31/8/22

The pen and the camera are not enemies; neither are the uniforms

 AVAILABLE AT https://unesdoc.unesco.org/ark:/48223/pf0000381389_eng



29/8/22

Nota a la Agencia de Acceso a la Información Pública en Argentina sobre reforma a la ley de protección de datos personales

 Montevideo, 16 de agosto de 2022

 

Mg. Beatriz Anchorena

Directora de la Agencia de Acceso a la Información Pública

S./D.

 

De mi mayor consideración,

 

Tengo el agrado de dirigirme a Usted a fin de agradecer su cordial invitación para participar en el espacio de diálogo convocado desde la Agencia de Acceso a la Información Pública -AAIP-vinculado a la elaboración de un proyecto de reforma a la actual ley de protección de datos personales de la República Argentina.

 

Durante mi gestión como titular de la Agencia que ahora Usted dirige, iniciamos un proceso similar que duró varios meses y que luego de consultas abiertas a distintos actores interesados en la materia, terminó con un proyecto de ley que entiendo es parte del material de referencia para el actual proceso iniciado por la AAIP. 

 

A poco más de dos años de que aquél proyecto perdiera estado parlamentario, sigo considerando fundamental que la República Argentina cuente con una ley que siga los lineamientos que los cambios tecnológicos y normativos a nivel internacional se han producido en los últimos años. En ese sentido felicito a la Sra. Directora por continuar impulsando la actualización de la normativa.

 

Sin perjuicio de mi participación en la sesión virtual a la que he sido invitado, me permito hacerle llegar algunas observaciones generales que podrán ser ampliadas a su requerimiento y en caso de considerarlo necesario. Debido a mi involucramiento temporalmente cercano en un proceso similar, Usted podrá advertir que mis sugerencias y observaciones expresadas en esta nota están muy relacionadas con el proyecto de ley que mencionara más arriba. Por razones de brevedad sólo incluiré las sugerencias que entiendo son más relevantes, aunque otras incorporaciones de aquél proyecto son también parte de lo que creo debería tenerse en cuenta. 

 

El proyecto de ley debería seguir los lineamientos más modernos en materia de protección de datos. Entiendo que en la actualidad el eje principal de una normativa como la que se está trabajando debe ser la protección del sujeto -el titular de los datos- antes que el lugar donde esos datos se encuentran -las bases de datos-. Ello sería un cambio importante respecto de la actual ley en Argentina. Es por ello que sugiero que la obligación de registro de bases de datos tal como dispone la legislación vigente sea dejada de lado pasando a la incorporación del principio de responsabilidad demostrada, contemplando la obligación del responsable/encargado del tratamiento de adoptar las medidas necesarias a fin de cumplir con la ley y que le permitan demostrar a la autoridad de control su efectiva implementación. 

 

Una cuestión que considero fundamental es aclarar cuando se aplicará la ley argentina, sugiriendo que ello ocurra también en supuestos donde el responsable de tratar los datos no se encuentre en el territorio. Podrían incluirse los casos de aplicación extraterritorial cuando las actividades del tratamiento se encuentren relacionadas con la oferta de bienes o servicios a titulares de los datos en la Argentina, o con el seguimiento de sus actos, comportamientos o intereses; excepto cuando la ley del lugar donde se encuentra el responsable del tratamiento sea más favorable para la protección del titular de los datos.

 

Otro tema general que considero relevante es establecer que la aplicación de la ley no podrá afectar al tratamiento de datos que realicen los medios de comunicación en el ejercicio de la libertad de expresión. Específicamente, en relación al derecho de supresión, es importante a mi criterio aclarar que este derecho no procederá cuando el tratamiento de datos persiga un fin público o sea necesario para ejercer el derecho a la libertad de expresión e información.

 

En la ley vigente los distintos supuestos de tratamiento lícito de datos personales se encuentran redactados como excepciones al principio general, que es el consentimiento. Mi sugerencia es cambiar esa aproximación, clarificando las razones que justifican el tratamiento de datos personales al incorporar distintos supuestos como bases legales que permiten el tratamiento de los datos antes que exponerlas como excepciones al consentimiento. Ejemplos de esas bases legales que no requieren consentimiento están mencionados en el proyecto de 2018, pero sugiero prestar particular atención a dos: a) cuando el tratamiento de datos resulte necesario para salvaguardar el interés vital del titular de los datos o de terceros, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos del titular de los datos, y el titular de los datos esté física o jurídicamente incapacitado para dar su consentimiento; b) cuando el tratamiento de datos sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos del titular de los datos, en particular cuando el titular sea un niño, niña o adolescente.

