Hace algunos años hubiéramos pensado que hablar con las máquinas formaba parte de la ciencia ficción. Hoy se volvió algo común escucharnos decir: “Alexa, poné el último disco de Babasónicos”, “Oye Siri, ¿cómo llego hasta Parque Centenario?” o incluso avisarle a Bixby que nos vamos a dormir para que se ponga en modo sueño y active las alarmas. Nuestra interacción con las computadoras se volvió parte de nuestra vida cotidiana: ya no necesitamos estar sentados frente a una computadora de escritorio para “navegar” por internet. Descargamos una app que nos ayuda a “controlar” nuestro peso corporal y sigue nuestros movimientos al hacer deportes, hacemos la compra de supermercado desde el celular mientras volvemos a casa en colectivo o adquirimos entradas para el teatro desde una web mientras tomamos un café sentados en un bar.
Cada una de estas acciones genera información sobre nuestro comportamiento cotidiano, nuestras preferencias e intereses. Luego esa información se cruza con variables de ubicación –a través de la geolocalización–, patrones de compra y consumo, actividad en las redes sociales, búsquedas en internet y conversaciones aparentemente “privadas” en las que hablamos sobre nuestros gustos, intereses y deseos. Todo eso genera un cúmulo de información sobre nuestra vida personal que puede ser robada o directamente apropiada para utilizarse con fines no deseados.
Esto es lo que busca evitar la política de protección de datos personales desplegada por la Unión Europea, a partir de la sanción del Reglamento General de Protección de Datos (RGPD). Este reglamento, que entró en vigor en mayo de 2016 y se aplica desde mayo de 2018, busca proteger a las personas físicas en el tratamiento y circulación de sus datos personales, fortaleciendo sus derechos fundamentales en la era digital. ¿Cómo lo hace? Protegiendo todos los datos pertenecientes a personas que residan en la Unión Europea: desde documentos de identidad, hasta historiales de transacciones online, pasando por direcciones IP, de domicilios particulares y de correo electrónico o inclusive información personal como nombre, fecha de nacimiento o datos médicos. También se protegen los datos generados por los usuarios tales como tweets, estados de Facebook, publicaciones de Instagram, comentarios o “likes”. Esta norma protege prácticamente todos y cada uno de los datos de los usuarios en todas las plataformas digitales.
Desde su entrada en vigor en 2016 las empresas privadas, organizaciones e instituciones europeas contaron con un plazo de dos años para realizar su proceso de adaptación y prepararse para el cumplimiento de la norma. Luego de ese plazo, quedaron sujetas al estricto cumplimiento de la ley, que prevé controles y auditorías de integridad de datos permanentes y durísimas sanciones para quienes incumplan la regulación: después de recibir una advertencia formal por escrito, las penas pueden alcanzar un monto de 20 millones de euros o hasta el 4% de del volumen de negocios de la compañía en calidad de multa.
Para garantizar sus objetivos la normativa exige un estricto apego al respeto de dos condiciones en el tratamiento de los datos personales: en primer lugar, todos los datos deben ser “pseudonimizados”, es decir que cualquier información de identificación con respecto a un usuario individual debe eliminarse por completo de todos los datos almacenados o procesados para que no se pueda revelar la identidad de un usuario específico, ni siquiera a la empresa o autoridad responsable de anonimizar los datos en sí. Esto incluye información de carácter religioso, filosófico, político, personal o biológico. La otra guarda relación con el llamado “consentimiento afirmativo”, a partir de lo cual se exige un consentimiento expreso por parte de la persona para que una empresa pueda procesar o almacenar sus datos, a través de información clara y fácil de entender.
Este 28 de enero los países de la Unión Europea celebran el Día de la Protección de Datos y la Privacidad, para generar conciencia sobre la temática y promover las mejores prácticas de privacidad y protección de la información. Por estas latitudes el tratamiento de la información personal no goza de tantos cuidados: en Argentina la Ley 25.326 de Protección de los Datos Personales data del año 2000, y sus regulaciones quedaron prácticamente obsoletas frente al avance de la tecnología y las comunicaciones. Por ello es que en julio y agosto del año pasado la Agencia de Acceso a la Información Pública inició un proceso de consulta con organizaciones de la sociedad civil y referentes del ámbito académico en materia de protección de datos personales, para recabar aportes y contribuciones a un nuevo proyecto que actualice la ley vigente. Como producto de estos intercambios entre el Gobierno y la sociedad civil, se presentó en octubre de 2022 un Proyecto de Ley de Protección de Datos Personales que espera ser tratado en el Congreso de la Nación Argentina. Mientras eso no ocurra, lo único que podemos hacer es tomar conciencia del valor de nuestros datos personales y resguardar nuestra privacidad de la mejor manera posible.
Publicado en El Auditor el 26 de enero de 2023.
