13/6/18

Europa protege sus datos personales

Publicado en el diario La Nación el 25 de mayo de 2018.
"No hay mal que por bien no venga", dice el refrán popular que se aplica a lo ocurrido recientemente con Facebook: la prensa publicó posibles vulneraciones a la privacidad por presuntos usos de datos personales sin contar con el consentimiento de los usuarios.
La noticia provocó dos efectos positivos: primero, hizo reflexionar sobre la importancia que tienen nuestros datos cuando su circulación transfronteriza es imparable; segundo, puso luz a un tema solo conocido por expertos: la entrada en vigor de una nueva regulación en Europa a partir de hoy que deberán acatar quienes trabajen con datos personales. Resulta entonces importante preguntarnos sobre su impacto y alcance territorial. En otras palabras, ¿se limitará su aplicación solo al viejo continente? La respuesta a este interrogante es no.
El Reglamento General de Protección de Datos (RGPD) fue adoptado por el Parlamento Europeo y el Consejo de Europa en 2016 y se decidió que entrara a regir dos años después. El RGPD derogó una directiva de 1995 que fue durante más de 20 años la legislación vigente en Europa. Los países del continente debieron reformar su legislación y las modificaciones dan a los titulares de datos mejores herramientas para proteger su privacidad. Por ejemplo, el consentimiento debe ser solicitado en forma inteligible y fácil, y debe ser sencillo retirarlo; se aumenta el alcance territorial, aplicándose a todas las empresas que procesan datos personales de quienes residen en la UE, independientemente de su ubicación, y se actualizan las sanciones, con multas que alcanzan hasta el 4% de la facturación global anual o 20 millones de euros para aquellas compañías que infrinjan el reglamento.
Este cambio en la normativa impacta directamente en las empresas privadas, que, para adecuarse al RGPD, iniciaron procesos de revisión y cambio de lo que conocemos como los "términos y condiciones de uso". Por ello desde hace varias semanas recibimos solicitudes de renovación de nuestro consentimiento para el uso de aplicaciones, ahora de acuerdo con el RGPD. Esto es una demostración clara del impacto fuera de Europa de la legislación nacida allí para regular la protección de datos personales.
Pero hay otra razón que lleva a igual conclusión: el reglamento dispone que el flujo de datos personales hacia terceros países podrá hacerse libremente cuando esos países cuenten con legislación que garantice, a juicio de la Comisión Europea, un nivel de protección adecuado. Ello trae varios beneficios, por ejemplo, para el comercio electrónico, donde el flujo de datos personales resulta imprescindible. La conclusión es evidente: fuera de Europa también será necesario revisar las legislaciones internas para obtener esa suerte de "certificación" de país con "legislación adecuada", aun sin que ello signifique que deba seguirse a rajatabla lo aprobado por el Parlamento Europeo.
Globalmente se investigó el caso Facebook, incluso en nuestro país: la Agencia de Acceso a la Información Pública (AAIP) indaga sobre posibles violaciones de la ley nacional de protección de datos personales. La nueva regulación europea tendrá un impacto global en cuestiones normativas y dará otras herramientas a los órganos de control. Conscientes de ello, las autoridades de protección de datos de los países iberoamericanos, en septiembre del año pasado, aprobaron los Estándares Iberoamericanos de Protección de Datos Personales. La elaboración de esos estándares fue un proceso colaborativo donde también participaron organizaciones internacionales como la OEA y la UE. 
En la Argentina el proceso de cambio normativo comenzó casi contemporáneamente a la aprobación del RGPD, en 2016. La entonces Dirección Nacional de Protección de Datos Personales elaboró un anteproyecto de reforma de la actual legislación, que nos rige desde 2000. Recientemente se dio un avance cualitativo importante, en consonancia con los estándares internacionales vigentes, al otorgar desde el año pasado el carácter de autoridad de aplicación en materia de protección de datos personales a un organismo autárquico y con autonomía funcional como es la AAIP.
La buena noticia es que desde allí seguimos impulsando la reforma legislativa que resulta necesaria para que nuestro país tenga en cuenta las transformaciones, a escala global, en materia de protección de datos personales.

10/8/16

Datos personales, al amparo del Estado*

La reciente discusión generada a partir de un convenio para el intercambio electrónico de información, suscripto entre la Anses y la Secretaría de Comunicación Pública, dependiente de la Jefatura de Gabinete, puso sobre la mesa un tema que en nuestro país estaba invisibilizado: la importancia del tratamiento adecuado de los datos personales como una herramienta para la protección de la privacidad. Esta discusión es auspiciosa, dado que puede contribuir al impostergable proceso de reflexión sobre las reformas necesarias en la legislación sobre protección de datos personales.

