Tratamiento Masivo de Datos y su Base Legal Fantasma
La Era de la Acumulación Digital: Más es Siempre Mejor
Vivimos en una época fascinante. Una en la que la capacidad de almacenamiento se ha vuelto tan barata que la estrategia por defecto es ‘guardalo todo, ya veremos para qué’. Las empresas, desde la startup en un garage hasta el conglomerado multinacional, han abrazado la fe del ‘Big Data’. Construyen inmensos ‘lagos de datos’ (data lakes), esperando que de esas aguas turbias emerja, por arte de magia algorítmica, la próxima gran idea de negocio. Es un acto de fe. Una fe que, lamentablemente, no figura entre las bases legales que contempla la normativa vigente.
En medio de este fervor acumulativo, yace, a menudo olvidada, la Ley 25.326. No es un texto esotérico ni una pieza de arqueología legal. Es una ley bastante clara que establece un principio casi infantil en su simpleza: para tratar datos personales de alguien, necesitás una justificación válida. No alcanza con el ‘porque puedo’ o el ‘porque me sirve’. La ley, en su aburrida insistencia, enumera las razones que legitiman el tratamiento de datos. La principal, y la que más dolores de cabeza genera, es el consentimiento del titular del dato. Pero hay otras, como el cumplimiento de una obligación legal, la ejecución de un contrato, o la preservación de intereses vitales. El ‘interés legítimo’ del responsable de la base de datos también es una opción, aunque se ha convertido en el elástico favorito para estirar cualquier justificación hasta que pierda toda forma.
Lo verdaderamente notable es la sorpresa que manifiestan muchos responsables de tratamiento cuando se les señala esta obviedad. Pareciera que la tecnología avanza en un plano existencial diferente, inmune a las trivialidades del derecho. El ‘chamuyo’ de la innovación se presenta como un salvoconducto universal que exime de cumplir con la ley. Después de todo, ¿quién va a frenar el progreso por un par de artículos de una ley sancionada cuando los celulares todavía tenían tapita? El problema es que los jueces, en su mayoría, siguen operando en el plano de la realidad legal, no en el del marketing disruptivo.
El Consentimiento: Ese Término y Condición que Nadie Leyó
Hablemos del consentimiento. Esa palabra mágica que, al ser invocada, supuestamente purifica cualquier tratamiento de datos. La ley es específica hasta el hartazgo: para ser válido, el consentimiento debe ser previo, expreso e informado. ‘Previo’ significa que se obtiene antes de empezar a juntar datos, no después, cuando ya tenés el perfil completo de tus usuarios. ‘Expreso’ significa que no puede ser tácito ni inferido del silencio. El ‘no me dijo que no’ no funciona aquí. Y ‘informado’, el más pisoteado de los tres, implica que la persona debe saber, en un lenguaje claro y sencillo, quién está pidiendo los datos, para qué los está pidiendo (la famosa ‘finalidad’), y qué puede hacer para retirarlos.
Ahora, comparemos este ideal con la práctica habitual. La realidad es un link minúsculo a un documento de 8000 palabras titulado ‘Términos y Condiciones’, escrito en un dialecto legal incomprensible, que el usuario debe aceptar para usar una aplicación que le pone orejas de perro a sus fotos. Tildar esa casilla no es dar consentimiento informado; es un acto de rendición. La finalidad, a menudo, se describe con frases tan amplias como ‘para mejorar nuestros servicios’, una expresión que puede significar desde corregir un error en la app hasta venderle tus patrones de sueño a una empresa de colchones.
La ley también habla del principio de calidad y finalidad. Los datos recolectados deben ser adecuados, pertinentes y no excesivos en relación con el ámbito y la finalidad para los que se hubieren obtenido. No se pueden recolectar para una cosa y, en un rapto de inspiración, usarlos para otra completamente distinta. Si pediste el mail para mandar un recibo, no podés usarlo para bombardear al usuario con publicidad de terceros. Es una revelación que tiende a generar incomodidad en las reuniones de directorio. El tratamiento masivo de datos choca de frente con este principio: su naturaleza es, precisamente, la de ser excesivo y su finalidad, a menudo, es un vago ‘ya veremos’.
Manual de Supervivencia para el Acusado: ‘Yo No Fui’
Supongamos que sos el responsable de una de estas magníficas bases de datos y, un mal día, recibís una intimación. La tentación inicial es adoptar la ‘estrategia del avestruz’: esconder la cabeza y esperar que el problema desaparezca. Es una táctica con una tasa de éxito notablemente baja. El segundo instinto es culpar a la tecnología. ‘El algoritmo lo hizo’, ‘es inteligencia artificial, no la controlamos’. Mala idea. La responsabilidad, según la ley, es siempre del responsable del tratamiento de datos, que es una persona humana o jurídica, no un script de Python.
Entonces, ¿qué hacer? Lo primero es un baño de humildad y realidad. Contratar a alguien que entienda del tema y realizar una auditoría de datos. Es un proceso doloroso, similar a ordenar un placard después de una década de abandono. Las preguntas son sencillas: ¿Qué datos tenemos? ¿De dónde los sacamos? ¿Para qué los estamos usando? Y la pregunta del millón: ¿Cuál es nuestra base legal para cada uno de estos tratamientos? La respuesta suele ser un silencio incómodo.
Una vez mapeado el quilombo, vienen las soluciones. La minimización: borrar todo lo que no sea estrictamente necesario. La anonimización o seudonimización: técnicas para disociar los datos de la identidad de las personas. Ojo, anonimizar de verdad es mucho más difícil de lo que parece. Y, finalmente, la remediación: intentar obtener un consentimiento válido para lo que ya tenés. Esto es casi imposible a gran escala, pero es un gesto que los reguladores y jueces aprecian. Ignorar el problema, en cambio, solo garantiza que la multa sea más grande y el daño reputacional, irreparable.
El Despertar del Titular del Dato: Consejos para el Acusador
Ahora, pongámonos del otro lado del mostrador. Sos un ciudadano común y corriente y tenés la sospecha de que una empresa tiene tus datos y los está usando sin tu permiso. Sentirse indefenso es la reacción natural, pero incorrecta. La ley te da una pila de herramientas, y son sorprendentemente efectivas.
Tu primera arma es el Derecho de Acceso (Artículo 14 de la Ley 25.326). Podés mandarle una carta documento o un mail fehaciente a cualquier empresa y exigirle que te informe, en un plazo de 10 días, qué datos personales tuyos tiene, para qué los usa y de dónde los sacó. No es un favor que te hacen, es una obligación que tienen. El silencio o una respuesta evasiva ya es una infracción.
Si la respuesta revela que tienen datos que no deberían, o que son incorrectos, entran en juego tus otros derechos: rectificación, actualización o supresión (Artículo 16). Podés exigir que corrijan lo que está mal o que borren lo que no tiene justificación legal para estar ahí. Por ejemplo, si cancelaste un servicio, no tienen por qué seguir guardando tu historial de consumo para siempre.
Si la empresa te ignora olímpicamente, tenés dos caminos. El administrativo es presentar una denuncia ante la Agencia de Acceso a la Información Pública (AAIP), que puede investigar y sancionar a la empresa. El camino judicial es la acción de Habeas Data, una garantía constitucional que permite a un juez ordenar de forma rápida la exhibición, corrección o supresión de los datos. Es la opción de fuerza, el último recurso del ciudadano que se cansó de que traten su identidad digital como una mercancía más. Porque, al final del día, de eso se trata: los datos no son solo unos y ceros en un servidor; son una extensión de quiénes somos.
