Close
Enter your
text here

Datos Personales

Protección de Datos Personales. Adecuación de la UE. 150 150 Estudio Trevisan

Protección de Datos Personales. Adecuación de la UE.

Data Protection

Por Marie Olivier de Sanderval

La Comisión Europea revalidó el 15 de enero pasado el estatus de la República Argentina, y otros 10 países[1], como país adecuado para el libre flujo transfronterizo de datos personales. La decisión, inicialmente adoptada bajo la legislación de la UE anterior al Reglamento General de Protección de Datos (RGPD)[2], confirma que los datos personales transferidos desde la Unión Europea hacia Argentina continúan beneficiándose de garantías adecuadas en materia de protección de datos.

La Comisión Europea, en su informe al Parlamento Europeo y al Consejo[3], elogia la evolución del marco jurídico argentino desde la adopción de la decisión de adecuación, incluyendo las modificaciones legislativas, la jurisprudencia y las actividades de los organismos de supervisión, que han contribuido a elevar el nivel de protección de datos.

La Comisión destaca el papel fundamental de la Agencia de Acceso a la Información Pública (AAIP) en este proceso. Se observa que la independencia de la autoridad argentina de control de protección de datos se ha fortalecido considerablemente mediante la adopción del decreto nº 746/17, que confiere a la AAIP la responsabilidad de supervisar el cumplimiento de la legislación de protección de datos. Además, la Comisión observa que la AAIP ha emitido varios reglamentos y opiniones vinculantes con el objetivo de precisar la interpretación y aplicación práctica del marco de protección de datos, contribuyendo así a la actualización de la legislación de protección de datos.

La evaluación también reconoce que Argentina ha fortalecido sus compromisos internacionales en materia de protección de datos al adherirse, en 2019, al Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos personales y a su protocolo adicional, y al ratificar, en 2023, el protocolo de enmienda que establece la Convención 108+ modernizada.

Asimismo, el informe de la Comisión Europea resalta la claridad y accesibilidad de las normas que rigen el acceso de las autoridades públicas a los datos personales, asegurando que estos pueden ser utilizados únicamente para fines de interés público.

La Comisión concluye que Argentina continúa garantizando un nivel adecuado de protección de datos personales transferidos desde la UE.

Al mismo tiempo, la Comisión recomienda incorporar en la legislación las protecciones que se han desarrollado a nivel infralegal con el fin de fortalecer la seguridad jurídica y consolidar estos requisitos. La Comisión considera que el proyecto de ley sobre protección de datos, recientemente presentado en el Congreso, podría ofrecer la oportunidad de codificar estas evoluciones y fortalecer aún más el marco argentino en materia de privacidad.

La Comisión seguirá monitoreando la evolución de la situación en Argentina[4].


[1] Andorra, Canadá, Islas Feroe, Guernsey, Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay.

[2] La Comisión adoptó la decisión de adecuación para Argentina el 30 de junio de 2003 (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32003D0490), después de haber recibido la opinión del Grupo de Trabajo del Artículo 29 el 3 de octubre de 2002 (https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2002/wp63_en.pdf). La decisión establece que, para los fines del Artículo 25(2) de la Directiva 95/46/CE (Directiva de Protección de Datos), Argentina proporciona un nivel adecuado de protección para los datos personales transferidos desde la Unión Europea

[4] El art. 97 del RGPD requiere que la Comisión revise periódicamente estas decisiones, cada cuatro años, para determinar si los países y territorios que recibieron una calificación de adecuación siguen proporcionando un nivel adecuado de protección para los datos personales

Análisis del actual marco regulatorio para la IA aplicada a la salud. Tendencias en Argentina y en la UE. 150 150 Estudio Trevisan

Análisis del actual marco regulatorio para la IA aplicada a la salud. Tendencias en Argentina y en la UE.

Por Marie Olivier de Sanderval, abogada del Estudio Trevisán Abogados.

– – – – –

ia-decision-salud

La inteligencia artificial (IA) está revolucionando el campo de la salud al ofrecer nuevas oportunidades para mejorar el diagnóstico, tratamiento y atención médica en general. Sin embargo, el rápido avance de la IA también plantea desafíos regulatorios y éticos. En respuesta a esta situación, surgieron nuevos instrumentos normativos tanto a nivel internacional como local. A continuación, analizaremos algunos de estos instrumentos que constituyen hitos importantes en el desarrollo de un marco regulatorio de la IA.

Aclaraciones preliminares:

–       Actualmente, no hay en el mundo leyes que regulen integralmente el uso de la IA. Sí hay, en muchos países (desde Canadá a India o incluso China) proyectos de regulación integral del uso de la AI, avanzando rápidamente en los últimos meses. El proyecto abstracto, genérico y abarcativo más “comentado” es el proyecto de Reglamento Europeo de Inteligencia Artificial (AI Act).

–       Existen acuerdos de “soft law”, de carácter no vinculante, que establecen recomendaciones de carácter éticos y guías de buenas prácticas en el uso y desarrollo de herramientas de IA.

–       Ante la ausencia legislativa ante descripta, las normativas de datos personales se usan para adoptar medidas respecto de los sistemas de IA.

Teniendo en cuenta estas aclaraciones, presentaremos algunos acuerdos de “soft law” que tienen implicancias en el campo de la salud (1) y el enfoque de la Unión Europea con respecto a la IA (2); para luego abordar la situación en Argentina (3).

1.     Análisis de unos acuerdos de “soft law”

1.1    Los principios rectores de la OMS

En julio de 2021, la OMS publicó el primer informe mundial sobre IA aplicada a la salud (informe titulado “Ethics and governance of artificial intelligence for health”).

