Dirección Nacional de Protección de Datos Personales (“DNPDP”) emitió la Disposición 60 – E/2016 que, en lo sustancial: (i) establece un listado de países con “legislación adecuada” en materia de datos personales, principalmente los de la Unión Europea; y (ii) dispone modelos de contrato de transferencia internacional –adjunto como Anexo de la disposición- tanto para los casos de cesión como para los de prestación de servicios que deberán ser suscriptos para realizar transferencias internacionales de datos a países sin “legislación adecuada”. Esta norma, que sigue el modelo establecido por la Directiva europea UE 87/2010, constituyó una claro adelanto en la materia. La misma venía siendo reclamada desde varios sectores, principalmente por cuanto pone en legislación positiva criterios que antes estaban contenidos en dictámenes de la DNPDP, sin la fuerza vinculante de disposición legal.

 

Por otra parte, en Diciembre de 2016 la DNPDP, con el aporte de distintos actores y entidades, bocetó un primer anteproyecto de reforma integral de la Ley 25.326 de Protección de Datos Personales, luego revisado en Mayo de 2017. Conceptualmente el anteproyecto pretende alinear la legislación argentina sobre protección de datos personales con los preceptos de la nueva normativa Europea en la materia (el Reglamento de la Unión Europea UE 2016/679, conocido como “GDPR” por sus siglas en inglés) que entrará en vigencia en Mayo de 2018. En la misma línea, se procura adaptar los principios tuitivos de la privacidad a los nuevos adelantos tecnológicos, no prevista en la actual ley que data del año 2000. Es razonable esperar entonces que este anteproyecto sea ingresado como proyecto y tratado en el Congreso en 2018.

 

A nivel de estructura administrativa, los Decretos presidenciales 746/2017 y 899/2017 crearon la Agencia de Acceso a la Información Pública como un organismo autárquico dentro de la Jefatura de Gabinete de Ministros y establecieron a dicha entidad como la autoridad de aplicación de la Ley 25.326 de Protección de Datos Personales, en reemplazo de la anterior “Dirección Nacional de Protección de Datos Personales”, aunque manteniendo el mismo director (Eduardo Bertoni).

 

De modo más genérico, en Junio de este año la Secretaría De Tecnologías de la Información ylas Comunicaciones (“STIC”), dependiente del Ministerio De Comunicaciones, emitió la Resolución 11-E/2017 por medio de la cual se crea el “Observatorio Nacional de Big Data” a fin de “analizar la evolución del Big Data” (definido por la propia norma), controlar su utilización y posterior regulación. A ese fin, se faculta al  Observatorio a “estudiar el marco regulatorio del uso de datos personales y su relación con el desarrollo y promoción de Big Data”; “realizar auditorías y propuestas de actualización normativa”; entre varias otras tareas.

 

Dada la amplitud del objeto y potencial alcance de la norma, es esperable que durante 2018 la STIC dicte reglamentaciones específicas que delimiten su alcance. Estas normas aclaratorias deberían guardar coherencia con la Ley 25.326 de Protección de Datos Personales y su autoridad de aplicación, para evitar futuras contradicciones, entrecruzamientos y/o solapamiento de competencias en la regulación del tratamiento de datos personales.

 

En lo atinente a la “Internet de las Cosas” (un concepto que cobra cada vez más relevancia prometiendo beneficios en múltiples áreas y que también impacta en la regulación sobre privacidad) la STIC dictó en Abril de 2017 la Resolución 7-E/2017, llamando a consulta a los principales actores y sectores vinculados a la misma con el objeto de “exponer dificultades y problemas actuales para el desarrollo de Internet de las Cosas, y al mismo tiempo recibir la mayor cantidad de sugerencias, recomendaciones, opiniones y propuestas que permitan su promoción”. Habrá que ver si durante 2018 el llamado a consulta antes aludido decanta en normativas específicas al respecto.

 

Cabe destacar que esta norma fue dictada en el marco implementado mediante la Resolución N° 8 de la STIC dictada en Septiembre de 2016, la cual creó el Grupo de Trabajo de Servicios de Internet, que tiene por objeto analizar y proponer políticas públicas y regulaciones para la promoción y el desarrollo de servicios de Internet. En este contexto jurídico, durante 2018 cabría esperar iniciativas similares a la Resolución 7-E/2017 antes aludidas.

 

Justamente una norma a la que conviene estar atentos en el año próximo es la Ley 27.078 de Tecnologías de la Información y las Comunicaciones (llamada “Argentina Digital”). Pese a las más de 50 normas que la complementan, esta ley aun no fue reglamentada. Y es imperativo que lo sea, entre otras cuestiones porque -al menos en su literalidad- se trata de una norma de alcance potencialmente omnicomprensivo. Una de las tantas consecuencias de la falta de regulación puede apreciarse en el ‘limbo jurídico’ en que actualmente se encuentran los servicios denominados OTT (“Overthe Top”), tales como Whatsapp, Twitter, Skype, Youtbe, Facebook, Netflix, etc.).

 

En cuanto a la responsabilidad de los Proveedores de Servicios de Internet (“PSIs”), el proyecto de ley “Pinedo – Fellner” (por sus autores) cuenta desde fin de 2016 con media sanción del Senado; y existen altas probabilidades de que en el primer semestre de 2018 sea aprobado sin cambios por la cámara de diputados y convertido en Ley. Pese a la crítica de varios sectores (principalmente enfocadas en que el proyecto no contempla un procedimiento específico de baja extrajudicial para contenidos “palmariamente ilegales”; que no regula el ‘derecho al olvido’; y que no trata separadamente la infracción a derechos de propiedad intelectual), considero que el proyecto constituye sin dudas un claro avance, máxime ante el vacío legislativo actual.

