Mucha gente tiende a subestimar el valor y la importancia de sus datos personales. “Los tiene todo el mundo, que importa” o “están por todos lados”, son algunas de las excusas más comunes que se suelen escuchar de boca de aquellos que no tienen reparos en completar con su información particular todos y cada uno de los formularios y campos de datos que se cruzan por delante.
Prácticamente no pasa un día sin que nos enfrentemos a plantillas aparentemente inocentes que quieren saberlo todo sobre nosotros. Registros en sitios web y redes sociales, compras online, aplicaciones, solicitudes bancarias, concursos, conferencias, seminarios o programas de fidelidad de petroleras o supermercados, son algunas de las situaciones en las que se nos solicita información personal detallada. Y la mayoría de las veces, la compartimos indiscriminadamente sin dudar.
Esta actitud, entre descuidada y negligente hacia la propia privacidad, puede transformarse en un problema con enormes consecuencias negativas. “Es importante que cada uno de nosotros cuidemos nuestros datos porque estos pueden ser usados para una suplantación de identidad, es decir, que usen los datos que nosotros publicamos para hacerse pasar por nosotros”, advierte a Rosario3 Marcela Pallero, ingeniera en sistemas de información y docente de Políticas de Ciberseguridad en el Centro de Estudios de Tecnología y Sociedad (CETyS) de la Universidad de San Andrés. “Esto puede ir desde un contacto con algún amigo que nosotros tengamos en alguna red social o para sacar un crédito personal, si es que no se hacen validaciones adecuadas”, explica Pallero.
El manejo chapucero de la información personal también puede amenazar el control de diversos servicios online, como plataformas de streaming, servicios de correo electrónico o redes sociales. “Muchas veces la gente no utiliza contraseñas o passwords fuertes, es decir, complejas de adivinar, y usan los nombres de las mascotas o el nombre de la calle donde viven o donde nacieron como password. Por lo que esos datos también pueden ser útiles al momento de abusar de alguno de los servicios que tengamos", ilustra la especialista en ciberseguridad.
Pero el riesgo puede atravesar fácilmente la barrera de la virtualidad para tener repercusiones en el mundo real. “Por otro lado, también es importante para la seguridad física”, indica Pallero, responsable del programa de Seguridad en TIC de la Fundación Sadosky, una institución que trabaja en distintos programas relacionados con la seguridad informática, la ciencia de datos y la educación en ciencias de la computación. “Imagínense que hacer una vigilancia en las redes, en nuestros perfiles, es mucho más fácil que hacerlo presencialmente, con lo cual si nosotros ponemos toda la información respecto a dónde salimos, dónde estamos o con quién nos juntamos todo el tiempo, esta información puede ser utilizada para oportunidades de robos o alguna situación más crítica y grave”, agrega.
La naturaleza intangible de los datos es lo que, justamente, los hace difíciles de custodiar. Es fácil notar que alguien está usando tu teléfono, por ejemplo, pero una persona podría estar usando nuestros datos, vendiéndolos o robandolos en este preciso momento y difícilmente nos daríamos cuenta. De hecho, ni siquiera somos conscientes del momento en que nuestros datos están siendo recolectados. Es la paradoja de la privacidad, por un lado aseguramos querer proteger nuestra privacidad, pero al mismo tiempo compartimos un montón de información personal, tanto en línea como en el mundo real.
No obstante, la protección de esta información sensible no solo depende de nuestras acciones individuales, sino también de las políticas y prácticas de las empresas y organizaciones que la recopilan y almacenan. “Es importante entender que, así como cada uno de nosotros tenemos que cuidar nuestros datos personales, también lo tienen que hacer las organizaciones tanto públicas como privadas, porque si esos datos se llegan a filtrar, se pueden usar, como decía anteriormente, para ponernos en riesgo”, comenta Pallero. “En ese sentido es importante contar con una Ley que haga una mención específica a la seguridad de los datos personales que tienen que tener en cuenta estas organizaciones”, precisa la experta en ciberseguridad.
