De la Redacción AIM. Cada 28 de enero es el día internacional de la Protección de Datos Personales. El propósito de la celebración es concientizar a los ciudadanos sobre la importancia de proteger su privacidad. Desafíos de la industria y la información, y los peligros en épocas de digitalización.
El día internacional de la Protección de Datos Personales es una iniciativa adoptada por el Consejo de Europa y la Comisión Europea, en conmemoración de la firma del Convenio 108 “Para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal”.
Mas allá de la responsabilidad de cada uno como usuario, evitando conectarse a redes wifi inseguras, activando segundas autenticaciones en las cuentas, configurando correctamente los perfiles en redes sociales y siendo más estrictos sobre las apps que se descargan en los dispositivos, entre otras medidas, quienes trabajan con información de los consumidores cumplimos un rol clave y nuestra responsabilidad sobre su trazabilidad y buen uso, es mayor.
Según, la Oficina del Alto Comisionado de las Naciones Unidas para los Derechos Humanos, las tecnologías digitales no existen en un vacío. Pueden ser un instrumento eficaz para el progreso humano y contribuyen en gran medida a la promoción y protección de los derechos humanos.
Sin embargo, las tecnologías que emplean un gran volumen de datos, como las aplicaciones de inteligencia artificial, contribuyen a crear un entorno digital en el que tanto los Estados como las empresas son cada vez más capaces de realizar actividades de vigilancia, análisis y predicción e incluso manipular el comportamiento de la población en una medida sin precedentes. Estos avances tecnológicos plantean riesgos muy importantes para la dignidad humana, la autonomía y la vida privada, así como para el ejercicio de los derechos humanos en general, si se aplican sin salvaguardias eficaces.
Ahora bien, ¿qué son los datos personales? ¿Qué riesgos hay cada vez que compartimos datos? ¿Qué derechos y obligaciones existen en materia de protección de datos personales en nuestro país?
Según un informe de la Agencia de Acceso a la Información Pública (AAIP), al que accedió AIM, cuando hablamos de datos personales nos referimos a toda aquella información que pueda identificar o hacer identificable a una persona. En este sentido, existen diferentes categorías de datos personales, que implican a su vez diferentes niveles de riesgos.
Están por un lado aquellos datos personales, como pueden ser el domicilio, teléfono, DNI, información crediticia, imagen, etc. Por otro lado, están los datos sensibles, que son aquellos que requieren mayor nivel de protección y cuidado. Se trata de la información vinculada a la intimidad de una persona, que, a partir de un uso indebido, pueda dar origen a discriminación o afectar su integridad.
Ejemplos de este tipo de datos son el género, la orientación sexual, afiliación sindical, opiniones partidarias o bien información que revele aspectos como origen étnico, creencias o convicciones religiosas, filosóficas y morales. Los datos genéticos y biométricos son los que pueden revelar información sobre la fisiología y la salud de las personas y se los considera como datos sensibles cuando identifican de manera unívoca a una persona física y pueden revelar información que sea relativa a su salud o fisiología o si su uso pueda resultar potencialmente discriminatorio para esa persona (Resolución 255/2022).
Ahora bien, una característica central de la era digital en la que vivimos es que con el avance de las nuevas tecnologías y el desarrollo de la Inteligencia Artificial (IA), este tipo de datos ya no sólo son recolectados, sino también inferidos, analizados y utilizados de forma automatizada para la elaboración de perfiles y la toma de decisiones. En este marco, es que la protección de datos personales se ha posicionado como un tema de agenda prioritaria y una preocupación compartida por parte de la ciudadanía y también por empresas y gobiernos
Sin embargo, esta capacidad de inferir datos que pueden tener a su alcance sectores tanto del ámbito público como el privado plantea cuestiones importantes acerca de la privacidad y la seguridad de los datos. Cómo operan los algoritmos, qué razonamiento hacen, qué tipo de tratamiento y con qué finalidad, son sólo algunas de las preguntas que aparecen.
A medida que las tecnologías continúan evolucionando, resulta fundamental contar con leyes y regulaciones que permitan abordar estos desafíos, brindando nuevas herramientas de empoderamiento a la ciudadanía y preservando sus derechos fundamentales. Por eso, en un mundo cada vez más conectado, es muy importante conocer cuáles son los riesgos asociados de compartir información de tipo personal, así como también saber cuáles son los derechos en relación a la privacidad de datos, para tomar decisiones más informadas.
