Por Agustín Allende, Director de la Comisión de Data Privacy & Ética Digital.
El día internacional de la protección de datos personales impulsa a realizar un balance sobre el avance o retroceso respecto a los acontecimientos relevantes asociados a los datos personales ocurridos en el último año.
A nivel internacional se consolida la tendencia regulatoria respecto a que cada país adopte un marco legal específico para la protección de los datos personales. En tal sentido la International Association of Privacy Professionals (IAPP) estima que más del 80% de la población mundial se encuentra protegida por una legislación específica referida a la protección de los datos personales.
En la Unión Europea las cuestiones vinculadas a los datos personales estuvieron íntimamente asociadas a la inteligencia artificial y a la compatibilidad del Reglamento General de Protección de Datos, con el flamante Reglamento de Inteligencia Artificial. En ese sentido hubo diversas acciones adoptadas por las autoridades de aplicación de los estados miembros destacándose el protagonismo del Garante per la protezioni dei dati personali de Italia en la adopción de medidas rápidas contra las nuevas amenazas para los datos personales.
Las transferencias internacionales de datos personales entre EEUU y la UE parecen haber encontrado cierta calma regulatoria con el Data Privacy Framework, dirigiéndose ahora los cuestionamientos a las transferencias realizadas hacia China.
Ha pasado otro año sin que Estados Unidos logre sancionar una ley federal que proteja la protección de datos personales en forma general sin acudir a legislaciones específicas sectoriales. Al respecto resulta interesante analizar las regulaciones específicas dictadas por la Securities and Exchange Commission de Estados Unidos (SEC) respecto a la obligación de los emisores de títulos valores que cotizan de informar sobre aspectos de ciberseguridad asociados al alcance de los incidentes padecidos y el nivel de riesgo que se presenta para la empresa.
A nivel regional se destacan las modificaciones legislativas incluidas en las legislaciones de protección de datos personales existentes tanto en Perú como en Chile. Otra cuestión sumamente relevante es la confirmación a los fines de la transferencia internacional de datos personales de la consideración como legislación adecuada en materia de protección de datos personales de Uruguay y Argentina por la Comisión Europea.
Tampoco se debe olvidar lo resuelto por la Corte Interamericana de Derechos Humanos en el caso “Miembros de la Corporación Colectivo de Abogados José Alvear Restrepo vs Colombia”, donde por primera vez el tribunal supranacional hace referencia a la autodeterminación informativa.
A nivel nacional, considerando lo que concierne a la protección de los datos personales en la actividad judicial, legislativa y del Poder Ejecutivo, así como la de la autoridad de aplicación, corresponde destacar las siguientes circunstancias.
En lo que respecta a la actividad judicial la Corte Suprema de Justicia de la Nación ha demorado un año más la decisión del caso “Torres Abad c/ Estado Nacional s/habeas data” cuando ya la Procuradora General de la Nación ha dado su opinión hace casi más de cuatro años. Tampoco ha habido ningún pronunciamiento judicial significativo en lo que respecta a la protección de datos personales.
Por su parte el Congreso Nacional sigue ignorando la necesidad de actualizar la Ley 25.326 que está próxima a cumplir un cuarto de siglo y sin embargo se distrae de los temas de base al presentar proyectos de ley que regulan la inteligencia artificial. Fruto de esta inactividad parlamentaria los proyectos de ley presentados de adaptación de protección de datos personales más consensuados con las organizaciones de la sociedad civil y academia están próximos a perder estado parlamentario.
La Ley 27.759 crea el registro nacional de datos genéticos vinculados con la Investigación Criminal que tiene dudosa legitimidad en virtud de posibles afectaciones del principio de inocencia y la recolección de datos genéticos de gran cantidad de sujetos alcanzados por la referida ley.
La Agencia de Acceso a la Información Pública fue premiada en el marco de la 46° Reunión Anual de la Asamblea Global de Privacidad por el Módulo de Protección de Datos Personales que elaboró junto a la Oficina Anticorrupción para el RITE en la categoría Responsabilidad Proactiva y Demostrada.
Además, se dictaron recomendaciones y guías sobre el uso responsable de la inteligencia artificial, protección de datos de niños y adolescentes en entornos digitales, políticas de privacidad y diseños engañosos.
Sin duda que también hay deudas pendientes primordialmente respecto al poder de disuasión efectivo del que carece la autoridad de aplicación para evitar que las organizaciones lucren con el valor económico generada por la violación sistemática de los datos personales de toda la ciudadanía. No obstante, se observa una incipiente tendencia a imponer la suspensión del empleo de la base de datos personales cuyo tratamiento era cuestionado por carecer de base legal hasta que el infractor cese en el tratamiento ilícito acreditando la implementación de nuevos formularios para el otorgamiento del consentimiento previo, libre e informado para el tratamiento de datos personales con finalidad de marketing directo.
Otro aspecto a mejorar por la Agencia de Acceso a la Información Pública es las pocas sanciones aplicadas por violaciones a la protección de datos personales que han llegado a la ínfima cantidad de 11 sanciones durante este último año sin contarse aquellas vinculadas a las violaciones del Registro No Llame. Resulta destacable que varias de las organizaciones sancionadas durante este año son del interior del país. Siendo también cuestionable la lentitud de los procedimientos sancionatorios y la nula vocación litigiosa de la Agencia de Acceso a la Información Pública (AAIP) para solicitar medidas cautelares ante flagrantes violaciones denunciadas como sucedió en los casos de Worldcoin, OpenAI y forma de entrenamiento de algoritmos con datos personales por el grupo Meta.
