Recolección de datos biométricos sin base legal en Argentina

La recolección de datos biométricos sin una base jurídica válida constituye una grave infracción a la Ley de Protección de Datos Personales 25.326.
Un gran embudo, con forma de rostro humano, succionando vorazmente una fila interminable de huellas dactilares flotantes. El embudo desemboca en un basurero desbordante. Representa: Recolección de datos biométricos sin base legal

La revelación: tu cara es un dato personal

En el vertiginoso mundo de la tecnología, donde la novedad de ayer es la antigüedad de hoy, a veces se nos olvidan los fundamentos. Aquí va uno que parece escaparse con frecuencia: tu rostro, tu iris, la geometría de tu mano o tu huella dactilar no son solo características biológicas. Son datos personales. Y no cualquier tipo de dato. La Ley de Protección de Datos Personales N° 25.326, en su artículo 2, los cataloga como datos sensibles. ¿Qué significa esto? Significa que revelan información que puede dar lugar a discriminación, como el origen racial o étnico, opiniones políticas, convicciones religiosas, y en este caso, datos referentes a la salud o la vida sexual, categoría donde la doctrina y la autoridad de aplicación suelen encuadrar a la biometría por su capacidad única de identificación.

Que un dato sea ‘sensible’ no es un adjetivo poético. Implica, en términos legales, que su tratamiento está, por principio, prohibido. La ley establece un cerrojo de máxima seguridad sobre ellos. Solo se pueden recolectar y tratar en circunstancias muy específicas, como razones de interés general autorizadas por ley, o con el consentimiento explícito e informado del titular. No hay grises. El principio rector es la restricción. Esto no es una sugerencia, es una imposición legal que busca proteger lo más íntimo de una persona: su propia identidad física, inmutable y permanente.

Resulta fascinante observar cómo algunas organizaciones, con una audacia digna de mejores causas, deciden que es una excelente idea montar un operativo para escanear el iris de miles de personas a cambio de alguna criptomoneda o beneficio efímero. Parecen operar bajo la premisa de que si la tecnología lo permite, entonces debe ser legal. Una lógica que, llevada al extremo, justificaría casi cualquier cosa. La realidad es que la tecnología siempre corre más rápido que la ley, pero eso no la exime de cumplirla. El auto puede ir a 200 km/h, pero si la máxima es 130, bueno, la conclusión es bastante obvia.

El consentimiento, ese ilustre desconocido

El pilar sobre el cual se sostiene todo el edificio de la protección de datos es el consentimiento. Pero no cualquier tipo de consentimiento. La ley argentina es bastante puntillosa al respecto. El artículo 5 de la Ley 25.326 exige que sea libre, expreso e informado, y que conste por escrito o por otro medio que permita se le equipare, de acuerdo con las circunstancias. Desglosemos esta pieza de arte legal que tantos parecen interpretar de forma creativa.

Libre: Significa que no debe haber coacción. Si la única manera de acceder a un servicio, trabajo o beneficio es entregando tus datos biométricos, la libertad de ese consentimiento es, como mínimo, cuestionable. No se puede poner a una persona entre la espada y la pared.

Expreso: No se presume. El silencio o la inacción no constituyen consentimiento. La persona debe realizar una acción afirmativa y clara. Un cartelito genérico que dice ‘Al entrar aquí, aceptas nuestros términos y condiciones’ no es consentimiento expreso para que te escaneen la cara. Ni cerca.

Informado: Este es el punto donde la mayoría de las iniciativas hacen agua. Para que el consentimiento sea informado, el responsable de la base de datos debe proveer, de forma clara y precisa, la siguiente información, como mínimo: (a) la finalidad para la que serán tratados sus datos; (b) quiénes serán los destinatarios o clase de destinatarios de esa información; (c) la existencia del archivo, registro o banco de datos en cuestión, y la identidad y domicilio de su responsable; (d) el carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, y (e) la posibilidad del titular de ejercer los derechos de acceso, rectificación y supresión de sus datos. Entregar un panfleto vago o remitir a una política de privacidad de 80 páginas en inglés no cumple con este requisito. Es necesario un esfuerzo activo por hacer comprensible el tratamiento para una persona sin conocimientos técnicos.

Cuando el fin ‘justifica’ los medios (Spoiler: no)

Una defensa recurrente ante la recolección masiva de datos biométricos es apelar a una finalidad superior. ‘Lo hacemos por seguridad’, ‘es para mejorar la experiencia del usuario’, ‘estamos construyendo la identidad digital del futuro’. Argumentos nobles, sin duda. El problema es que la nobleza de la meta no otorga una licencia para ignorar el proceso legal. Aquí entran en juego otros dos principios fundamentales: el de finalidad y el de proporcionalidad.

