Dos décadas de protección de datos personales en Argentina, por Pablo A. Palazzi
1. Introducción
Esta obra que el lector tiene en sus manos es fruto del trabajo colaborativo de reconocidos especialistas argentinos en materia de protección de datos personales, así como de algunos pocos invitados extranjeros.
Estos autores generosamente han compartido sus conocimientos para armar una obra señera en la materia. La excusa original para realizar esta obra colectiva fue celebrar las dos décadas de vigencia de la ley argentina de protección de datos personales (Ley N.º 25.326) con un texto que recorriera alguno de los hitos más importantes de la protección de datos en el ámbito nacional y cómo se ubican dentro del contexto internacional.
En medio de la confección y del armado de esta obra colectiva apareció una pandemia global, pero eso no fue excusa y —salvo un ligero retraso— la obra se terminó a fines de 2020 y se imprimirá a comienzos de 2021 para lograr así dar testimonio de dos décadas de protección de datos personales en la República Argentina.
El resultado de este trabajo colaborativo es una obra actual y omnicomprensiva de toda la materia, con diversos puntos de vista y con visiones no sólo locales sino también internacionales que dan acabada cuenta de la complejidad que han adquirido hoy en día las reglas legales sobre el tratamiento de los datos personales.
2. El estado actual del derecho a la protección de datos personales
Es difícil describir el estado actual del derecho a la protección de los datos personales sólo analizando una norma local. Diversos factores influyen en la descripción del estado actual del régimen legal de protección de datos personales.
Primero, un texto que ya tiene dos décadas de vigencia (y más si tomamos en cuenta sus ideas base, que suman una década más) tuvo que dar respuesta a los constantes planteos tecnológicos que van ocurriendo (drones, decisiones mediante algoritmos, inteligencia artificial, bases de datos conectadas a Internet, empresas que recopilan datos personales de argentinos desde cualquier parte del mundo, reconocimiento facial, datos biométricos) y otros no tan nuevos (cookies, marketing, datos de menores). También se debe enfrentar a fenómenos inesperados como los ataques terroristas o una pandemia, que obligan a buscar excepciones generalmente no previstas en los textos legales.
La protección de datos personales también tiene que adaptarse y lograr dar tutela al consumidor, pero no ser un obstáculo a los modelos de negocios que existen hace décadas y que constantemente reaparecen y se reinventan.
Estos modelos de negocios tienen en común que están todos siempre basados en la recopilación y uso de datos personales. Tanto es así que hoy en día se acuñó la expresión capitalismo de la vigilancia para identificarlo. El capitalismo la vigilancia (en inglés siempre suena mejor: surveillance capitalism) es un concepto utilizado y popularizado desde el año 2014 por la profesora de Harvard Shoshana Zuboff y que se refiere a la mercantilización de los datos personales, es decir, a la transformación de la información personal en una mercancía para usarla con fines de lucro, para generar publicidad orientada, para mostrar contenidos determinados, para proyectar nuevos productos, personalizar experiencias, y un largo etcétera de funciones que todavía no se han inventado.
Al momento de la conceptualización académica ese concepto de la vigilancia capitalista ya había sido explotado reiteradamente por el sector privado, en concreto por los “gigantes tecnológicos”, para crear imperios de la información con bases de datos personales. La protección de datos surge como una herramienta que otorga un derecho de control del individuo frente a estas realidades, pero su origen hace ya medio siglo se remonta al temor de la recopilación de datos por parte del Estado. Ahora bien, convengamos en que este control por parte del individuo se quedó corto en la práctica y ello obligó a reforzar las protecciones en la generación mas reciente de normas de datos personales.
