Baixe Ley de Datos Personales: Consentimiento y Protección Estatal e outras Trabalhos em PDF para Psicologia Clínica, somente na Docsity!
Hacia una nueva ley de datos personales: Comentario sobre el consentimiento informado y la protección estatal de los datos personales en el proyecto Integrantes: Tomás Andreoli, Abril Flores, Marco Gini, Bruno Mazzitelli y Clara Vartorelli.
- Introducción
- Situación actual a. Los estándares internacionales en el Sistema Interamericano en materia de datos personales b. La ley vigente i. Orígen de la ley ii. Contenido de la norma iii. Desafíos de la aplicación de la ley N°25. c. ¿Cómo regulan la protección de los datos personales en otros países? Un análisis a la cuestión en la Unión Europea
- El proyecto de ley a. La elaboración del proyecto y sus fuentes b. El problema del consentimiento y el interés legítimo como base legal para el tratamiento de los datos personales c. La independencia del ente de control
- Conclusión
- Bibliografía
1. Introducción Algunos autores encuentran el antecedente más remoto del derecho a la privacidad en Roma. En el año 81 a.C. existía la Lex Cornelia de Iniuris que se abocaba a la inviolabilidad del domicilio. ¿Pero cómo es que comienzan hablando del derecho a propiedad, hasta evolucionar a la cuestión de la privacidad? Para ese momento, la intromisión a un domicilio no se relacionaba con derecho de propiedad, sino más bien, se la tomaba como una injuria. En dicho orden de ideas, los romanos consideraban a la injuria como una ofensa moral a la dignidad de la víctima. Y dentro de ese “honor” que se buscaba proteger, se comprendían tres conceptos: el primero refería a la propia dignidad, luego a la estima o buena opinión, y por último a las ventajas materiales inherentes a una buena reputación. Asimismo, un antecedente histórico que siguió en el mismo sentido que los romanos, es el artículo “The right to privacy” de Samuel D. Watten y Louis D. Brandeis, que logró que en Estados Unidos se considerara el derecho a la privacidad. En él, explicaban que el derecho estadounidense únicamente protegía el derecho a la vida y a la propiedad, pero que se debería reconocer la espiritualidad del hombre, sus sentimientos e intelecto. En tal sentido, en conjunto con el surgimiento de la privacidad, tuvieron que desarrollarse con mayor detalle los derechos de la propiedad y el derecho a la vida. Siendo que el derecho a la vida logró incorporar conceptos como “el ser dejado en paz” y el de la libertad. Y la propiedad abarcó tanto bienes tangibles como los intangibles, abarcando estos últimos procesos de la mente (propiedad intelectual), pensamientos, emociones y sensaciones que requerían un reconocimiento legal.^1 Así es como, en escuetas palabras, logramos ver cómo el derecho a la privacidad es un derecho que deriva de otros dos (derecho de propiedad y derecho a la vida), siendo necesario su mayor desarrollo a medida que surgían nuevas circunstancias en la sociedad. Hoy en día, con la evolución de la tecnología, se ha cercenado el derecho a la privacidad, y en consecuencia, fue afectada la protección de los datos personales. (^1) Cfr. Sebastián A. Gamen dir. (2023), “La privacidad y las nuevas tecnologías - Análisis práctico sobre la problemática del derecho a la intimidad en la era digital”, Buenos Aires, primera edición, páginas 18-26.
