En el marco de la pandemia del coronavirus y las medidas de aislamiento social, preventivo y obligatorio decretadas en consecuencia, muchas organizaciones se han visto forzadas a incorporar, reforzar y adaptar recursos, procesos y herramientas para responder a las nuevas demandas. A modo de ejemplo, el titular de la Cámara Argentina de Comercio Electrónico (CACE), afirmó que en este tiempo de aislamiento, Argentina avanzó, en lo que respecta al comercio digital, lo que no se hubiera podido avanzar en un par de años[1]; en lo que refiere al ámbito laboral, no fueron pocos los empleadores que tuvieron que adaptarse al trabajo remoto en tiempos récords, lo que demandó cuantiosas inversiones en equipamientos e infraestructura[2].
Estos avances hacia la digitalización y el trabajo remoto han sido bienvenidos, y permitieron (a algunos) morigerar los impactos económicos de la pandemia. Aún más, hay quienes afirman que estos cambios en la modalidad del comercio y el trabajo han venido a quedarse, incluso en las organizaciones más tradicionales. Prueba de esto es el avance del convenio colectivo que regularía la modalidad de trabajo remoto en el ámbito del poder judicial de la Provincia de Buenos Aires[3].
La carrera a la digitalización que se produce en esta coyuntura debe acompañarse de una estrategia de ciberseguridad robusta, acorde a la normativa vigente y a los riesgos de las herramientas y/o procesos digitales que se implementan. Vale mencionar que, si bien al día de la fecha no hay una estadística actualizada y oficial de delitos reportados, el aumento en la implementación de procesos remotos y la digitalización acelerada han tenido su correlato en una escalada de casos de ciberdelincuencia. En respuesta a esto, la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) emitió una serie de recomendaciones para operar de manera segura en Internet y prevenir delitos en el entorno digital[4]. Habría sido tal el avance de la criminalidad en entornos digitales que incluso durante el período de aislamiento preventivo y obligatorio estas recomendaciones tuvieron que ser actualizadas semanas más tarde al advertirse nuevas modalidades delictivas.
En este contexto, quienes tratan datos personales a escala son los principales objetivos de ataques por parte de estos delincuentes que si lograrán vulnerar sus sistemas de seguridad no solo comprometen información confidencial si no los sistemas y activos provocando al responsable del tratamiento daños patrimoniales incalculables. Vale recordar que algunas de las conductas penales tipificadas por el Código Penal Argentino relacionadas al tratamiento de datos personales refieren a acceder, interceder, suprimir, deteriorar, alterar o inutilizar de forma no autorizada datos, sistemas u otras bases de datos conteniendo datos personales[5]; alterar, interferir, suprimir de forma no autorizada sistemas o plataformas para procurar un beneficio económico; y a usar fraudulentamente o alterar datos o interferir en sistemas para procurar un beneficio económico.
Además de las penas que cabrían a quienes cometan los delitos, los responsables por el tratamiento de datos personales objeto de la actividad delictiva también podrían tener consecuencias bajo el régimen de protección de datos personales.
La implementación de medidas de seguridad resulta un requerimiento regulatorio siempre que se traten datos personales, en virtud de la Ley de Protección de Datos Personales N° 25.326 (LPDP)[6]. La LPDP tiene por objeto garantizar el tratamiento y la protección integral de los datos personales para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre ellas se registre. A tal efecto, se establecen una serie de principios que deben ser observados para un lícito tratamiento de datos personales. Entre estos se destaca el deber de garantizar medidas de seguridad de datos a fin de evitar la adulteración, pérdida, consulta o tratamiento no autorizado de los datos personales, estando expresamente prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad. La Agencia de Acceso a la Información Pública (AAIP) reguló las medidas de seguridad mínimas esperadas en el tratamiento de datos personales, a través de la Resolución 47/2018. Incumplir con estas medidas podría acarrear tanto acciones de daños por parte de los titulares de los datos afectados como también sanciones administrativas e incluso sanciones penales.
En relación a las sanciones administrativas, cabe destacar que la AAIP se encuentra facultada a aplicar multas de hasta 5 millones de pesos, dependiendo de la recurrencia y gravedad de la conducta penada[7]. Según el padrón público de infractores las últimas multas que ha impuesto la AAIP se ubican en un promedio de 3 millones de pesos.
Respecto a las sanciones penales, la LPDP incorporó al Código Penal Argentino el delito tipificado bajo los artículos 117 bis y 157 bis, que han sido referidos en párrafos anteriores y cuya conducta podría ser encuadrada por las personas físicas responsables del tratamiento de datos personales. En relación a esta conducta, recientemente los medios han publicado los procesamientos a directivos de ciertas empresas fintech por la presunta comisión del tipo penal previsto por el art. 157 bis del Código Penal que reprime con pena de prisión al acceso o utilización indebida de bases de datos públicas o privadas[8]. Tiempo antes, se ha publicado también la sentencia dictada respecto a cierta de red que procesaba ilegítimamente datos protegidos bajo el secreto fiscal en favor de una empresa de reportes crediticios[9]. Además de las sanciones y consecuencias civiles por el incumplimiento normativa referido en esta norma, la publicidad del padrón de infractores[10] y el interés público que cobra en los medios actualmente este tipo de casos, podría llevar también a daños reputacionales de difícil cuantificación.