 

En relación con las bases legales para realizar transferencias internacionales, que actualmente se encuentran dispersas entre la Ley N° 25.326, su Decreto Reglamentario y la Disposición Nº 60 – E/2016 (consentimiento del titular del datos, mecanismos de autorregulación vinculante y cláusulas contractuales que contengan mecanismos de protección de datos acordes con las disposiciones de la ley), sugiero que el proyecto clarifique la cuestión incorporando las interpretaciones que ya se han hecho en la AAIP -incluso lo relacionado con normas corporativas vinculantes- y que considero están acordes con los estándares internacionales.

 

Sin perjuicio que es importante ampliar las bases legales de tratamiento de datos personales y que no se establezca únicamente al consentimiento y luego las excepciones tal como parece inferirse de la normativa actual, sugiero también flexibilizar las normas relacionadas al otorgamiento del consentimiento, con el fin de estar más acorde a la era digital. En ese sentido podría considerarse que la forma de otorgar el consentimiento dependerá de las circunstancias, el tipo de dato personal y las expectativas razonables del titular de los datos.

 

Si bien creo que cualquier proyecto en esta materia debe mantener una neutralidad tecnológica, esto es, no hacer especial referencia a ninguna tecnología que hoy podría ser la más común pero que en poco tiempo puede quedar en desuso, sugiero que un tema al que debe prestarse atención es a los servicios de tratamiento de datos personales por medios tecnológicos tercerizados.

 

Puede establecerse que el responsable del tratamiento en esos casos debe realizar esfuerzos razonables para elegir un proveedor de servicios que garantice el cumplimiento de la ley, y que el responsable del tratamiento responderá ante el titular de los datos y ante la autoridad de control por incumplimientos del proveedor. Incluso, puede considerarse que el derecho de acceso implica, en contextos de decisiones basadas en tratamiento automatizado, que los titulares de los datos que hayan sido objeto de decisiones basadas en este tipo de tratamiento tengan el derecho a conocer sobre la lógica aplicada en la decisión, sin que ello afecte derechos intelectuales del responsable del tratamiento.

 

Finalmente, otros temas que he entiendo son relevantes para el proceso de elaboración de un proyecto de ley son:

 

-        Incorporar parámetros especiales para el tratamiento de datos de niñas, niños y adolescentes, resaltando la importancia que para ello tiene el respeto a la Convención sobre los Derechos del Niño.

-        Inclusión de la obligación de notificar incidentes de seguridad. 

-        Incorporar nuevos derechos: el derecho a oponerse a ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos y el derecho a la portabilidad de los datos personales.

-        Incorporar el principio de protección de datos desde el diseño y por defecto.

-        Incluir la obligación de realizar una evaluación de impacto cuando el responsable del tratamiento prevea realizar algún tipo de tratamiento de datos que por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación a los derechos de los titulares de los datos amparados en la ley. 

-        Crear la figura del delegado de protección de datos cuya designación podría ser obligatoria para algunos casos específicamente definidos en la ley: tratamiento de datos por parte de autoridades u organismos públicos, tratamiento de datos sensibles como parte de la actividad principal del responsable o encargado del tratamiento, y tratamiento de datos a gran escala.

-        Incluir la posibilidad de la autoridad de control de iniciar trámites de verificación de oficio.

-        Incluir la posibilidad de que la acción de habeas data sea iniciada en representación colectiva por la autoridad de control, siempre que su objeto se limite a la impugnación de tratamientos que conlleven violaciones generalizadas.

-        Aumentar el monto máximo de las multas y prever un mecanismo de actualización.

-        Incluir en el proyecto que la Agencia de Acceso a la Información Pública (AAIP), conforme los términos del artículo 19 de la Ley Nº 27.275, sustituido por el artículo 11 del Decreto Nº 746/17, es la autoridad de control de la ley de protección de datos personales, siendo la AAIP un ente autárquico con autonomía funcional en el ámbito de la Jefatura de Gabinete de Ministros.

Quedo atento para ampliar o aclarar cualquiera de las sugerencias aquí expuestas.

