Especialistas en derechos digitales advirtieron sobre los riesgos que implica la recolección «abusiva» de datos personales por parte del Estado a través de sistemas como el registro de la tarjeta SUBE o el reconocimiento facial con cámaras, al señalar que puede generar «falsos positivos», en medio de «la ausencia de capacidad para proteger efectivamente los datos» y resaltaron que «cualquier tecnología que pueda ser usada para vigilarnos va a ser tarde o temprano utilizada para tal fin».
En el marco del Día Internacional de Protección de Datos Personales, que se celebra cada 28 de enero desde 2006, activistas advirtieron en diálogo con Télam que la deficiente protección de datos de las personas es una tendencia generalizada en el país.
«Argentina tiene una lamentable y larga trayectoria de poco respeto por la privacidad de las personas. La idea de que el Estado recopile masivamente datos de la población es una idea que en este país permea con muchísima facilidad y en otros sería escandalosa», indicó la activista digital Beatriz Busaniche, presidenta de la Fundación Vía Libre.
Desde febrero, usuarios que no registren su identidad en la tarjeta SUBE pagarán un costo mayor que aquellos que las hayan nominado, a partir de la Resolución 1/2024 que estableció un plazo de registro hasta el 1° de abril.
«Estoy en desacuerdo con que por tener plata podés tener privacidad porque no te hace falta el descuento pero la gente humilde va a tener que renunciar a su privacidad por dinero cuando se trata de un derecho humano», expresó a Télam el abogado Tomás Pomar, presidente del Observatorio de Derecho Informático Argentino (ODIA).
En este sentido, Busaniche alertó que «con esto, el Estado tiene una base de datos con todos tus trayectos. Sabe a qué hora te subiste y a qué hora te bajaste y en dónde. Todo ese tipo de información que genera la tarjeta SUBE nominada es información que puede ser usada en tu contra en algún tipo de situación».
En el 2021, el Poder Judicial sobreseyó al investigador en seguridad digital y experto informático, Javier Smaldone, en el marco de la causa conocida como La Gorra Leaks 2.0 que implicó el hackeo y filtración de datos de sistemas de Gobierno.
Smaldone fue detenido en 2019 durante 12 horas, le allanaron su casa e incautaron varios de sus dispositivos en base a tuits que compartió en sus redes sociales y la Policía Federal llevó adelante una investigación sobre su persona, en la que, entre otros pedidos, solicitó los registros de su uso de la tarjeta SUBE durante el año anterior a la investigación.
«La Policía Federal le pidió a Nación Servicios -que es el que administra los datos de la SUBE- todos sus datos del año. Afortunadamente no tenía una registrada a su nombre. También pidieron los de la pareja de Javier que es periodista», compartió Busaniche, quien además advirtió que el «Banco Nación está entre las instituciones públicas privatizables» y se preguntó si esa privatización llegara a concretarse «¿Qué va a pasar con toda esa base de datos?».
Otro de los sistemas en el que ponen el foco los especialistas es el de reconocimiento facial, que volvió a estar en agenda luego del anuncio del protocolo de seguridad de la ministra Patricia Bullrich y otro de la ministra de Capital Humano, Sandra Pettovello, donde detalló que el que «corta no cobra» programas sociales, cuyas identificaciones se podrían hacer de forma presencial o por cámaras.
En la Ciudad de Buenos Aires se implementó el Sistema de Reconocimiento Facial de Prófugos (SRFP) en 2019, pero a partir de una acción de amparo de ODIA, el juez Roberto Gallardo lo suspendió en 2022 y luego la jueza Elena Liberatori lo declaró inconstitucional.
En la resolución, Gallardo aseguró haber constatado que este sistema del Ministerio de Seguridad porteño fue utilizado para obtener datos biométricos de personas que no estaban en la base de datos exclusiva que es la Consulta Nacional de Rebeldías y Capturas (CoNaRC).
«Cuando se hizo la pericia, había un módulo del software que es donde se hace el reconocimiento facial que tenía 7 mil registros más que la cantidad de prófugos de todo el país. Eso trajo un escándalo», compartió el presidente de ODIA.
Este sistema porteño no puede ser utilizado durante las protestas para identificar a manifestantes ya que su uso fue suspendido, sin embargo, «eso no quita que las fuerzas federales hayan comprado algo para utilizar con grabaciones de ellos», aclaró Pomar, aunque precisó que no observaron «nada concreto en lo que podamos ver que se haya sustentado que estén usando esto».
Para el abogado, el problema es que «desde la amenaza ya está funcionando como una forma de cercenar derechos» debido a que «hay mucha gente que no está yendo a las marchas porque les dicen que hay una tecnología que les va a hacer perder un plan social».
La ciudad norteamericana de San Francisco, reconocida por ser un centro financiero y por su concentración de industrias de alta tecnología en cuya bahía se encuentra Silicon Valley, fue la primera en Estados Unidos en prohibir por ley los sistemas de reconocimiento facial en 2019 al priorizar el derecho a la privacidad y la protección de las minorías.
