Estado del arte de la protección de datos en Argentina

Daniel Monastersky Opinions

La ley 25.326 con más de 20 años de vigencia, convirtió a Argentina en un país pionero en la región en la protección de  datos personales. Tras un largo camino recorrido en virtud del desarrollo progresivo de la temática, de los nuevos estándares establecidos por las comunidades de países y a la luz de los desafíos que se presentan en la materia, se impone una reforma que actualice el contenido y alcance de la normativa en la tuición de los datos.

¿Es actualmente Argentina un país que brinda confianza en materia de protección de datos? Esta pregunta disparó una encuesta publicada en Twitter que al cabo de 48 hs contó con la participación de 511 usuarios de la comunidad que de forma contundente con el 92% de los votos se expidieron de forma negativa frente a esta importante pregunta. Los resultados que arroja esta breve encuesta  resultan representativos de la opinión pública que expresa la ciudadanía argentina en general y en la plataforma mencionada en particular.
En este sentido, en los últimos años Twitter se ha convertido en un escenario que reúne las opiniones de los ciudadanos comunes con la comunidad de expertos en la materia. Se ha establecido como un medio donde se han promovido distintas discusiones y se han denunciado, de esta forma “virtual” y “pública” pero “no institucionalizada”, graves incidentes de violaciones a los datos personales ocasionados por ataques e incidentes sufridos por importantes compañías y sectores estatales.

En los últimos meses de 2021 varios hechos vinculados con compromisos de datos en la administración pública tuvieron gran repercusión. En algunos de ellos la AAIP tras las denuncias públicas que se iniciaron mediante esta plataforma tomó intervención e inició actuaciones de oficio.
Resulta relevante destacar que durante el mes de octubre de 2021 se hizo pública una filtración de datos del Registro Nacional de las Personas (RENAPER). Los responsables del robo de la información difundieron datos de 60.000 ciudadanos argentinos y exigieron casi  17.000 dólares estadounidenses para no divulgar la base de datos de forma completa y publicaron distintos bloques de datos para demostrar la veracidad del acceso a los datos que habían conseguido mediante el ataque.

A raíz de este hecho que nunca fue públicamente reconocido por las autoridades nacionales, la AAIP inició una investigación de oficio que sigue  su curso y de la cual aún no se conocen los detalles.
A principios de 2022 el Tribunal Superior de Justicia de la provincia de Chaco fue víctima de un ransomware que afectó el normal funcionamiento del Poder Judicial de dicha provincia. Según las informaciones que circularon por los medios se supo que ante la incapacidad de identificar al autor de dicho delito la causa corre el riesgo de ser archivada.

Otro de los hechos que tuvieron repercusión a inicios del presente año fue el secuestro de archivos que afectó al Senado de la Nación Argentina donde los ciberdelincuentes también adoptaron un idéntico modo de operar solicitando un monto determinado de criptoactivos a cambio de restablecer el normal funcionamiento de la infraestructura. Aunque fue reconocido públicamente el ataque y se inició una denuncia ante la Unidad Fiscal Especializada en Ciberdelincuencia de Argentina (UFECI), se tranquilizó a la población prestando importancia al incidente y aseverando que la información secuestrada era información pública.

Estos son solo algunos ejemplos de casos que ilustran el protagonismo que tienen hoy en Argentina los datos personales y que exponen la vulnerabilidad de nuestros sistemas y la exposición en la que nuestra información personal se encuentra actualmente.
Lamentablemente, los organismos y empresas únicamente suelen tomar cartas en el asunto y aplican medidas a partir de la relevancia que adquieren los incidentes que se hacen públicos. Como respuesta a los ataques, los responsables llevan a cabo auditorías para conocer el estado actual de su capacidad de almacenar y proteger los datos que tratan y asignan, en estos momentos de crisis, un mayor presupuesto para tratar de no reincidir como víctimas o reducir la gravedad del impacto ante un nuevo ataque.

Frente a este escenario, está claro que no debemos permitir que nuestra información personal quede al arbitrio de la buena voluntad, de visión de la inversión presupuestaria dentro de una empresa, de la diligencia personal e institucional de cada persona física o jurídica que trate datos personales. La situación amerita una reforma que logre perseguir los objetivos que motivaron 20 años atrás la sanción de la ley: brindar una verdadera tutela a los datos personales, horizonte del que hoy nos encontramos nuevamente alejados.
Pero, más allá de que se necesita una reforma, ¿qué clase de reforma requerimos?
En el siguiente punto desarrollaré los puntos sobre los cuales considero relevante debatir y mejorar frente a una próxima legislación.

Independencia funcional y autarquía del Organismo de control

En Argentina la Dirección de Protección de datos personales se encuentra dentro de la Agencia de Información Pública, organismo dependiente de la Jefatura de Gabinete de Ministros de la Nación.  Anteriormente este organismo se encontraba bajo la órbita del Ministerio de Justicia y Derechos Humanos de la Nación.
Esta modificación ha marcado mucho el rumbo del organismo con respeto a la aplicación efectiva de multas, apercibimientos y realizaciones de investigaciones de oficio donde los sujetos denunciados eran dependencias públicas nacionales.