titulado “El Derecho de la información: acceso y protección de la información y datos personales en formato electrónico”. Dicho documento, fue redactado en reconocimiento a la necesidad de los Estados de “[...] proteger la privacidad de los individuos con relación a su información personal en poder de las instituciones gubernamentales y [de] proveer a los individuos el derecho de acceso a tal información.”^4 Se trata de un informe realizado en base a la información proporcionada por los Estados miembros acerca de sus regímenes jurídicos sobre el acceso y la protección de los datos personales de los ciudadanos bajo el fundamento de “[l]a confidencia pública en una administración gubernamental de información personal es vital para la confianza pública y el apoyo de programas y acciones del gobierno”^5. El producto de este informe consiste en el reconocimiento de sobre el acceso a la información y la protección de información y datos personales, individualiza herramientas jurídicas de la región concordantes a estos principios, insta a la adhesión a la Convención de Estrasburgo o de desarrollar un instrumento interamericano en esta área, elabora un proyecto de resolución para las consideraciones del Comité Jurídico Interamericano y --de mayor relevancia a los fines de este trabajo-- provee un análisis preliminar sobre la recusación de información personal en manos privadas (Parte IV)^6. Respecto a la información personal manejada por organizaciones privadas, individualiza una serie de puntos principales acerca de esta problemática: la responsabilidad por la información personal de las organizaciones, la individualización de los propósitos para recopilar la información,el consentimiento de los usuarios, los límites a la recopilación, los límites al uso, la divulgación y retención de los mismos, la exactitud de los datos solicitados, la franqueza acerca de sus políticas y prácticas en la administración de datos, el acceso individual mediante solicitudes sobre el uso de sus datos y, finalmente, la solicitud de los usuarios de refutaciones en el uso de sus datos. En particular, es interesante observar que, ya en los años 1999 y 2000, existía un especial interés por el uso de los datos personales y el consentimiento de (^6) cfr. idem. (^5) idem. (^4) OEA (2001), Derecho de la Información: Acceso y Protección de la Información y Datos Personales, OEA/Ser. Q 2-27 de agosto 1999 CJI/doc.45/ estudiar la posibilidad de uniformar las legislaciones de los países del Continente” (extraído de https://www.oas.org/es/sla/cji/).
los usuarios para el manejo de los mismos. Puntualmente advierte sobre las obligaciones a un usuario de consentir el uso de sus datos para acceder al servicio^7. Entre las obligaciones de las organizaciones, el documento advierte que “[u]na organización es responsable por la información personal en su poder o custodia, incluso de la información que se ha transferido a terceros para procesamiento. La organización deberá usar medios contractuales u otros para proveer un nivel de protección comparable mientras la información está siendo procesada por terceros.^8 ” En el año 2011, la Asamblea General instó al Departamento de Derecho Internacional a elaborar un estudio a los fines de establecer un marco regional en el área de protección de datos personales junto a la elaboración de principios de privacidad y protección de datos personales^9. El producto de dicha solicitud fue la “Propuesta de Declaración de Principios de Privacidad y Protección de Datos Personales en las Américas” (CJI/doc.402/12). Este documento individualiza doce principios básicos para las legislaciones y prácticas en esta materia. Entre estos, el principio dos “claridad y consentimiento” consiste en que “ [...] deben especificar los fines para los cuales se recopilan los datos personales y la información personal en el momento en que se recopilen. Como regla general, los datos personales y la información personal solamente deben ser recopiladas con el conocimiento o el consentimiento de la persona a que se refieran”. Luego, el principio cuatro “uso limitado y retención” propone que “[l]os datos personales y la información personal deben ser mantenidos y utilizados solamente de manera legítima no incompatible con el fin o fines para los cuales se recopilaron. No deberán mantenerse más del tiempo necesario para su propósito o propósitos y de conformidad con la legislación nacional correspondiente^10 ”. (^10) idem. (^9) cfr. CIJ (2012) Propuesta de Declaración de Principios de Privacidad y Protección de Datos Personales en las Américas (^8) Para su cumplimiento, el documento añade que: “Las organizaciones deberán implementar políticas y prácticas para dar efecto a los principios, incluyendo: a) implementación de procedimientos para proteger la información personal; b) establecimiento de procedimientos para recibir y responder las quejas y preguntas; c) capacitación y comunicaciones al personal a respecto de las políticas y prácticas de la organización; y d) desarrollo de la información para explicar las políticas y los procedimientos de la organización”. (^7) “Una organización no deberá, como una condición a la oferta de un producto o servicio, exigir que un individuo consienta en la recopilación, uso, divulgación de la información más allá de lo exigido para cumplir con los legítimos propósitos explícitamente especificados”.
