El derecho a la protección de los datos personales, consagrado legalmente en numerosas jurisdicciones de todo el mundo desde hace ya muchos años, nunca ha estado tan vigente como en la actualidad.
En el marco de la sociedad del conocimiento y de la información, la recolección, utilización e intercambio de datos está adquiriendo cada vez más relevancia. A su vez, el renovado interés en esta materia y en sus implicancias de índole legal y reputacional genera una variedad de impactos en los negocios. En consecuencia, el profesional dedicado al asesoramiento jurídico a empresas se encuentra frente a un número de desafíos que, aun cuando en ocasiones no son nuevos, han adquirido una forma bien distinta.
El creciente interés por el derecho a la protección de datos personalespuede explicarse por una multiplicidad de factores. Indudablemente, el alcance y penetración de la conectividad a Internet en todo el mundo, especialmente desde la popularización y avance de los dispositivos móviles y las redes sociales, han sido elementos claves que han permitido el cambio de paradigma experimentado. En línea con lo anterior, el surgimiento de las nuevas técnicas de análisis de datos masivos, comúnmente llamado “Big data”, directamente ha venido a resignificar el concepto y el sentido de los datos, los que se encuentran hoy en el centro de la estrategia comercial de las compañías alrededor del mundo.
Desde el punto de vista jurídico, es importante resaltar la reciente entrada en vigor del nuevo Reglamento General de Protección de Datos de la Unión Europea (“RGPD” o “GDPR”, por sus siglas en inglés) el pasado 25 de mayo de 2018, que ha venido a implementar una serie de innovaciones que en varios aspectos terminarán delineando el futuro en materia de privacidad y protección de datos, no solamente en Europa, sino en buena medida a nivel global.
Ante este cuadro de situación, se impone realizar un necesario replanteo respecto del enfoque de cumplimiento a adoptar por las compañías, a fin de adaptarse en forma eficiente a los cambios en la normativa,a la vez que participar de las enormes ventajas para el crecimiento y el desarrollo que ofrecen las nuevas perspectivas en materia de tratamiento y análisis de datos.
Protección de Datos Personales en Argentina
La ley N° 25.326 de Protección de Datos Personales (la “LPDP”), sancionada en el año 2000, fue en su momento una de las normas pioneras en nuestra región, lo que ubicó a la Argentina a la vanguardia en materia de privacidad de datosen Latinoamérica. Recordemos que en el año 2003 la Comisión Europea designó a la Argentina como país que ofrece un “nivel de protección adecuado” a los efectos de la transferencia de datos desde dicho continente[1].
En los últimos años se han producido interesantes novedades que permiten delinear con alguna precisión el camino que se está recorriendo y la forma que adoptará la materia en nuestro país en los próximos años, especialmente contemplando los avances y desarrollos tecnológicos que han tenido lugar desde la sanción de la ley referida.
En primer término, mediante las modificaciones introducidas por el Decreto de Necesidad y Urgencia N° 746/2017 y el Decreto N° 899/2017, se designó a la Agencia de Acceso a la Información Pública como nueva autoridad de aplicación de la LPDP. La modificación referida resulta relevante, considerando el carácter de dicha Agencia como ente autárquico con autonomía funcional en el ámbito del Poder Ejecutivo Nacional. Cabe recordar que la Dirección Nacional de Protección de Datos Personales (la “DNPDP”), anterior autoridad de aplicación, se encontraba bajo dependencia funcional del Ministerio de Justicia y Derechos Humanos.
En segundo lugar, y en el marco de un interesante proceso de consulta y discusión pública con la participación de diversos sectores [2], la DNPDP dio a conocer el Anteproyecto de Reforma a la LDPD (el “Anteproyecto”) [3], que recepta varias de las innovaciones introducidas por el RGPD, modificando numerosos aspectos de relevancia, tales como: la circunscripción de la definición de datos personales a aquellos referentes a personas humanas(art. 2); la inclusión conceptual de las bases legales para la “licitud del tratamiento” (art. 11); la incorporación del consentimiento tácito (art. 12); la regulación de notificaciones de incidentes de seguridad (art. 20); la introducción del concepto de grupo económico para transferencias internacionales (art. 23); el derecho a la portabilidad de datos (art. 33); los principios de “privacidad desde el diseño y privacidad por defecto” (art. 38); la introducción del concepto de “evaluación de impacto” (art. 40);la introducción de la figura del “delegado de protección de datos” (art. 43);y un sustancial incremento de las potenciales sanciones (art. 76), entre otros. Asimismo, es dable señalar que si el Anteproyecto resultara sancionado, se dejaría sin efecto el actual Registro de Bases de Datos.
