Aún no estás suscripto a Microjuris? Ingresá aquí.
Autor: Faliero, Johanna C.
Fecha: 04-09-2023
Colección: Doctrina
Cita: MJ-DOC-17288-AR||MJD17288
Voces: PROTECCIÓN DEL CONSUMIDOR – RELACIÓN DE CONSUMO – INFORMACIÓN AL CONSUMIDOR – CODIGO CIVIL Y COMERCIAL DE LA NACION
Doctrina:
Por Johanna C. Faliero (*)
En la actualidad los consumidores / usuarios se encuentran sobrexpuestos de forma sistemática a la vulneración de su privacidad, la protección de sus datos, su ejercicio de autodeterminación informativa, y en todo lo referente a la seguridad de sus datos. Los consumidores / usuarios naturalmente al relacionarse con sus proveedores, entregan a estos de forma consciente o no, consentida y no consentida, una innumerable cantidad y variedad de datos y metadatos, que se utilizan a los fines de su perfilamiento con diversas finalidades, entre ellas, comerciales y publicitarias.
En la actualidad la problemática del perfilamiento de los consumidores / usuarios es cada vez más grave por motivo de la utilización en ello de técnicas cada vez más riesgosas de procesamiento de datos. El uso de big data, data mining, inteligencia artificial, machine learning y deep learning en la actualidad se encuentra generalizado para la realización de microtargeting, por parte de los mismos proveedores como así también, de los terceros a los cuales estos contratan para realización de procesamiento de datos por medio de la tercerización de estas tareas, lo que genera más problemáticas en lo relativo a las cesiones y transferencias de datos.
El consentimiento informado de los consumidores / usuarios como titulares de los datos como principio general del tratamiento de datos personales encuentra en la actualidad grandes desafíos y sistemáticas violaciones y escenarios distópicos muy próximos y reales.
Por una parte, nuestra histórica Ley de Protección de Datos Personales reconocía este principio, no obstante receptaba amplias excepciones que discrecionalmente interpretadas de forma amplia y no restrictiva, daban lugar a una incontable cantidad de abusos. De igual modo sucedía con las cesiones de datos, puesto que las mismas requerían los mismos extremos del consentimiento a efectos del tratamiento de datos, por lo que las prácticas abusivas en las cesiones de datos y metadatos se replicaban.Por otra parte, en los intentos de reforma de la Ley de Protección de Datos lejos de profundizar el principio protectorio que consiste el respecto del consentimiento informado de los titulares de los datos como expresión de su autodeterminación informativa y la reducción de sus excepciones, eliminando algunas excesivas y discrecionales como así también exigiendo su interpretación limitativa y estricta, se ha ido en el sentido opuesto, lacerando sistemáticamente el principio del consentimiento informado libre, expreso, específico e inequívoco del titular del dato.
En el intento de reforma fallido de 2016/2018 se pretendió incluir como modalidad posible del consentimiento su expresión tácita, la que no resiste análisis desde la perspectiva protectoria consumeril. No obstante esta crítica, aun así el Proyecto de Reforma de 2018 de la AAIP a la Ley de Protección de Datos Personales al menos seguía entendiendo al consentimiento como principio, fuera este expreso o tácito.
El peor daño vino de la mano del Proyecto de Reforma a la Ley de Protección de Datos Personales gestado en el proceso de reforma de 2022 por la nueva gestión partidaria de la AAIP, cuyo texto definitivo envió el 29 de junio de 2023 el PEN a la Cámara de Diputados de la Nación, en el que el consentimiento del titular del dato pasa a ser una de tantas otras bases legales del tratamiento de datos.
Por todo ello, el consentimiento informado pierde su calidad de principio y pasa a ser una base legal para el tratamiento, entre las que se encuentran una abultada cantidad de otras bases legales del tratamiento.Asimismo, cabe destacar que en este Proyecto se han novado a las excepciones al consentimiento y las mismas han ascendido a ser consideradas como bases legales del tratamiento, por lo que lejos de reducir la discrecionalidad en las excepciones históricas al consentimiento informado del titular, se les dio la categoría de bases legales del tratamiento de datos, con una interpretación amplia, flexible y ampliamente beneficiosa para la discrecionalidad y conveniencia de los responsables de tratamiento / proveedores.
Y para el peor de los colmos, se consolidaron dos peligrosísimas bases legales del tratamiento cuya admisibilidad desde el plano protectorio consumeril tampoco resiste ningún análisis y que podríamos caracterizar como inconstitucionales, las «medidas precontractuales» y el «interés legítimo» del responsable de tratamiento, o sea, el proveedor.
