iProfesional

Datos personales: la futura ley obligará a informar los ataques informáticos

La Unión Europea activará en breve su nueva regulación de datos personales. Argentina tendrá que retomar la discusión de su nueva norma para estar a tono
11/05/2018 - 06:10hs
Datos personales: la futura ley obligará a informar los ataques informáticos

Los ataques informáticos en sus diversas formas son cosa de todos los días. Cuando en los países europeos se produce un incidente informático se debe informar a la población. En la Argentina no, y si nadie se entera, mejor. Ese aspecto se modificará cuando avance la nueva ley de protección de datos personales que, por ahora un poco dormida en el seno del Poder Ejecutivo, podría tener nuevo impulso a partir de los cambios que la Unión Europea aplicará en esta materia a partir del próximo 25 de mayo.

El día que en estas pampas se celebre un nuevo aniversario del Primer Gobierno patrio, en el Viejo Continente comenzará a regir la nueva directiva de protección de datos personales, conocida con la sigla GDPR, en inglés. Y su implementación tendrá impacto en la Argentina. Habrá que ponerse a trabajar rápidamente para que el país no pierda su condición de "país adecuado" a la legislación europea.

Y una de las maneras en que esa condición no se pierda es que la Argentina avance con la nueva ley de protección de datos personales, que actualice la vigente 25.236 y cuyo borrador contempla, entre otras cosas, que se refuercen los derechos de los dueños de los datos en distintos casos, por ejemplo, cuando se produce un incidente de seguridad informática.

Así lo hizo saber a iProfesional, Eduardo Bertoni, director de la Agencia de Acceso a la Información Pública que remplazó a la antigua dirección del mismo nombre, quien sostuvo que se trabaja en la modificación de la norma desde 2016, en el marco del programa Justicia 2020.

"La aproximación de este anteproyecto y las modificaciones que siguen las dinámicas modernas no apuntan tanto a proteger las bases de datos como a proteger los datos y al titular. Lo que se pretende es que se refuercen los derechos de los titulares en cosas como la obligatoriedad de los responsables de bases de datos de informar cuando hay un incidente de seguridad, que no existe en la ley actual. Hoy hay un hackeo a un banco y nadie lo sabe. Eso no existe en la ley actual", aseguró Bertoni respecto del texto que está en el Ejecutivo.

Un ejemplo de esta situación ocurrió hace un año, cuando el gusano WannaCry efectuó un ataque a diversas empresas europeas aprovechando una vulnerabilidad de Windows. Cuando se detectó el incidente, varias de las compañías afectadas, como el BBVA y

Telefónica, entre otras, enviaron alertas a sus filiales y a sus clientes mientras, en paralelo, implementaron los protocolos de seguridad para evitar mayores daños. Esa noticia llegó a la Argentina por esa razón pero no por una obligación local.

Ahora, esto cambiará drásticamente si avanza el texto como se pensó en su primera etapa. Aspecto que es valorado por los expertos tanto desde el punto de vista técnico como legal.

La línea europea

La futura ley buscará parecerse más a la normativa europea, aseveró Bertoni. "Hay mucho que seguir de la nueva regulación europea, por caso, que quienes manejan los tratamientos de datos, sean masivos, sensibles o lo vinculado con big data, tengan la obligación de, antes de generar el tratamiento de datos, hacer un estudio de cuál va ser su impacto negativo".

Cada vez que se contesta una encuesta on line para participar de un concurso o ganar puntos para canjear por premios, se están dejando datos personales. Lo mismo cuando el Gobierno porteño, vía BAElige, pide a los ciudadanos que suban propuestas o que voten por el nombre del túnel que inaugurará en breve. También cuando se descarga una aplicación para obtener un descuento en la futura compra de un producto o servicio.

Los datos hoy son el insumo para que funcionen los algoritmos, el cloud computing, el big data, la inteligencia artificial, y lo que vendrá en materia de nuevas tecnologías. Grosso modo, su consideración es vista como un derecho humano por el eje europeo, y como un activo, según el estadounidense. Y el escándalo Facebook y Cambridge Analytica y el abordaje que se efectúa a uno y otro lado del Atlántico es una muestra de ello.

La Argentina se para más del lado europeo, tal como lo muestran los antecedentes y los nuevos acercamientos.

"A veces, con estos impactos tecnológicos tan vertiginosos, perdemos el foco. Como Agencia, tanto la ley vigente como el proyecto de ley están vinculados con un derecho fundamental que es el derecho a la privacidad, que tiene íntima relación con la protección de los datos personales. La propia definición de dato personal es porque identifica o hace identificable a una persona. Cualquier flujo de dato que no haga identificable a una persona no cae en el ámbito de las prohibiciones de la ley vigente", advirtió el funcionario.

Con el uso de las nuevas tecnologías hay mucha transferencia de datos que no necesariamente están vinculados con los personales sino con otro tipo de datos o con otros datos que pueden estar relacionados con otra persona "pero de manera disociada" lo que hace que no puedan ser identificadas o identificables. En casos así, no habría inconvenientes".