Segundo, frente a estas normas de privacidad aparecen otros derechos también fundamentales que se contraponen y requieren un balance importante y constante que a veces es muy difícil de realizar. Tenemos así cuestiones como el derecho al olvido, que requiere contraponer privacidad versus libertad de prensa y acceso a la información. Con la pandemia del covid 19 se contrapone el derecho a la privacidad y confidencialidad sobre los datos de salud al uso de esos datos por motivos de interés general y salud pública para controlar la pandemia. El uso de tecnologías de vigilancia como los drones, tanto estatales como de particulares, requiere conciliar la libertad de su empleo frente a los límites de privacidad de terceros. La vigilancia masiva y las herramientas procesales de acceso a datos para combatir el delito demandan conciliar la seguridad pública con la privacidad de todos. Las regulaciones sobre transferencia internacional de datos requieren conciliar el comercio internacional con la soberanía de datos. Toda legislación de protección de datos implica en muchos casos un límite a las transacciones sobre la información de las personas, regulación que en muchas jurisdicciones donde no hay un derecho fundamental sobre los datos es limitada por otros derechos como la libertad de empresa, de expresión o el derecho a comerciar datos.
Tercero, el aspecto geopolítico de los datos personales no puede ser ignorado y muchos artículos de esta obra tratan ese enfoque, que ayuda a comprender los resultados de algunas reformas, decisiones judiciales o acuerdos internacionales. Los ejemplos abundan, y basta con enumerar algunas: las batallas transatlánticas entre Europa y Estados Unidos por la regulación del flujo de datos transfronterizos, los casos Schrems I y II, el papel de Snowden, las prohibiciones impuestas por el ex presidente Trump a TikTok y WeChat en Estados Unidos, la posición del Reino Unido en materia de datos personales luego del Brexit, el rol de los países BRIC como una alternativa a la hegemonía de Estados Unidos en materia digital, las obligaciones de data localization fundadas en el erróneo concepto de soberanía de datos o soberanía estatal digital, la cooperación en materia del combate del ciberdelito y sus limitaciones legales basados en la privacidad, la Cloud Act y el acceso a datos de plataformas en otros países, las normas sobre terrorismo que afectan la privacidad de extranjeros, las cuestiones de ciberseguridad y los ciberataques no sólo a empresas sino también a países, así como las jurisdicciones que esponsorean el hacking como una forma de ciberguerra continua. Todos estos conflictos involucran en buena medida la aplicación extraterritorial de normas sobre datos personales.
Cuarto, el efecto del Reglamento Europeo de Protección de datos (RGPD) se viene haciendo sentir hace ya más de dos años en todo el mundo, y también en la región latinoamericana, llegando incluso a la Costa Oeste de Estados Unidos (California), con la sanción de la CCPA. Además de California, China es otra jurisdicción que se ha sumado a la ola normativa de privacidad. En mayo de 2020 entró en vigencia un nuevo Código Civil para China, que contiene tanto las típicas normas del derecho a la privacidad que uno encuentra en los códigos de derecho privado (y otros derechos personalísimos) como también normas de protección de datos personales con sabor europeo.
Todo esto lleva a una conclusión obvia: el RGPD se ha transformado en el estándar de facto a escala mundial, y por lo tanto constituye una forma de nivelar para arriba la protección de datos. Los países deberían partir de esta base para legislar, a los fines de evitar diferencias sustanciales que sean obstáculos al libre flujo de datos personales.
En el plano internacional, el Convenio 108 y su protocolo adicional, junto con el Convenio 108+, se expandieron por toda América Latina y están teniendo otro importante efecto armonizador.
En América Latina algunos países han adoptado leyes modernas inspiradas en el RGPD, como el caso de Brasil; otros, como la Argentina y Chile, han elaborado proyectos legislativos modernos fuertemente inspirados en la nueva norma europea. Muchos otros han ido adaptando normas reglamentarias que de a poco van introduciendo los nuevos elementos europeos con regulaciones parciales, como es el caso de Uruguay y la Argentina.
Como quinto aspecto, cabe resaltar la aparición de nuevos actores. Los temas de privacidad ya no sólo se aplican a bases de datos de las industrias clásicas (marketing, informes comerciales, etcétera) sino que dominan o tienen una fuerte injerencia en la agenda de la regulación de Internet, del comercio internacional, de la libertad de expresión, del open banking en el mundo fintech, de la inteligencia artificial y la gobernanza algorítmica y de la transparencia del Estado. El nivel de respeto a la privacidad determina que una sociedad pueda ser catalogada como dictadura o como democracia (aunque hay que admitir que todos, incluso los más democráticos, caen en el pecado de espionaje bajo la excusa de amparar a sus ciudadanos).