 

En lo referido a ciberseguridad y ciberdelitos, hace pocos días Argentina adhirió a la Convención de Budapest (que será promulgada por el Poder Ejecutivo Nacional como Ley Nro. 27.411), que establece parámetros y criterios para la lucha contra el ciberdelito. Si bien buena parte de los parámetros de derecho sustantivo establecido por la Convención ya se encuentran previstos por la llamada “Ley de Delito Informáticos” 26.388 sancionada en 2008, la operatividad de la Convención depende de la legislación doméstica que adopten los Estados parte. Así para evaluar el impacto de la Convención de Budapest en Argentina habrá que esperar las normas internas (incluyendo modificaciones a los código de procedimiento penal de cada jurisdicción de Argentina) que nuestro país dicte para implementar la misma, probablemente durante 2018. 

 

En cuanto a la seguridad informática en el sector público, el Decreto presidencial 577/2017 creó el “Comité de Ciberseguridad” en la órbita del Ministerio de Modernización, integrado por representantes del citado ministerio, del Ministerio de Defensa y del Ministerio de Seguridad, el cual “tendrá por objetivo la elaboración de la estrategia nacional de ciberseguridad”. Si bien la norma aplica únicamente a los sistemas informáticos del Estado, considerando que una de las funciones del Comité es “Impulsar el dictado de un marco normativo en materia de Ciberseguridad”, no cabría descartar que durante 2018 el mismo promueva normas aplicables también al sector privado.

 

Basado en el Decreto 577/2017 antes referido, el Ministerio de Seguridad de la Nación dictó la Resolución 1107-E/2017 creadora del “Comité de Respuesta de Incidentes de Seguridad Informática del Ministerio De Seguridad”, para prevenir, analizar y responder eventuales ciberataques a los sistemas informáticos de dicho ministerio.

 

Cabe destacar que el anteproyecto de reforma integral a la Ley de Protección de Datos Personales mencionado más arriba trata específicamente el tema de los incidentes de seguridad y –en línea con lo dispuesto al respecto por la GDPR Europea, que entrará en vigencia en Mayo de 2018- el procedimiento que deben seguir los responsables de bases de datos en caso de que ocurran tales incidentes.

 

La DNPDP –ahora absorbida por Agencia de Acceso a la Información Pública- también ha adelantado su intención de actualizar las "Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales” establecidas por la Disposición 11/06, consideradas a esta altura obsoleta por la mayoría de los expertos.

 

En lo atinente a industrias específicas, merece destacarse la reciente comunicación A 6354 del Banco Central de la República Argentina, en cuanto –llenando un vacío legal a requerimiento de casi toda la industria- establece los requerimientos que deben cumplir las entidades financieras (y sus proveedores) para descentralizar sus actividades y contratar servicios de tecnología informática. Entre la larga lista de requisitos y autorizaciones previas requeridas, la norma establece distintos “escenarios” de “servicios de tecnología informática tercerizados” imponiendo “requerimientos técnicos y operativos” (que tanto la entidad financiera como el proveedor de servicio deben cumplir) para cada uno de ellos, de acuerdo al tipo de dato transferido y al nivel de riesgo involucrado.

 

En el ámbito de la salud habrá que ver de qué modo se implementa operativamente durante 2018 la Ley CABA 5669 –de avanzada en la materia- dictada a fin de 2016 que establece el “Sistema Integrador de Historias Clínicas Electrónicas (SIHCE) para todos los habitantes que reciban atención sanitaria en la Ciudad Autónoma de Buenos Aires”. La norma, aplicable a establecimientos tanto públicos como privados, procura organizar e informatizar integradamente en una base de datos únicalas historias clínicas de todos los centros asistenciales de la ciudad de Buenos Aires. Establece asimismo el principio de “accesibilidad” de los pacientes a la misma, disponiendo que “debe garantizarse que la información esté disponible en todo momento y en todos los establecimientos asistenciales con asiento físico en la Ciudad Autónoma de Buenos Aires.”

 

Un párrafo final merece la firma digital, cuya aplicación práctica en Argentina ha sido y sigue siendo muy escasa desde la sanción de la ley de firma digital hace más de 15 años; al punto que los certificadores licenciados son solo seis en todo el país. Mediante la Resolución 399/206 del Ministerio de Modernización y el reciente Decreto 892/2017, el gobierno intenta promover su mayor difusión y uso efectivo. Habrá que ver si en 2018, quizás con normas o mecanismos que habiliten mayor número de certificadores y más agilidad en los trámites, se logra este cometido.

 

La legislación Argentina actual en materia de privacidad y tecnología es deficitaria. Con todo, varias de las normas dictadas en los últimos dos años permiten ser optimistas de cara a 2018. Al menos vislumbran una intención del Gobierno de regular aspectos de la tecnología hoy desregulados u obsoletamente regulados. Habrá que ver si la normativa que para eso se dicte en 2018 regule ‘bien’ o ‘mal’ el tema, pero ese es otro problema. El solo hecho de que se procure actualizar normativamente un área en expansión exponencial parece de por sí ya algo positivo.

 

 

Opinión

RIGI. Un incentivo a largo plazo
Por Maximiliano Zatta (*)
Eskenazi Corp
detrás del traje
Martín Chindamo
De CEROLINI & FERRARI ABOGADOS
Nos apoyan