En primer lugar, la imprecisión jurídica que recepta el concepto de «medidas precontractuales» es gravísimo desde el plano de la protección del titular del dato / consumidor y usuario, pues en el ámbito de lo legal tenemos conocimiento preciso del concepto de tratativas preliminares o precontractuales, las que implican algún grado de bilateralidad y conocimiento por parte de los consumidores / usuarios. No obstante, las «medidas precontractuales» pueden ser acciones unilaterales de los proveedores con miras a la realización de tratativas precontractuales, y como tales, pueden ser realizadas en desconocimiento y sin la participación de los consumidores / usuarios, en la expectativa de que estos luego sí lo hicieren en la etapa de tratativas.
En segundo lugar, priorizar el «interés legítimo» como base legal del tratamiento de la parte más fuerte de una relación asimétrica, como la es la del tratamiento de datos en el marco de las relaciones y contratos de consumo, es inadmisible desde una perspectiva protectoria constitucional, desde la óptica del principio protectorio en materia de consumo y del respeto por el principio del consentimiento informado y el respeto por la autonomía de la voluntad de los consumidores / usuarios en reconocimiento de su dignidad humana, por la progresividad y no regresividad de los derechos humanos reconocidos a éstos.La barbarie del «interés legítimo» como base legal del tratamiento de datos que se proyecta en esta futura y posible nueva Ley de Protección de Datos Personales es la peor traición jurídica jamás vista hacia los más débiles, en total menosprecio de sus derechos y libertades más fundamentales reconocidas constitucionalmente en los Arts. 42 , 43 y 75 inc. 22 de la CN, lo que convertiría a esta noble norma protectoria que antes podía usarse dialógicamente con la Ley 24.240 , en una ley de desprotección de derechos modulada en favor de los responsables de tratamiento / proveedores y aprobada por el visto bueno y complaciente de la industria. Colocaría a los más débiles en la posición de sabuesos de la protección de sus datos, perdiendo su control de forma absoluta sobre su protección de datos y privacidad, ya que deberían desarrollar tareas adivinatorias respecto de cuándo qué proveedor / responsable de tratamiento estuviere o no efectuando un tratamiento basado en su propio interés legítimo, y permitiría que éstos últimos terminasen no sólo legitimando sino legalizando un sinfín de prácticas abusivas punibles desde la óptica de nuestra Ley 24.240.Finalmente, los estudios que puedan realizar los proveedores / responsables de tratamiento de su justificación legal unilateral respecto de sus propias decisiones en nada realmente importaría, pues ese juicio se encuentra sesgado por su propio interés y parcialidad, y para su control no basta que éstos pongan a disposición de la autoridad de aplicación sus propias autoevaluaciones para su control expost porque ello no se condice ni cumple con los principios precautorio, preventivo ni de responsabilidad proactiva y porque los daños ya estarían causados.
Pasando aquí a la otra gran preocupación de los consumidores / usuarios está todo lo relativo a la seguridad de sus datos, pues no sólo el problema radica en las prácticas abusivas de tratamiento, sino también en su almacenamiento, conservación, tratamiento y transmisión insegura desde la perspectiva de lo informático.
Ya nos hemos ocupado de responder las inquietudes relativas al cumplimiento del deber de seguridad de los proveedores, pues este deber se expande al ámbito de lo informático y se torna cada vez más relevante. Los proveedores deben adoptar adecuadas, completas y actualizadas medidas de seguridad al efectuar el procesamiento de los datos de los consumidores / usuarios, resguardando a los mismos de las posibles pérdidas de su privacidad, confidencialidad, disponibilidad e integridad.
Los data breaches que golpean a los proveedores son cada vez más frecuentes y más críticos, así como también en términos generales los incidentes de seguridad que deben enfrentar, lo que pone en riesgo los datos y metadatos de los consumidores / usuarios, quienes muchas veces desconocen los riesgos a los cuales se encuentran expuestos y su magnitud cuando se quiebra la seguridad de datos.Esto muchas veces se debe a la opacidad y falta de transparencia informativa de los proveedores, quienes lejos de informar adecuadamente y en tiempo prudencial de 72hs la ocurrencia del incidente de seguridad, suelen proceder a su ocultamiento y al despliegue de maniobras incongruentes de desinformación, que en la gran mayoría de las veces caen por peso propio al divulgarse de formas no oficiales los verdaderos impactos de los eventos ocultados.
Por todo ello, en el futuro del derecho de los consumidores y usuarios se deberá atender con una mayor severidad al capítulo relativo a la protección de los datos, su privacidad y su seguridad, pues estos se han convertido en bienes jurídicos de máximo valor en nuestros tiempos, derivados de genuinos derechos humanos digitales reconocidos por nuestro ordenamiento. Asimismo, para reforzar las deslucidas normas que, por imposición de la industria en otros campos, van perdiendo el matiz protectorio que conserva nuestra noble Ley 24.240.