A fin de limitar los riesgos y aumentar al máximo las oportunidades que conlleva la utilización de la IA en el ámbito de la salud, la OMS propuso que la reglamentación y gobernanza de la IA se basen en los seis principios siguientes:

  • Preservar la autonomía del ser humano. En el contexto de la atención de salud, ello significa que los seres humanos deberían seguir siendo dueños de los sistemas de atención de salud y las decisiones médicas; se debería preservar la privacidad y la confidencialidad, y los pacientes deben dar su consentimiento informado y válido por medio de marcos jurídicos adecuados para la protección de datos.
  • Promover el bienestar y la seguridad de las personas y el interés público. Los diseñadores de tecnologías de IA deberían cumplir los requisitos normativos en materia de seguridad, precisión y eficacia para indicaciones o usos bien definidos. Se deben instaurar medidas de control de la calidad en la práctica y de mejora de la calidad en la utilización de la IA.
  • Garantizar la transparencia, la claridad y la inteligibilidad. La transparencia exige que se publique o documente información suficiente antes de la concepción o el despliegue de una tecnología de IA. Esa información debe ser fácilmente accesible y facilitar consultas y debates provechosos sobre la concepción de la tecnología y sobre el uso que se debería hacer o no de ésta.
  • Promover la responsabilidad y la rendición de cuentas. Las tecnologías de IA permiten realizar tareas específicas; ahora bien, incumbe a las partes interesadas velar para que éstas sean utilizadas en condiciones apropiadas y por personas debidamente formadas. Se deberían instaurar mecanismos eficaces para que las personas y los grupos que se vean perjudicados por decisiones basadas en algoritmos puedan cuestionarlas y obtener reparación.
  • Garantizar la inclusión y la equidad. La inclusión requiere que la IA aplicada a la salud sea concebida de manera que aliente la utilización y el acceso equitativos en la mayor medida de lo posible, con independencia de la edad, el sexo, el género, el ingreso, la raza, el origen étnico, la orientación sexual, la capacidad u otras características amparadas por los códigos de derechos humanos.
  • Promover una IA con capacidad de respuesta y sostenible. Los diseñadores, desarrolladores y usuarios deberían evaluar de forma continua y transparente las aplicaciones de la IA en situación real a fin de determinar si ésta responde de manera adecuada y apropiada a las expectativas y las necesidades. Los sistemas de IA también se deberían concebir de modo que se reduzcan al mínimo sus efectos medioambientales y se aumente la eficiencia energética. Los gobiernos y las empresas deberían anticipar las perturbaciones ocasionadas en el lugar de trabajo, en particular la formación que se deberá impartir a los agentes de salud para que se familiaricen con el uso de los sistemas de IA, y las posibles pérdidas de empleos debidas a la utilización de sistemas automatizados.

1.2    La Recomendación sobre la Ética de la Inteligencia Artificial de la UNESCO

En noviembre de 2021, la UNESCO aprobó la Recomendación sobre la Ética de la Inteligencia Artificial, primer instrumento normativo mundial sobre la ética de IA.

Textualmente se aspira a “aportar un instrumento normativo aceptado mundialmente que no solo se centre en la articulación de valores[1] y principios[2], sino también en su aplicación práctica, mediante recomendaciones de política concretas (…)”. Sin perjuicio de su estatus de derecho blando y de los límites propios de normas del estilo, la consigna postulada llama la atención por cuanto excede la propuesta de principios generales orientadores que en otros instrumentos ensayó UNESCO y presenta, en cambio, recomendaciones de políticas concretas.

En ese marco, se consignan medidas específicas a desplegarse para la salud y el bienestar social.

Dichas medidas son de interés, por lo cual las reproducimos en su integridad a continuación:

ÁMBITO DE ACTUACIÓN 11: SALUD Y BIENESTAR SOCIAL

121. Los Estados Miembros deberían esforzarse por emplear sistemas eficaces de IA para mejorar la salud humana y proteger el derecho a la vida, en particular atenuando los brotes de enfermedades, al tiempo que desarrollan y mantienen la solidaridad internacional para hacer frente a los riesgos e incertidumbres relacionados con la salud en el plano mundial, y garantizar que su despliegue de sistemas de IA en el ámbito de la atención de la salud sea conforme al derecho internacional y a sus obligaciones en materia de derechos humanos. Los Estados Miembros deberían velar por que los actores que participan en los sistemas de IA relacionados con la atención de la salud tengan en cuenta la importancia de las relaciones del paciente con su familia y con el personal sanitario.

122. Los Estados Miembros deberían garantizar que el desarrollo y el despliegue de los sistemas de IA relacionados con la salud en general y con la salud mental en particular —prestando la debida atención a los niños y los jóvenes— estén regulados, de modo que esos sistemas sean seguros, eficaces, eficientes y probados desde el punto de vista científico y médico y faciliten la innovación y el progreso médico con base empírica. Además, en el ámbito conexo de las intervenciones de salud digital, se alienta encarecidamente a los Estados Miembros a que hagan participar activamente a los pacientes y sus representantes en todas las etapas pertinentes del desarrollo del sistema.

123. Los Estados Miembros deberían prestar particular atención a la regulación de las soluciones de predicción, detección y tratamiento médicos en las aplicaciones de la IA, mediante: a) la supervisión para minimizar y atenuar los sesgos; b) la inclusión del profesional, el paciente, el cuidador o el usuario del servicio en el equipo en calidad de “experto en la materia” en todas las etapas pertinentes al elaborar los algoritmos; c) una debida atención a la privacidad, dado que quizá sea necesaria una vigilancia médica, y el cumplimiento de todos los requisitos nacionales e internacionales pertinentes en materia de protección de datos; d) mecanismos eficaces para que las personas cuyos datos personales se están analizando sepan de la utilización y el análisis de sus datos y den su consentimiento informado al respecto, sin impedir el acceso a la atención de la salud; e) la garantía de que el cuidado humano y la decisión final sobre el diagnóstico y el tratamiento correspondan siempre a seres humanos, reconociendo al mismo tiempo que los sistemas de IA también pueden ayudarlos en su trabajo; f ) el examen, cuando sea necesario, de los sistemas de IA por un comité de investigación ética antes de su uso clínico.