Por otra parte, el Anteproyecto consagra el llamado “Principio de responsabilidad proactiva”. Receptando uno de los principios establecidos por el RGPD [4], también llamado “principio de responsabilidad demostrada”, el Anteproyecto introduce este nuevo estándar, consistente en la adopción por parte de cada responsable o encargado, de “las medidas técnicas y organizativas apropiadas a fin de garantizar un tratamiento adecuado de los datos personales y el cumplimiento de las obligaciones dispuestas por la presente ley, y que le permitan demostrar a la autoridad de control su efectiva implementación” (art. 10). De igual forma, en su art. 37 define las medidas necesarias para el cumplimiento con dicha responsabilidad, de lo que hablaremos más adelante. La introducción de este principio destaca como uno de los aspectos más relevantes del nuevo esquema legal propuesto. Posiblemente sea en el ámbito de esta innovación donde los abogados de empresastengamos un interesante radio de acción para contribuir al desarrollo de una estrategia integral de privacidad, adoptando este principio como guía de actuación.
Por último, cabe mencionar que la eventual sanción legal del Anteproyecto seguramente jugará un rol central en el mantenimiento de la designación de nuestro país como destino con “nivel de protección adecuado” para la transferencia de datos por parte de la Unión Europea.
Una perspectiva regional
La consideración de la problemática desde una perspectiva regional adquiere especial relevancia si se tiene en cuenta la actuación de las compañías multinacionales con presencia incluso global. Asimismo, analizar la situación en la región permite entender con mayor claridad el contexto en que se inserta nuestro país y vislumbrar de qué manera las tendencias globales habrán de tener impactos locales.
Como punto de partida del análisis normativo en Latinoamérica, surge como primera conclusión la relativa falta de armonización. Así, mientras muchos de los países de la región en los últimos años han ido regulando mediante leyes especiales la protección de datos personales, encontramos asimismo otros países que, a la fecha en que este artículo fue escrito, carecen de legislación comprensiva y específica sobre la materia, más allá de la existencia de normas sectoriales que puedan contener previsiones vinculadas, o la regulación general de las acciones de habeas data.
Sin perjuicio de ello, muchos son los proyectos e iniciativas que se encuentran en discusión en toda la región, tanto para sancionar por primera vez normativa específica de protección de datos, como para reformar las normas existentes. En este sentido, es dable destacar que el pasado 10 de julio de 2018 el Senado de la República Federativa del Brasil aprobó una nueva ley general de protección de datos personales, encontrándose la misma pendiente de promulgación a la fecha del presente artículo.
Por otra parte, en lo atinente a aquellos países que cuentan con una norma específica, podemos señalar determinados aspectos conceptuales que vale la pena destacar, tomando como referencia algunas de las principales legislaciones de la región [5]. Veamos, a título de ejemplo:
- Modalidad del consentimiento. La mayoría de las legislaciones específicas exigen, con variaciones, que el consentimiento requerido para el tratamiento sea de carácter expreso (v.gr., Argentina, Chile, Colombia, Costa Rica, Perú, Uruguay). Una importante excepción en este sentido es el caso de México, en cuya legislación de protección de datos el consentimiento tácito es admitido. Destacamos al respecto que el art. 12 del Anteproyecto de reforma en Argentina contempla asimismo esta alternativa de consentimiento.
- Registros públicos de bases de datos. La obligatoriedad de registrar las bases de datos ante la autoridad de aplicación ha sido consagrada en la mayoría de las legislaciones (v.gr., Argentina, Colombia, Costa Rica, Perú, Uruguay) con algunas excepciones (v.gr., Chile, México). Cabe destacar que la tendencia internacionalparece apuntar hacia la eliminación de este requisito, en línea con la adopción de mecanismos de responsabilidad proactiva [6].
- Transferencias internacionales de datos. En cuanto a este importante aspecto, algunas de las legislaciones se inclinan por la regla general de admitir la transferencia sólo cuando se trate de destinos que provean adecuados niveles de protección (v.gr., Argentina, Colombia, Perú, Uruguay), mientras que otras normas adoptan distintos criterios, fundados en consentimiento u otras condiciones (v.gr., Chile, Costa Rica, México). Sin embargo, las actividades regulatorias tendientes a definir cuáles destinos ofrecen dicho nivel de protección presentan variaciones; existiendo asimismo mecanismos alternativos de autorregulación o de sustitución por modelos contractuales estándar (en algunos casos, mediante modelos pre-aprobados por las autoridades de aplicación, como es el caso de Argentina[7]).