Sin embargo, aunque el diagrama institucional resulte relevante y necesario a la hora de garantizar una mayor independencia en las funciones del organismo de control, ello no se traduce en una garantía de investigaciones serias o de aplicación de sanciones a los organismos estatales.
En este sentido, puede observarse en caso español, en el que la Agencia Española de Protección de Datos (AEPD), una entidad administrativa independiente, durante el periodo 2019-2020 aplicó un total de 54 sanciones a la Administración Pública (solamente representa un 10% de las resoluciones con conclusión sancionadora) que tuvieron el leve carácter de apercibimientos en su totalidad.

La Agencia de Acceso a la Información Pública (AAIP) de mi país no está ajena a este accionar y las veces que aplicó una sanción a un organismo público la sanción tuvo este mismo carácter.
Una reforma superadora debe contemplar la independencia de funciones del Organismo de Control del Poder Ejecutivo y dotarlo de un presupuesto económico que fortalezca esta autonomía para que pueda llevar a cabo sus funciones con imparcialidad y en prescindencia de los costos políticos que puedan acarrear sus decisiones/sanciones a otras áreas del Estado.

Selección del funcionario responsable del Organismo de control

En Argentina la AAIP fue creada en 2017 y prevé la duración de cinco años en el cargo de un único responsable que debe ser designado tras un proceso de audiencia pública. El primer director que inauguró el organismo cesó sus funciones en el mes de diciembre de 2020 tras renunciar a su cargo y, desde ese momento, la agencia estuvo acéfala durante casi dos años.

Durante marzo del corriente año finalmente se designó como directora de la Agencia de Acceso a la Información Pública a la Sra. Beatriz de Anchorena tras un proceso de audiencia pública en el que representantes de la sociedad civil, académicos y congresistas manifestaron críticas sobre la falta de idoneidad de la candidata que había sido propuesta para ejercer el cargo.
Este proceso de designación generó una acefalía durante un lapso considerable que se tradujo en una inactividad por parte de la Agencia durante el plazo que permaneció sin responsable a cargo. Esta circunstancia que me inclina a sostener que debe preverse legislativamente un mecanismo de designación de autoridades ágil en el que se ponderen criterios objetivos de idoneidad que impidan futuras designaciones arbitrarias y que permitan garantizar a la sociedad que quien resulte elegido en el proceso gozará de reconocimiento en la materia y poseerá la formación académica necesaria para ejercer de forma eficiente su función pública.

Educación a la ciudadanía en la cultura de la protección de datos

Aunque durante los últimos años cobró relevancia en la opinión pública la importancia de los datos personales tras 22 años de vigencia de la Ley de Protección de Datos Personales aún queda mucho por hacer para que la cultura de la protección de estos sea parte del ADN del ciudadano.
El desconocimiento sobre la normativa y los derechos que establece impide que los ciudadanos puedan acceder a las herramientas que la ley brinda y, como hemos visto, los organismos de control hasta ahora no han demostrado demasiada proactividad en el control y en la aplicación de sanciones.

En este sentido, una reforma verdaderamente efectiva debe focalizarse en propiciar la cultura del dato. Los ciudadanos son los titulares de los derechos, serán quienes tomen decisiones sobre la gestión de sus datos y deben poseer información sobre las consecuencias que puede implicar cederlos a distintas empresas y organismos estatales a fin de prestar un consentimiento válido o solicitar ante un tratamiento indebido amparo al organismo de control.
Por estos motivos, ninguna ley que se sancione en ausencia de campañas de prevención y concientización públicas resultará verdaderamente efectiva si no logra un mayor grado de conocimiento y promueve la cultura del respeto por los datos personales.

Conclusión

Argentina se encuentra en una etapa de transición, con la obligación de profundizar los mecanismos tendientes a reforzar la normativa vigente en materia de protección de datos so pretexto de quedar aislada del mundo por brindar seguridad a los demás países y empresas del mundo para el tratamiento de los datos que intercambien.
Mientras las sanciones no se hagan efectivas por el órgano de control y los ciudadanos no sean formados en la cultura de la protección de los datos personales, el incentivo para el cumplimiento de la normativa por las empresas y la Administración Pública será muy escaso.

Thumbnail Image credits: @cavanimages on @EnvatoElements

Image

About the Author

Daniel Monastersky

Daniel Monastersky is a lawyer and a partner of Monastersky | Abogados specialised in computer crimes, identity theft, personal data protection and online reputation. He was a member of the Advisory Board of the Global Cybersecurity Forum (GFCE) and is now Director of the Center for Cybersecurity and Personal Data Protection Studies, of the Cybersecurity Management and Strategy Diploma, and of the Executive Program in Data Governance at Universidad del CEMA.

Share this Article