La protección en Argentina
En Argentina, la protección de los datos personales es un derecho constitucional desde la reforma de 1994. La privacidad y la seguridad de los datos personales están protegidas por la Ley 25.326 que establece los principios, derechos y obligaciones para el correcto tratamiento de datos personales. Se trata de una ley sancionada en el año 2000 y que fue pionera en América Latina ya que sentó las bases regulatorias para garantizar que todas las personas puedan controlar la información personal que se encuentra en bases de datos públicas o privadas.
A pesar de haber significado un hito relevante, esta legislación presenta ciertas limitaciones a la hora de regular el tratamiento de datos personales, precisamente por la velocidad y la magnitud de los cambios tecnológicos que se han sucedido en este tiempo. Basta pensar cuáles eran los celulares que existían en el año 2000 (limitados a llamadas y mensajes de texto) y qué capacidad de procesamiento tienen los celulares hoy
En ese sentido, uno de los problemas "graves" en Argentina es "la baja o casi nula capacidad del Estado de proteger efectivamente los datos" que almacena sobre las personas.
En la ley actual de Protección de Datos, "no hay una pauta clara ni una serie de directrices de estándares de seguridad de los datos", advirtió la activista digital Beatriz Busaniche, presidenta de la Fundación Vía Libre, y recordó que "toda la base del Renaper (Registro Nacional de las Personas) fue filtrada y está disponible a la venta en la internet profunda".
"Nosotros en materia de protección de datos personales y de seguridad informática en Argentina decimos que estamos en las previas de un Cromañón informático. Cada año hay más problemas de seguridad informática, cada vez hay más estafas en base a datos que sacan del Estado. Tenemos que evitar la tragedia", concluyó el abogado Tomás Pomar, presidente del Observatorio de Derecho Informático Argentino (ODIA).
Toda vez que se otorgan datos personales, las personas tienen derecho a contar con información clara y accesible en relación a la cesión, uso y finalidad con la que se recolectan y tratan, especialmente cuando involucra datos sensibles. En esta línea, la normativa argentina sobre protección de datos personales reconoce que las personas tienen derecho a la información, acceso, rectificación, actualización, y supresión de sus datos personales.
Derecho a la información
Los titulares de los datos tienen derecho a contar con información sobre la existencia de archivos, registros, bases o bancos de datos personales, sus finalidades y la identidad de sus responsables. Esto puede ser consultado en el buscador del Registro Nacional de Bases de Datos Personales, mencionado anteriormente. Además, los responsables de tratamiento tienen la obligación de brindar información a los titulares de los datos, especificando la finalidad de tratamiento, el tipo de datos que se van a tratar, el plazo de conservación, la existencia de cesiones o transferencias, las medidas de seguridad aplicadas para cuidar los datos, los canales habilitados para que las personas ejerzan sus derechos o realicen consultas, entre otros.
La información disponible permite a los titulares contar con herramientas para decidir si brindar o no sus datos personales para el tratamiento, esto es lo que la Ley de Protección de Datos denomina “consentimiento informado”, que tiene que ser previo y libre. Aquí es necesario hacer una salvedad, ya que no todo tratamiento de datos requiere del consentimiento del titular. En algunos casos existen motivos como el interés público (por ejemplo, la acción del Estado) donde no es viable solicitar el consentimiento a cada persona. En esos casos, la posibilidad de contar con información sobre el tratamiento también es fundamental. Finalmente, la información sobre el tratamiento debe tener un alto nivel de publicidad, ser accesible y estar expresada de manera sencilla, para que sea comprensible por todas las personas. Conocer las políticas de privacidad es fundamental para saber con qué empresas se comparten los datos, cuáles son las finalidades y cómo los cuidan.
Derecho de acceso
Los titulares de los datos tienen derecho a solicitar y obtener información de sus datos personales, para lo cual antes deben acreditar su identidad. Una vez acreditada la identidad y realizado el pedido de acceso, quien trate los datos debe proporcionar la información solicitada dentro de los diez días corridos de haber sido intimado fehacientemente. Ahora bien, el derecho de acceso sólo puede ser ejercido en forma gratuita a intervalos no inferiores a seis meses, salvo que se acredite un interés legítimo que lo justifique. En el caso de datos de personas fallecidas, los sucesores universales pueden ejercer este derecho en su representación. La información solicitada debe ser suministrada en forma clara, exenta de codificaciones y acompañada de una explicación, en lenguaje accesible y comprensible.
