En la era digital, la producción y el tratamiento de datos personales se convirtieron en aspectos fundamentales de nuestras vidas. Cada vez que navegamos por internet, utilizamos aplicaciones o interactuamos en redes sociales, generamos una gran cantidad de información personal. Hace unos días conversaba con un empresario sobre el uso de WhatsApp en su negocio y las facilidades que proporcionaba a sus clientes. Cuando le consulté sobre la situación de los datos personales, en modo defensivo argumentó que esas cuestiones sólo son problemáticas cuando los abogados metemos la nariz y cerró la idea con un lapidario “Los datos personales que tratamos no son tan sensibles”.
¿Podemos decir que hay datos más sensibles que otros? ¿Conocemos los datos que nuestra empresa puede legalmente almacenar? Y aún más importante, ¿Conocemos los riesgos a los que nos exponemos por el uso indebido de esos datos? La protección de datos personales es fundamental para garantizar la privacidad de los individuos, prevenir el uso indebido de la información y fomentar la confianza entre las empresas y sus clientes. Algunas nociones de privacidad que todo empresario debe considerar es la distinción entre datos personales y datos sensibles. Podemos empezar aclarando que datos personales son la categoría general y dato sensible es una subcategoría dentro de ellos. Es decir que todos los datos sensibles son datos personales, pero no todos los datos personales son sensibles. Los datos personales son toda aquella información que identifica o hace identificable a una persona, sea física o jurídica. Son referencias únicas, que distinguen a una de otra y permiten la identificación del sujeto. Los datos personales clásicos son el nombre y apellido, DNI, CUIL/CUIT, domicilio, teléfono, email personal, datos biométricos, pero no se agotan allí.
En tal sentido, los datos personales que hayan sido anonimizados o presentados con un seudónimo, pero que puedan utilizarse para volver a identificar a una persona, siguen siendo datos personales. Sería el caso, por ejemplo, de un nombre de usuario en una red social. Si bien el usuario “sangrejaponesa” no identifica un nombre y apellido per se, se puede saber que corresponde a la actriz Eugenia “China” Suárez. Dentro del abanico de datos personales, existen unos datos especialmente protegidos debido a su naturaleza íntima y personal, ya que su divulgación o uso indebido podría afectar la privacidad y los derechos fundamentales de los individuos involucrados. Estos son los denominados datos sensibles, definidos como aquellos que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
El tratamiento de unos y otros datos es diferente, por eso resulta fundamental para la empresa distinguir la naturaleza de los datos que tiene a su alcance. En pocas palabras, el tratamiento de datos personales sólo es lícito cuando el titular presta su consentimiento libre, expreso e informado, que deberá constar por escrito, o por otro medio que se le equipare. La ley indica que las empresas pueden formar archivos de datos personales que fueron obtenidos en forma legítima, pero deben inscribir estas bases en el Registro Nacional de Bases de Datos, lo que se realiza sin costo alguno vía Trámites a Distancia (TAD). Respecto a los datos sensibles la situación es diferente. Primero debe tenerse en cuenta que ninguna persona puede ser obligada a proporcionar datos sensibles. Tampoco pueden ser registrados, salvo que haya razones de interés general autorizadas por la ley, como sería el caso de las Iglesias que tienen registros sobre la fe de sus creyentes. A partir de este primer acercamiento, Ud. podrá advertir que todas las empresas almacenan algún tipo de dato personal. Y es probable, que en la mayoría de los casos el tratamiento sea irregular. A fin de evitar sanciones si la irregularidad es expuesta o si se produce un quiebre en la seguridad de la empresa y los datos personales de sus clientes son filtrados al mundo, la empresa deberá articular medidas para legitimar el uso de tales datos.
La pregunta clave sería ¿Por dónde empezar? Para iniciar el proceso de adecuación en la gestión de datos personales en las empresas, se deberá considerar:
- Identificar los datos personales que se utilizan en la organización y cómo se hace procesamiento. Se sugiere desarrollar diagramas de flujos, ilustrando su procesamiento y las interacciones de las personas con sistemas, productos y servicios. Esto permitirá identificar los riesgos de privacidad a los que están expuestos los datos y evaluar las estrategias de tratamiento adecuadas.
- Obtener consentimiento de manera adecuada: El consentimiento debe ser recopilado de manera clara y específica, explicando la finalidad del uso de los datos y las posibles transferencias a terceros.
- Designar un responsable de protección de datos: Es importante que las empresas designen a una persona encargada de garantizar el cumplimiento de la ley y de actuar como punto de contacto para consultas y reclamos relacionados con la protección de datos.
- Implementar medidas de seguridad: Las empresas deben establecer políticas y procedimientos para proteger los datos personales, incluyendo medidas de seguridad física y digital, como el uso de contraseñas, cifrado de datos y acceso restringido a la información.
- Capacitar al personal: Como siempre, resulta fundamental invertir en capacitaciones a los colaboradores para garantizar el cumplimiento de la ley en todas las etapas del procesamiento de la información personal. Si el personal es capaz de identificar los tipos de datos procesados y comprender los riesgos de su filtración, su colaborador se convertirá en su primer cinturón de contención. La gestión adecuada de datos personales en las empresas es una responsabilidad ineludible de la que rara vez se toma conciencia. Administrar en tiempo y forma la recopilación, el almacenamiento y el uso de datos personales será un factor diferencial para la gerencia que decida poner manos a la obra.