Evaluación de Impacto en Privacidad: El Gran Ausente en Proyectos
La revelación obvia: ¿Qué es una Evaluación de Impacto y por qué se ignora?
Vamos a develar un secreto guardado bajo siete llaves por la élite legal y técnica: la Evaluación de Impacto relativa a la Protección de Datos (EIPD) es, sencillamente, un ejercicio de pensar. Sí, pensar. Consiste en analizar de forma sistemática un proyecto, un sistema o una nueva tecnología antes de ponerlo en marcha para identificar los posibles riesgos que podría generar para los datos personales de los individuos y, acto seguido, encontrar la forma de mitigarlos o eliminarlos. No es ciencia espacial. Es, básicamente, mirar el plano de una casa antes de construirla para asegurarse de que las puertas no dan a un precipicio.
La Ley de Protección de Datos Personales N° 25.326, aunque veterana, sienta las bases. Habla de ‘calidad de los datos’, ‘consentimiento’, ‘seguridad’ y ‘confidencialidad’. Conceptos que, leídos con un mínimo de atención, implican una obligación de diligencia previa. La AAIP, como autoridad de aplicación, ha ido más allá, recomendando y en ciertos casos exigiendo este tipo de análisis bajo el principio de Responsabilidad Proactiva (o ‘accountability’, para los que prefieren el spanglish corporativo). Este principio no es más que la formalización de una idea adulta: ‘hacete cargo’. Significa que no basta con no infringir la ley; hay que demostrar activamente que se tomaron todas las medidas para cumplirla.
Entonces, si es tan lógico, ¿por qué se omite con una frecuencia alarmante? La respuesta es una mezcla fascinante de arrogancia, optimismo infundado y una particular interpretación del concepto ‘costo-beneficio’. Muchos emprendedores y gerentes de proyecto ven la EIPD como un freno de mano. Un trámite lento, costoso y realizado por abogados que, según ellos, nunca han tenido una idea original en su vida. Prefieren la adrenalina del lanzamiento, la filosofía del ‘producto mínimo viable’ aplicada a los derechos fundamentales. La lógica es: ‘Primero lanzamos, conseguimos usuarios, generamos tracción, y si surge un problema de privacidad, ya veremos. Total, ¿qué es lo peor que puede pasar?’. Una pregunta que siempre tiene respuestas muy creativas y muy caras.
El manual de supervivencia para el innovador ‘disruptivo’ (el acusado)
Supongamos que la audacia pudo más que la prudencia y su flamante proyecto ya está en la calle, juntando datos como si no hubiera un mañana y, claro, sin la más mínima evaluación de impacto previa. De repente, llega una intimación de la AAIP o, peor, la cédula de notificación de una demanda. Se acabaron las sonrisas y las métricas de crecimiento. Bienvenido al mundo real.
El primer impulso suele ser negar la realidad o minimizar el problema. Error. Lo primero es, irónicamente, hacer lo que se debió hacer al principio: una evaluación de impacto de emergencia. Hay que sentarse con sus abogados y técnicos para mapear qué datos se están recolectando, para qué, cómo se almacenan, quién accede a ellos y qué medidas de seguridad (si las hay) los protegen. Este documento, aunque tardío, será su principal herramienta de defensa. Demuestra, al menos, una voluntad de enmienda. Es como empezar a estudiar para el final después de haber recibido el aplazo.
Segundo, hay que revisar la base de legitimación. ¿Cómo obtuvieron el consentimiento de los usuarios? ¿Fue a través de esos Términos y Condiciones de 40 páginas que nadie lee, con una casilla pre-tildada? La Ley 25.326 exige un consentimiento libre, expreso e informado. ‘Expreso’ significa que no puede ser tácito o inferido del silencio. Si su método fue oscuro o engañoso, está en un problema. Habrá que corregirlo de inmediato, notificar a los usuarios y, probablemente, prepararse para argumentar que, aunque imperfecto, el consentimiento existía de alguna forma. Una tarea digna de un equilibrista.
Tercero, la seguridad. El artículo 9 de la ley exige que el responsable del tratamiento de datos adopte las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad. La ausencia de una EIPD es un indicio fortísimo de que estas medidas son, como mínimo, deficientes. Deberá implementar a toda velocidad cifrado de datos, controles de acceso, políticas de backup y todo el arsenal técnico que debió estar desde el día uno. Es como ponerle la alarma al auto después de que se lo robaron, pero al menos evita que se roben el siguiente.
