Protección de datos personales: Estándares internacionales de protección y oportunidad para su implementación
Por Ambrosio C. Nougués
GlaxoSmithKline Argentina

Breve referencia a el Reglamento General de Protección de datos Personales

 

El Nuevo Reglamento General de Protección de Datos Personales de la Unión Europea (en adelante “RGDP”) es una respuesta a la evolución tecnológica y la globalización que han planteado nuevos retos en materia de protección de datos personales y privacidad. Esto es así, toda vez que la cantidad de datos que son recogidos y transferidos a lo largo y a lo ancho del mundo ha aumentado de manera significativa y seguirá acelerándose año a año hasta niveles impensados. 

 

De esta manera, el RGDP surge por la necesidad deestablecer un marco uniforme que establezca principios y directrices más sólidos y previsibles para el desarrollo de la economía digital europea y elevar los estándares de protección para garantizar un determinado nivel de protección de los datos personales[1].

 

En líneas generales, y sin ánimo de entrar en detalle en el articulado, algunos de los puntos más relevantes introducidos por el RGDP se podrían resumir en: (i) expande el ámbito territorial de aplicación; (ii) incrementa las penas; (iii) introduce la figura del Delegado de Protección de Datos; (iv) incrementa las obligaciones a los controladores y procesadores de datos; (v) introduce modificaciones en relación a los reportes de filtraciones; (vi) introduce el derecho a la portabilidad de los datos; (vii) ratifica la interpretación y consagra expresamente el derecho de supresión de los datos (right to be forgotten); (viii) refuerza los requisitos para la obtención de consentimientos; (viii) responsabilidad proactiva, entre otros. 

 

RGDP y su posible réplica en la Argentina

 

Dicho esto, es importante remarcar que -como es de público conocimiento- a lo largo de los años la regulación en materia de protección de datos en la Argentina ha seguido muy de cerca y ha replicado los avances y directrices europeas en la materia. Prueba de ello es la significativa similitud entre la antigua normativa europea sobre protección de datos y laactual normativaargentina de protección de datos (ley 25.326, su decreto reglamentario y demás normativa complementaria), así como también las reiteradas similitudes entre el RGDP y el nuevo proyecto de ley de protección de datos impulsado por el Poder Ejecutivo Nacional.

 

Esta marcada tendencia indica que en un futuro próximo las empresas argentinas, deberán atravesar el tedioso-pero no imposible- proceso de adaptación a los nuevos estándares de protección que serán consecuencia de la incipiente nueva normativa de protección de datos, tal y como han hecho las empresas ubicadas dentro de la Unión Europea a partir de la aprobación del RGDP. Si bien la adaptación y aplicación de los nuevos estándares de protección de datos son aún hoy algo inciertos, las empresas argentinas podrán apoyarse en los métodos y mecanismos implementados por las empresas europeas para el cumplimiento de las nuevas obligaciones en materia de protección de datos personales. En esta dirección, las empresas argentinas se encuentran ante la oportunidad de acondicionar sus políticas, organigramas, recursos y cronogramas para que la adaptación sea másarmónica y eficiente.

 

Un paso adelante

 

Para una buena implementación y acondicionamiento de las empresas a los nuevos estándares de protección de datos (estándares hoy exigidos en Europa y que serán muy probablemente exigidos en la Argentina en un futuro próximo) dichas empresas deberán atravesar una primera etapa de relevamiento ypreparación; una segunda etapa de implementación y una tercera y última etapa de control.

 

Etapa de relevamiento y preparación

 

En esta etapa las tareas que deberán realizar las empresas será la de relevar todas las unidades de negocio que procesen datos personales[2] con el objeto de determinar qué tipo de datos son tratados, con qué finalidad son tratados, de dónde se obtienen los datos y la base legal utilizada;quiénes son las personas que tienen acceso a dichos datos, cuánto tiempo se conservan los datos, dónde son transferidos los datos y qué tipo de operaciones de tratamiento[3] se realizan de manera tal de poder confeccionar un inventario en el cual dicha información pueda ser agrupada, ordenada y eventualmente consultada para un mayor y mejor entendimiento del manejo de datos que realiza la empresa.

 

Realizado este relevamiento del estado de situación, un segundo paso deberá ser analizar en detalle-y de ser necesario acondicionar- todas aquellas políticas internas de la compañía, que de alguna manera pudieran incluir algún tipo de tratamiento de datos personales, para que las mismas reflejen las obligaciones exigidas por la normativa en protección de datos personales.

 

Ejecutadas estas medidas, las empresas se verán en condiciones de realizar una gestión de riesgos que se traducirá en identificar, analizar y valorar el tratamiento que se da a los datos y evaluar las posibilidades de que se suscite un riesgo con el objetivo de establecer las acciones preventivas y correctivas ante la existencia del mencionado riesgo (estos últimos podrán estar asociados a la protección de los datos propiamente dicho o podrán estar asociados al incumplimiento de requisitos regulatorios).

 

Etapa de Implementación

 

El tratamiento de datos atraviesa de manera significativa prácticamente todas las áreas de una compañía y es por ello que es necesario generar conciencia en los máximos referentes de cada una de las áreas.A tal fin, como primera medida en la etapa de implementación, las compañías deberán identificar a los máximos responsables de cada una de las unidades de negocio de manera tal de iniciarlos en un proceso de inducción y continuo entrenamiento en el manejo de datos personales con el objeto de que dichas “cabezasde equipos” cuenten con las herramientas necesarias para capacitar a sus equipos en los principios básicos exigidos para el tratamiento de datos personales.