La notificación de incidentes de seguridad aun cuando pudieran no constituir incumplimiento a la normativa aplicable deberán ser notificados a la autoridad de aplicación según la Resolución AAIP 47/2018. Esta norma exigiría remitir un informe a la AAIP que incluya como mínimo la siguiente información sobre el incidente de seguridad: (i) la naturaleza de la violación; (ii) la categoría de datos personales afectados; (iii) identificación de usuarios afectados; (iv) medidas adoptadas por el responsable para mitigar el incidente y (v) medida adoptadas para evitar futuros incidentes.
Si bien no hay una regulación específica en cuanto a la notificación sobre los incidentes de seguridad a los titulares de datos personales, siguiendo el principio de buena fe previsto por los art. 961 y 1061 del Código Civil y Comercial de la Nación podría concluirse que existe una obligación legal de notificarlos. Lo anterior, no sólo a fin de informar sobre el tratamiento no autorizado de los datos personales, sino también a los efectos de que se tomen las medidas que fueren necesarias para mitigar los daños, como fuera el caso de filtración de datos de tarjetas de crédito o de filtración de claves. En caso que existan medios de comunicación válidos entre el responsable y el titular (por ejemplo en virtud de una relación contractual) la comunicación individual a esos sería suficiente. Sin embargo, si no resulta posible identificar a los usuarios cuyos datos fueron comprometidos o no se cuenta con un medio de comunicación válido entre las partes, será necesario optar un medio de publicidad del incidente suficiente a fin de proveer la información que corresponda.
Por último, resulta pertinente resaltar algunos puntos de la “Planificación 2020” aprobada a través de la Resolución 78/2020 de la AAIP. Entre otros objetivos, la AAIP se propone para este año: (i) instar el proceso iniciado respecto a la modificación de la LPDP; (ii) revisar, relevar y actualizar la normativa de protección de datos personales conforme los estándares internacionales actuales y las nuevas tecnologías; (iii) reemplazar las Disposiciones emitidas por la entonces Dirección Nacional de Protección de Datos Personales referidas a la clasificación y graduación de las sanciones; (iv) adecuar la Resolución 47/2018 de Guía de Medidas de Seguridad Recomendadas en Medios Informatizados a la Guía de Evaluación de Impacto en la Protección de los Datos Personales; y (v) realizar investigaciones de oficio a empresas u organismos públicos por presuntas vulneraciones a la LPDP. En esta misma línea, el director de la AAIP públicamente ha manifestado la necesidad de actualizar las sanciones previstas por la normativa vigente lo que indica la prioridad que tendrá este punto durante este año[11].
Teniendo en cuenta el plan de actualización de sanciones e investigación que se propone la AAIP para este año junto y a fin de evitar contingencias futuras, resulta oportuno analizar el cumplimiento al régimen de protección de datos personales de las herramientas y procesos existentes e incorporarlo en el diseño e implementación de los que se desarrollen de aquí en más. A tal efecto, en lo que respecta al diseño de nuevas aplicaciones cobrará relevancia no sólo los lineamientos de la Resolución AAIP 47/2018 referida en párrafos anteriores si no también la Guía de buenas prácticas en privacidad para el desarrollo de aplicaciones aprobada por la Disposición 18/2015 de la Dirección Nacional de Protección de Datos Personales y la Guía de evaluación de impacto en la protección de datos elaborada en conjunto entre la AAIP y la Unidad Reguladora y de Control de Datos Personales de Uruguay.[12]
Citas
[1] https://www.ambito.com/economia/comercio-electronico/hot-sale-2020-el-avanzo-dos-meses-lo-que-le-hubiera-llevado-dos-anos-n5101699 Además, Mercado Libre ha publicado un reporte dando cuenta de este crecimiento el que está disponible en: https://publicidad-mercadolibre.com/insights/covid-2
[2] Sólo por dar un ejemplo al inicio de las medidas de aislamiento obligatorio la demanda de notebooks escaló hasta duplicarse https://www.iproup.com/innovacion/12206-coronavirus-se-duplican-ventas-de-notebooks
[3] https://www.lanacion.com.ar/politica/coronavirus-argentina-insumos-horarios-ninos-art-detalles-nid2363032
[4] Las recomendaciones se encuentran disponibles en: https://www.fiscales.gob.ar/ciberdelincuencia/
[5] Código Penal Argentino Art. 157 bis, 153 y 153 bis
[6] Además de la normativa aquí referida, según la industria podrían ser aplicables otras normas en materia de ciberseguridad como aquella emitida por el Banco Central de la República Argentina.
[7] Dirección Nacional de Protección de Datos Personales Disposición 71/2016 y Disposición 9/2015.
[8] https://www.lanacion.com.ar/economia/el-gobierno-denuncia-penalmente-siete-fintech-estafa-nid2361733
[9] https://www.infobae.com/politica/2018/02/02/quienes-son-los-integrantes-de-la-banda-que-robaba-informacion-de-la-afip/ Sentencia disponible en:https://www.cij.gov.ar/nota-29729-La-C-mara-Federal-confirm--procesamientos-en-la-causa-contra-funcionarios-de-AFIP-por-tr-fico-de-datos-fiscales-secretos.html
[10] El padrón de infractores fue creado por la Disposición 7/2005 de la Dirección Nacional de Protección de Datos Personales.
[11] El director de la Agencia Eduardo Bertoni sostuvo esto en una entrevista publicada en la página oficial de la AAIP disponible en: https://www.argentina.gob.ar/noticias/sancion-google-por-negar-el-derecho-de-acceso
[12] https://www.argentina.gob.ar/noticias/argentina-y-uruguay-lanzan-la-guia-evaluacion-de-impacto-en-la-proteccion-de-dato
Opinión
Barreiro
opinión
ver todosPASBBA
NORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law