124. Los Estados Miembros deberían realizar investigaciones sobre los efectos y la regulación de los posibles daños de los sistemas de IA para la salud mental, tales como un aumento de la depresión, la ansiedad, el aislamiento social, el desarrollo de adicciones, el tráfico, la radicalización y la información errónea, entre otros.

125. Los Estados Miembros deberían elaborar directrices sobre las interacciones entre seres humanos y robots y sus repercusiones en las relaciones entre seres humanos, basadas en la investigación y orientadas al desarrollo futuro de robots, y prestando especial atención a la salud mental y física de los seres humanos. Debería prestarse particular atención al uso de robots en la atención de la salud, en la atención a las personas de edad y las personas con discapacidad y en el ámbito de la educación, así como a los robots para uso infantil y para usos lúdicos, conversacionales y de compañía para niños y adultos. Además, deberían utilizarse las tecnologías de la IA para mejorar la seguridad y el uso ergonómico de los robots, en particular en entornos de trabajo en los que intervienen robots y seres humanos. Debería prestarse especial atención a la posibilidad de utilizar la IA para manipular los sesgos cognitivos humanos y hacer un mal uso de ellos.

126. Los Estados Miembros deberían velar por que las interacciones entre seres humanos y robots se ajusten a los mismos valores y principios que se aplican a cualquier otro sistema de IA, lo que incluye los derechos humanos y las libertades fundamentales, la promoción de la diversidad y la protección de las personas vulnerables o en situación de vulnerabilidad. Las cuestiones éticas relativas a los sistemas basados en la IA utilizados en las neurotecnologías y las interfaces cerebro-ordenador deberían tenerse en cuenta a fin de preservar la dignidad y la autonomía humanas.

127. Los Estados Miembros deberían velar por que los usuarios puedan determinar fácilmente si interactúan con un ser vivo o con un sistema de IA que imita las características humanas o animales y puedan rechazar eficazmente dicha interacción y solicitar la intervención humana.

128. Los Estados Miembros deberían aplicar políticas de sensibilización sobre la antropomorfización de las tecnologías de la IA y las tecnologías que reconocen e imitan las emociones humanas, especialmente en el lenguaje utilizado para referirse a ellas, y evaluar las manifestaciones, las implicaciones éticas y las posibles limitaciones de esa antropomorfización, en particular en el contexto de la interacción entre robots y seres humanos y, especialmente, cuando se trate de niños.

129. Los Estados Miembros deberían alentar y promover la investigación colaborativa sobre los efectos de la interacción a largo plazo de las personas con los sistemas de IA, prestando especial atención a las consecuencias psicológicas y cognitivas que estos sistemas pueden tener en los niños y los jóvenes. Para ello deberían utilizarse múltiples normas, principios, protocolos, enfoques disciplinarios y un análisis de la modificación de las conductas y los hábitos, así como una cuidadosa evaluación de los impactos culturales y sociales posteriores. Además, los Estados Miembros deberían alentar la investigación sobre el efecto de las tecnologías de la IA en el desempeño del sistema sanitario y los resultados en materia de salud.

130. Los Estados Miembros, así como todas las partes interesadas, deberían establecer mecanismos para hacer participar de manera significativa a los niños y los jóvenes en las conversaciones, los debates y la adopción de decisiones sobre las repercusiones de los sistemas de IA en sus vidas y su futuro

Por último, en materia de “soft law”, nos parece interesante resaltar que la Unión Europea y Estados Unidos anunciaron a fines de mayo 2023 la creación de un borrador de “código de conducta” común para la IA, que se aplicaría de manera voluntaria por las empresas del sector, frente al riesgo de que China tome la iniciativa de regular un ámbito en pleno auge.

2.     El enfoque de la Unión Europea

2.1  La propuesta de Reglamento de Inteligencia Artificial (AI Act)

En abril de 2021, la Comisión Europea presentó su paquete de IA, que incluía:

–       su Comunicación sobre el fomento de un enfoque europeo de la inteligencia artificial;

–       una actualización del Plan coordinado sobre inteligencia artificial (cuyo objetivo es acelerar la inversión en IA en Europa)

–       su propuesta de Reglamento por el que se establecen normas armonizadas sobre la IA  y la evaluación de impacto pertinente.

La propuesta de Reglamento de Inteligencia Artificial (AI Act) sigue un enfoque basado en los riesgos (distinguiendo entre cuatro niveles de riesgo diferentes: riesgo inaceptable, alto riesgo, riesgo limitado y riesgo mínimo) y establece un marco jurídico horizontal y uniforme para la IA encaminado a garantizar la seguridad jurídica. Promueve la inversión y la innovación en IA, mejora la gobernanza y la aplicación efectiva de la legislación vigente en materia de derechos fundamentales y seguridad, y facilita el desarrollo de un mercado único para las aplicaciones de IA.

En diciembre de 2022, el Consejo de la Unión Europea adoptó su posición común (orientación general) sobre el Reglamento de Inteligencia Artificial. El 11 de mayo de 2023, la Comisión de Mercado Interior y la Comisión de Libertades Civiles del Parlamento Europeo aprobaron un proyecto de mandato de negociación sobre el Reglamento antemencionado. Se espera que en junio el Parlamento finalice su posición para que las tres instituciones acuerden el texto definitivo para el Reglamento en la materia.

