DERECHO INFORMATICO CORDOBA : Una ley que premia al incumplidor y perjudica a las víctimas.

Crónica del devaluado poder sancionatorio de nuestra Ley de Protección de datos personales.

(*) Santiago Grigera del Campillo

Sabrán disculparme los lectores por el sombrío panorama que vaticina el título del presente artículo. Lamentablemente, hoy no me puedo concentrar en el árbol porque aunque me esfuerce por ignorarlo, sigo viendo el bosque. Como entusiasta de la privacidad, destacando que la ley que nos rige cuenta con muchísimas virtudes -contemplando que en octubre del corriente festejará su vigésimo cumpleaños-, no podemos ignorar que ha quedado obsoleta en varios aspectos en relación a los tiempos que hoy transitamos.

Específicamente me refiero al poder sancionatorio establecido. Sin menospreciar que los topes y sanciones aludidas en el capítulo VI parecían adecuadas hace un par de decenas de años, en la actualidad, expone grandes deficiencias que socavan todo esfuerzo transitado con miras a ser catalogada como una normativa “adecuada” y coherente con las normativas internacionales vigentes sobre la materia, aún contando con herramientas para hacer que las sanciones sean eficaces.

Como se dijo, la ley 25.326 cuenta con casi 20 años y el tope previsto por el art. 31 asciende a $100.000. Si bien es cierto que el decreto reglamentario 1558/2001 faculta la discrecionalidad en la graduación de las sanciones en base a las infracciones ocasionadas, pareciera que el mérito necesario para activar las sanciones duras y ejemplificadoras es difícil de alcanzar. ¿Cuánto daño debe generarse o padecer el titular de datos personales para se tomen medidas drásticas acordes al desgaste, frustración y vulneración de sus derechos? Existe la posibilidad de una doble victimización y que el ciudadano padezca no sólo la transgresión ocasionada por el infractor sino también, tenga que soportar el tormento de un poder sancionatorio deficiente de la ley que supuestamente lo protege. Afloran los apercibimientos a las empresas y organismos del estado por parte de la autoridad de aplicación pero escasean las sanciones contundentes que desalienten reincidencias. Esto es así, aún contemplando las disposiciones de graduación de sanciones que aumentaron los topes de la ley original. Se aprecia un esfuerzo por la autoridad de aplicación en perseguir violaciones a la normativa vigente pero pareciera que falta un plus. En este caso, una nueva ley de protección de datos personales.

Me permito este comentario porque aún la existencia de la Disposición DI-2016-71-E-APN-DNPDP#MJ que prevé topes (muy mejorados respecto de los originarios) sancionatorios para cada uno de los niveles de “Graduación de Sanciones” previsto por la Disposición DNPDP N° 7/05 y sus modificatorias, han sido muy pocos casos que han sido sancionados con rigurosidad suficiente para desalentar maniobras violatorias a nuestra ley de protección de datos personales. Podrán verificar que lo que digo no falta a la verdad en el buscador de normativas de la AAIP, Autoridad de aplicación enlo referente a la ley de protección de datos personales[1]. La sanciones severas, que no han sido muchas, y que recién han tomado envión a partir del 2018, tampoco se encuentran firmes (al menos eso es lo que surge del estado de cada resolución consultada) por lo tanto, no resulta accesible al público al día en que se escriben estas líneas, cómo terminaron cada una de las historias que tienen a algunas empresas de telecomunicaciones y tarjetas de crédito como responsables infractoras.

De todos modos, entiendo que la autoridad de aplicación también se encuentra un tanto imposibilitada ante la falta de legislación actualizada que tome la determinación suficiente o al menos similar en cuanto a las penalidades por incumplimientos e infracciones a la ley de datos personales de los ciudadanos con la severidad y respeto que han sido reguladas en Europa, cuerpo legal de referencia y fuente normativa con trascendencia mundial.

Todo esto lleva indefectiblemente a que tanto organismos públicos como empresas privadas lejos de tomarse en serio la protección de los datos, les resulte más beneficioso incumplir que cumplir, lo que definitivamente, va en contra del espíritu de la ley. De esta manera, la norma se convierte en un mecanismo para sortear todo tipo de límites en perjuicio de los titulares de datos que deben transitar largos y pedregosos caminos para tratar de hacer efectivos sus derechos y la figura legal- lejos de disuadir a las empresas y organismos del estado a infringir- desalienta al ciudadano a ejercer sus derechos que por ley le corresponden.

A los fines ilustrativos, sin ánimos de ofender a las grandes “Big five”, en el mismo buscador de la AAIP existe una resolución (N° 89/2019 de fecha 6/6/2019)[2] en contra de YAHOO! de Argentina SRL por la brecha de seguridad que expusiera información en el año 2013 afectando 1 billón de personas alrededor del mundo que involucraba correos y datos de 7.970.680 Argentinos. En dicha resolución, se sancionó a la multinacional con $185.000. Dicha resolución fue recurrida por la empresa cuya reconsideración fuera denegada mediante resolución 156/19[3]. Por el contrario en San Francisco, EEUU a causa del mismo suceso YAHOO! llegó un acuerdo a pagar una multa total de USD117.5 Millones[4].

La otra resolución en contra de una grande tecnológica de fecha 13/04/2020 N°69/2020[5], sanciona con $180.000 a GOOGLE ARGENTINA SRL y a GOOGLE LLC por $100.000. Sin perjuicio de los montos exiguos, que no superan los USD 2.000 para la gigante extranjera, se destaca la celeridad de la autoridad de aplicación, aunque sea el ciudadano común el que soporte el desgaste que implica agotar las vías para poder lograr resultados como en el presente.

De la búsqueda realizada en la plataforma oficial no he encontrado otra resolución en contra de alguna grande tecnológica, como Facebook, Twitter, Amazon, Netflix, Apple o Microsoft.

Las autoridades de protección de datos de los países europeos, a raíz de su robusta legislación, son muy severos en sancionar conductas que infrinjan los derechos de protección de datos personales de sus ciudadanos. En los casos más graves con topes de €20.0000.000 o de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, en el caso de empresas, el que sea mayor. Por ejemplo, Google INC fue sancionada por la autoridad Francesa por la suma de 50 Millones de Euros el pasado 21/01/2019[6].

Otro ejemplo de severidad de multas puede ser la recibida por la cadena Hotelera Marriot propuesta por la autoridad de aplicación del Reino Unido (ICO) por un total de 110 Millones de Euros[7].

Al parecer la suerte económica de nuestro país es acompañada con la devaluación de la fuerza sancionadora de las leyes que protegen los derechos de los Argentinos. Esta realidad, tristemente se replica en otras normas. No sólo ocurre en materia de protección de datos, la legislación penal Nacional, es otro ejemplo de bajas penalidades, al menos en lo atinente a delitos informáticos o a los delitos de instancia privada. Pareciera que no están en sintonía con la realidad que vivimos hoy en día, donde cualquiera puede ver un horizonte de consecuencias jurídicas débiles o sin el suficiente poder disuasorio, lo que permite a aquéllos decir o hacer cualquier cosa en Internet con total impunidad dado la inexistencia de penas serias y contundentes que desalienten tales conductas.

Es preciso que nuestros legisladores, tomen medidas para actualizar los regímenes sancionatorios de ciertas normas para que los ciudadanos podamos ejercer nuestros derechos con las garantías constitucionales que nos amparan, para lograr que se premie al cumplidor y se condene al infractor.