Saludo atentamente,


Eduardo Bertoni

9/5/22

Journalism and Whistleblowing

@ https://unesdoc.unesco.org/ark:/48223/pf0000381406

La lapicera y la cámara no son enemigos; los uniformes tampoco

 @ https://unesdoc.unesco.org/ark:/48223/pf0000381389



14/3/22

Guerra y Periodismo

Nota originalmente publicada en El Pais, Uruguay el 13 de marzo de 2022 

Lamentablemente la humanidad se enfrenta a una guerra cuyas consecuencias no podemos predecir. Al decir de Thomas Friedman, lo novedoso es que esta vez nos enteramos de muchas de las atrocidades del conflicto sin filtro y gracias a las redes sociales y al acceso a Internet. Sin embargo, ello no debe menospreciar el trabajo del periodismo de guerra para cubrir los acontecimientos allí donde suceden. 

 

Miles de periodistas se han trasladado, con valentía, al lugar donde los misiles y las balas les pasan demasiado cerca. Una de las tareas que más valoramos es, aún en esas condiciones, el levantamiento de testimonios de quienes intervienen, de una lado y del otro tanto como víctimas como victimarios.

 

Muchos de esos testimonios, a no dudarlo, son posibles porque el periodismo se transforma en la única fuente confiable para denunciar violaciones a los derechos humanos o al derecho internacional humanitario. Pero esa confianza se destruiría a la velocidad del rayo si los periodistas estuvieran obligados a dar las fuentes de información de lo que publican.

 

Sobre esta cuestión, hace 20 años, el Tribunal Penal Internacional para la Ex Yugoslavia, en la apelación de una decisión por la que se había decidido citar a un periodista corresponsal de guerra con el objeto de testificar por un artículo que había publicado.

 

Jonathan Randall se desempeñaba como corresponsal del Washington Post en Yugoslavia. El 11 de febrero de 1993, el Washington Post publicó un artículo de Randall que contenía declaraciones atribuidas a Radislav Brdjanin, un de los acusado por crímenes contra la humanidad y violaciones graves de las Convenciones de Ginebra de 1949 que involucraban la  deportación, traslado forzoso y apropiación de bienes  durante el conflicto armado en la Ex-Yugoslavia. 

 

El artículo mencionaba que Brdjanin había afirmado  que las autoridades serbias prestaron “demasiada atención a los derechos humanos” en un esfuerzo por complacer a los gobiernos europeos y que “[n]o tenemos que demostrarle nada más a Europa. Vamos a defender nuestras fronteras a toda costa. . . y donde sea que estén nuestras botas militares, esa es la situación”.  Además, el artículo sostenía  que Brdjanin dijo que estaba preparando leyes para expulsar a los no serbios de las viviendas del gobierno para dar cabida a los serbios. 

 

Randall, que no hablaba serbocroata, realizó la entrevista con la ayuda de otro periodista, que sí habla serbocroata.

 

Durante el juicio a Brdjanin, la fiscalía solicitó que se admitiera el articulo publicado en el diario como prueba, alegando que era relevante para establecer que la intencionalidad del acusado por los delitos imputados. 

 

La defensa se opuso por varios motivos, incluido que las declaraciones atribuidas a Brdjanin no se publicaron con precisión. La defensa consideró que, si se admitiera el artículo, buscarían interrogar Randall para cuestionar la exactitud de las citas mencionadas anteriormente. 

 

Así las cosas, la Fiscalía solicitó que la Sala de Primera Instancia del Tribunal citara a Randall y ello fue admitido. Posteriormente la Fiscalía informó a la Sala que el Randall se había negado a cumplir con la citación sobre la base de que se debía reconocer la protección de fuentes confidenciales por lo que la citación era improcedente  La Sala no aceptó ese argumento y ello fue apelado. 

 

Finalmente, la Sala de Apelaciones consideró que la citación a un corresponsal de guerra era inadmisible bajo argumentos vinculados con el riesgo que ocasionaba una citación para el trabajo de la prensa en situaciones de conflicto, especialmente porque las fuentes se podrían sentir limitadas a prestar testimonios si sabían que un periodista podía revelar su identidad ante un llamado de los tribunales. 

 

Este fundamento se extrapola a casos de periodistas que cubren otros asuntos que suceden en contextos de paz, pero la razón es siempre la misma: la protección del periodista para que no revela las fuentes es importante para dar confianza a la propia fuente para que pueda hablar sin temor.