Derecho de rectificación, supresión y actualización
Todas las personas tienen derecho a que sus datos personales sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad. Quienes traten los datos tienen un plazo máximo de cinco días hábiles de recibido el reclamo del titular de los datos o bien, de haber advertido el error o falsedad para realizar la rectificación, supresión o actualización de los datos personales. Si existe alguna cesión o transferencia de datos, los responsables o encargados del tratamiento tienen la obligación de avisar sobre la rectificación o supresión al cesionario. Un ejemplo de esto, son los datos crediticios que tratan los bancos, los cuales a su vez informan al Banco Central. Si un cliente realiza una rectificación, supresión o actualización de sus datos personales, el banco en este caso tiene la obligación de informar al Banco Central y demás entidades donde cede esos datos personales.
Un aspecto a considerar es que el derecho a supresión no puede realizarse en todos los casos. El ejercicio de este derecho se limita cuando puede atentar a derechos o intereses legítimos de otras personas, o en los casos en que existe una obligación legal de conservar los datos, por ejemplo, como sucede con los antecedentes penales.
La protección de los consumidores online
La digitalización, el aumento del tiempo en Internet, así como la proliferación de los ciberataques, provocó que también seamos más precavidos a la hora de facilitar datos en la web.
De hecho, según un estudio realizado por IAPP, la Asociación Internacional de Profesionales en Privacidad, el 68 por ciento de los consumidores de todo el mundo están algo o muy preocupados por su privacidad en Internet y el 67 por ciento decidió no realizar una compra online por motivos de privacidad.
Esto demuestra una creciente inquietud por parte de los usuarios que no debe de pasar desapercibida para las empresas, las cuales deben de reforzar sus procesos de ciberseguridad para asegurar la protección de datos de sus clientes.
En esta línea, los especialistas de WatchGuard comparten algunos consejos para que las empresas logren mejorar la protección de los datos de sus clientes:
Invertir en soluciones de protección de identidad: una de las principales maneras de proteger los datos de tus clientes es resguardar las credenciales de tu plantilla. En esta línea, contar con soluciones que certifiquen la identidad de los usuarios mediante contraseñas fuertes, métodos de autenticación multifactor (MFA) o monitorizar la presencia de las credenciales en la dark web es una manera eficaz de evitar que ciberdelincuentes accedan a cuentas de tus empleados y, con ello, a los datos de tus clientes. Estas herramientas pueden ayudar a blindar los datos que posea tu organización.
Monitorizar el cifrado web https: a pesar de que el cifrado de sitios web está pensado para la seguridad de los mismos, cada vez son más los agentes maliciosos que logran acceder a webs cifradas. Por este motivo, se recomienda monitorizar el estado de las webs encriptadas para cerciorarnos de que son espacios seguros para los usuarios y no poner en riesgo sus dispositivos o sus datos.
Priorizar un sistema de ciberseguridad unificado: los vacíos en ciberseguridad pueden facilitar el robo de datos por parte de agentes maliciosos. En este punto, confiar en un sistema de ciberseguridad que parchee las posibles vulnerabilidades de la organización para que, de esta forma, los datos queden blindados de manera más efectiva y protegidos de posibles ataques. Con una plataforma puedes implementar una protección integral por capas y tener el control de todo el protocolo de ciberseguridad de tu compañía en un sistema integrado, de manera sencilla y accesible, a la vez que segura.
En definitiva, los datos son información valiosa no solo para las compañías y los usuarios, para los ciberdelincuentes también.
En el caso de sufrir un robo de datos de terceros supondría no solo un gran daño a la reputación corporativa, sino graves consecuencias legales y económicas que pueden repercutir seriamente en el futuro de tu compañía.
Por ello, es importante abordar la protección de datos en profundidad y aplicar un protocolo de ciberseguridad integrado y actualizado que blinde toda la información sensible que posea tu organización, ya sea de terceros o propios.