Se pretende lograr que los sistemas de inteligencia artificial puedan tener supervisión humana, sean seguros, transparente, trazables, no discriminatorios y respeten el medio ambiente, a la vez que se intenta lograr una definición de la IA que sea tecnológicamente neutra para perdurar en el tiempo ante los avances de la tecnología. En el proyecto se destaca la prohibición de los sistemas de inteligencia artificial que utilicen técnicas subliminales que trasciendan la conciencia de una persona para alterar su comportamiento, o se aproveche de las vulnerabilidades de un grupo específico de personas para alterar su comportamiento, también aquellas IA que evalúen y clasifiquen a las personas en periodos de tiempo por su conducta social (Scoring social).

Por otro lado, se clasifican las IA según el nivel de riesgo y establecen obligaciones para proveedores y usuarios en virtud de ese riesgo, que con el nuevo documento amplía la clasificación de áreas de alto riesgo incluyendo daños a la salud, la seguridad, los derechos fundamentales, el medio ambiente, las campañas políticas y los sistemas de recomendación utilizados por redes sociales según la ley de servicios digitales.

Se introducen nuevas prohibiciones de usos intrusivos y discriminatorios de sistemas de IA como la identificación biométrica remota «en tiempo real» en espacios de acceso público; la identificación biométrica remota «a posteriori» (salvo que autorice un juez en supuestos especiales), la categorización biométrica por datos sensibles (raza, sexo, estatus, religión, política, etc.), los sistemas policiales predictivos (según perfiles, localización o antecedentes), los sistemas de reconocimiento de emociones en determinados supuestos y la extracción indiscriminada de datos biométricos de redes sociales o grabaciones de CCTV para crear bases de datos de reconocimiento facial en violación de los derechos humanos y del derecho a la intimidad.

Los modelos de base generativa como GPT cumplirán requisitos adicionales de transparencia como identificar cuando un contenido fue generado por la IA, evitar que genere contenidos ilegales y publicar resúmenes de los datos protegidos por derechos de autor utilizados para su entrenamiento.

Los ciudadanos podrán presentar quejas sobre un sistema de IA de alto riesgo y recibir explicaciones claras y significativas sobre el papel de la IA en el procedimiento de toma de decisiones, los principales parámetros de la decisión adoptada y los datos de entrada relacionados.

Los sistemas estarán registrados y contarán con la supervisión de una oficina especializada.

2.2  IA y régimen de datos personales en la Unión Europea

Tal como lo indicamos en la introducción, aunque todavía no este adoptado definitivamente el AI Act, se utiliza la normativa de datos personales para adoptar medidas respecto de los sistemas de IA.

Pues, los sistemas de IA se “nutren” de datos, funcionan en base a datos, logran resultados derivados de recolectar y procesar estos datos, la mayor parte de los cuales son datos personales. Por eso resulta natural que se controle que los sistemas de IA cumplan con los requerimientos legislativos de datos personales.

El Reglamento de Protección de Datos de la Unión Europea (RGPD) contienen preceptos más específicamente aplicables a los sistemas de IA.

–       Mediante los principios de “Protección de datos desde el diseño y por defecto” (art. 25), el RGPD exige la adopción de ciertas “medidas técnicas y organizativas” ‘ex-ante’ desde el desarrollo mismo de los sistemas de tratamientos masivos de datos personales; así como medidas “con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento…. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.”

–       Por otra parte, el RGPD exige una “evaluación de impacto relativa a la protección de datos” (art. 35), cuyos requisitos mínimos se describen detalladamente (ítems a a d del inc. 7 del art. 35) “cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas”. Esta evaluación (‘Data Protection Impact Assessment’) debe ser realizada por el responsable “antes del tratamiento de datos”, previendo el RGPD situaciones específicas al respecto (especialmente para tratamiento de datos sistemáticos, automatizados y a gran escala) y la necesidad de requerir la consulta previa a la autoridad de control para determinados supuestos de riesgos potencialmente altos (art. 36).

Se puede entonces efectuar el control de cumplimiento de la normativa sobre datos personales a los responsables de tratamiento de datos que utilizan sistemas de IA.

En lo atinente a la salud, nos parece interesante mencionar que, en el marco de la Estrategia Europea de Datos, la Comisión Europea presentó en mayo de 2022 una propuesta de reglamento para la creación del Espacio Europeo de Datos Sanitarios (el «EEDS»), cuyo objetivo es (i) ayudar a los usuarios a tomar control de sus propios datos sanitarios y (ii) apoyar el uso de los datos sanitarios para mejorar la prestación de asistencia sanitaria, la investigación, innovación y elaboración de políticas. Asimismo, el reglamento también permitirá a la Unión Europea beneficiarse del intercambio, uso y reutilización de los datos sanitarios.

3.     La situación en Argentina

3.1   Los principios rectores recientemente aprobados

Tomando en cuenta los antecedentes de softlaw antemencionados (así como la Conferencia de Asilomar, las reuniones del Consejo de Ministros de la OCDE y la reunión ministerial sobre Comercio y Economía Digital del G20), el 2 de junio de 2023, la Subsecretaría de Tecnologías de la Información publicó la Disposición 2/2023 mediante la cual se aprobaron las “Recomendaciones para una Inteligencia Artificial Fiable”. Cabe aclarar que no se tratan de recomendaciones específicas a la IA aplicada a la salud.

Las Recomendaciones tienen como objetivo establecer reglas claras para garantizar que los beneficios de los avances tecnológicos sean aprovechados por todos los sectores de la sociedad, fortaleciendo el ecosistema científico y tecnológico argentino.