Los temas de regulación de datos personales son tan centrales que numerosos nuevos actores se quieren sentar a decir algo en la mesa de la privacidad.
En el ámbito internacional, en 2016, en las Naciones Unidas se creó el puesto de relator especial de la ONU sobre el derecho a la privacidad . Este nuevo cargo internacional se suma a las agencias regulatorias locales y a las europeas (el WP29, ahora EDPB junto con EDPS), que se reúnen en la Global Privacy Assembly y en la región en la Red Iberoamericana de Protección de Datos Personales .
Las empresas más importantes del mundo también cuentan con un encargado de privacidad o DPO (incluso, aunque la ley no lo requiera localmente, casi todas ya lo han nombrado hace años). Este nuevo actor, el DPO, está destinado a jugar un papel cada vez más importante en las organizaciones internacionales, privadas y estatales. El rol del DPO es importante para evangelizar dentro de la organización. Sin alguien que cumpla este rol, las organizaciones van a seguir viendo las obligaciones sobre datos personales como un gasto y un costo, y no como una ventaja. Se forma así un círculo vicioso, porque las organizaciones que no adoptan medidas de seguridad ni protocolos internos sobre privacidad terminan siendo descuidadas (negligentes, para usar un término legal) con los datos personales, lo que acaba lesionando derechos de sus clientes, usuarios o partners. Los incidentes de seguridad afectan también la reputación comercial de la empresa y el valor de las que cotizan en bolsa. En el ámbito estatal también se comenzó la sana práctica de designar encargados de datos personales o privacidad.
Para terminar con el listado de nuevos actores, las organizaciones de la sociedad civil latinoamericanas han comenzado hace unos años a involucrarse en este tema de protección de datos (cuando antes se concentraban en otros derechos más tradicionales, como la libertad de expresión, la igualdad, o los derechos sociales). Esto debe ser bienvenido porque durante mucho tiempo la privacidad y los datos personales estuvieron ausentes en la agenda de estas organizaciones regionales (por el contrario la EFF, la ACLU, EPIC, CDT o Privacy International llevan en algunos casos treinta años de lucha). Recuerdo que en muchas reuniones del board international de Privacy International, del cual formé parte muchos años, este debate era un tema recurrente y finalmente terminó siendo una realidad. La presencia de estar organizaciones trae más presión y control al Estado para respetar adecuadamente este derecho. Por otra parte, como el tema se puso de moda, esto ha provocado incluso cierto recelo y competencia entre las diferentes ONG por estar en el centro de la escena, dominar la agenda y marcar el terreno.
También aparecen cursos, posgrados, diplomados y másters. Esto es natural consecuencia de que, como requisito para ser DPO, varias legislaciones exigen comprobación de conocimientos. Esto generó además obras jurídicas sobre la materia y profesores especializados. Nelson Remolina Angarita, reconocido experto colombiano en protección de datos, dicta su curso sobre estos temas desde el año 2001 en la Universidad de los Andes (Bogotá, Colombia). Renato Jijena Leiva, experto chileno de datos, dicta un curso similar de Derecho Informático con alto contenido de datos personales desde 1995 en la Universidad Católica de Valparaíso (en 1992, siete años antes de la sanción de la ley chilena de datos personales, ya había escrito una obra sobre la materia). El profesor brasileño Danilo Doneda dicta un curso de datos personales en la Universidad de Río de Janeiro y en la Fundación Getulio Vargas (FGV), y es autor de una obra sobre datos personales publicada una década antes que la LGPD viera la luz. Además, Danilo fue visiting scholar en la agencia italiana de datos personales y estudió junto con el profesor Stefano Rodotà. Por mi parte, el curso de protección de datos personales que organicé en la Universidad de San Andrés lleva una década. Además, en nuestra universidad el tema de los datos personales se enseña tanto en grado como en posgrado. En la Argentina, el resto de las universidades también ofrecen cursos de grado o posgrado sobre datos personales.