Este proceso ya había sido iniciado por la Dirección Nacional de Protección de Datos Personales (Dnpdp), del Ministerio de Justicia y Derechos Humanos, y se lleva adelante principalmente a partir de la plataforma del programa Justicia 2020, el espacio de participación institucional y ciudadana para la elaboración, implementación y evaluación de políticas públicas en el ámbito de la Justicia. Pero para llegar a buen puerto es importante destacar los enormes desafíos que tenemos para contar prontamente con una mejor legislación sobre datos personales.

El principal motivo del debate alrededor del convenio se centró en la legalidad para que dos órganos del Estado compartan datos personales. Este debate es importante, dado que alerta sobre los problemas que podría generar una cesión de datos si se recolectaran o usaran fuera de la competencia de los organismos. Sin embargo, es un debate insuficiente y no agota los desafíos que tiene la discusión sobre la modernización de la ley.

La Dnpdp expresó claramente que el acuerdo era acorde con la ley de datos personales vigente, sobre todo teniendo en cuenta que la normativa mencionada permite expresamente este tipo de cesión de datos entre organismos públicos, aun sin el consentimiento de su titular, cuando esa cesión se realice para el tratamiento de datos exclusivamente necesarios para el ejercicio de la competencia de esos organismos públicos.

La cuestión que parece haber pasado inadvertida en el debate es que estamos frente a un único recolector y tratante de los datos, el Estado, que lo hace a través de distintas oficinas. En otras palabras, hemos cedido la información al Estado para el cumplimiento de sus funciones y es por ello que la ley no ha previsto la necesidad de requerir nuestro consentimiento cuando ocurra la cesión.

Por supuesto, también son entendibles las dudas que pueden generarse por la utilización de esos datos que, insisto, ya están en manos del Estado. Pero son las mismas dudas que nos genera el posible mal uso de nuestros datos personales por parte de empresas privadas que también tratan una inmensa cantidad de datos personales y que podrían hacer un uso de ellos fuera de los términos y condiciones que en general se aprueban, pero que muy pocas veces se leen. En ambos casos, la violación de la ley sobreviene tanto si lo hace un órgano del Estado excediendo su finalidad y competencia como si lo hace una empresa privada excediendo el consentimiento preestablecido.

Los desafíos para pensar en una mejor y más moderna ley de datos personales no pueden terminar en esta discusión. Un tema clave será cómo legislar sobre la protección de datos personales sin que ello se enfrente o impida el desarrollo de la tecnología. Además deberemos ser cuidadosos para que una nueva ley de datos personales no genere conflictos con otros derechos fundamentales. Específicamente, tendremos que reflexionar sobre la reformulación de conceptos hoy vigentes y la incorporación de nuevas definiciones como por ejemplo "dato biométrico", "dato genético", "tratamiento transfronterizo de datos" y "consentimiento del interesado", entre otros.

Es importante pensar en un diseño institucional del organismo de control acorde con los estándares internacionales y la posibilidad de incluir criterios de lo que se conoce como "responsabilidad demostrada", como una obligación de reportar a la autoridad de aplicación sobre las medidas implementadas por una organización para cumplir con los requisitos de tratamiento de datos personales. La "privacidad desde el diseño" es otro enfoque que podría tenerse en cuenta en una nueva regulación, apuntando a que desde el origen mismo del diseño de un sistema, aplicación o dispositivo se contemple la protección de la privacidad.

La ley 25.326 fue sancionada en octubre de 2000 y reglamentada un año después. Resulta una obviedad destacar los cambios de la tecnología operados en los últimos 15 años, muchos de los cuales tienen impacto en la protección de los datos personales y las posibles vulneraciones al derecho a la privacidad. Asimismo, es importante considerar el nuevo contexto internacional, particularmente las regulaciones europeas recientemente aprobadas (Reglamento UE 2016/679) que entrarán en vigor en 2018. La oportunidad y necesidad de la reforma aparecen como indiscutibles, y las recientes discusiones, aunque enfocadas sólo en un aspecto, prometen un debate vibrante.

* Publicado originalmente en La Nación disponible en http://www.lanacion.com.ar/1924166-datos-personales-al-amparo-del-estado