Entre las principales recomendaciones se destaca la importancia de no forzar el uso de IA, resaltando que ésta no siempre es la mejor herramienta para abordar un problema específico. También se enfatiza que la responsabilidad y supervisión deben recaer siempre en los seres humanos, ya que la IA sólo ejecuta acciones en respuesta a solicitudes humanas.

Asimismo, se promueve la conformación de equipos diversos y multidisciplinarios, conscientes de los desafíos éticos de los proyectos de IA. La calidad y el tratamiento adecuado de los datos, el diseño de modelos transparentes y explicables, la implementación segura y auditable, y la garantía de atención humana para aquellos que la necesiten.

Más allá de la promoción de buenas prácticas, Argentina no cuenta por ahora con una legislación concreta en materia de IA que regule la misma. Sin embargo, el régimen de datos personales argentino cuenta con normativa bajo la cual pueden revisarse jurídicamente los sistemas de IA; y eventualmente adoptar medidas al respecto.

3.2  IA y régimen de datos personales en Argentina

La ley 25.326 establece principios de fondo similares a los del RGPD (consentimiento informado, finalidad, confidencialidad, seguridad de los datos, etc.), obligatorios para cualquier proceso de recolección y tratamiento de datos personales.

La Agencia de Acceso a la Información Pública (AAIP), autoridad de aplicación de dicha norma, estableció “Medidas de seguridad recomendadas para el tratamiento y conservación de los Datos Personales en medios informatizados” (Res. AAIP 47/2018).

También se encuentra vigente la Disposición AAIP 18/2015, mediante la cual la AAIP aprobó una “Guía de Buenas Prácticas en Privacidad para el Desarrollo de Aplicaciones”. La misma prevé los conceptos de “Privacidad desde el Diseño y por Defecto”, de modo sustancialmente similar al RGPD. Además, esta norma indica la implementación de “Privacy-Enhancing Technologies (PET)”, para cuidar la privacidad de las personas titulares de los datos en el desarrollo de aplicaciones.

Cabe agregar que la adopción de medidas apropiadas para proteger “la privacidad desde el diseño y por defecto” se encuentra expresamente prevista en la última versión de la propuesta de proyecto de ley de datos personales elaborada por la AAIP en febrero de 2023.

Más aún, la obligación de implementar este tipo de medidas se encuentra también contempladas en el Protocolo Modificatorio del Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, suscripto en Estrasburgo en 2018 (conocido “Convenio 108+”) aprobado en nuestro país con la promulgación de la Ley 27.699.

El Convenio impone obligaciones más amplias a quienes tratan datos o hacen tratar datos en su nombre. El principio de responsabilidad proactiva (“accountability”) – según el cual el responsable del tratamiento de datos debe cumplir con lo establecido en las normas de protección de datos y, además, ser capaz de demostrarlo – se convierte en parte integrante del régimen de protección. Los responsables del tratamiento deben tomar todas las medidas apropiadas, incluso cuando el tratamiento se externalice, para garantizar el derecho a la protección de datos (privacidad desde el diseño, examen del impacto probable del tratamiento de datos previsto sobre los derechos y libertades fundamentales de los interesados («evaluación del impacto sobre la privacidad») y privacidad por defecto).

Se conceden también nuevos derechos a los interesados para que tengan un mayor control sobre sus datos en la era digital. El Convenio amplía el catálogo de información que debe transmitirse a los interesados cuando ejercen su derecho de acceso. Además, los interesados tienen derecho a conocer el razonamiento en que se basa el tratamiento de datos cuyos resultados se le aplican. Este nuevo derecho es especialmente importante en lo que respecta a la elaboración de perfiles de las personas y se asocia a otra novedad, a saber, el derecho a no ser objeto de una decisión que afecte al interesado y que se base únicamente en un tratamiento automatizado, sin que se tenga en cuenta su opinión. Los interesados tienen derecho a oponerse en cualquier momento al tratamiento de sus datos personales, a menos que el responsable del tratamiento demuestre motivos legítimos imperiosos para el tratamiento que prevalezcan sobre sus intereses o derechos y libertades fundamentales.

Como puede apreciarse, pese al atraso regulatorio de nuestro país en el área tecnológica, Argentina cuenta con un bagaje legislativo a la luz del cual pueden evaluarse jurídicamente las herramientas de IA que se apliquen en nuestro territorio.


[1] La recomendación prevé, específicamente, los siguientes valores: Respeto, protección y promoción de los derechos humanos, las libertades fundamentales y la dignidad humana; Prosperidad del medio ambiente y los ecosistemas; Garantizar la diversidad y la inclusión; Vivir en sociedades pacíficas, justas e interconectadas.

[2] En cuanto a los “principios”, se indican: proporcionalidad e inocuidad; seguridad y protección; equidad y no discriminación; sostenibilidad; derecho a la intimidad y protección de datos; supervisión y decisión humanas; transparencia y explicabilidad; responsabilidad y rendición de cuentas; sensibilización y educación; gobernanza y colaboración adaptativas y de múltiples partes interesadas.

Derecho de la Competencia: Extienden Medida de Tutela Anticipada sobre WhatsApp 150 150 Pablo Trevisán

Derecho de la Competencia: Extienden Medida de Tutela Anticipada sobre WhatsApp

Mediante la Resolución 224/2022, del 13 de marzo de 2022 -publicada en el día de la fecha en el Boletín Oficial-, la Secretaría de Comercio Interior (SCI), haciendo propio el Dictamen IF-2022-08801394-APN-CNDC#MDP de fecha 28 de enero de 2022, de la Comisión Nacional de Defensa de la Competencia (CNDC),  ordenó extender «hasta la finalización de la investigación en curso, la vigencia de la medida de tutela anticipada dictada a través de la Resolución N° 492 fecha de fecha 14 de mayo de 2021» de la SCI, en los términos del Artículo 44 de la Ley N° 27.442 (LDC).

