Demoras en eliminar datos: El arte de la espera digital
La Revelación: Un Derecho, No un Favor
Existe una noción, aparentemente revolucionaria para algunos, de que los datos personales que una persona genera le pertenecen. Sorprendente, lo sé. Esta idea tan vanguardista está plasmada en una ley, la 25.326 de Protección de Datos Personales, que, entre otras cosas, consagra el derecho de ‘supresión’. En criollo: el derecho a pedir que borren tu información. Y la empresa u organización que la tiene, debe hacerlo. No es un favor que te hacen ‘de onda’, es una obligación legal.
¿Qué son ‘datos personales’? Cualquier cosa que te identifique o te haga identificable. Tu nombre, DNI, domicilio, email, foto, historial de compras, hasta la IP desde la que te conectás. Si una empresa tiene esa información tuya y vos ya no querés que la tenga, podés pedir que la eliminen. El responsable de la base de datos, una vez que acredita tu identidad para asegurarse de que sos vos y no un tercero malintencionado, tiene un plazo. Y aquí viene otra revelación impactante: el plazo es de cinco días hábiles. No ‘cuando al pibe de sistemas le quede un rato’. Cinco días. Y, por supuesto, el trámite debe ser gratuito para el titular del dato.
El incumplimiento no es una anécdota simpática para contar en una reunión de directorio. Es una infracción. La ley establece un marco claro, y la pasividad o la demora deliberada son interpretadas, para sorpresa de absolutamente nadie con dos dedos de frente, como lo que son: un incumplimiento a una obligación legal explícita. El espíritu de la norma no es crear una carrera de obstáculos para el usuario, sino garantizar un control efectivo sobre la propia información. Un concepto que, por alguna razón, necesita ser recordado con una frecuencia alarmante.
El Laberinto Técnico: ¿Dónde ‘Vive’ un Dato?
Aquí es donde el responsable de la base de datos suele poner cara de preocupación y empieza a hablar de ‘complejidades técnicas’. Y, siendo justos, a veces las hay. Un dato no es un papelito guardado en un cajón con tu nombre. En el ecosistema digital, tu información puede estar replicada, fragmentada y distribuida en una cantidad asombrosa de lugares. Pensemos en una base de datos de producción, una de testing, varios backups (diarios, semanales, mensuales), registros de logs del servidor, sistemas de análisis de terceros, herramientas de marketing por correo electrónico, y una pila de etcéteras.
Borrar un dato de forma definitiva es como intentar sacar hasta la última gota de café que se te volcó en la alfombra del auto. No es imposible, pero requiere un método. Existe el llamado ‘soft delete’ (borrado lógico), que es básicamente marcar un registro como ‘inactivo’ o ‘borrado’. El dato sigue ahí, invisible para la aplicación, pero perfectamente recuperable. Es rápido, fácil y, desde la perspectiva de la ley, a menudo insuficiente. Luego está el ‘hard delete’ (borrado físico), que implica eliminar el registro de la base de datos de forma permanente. Esto es más complejo, especialmente por las dependencias que otros datos puedan tener con ese registro.
Y ni hablemos de los backups. La práctica habitual es no modificar los respaldos históricos. Entonces, aunque te borren de la base de datos activa, tu información podría ‘revivir’ si se restaura un backup antiguo. La solución a esto suele ser la anonimización (reemplazar tus datos por valores genéricos) o esperar a que los backups cumplan su ciclo de vida y sean destruidos. El punto central, y la verdad incómoda para el sector técnico, es que la complejidad del sistema no es una excusa legal válida para la inacción. Si tu arquitectura de datos es un lío tal que no podés garantizar un derecho básico, el problema es tuyo, no del usuario que lo reclama. La ley obliga a tener ‘medidas técnicas y organizativas’ apropiadas, y eso incluye, previsiblemente, un plan para borrar datos cuando corresponde.
