Protección de datos personales: Recomendaciones para el nuevo proyecto de ley en Argentina

Organizaciones de la sociedad civil solicitan la suspensión del desarrollo e implementación de tecnologías de procesamiento masivo de datos personales en Argentina

PUBLISHED: 28 January 2022LAST UPDATED: 26 January 2023

Buenos Aires, 28 de enero de 2022

 

Alberto Fernández, Presidente de la Nación

Sergio Tomás Massa, Presidente de la Cámara de Diputados de la Nación

Cristina Fernández de Kirchner, Presidenta del Senado de la Nación

S / D

Las organizaciones abajo firmantes solicitamos una suspensión en la adquisición, despliegue y desarrollo de nuevas tecnologías que impliquen el procesamiento masivo de datos personales. El pedido se enmarca a la luz de eventos recientes que han demostrado la falta de políticas públicas en materia de protección de datos personales y seguridad informática, especialmente respecto del procesamiento de los datos de los residentes y habitantes de la República Argentina. Es necesario que esta suspensión se haga efectiva hasta tanto se brinde mayor información para esclarecer los hechos sucedidos, se implementen mejoras en materia de seguridad informática y se establezcan mecanismos democráticos para la toma de decisiones sobre la utilización de estas herramientas tecnológicas. 

Los motivos de tal solicitud radican en un actuar histórico de los entes estatales en relación al manejo de los datos personales, pero puntualmente respecto a ciertos hechos recientes:

Filtración de datos del RENAPER

En octubre de 2021 se conoció que la base de datos del Registro Nacional de las Personas (RENAPER) había sufrido una vulneración de seguridad donde se extrajo información de los documentos nacionales de identidad como foto y número de trámite. Los detalles sobre cómo se produjo dicha vulneración son variados y contradictorios. De acuerdo a comunicaciones oficiales, se detectó el uso indebido de una clave otorgada al Ministerio de Salud de la Nación por la cual se accedió al sistema y se obtuvieron los datos. Pese a que el Ministerio del interior no lo considera vulneración o filtración de datos, muy por el contrario, esto representa una seria vulneración al sistema informático.

Pese a numerosos intentos por parte de organizaciones de la sociedad civil y expertos y expertas en la materia, no ha sido posible obtener respuestas para esclarecer los hechos. En especial, se desconocen los sistemas de seguridad implementados, las políticas para el otorgamiento y administración de llaves de acceso. La negativa del RENAPER de dar respuesta a los pedidos de acceso a la información pública va en contra de la normativa nacional y opaca la transparencia con la que el Estado debería actuar

Esta vulneración se suma a una larga lista de incidentes haciendo de esto ya un problema estructural. Entre ellos, el incidente conocido como “la gorra leaks”, la filtración de la base de datos del Instituto de la Obra Social de las Fuerzas Armadas, la vulneración de la base de datos de la Dirección Nacional de Migraciones y la filtración de datos del Ministerio de Salud, solo para mencionar los más recientes. 

Censo 2022

Desde hace más de dos años organizaciones de la sociedad civil resisten la incorporación del dato del documento de identidad al censo que se realizará este año. Recientemente la preocupación ha sido reavivada al conocer que dicha propuesta sigue vigente. Pese a numerosas comunicaciones con las autoridades e informes elaborados en conjunto con organizaciones académicas no hay confirmación alguna acerca de si dicho dato será removido del censo.

Esta sería la primera vez en la historia argentina que el censo se vincularía a un dato de identificación unívoca como el DNI, lo cual no solo afectaría la privacidad de las personas sino también la correcta recolección de datos para el desarrollo de políticas públicas. Además, se crearía una peligrosa base de datos con información altamente sensible de la población. La remoción del anonimato es contraria a las recomendaciones y buenas prácticas estadísticas a nivel nacional e internacional (Ley N° 17.622 y Disposición N° 176/99 del INDEC).

Falta de designación de la Dirección de la Agencia de Acceso a la Información Pública

La Agencia de Acceso a la Información Pública (AAIP) es la autoridad encargada de la aplicación de la Ley de Protección de Datos Personales Nº25326. Habiendo renunciado Eduardo Bertoni a la dirección de la AAIP desde el 1ro de enero de 2021, la responsabilidad cayó sobre el Director de Protección de Datos Personales, Eduardo Hernán Cimato. 