Screen Shot 2022-03-28 at 8.43.01 PM

Fuente: Dictamen CNDC.

La SCI ordenó a WhatsApp LLC y Meta Platforms Inc, así como toda otra empresa controlada por esta última, que directa o indirectamente participen del negocio de la aplicación de mensajería WhatsApp Messenger, que: «(i) se abstengan de implementar y/o suspendan la actualización de las Condiciones de Servicio y Política de Privacidad de WhatsApp Messenger, cuya entrada en vigencia se previó para el 15 de mayo de 2021; (ii) se abstengan de degradar la calidad del servicio y/o las funcionalidades de WhatsApp Messenger a los usuarios de la aplicación que no hubieran aceptado las Condiciones de Servicio y Política de Privacidad en cuestión, incluyendo (pero no limitándose) a la eliminación de mensajes persistentes o cualquier otro tipo de imposibilidad uso habitual de la aplicación; (iii) se abstengan de intercambiar los datos, metadatos y todo otro tipo de información proporcionados por los usuarios de WhatsApp Messenger y/o recopilados automáticamente por WHATSAPP LLC, con otras empresas y/o plataformas controladas por META PLATFORMS INC., incluso en los casos de usuarios que hubieran aceptado la actualización», en los términos del Artículo 44 de la LDC.

Asimismo, ordenó que dicha medida sea comunicada a la Dirección Nacional de Protección de Datos Personales, dependiente de la Agencia de Acceso a la Información Pública.

Botón de Baja y Botón de Arrepentimiento 150 150 admin

Botón de Baja y Botón de Arrepentimiento

Botón Baja

Resolución de la Secretaría de Comercio N° 271/20

Mediante el dictado de  la Resol. 271/20 de la Secretaría de Comercio Interior resolvió que todas las personas físicas o jurídicas, de naturaleza pública y privada, que presten servicios o comercialicen bienes a consumidores o usuarios mediante la celebración de contratos de adhesión:

  • Deben  publicar en su sitio web un ejemplar del modelo de contrato de adhesión a suscribir por  los consumidores;
  • Dichas publicaciones se deben realizar en la página de inicio de los sitios web, discriminado según las variantes del producto y/o servicio. Asimismo se deberán informar las promociones y bonificaciones ofrecidas, indicando las fechas de comienzo y finalización, sus modalidades, condiciones y limitaciones.

Asimismo se resolvió que los proveedores de telefonía fija, telefonía móvil, acceso a internet, radiodifusión por suscripción, medicina prepaga, suscripción a diarios o revistas, suscripción a bases de datos, asistencia al viajero, emergencias médicas, clubes y/o gimnasios, emisión de tarjeta de crédito por emisores no bancarios y donaciones suscriptas a débito automático,  deberán tener, a simple vista y en el primer acceso, el link mediante el cual el consumidor podrá solicitar la baja del servicio contratado BOTÓN DE BAJA, debiendo ser dicho link de fácil acceso y directo desde la página de inicio del sitio web institucional.

Estas obligaciones entraron en vigencia el día 8 de septiembre del 2020.

Resolución de la Secretaría de Comercio N°424/2020

El 5 de octubre del 2020, se publicó en el Boletín Oficial la Resolución 424/2020, emitida por la Secretaría de Comercio del Interior, mediante la cual se establece que los proveedores que comercialicen bienes y servicios a través de páginas o aplicaciones web deberán incluir un link denominado BOTÓN DE ARREPENTIMIENTO, mediante el cual el consumidor podrá solicitar la revocación de la aceptación del producto comprado o del servicio contratado.

Con relación al funcionamiento de ello, se dispone:

  • El BOTÓN DE ARREPENTIMIENTO deberá ser un link de acceso fácil y directo desde la página de inicio del sitio de Internet y ocupar un lugar destacado, en cuanto a visibilidad y tamaño, no dejando lugar a dudas respecto del trámite seleccionado. Para hacer uso del Botón, el proveedor no podrá requerir al consumidor registración previa ni ningún otro trámite.
  • No se establece expresamente el plazo dentro del cual el consumidor podrá ejercer su derecho de arrepentimiento, pero por aplicación de la Ley de Defensa del Consumidor y el Código Civil y Comercial de la Nación entendemos que el consumidor tiene el derecho irrenunciable de revocar la aceptación dentro de los diez días computados a partir de la celebración del contrato o la entrega del bien, lo que ocurra en último lugar. Si el plazo vence en día inhábil, se prorroga hasta el primer día hábil siguiente.
  • El derecho a revocar la compra se considera irrenunciable y cualquier cláusula, pacto o modalidad que tengan por resultado la imposibilidad de ejercer el derecho de revocación se tienen por no escritos.
  • El proveedor deberá informar al consumidor el número de código de identificación de arrepentimiento o revocación, por el mismo medio y dentro del plazo de 24 horas contados a partir de la solicitud de revocación de la aceptación.
  • El consumidor debe poner el bien a disposición del vendedor y los gastos de devolución son por cuenta de este último.

Cabe aclarar que existen excepciones a la facultad del consumidor de revocar su consentimiento (art. 1116 del Código Civil y Comercial de la Nación) y, por lo tanto, en esos casos no va a requerir implementación del Botón de Arrepentimiento. Estas excepciones serían:

a)      productos confeccionados conforme a las especificaciones suministradas por el consumidor o claramente personalizados

b)      productos que, por su naturaleza, no pueden ser devueltos o puedan deteriorarse con rapidez, denominados usualmente como bienes perecederos;

c)       suministro de grabaciones sonoras o de video, de discos y de programas informáticos que han sido decodificados por el consumidor, así como de ficheros informáticos, suministrados por vía electrónica, susceptibles de ser descargados o reproducidos con carácter inmediato para su uso permanente;

d)      suministro de prensa diaria, publicaciones periódicas y revistas.