Si bien en estas tecnologías hay mucha transferencia de datos no necesariamente pueden estar vinculados con los personales, sino con otros datos que pueden estar relacionados con otra persona pero de manera disociada, lo que hace que las personas no puedan ser identificadas o identificables.

Bertoni reconoció que en este punto hay una gran discusión, y que el impacto de las nuevas tecnologías mencionadas "tienen relación directa con privacidad y datos personales porque muchos de ellos los entregamos con algún consentimiento y luego son tratados por fuera de ese consentimiento. Son los grandes desafíos que nos propone la tecnología actual", señaló.

Porque mientras en el anteproyecto no parece haberse contemplado el consentimiento expreso para que un tercero utilice los datos que se entregan, en la nueva normativa europea eso está claramente especificado.

Y si la Argentina quiere seguir estando alineada con los estándares europeos, habrá que prestar atención a cómo evolucione este tema hacia adelante.

"La ley vigente, si bien puede hacer alguna interpretación teleológica para actualizarla, no tiene pensados estos temas. Por eso hay que actualizar la ley argentina", subrayó el director de la Agencia.

¿Qué medidas implementa la puesta en marcha efectiva del GDPR? Algunas de ellas son:

-Los usuarios tendrán acceso a los datos personales contenidos en distintas empresas.

-El consentimiento del usuario para el uso de datos tiene que estar expresado. Si no se expresa es un NO.

-Tendrán derecho a la portabilidad del dato.

-Derecho al olvido, como efecto del paso del tiempo respecto del dato, es decir, que no se sepa más determinada parte de la historia personal porque ya caducó.

-Principio de caducidad de los datos: pasado el tiempo de uso deberán ser destruido.

-Verificación de la calidad de los datos personales.

-Sanciones más severas por incumplimiento de la norma e indemnizaciones.

Inserción internacionalLos contextos también harán su trabajo. Como se dijo más arriba, el próximo 25 de mayo comienza a regir la directiva europea de datos personales. Para que la Argentina siga siendo un país acorde a esa legislación, tal como se pronunció la UE en 2003, tendrá que introducir cambios. Será una manera de contribuir a un buen ambiente de negocios por todo lo que el flujo internacional de datos implica en este aspecto, entre muchos otros.

¿Tiene algún beneficio ser un país "adecuado"? Bertoni respondió que sí. "Porque todo lo que sea transferencia de datos a países con legislación adecuada se hace de una manera más democrática, de modo que es más posible el establecimiento de negocios de los integrantes de la UE en aquellos donde cumplen esa suerte de certificación", explicó.

Con el inicio del GDPR comenzará un proceso de verificación de la legislación de los países, razón por la que la Argentina tendrá que modificar la actual ley, amplió. "Argentina debe mantener el status", enfatizó.

Bertoni aclaro que eso no significa copiar la norma europea pero sí tomar conciencia de que "cualquier cambio que hagamos para mantener ese status tendrá un impacto económico indudable".

No será lo único. También habrá que prestar atención a las exigencias de los países de la Organización para la Cooperación y el Desarrollo Económicos (OCDE), grupo del que la Argentina quiere ser parte.

"Cualquier proceso OCDE lleva adelante revisión de prácticas y legislación en un montón de materias, una de ellas es la de datos personales. A nivel de OCDE la Argentina también necesita cumplir con estándares internacionales para no tener problemas en el proceso de revisión", sostuvo el funcionario.

En ese sentido, Bertoni destacó que uno de los aspectos en donde la Argentina estaba fuertemente cuestionada se vinculaba con la independencia del organismo que dirige, situación ya resuelta al pasar de ser una dirección que estaba bajo una subsecretaría de un ministerio a una agencia autárquica.

La autonomía será un factor clave cuando la Agencia profundice la tarea de control sobre el manejo de los datos personales en distintos sectores, incluido el público.

"La ley actual nos da competencias para ser órganos de control de bases de datos privadas y públicas. Podemos hacer investigación en bases públicas. Estamos en conversaciones con la Sindicatura General de la Nación (SIGEN) para hacer un trabajo en conjunto a través de sus auditorías internas para optimizar recursos. Las bases del Estado son muchas y los recursos de las agencias, a veces, limitados", adelantó.

Los estados, nacional, provinciales y municipales, son los grandes gestores de bases de datos personales. Lo que se hace con esos datos muchas veces suele cuestionarse y son cada vez más las ocasiones en que se sospecha sobre su manejo.

¿Cuánto tiempo deberían estar guardados esos datos, aún cuando se trate de bases públicas? Bertoni indicó que hay que ser muy enfáticos en los casos en que no se da el consentimiento para el uso de los datos. Y que se debe prestar atención al principio que hace a la conservación del dato de acuerdo a su finalidad como también a la necesidad de destruirlo cuando el fin para el cual fue recabado se cumplió.

"Tenemos que sentirnos realmente dueños de nuestros datos y darlos cuando queremos, y no darlos cuando no queremos", destacó.

Un punto sobre el que no siempre se reflexiona, sea cuando se participa de un concurso o cuando se descarga una aplicación en el móvil a cambio de un servicio. Será el del consentimiento uno de los aspectos más polémicos de la futura ley.