Finalmente, con todo este desarrollo normativo las empresas han comenzado a prestar más atención a las leyes de datos personales. Se están dando cuenta de que invertir en cuestiones de privacidad no implica un gasto, sino que, por el contrario, significa una inversión que rinde sus réditos. Un informe reciente de Cisco titulado “De la privacidad a la ganancia: cómo lograr retornos positivos de las inversiones en privacidad. Estudio de parámetros de privacidad de datos de Cisco de 2020” da cuenta de esta tendencia .
3. Dos décadas de protección de datos en la Argentina
El 4 de octubre del año 2000 el Congreso de la Nación sancionó la Ley N.º 25.326 de Protección de Datos Personales. Esta ley fue publicada en el Boletín Oficial del 2 de noviembre de 2000. El 2 de noviembre de 2020 se cumplieron dos décadas de vigencia de esa ley argentina, pionera en la región. A esa fecha, sólo Chile tenía una ley de datos personales vigente. Después de su sanción y de que la Argentina fue declarada país adecuado, siguió la aprobación de leyes de similar tenor en Uruguay, Perú, Colombia, México y Brasil, entre muchas otras.
Por otra parte, en estas dos décadas la protección de datos ha evolucionado mucho. Ya no se trata de una norma extraña sino que, a la luz de ella, se han dictado numerosas reglamentaciones que regulan todo tipo de cuestiones como video-vigilancia, drones, apps, marketing, informes comerciales y bases de datos estatales. Una simple consulta en InfoLeg arroja como resultado cerca de 110 normas de diverso rango legal que referencian a la Ley N.º 25.326. Numerosa jurisprudencia ha moldeado la interpretación de la ley y la ha transformado en una garantía fundamental para la defensa de los datos personales en la sociedad de la información.
Durante estas dos décadas, el gobierno creó primero la Dirección Nacional de Protección de Datos Personales (DNPDP) dentro del Ministerio de Justicia y luego la transfirió a la Agencia de Acceso a la Información Pública (AAIP, organismo de aplicación de la Ley de acceso a la Información Pública). Cuando la DNPDP pasó a formar parte de la AAIP, la Argentina consolidó una autoridad independiente de datos personales. Había sido declarada como país adecuado y uno de los puntos que la Comisión Europea había señalado era la falta de independencia de la agencia por depender de un ministerio y no tener autonomía. Con esto, la Argentina cumple un requisito importante del modelo europeo, que es la independencia de las autoridades de datos personales.
En estas dos décadas, la DNPDP primero y luego su sucesora, la AAIP, adoptaron numerosas resoluciones, impusieron varias sanciones e iniciaron auditorías y actuaciones contra empresas. En estos veinte años, el derecho a la protección de datos evolucionó considerablemente.
En el plano internacional, la Argentina también hizo buena letra. El 15 de diciembre de 2017, por medio la Ley N.º 27.411, la República Argentina adhirió a La Convención de Budapest sobre el Ciberdelito. El 2 de enero de 2019, aprobó el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal (Convenio 108), junto con su protocolo adicional, por medio de la Ley N.º 27.483 y, en julio de 2020, tuvo media sanción el denominado Convenio 108+.
En el plano internacional, a lo largo de estas dos décadas sucedieron muchos cambios tecnológicos, lo que provocó que las normas europeas fueran modificadas en 2016, y así entró en vigencia un nuevo reglamento que, como ya señalamos, provocó otra intensa ola de reformas. Leyes como la brasileña, aprobada en 2018 y en vigencia desde agosto de 2020 (con entrada en vigencia de su régimen sancionatorio para 2021), y la CCPA de California (en vigencia desde 2020) y ahora la ley de Virginia marcaron un nuevo hito en la expansión de las ideas europeas de protección de datos personales. El Derecho argentino intenta adaptarse a estas tendencias, y ya se han discutido diversos proyectos de leyes inspirados en ellas.
4. Las novedades de las últimos dos décadas contadas a través de esta obra y sus autores
Esta obra colectiva busca brindar testimonio de todo lo ocurrido a lo largo de estas dos décadas de protección de datos a través de artículos de especialistas y personas involucradas en el día a día en este campo, en la Argentina. Se incluyen artículos que analizan algún principio general o instituto de la protección de datos (como el consentimiento, el interés legítimo, las transferencias internacionales o la portabilidad) y comentarios a casos concretos nacionales o extranjeros que han marcados hitos en la historia de la protección de datos, como es el caso “Schrems II”.