Por último es importante mencionar que el Ministerio de Desarrollo Productivo ha insistido en que la correcta aplicación del Botón de Arrepentimiento y decisión de que productos y servicios se ven alcanzados quedará bajo responsabilidad de cada empresa y/o comercio.

Esta obligación entrará en vigencia el 4 de diciembre de 2020, pero entendemos altamente recomendable incorporarlo apenas fuera posible en los sitios web de venta de productos masivos.

Lineamientos y contenidos básicos de normas corporativas vinculantes 150 150 admin

Lineamientos y contenidos básicos de normas corporativas vinculantes

Antecedentes

La Ley N° 25.326 de Protección de Datos Personales (“LPDP”) dispone que es prohibida la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados.

Asimismo, establece que dicha prohibición no regirá en los supuestos[1]de: (i) Colaboración judicial internacional; (ii) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica; (iii) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable; (iv) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales Argentina sea parte; (v) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.

A su tiempo, el Decreto 1558/01 facultó a la por entonces Autoridad de Aplicación de la LPDP Dirección Nacional de Protección de Datos Personales (DNPDP), a “evaluar, de oficio o a pedido de parte interesada, el nivel de protección proporcionado por las normas de un Estado u organismo internacional”, decretando que el carácter adecuado del nivel de protección que ofrece un país u organismo internacional se debe evaluar atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos.

Para el Decreto 1558/01, un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente, o de sistemas de autorregulación, o del amparo que establezcan las cláusulas contractuales que prevean la protección de datos personales.

Toda vez que no se encontraban previstas las medidas contractuales como otra excepción para la transferencia internacional hacia países sin protección adecuada, a pedido de parte, la DNPDP comenzó oportunamente a analizar borradores de contratos, y a emitir un dictamen respecto a su adecuación.

Estos dictámenes fueron conformando ciertos lineamientos que permitían interpretar los requisitos para dar base legal a una transferencia internacional de protección de datos personales a una jurisdicción no adecuada. Empero, no fue hasta la emisión de la Disposición 60 /2016 que la DNPDP aprobó un modelo oficial de contrato para la materia.

La Disp. N°60/2016 DNPDP, además de receptar dos contratos modelo para utilizar en la transferencia de datos personales a jurisdicciones de protección no adecuada, permitió -de manera alternativa- que las partes involucradas suscriban contratos que difieran de estos prototipos, siempre y cuando los documentos empleados contuviesen los principios, garantías y contenidos relativos a la protección de los datos personales previstos en los modelos aprobados.

Resolución 159/2018 – “Lineamientos y contenidos básicos de normas corporativas vinculantes”

En línea con el derrotero normativo descripto, la AAIP ha interpretado que la legislación argentina admite como garantías adecuadas a los fines de la transferencia internacional de datos personales, la existencia de sistemas de autorregulación que brinden una protección similar a la de nuestra normativa.

En este sentido, reconoce que resulta una costumbre internacional cada día más extendida a nivel empresarial de orden multinacional, el desarrollo de normas de autorregulación entre empresas de un mismo grupo económico, en inglés conocidas como Binding Corporate Rules (BCRs).

A tales efectos, juzgó conveniente delinear los contenidos básicos de una autorregulación empresaria para ser considerada lícita y garantizar los derechos del titular del dato, otorgando mayor seguridad jurídica en estos sistemas normativos complejos.

Los lineamientos aprobados indican que las normas corporativas vinculantes que pretendan alcanzar un nivel adecuado de protección de los datos personales deberán ser obligatorias y exigibles tanto para la totalidad de las empresas que forman parte de un grupo económico[2](mediante resoluciones societarias que las obliguen a cumplir con dicha norma), como para los empleados, subcontratistas y terceros beneficiarios (mediante cláusulas específicas), y prever remedios judiciales y administrativos de carácter independiente, efectivos y accesibles.

A su vez, deberán respetar los siguientes contenidos mínimos:

a) Condiciones de licitud: Principios de legitimidad del tratamiento, finalidad, calidad de los datos (pertinentes restringidos a lo estrictamente necesario para la finalidad, exactos, ciertos, adecuados, actualizados y completos en caso de ser necesario, y su caducidad), información y transparencia, seguridad y confidencialidad; Derechos del titular de los datos de acceso, rectificación, actualización y supresión; Restricciones de ulteriores transferencias a terceros países sin legislación adecuada.

b) Protecciones específicas por sensibilidad de la materia: Prohibición del tratamiento de datos sensibles, salvo que resulte necesario por ley o con consentimiento previo del titular de los datos; Previsión de los derechos del titular de dato a ser excluido de los listados de publicidad directa no consentida y a oponerse a ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos que le produzca efectos jurídicos perniciosos o lo afecte significativamente de forma negativa; No conformación de registros de antecedentes penales y/o contravencionales y prohibición de su cesión a terceros salvo con el consentimiento expreso del titular de los datos.

c) Designación de terceros beneficiarios: Se debe otorgar potestad como terceros beneficiarios, con carácter irrevocable y mediante cláusulas específicas, al titular de los datos y a la AAIP para el ejercicio de sus prerrogativas, derechos y garantías que la norma de autorregulación les reconoce a su favor.

d) Derechos del titular de los datos: Adecuado reconocimiento y diseño de los procedimientos para el ejercicio de los derechos de los titulares de los datos.

e) Jurisdicción local para el ejercicio de los derechos del titular de los datos: Se debe respetar el derecho del titular de los datos a iniciar un reclamo judicial o administrativo en su jurisdicción local.