principios generales que parece deshacer lo dicho anteriormente en tanto advierte que “La recopilación y el procesamiento de datos de acuerdo con la condición de los intereses legítimos deben ser justos y legales y ceñirse a todos los principios de la protección de datos”.^12 En el año 2021, los Principios Actualizados sobre la Privacidad y la Protección de Datos Personales trajo consigo el concepto “finalidades legítimas” en el marco de la seguridad de los titulares de datos personales. Las finalidad legítimas adquirieron un rol preponderante y, el concepto que anteriormente era tratado como una excepción, se convirtió en la regla para el tratamiento de datos personales^13 : hay un claro (y textual) rechazo al “tratamiento arbitrario y caprichoso de Datos Personales”^14. Si bien la cuestión del consentimiento no tuvo grandes modificaciones --quizás alguna mención respecto a la ausencia consentimiento y los intereses legítimos ejemplificado en casos extremos como cuestiones humanitarias-- la interpretación del consentimiento en conjunto a las “finalidades legítimas” aporta una mayor seguridad a los titulares de datos personales. Ahora bien, este trabajo no se propone analizar solamente los desafíos del consentimiento informado. Dado que el nuevo proyecto también propone otorgar mayores herramientas al organismo nacional encargado de la protección de datos personales, es posible identificar en el Sistema Interamericano menciones a la necesidad de estos organismos. Si bien en la primera propuesta de Principios de de Privacidad y Protección de Datos Personales no hay una mención expresa a la creación de organismos nacionales (solamente refiere la necesidad de los Estados de cooperar para garantizar el cumplimiento de estas disposiciones en entidades que operen en más de una jurisdicción y en el establecimiento de excepciones a los principios para salvaguardar el orden pública^15 ), en el año 2015 esta iniciativa fue incluida. Se establece una definición de la “autoridad responsable de la protección de datos: (^15) CIJ (2012), principio once. (^14) CIJ (2021), Principios Actualizados Anotados, página 29. (^13) Los nuevos principios advierten: “[e]l requisito de legitimidad en las finalidades para las cuales se tratan los Datos Personales es una norma fundamental, profundamente arraigada en valores democráticos básicos y en el estado de derecho.” (^12) cfr. idem, pagína 17.
Algunos Estados Miembros de la OEA han establecido organismos reguladores nacionales que se encargan de establecer y hacer cumplir leyes, normas y requisitos relativos a la protección de datos personales a fin de mantener la uniformidad en todo el país. En otros, los sistemas de reglamentación difieren según el sector o la esfera de actividad (bancaria, médica, educacional, etc.) y la responsabilidad podría estar distribuida entre organismos reguladores y entidades privadas con responsabilidades legales específicas. Dentro del principio diez “Responsabilidad”, hay una mención a la obligación de las autoridades gubernamentales de establecer mecanismos para responsabilizar a los controladores de datos en caso de violaciones a las disposiciones normativas y para hacer efectivo su cumplimiento. Lo mismo ocurre en el principio once “Flujo Transfronterizo de datos y responsabilidad”. Allí, hay una interesante advertencia acerca de los límites excesivos al flujo transfronterizo de información. El documento propone dejar de lado los requisitos de “localización de datos” y optar por la cooperación, a los fines de promover el comercio y evitar barreras para-arancelarias. El mayor desarrollo respecto a la obligación de las autoridades en materia de datos personales se encuentra en la actualización de los principios del año 2021. La creación del principio número trece titulado “Autoridades de Protección de Datos” incorpora la recomendación a los Estados de establecer “[...] órganos de supervisión independientes, dotados de recursos suficientes, de conformidad con la estructura constitucional, organizacional y administrativa de cada Estado, para monitorear y promover la protección de datos personales de conformidad con estos Principios”. Cabe destacar la importancia que la actualización de los principios le otorga al rol de las autoridades locales en la protección de los datos personales --una clara consecuencia de la experiencia adquirida en los últimos años--. b. la ley vigente. i. Orígen de la ley.