«El sistema por donde lo mires tiene problemas. Si funciona mal, arroja falsos positivos. Hay evidencias de que se detuvo a personas por error con este sistema, como el caso de un laburante que estuvo detenido una semana por error en Argentina», indicó Busaniche.
Y agregó: «Suponiendo un hipotético caso en el que el sistema esté perfectamente bien entrenado, que funcione y el margen de error sea cero -que no existe- supone un sistema de vigilancia que es impropio de un sistema democrático porque sería un sistema de permanente monitoreo de la circulación por el espacio público».
«Cualquier tecnología que pueda ser usada para vigilarnos va a ser tarde o temprano utilizada para vigilarnos», destacó.
Una ley para proteger los datos
Los especialistas coincidieron en que otro problema «grave» es «la baja o casi nula capacidad del Estado de proteger efectivamente los datos» que almacena sobre las personas.
En la ley actual de Protección de Datos Personales, que fue sancionada en el 2000 y las organizaciones buscan actualizar, «no hay una pauta clara ni una serie de directrices de estándares de seguridad de los datos», advirtió Busaniche, y recordó que «toda la base del Renaper (Registro Nacional de las Personas) fue filtrada y está disponible a la venta en la internet profunda».
«Nosotros en materia de protección de datos personales y de seguridad informática en Argentina decimos que estamos en las previas de un Cromañón informático. Cada año hay más problemas de seguridad informática, cada vez hay más estafas en base a datos que sacan del Estado. Tenemos que evitar la tragedia», concluyó Pomar.
RESALTAN LA NECESIDAD DE ACTUALIZAR LA LEY DE PROTECCIÓN DE DATOS PERSONALES
La Agencia de Acceso a la Información Pública (AAIP) y activistas digitales destacaron la necesidad de tratar y aprobar el proyecto de actualización de la Ley de Protección de Datos Personales que ingresó en el 2023 a la Cámara de Diputados debido a los cambios que se registraron desde la sanción de la ley actual, que data del 2000, y para armonizar “la normativa con los estándares internacionales”.
“La actualización es necesaria para conciliar las ventajas del desarrollo de la innovación tecnológica con la ampliación de los derechos de las y los ciudadanos, protegiendo sus datos y su privacidad, armonizando la normativa con los estándares internacionales”, compartieron voceros de la AAIP a Télam.
La gestión de este organismo que inició en el 2022 impulsó un proceso de debate participativo a partir del cual presentó un anteproyecto de ley a instancia de consulta pública y recibió 123 comentarios de parte de la ciudadanía en general, organizaciones y universidades, además del sector privado y público nacional e internacional.
El proyecto de actualización de la Ley de Protección de Datos Personales llegó al Congreso de la Nación el 29 de junio de 2023 con el Mensaje 87/2023 y actualmente se encuentra a la espera de ser tratado por comisiones en la Cámara de Diputados.
La iniciativa propone un “cambio de paradigma” ya que pasa “de la protección de registros de datos a garantizar el derecho de las personas a la protección de sus datos personales y a la autodeterminación informativa”, aseguraron desde la AAIP.
En el 2000, la Argentina se convirtió en pionera en América Latina en materia de protección de datos personales con la sanción de la Ley 25.326, la cual se basó en la normativa española de 1999.
“Más de 20 años después, la innovación tecnológica y el desarrollo económico digital vuelven imprescindible una actualización del marco normativo”, subrayaron desde la AAIP.
“La nueva ley viene a remendar esto, pero llega un poco tarde. Entre la sanción de nuestra ley y el tiempo actual ha pasado una cantidad muy grande de cosas. Desde lo jurídico, que es lo que me compete, lo más importante seguramente sea la sanción del Reglamento Europeo de Protección de Datos”, compartió Tomás Pomar, presidente del Observatorio de Derecho Informático Argentino (ODIA).
Entre las actualizaciones más necesarias, para Beatriz Busaniche, presidenta de Fundación Vía Libre, se encuentran “la obligatoriedad de seguridad, de distintas situaciones de exigencia en materia de seguridad” y la necesidad de “una limitación real y efectiva a la recopilación de datos por parte del Estado”.
También “el reconocimiento de que los datos inferidos son también datos personales cuando refieren a una persona de existencia real”, en referencia a “los datos que las personas no necesariamente entregan pero son construidos a partir de otros datos sobre ellas”.
Para Pomar, uno de los temas «urgentes» es el artículo 21 del proyecto que “establece el deber de notificación a los titulares de datos ante una vulnerabilidad por parte de algún ataque hacia el administrador de los datos”.
“Esto es algo que aún no está reconocido en la Argentina y que es de un riesgo elevado. Cuanto antes el titular del dato esté en conocimiento de la filtración, más rápidamente puede tomar medidas para resguardarse”, explicó.
Para él se trata de “un proyecto necesario”, aunque también reconoció que “quizás se le podrían implementar cuestiones relativas a los nuevos desafíos de inteligencia artificial y machine learning”, es decir, de aprendizaje automático.