Consejos para el Impaciente (El Acusador)
Si sentís que tu solicitud de eliminación de datos fue enviada al éter digital, no desesperes. Hay un camino, y es más metódico que emocional. Lo primero es la formalidad. Olvidate de un tuit o un mensaje por Instagram. Necesitás una prueba fehaciente de tu reclamo.
Paso 1: La Intimación Formal. Redactá un correo electrónico claro y conciso. Identifícate plenamente (nombre completo, DNI) y adjuntá una imagen de tu documento para que puedan verificar tu identidad. Citá el artículo 16 de la Ley 25.326 y solicitá explícitamente la ‘supresión’ de todos tus datos personales. Pedí que te confirmen la recepción y, posteriormente, la ejecución de la baja en el plazo de cinco días hábiles. Guardá ese correo como oro. Si querés ponerte más serio, una carta documento tiene un peso innegable, aunque implica un costo.
Paso 2: La Dulce Espera. Una vez enviado el requerimiento, empieza a correr el reloj. Contá cinco días hábiles. Si no recibís respuesta o si la respuesta es una evasiva (‘lo estamos procesando’), pasás al siguiente nivel.
Paso 3: La Artillería Legal. Tenés dos vías principales. La primera es administrativa: presentar una denuncia ante la Agencia de Acceso a la Información Pública (AAIP). Es un procedimiento gratuito que no requiere de un abogado. La Agencia intimará a la empresa para que responda y, si no lo hace o la respuesta es insatisfactoria, puede aplicarle sanciones. La segunda vía es judicial: la acción de Habeas Data. Este es un proceso judicial rápido y específico, diseñado para proteger los datos personales. Aquí sí vas a necesitar un abogado. Es el camino más contundente y suele reservarse para cuando la vía administrativa no funciona o cuando el caso tiene una gravedad particular. Un juez le ordenará a la empresa que, en un plazo perentorio, borre tus datos o demuestre por qué legalmente no puede o no debe hacerlo.
Consejos para el Distraído (El Acusado)
Ahora, para la empresa que recibió una de estas solicitudes y la dejó en el fondo de la pila de pendientes. Un par de ‘revelaciones obvias’ que pueden ahorrarte dolores de cabeza y de bolsillo. Lo primero es la medicina preventiva, una idea revolucionaria conocida como ‘minimización de datos’. No pidas ni guardes información que no sea estrictamente necesaria para tu servicio. Parece simple, pero es asombroso cuántas empresas acumulan datos ‘por si acaso’. Menos datos tenés, menos tenés que gestionar y, por ende, menos tenés que borrar.
Lo segundo es tener un procedimiento. No puede ser que una solicitud de supresión genere una crisis existencial en tu equipo. Alguien tiene que ser el responsable. Tiene que haber un protocolo claro: quién recibe la solicitud, cómo se verifica la identidad, quién da la orden técnica, cómo se comprueba que se hizo y cómo se le comunica al usuario. Dejar esto librado al azar es la receta para el desastre. Y no, ‘el sistema no nos deja’ no es una defensa que inspire mucha simpatía en un tribunal.
Pero, ¿qué pasa si ya metiste la pata y se te pasó el plazo? Ignorar al usuario es la peor estrategia posible. Es como ver una pequeña filtración en el techo y poner un balde, esperando que deje de llover para siempre. No va a pasar. Lo correcto es comunicarse de forma proactiva. Pedir disculpas por la demora, explicar (sin excusas inverosímiles) que se está procesando y darle una fecha concreta y cercana de resolución. Y, por supuesto, cumplirla. Paralelamente, correr a solucionar el problema internamente.
Recordá que las multas por infracciones a la ley de datos personales pueden ser significativas. Pero más allá del dinero, está el daño reputacional. Un usuario que tiene que pelear para que respeten sus derechos no va a volver a confiar en vos, y probablemente le cuente su mala experiencia a unos cuantos. En definitiva, la protección de datos no es un departamento de quejas. Es una parte central de la confianza del cliente y una obligación legal ineludible. Tratarla como una ocurrencia tardía es, sencillamente, un pésimo negocio.