 

Como segunda medida, las empresas podrán utilizar esta etapa para “compensar” las fallas detectadas en la etapa de relevamiento. Algunas de las fallas más comunes podrán radicar en la obtención de consentimientos que no cumplen con los requisitos mínimos exigidos por la ley local o prever la necesidad de modificar los consentimientos ya obtenidos a consecuencia de nuevos requerimientos normativos; la falta de contratos de transferencia de datos; la no registración de las bases ante la autoridad competente;la necesidad de una mejora en los mecanismos destinados a recibir solicitudes de titulares de los datos; incrementar las medidas de seguridad utilizadas;entre otras.

 

En tercer lugar, sin perjuicio de que hoy en día en la Argentina no lo exige la norma, en esta etapa las empresas deberán establecer un plan de respuesta ante incidentes de filtraciones o fuga de la información. A tal fin las empresas podrán conformar un equipo de respuesta de incidentes cuya función sea la de identificar y gestionar filtraciones de seguridad; notificar a la autoridad sobre la filtración (en caso de que la autoridad así lo exija); notificar al titular de los datos sobre la filtración (en caso de que la autoridad así lo exija); evaluar el nivel de importancia y el alcance de dicha filtración y ejecutar las medidas necesarias para evitar nuevas filtraciones, entre otros. Este “Equipo de Respuesta de Incidentes” idealmente deberá ser conformado por un ejecutivo con facultades para tomar decisiones importantes en la compañía, los líderes de cada una de las áreas de negocio, personal del departamento de sistemas y seguridad, personal del área de comunicación institucional de la compañía, el director de seguridad de la información y el responsable de legales.

 

Etapa de Control

 

Cumplida la tarea de relevamiento del estado de situación y “organización” del repositorio de datos e implementada la segunda etapa de capacitación y acondicionamiento de las políticas de la compañía, de los consentimientos, de los contratos y demás instrumentos relacionados al tratamiento de datos, se da inicio a la etapa de control.

 

El principal objeto de esta etapa es controlar cualquier modificación que la compañía tuviera intención de hacer en actividades que involucren datos personales, con el fin de verificar que la implementación de dichas modificaciones se condiga con los principios exigidos por la normativa local y, en caso de así hacerlo, adaptar las tareas y operaciones necesarias para incorporar las modificaciones sin alterar el normal funcionamiento de los mecanismos de preservación, cuidado y actualización de los datos personales.

 

Un segundo objetivo de esta etapa es llevar un registro de las tareas que realiza la empresa para mejorar y fortalecer el cumplimiento de la normativa local y “robustecer” la protección de los datos recolectados. Para esto, lo más conveniente es la utilización de métricas que indiquen el nivel de capacitación con el que cuentan los empleados de la compañía, la periodicidad con que estos son capacitados, las medidas de seguridad que se implementan, la periodicidad con que las mismas son puestas a prueba y actualizadas, el registro de las auditorías internas y sus resultados, el registro de auditorías a proveedores y los resultados de las mismas, informes de solicitudes de acceso/rectificación/supresión de datos, informes del Delegado de Protección de Datos[4];  estado de situación de la compañía en lo que respecta a el tratamiento de los datos, informes de filtraciones o ataques cibernéticos, actualización de las políticas de seguridad y cualquier otro indicador que pudiera dejar en evidencia la actitud proactiva de la empresa y el interés por cumplir con la normativa legal y de velar correctamente por la seguridad de los datos que procesa.

 

Para concluir

 

Aparece claro entonces que las empresas argentinas se verán en la necesidad de “aggiornarse” en los nuevos estándares que trae RGDP si desean estar a la altura de las circunstancias al momento de relacionarse con clientes europeos B2B o B2C. No es menor resaltar, que lo recién expuesto traerá aparejado la actualización en los estándares exigidos internacionalmente que seránobligatorios ante una inminente nueva normativa local que replique principios y conceptos contenidos en la normativa europea.

 

Hoy, las empresas argentinas se encuentran en una inmejorable situación toda vez que la normativa actual ya refleja algunos de los nuevos estándares exigidos en europa. Las empresas argentinastambién cuentan con la ventaja depoderver en el horizonte los requerimientos que vendrán con la nueva normativa y podrán aprender de la experiencia ya transitada por las empresas europeas, quienes ya se encuentran implementando estos programas y poniendo a prueba mecanismos constantemente.

 

Las empresas argentinas darán un paso adelante en este tema. Todo indica que en el futuro la protecciónde datos en nuestro país seguirá los lineamientos trazados en europa.Es de esperar que la burocracia y la políticanodificulten la necesaria implementación de estos nuevos estándares. En ningún caso, las empresas argentinas deben dejar de hacer lo que corresponda conforme los estándares internacionales y así demostrar que se encuentran a la vanguardia de los principios rectores de protección de datos personales.

 

 

Citas

[1] Prueba de esto es, entre otros, que el RGDP empodera al titular de los datos en el control de su información generando, entre otros mecanismos, una aplicación extraterritorial de la norma y una protección basada en el individuo per-se sin importar la nacionalidad o la residencia

[2] La ley 25.326 define a los datos personales como “Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables”.

[3] La ley 25.326 define tratamiento de datos como “Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencia.

[4] En Europa la inclusión de un Delegado de Protección de Datos se ha tornado imprescindible, no solo por su obligatoriedad, sino por su esencialidad al momento de llevar a cabo proyectos que involucren datos personales y manejo de información.

Opinión

El Fallo “Oliva c Coma” de la Corte Suprema de Justicia de la Nación. Aspectos legales y resultado económico
Por Fernando A. Font
Socio de Abeledo Gottheil Abogados
empleos
detrás del traje
Alejandro J. Manzanares
De MANZANARES & GENER
Nos apoyan