Publicado originalmente en diario Clarin -Argentina- el 24 de septiembre de 2019.
Juana es dueña de un hotel con vistas al lago Lacar. Hace tiempo advirtió un aumento del turismo extranjero, pero no de la ocupación de su hotel.
Un día una agencia multinacional de turismo le ofreció promocionar su hotel. Cuando aceptó la oferta, comenzaron las preguntas sobre la transferencia de los datos personales de sus huéspedes. Juana respondió que los datos llegarían de afuera y ella los almacenaría en su sistema. Le explicaron que no es tan sencillo: para transferirle datos su país debe tener garantías mínimas para proteger datos personales, sino se infringirían normas de la Unión Europea (UE). Pero Juana no se preocupó.
Sabe que Argentina, desde 2003, es considerado un país con legislación adecuada.Sin embargo, Juana no sabe que por las nuevas reglas de la UE vigentes desde 2018 se están revisando las condiciones para ser país adecuado ni que esas reglas podrían cambiar por el acuerdo entre el Mercosur y la UE.
Por suerte, Juana está bien asesorada y le explican que la transferencia internacional de datos personales desde y para Argentina puede garantizarse de distintas formas: por ejemplo, a través de un contrato entre la empresa local y la europea que prevea garantías adecuadas. Tras entender la regulación vigente, Juana avanza con el negocio y, en pocos meses, experimenta un marcado incremento en sus ganancias.
Esta historia no es real, pero podría serlo. Y podría aplicarse a distintos sectores de negocios que requieren la transferencia internacional de datos personales. En Argentina existe poco conocimiento -y poco respeto- de las reglas que rigen esta materia. Aun cuando la multa por no cumplir las reglas sea algo menor para el negocio, lo importante es que, si no se cumple con ciertos requisitos, el negocio podría caerse.
Para estar acorde con la legislación vigente, la transferencia de datos personales desde Argentina tiene que dar garantías mínimas. Si es hacia un país que provee garantías similares a las nuestras, la transferencia de datos es relativamente sencilla. Ese estatus de “país de legislación adecuada” lo brinda una resolución de la Agencia de Acceso a la Información Pública, la autoridad de protección de datos en Argentina.
¿Y si los datos van a un país que no está en la lista de la Agencia, la transferencia puede hacerse? Sí, pero habrá que asegurarse con un contrato entre las partes -u otros instrumentos- que se protegerán adecuadamente los datos transferidos al exterior de argentinos.¿Y qué ocurre cuando los datos entran en Argentina?
Cada país puede tener sus propias reglas. En el caso de la UE, existe el nuevo Reglamento General de Protección de Datos, cuyo objetivo es garantizar que los datos de los europeos que viajen afuera estén protegidos. También tienen una lista de países de legislación adecuada. Argentina está en la lista, pero la situación podría cambiar ya que está en curso una revisión – en el cual participamos activamente hace un año – para ver si nuestro país se adecúa con las nuevas normas.
Además, desde la Agencia se impulsó un proyecto de reforma para modernizar la legislación nacional sobre datos personales, que se encuentra en el Congreso desde septiembre de 2018 que espera su tratamiento.Globalmente, se imponen cada vez más las transferencias internacionales de datos personales para hacer negocios.
El Estado debe preocuparse de que ese tráfico ocurra de acuerdo con las reglas que nos protegen y, a su vez, beneficie el mundo de los negocios. Pero nosotros debemos ser más conscientes que proteger nuestros datos es proteger nuestro derecho fundamental a la privacidad y no deberíamos reclamarlo solo cuando nos roban nuestros datos o identidad.