Sin perjuicio de las diferencias señaladas, la mayor parte de las legislaciones en la región se encuentran basadas en los Principios y Directrices de la OCDE [8], por lo que los fundamentos legales generales se encuentran en el marco de las guías internacionales existentes.
Finalmente, cabe mencionar que en el mes de junio de 2017 la Red Iberoamericana de Protección de Datos (entidad conformada por las autoridades de protección de datos personales de diez países de Iberoamérica) dio a conocer los “Estándares de Protección de Datos Personales”, con el objetivo de “impulsar y contribuir al fortalecimiento y adecuación de los procesos regulatorios en la región, mediante la elaboración de directrices que sirvan de parámetro para futuras regulaciones o para la revisión de las existentes” [9], lo que podría resultar un primer e importante paso hacia una mayor armonización de la legislación a nivel regional.
La protección de datos como ventaja competitiva
La situación actual en materia de privacidad impone a las organizaciones adoptar unaperspectiva comprensiva de los distintos aspectos involucrados. En ese sentido, un enfoque reactivo y orientado primordialmente a evitar potenciales sanciones no será suficiente, atento la frecuente mutación de la problemática ante cada avance tecnológico o la aparición de nuevas tendencias en materia de análisis y tratamiento de datos.
Al inicio del presente artículo mencionamos las enormes posibilidades que surgen a la luz de la utilización de nuevas tecnologías y técnicas de análisis. Aun teniendo en mente los riesgos que se plantean en torno a la protección de la privacidad, y respecto de los cuales hemos visto cómo las distintas legislaciones van abordando de una forma cada vez más intensa, es importante tener presente los sustanciales beneficios para la innovación, el crecimiento y el desarrollo económico que estas tendencias pueden aportar, en la medida que las mismas se lleven a cabo en cumplimiento con laley. Por su parte, dicho cumplimiento estará cada vez más frecuentemente alineado con las expectativas de los usuarios y consumidores.
En ese orden, es razonable esperar que las compañías que tengan altos estándares en materia de privacidad y que operen protegiendo los derechos de los titulares, tendrán la oportunidad no sólo de hacer más y mejores negocios, sino también de ofrecer más y mejores soluciones innovadoras a los usuarios y consumidores.
Esta posición ventajosa se verificará especialmente para aquellas organizaciones que implementen programas efectivos de protección de datos, y lo comuniquen de manera clara y transparente. Así, la ventaja competitiva de la que hablamos no habrá de limitarse al aspecto reputacional, sino que habrá de tener su correlato directo en el terreno comercial, dado que la confiabilidad en el tratamiento de información, algo que parecía lejano hace no mucho tiempo, se ha ido convirtiendo en un relevante criterio de elección para usuarios y consumidores en todo el mundo.
Es en este contexto en el cual los abogados estamos llamados a brindar nuestro aporte diferencial, facilitando el diseño y la adopción de un programa integral de privacidadque permita participar de estas ventajas competitivas que ofrece el nuevo paisaje global.
Hacia un programa integral de privacidad
A la hora de brindar asesoramiento efectivo y con valor agregado para la organización, tendiente a la implementación de un programa integral como el referido, se nos presentarán múltiples desafíos que podrán variar -en ocasiones sustancialmente- dependiendo del tamaño, la industria, el mercado y otras características de la empresa de la que se tratare.
Entonces, el diseño de este programa integral de privacidad deberá contemplar, al menos, los siguientes aspectos:
(1) Evaluación y mapeo de procesos y riesgos. En línea con lo establecido en el Anteproyecto al estipular el modo de cumplimiento con la llamada “responsabilidad proactiva” (art. 37), las medidas a adoptar a fin de delinear el programa de privacidad deberán resultar proporcionales al tipo de datos tratados, y al riesgo específico que tal tratamiento pudiera implicar. A ese fin será esencial realizar una evaluación general, entendiendo qué tipo de datos se recaban;con qué frecuencia; de qué modo se obtienen los mismos y cómo se documenta el consentimiento cuando ello sea requerido;cómo y dónde se almacenan; de qué manera se garantizan los derechos de los titulares; quiénes podrían tener acceso a los mismos y qué tipo de transferencias y/o cesiones podrían tener lugar, entre otros aspectos.