La obra está dividida en 7 capítulos —distribuidos en dos tomos— que contienen un total de 31 artículos escritos por 28 autores.
El primer capítulo comienza con un comentario de Eduardo Bertoni, quien fue director de la AAIP hasta fines de 2020. Bertoni escribió una nota donde explica por qué la Ley N.º 25.326 nació anticuada —concordamos ampliamente con su visión— y relata los avances que se lograron con la independencia de la agencia local, y a escala internacional con la aprobación de varios convenios, así como las últimas normas importantes aprobadas por la agencia, lo que sirve como una suerte de balance de gestión.
El profesor Oscar R. Puccinelli es el autor de un artículo titulado “La Ley N.º 25.326 de cara a su reforma integral: el proyecto elaborado en el marco del Programa Justicia 2020”, en el que se comenta el proyecto de reforma que, de haber sido tratado por el Congreso de la Nación, habría actualizado nuestra ley de datos personales al estándar del RGPD europeo.
Sigue una nota del profesor brasileño Danilo Doneda sobre el reconocimiento del derecho fundamental a la protección de los datos personales en la jurisprudencia del Tribunal Federal de Brasil. Se trata del comentario a un reciente fallo de ese país sobre la tutela de los datos sobre geolocalización durante la pandemia del covid 19. El caso sirve para demostrar cómo los tribunales brasileños, sin ley vigente en ese momento, consideraron a la protección de datos personales como un derecho fundamental.
Luego hay una nota escrita por María Julia Giorgelli y Javier Raimo sobre las propuestas para la reforma de la Ley de Protección de Datos de la Ciudad de Buenos Aires N.º 1.845 —de la cual participe en su redacción— y la influencia del RGPD europeo. Ambos autores trabajan en la agencia porteña de datos personales. La nota contiene un anexo con el proyecto de ley presentado en la Legislatura. Su simple lectura evidencia el influjo europeo.
Lisandro Frene realiza un balance sobre las dos décadas de vigencia de la Ley N.º 25.326 y cuál fue el resultado en diversos aspectos de su aplicación.
Son dos los artículos que abordan la extraterritorialidad de las leyes de protección de datos personales, tema siempre actual y en constante evolución. Mariano Peruzzotti escribe sobre la extraterritorialidad del RGPD y sus efectos en la Argentina. Este autor comenta el alcance territorial de la Ley de Protección de Datos Personales a través de una interpretación jurisprudencial de la ley actual. Por su parte, Lucía López Laxague analiza la extraterritorialidad del RGPD europeo y la obligación de nombramiento de un DPO. La nota de esta autora fue su tesina en la Maestría de Derecho Empresarial de la Universidad de San Andrés.
Otra nota de Lisandro Frene, , repasa críticamente las novedades de los últimos veinte años con relación a la actividad de la agencia argentina de datos personales y su funcionamiento y enforcement.
Finalmente, el profesor Oscar Puccinelli escribe además sobre el impacto del RGPD europeo y de los “estándares” de la Red Iberoamericana de Protección de Datos en las recientes reformas, proyectos de reformas y nuevas leyes de protección de datos en Latinoamérica.
El segundo capítulo de esta obra contiene artículos sobre los principios generales de las leyes de protección de datos personales. Agustín Allende Larreta escribe sobre el principio de finalidad en el tratamiento de datos personales. Por su parte, Andrés Chomczyk analiza la evolución del deber de información en la Ley Argentina de Protección de Datos Personales y en los estándares internacionales. Respecto al consentimiento, Diego Fernández analiza el consentimiento de los menores de edad para el tratamiento de sus datos personales. En otro artículo, Agustín Allende Larreta aborda el tema de la portabilidad de los datos personales. Para finalizar, una nota muy práctica de Diego Fernández y Manuela Adrogué analiza el tratamiento de datos sensibles en la legislación y la jurisprudencia argentinas.
