Almacenamiento Indefinido de Datos: Un Hábito Ilegalmente Costoso

La conservación de datos personales sin una finalidad específica ni plazo determinado infringe la Ley 25.326, generando responsabilidades legales y técnicas.

El síndrome de Diógenes Digital y la Ley 25.326

En el mundo corporativo existe una máxima no escrita: ‘el dato es poder’. Bajo esta premisa, muchas entidades han desarrollado un peculiar apego por la información, acumulando bases de datos que crecen sin control, como una biblioteca de libros que nadie lee pero que da prestigio tener. A este fenómeno lo podríamos bautizar ‘Síndrome de Diógenes Digital’. Se guarda todo, sin discriminar, bajo la vaga esperanza de que algún día, de alguna manera, esa información será útil. Sin embargo, este coleccionismo compulsivo tiene un pequeño problema: es ilegal.

La Ley de Protección de Datos Personales N° 25.326, sancionada allá por el año 2000, introdujo conceptos que hoy parecen revolucionarios para algunos. Uno de los pilares es el Principio de Calidad de Datos, consagrado en su Artículo 4. Este principio, de una lógica aplastante, dicta que los datos personales recolectados no deben ser ‘excesivos en relación al ámbito y finalidad para los que se hubieren obtenido’. Y, lo más importante, establece que ‘deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados’.

Traducido del lenguaje leguleyo al castellano: si pediste los datos de alguien para venderle un auto, una vez que la transacción terminó (o fracasó), no tenés por qué guardar su árbol genealógico para la posteridad. La finalidad se cumplió. Punto. El dato debe ser suprimido o, en el mejor de los casos, anonimizado de forma irreversible. Guardarlo ‘por si vuelve a comprar’ o ‘para futuras campañas de marketing’ sin un consentimiento explícito para ese nuevo fin es, sencillamente, una violación de la ley. La excusa del ‘por las dudas’ no figura como excepción en ningún artículo. Es una verdad incómoda que el almacenamiento no es gratuito ni inocuo; es una responsabilidad que, si se ignora, trae consecuencias.

La anatomía de una base de datos zombie

Una base de datos no es un depósito mágico donde la información duerme un sueño eterno y pacífico. Es un organismo vivo, o al menos debería serlo. Cuando se la abandona a su suerte, acumulando registros obsoletos e innecesarios, se convierte en un ente zombie: ocupa recursos, se mueve con lentitud y representa un peligro latente. Desde una perspectiva técnica, el almacenamiento indefinido es una pésima decisión.

Primero, la superficie de ataque. Cada dato almacenado es una potencial puerta de entrada para un ciberdelincuente. Guardar información de miles de exclientes que ya no tienen relación con la empresa es como dejar las llaves puestas en una flota de autos abandonados. Aumenta exponencialmente el riesgo. Si ocurre una brecha de seguridad, no solo habrá que dar explicaciones a los clientes actuales, sino también a un ejército de personas que ni recordaban haberte dado sus datos. El costo reputacional y legal se multiplica.

Segundo, los costos ocultos. El almacenamiento en la nube puede parecer barato, pero no es gratis. A medida que la base de datos zombie crece, también lo hacen los costos de infraestructura, las licencias de software, el tiempo de procesamiento para realizar copias de seguridad y la complejidad para cualquier migración o actualización del sistema. Se gasta una pila de dinero en mantener y proteger información que, legalmente, no debería estar ahí. Una ironía financiera exquisita.

Consejos para el Acusador: Cómo encender la mecha

Si sospechás que una empresa atesora tus datos personales como si fueran un tesoro familiar, la ley te da las herramientas para reclamar. No se necesita un ejército de abogados, solo determinación y seguir unos pasos bastante lógicos.

Paso 1: La intimación formal. El primer movimiento es ejercer tu derecho de supresión (o cancelación), contemplado en el Artículo 16 de la Ley 25.326. Esto se hace enviando una comunicación fehaciente, como una carta documento, al domicilio legal de la empresa (el responsable de la base de datos). En ella, debés identificarte claramente, solicitar la eliminación de tus datos personales y citar la ley. No es necesario dar demasiadas explicaciones; el derecho te asiste por el simple hecho de ser el titular de los datos.

Paso 2: La espera estratégica. Una vez notificada, la empresa tiene un plazo de cinco días hábiles para eliminar los datos y comunicártelo. Si el silencio es su única respuesta, o si se niegan sin una justificación válida (como una obligación legal de conservarlos por un tiempo determinado, por ejemplo, por cuestiones impositivas), el camino se despeja para el siguiente paso.

Paso 3: La denuncia y el Hábeas Data. Con la negativa o el silencio de la empresa, tenés dos vías. La primera, administrativa y gratuita, es presentar una denuncia ante la Agencia de Acceso a la Información Pública (AAIP). Este organismo puede investigar el caso e imponer sanciones a la empresa. La segunda vía, judicial, es la acción de Hábeas Data, una garantía constitucional para proteger tus datos personales. Es un proceso judicial rápido y efectivo para forzar a la empresa a cumplir con la ley. Reclamar que borren tu información no es un capricho; es recuperar el control sobre algo que te pertenece.

Consejos para el Acusado: Crónica de una multa anunciada

Ahora, pongámonos en los zapatos del acusado, esa organización que acaba de recibir una carta documento con palabras como ‘Ley 25.326’ y ‘derecho de supresión’. El primer impulso suele ser el pánico, seguido de una negación casi infantil. Grave error. Ignorar el problema solo lo hace más grande y más caro.

Primero: Aceptar la realidad. Esa carta no es spam. Es una notificación legal que activa plazos y obligaciones. Hacer de cuenta que no llegó es la receta perfecta para una sanción. El primer paso es, simplemente, tomarse en serio el reclamo. Parece obvio, pero la práctica demuestra que no lo es.

Segundo: La introspección de datos. Antes de responder, hay que mirar hacia adentro. ¿Qué datos tenemos de esta persona? ¿Por qué los tenemos? ¿Desde cuándo? ¿Existe alguna ley que nos obligue a conservarlos por un período específico? Esta auditoría relámpago es crucial. Quizás descubran, con horror, que guardan información desde hace una década sin ningún motivo aparente. Este es el momento de la verdad.

Tercero: Definir una política de retención. La mejor defensa es un buen ataque, y el mejor ataque es haber cumplido la ley desde el principio. Una empresa seria debe tener una política de retención de datos clara y documentada. Este documento debe establecer plazos de conservación para cada tipo de dato, basados en las finalidades para los que fueron recabados y en las obligaciones legales existentes (laborales, fiscales, comerciales, etc.). Esto no solo sirve para responder a un reclamo, sino para evitar futuros incendios.

Cuarto: La supresión segura y la respuesta. Si no existe obligación legal de conservar los datos, hay que proceder a su supresión segura. Esto no significa moverlos a una ‘papelera de reciclaje’. Significa eliminarlos de forma permanente de todas las bases de datos, incluidas las copias de seguridad, o anonimizarlos de manera que sea imposible revertir el proceso. Finalmente, se debe responder al titular por el mismo medio fehaciente, informando que su derecho ha sido satisfecho. Si, por el contrario, existe una obligación legal de mantenerlos, se debe responder explicando el motivo y el plazo legal de conservación. La transparencia, incluso en la negativa, es un atenuante. Seguir estos pasos no es ciencia ficción; es la diligencia mínima que se espera de quien maneja datos ajenos. Y, curiosamente, es la mejor forma de ahorrarse un problema legal y la minuta de un abogado que, con una sonrisa, te explicará todo lo que acabas de leer.