Falsificación de Consentimiento para Tratamiento de Datos Personales
El consentimiento: Ese pilar de cristal que todos creen de acero
Seamos brutalmente honestos. En el imaginario colectivo de muchas organizaciones, el consentimiento para el tratamiento de datos es un trámite molesto. Una casilla de verificación que obstaculiza la conversión, un texto legal que nadie lee y que, con suerte, se puede esconder al final de un scroll infinito. Es el peaje que hay que pagar para llegar al tesoro: los datos. La Ley 25.326, nuestra Ley de Protección de Datos Personales, tiene una visión ligeramente distinta. Para la ley, el consentimiento no es un peaje, es el cimiento sobre el cual se construye toda la legitimidad del tratamiento. Y exige que este cimiento sea libre, expreso e informado.
Analicemos esta santísima trinidad. Libre significa que no puede haber coerción; el usuario no puede ser puesto entre la espada y la pared, donde negar el consentimiento implique la imposibilidad de acceder a un servicio que no depende de esos datos. Expreso implica una manifestación de voluntad positiva e inequívoca. El silencio, las casillas pre-marcadas o la inacción no constituyen un consentimiento válido. El usuario debe realizar una acción afirmativa. Informado es, quizás, el punto más sistemáticamente vulnerado. El titular debe saber, antes de dar su consentimiento, quién recopila sus datos (el responsable), para qué finalidad específica, si serán cedidos a terceros y cómo puede ejercer sus derechos de acceso, rectificación y supresión. Presentarle un bloque de texto de 8000 palabras en lenguaje críptico no es informar, es disuadir.
La ironía suprema es que muchas empresas invierten fortunas en seguridad para proteger sus activos, pero custodian la prueba de su legitimidad para operar con datos —el consentimiento— con la misma diligencia que un niño guarda un caramelo. Creen que un simple valor booleano en una tabla de su base de datos (`consentimiento = TRUE`) es una defensa legal. Es el equivalente a presentarse en un juicio con un dibujo del arma homicida hecho en una servilleta. La ley y los jueces, afortunadamente, esperan un poco más de rigor.
La anatomía de un fraude: Cómo se «fabrica» un consentimiento
La falsificación de un consentimiento no siempre es un acto malicioso y deliberado de un villano de película alterando registros en una base de datos a las 3 de la mañana. Muchas veces, es el resultado de un diseño negligente, de una cultura que prioriza la recolección de datos por sobre el derecho a la privacidad. Si uno quisiera construir un sistema que genere consentimientos inválidos por diseño, los pasos serían sencillos y, lamentablemente, muy populares.
Primero, se utilizarían casillas pre-marcadas. Es la forma más elegante de aprovecharse de la inercia del usuario. Se asume el ‘sí’ por defecto, invirtiendo la carga de la acción. Esto es directamente contrario al requisito de que el consentimiento sea ‘expreso’. Segundo, se redactarían Términos y Condiciones y Políticas de Privacidad ambiguos y extensos, donde el consentimiento para fines de marketing, cesión a «socios comerciales» y otros usos secundarios se agrupa con el consentimiento necesario para la prestación del servicio. Es el famoso ‘todo o nada’, que atenta contra el carácter ‘libre’ e ‘informado’ del consentimiento. Tercero, y este es el talón de Aquiles técnico, se implementaría un sistema de registro deficiente. Aquí es donde la mayoría de las defensas se desmoronan.
Un registro de consentimiento robusto, el único que puede servir como prueba, debe incluir, como mínimo: la identificación del usuario (ID, nombre de usuario), la fecha y hora exactas (timestamp), la dirección IP desde la que se otorgó, el texto específico que se aceptó (incluyendo la versión de la política de privacidad) y el user-agent del navegador o dispositivo. Cualquier cosa menor a esto es una invitación al desastre. Un simple ‘sí’ en una base de datos no prueba nada. ¿Cuándo se otorgó? ¿Bajo qué términos? ¿Quién hizo clic? Sin esa traza auditable, la afirmación de tener consentimiento es un acto de fe, no una certeza jurídica.