Dentro del séptimo y último capítulo de la ley, encontramos la acción de protección de los datos personales, donde se establecerá la legitimación, la competencia y los procedimientos. iii. Desafíos de la aplicación de la ley N°25. La Ley abarca un amplio espectro de derechos a proteger a lo largo de todo su cuerpo normativo. Ahora bien, su aplicación se torna un tanto más conflictiva en casos puntuales. Esto se puede ver en el caso de demanda colectiva instado por la Fiscal Marcela Monti contra el Gobierno de la Ciudad de Buenos Aires frente al Juzgado de Primera Instancia del fuero Contencioso Administrativo, Tributario y de Relaciones de Consumo de la Ciudad Autónoma de Buenos Aires, cuyo fin es que la demandada ejerza un poder de policía mayor y más eficaz a la hora de proteger los derechos de los consumidores; todo esto en una investigación de páginas web que clonan la voz de las personas y sus características biométricas, utilizando la inteligencia artificial de un modo que excede el normal funcionamiento de las autorizaciones que los usuarios otorgan para disponer de sus datos y su privacidad. Es por ello que el Ministerio Público Fiscal realizó una investigación para ver qué deficiencias podía haber en las páginas que vulneren los derechos de los usuarios, enfocándose en las que se trataban de clonación de voz y características biométricas de las personas mediante la Inteligencia Artificial. Así explican que la clonación de voz y rostro por IA permite realizarlo de un modo extremadamente ágil y preciso, de una forma fácil y accesible a los usuarios, sin mediar autorización respecto al proceso que se va a realizar, y mucho menos informando de las implicancias que ello conlleva, sus riesgos y que el contenido entra en una base de datos de acceso público. “La clonación de voz y rostro por medio de programas que emplean IA consiste en un proceso complejo que implica capturar y analizar datos biométricos de una persona a los fines de crear, de forma sintética o artificial, una copia virtual de la voz e imagen original. Tal como puede presumirse, esta modalidad es comúnmente utilizada tanto con fines lícitos como ilícitos, tales como la difusión de
información falsa, el ciberbullying, la suplantación de identidad, estafas y defraudaciones.”^16. Sumado a ello, cabe destacar que no mediaba consentimiento informado para todo este proceso. Es así como verificaron las deficiencias que coartaban los derechos del consumidor que repercutían en el deber de los proveedores de garantizar la información, seguridad y trato digno de los consumidores, derecho a la identidad, privacidad e intimidad y que se incumplía con las previsiones de la presente Ley de Protección de Datos Personales. “[...] Los procedimientos descriptos vulneran el derecho a la privacidad y la protección de datos personales, al no existir términos de uso, ni condiciones claras sobre la gestión de los datos biométricos derivados de estas acciones. La falta de consentimiento informado y la ausencia de un marco normativo adecuado para regular este tipo de tecnologías suponen un riesgo significativo para los derechos de los usuarios [...]”, “[...] se involucra otra cuestión que coloca en mayor vulnerabilidad al colectivo que represento, ya que sus datos personales sensibles pueden ser, potencialmente, objeto de múltiples tratamientos y transferencias inimaginables para ellos y que pueden impactar en su intimidad.”