Bases de datos empresarias e intimidad de las personas

El caso Facebook y la necesidad de una política de administración y seguridad de los datos-

El caso Facebook-Cambridge Analytica revela la gravedad implícita que posee la utilización por parte de las empresas, de la información histórica de la vida de las personas: mucho más si lo es con la intención de influir en sus decisiones.

Examinaré en el presente artículo los aspectos empresariales, económicos y legales presentes en el asunto, reservando tal vez para otra ocasión el estudio de las consecuencias políticas y, desde luego, humanas individuales del caso.

Para quien no lo haya seguido, básicamente el caso consiste en el descubrimiento que hizo el periodismo acerca de que una empresa, llamada Cambridge Analytica, habría obtenido datos de intereses y comportamientos de 50 millones de personas -ciudadanos americanos-, a partir de la utilización de una aplicación instalada en Facebook, datos que luego dicha Consultora habría manipulado para realizar campañas políticas dirigidas.

De los hechos sucedidos y el crecimiento exponencial de la creación y utilización de bases de datos conteniendo información privada de las personas por parte de todo tipo de empresas -algunas más que otras- (Bigdata), surgen ciertas preguntas básicas cuyas respuestas permitirán, primero, comprender el cuadro de situación y luego, conocer cómo debe procederse.

Algunos de estos interrogantes son:

• ¿Qué normas regulan la utilización de la información de la vida de las personas?

• ¿Qué implicancias legales puede tener para las Empresas el uso de los datos de las personas?

• ¿Qué deben hacer las empresas para actuar dentro de la legalidad, y evitar riesgos jurídicos?

Protección legal de Datos

La Ley de Protección de Datos Personales (nro 25.326)

 es el instrumento normativo establecido para conocer y controlar los registros, archivos, bases o bancos de datos que almacenan, gestionan y utilizan datos personales. 

Como es sabido, cierta clase de empresas manejan enorme flujo de datos: los sectores de salud, seguros, financieros, consumo, turismo, ciertos servicios públicos, son algunos de ellos.

La referida ley crea un registro en el cual se deben inscribir las bases de datos, pudiendo las personas acceder a la información relativa a sus datos, así como la existencia de archivos, registros, bases o bancos de datos personales, sus finalidades y los datos de contacto de sus responsables.

La inscripción de la base de datos es requisito para que sea legal. De este modo se asegura la efectiva tutela de los datos personales. Los particulares, con la información obtenida en el registro en el cual se asienta, pueden ejercer los derechos de acceso, rectificación, actualización y/o supresión que surgen de los artículos 14 y 16 de la Ley N° 25.326.

Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención

La Ley en comentario posee un inventario de definiciones relativo a qué se entiende por datos, los clasifica en personales -información en general- y sensibles -los que contienen información racial, étnica, política, religiosa, filosófica, moral, sindical, sobre salud o vida sexual-, las obligaciones que cargan sobre quienes registran y utilizan datos, normas sobre la obtención, guarda, procesamiento, cesión y transmisión de datos (operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias).

Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención. Los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario.

Establece la norma limitaciones a la obtención de datos, regulaciones sobre seguridad y confidencialidad de la información; sobre acceso a la información y características que deben tener al ser recopiladas, y regula la denominada acción de protección de los datos personales.

Responsabilidad Civil

La segunda pregunta acerca de qué implicancias legales puede tener para las Empresas el uso de los datos de las personas, lleva a considerar no solo la norma sobre protección de datos personales, sino también las normas sobre responsabilidad civil.

Desde las perspectivas referidas anteriormente, y como ha sido adelantado, las empresas que manejan datos personales en las condiciones establecidas en la Ley están obligadas a registrar sus bases de datos, como requisito para su validez. Bajo riesgo de ser sancionadas administrativamente.

Desde el punto de la responsabilidad, la utilización de bases de datos no registradas además de crear potencialmente contingencias que ocasionen responsabilidad económico legal, podrá determinar en ciertos casos la invalidez legal -para las empresas que lo utilizan- de los datos registrados en las bases.

Finalmente, ¿Qué deben hacer las empresas para actuar dentro de la legalidad, y evitar riesgos jurídicos?

Las empresas deben tener una política de administración y seguridad de sus datos acorde a su perfil y actividad. Y deben registrar sus bases de datos, de conformidad a la normativa legal anteriormente referida, lo cual incluye, entre otras, a las bases de datos que recopilan imágenes de videovigilancia.

Suele suceder en muchos casos que deben utilizarse registros de videos por diversas razones (cuestiones laborales, ilícitos, responsabilidad civil por accidentes), frente a cuyas situaciones el registro de tales datos ante el Organismo correspondiente resulta requisito de validez jurídica de la información.

Es importante considerar que ya existen Tribunales americanos que están comenzando a habilitar el ejercicio de acciones colectivas en contra de redes sociales, por recolección y uso indebido de los datos, por lo que es de esperar que no dentro de mucho tiempo se comiencen a ver resoluciones judiciales reconociendo cuantiosas indemnizaciones por uso indebido de los datos.

La circunstancia descripta anteriormente ya se ve reflejada en el mercado, siempre el primero en reaccionar adelantando las consecuencias futuras de los riesgos percibidos: los precios de las acciones de algunas compañías que utilizan grandes bases de datos como centro de su negocio se están ajustando hacia abajo a raíz de que se estima un incremento regulatorio, y la muy probable ocurrencia de consecuencias legales económicas.

Este marco de situación permite pronosticar una muy probable tendencia hacia el ejercicio de acciones legales privadas y regulatorias publicas tendientes a controlar, penar y resarcir los casos de manejo irresponsable o ilegal de las bases de datos que las empresas poseen de sus clientes.

Todo lo visto hace aconsejable que las empresas se adelanten, abordando estas situaciones con diligencia y preventivamente.