(2) Estandarización e implementación de políticas, procesos y procedimientos. La introducción de una Política de Privacidad será indispensable para servir de base al desarrollo del programa en su conjunto; sin embargo, es también prioritario traducir la misma en distintos procesos y procedimientos aplicables a cada instancia del tratamiento de datos. Es conveniente que dichos mecanismos incluyan, especialmente:
a. El desarrollo de modelos de recolección de consentimiento y avisos de privacidad.
b. La generación de cláusulas y/o modelos contractuales requeridos para aquellas terceras partes que pudieran estar involucradas en cualquier etapa del tratamiento.
c. Los procedimientos aplicables en materia de ejercicio de derechos de acceso, rectificación, cancelación y/o supresión de datos personales.
d. La designación de responsables y “dueños del proceso” dentro de la organización.
Asimismo, cuando se trate de una organización con presencia multinacional será recomendable realizar los esfuerzos necesarios para estandarizar los procesos en la mayor medida posible, sin dejar de atender las particularidades locales, a fin de simplificar la escalabilidad del asesoramiento y facilitar la toma de decisiones sobre bases homogéneas, aun en distintas jurisdicciones.
Es importante mencionar como buena práctica la incorporación de la Política de Privacidad dentro del Código de Conducta de la compañía.
(3) Ciberseguridad y establecimiento de mecanismos de respuesta ante incidentes. La tarea preventiva consistente en el establecimiento de procesos según lo visto anteriormente debe complementarse estrechamente con la implementación de medidas técnicas e informáticas que aseguren la integridad y seguridad de la información almacenada por la empresa, como así también con el diseño de procedimientos de respuesta ante incidentes.
(4) Educación y entrenamiento. La capacitación de las personas a cargo del cumplimiento del programa será sustancial a efectos de tornarlo verdaderamente efectivo. Ese entrenamiento no puede limitarse a comunicar y transmitir cuáles son las normas internas y mecanismos implementados, sino antes bien debe abordar la temática de manera más general, lo que tendrá relevancia a la hora de internalizar adecuadamente los distintos elementos del programa.
(5) Auditorías y controles. La generación de instancias de control, auditorías internas y/o externas y la eficiente designación de responsables a esos fines, permitirá no solamente medir la efectividad del programa e implementar las mejoras que se requieran, sino también cumplir con un importante elemento de la mencionada “responsabilidad proactiva”.
La adopción de un programa integral de privacidad en base a los fundamentos indicados anteriormente implicará adicionalmente un aumento en la eficiencia operacional y su consecuente ahorro de costos. Y ello así no sólo en virtud de su dimensión preventiva, que disminuirá sensiblemente la exposición ante eventuales sanciones, sino también porque en la medida que los datos se traten de forma consistente y respetando principios generales que sirvan de guía, el análisis técnico-legal de situaciones específicas se verá notoriamente favorecido y sus tiempos reducidos, al operar sobre procesos uniformes y establecidos de manera previa.
Consideraciones finales
Cumplimiento y Privacidad
Llegados a este punto, considero interesante trazar un paralelismo entre el actual estado de situación en materia de Privacidad y la situación que hace algunos años existía en el ámbito empresarial en relación a Cumplimiento o “Compliance”. Veamos:
- Muchas de las normas aplicables no son nuevas, pero su aplicación se ha revitalizado -incluyendo el aspecto sancionatorio.
- El tratamiento del tema en la agenda pública fue creciendo en forma paulatina pero constante, motivado en buena medida por los escándalos.
- Existen variados aspectos derivados de la aplicación extraterritorial de la ley, que obligan a adoptar una perspectiva global de cumplimiento.
En función de las consideraciones anteriores, puede observarse que la protección de datos personales se encuentra en un estado de desarrollo similar al que lucían las tendencias en Cumplimiento tiempo atrás, siendo razonable suponer que se encuentra marchando en similar dirección. Es interesante observar, en ese sentido, que las empresas que implementaron con éxito programas de cumplimiento que terminaron siendo referentes en sus industrias o mercados, y que hoy encabezan los rankings de integridad y transparencia, no fueron aquellas que se limitaron a establecer normas internas y eventualmente sancionar sus violaciones, sino aquellas que lograron generar una verdadera cultura empresarial en todos los niveles.
De igual modo, considero que las organizaciones que estarán al frente en materia de protección de datos, y que podrán aprovechar plenamente las ventajas competitivas que describiéramos anteriormente, serán aquellas que logren generar una cultura organizacional en la cual la privacidad de los datos sea tomada con seriedad. Esa cultura se traducirá en que los equipos comerciales tengan las herramientas necesarias para operar y tomar decisiones de forma consistente con las leyes aplicables y las políticas de la empresa, de modo tal que todos y cada uno de los empleados respete la privacidad de los datos y los traten con el mismo cuidado y respeto que el que exigirían para el tratamiento de su propia información.