 

Es por esa importancia que ya en el año 2000, la Comisión Interamericana de Derechos Humanos, al aprobar la Declaración de Principios sobre Libertad de Expresión, incluyó con claridad (art. 8) que todo comunicador social tiene derecho a la reserva de sus fuentes de información, apuntes y archivos personales y profesionales.

 

En resumen: existen estándares internacionales que impiden que los periodistas sean obligados a revelar sus fuentes. Cuando los operadores judiciales o las fuerzas de seguridad citan o ejercen actos para que los periodistas revelen sus fuentes de información, generan una tensión que no solo erosiona la relación entre la prensa y el sistema de justicia, sino que, de consolidarse esa mala práctica, se daña la posibilidad para que la población conozca cuestiones que de otra manera no hubieran podido ser conocidas. 


 


3/3/22

Confianza y Protección de Datos Personales

 Nota publicada en La Diaria, Uruguay, el 1 de marzo de 2022.

La pandemia provocada por el virus COVID 19 disparó muchas discusiones sobre los beneficios de la “economía digital” y de la mutación de nuestras sociedades a lo que podemos llamar “sociedades digitales”. En verdad, estas discusiones se encontraban latentes. La emergencia sanitaria sólo aceleró procesos que ya se anticipaban. A modo de ejemplo, el teletrabajo era posible antes de la pandemia pero se transformó en algo necesario, y, a medida que transcurrió el tiempo, ahora está cada vez más incorporado a nuestras vidas. Procesos similares se dieron en ámbitos como la “telemedicina”, o las reuniones para discutir temas globales que hoy pueden hacerse a bajo costo convocando a personas de distintos países.

 

Todas estas actividades involucran de una u otra manera la utilización o procesamiento de datos personales. Si tal utilización o procesamiento se realiza sin reglas que nos den confianza para proteger nuestra privacidad se corre el riesgo de perder las enormes oportunidades que hoy nos brinda la tecnología. 

 

La pregunta que debemos responder, y que encierra un gran desafío para las “sociedades digitales” y la continuidad de la “economía digital”, es si las reglas que hoy existen son, en primer lugar suficientes para generar confianza en los usuarios y que gracias a esa confianza, puedan seguir desarrollando y aceptando actividades habituales en estas “sociedades digitales”. Mi respuesta es lamentablemente dubitativa.

 

La principal causa por la que las reglas que hoy existen para proteger los datos personales no generan confianza radica en que esas reglas no son aceptadas globalmente. Y ello es un problema porque los datos personales se desplazan a través de las fronteras de los países de manera constante. Impedir ese flujo, impide cualquiera de las actividades de las sociedades digitales. 

 

Una razón importante para dañar la confianza se debe a que la falta de globalización de las reglas impide a las entidades estatales encargadas de la protección de los datos personales -en los casos que existen y son independientes- tengan la capacidad de hacer cumplir sus decisiones. En otras palabras: si una empresa es sancionada en un país por violación a las reglas de protección de datos, es posible que esa empresa eluda la sanción por razones de jurisdicción o de ley aplicable. La consecuencia es que los usuarios en las “sociedades digitales” no tienen confianza en las instituciones estatales que los deberían proteger.

 

Es cierto que hay intentos que nos pueden hacer sentir cautelosamente optimistas: el impulso de la Unión Europea de procesos de adecuación a sus propias reglas (el Reglamento General de Protección de Datos de la Unión Europea) o el impulso del Consejo de Europa para la globalización de la Convención para la Protección de las Personas en Materia de Tratamiento Automatizado de Datos (Convenio 108) y la de su reciente reforma (Convenio 108+), son solo ejemplos de ese cauteloso optimismo. 

 

Sin embargo, en América Latina, son muy pocos los países considerados con legislación adecuada (sólo Argentina y Uruguay) o que son parte del Convenio 108 (Argentina, México y Uruguay, que incluso es el primer país fuera del Consejo de Europa que ratificó la Convención 108 +). 

 

En consecuencia, uno de los desafíos más grandes es trabajar para que exista un tratado internacional, con reglas claras, que se puedan cumplir, y que, lo más relevante, que en la práctica se cumplan. Un acuerdo que traiga a la mesa de discusión a los Estados, a las empresas, a los académicos y a los usuarios. 

 

Así como la pandemia aceleró las prácticas del uso de la tecnología que se encontraban latentes, tal vez, también sea la pandemia un factor para acelerar ese acuerdo global.