En octubre del año 2000 se sancionó en nuestro país la Ley N° 25.326 de Protección de Datos personales (LPDP), que tiene como objetivo el resguardo integral de la información personal asentada en archivos, registros o bancos de datos, tanto públicos o privados, conforme al artículo 43 de la Constitución Nacional. Esta ley también regula el tratamiento, la seguridad y el control de estos datos, así como también dispone de las sanciones y acciones legales correspondientes ante su incumplimiento.
Sin embargo, en estos últimos veintitrés años nuestra relación con la tecnología cambió radicalmente. Ya sea desde aplicaciones de redes sociales, herramientas de mensajería como WhatsApp, trámites o compras online, el volumen de datos personales que se generan, transmiten y almacenan diariamente es inmensamente superior a cuando se sancionó inicialmente la ley.
Buscando una actualización a una realidad más contemporánea, en 2018, el Poder Ejecutivo envió al Congreso un proyecto de reforma a esta ley, pero no recibió tratamiento legislativo ni obtuvo dictamen en las comisiones de Asuntos Constitucionales y Derechos y Garantías. Unos años después, en 2022, la Agencia de Acceso a la Información Pública (AAIP) comenzó un proceso de debates y reuniones que culminó en un nuevo proyecto de Ley de Protección de Datos Personales, remitido al Congreso para su tratamiento el pasado viernes 30 de junio.
El nuevo proyecto de LPDP está fuertemente inspirado en las disposiciones del Reglamento General de Protección de Datos de la Unión Europea (GDPR), incorporando una serie de cambios sustanciales tendientes al fortalecimiento de la protección de los datos personales de los ciudadanos. Introduce nuevos términos en la lista de definiciones (datos biométricos, datos genéticos, anonimización y elaboración de perfiles son algunos de ellos), amplía el ámbito territorial de aplicación de la ley y especifica que la única base legal para la recolección y tratamiento de estos datos es el consentimiento del usuario.
Un tema especialmente sensible es la recopilación de información de carácter biométrico, como huellas dactilares, reconocimiento facial, reconocimiento de iris, reconocimiento de voz, geometría de la mano, geometría facial o la marcha biométrica, los patrones únicos de la forma en que una persona camina o se mueve.
Respecto a esto, Pallero destaca que “deben ser especialmente cuidados y protegidos, porque son aquellos que pueden ser usados para discriminarnos, en el sentido de no tratarnos a todos de la misma manera. Es claro que si bien en la ley vigente no están explícitamente definidos como sensibles, la autoridad de aplicación sacó a fin del año pasado una resolución para darles esa categoría, tanto a los datos biométricos como a los datos genéticos. Estos, por suerte, en el proyecto de ley están explícitamente incluidos y lo importante es que requieren medidas especiales de seguridad, así que este es una muy buena incorporación que ya estaba siendo reclamada”, detalla la especialista en privacidad.
Otro punto importante que agrega el nuevo proyecto de LPDP está relacionado a los cada vez más frecuentes ciberataques, de los que son víctimas tanto entidades privadas como gubernamentales. El anteproyecto impone la obligación de comunicar las violaciones de datos a la AAIP dentro de las 72 horas posteriores a tomar conocimiento de la vulneración, si es que es probable que esta suponga un riesgo para los derechos de los interesados.
“La notificación de incidentes es un paso muy importante hacia la transparencia de los incidentes que afectan a datos personales, porque la forma de enterarnos hoy, lamentablemente, es por las noticias cuando salen publicados que nuestros datos fueron expuestos. Entonces es importante que haya un control sobre estas obligaciones de seguridad para nuestros datos personales tanto en organizaciones públicas como privadas”, expone la ingeniera.
Si bien el nuevo proyecto de LPDP busca promover la seguridad y el control sobre nuestros datos personales, la responsabilidad recae tanto en nosotros como en las empresas y organizaciones que los recopilan y almacenan. Más allá de las buenas intenciones de la ley, en última instancia nos corresponde a nosotros, como ciudadanos e internautas, ser conscientes de los riesgos y las posibles consecuencias negativas derivadas de la información que compartimos. Nuestra privacidad está en juego y depende enteramente de nuestras decisiones.