Crónica del devaluado
poder sancionatorio de nuestra Ley de Protección de datos personales.
(*) Santiago Grigera del Campillo
Sabrán disculparme
los lectores por el sombrío panorama que vaticina el título del presente
artículo. Lamentablemente, hoy no me puedo concentrar en el árbol porque aunque
me esfuerce por ignorarlo, sigo viendo el bosque. Como entusiasta de la
privacidad, destacando que la ley que nos rige cuenta con muchísimas virtudes
-contemplando que en octubre del corriente festejará su vigésimo cumpleaños-,
no podemos ignorar que ha quedado obsoleta en varios aspectos en relación a los
tiempos que hoy transitamos.
Específicamente me
refiero al poder sancionatorio establecido. Sin menospreciar que los topes y
sanciones aludidas en el capítulo VI parecían adecuadas hace un par de decenas
de años, en la actualidad, expone grandes deficiencias que socavan todo
esfuerzo transitado con miras a ser catalogada como una normativa “adecuada” y
coherente con las normativas internacionales vigentes sobre la materia,
aún contando con herramientas para hacer que las sanciones sean eficaces.
Como se dijo, la ley
25.326 cuenta con casi 20 años y el tope previsto por el art. 31 asciende a
$100.000. Si bien es cierto que el decreto reglamentario 1558/2001 faculta la
discrecionalidad en la graduación de las sanciones en base a las infracciones
ocasionadas, pareciera que el mérito necesario para activar las sanciones duras
y ejemplificadoras es difícil de alcanzar. ¿Cuánto daño debe generarse o padecer el titular de datos personales para
se tomen medidas drásticas acordes al desgaste, frustración y vulneración de
sus derechos? Existe la posibilidad de una doble victimización y que el
ciudadano padezca no sólo la transgresión ocasionada por el infractor sino
también, tenga que soportar el tormento de un poder sancionatorio deficiente de
la ley que supuestamente lo protege. Afloran los apercibimientos a las empresas
y organismos del estado por parte de la autoridad de aplicación pero escasean
las sanciones contundentes que desalienten reincidencias. Esto es así, aún
contemplando las disposiciones de graduación de sanciones que aumentaron los
topes de la ley original. Se aprecia un esfuerzo por la autoridad de aplicación
en perseguir violaciones a la normativa vigente pero pareciera que falta un
plus. En este caso, una nueva ley de protección de datos personales.
Me permito este
comentario porque aún la existencia de la Disposición DI-2016-71-E-APN-DNPDP#MJ
que prevé topes (muy mejorados respecto de los originarios) sancionatorios para
cada uno de los niveles de “Graduación de Sanciones” previsto por la
Disposición DNPDP N° 7/05 y sus modificatorias, han sido muy pocos casos que
han sido sancionados con rigurosidad suficiente para desalentar maniobras
violatorias a nuestra ley de protección de datos personales. Podrán verificar
que lo que digo no falta a la verdad en el buscador de normativas de la AAIP, Autoridad de aplicación enlo referente a la ley de protección de datos personales[1]. La sanciones severas, que
no han sido muchas, y que recién han tomado envión a partir del 2018, tampoco
se encuentran firmes (al menos eso es lo que surge del estado de cada
resolución consultada) por lo tanto, no resulta accesible al público al día en
que se escriben estas líneas, cómo terminaron cada una de las historias que
tienen a algunas empresas de telecomunicaciones y tarjetas de crédito como
responsables infractoras.
De todos modos,
entiendo que la autoridad de aplicación también se encuentra un tanto
imposibilitada ante la falta de legislación actualizada que tome la
determinación suficiente o al menos similar en cuanto a las penalidades por
incumplimientos e infracciones a la ley de datos personales de los ciudadanos
con la severidad y respeto que han sido reguladas en Europa, cuerpo legal de
referencia y fuente normativa con trascendencia mundial.
Todo esto lleva
indefectiblemente a que tanto organismos públicos como empresas privadas lejos
de tomarse en serio la protección de los datos, les resulte más beneficioso
incumplir que cumplir, lo que definitivamente, va en contra del espíritu de la
ley. De esta manera, la norma se convierte en un mecanismo para sortear todo
tipo de límites en perjuicio de los titulares de datos que deben transitar
largos y pedregosos caminos para tratar de hacer efectivos sus derechos y la
figura legal- lejos de disuadir a las empresas y organismos del estado a
infringir- desalienta al ciudadano a ejercer sus derechos que por ley le
corresponden.