3/6/16

La Piedra Angular*

* Reproduzco abajo nota de opinión escrita con Santiago Cantón y publicado en El Pais aquí. 
El histrionismo y la comicidad no lograrían ocultar la gravedad de lo actuado. Como ex Relatores de Libertad de Expresión de las Américas, sabíamos perfectamente la magnitud de la amenaza. Jorge Capitanich, Jefe de Gabinete de la Presidenta Cristina Fernandez de Kirchner, contrariado con lo expresado por el diario Clarín, rompió ante las cámaras de televisión un ejemplar del periódico, representando en menos de un minuto la lucha histórica y desigual de la prensa frente al inconmensurable poder del Estado.
Ambos fuimos testigos en América Latina de esos abusos. Ya fuera Fujimori en Perú o Chavez en Venezuela, la prensa molestaba. Pero desde el retorno a la democracia en nuestro país ningún gobierno había llegado a esos extremos. Nuestra preocupación estaba bien acompañada; la misma Relatoría de la OEA que ayudamos a forjar años atrás continuaba monitoreando los abusos autoritarios y, en el año 2015, Argentina, a juicio de la extensión del informe, estaba ubicada entre los peores países de la región en cuanto al respeto de la libertad de expresión. La necesidad de una nueva política pública en materia de libertad de expresión y de prensa era incuestionable.
El actual gobierno del presidente Mauricio Macri decidió impulsar ese cambio mediante, entre otras acciones, la reforma de la Ley de Servicios de Comunicación Audiovisual y la ley "Argentina Digital" que durante el kirchnerismo fueron usadas en forma parcial y partisana. La ley que se está gestando, debe, ante todo, ajustarse a los estándares de protección de la libertad de expresión y de prensa del sistema interamericano. Algunos de esos estándares son los siguientes:
Es fundamental que las frecuencias radioeléctricas se otorguen en base a "criterios democráticos" como establece la Declaración de Principios de Libertad de Expresión de la CIDH. Criterios de renovaciones automáticas u otorgamientos de licencias muy prolongados en el tiempo no son adecuados. Se deben incorporar criterios que vayan más allá de los meramente económicos. Inclusive debe tenerse en cuenta la asignación de licencias para quienes provean servicios de Internet (ISPs) para que ello en la práctica facilite el acceso a las tecnologías de información.
La ley debe ajustarse a los estándares de protección de la libertad de expresión y de prensa del sistema interamericano
Otra requisito esencial que debe contener una nueva ley es la pluralidad y diversidad de los contenidos audiovisuales. Es importante incorporar en la ley una idea adecuada de pluralismo que fomente la libertad de expresión y de prensa. Esto debe ir acompañado con regulación clara que implique autonomía de los medios públicos en cuanto a la emisión de contenidos respecto de los gobiernos. El modelo de la BBC es uno, entre los posibles.
Creemos que la ley tiene que aclarar si va a incluir Internet como servicio público o no. Con una regulación cuidadosa, la prestación de servicios de Internet comoservicio público puede ser incluida. Igual consideración respecto de la distribución de contenidos por cableoperadores. Finalmente, en relación con el control de la aplicación de la ley, es deseable que la autoridad de aplicación tenga, en la reglamentación pero también en la práctica, independencia y autarquía del Poder Ejecutivo.
Estos son algunos trazos de lo que debería incluir la nueva ley. La decisión de impulsar una nueva normativa es un decisión de política pública de todo gobierno. El rol de todos los que defendemos la libertad de expresión es debatir y aportar ideas para que la nueva ley contenga los principios y mecanismos de control modernos y adecuados para gozar de una libertad de expresión plural, diversa y sin limites arbitrarios en la ley o en su implementación y aplicación.
El Gobierno del Presidente Macri está avanzando por ese camino: el 1 de marzo, el Ministerio de Comunicaciones emitió la Resolución Nº 9 estableció que el anteproyecto de Ley de Marco regulatorio para las Telecomunicaciones y Servicios de Comunicación Audiovisual en la Argentina deberá contemplar una serie de cuestiones que están en consonancia con los estándares internacionales de derechos humanos recién expresados. Ello incluso llevó al Relator de la CIDH a que se pronunciara en una audiencia pública reconociendo al Gobierno actual por “atender las recomendaciones que consistentemente ha hecho la Relatoría” como ser el envío de la ley de acceso a la información recientemente aprobado en Diputados y “el cambio en el clima de la relación entre el gobierno y el periodismo”.
Un año después de haber roto el diario por televisión, ya fuera del poder y tal vez en la desesperada búsqueda de una buena prensa que le ayude a sostener una carrera política en vertiginoso descenso, el Jefe de Gabinete pidió disculpas por su ridículo y temerario acto. Pero ya era tarde, el daño estaba hecho y nuestra democracia había llegado a uno de los puntos mas bajos desde 1983 en la defensa de la libertad de expresión. El gobierno esta ante un desafío histórico: crear una ley que permita que la libertad de expresión sea “la piedra angular en la existencia misma de una sociedad democrática” como dijo la Corte Interamericana de DDHH.
La nueva ley es solo un paso. El intercambio fluido con periodistas mediante múltiples conferencias de prensa o la decisión de modificar la asignación de la pauta oficial son también decisiones que avanzan por el mismo camino. Al final de todo este proceso, lo importante es que las políticas implementadas sirvan para proteger a todos los ciudadanos de las arbitrariedades y autoritarismos de funcionarios pasajeros que usan el poder del Estado para silenciar y someter.
Santiago A. Canton y Eduardo Bertoni fueron Relatores de Libertad de Expresión de la Comisión Interamericana de Derechos Humanos. Actualmente son funcionarios del Gobierno de la Provincia de Buenos Aires y Nacional respectivamente.