. Así las cosas, mencionan que el fin de la demanda es que el Gobierno de la Ciudad de Buenos Aires ejerza su poder de policía aplicando medidas suficientes que garanticen la protección de los consumidores que acceden a páginas web en el ámbito de la Ciudad. Pretenden también que la Administración despliegue acciones concretas para regularizar la prestación de los servicios mencionados. Otro desafío relevante que ha enfrentado la ley desde su génesis, fue el de la independencia del ente de control. Dado el contexto en el que surgió la Dirección de Protección de Datos Personales, la misma no contaba con la independencia que se deseaba, en gran parte porque el Director era designado y removido por el propio Ministerio del que dependía. No fue hasta la creación de la Agencia de Acceso a la Información Pública (bajo cuya órbita pasó a actuar la Dirección) en el 2016 que se soluciona gran parte del problema, constituyendo a la misma en un ente autárquico y autónomo. Así se cumplen, desde el 2016, con lo central de los requisitos respecto a la autarquía y autonomía del ente. (^16) Enzo Le Fevre Cervini, María Victoria Carro (2024), “Panorama del impacto de Gen AI y Deepfakesen los procesos electorales globales”, ISPI 90 , disponible en: https://www.ispionline.it/en/publication/an-overview-of-the-impact-of-genai-and-deepfakes-on -global-electoral-processes-
una función de interés público o en el ejercicio de potestades públicas, si no es para el cumplimiento de un contrato o no protege intereses vitales. El artículo 7 común a ambos reglamentos establece que es el responsable quien debe demostrar que el interesado haya consentido el tratamiento de sus datos personales. Incluso, dispone un artículo específicamente destinado al consentimiento de los menores: “[...] el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó”^19. En cuanto a las autoridad de control locales, reconociendo la fragmentación de las disposiciones dentro de cada Estado, es notable que el artículo 57 del Reglamento de 2018 les otorga la función de “controlar la aplicación del presente Reglamento y hacerlo aplicar” (inc. a), “cooperar [...] con otras autoridades de control y prestar asistencia mutua [...]” (inc. c), llevar a cabo investigaciones sobre la aplicación del reglamento, seguir los cambios que tengan incidencia en la protección de datos (con especial hincapié en los avances tecnológicos), etc. En cuanto a sus potestades, el artículo 58 le permite a estas autoridades sancionar, llevar a cabo investigaciones, revisar las certificaciones otorgadas, imponer limitaciones temporales o definitivas junto a una pluralidad de mecanismos para garantizar el efectivo cumplimiento de estas normas. Es de especial interés para Argentina las disposiciones del artículo 45 acerca de las “Transferencias basadas en una decisión de adecuación”. Para realizar transferencias de datos a un tercer país o una organización internacional, la Comisión (creada por esta misma norma) debe confirmar que este garantiza un nivel de protección adecuado sin necesidad de mediar una autorización en específico. Para evaluar el nivel protección, la Comisión tendrá en cuenta: el Estado de Derecho, las normas en la protección de datos personales, la jurisprudencia, el reconocimiento a los interesados, los recursos administrativos y acciones judiciales efectivas, el funcionamiento efectivo de una o varias autoridades de control independientes , los compromisos internacionales asumidos, entre otros. Dado que tanto Argentina como Uruguay han sido reconocidos como Estados con garantías (^19) Reglamento 2016/679, artículo 8, inc. 1.