f) Responsabilidad: Las empresas que participen en el tratamiento de los datos personales deben asumir responsabilidad solidaria ante el titular de los datos y la autoridad de control frente a cualquier violación de la norma de autorregulación prevista (debería respetarse la eventual intervención de las autoridades de control de cada país exportador).

g) Autoridad de control: Ante una transferencia internacional de datos entre empresas que pertenezcan al mismo grupo económico, la AAIP podrá intervenir cuando la empresa que exporte los datos personales se encuentre establecida en Argentina. A su vez, la AAIP podrá intervenir como tercero beneficiario cuando se encuentren involucrados datos personales de titulares que residan en Argentina. Podrán intervenir todas aquellas autoridades de control de los países en donde se encuentren establecidas las empresas importadoras y exportadoras de los datos personales motivo de la transferencia.

h) Compromiso de garantía y explicación fundada: Se deberá garantizar y fundamentar que las normas de autorregulación sean efectivamente exigibles a las empresas del grupo por el titular de los datos y la AAIP.

i) Capacitación: Debe preverse la capacitación continua del personal asignado a las actividades vinculadas al tratamiento de los datos personales.

Las empresas que transfieren datos personales a compañías ubicadas en terceros países sin legislación que adecuada, y sustenten su adecuación en normas de autorregulación que difieran del documento aprobado, deben presentar dichas normas ante la AAIP para su control y aprobación, dentro de los 30 días siguientes de efectuada la transferencia.


[1]El Decreto Reglamentario N° 1558/2011 amplió las excepciones previstas por la LPDP, normando que La prohibición de transferir datos personales hacia países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados, no rige cuando el titular de los datos hubiera consentido expresamente la cesión.

[2]Grupo económico: sociedades controlantes, controladas y vinculadas en las cuales se tenga influencia significativa en las decisiones, denominación, domicilio, actividad principal, participación patrimonial, porcentaje de votos y, para las controlantes, principales accionistas.

Trámites registrales ante el Registro Nacional de Bases de Datos mediante la plataforma “Trámites a Distancia” (TAD) 150 150 admin

Trámites registrales ante el Registro Nacional de Bases de Datos mediante la plataforma “Trámites a Distancia” (TAD)

Introducción

En el año 2016, el Poder Ejecutivo de la Nación (PEN) aprobó la implementación de la Plataforma de Trámites a Distancia (TAD) como medio de interacción del ciudadano con la administración, a través de la recepción y remisión por medios electrónicos de presentaciones, solicitudes, escritos, notificaciones y comunicaciones, entre otros.

Se trata de un sistema que permite realizar trámites ante la Administración Pública de manera virtual desde una computadora, pudiendo gestionar y realizar el seguimiento de éstos sin la necesidad de tener que acercarse a la mesa de entrada de un Organismo.

Un año más tarde, el Decreto Nº 891/17 instauró las llamadas “Buenas Prácticas en Materia de Simplificación Normativa” para el mejor funcionamiento del Sector Público Nacional, a los efectos de agilizar procedimientos administrativos, simplificando normas de los diversos regímenes.

El sistema TAD en el marco de la Protección de Datos Personales

En este marco, la Agencia de Acceso a la Información Pública (AAIP), de la cual depende la Dirección Nacional de Protección de Datos Personales, dictó la Resolución Nº 132/2018[1]que ahora mencionaremos.

Como bien sabrá el lector, la Ley Nº 25.326 de Protección de Datos Personales[2]obliga a todo responsable de archivo, registro, base o banco de datos público, y privado destinado a proporcionar informes (o que no sean para un uso exclusivamente personal), a inscribir aquellos ante el Registro Nacional de Bases de Datos de la DNPDP.

Hasta la fecha, los trámites de inscripción/renovación eran instrumentados mediante un proceso que combinaba una etapa digital, con una presentación escrita efectuada por el responsable ante la autoridad de control.

Mediante la Resolución 132/2018, la AAIP dispuso que la inscripción, modificación y baja de bases de datos, deberá tramitarse de ahora en más exclusivamente a través de la plataforma “Trámites a Distancia” (TAD) o sistema de Gestión Documental Electrónica (GDE).

Esta modificación alcanza también a las bases que ya se encuentran inscriptas, las cuales deberán ser reempadronadas en el marco del nuevo procedimiento técnico registral implementado, antes del 31 de octubre del próximo año 2019.

Los trámites registrales a los que hace referencia la mentada resolución serán gratuitos, eliminándose de esta forma el costo de formulario que debía abonarse para la inscripción o renovación de bases de datos personales hasta la entrada en vigencia de esta norma.

El ingreso a la plataforma TAD únicamente puede realizarlo una persona física, la cual en todo caso podrá ser autorizada/apoderada por una persona jurídica –a través del sitio web de la Administración Federal de Ingresos Públicos (AFIP)- para la realización de trámites a su nombre.

Por último, cabe decir que los derechos de rectificación, actualización o supresión que ostentan los titulares de los datos personales –y en contrapartida las obligaciones de los responsables de los archivos, registros, bases o banco de datos personales-, no se ven alterados por la Resolución 132/2018.

Conclusión

Frente a la implementación de la plataforma TAD, el Responsable de Bases de Datos registradas debe tener presente la necesidad de su reempadronamiento antes del 31 de octubre de 2019; para lo cual, deberá autorizar a una persona física para realizar dicho trámite.

Es esperable una mayor agilización de los trámites, tanto para el administrado  –quien ya no deberá presentarse con los documentos impresos y certificados ante la oficina–  como también para la administración.

 

[1]Vigente desde el 23/10/2018.

[2]Ver arts. 21 y 24.