El tercer capítulo aborda los derechos y las obligaciones. José Alejandro Bermúdez Durana, ex comisionado de Datos Personales de Colombia, explica el principio de responsabilidad proactiva o accountability en las legislaciones colombianas y su origen en los estándares internacionales. Una nota de Pablo Segura analiza la importancia del DPO en las organizaciones. Una nota de mi autoría pone el foco en el rol del DPO y su interfaz con el régimen de compliance. El texto contiene dos anexos con las normas de Argentina y Uruguay que requieren nombrar un DPO en ciertos casos. Junto con Andrés Chomczyk escribimos sobre ciberseguridad, incidentes de seguridad y data breach en América Latina. Aquí cierra el primer tomo de esta obra.
El segundo tomo abre con el cuarto capítulo, que lo integra el siempre actual tema de las transferencias internacionales de datos personales. Mariano Peruzzotti, desde otro artículo, hace un repaso de la regulación argentina actual a la luz del Derecho Comparado. El caso “Schrems II” es comentado por Esteban Ruiz Martínez y por Mikel Recuero Linares.
El quinto capítulo trata sobre la protección de los datos personales en Internet. Los temas que aquí se tratan son el derecho de supresión en redes sociales —analizado por Lucia Suyai Mendiberri—, el problema del ejercicio de los derechos de datos personales en Internet —por Esteban Ruiz Martínez— y la aplicación del caso “Belén Rodríguez” a la protección de datos —por quien suscribe—.
El sexto capítulo analiza los tratamientos de datos sectoriales. Se incluyen notas sobre datos de salud y su tratamiento por farmacéuticas (escrita conjuntamente con Franco Rizzo Jurado), sobre telemedicina y datos del paciente (por Ambrosio Nougues), sobre datos electorales (escrita por Lisandro Frene en coautoría con Damián Navarro), sobre los sistemas de videovigilancia pública (por Hugo Vaninetti) y sobre captación de datos personales por medio de drones (por Juan Cruz González Allonca, quien fue director de la Dirección Nacional de Datos Personales e impulsor durante su cargo de la norma sobre drones que él mismo comenta).
El séptimo capítulo está dedicado a los datos personales y su relación con el proceso penal y el Derecho Penal. De nuevo, no es frecuente la interfaz entre ambas ramas del Derecho, y el tratamiento de este tema en la doctrina argentina desde la óptica de los datos personales era escaso, por no decir nulo. Por eso nos pareció interesante tratar expresamente varios temas. Hernán Blanco aborda el tema del impacto que la investigación penal tiene sobre la protección de los datos personales de los ciudadanos. Otra nota trata acerca de la transferencia internacional de datos personales en materia penal y el impacto de la Cloud Act de Estados Unidos. Ese trabajo, escrito por las especialistas en delitos informáticos Daniela Dupuy y Mariana Kiefer, hace un aporta muy actual porque justamente este tema se está debatiendo en el Council of Europe a raíz de la modernización del Convenio de Budapest. Finalmente, el uso de técnicas de OSINT (mal llamado “ciberpatrullaje”) y los datos personales que genera esa actividad es comentado por Marcelo Temperini y Maximiliano Macedo.
La profundidad de todas estas notas demuestra que en la Argentina las dos décadas de protección de datos no transcurrieron en vano. Se han formado numerosos especialistas a la luz de la Ley N.º 25.326 y se ha creado una sólida comunidad de practitioners y académicos.
Finalmente, agradezco el apoyo económico del CETYS y de Derecho UDESA y las gestiones de María Vazquez para la impresión de esta obra.
5. Conclusiones
El entusiasmo que mostraron todos los autores al concebir esta obra, realizada en su mayor parte durante la pandemia, plantea la posibilidad de seguir desarrollando con más frecuencia este tipo de compilaciones, dado que los temas son tan amplios y diversos que es imposible que sean cubiertos por un solo autor. Por este motivo, invitamos a todos aquellos interesados en contribuir al desarrollo de los datos personales en la región a enviarnos contribuciones de actualidad para seguir adelante con esta obra mediante tomos adicionales.
PABLO A. PALAZZI
Profesor Derecho UDESA
Director del CETYS, UDESA
ppalazzi@udesa.edu.ar
Buenos Aires, diciembre de 2020
