Para el ex presidente del Consejo para la Transparencia las entidades deben tomar medidas significativas, que en caso de las entidades más complejas requerirán destinar recursos para ello.
Respecto de los datos sensibles relativos a la salud, en Actualidad Jurídica conversamos con Marcelo Drago, ex presidente Consejo para la Transparencia, quien analiza el panorama en la nueva ley respecto de las fuentes de licitud en el tratamiento de los datos que tienen las organizaciones y en qué consisten los datos personales de regulación especial en la nueva ley de protección de datos.
¿Cuáles son los principales cambios que contiene el proyecto de ley en la nueva ley de protección de datos?
Es un cambio copernicano, pasamos de una ley impracticable como la que tenemos actualmente, a una ley efectiva, con dientes, cuyo cumplimiento es velado por una autoridad con facultades reales, sanciones fuertes y con la posibilidad de que cualquier persona haga valer sus derechos de forma sencilla y efectiva.
Creo que los cambios más importantes están en el rediseño y actualización de muchas definiciones de la ley, incluyendo la de datos sensibles y categorías especiales de datos; el fortalecimiento de los derechos ARCO, con nuevos derechos como la portabilidad; la reformulación de los principios, como el principio de responsabilidad que exige que las organizaciones demuestren (y, en la mayoría de los casos, documenten) la forma en que cumplen los principios de protección de datos; y por cierto hay cambio fundamental en el sistema de sanciones y la creación de una entidad pública encargada de hacer cumplir la ley.
¿Cómo define la nueva ley los datos personales sensibles?
La nueva definición de datos sensibles mantiene los elementos de la definición actual en lo referido a características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, pero le actualiza el listado de ejemplos, todos referidos a categorías que, en distintos momentos de la historia han sido utilizados para discriminar arbitrariamente a las personas, como, las creencias religiosas, la situación socioeconómica, los datos relativos a la salud, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural.
Se trata de una definición abierta, que permite en el futuro incorporar nuevas categorías por la vía interpretativa, en virtud de la permanente evolución social.
En ese sentido, ¿cuál será el desafío en materia de datos personales sensibles?
Sin duda que el tratamiento lícito de datos sensibles representa un desafío gigante a partir de la nueva ley. Creo que para todas las organizaciones que tratan estos datos el gran desafío será el de establecer y demostrar la legitimidad de su tratamiento, poder invocar y probar una base de legitimidad para el tratamiento de esos datos, la justificación legal o legítima para recopilar, almacenar, utilizar o compartir datos personales de individuos.
En el caso de los datos sensibles las fuentes de licitud son más restringidas. Lo principal será el consentimiento del titular de los datos, que en este caso debe ser expreso. Pero no siempre será posible obtenerlo, por lo tanto, se deben evaluar otras categorías, como los ejercicios derechos ámbito laboral o de seguridad social, o un mandato de la ley. Esta tarea será clave para obtener el respaldo legal básico en el tratamiento de datos que realiza la entidad, y no caer en un tratamiento ilícito de datos sensibles.
Por otro lado, ¿en qué consisten los datos personales de regulación especial en la nueva ley de protección de datos?
La ley define una serie de categorías especiales de datos, como los de geolocalización o los históricos y estadísticos. Pero los datos relativos a niños, niñas y adolescentes más que una categoría especial son una supra categoría con las exigencias de licitud más estrictas de todo el proyecto, donde las únicas fuentes de licitud son el consentimiento de padres o tutores y la ley. Además, de acuerdo al proyecto, constituye una obligación especial de los establecimientos educacionales y de las entidades públicas o privadas que traten estos datos personales de NNA, el velar por su uso lícito y su protección.
¿Cuál es el panorama en la nueva ley respecto de las fuentes de licitud en el tratamiento de los datos que tienen las organizaciones?
Si uno revisa las principales sanciones de las autoridades de protección de datos europeas, y nosotros con esta nueva ley estamos siguiendo el estándar que fijaron los europeos con su reglamento general de protección de datos, la infracción número uno, es “base jurídica insuficiente”, con el 31% de las sanciones asociadas a esa contravención. Luego, en segundo lugar, infracciones referidas a medidas de seguridad y luego incumplimiento de principios generales de la protección de datos como el de finalidad. Es decir, no haber logrado determinar y probar una base jurídica suficiente, es el principal riesgo que presentan las organizaciones, y esta base jurídica en el caso de los datos sensibles es aún más estricta.
Las situaciones sancionadas son muy diversas; hospitales por tener mal el consentimiento, aplicaciones por no asegurar que quien las descarga y utiliza no son menores de edad, solicitar certificado de antecedentes penales a candidatos a un empleo, etc., etc.
Una vez entre en vigencia la nueva ley de protección de datos, ¿cómo deben prepararse las organizaciones al respecto?
Lo primero es tomar conciencia de la relevancia de esta nueva ley y de que se deben tomar medidas significativas, que en caso de las entidades más complejas requerirán destinar recursos para ello. Luego, se deben preparar cuidadosamente acciones para dar cumplimiento al principio de responsabilidad establecido en la nueva ley, que exige que las organizaciones demuestren de forma activa y documentada la forma en que cumplen los principios de protección de datos al realizar cualquier acción con ellos.
Para esto será clave elaborar un inventario detallado de procesamiento respecto de todos los datos personales que la organización gestiona y examinarlos -al menos- bajo las siguientes preguntas: ¿Por qué tiene esos datos? ¿Cómo fueron obtenidos? ¿Por qué se recolectaron originalmente esos datos? ¿Se respetó el principio de proporcionalidad al momento de su recolección, en relación con su finalidad? ¿Cuánto tiempo los conservará? ¿Hasta qué punto es seguro mantenerlos, tanto en términos de encriptación como de accesibilidad? ¿Comparte los datos con terceros y, si fuere así, en qué fuente legal se basa para hacerlo?
Ahora, si el trabajo de la organización implica el tratamiento de datos de niños, niñas o adolescentes, debe asegurarse de que dispone de sistemas adecuados para verificar la edad de las personas y recabar el consentimiento de los padres o tutores.
Por último, ¿qué debe contener el modelo ideal de prevención de infracciones y cumplimiento?
Para enfrentar exitosamente el cumplimiento de la ley, es necesario incorporar un nuevo modelo de prevención robusto. El proyecto deja claro que los responsables de tratamiento de datos pueden voluntariamente adoptar un modelo de prevención de infracciones consistente en un programa de cumplimiento, con exigencias detalladas ya definidas en la ley. Estas incluyen un oficial de protección de datos con conocimientos, atribuciones e independencia, mecanismos efectivos para el cumplimiento de los derechos ARCO, obligación de informar a la autoridad las brechas de seguridad, y en algunos casos también informar a los titulares de los datos, desarrollar medidas para incorporar la privacidad por defecto, y por diseño, como las evaluaciones de impacto.
Al momento de enfrentar un proceso sancionatorio del regulador, se considerará atenuante el haber cumplido diligentemente con los deberes de dirección y supervisión para la protección de datos personales, lo que puede rebajar significativamente las altas multas establecidas en esta legislación y generar fuertes ahorros a la compañía.