A los fines
ilustrativos, sin ánimos de ofender a las grandes “Big five”, en el mismo
buscador de la AAIP existe una resolución (N° 89/2019 de fecha 6/6/2019)[2] en contra de YAHOO! de Argentina SRL por la
brecha de seguridad que expusiera información en el año 2013 afectando 1 billón
de personas alrededor del mundo que involucraba correos y datos de 7.970.680
Argentinos. En dicha resolución, se sancionó a la multinacional con $185.000.
Dicha resolución fue recurrida por la empresa cuya reconsideración fuera
denegada mediante resolución 156/19[3]. Por el contrario en San
Francisco, EEUU a causa del mismo suceso YAHOO! llegó un acuerdo a pagar una multa total de USD117.5 Millones[4].
La otra resolución en
contra de una grande tecnológica de fecha 13/04/2020 N°69/2020[5], sanciona con $180.000 a
GOOGLE ARGENTINA SRL y a GOOGLE LLC por $100.000. Sin perjuicio de los
montos exiguos, que no superan los USD 2.000 para la gigante extranjera, se
destaca la celeridad de la autoridad de aplicación, aunque sea el ciudadano
común el que soporte el desgaste que implica agotar las vías para poder lograr
resultados como en el presente.
De la búsqueda
realizada en la plataforma oficial no he encontrado otra resolución en contra
de alguna grande tecnológica, como Facebook, Twitter, Amazon, Netflix, Apple o Microsoft.
Las autoridades de
protección de datos de los países europeos, a raíz de su robusta legislación,
son muy severos en sancionar conductas que infrinjan los derechos de protección
de datos personales de sus ciudadanos. En los casos más graves con topes de
€20.0000.000 o de una cuantía equivalente al 4 % como máximo del volumen de
negocio total anual global del ejercicio financiero anterior, en el caso de
empresas, el que sea mayor. Por ejemplo, Google INC fue sancionada por la
autoridad Francesa por la suma de 50 Millones de Euros el pasado 21/01/2019[6].
Otro ejemplo de
severidad de multas puede ser la recibida por la cadena Hotelera Marriot
propuesta por la autoridad de aplicación del Reino Unido (ICO) por un total de
110 Millones de Euros[7].
Al parecer la suerte
económica de nuestro país es acompañada con la devaluación de la fuerza
sancionadora de las leyes que protegen los derechos de los Argentinos.
Esta realidad, tristemente se replica en otras normas. No sólo ocurre en
materia de protección de datos, la legislación penal Nacional, es otro ejemplo
de bajas penalidades, al menos en lo atinente a delitos informáticos o a los
delitos de instancia privada. Pareciera que no están en sintonía con la
realidad que vivimos hoy en día, donde cualquiera puede ver un horizonte de
consecuencias jurídicas débiles o sin el suficiente poder disuasorio, lo que
permite a aquéllos decir o hacer cualquier cosa en Internet con total impunidad
dado la inexistencia de penas serias y contundentes que desalienten
tales conductas.
Es preciso que
nuestros legisladores, tomen medidas para actualizar los regímenes
sancionatorios de ciertas normas para que los ciudadanos podamos ejercer nuestros
derechos con las garantías constitucionales que nos amparan, para lograr que se
premie al cumplidor y se condene al infractor.
[1] Recuperado
en https://www.argentina.gob.ar/aaip/buscador-normativa, consultado el 19/05/2020.
[2]
Recuperada de https://www.argentina.gob.ar/sites/default/files/rs-2019-89-apn-aaip.pdf,
consultada el 19/05/2020.
[3] Recuperada de https://www.argentina.gob.ar/sites/default/files/rs-2019-156-apn-aaip.pdf, consultada el 19/05/2020.
[4] Recuperada
de https://www.argentina.gob.ar/sites/default/files/rs-2019-156-apn-aaip.pdf, consultada el 19/05/2020.
[5] Recuperada
de https://www.argentina.gob.ar/sites/default/files/rs-2020-25457045-apn-aaip_google.pdf, consultada 19/05/2020.
[6] Recuperado de https://www.enforcementtracker.com/?insights consultado el 19/05/2020
[7]
Recuperada
de https://elpais.com/economia/2019/07/10/actualidad/1562756692_805212.htm, consultada el 19/05/2020
No hay comentarios:
Publicar un comentario