Dicha circunstancia es, al menos, irregular y no garantiza la aplicación de la ley. En primer lugar, la delegación de las facultades de director o directora en un oficial de menor jerarquía es inválida por cuanto al cesar la función del primero cesa su capacidad de delegar. A su vez, los modernos estándares en la materia y la misma ley en el artículo 29, exige que el puesto sea cubierto por una persona idónea con demostrados conocimientos en la materia. Por estas razones, el actual director subrogante no cuenta con los requisitos legales necesarios para ejercer el cargo, permitiendo y debiendo considerarse a la Dirección de la AAIP vacante. 

Los citados sucesos generan aún mayor preocupación dado el contexto actual en relación a las normas aplicables y a las tecnologías utilizadas por el sector público que implican la recolección de datos de la ciudadanía. 

Ley de Protección de Datos Personales desactualizada 

La actual Ley de Protección de Datos Personales fue sancionada hace más de 20 años, antes de que internet fuese una herramienta masiva y el procesamiento de datos se realizara a gran escala tanto en el sector público como en el sector privado. La digitalización incluso se ha acelerado producto de la pandemia del Covid-19, impulsando numerosos aspectos de nuestras vidas a espacios en línea y el desarrollo de aplicaciones públicas de recolección de datos con fines de salud.

Si bien fue pionera en su momento, la ley requiere de una urgente actualización para ajustarse a los modernos estándares en la materia, garantizar el derecho a la privacidad de los habitantes en este nuevo contexto y poner a resguardo los sistemas informáticos críticos públicos. En su defecto, las vulneraciones a derechos fundamentales continuarán sucediendo y se pondrá en riesgo la continuidad de la adecuación otorgada por la Unión Europea afectando en última instancia a la economía del país. 

Persecución criminal a quienes denuncian vulnerabilidades en los sistemas informáticos

El trabajo de la comunidad de seguridad de la información es esencial para garantizar que los sistemas informáticos cuenten con medidas de seguridad suficientes para evitar vulneraciones. En las numerosas oportunidades que estos defectos han sido descubiertos por especialistas, el accionar estatal ha consistido en perseguir a quienes realizan las denuncias o a miembros de la comunidad sin basamento fáctico. 

Este es el caso de Javier Smaldone, perseguido por la vulneración a la base de datos de las fuerzas de seguridad federales conocida como “La Gorra 2.0” debido a sus opiniones compartidas en redes sociales y por su trabajo en contra del sistema de voto electrónico, sin ninguna otra prueba. Luego de haber sido absuelto, el caso fue cerrado cancelando la búsqueda de los verdaderos perpetuantes y sin revisión de las graves irregularidades del proceso. 

Gaspar Ariel Ortmann también fue perseguido al denunciar una vulnerabilidad en el sistema de HomeBanking del Banco Nación pese a haber actuado de buena fe y comunicado el problema a las autoridades correspondientes. En diciembre de 2020 el juez a cargo de la causa decidió su absolución y determinó que su actuar no solo no constituyó un acceso ilegítimo sino que reconoció la utilidad pública de su actividad. 

Desarrollo e implementación de tecnologías sin transparencia y debidas salvaguardas

En los últimos años, los gobiernos nacionales, provinciales y municipales han desarrollado e implementado tecnologías inherentemente peligrosas (como las tecnologías de reconocimiento facial y cámaras térmicas) o tecnologías cuyo uso o acceso ilegítimo puede implicar serios daños a los derechos de la ciudadanía (Sistema Federal de Identificación Biométrica para la Seguridad y aplicaciones móviles para combatir la pandemia del Covid-19). 

En ninguno de estos casos las autoridades a cargo de las tecnologías adoptaron medidas de seguridad previas para evitar su potencial dañoso, como son los debates abiertos con los sectores interesados, estudios de impacto sobre la privacidad, auditorías independientes, transparencia en la compra y desarrollo, etc. 

Por las razones expuestas y dado el contexto actual, solicitamos suspender la adquisición, implementación y desarrollo de nuevas tecnologías de procesamiento masivo de datos hasta tanto: 

  1. Se implementen mecanismos de seguridad para la protección de los datos personales sometidos a auditorías externas.
  2. Se elimine del censo la solicitud del DNI.
  3. Se designe director o directora de la Agencia de Acceso a la Información Pública que reúna los requisitos de competencia y solvencia necesarios.
  4. Se actualice la ley de protección de datos personales para adecuarla a los más altos estándares existentes.
  5. Se creen mecanismos que garanticen la seguridad de quienes denuncian fallas en los sistemas informáticos.
  6. Se comprometa públicamente en llevar a cabo debates abiertos e inclusivos de forma previa a la toma de decisiones en materia de implementación tecnológica.

Adhieren:

Access Now

Asociación por los Derechos Civiles (ADC)

Fundación Vía Libre

Observatorio de Derecho Informático Argentino (O.D.I.A.)