En última instancia, considero que como abogados debemos intentar transmitir a nuestros clientes (sean internos o externos) el sentido último de las normas cuyo cumplimiento se exige, facilitando de ese modo su adopción e internalización con base en el sentido común. Así como “hacer negocios de la manera correcta” fue y es el leitmotiv de los programas de Cumplimiento empresariales, podríamos decir que “tratar los datos de la manera correcta” bien podría resumir, en pocas palabras, de qué hablamos cuando hablamos de Privacidad.
Conclusiones
En los puntos anteriores hemos revisado a grandes rasgos el estado de situación de la materia tanto a nivel regional como local, así como analizado las pautas tendientes a la implementación de una estrategia integral de privacidad como respuesta de las organizaciones a las exigencias actuales, no sólo desde el punto de vista normativo, sino también incorporando a la ecuación las expectativas de los titulares de los datos.
Estoy convencido que para ello no bastará con completar un checklist verificando el cumplimiento individual con cada uno de los requisitos de las normas aplicables. La situación y las tendencias en la materia exigen el abordaje del tema de manera integral, lo que habrá de traducirse en una política empresarial, pero, principalmente, en el fomento de una verdadera cultura organizacional que tienda a la protección de los derechos de los usuarios en materia de datos personales y que a su vez sirva de base a la referida política.
Estimo que ello sólo será posible en la medida que se adopte un enfoque distinto, que no considere el cumplimiento en materia de Privacidad como una carga, sino antes bien como una oportunidad. En ese contexto, el rol del abogado asesor de empresas será indispensable para facilitar el desarrollo de la mencionada cultura, a la vez que aportar soluciones legales innovadoras y efectivas, que permitan no sólo adaptarse a las nuevas tendencias, sino también anticiparse a ellas. De esta manera, estaremos colaborando en la existencia de mejores organizaciones, que lograrán negocios sustentables contando con la confianza de los usuarios y consumidores.
Citas
(*) Corporate Legal Counsel en 3M
[1] “Decisión de la Comisión Europea de 30 de junio de 2003 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección de los datos personales en Argentina”. Véase: https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32003D0490&from=ES
[2] “Ley de Protección de los Datos Personales en Argentina. Sugerencias y aportes recibidos en el proceso de reflexión sobre la necesidad de su reforma”, Agosto-Diciembre 2016. Véase: https://www.argentina.gob.ar/sites/default/files/documento_aportes_reforma_ley25326_0.pdf
[3] Última versión del Anteproyecto disponible al 16/07/2018: https://www.argentina.gob.ar/sites/default/files/anteproyecto_reforma_ley_proteccion_de_los_datos_personales_nueva_version.pdf
[4] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, Art. 5 Inc. 2. Véase: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32016R0679&from=ES
[5] Legislación comparada y referencias específicas: Argentina: Ley N° 25.326, Arts. 5, 12, 21 y ccds. Chile: Ley N° 19.628, Arts. 2, 4 y ccds. Colombia: Ley N° 1.581, Arts. 3, 4, 9, 26 y ccds.; Decreto 1377 de 2013, Art. 7. Costa Rica: Ley N° 8.968, Arts. 5, 14, 21 y ccds. México: Ley Federal de Protección de Datos Personales en Posesión de los Particulares, Arts. 8, 36 y ccds. Perú: Ley N° 29.733, Arts. 5, 13, 15, 34 y ccds.; Decreto Supremo N° 003-2013-JUS, Arts. 12, 25, 76 y ccds. Uruguay: Ley N° 18.331, Arts. 9, 23, 29 y ccds.
[6] V.gr., tanto el Reglamento (UE) 2016/679 (RGPD) como el Anteproyecto de reforma en Argentina no establecen obligatoriedad de registración de las bases de datos.
[7] Disposición 60 – E/2016 de la Dirección Nacional de Protección de Datos Personales. Véase:http://www.jus.gob.ar/media/3196918/disp_e2016_60.pdf
[8] “Directrices sobre protección de la privacidad y flujos transfronterizos de datos personales” (1980), Organización para la Cooperación y el Desarrollo Económicos - OCDE. Véase: https://www.oecd.org/sti/ieconomy/15590267.pdf
[9] “Estándares de Protección de Datos Personales para los Estados Iberoamericanos”, pág. 3. Véase: http://www.redipd.es/documentacion/common/Estandares_Esp_Con_logo_RIPD.pdf
Opinión
Diaz Bobillo, Vittone, Carassale, Richards & Goyenechea Abogados
opinión
ver todosPASBBA Abogados
Estudio Durrieu
Rocca Consulting
POSADAS