El arte de la acusación informada (para el titular de los datos)
Ahora, pongámonos del otro lado del mostrador. Usted es un usuario y sospecha que esa nueva aplicación que le pide hasta su grupo sanguíneo para funcionar no tiene todo en regla. ¿Cómo puede actuar? El camino no es tan complejo como parece, y la falta de una EIPD es su mejor aliada, aunque no lo sepa.
Primero, ejerza sus derechos. La ley le otorga el derecho de acceso (art. 14). Puede intimar a la empresa para que en un plazo de 10 días corridos le informe qué datos suyos tiene, con qué finalidad los recolectó y cómo los está usando. La respuesta (o la falta de ella) es un excelente termómetro de su nivel de cumplimiento. Una empresa seria y ordenada tiene estos procesos aceitados. Una empresa improvisada le dará una respuesta vaga, incompleta o directamente lo ignorará. Este silencio o evasiva es una infracción en sí misma y una prueba fundamental para una futura denuncia.
Segundo, documente todo. Guarde capturas de pantalla de los permisos que solicita la app, del proceso de registro, de los correos electrónicos. Si los Términos y Condiciones son abusivos o incomprensibles, guárdelos. Todo esto constituye la base probatoria de su reclamo. La clave es demostrar que el tratamiento de datos es excesivo, innecesario o que no fue debidamente consentido. La falta de una EIPD por parte de la empresa hace que sea mucho más probable que hayan incurrido en estas faltas.
Tercero, la denuncia ante la AAIP. Es un trámite gratuito y online. No necesita un abogado para iniciarlo, aunque siempre es recomendable. Debe exponer los hechos de forma clara, adjuntar las pruebas que recolectó y explicar por qué considera que la empresa está violando la Ley 25.326. Mencionar explícitamente la sospecha de que no se ha realizado una evaluación de impacto por la naturaleza sensible o el volumen masivo de datos tratados, refuerza su posición. La AAIP, al investigar, probablemente solicitará a la empresa dicha evaluación. Su inexistencia es casi una confesión de negligencia.
Consecuencias: Más allá de la multa simbólica
Es un lugar común en el ecosistema tecnológico local pensar que las multas por infracciones a la ley de datos son bajas y que, en el peor de los casos, ‘conviene pagar la multa’. Esta es una visión tan limitada como peligrosa. Si bien es cierto que las sanciones administrativas de la AAIP no son millonarias como en Europa, el verdadero costo de ignorar la privacidad no está en el cheque que se le firma al Estado.
El primer y más devastador impacto es el reputacional. En un mercado cada vez más consciente de la privacidad, una sanción o una filtración de datos es una mancha que no se borra. La confianza del usuario, una vez perdida, es casi imposible de recuperar. Su ‘innovador’ proyecto puede pasar de ser la nueva estrella del mercado a un sinónimo de riesgo y descuido. Los competidores que sí hacen las cosas bien usarán su error como un caso de estudio en sus campañas de marketing.
Luego está el frente judicial. La vía administrativa ante la AAIP no impide que los usuarios afectados inicien acciones civiles por daños y perjuicios. Un solo usuario damnificado puede no ser un gran problema, pero imagine una acción de clase. Los jueces son cada vez más propensos a reconocer el ‘daño moral’ por la angustia y la vulnerabilidad que genera el uso indebido de los datos personales. Y esas indemnizaciones, sumadas, pueden convertir el ahorro de no hacer una EIPD en el peor negocio de la historia de la empresa. Un auto de alta gama comprado con billetes de lotería falsos.
Finalmente, está el efecto dominó. Una investigación de la AAIP puede destapar otras irregularidades. Un cliente insatisfecho puede inspirar a cientos más. Una mala nota en la prensa puede atraer la atención de inversores, socios comerciales y potenciales compradores, quienes, al hacer su ‘due diligence’, descubrirán el desorden normativo y saldrán corriendo. La privacidad por diseño y por defecto, que incluye la EIPD como pilar fundamental, no es un capricho de abogados. Es una estrategia de negocio. Es la diferencia entre construir sobre roca o sobre un pantano. Una verdad tan incómoda como evidente, que muchos eligen aprender por las malas.