———-
(*) Abogada. Doctora en Derecho con Tesis Doctoral Distinguida en Protección de Datos Personales en el área de Derecho Civil de la Facultad de Derecho de la Universidad de Buenos Aires. Especialista en Derecho Informático, con Programas de Actualización en Derecho del Consumidor Profundizado y Abogada en Derecho Empresarial y Privado de la Facultad de Derecho de la Universidad de Buenos Aires. Directora del Programa de Actualización en Data Governance, Data Compliance, Infosec & Ciberseguridad de la Facultad de Derecho de la UBA.Directora de Faliero Attorneys At Law.Consultora Internacional, Asesora y Representante Legal Especializada para Argentina, LATAM, Caribe y UE en Derecho Informático, Protección, Seguridad, Privacidad y Gobernanza de Datos, Data Compliance, RegTech, Algoritmos, Inteligencia Artificial, Ética de Datos, Ética de la IA, Ética de los Algoritmos, Anonimato, Perfilamiento, Identidad Digital, Infosecurity, Ciberseguridad, Ciberdefensa, Ciberinteligencia, Políticas y Gobernanza de Internet, Comercio Electrónico y Economía Digital, Criptomonedas, Blockchain Technology, Smart Contracts, FinTech, Contratación Electrónica, E-Consumidor, Documentación Digital, LegalTech, Prueba Informática y Evidencia Digital, Delitos Informáticos, Hacking, E-Gobierno, Derecho Privado, Contratos, Responsabilidad Civil y Daños, Derechos del Consumidor y Competencia, Derecho Empresarial, Compliance y RSE. Directora del Curso Independiente de Posgrado en «El nuevo escenario global en Data Privacy, Data Protection, Infosec, Data Governance y Compliance. LPDP, GDPR y el DPO/Delegado de Protección.» (Depto. Posgrado – Facultad de Derecho – UBA). Directora del Curso Independiente de Posgrado en «INFOSECURITY, Ciberseguridad, Perfilamiento, Evidencia Digital e Identidad Digital. Vigilancia y el Derecho al Anonimato.» (Depto. Posgrado – Facultad de Derecho – UBA). Directora del Posgrado «Derecho Informático Avanzado, RegTech & FinTech» (Depto.de Posgrado – Facultad de Derecho – UP). Directora del Posgrado «Ciberdelitos, Hacking y Aspectos Legales de la Evidencia Digital» (Depto. de Posgrado – Facultad de Derecho – UP). Directora del Posgrado «Derecho Informático Avanzado, Legaltech, IA & Algoritmos» (Depto. de Posgrado – Facultad de Derecho – UP). Directora del Posgrado «Derecho a la Protección de los Consumidores y Usuarios: problemáticas modernas y aspectos estratégicos» (Depto. de Posgrado – Facultad de Derecho – UP). Profesora Titular de los Cursos «Derecho Civil y Datos Personales» y «Ciberdelitos en las redes» de los Cursos Intensivos para Doctorado (Depto. Posgrado – Facultad de Derecho UBA). Profesora Titular de la materia «Régimen Legal de Datos» de la Especialización en Criptografía y Seguridad Teleinformática y la Maestría en Ciberdefensa de la UNDEF.Profesora Titular de la materia «Derecho en el Ciberespacio» del Curso Conjunto de Homologación de Competencias en Ciberdefensa y Curso Básico de Capacitación en Ciberdefensa del Instituto de Ciberdefensa de las Fuerzas Armadas (Escuela Superior de Guerra Conjunta de las FFAA). Integrante del Equipo Asesor del Instituto de Ciberdefensa de las Fuerzas Armadas (Escuela Superior de Guerra Conjunta de las FFAA). Directora del Curso de Extensión de Posgrado «Actualización en la Ley de Protección de Datos Personales y su Reforma». (Facultad de Derecho – USAL). Profesora Adjunta de «Contratos Civiles y Comerciales» del Programa Franco-Argentino de Abogacía de la Facultad de Ciencias Jurídicas USAL. Profesora Invitada en Universidades locales e internacionales. Investigadora Adscripta del Inst. Gioja. Miembro de f r Network – Feminist AI Research Network de Canada’s International Development Research Centre (IDRC) Gender at Work, y la Alliance. Autora de 4 libros, entre ellos: «La protección de datos personales». (Editorial Ad Hoc – Año 2021). Disertante nacional e internacional.