El principio de finalidad (art. 4 de la ley) dicta que los datos no pueden ser utilizados para fines distintos o incompatibles con aquellos que motivaron su obtención. Si se recolectaron datos para verificar la identidad en un único acto, no pueden luego ser usados para entrenar una inteligencia artificial, venderse a terceros o crear un perfil global del individuo. Suena lógico, pero en la práctica, el ‘scope creep’ o la ampliación de la finalidad es una tentación constante.

Luego está la proporcionalidad, un derivado del principio de calidad del dato. ¿Es realmente necesario escanear el iris de toda la población de una ciudad para validar la identidad de un grupo de usuarios de una app? ¿No existen métodos menos invasivos para lograr el mismo objetivo? La recolección de datos sensibles debe ser el último recurso, no el primero. Es como usar un martillo pilón para cascar una nuez. Es efectivo, sí, pero el daño colateral es desproporcionado. Acumular bases de datos biométricas es crear un riesgo monumental. A diferencia de una contraseña, no podés cambiar tu cara o tu iris si la base de datos es vulnerada. El daño es, en muchos casos, permanente.

Manual de supervivencia para damnificados y (supuestos) innovadores

Frente a este panorama, es útil tener una hoja de ruta. Tanto para quien siente que sus derechos fueron vulnerados como para quien, quizás por un exceso de optimismo, se encuentra del otro lado del mostrador.

Para el titular del dato (el damnificado):

  1. Derecho de Acceso (Art. 14): Es el primer paso. Tenés derecho a solicitar y obtener información de tus datos personales incluidos en los bancos de datos. La empresa tiene 10 días corridos para responder. Esto sirve para confirmar que efectivamente tienen tus datos y saber exactamente qué información poseen.
  2. Derecho de Rectificación, Actualización o Supresión (Art. 16): Si la información es incorrecta, o si considerás que su almacenamiento carece de justificación legal (como en los casos que discutimos), podés exigir su supresión. La empresa tiene 5 días hábiles para hacerlo. Es clave invocar la naturaleza sensible del dato y la ausencia de un consentimiento válido como fundamento.
  3. Denuncia ante la Agencia de Acceso a la Información Pública (AAIP): Si la empresa no responde o se niega a cumplir, el siguiente paso es presentar una denuncia ante la AAIP. Es el organismo de control de la Ley 25.326. Este procedimiento administrativo puede resultar en investigaciones y sanciones para la empresa infractora.
  4. Acción de Habeas Data (Art. 33): Es la vía judicial. Permite que un juez ordene a la empresa exhibir qué datos tiene y, en su caso, que los suprima o los corrija. Es una herramienta poderosa y expedita.
  5. Reclamo por Daños y Perjuicios: El tratamiento ilícito de datos personales, especialmente los sensibles, puede generar un daño moral que es indemnizable. Esta vía civil busca una compensación económica por la angustia y la vulneración sufrida.

Para el responsable del tratamiento (el ‘innovador’):

Si te das cuenta de que tu brillante proyecto tiene algunas… inconsistencias con la ley, el primer consejo es bastante simple: pará la pelota. Dejar de recolectar datos de forma indebida es el paso cero. Luego, una estrategia de contención podría incluir:

  1. Auditoría Legal Urgente: Contratá a un abogado que sepa del tema. No al que te hace los contratos de alquiler. Necesitás un análisis de riesgo honesto para entender la magnitud del problema.
  2. Revisar la Base Legal: ¿Existe alguna otra base legal además del consentimiento que aplique? En el 99% de los casos de biometría para fines comerciales, la respuesta es no. Asumilo.
  3. Plan de Remediación: Esto implica, muy probablemente, la supresión segura de todos los datos recolectados ilegalmente. Documentá este proceso de destrucción. Es tu mejor defensa a futuro.
  4. Rediseñar el Proceso: Si la recolección de datos biométricos es genuinamente indispensable para tu modelo de negocio (lo cual es raro), diseñá un proceso de obtención de consentimiento que cumpla con la ley a rajatabla. Claro, explícito, granular y con información completa.
  5. Asumir la Responsabilidad: Ignorar las intimaciones o las denuncias solo agrava la situación. Una postura colaborativa con la autoridad de aplicación y los titulares de los datos puede mitigar las consecuencias, que van desde multas económicas sustanciales hasta un daño reputacional del que cuesta mucho recuperarse. Al final del día, la confianza es el activo más valioso, y una vez que se pierde, no hay tecnología que la pueda restaurar.

Vas a querer leer