PROTECCIÓN DE DATOS PERSONALES EN EMPRESAS: BREVES RECOMENDACIONES PARA CUMPLIR CON LA LEGISLACIÓN


 

Por Mercedes Gozaini

Abogada egresada de la Universidad de Buenos Aires. Magíster en Derecho Empresarial por la Universidad Austral con Tesis calificada como sobresaliente (10). Presidenta de la Comisión de Jóvenes del Colegio de Abogados de la Ciudad de Buenos Aires. Actualmente se desempeña como Regional Compliance Officer & Legal Counsel en OLX Group.


 


Introducción

Tras el impacto del derecho a la autodeterminación informativa(1) que provocó la necesidad de proteger los datos personales en el tratamiento informático, las organizaciones han tenido que encontrar respuestas al uso de la información personal de sus clientes y usuarios sin perder la posibilidad de utilizar el conocimiento que ellos proveen.


Lejos de ser un tema inexplorado -existe normativa en materia de protección de datos personales que tiene más de 50 años en Europa(2) y poco más de 20 en América Latina(3)- los conceptos de “Data Privacy” y “Data Protection” han tomado una relevancia superlativa luego de la entrada en vigor del Reglamento General de Protección de Datos de la Unión Europea, conocida como “GDPR”, y en español “RGPD”. Entre varios factores, ello se ha debido a la imposición de diversas obligaciones para toda persona, empresa, gobierno y organización que ofrezca bienes y servicios o que recopile y trate datos vinculados a los residentes de la Unión Europea (UE), y a las significativas multas que impone la normativa frente a su incumplimiento.


No es menos importante destacar la trascendencia del Reglamento para las compañías ubicadas fuera de la UE, toda vez que la extraterritorialidad que la propia norma plantea, determina que la sujeción a sus directrices no está sujeta a la locación de la persona o compañía que recolecte o procese los datos, sino a la residencia del titular de éstos.


Al respecto, el artículo 3° del RGPD señala la aplicación de sus cláusulas para cualquier tratamiento de datos personales de residentes de la UE cuando tales actividades de procesamiento estén relacionadas con:

  • La oferta de bienes o servicios a dichos interesados en la UE (independientemente de si a estos se les requiere su pago), o

  • El control de su comportamiento, en la medida en que este tenga lugar en la UE.

Asimismo, el RGPD se utiliza en el tratamiento de datos personales por parte de un responsable que no se encuentre establecido en la UE sino en un lugar donde el Derecho de los Estados miembros se aplique en virtud del Derecho Internacional Público. Este criterio aplica, por ejemplo, al tratamiento de datos personales llevado cabo por embajadores o cónsules de Estados miembros ubicados fuera del territorio de la UE.

Adicionalmente, el Considerando 23 trae aún más claridad respecto al ámbito de aplicación al mencionar algunos factores que evidenciarían la voluntad del responsable o encargado de procesar el entrecruzamiento de información personal en la oferta de bienes o servicios dentro de uno o varios de los Estados miembros de la UE.

El uso de la lengua o una moneda utilizada generalmente entre Estados miembros de la UE podría revelar esta intención por parte de la organización.


Independientemente de lo expuesto, la Argentina también presenta un plexo normativo que por sí solo compromete a las compañías locales a garantizar a sus clientes y usuarios una adecuada protección de datos personales. Ejemplo de ello es la Ley de Protección de Datos Personales N° 25.326, y la adhesión al Convenio 108 del que la Argentina es oficialmente parte desde el 1º de junio de 2019.


El Convenio 108 es un instrumento multilateral de carácter vinculante en materia de protección de datos personales, que tiene por objeto proteger la privacidad de los individuos contra posibles abusos en el tratamiento de sus datos. La adhesión de la Argentina constituye un compromiso activo con la comunidad internacional en cuanto a la actualización de la normativa aplicable a la materia y la cooperación entre países.


En definitiva, sea por la aplicación de la normativa local o internacional, las compañías argentinas deben tomar varias precauciones para evitar que se ponga en riesgo la información que sus clientes y usuarios les proporcionan, o que el trato que se brinde a los datos intercambiados no sea el adecuado. Tanto las legislaciones internacionales (RGPD), como las locales (ley 25.326 y ordenamientos provinciales) establecen severas multas frente a potenciales incumplimientos.


No obstante, la verdadera motivación de las empresas se encausa en el sostenimiento de la confianza por parte de sus clientes, lo que indudablemente impacta en su nivel de reputación. Debido a ello, este artículo propone brindar algunas breves recomendaciones para todos aquellos que se encuentren asesorando o gerenciado empresas y deseen convertirse en actores “GDPR compliant”.


Confianza, seguridad y reputación


Durante los últimos años, los usuarios y clientes han tomado cada vez más conciencia acerca de las graves consecuencias que puede acarrear el mal uso de sus datos personales. Ello se debe a varios factores, entre los que se puede destacar el avance que han tenido las nuevas tecnologías sobre la privacidad, la transferencia de datos y la mala utilización de estas con objetivos fraudulentos. En líneas generales, el consumidor actual es más exigente, cuidadoso y busca estar más y mejor informado. Es así como ponen más atención sobre qué información comparten y con quienes.


El informe Edelman Trust barometer, que recopila datos de más de 34.000 encuestas en 28 países, ha evidenciado que en los últimos años existe una relación intrínseca entre confianza y beneficio empresarial. Es así como el 68% de los encuestados manifestó negarse a comprar productos o servicios de empresas que no les merecen confianza, e incluso expresó que las desaconseja a conocidos, amigos o familiares. Por otra parte, el 80% declaró que suele comprar a aquellas que les merecen confianza, y las recomiendan a sus conocidos. En igual sentido, el informe Edelman de Argentina correspondiente al año 2019(4) evidenció que el 63% de los encuestados está de acuerdo con la afirmación:

una buena reputación puede hacer que pruebe un producto, pero si no confío en la compañía que lo realiza, dejaré de comprarlo pronto”.

Los mecanismos de seguridad que las compañías implementen para proteger los datos personales de sus usuarios son esenciales para mantener o incrementar su reputación en el mercado. Por el contrario, aquellas empresas que no priorizan (e invierten recursos en) la seguridad de la información, la capacitación de sus empleados en la materia y la adecuada comunicación a sus clientes y usuarios, son más susceptibles a los riesgos que acarrea la filtración de datos que, como ya hemos expresado, lejos de sólo ocasionar multas y daños económicos, impacta fuertemente sobre la reputación de la empresa.