24/9/19

Proteger los datos es tarea de todos

Publicado originalmente en diario Clarin -Argentina- el 24 de septiembre de 2019.

Juana es dueña de un hotel con vistas al lago Lacar. Hace tiempo advirtió un aumento del turismo extranjero, pero no de la ocupación de su hotel.

Un día una agencia multinacional de turismo le ofreció promocionar su hotel. Cuando aceptó la oferta, comenzaron las preguntas sobre la transferencia de los datos personales de sus huéspedes. Juana respondió que los datos llegarían de afuera y ella los almacenaría en su sistema. Le explicaron que no es tan sencillo: para transferirle datos su país debe tener garantías mínimas para proteger datos personales, sino se infringirían normas de la Unión Europea (UE). Pero Juana no se preocupó.

Sabe que Argentina, desde 2003, es considerado un país con legislación adecuada.Sin embargo, Juana no sabe que por las nuevas reglas de la UE vigentes desde 2018 se están revisando las condiciones para ser país adecuado ni que esas reglas podrían cambiar por el acuerdo entre el Mercosur y la UE.

Por suerte, Juana está bien asesorada y le explican que la transferencia internacional de datos personales desde y para Argentina puede garantizarse de distintas formas: por ejemplo, a través de un contrato entre la empresa local y la europea que prevea garantías adecuadas. Tras entender la regulación vigente, Juana avanza con el negocio y, en pocos meses, experimenta un marcado incremento en sus ganancias.

Esta historia no es real, pero podría serlo. Y podría aplicarse a distintos sectores de negocios que requieren la transferencia internacional de datos personales. En Argentina existe poco conocimiento -y poco respeto- de las reglas que rigen esta materia. Aun cuando la multa por no cumplir las reglas sea algo menor para el negocio, lo importante es que, si no se cumple con ciertos requisitos, el negocio podría caerse.

Para estar acorde con la legislación vigente, la transferencia de datos personales desde Argentina tiene que dar garantías mínimas. Si es hacia un país que provee garantías similares a las nuestras, la transferencia de datos es relativamente sencilla. Ese estatus de “país de legislación adecuada” lo brinda una resolución de la Agencia de Acceso a la Información Pública, la autoridad de protección de datos en Argentina.

¿Y si los datos van a un país que no está en la lista de la Agencia, la transferencia puede hacerse? Sí, pero habrá que asegurarse con un contrato entre las partes -u otros instrumentos- que se protegerán adecuadamente los datos transferidos al exterior de argentinos.¿Y qué ocurre cuando los datos entran en Argentina?

Cada país puede tener sus propias reglas. En el caso de la UE, existe el nuevo Reglamento General de Protección de Datos, cuyo objetivo es garantizar que los datos de los europeos que viajen afuera estén protegidos. También tienen una lista de países de legislación adecuada. Argentina está en la lista, pero la situación podría cambiar ya que está en curso una revisión – en el cual participamos activamente hace un año – para ver si nuestro país se adecúa con las nuevas normas.

Además, desde la Agencia se impulsó un proyecto de reforma para modernizar la legislación nacional sobre datos personales, que se encuentra en el Congreso desde septiembre de 2018 que espera su tratamiento.Globalmente, se imponen cada vez más las transferencias internacionales de datos personales para hacer negocios.

El Estado debe preocuparse de que ese tráfico ocurra de acuerdo con las reglas que nos protegen y, a su vez, beneficie el mundo de los negocios. Pero nosotros debemos ser más conscientes que proteger nuestros datos es proteger nuestro derecho fundamental a la privacidad y no deberíamos reclamarlo solo cuando nos roban nuestros datos o identidad.

Eduardo Bertoni

en Twitter @ebertoni. Eduardo Bertoni (Phd, Buenos Aires University) is currently the Representative of the Regional Office for South America of the Inter American Institute of Human Rights. He was the first Director of the Access to Public Information Agency (AAIP) wich is the Argentine Data Protection Authority. He was the founder and first Executive Director of the Center for Studies on Freedom of Expression and Access to Information (CELE) at Palermo University School of Law, Argentina. Before returning to Argentina in 2009, he was the Executive Director of the Due Process of Law Foundation (DPLF) until May, 2006. Previously, he was the Special Rapporteur for Freedom of Expression of the Inter-American Commission of Human Rights at the Organization of American States (2002-2005).

4/9/19

Avances y Logros Pendientes

Publicado originalmente en el diario La Nación -Argentina- el 2 de septiembre de 2019.

El acceso a la información pública y la protección de los datos personales son derechos fundamentales, porque así lo define la Constitución y por su estrecha relación con el sistema democrático. Pero los resultados de un estudio reciente que solicitamos desde la Agencia de Acceso a la Información Pública llaman la atención: existe una escasa difusión y un bajo ejercicio por parte de la ciudadanía de esos derechos. A pesar de los indudables avances, todavía queda mucho por hacer.
El estudio hecho en abril y junio arrojó que solo el 39% de la ciudadanía conoce el derecho de acceso a la información pública, y de ellos solo 2 de cada 3 lo han usado alguna vez. En protección de datos personales, solo el 34% conoce este derecho y un 22% sabe cómo hacer denuncias ante su vulneración. Lo positivo es que ambos derechos son considerados importantes por la amplia mayoría: casi el 90% en el caso de la protección de los datos personales y más del 83% en el acceso a la información pública.
La Agencia de Acceso a la Información Pública es una autoridad independiente que vela por el respeto de ambos derechos, creada en 2017. Es hoy una voz escuchada en el ámbito global, siendo parte de distintos foros regionales e internacionales. Trabajó para que nuestro país se convierta en Estado parte del Convenio 108 para la protección de las personas, único tratado internacional en materia de protección de datos personales. Como Estado parte se facilita la cooperación para investigar en casos de empresas que no se encuentran en la Argentina. Además, la Agencia impulsa un proyecto para actualizar la ley de protección de datos personales, que se encuentra en trámite en el Senado.
En sus pocos años en funciones, la Agencia hizo procesos de investigación en materia de posibles vulneraciones de los datos personales y ha intimado al Gobierno a proveer información pública. Hasta hace pocos años hubiese resultado insólito pensar que la Agencia sancionara a un importante proveedor de servicios de internet a nivel global, investigara e hiciera recomendaciones a organismos públicos en lo concerniente al tratamiento de datos personales o intimara a proveer información pública sin distinción de la jerarquía de los funcionarios.
No se puede ejercer plenamente un derecho que no se conoce. Por ello, la Agencia debe redoblar los esfuerzos para que eso suceda. Generar guías en formatos claros y accesibles, producir cartelería y folletería destinada a las mesas de entradas de los organismos públicos para que se difundan los derechos, diseñar campañas en redes sociales y una lista aún más larga son tareas iniciadas.
Todo este trabajo a nivel internacional y local tuvo y tiene en mira fortalecer el ejercicio de ambos derechos. Pero es claro que todo lo hecho todavía no alcanza. La Agencia de Acceso a la Información Pública próximamente cumplirá solo dos años desde su instalación. Mucho se ha hecho y mucho se está haciendo. Pero garantizar a la ciudadanía el ejercicio del derecho de acceso a la información tanto como llave para ejercer otros derechos como la salud o la educación; o perseguir los estándares más altos en materia de protección de datos para prevenir y reducir vulneraciones a la intimidad de las personas no se hace de la noche a la mañana. El trabajo diario, pero también las encuestas, dicen que hay mucho todavía por hacer para consolidar lo hecho y para seguir avanzando.