El que acusa: Consejos para no morir en el intento
Si sentís que una empresa está usando tus datos sin tu permiso, no basta con la indignación. Hay que ser metódico. El primer paso es ejercer tu derecho de acceso, consagrado en el artículo 14 de la Ley 25.326. Debés intimar a la empresa para que en un plazo de 10 días corridos te informe qué datos tuyos posee y, fundamentalmente, que te provea una copia o prueba del consentimiento que alegan tener. Esta solicitud debe hacerse por un medio fehaciente, como una carta documento, para que quede constancia.
La respuesta de la empresa, o la falta de ella, es la pieza central de tu caso. Si responden con evasivas, con un simple «usted aceptó nuestros términos», o si presentan una prueba deficiente (como un screenshot de su base de datos sin los elementos de auditoría que mencionamos antes), tenés una base sólida. Si no responden en el plazo legal, la presunción juega a tu favor. Guardá todo: correos electrónicos, capturas de pantalla de las casillas de consentimiento que nunca marcaste, la carta documento enviada y el acuse de recibo.
Con esta evidencia, el siguiente paso es presentar una denuncia ante la Agencia de Acceso a la Información Pública (AAIP), la autoridad de control en la materia. Este organismo puede investigar, solicitar más información a la empresa y, eventualmente, imponer sanciones que van desde apercibimientos hasta multas económicas de una pila considerable. Además, siempre queda abierta la vía judicial para reclamar los daños y perjuicios que este uso indebido te haya ocasionado. La clave es transformar tu certeza personal («yo no di mi permiso») en una duda razonable sobre la legalidad del accionar de la empresa, respaldada por la falta de pruebas de su parte.
El que se defiende: Estrategias más allá del «no fui yo»
Ahora, pongámonos del otro lado del mostrador. Si tu empresa es acusada de tratar datos sin consentimiento, la peor estrategia es el pánico y la negación. La segunda peor es confiar ciegamente en que el departamento de sistemas «tiene todo registrado». La única defensa real y sostenible es una que se construye mucho antes de recibir la primera intimación: la conformidad proactiva.
Tu defensa es, ni más ni menos, la calidad de tus registros. Si podés presentar un log inalterado que muestre que el usuario con ID ‘12345’ desde la IP ‘X.X.X.X’ con el navegador ‘Chrome versión Y’ en el sistema operativo ‘Z’ aceptó la política de privacidad versión 3.1 (cuyo texto también tenés archivado) el día ‘D’ a la hora ‘H’, tu posición es sólida. Si tu única prueba es una columna en una tabla que dice ‘acepto=1’, estás en serios problemas. Francamente, es casi indefendible. La carga de la prueba, no nos cansaremos de repetirlo, es tuya. Sos vos quien debe demostrar que el consentimiento se obtuvo lícitamente. La ausencia de prueba robusta equivale a la ausencia de consentimiento a los ojos de la autoridad y la justicia.
Las consecuencias de no tomarse esto en serio van más allá de una multa. Implican un daño reputacional inmenso. En la era de la información, una empresa que no respeta los datos de sus usuarios es tan confiable como un mecánico que te devuelve el auto con menos piezas de las que tenía. El verdadero desafío no es legal, es cultural. Implica entender que la privacidad no es un obstáculo para el negocio, sino un prerrequisito. Invertir en una plataforma de gestión de consentimientos (CMP), realizar auditorías periódicas y capacitar a los equipos de marketing y desarrollo sobre estos principios no es un gasto, es la póliza de seguro más barata que vas a encontrar. Creer que se puede operar en el siglo XXI con prácticas de recolección de datos del siglo pasado no es optimismo, es una negligencia que, tarde o temprano, pasa factura.