suficientes para tratamientos de datos, es pertinente advertir que la Comisión puede realizar actos de ejecución y revocar las autorizaciones que disponen nuestros países. El Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Caracter Personal firmado en el marco del Consejo de Europa^20 fue ratificado por Argentina a través de la ley 27.483 en 2019 junto al Protocolo Modificatorio del Convenio (ley 27.699). Este instrumento establece entre las obligaciones de las partes la aplicación de las disposiciones en el tratamiento de datos tanto en los sectores públicos y privados garantizando el derecho a la protección de datos personales (artículo 2). Las disposiciones del tratado son rigurosas ya que tiene como principal finalidad favorecer el flujo transfronterizo de datos personales: el artículo 14 impide a los Estados miembro prohibir o someter a una autorización especial la transferencia de datos a un destinatario dentro de la jurisdicción de otro Estado parte. Como única excepción, refiere a un “riesgo real y grave” o si está obligado por normas de protección pertenecientes a una organización internacional regional. El Convenio otorga un rol preponderante a las autoridades de control de los Estados en su claro ánimo por promover la cooperación internacional: deben prever que las personas que transfieren datos puedan demostrar la efectividad de las garantías o su interés legítimo como también estar en condiciones de prohibir, suspender o someter a condiciones las transferencias^21. Además, deben “actuar con total independencia e imparcialidad al cumplir con sus obligaciones y ejercer sus facultades y, al hacerlo, no deberán solicitar ni aceptar instrucciones”^22 y tener un rol activo en la protección de los datos personales: desde atención a solicitudes y demandas, hasta la preparación de informes periódicos. Salta a la vista con lo analizado previamente que Argentina no ha cumplido con las disposiciones del Convenio y, especialmente, con aquellas relacionadas a las autoridades de control para la protección de datos personales. No solo el Estado (^22) Artículo 14, inciso 5 (^21) Artículo 14 inc. 6: “Asimismo, cada Parte deberá prever que la autoridad de control pueda solicitar que la persona que transfiere datos demuestre la efectividad de las garantías o la existencia de intereses legítimos predominantes y que la autoridad de control pueda, con el fin de proteger los derechos y las libertades fundamentales de los titulares de datos, prohibir dichas transferencias, suspenderlas o someterlas a condiciones”. (^20) no hay contenido
verse en el RGPD, el Convenio 108 y su versión actualizada, y los “Estándares de protección de datos personales para los estados iberoamericanos”, entre otros, varios de los cuales ya se han expuesto. Resulta correcta la intención de la Agencia de actualizar la ley vigente elaborando una norma más actualizada y acorde a los principios y estándares más novedosos a la fecha, pero una lectura al Proyecto demuestra un cierto nivel de descuido en su redacción y coherencia interna. Hay numerosos temas criticables a lo largo del texto presentado al Poder Legislativo, pero hay dos que resultan particularmente problemáticos, en el sentido que, por cómo se han redactado, resultan de difícil interpretación e incluso peligran el sentido de tener una ley de Protección de Datos Personales, si no se los comprende de forma correcta e integral a las fuentes en las que se fundan. Estos temas son la cuestión del consentimiento informado previo y el de la independencia del ente de control de la ley. e. El problema del consentimiento y el interés legítimo como base legal para el tratamiento de los datos personales Sobre la cuestión del consentimiento, el mismo constituye un elemento central en la materia, tal como se detalló en el momento de referirse a los estándares de la OEA y de la regulación europea. Visto desde la norma, el instituto no sólo está valorado por estándares y tratados internacionales sobre la materia, sino que, como ya se desarrolló oportunamente, encuentra bases sólidas en la Constitución Nacional, e incluso en el Código Civil y Comercial. Desde un aspecto casuístico, la realidad es que la vasta mayoría de ocasiones en las que entidades privadas recopilan y tratan datos personales surgen como consecuencia de una relación de consumo, en la cual resulta que el ente responsable del tratamiento de los datos se constituye en la parte fuerte de la misma. En definitiva, los datos personales tienen un cierto valor de propiedad de parte de su titular, por lo que es necesario el consentimiento de aquel titular para su tratamiento por parte de un tercero, y además merecen una protección especial, puesto que este titular de los datos suele ser la parte débil de la hipotética relación entre él y el responsable del tratamiento.
Por ello, en el proyecto, el problema se presenta en un principio en su artículo 13, donde establece distintas bases legales para permitir el tratamiento de los datos personales. Allí, se habla del consentimiento previo como una de seis bases legales distintas que habilitan la realización del tratamiento de los datos personales. Las otras bases legales propuestas son: a) que se efectúe en ejercicio de las funciones y facultades propias de los poderes del Estado y sean necesarios para el cumplimiento de sus competencias; b) que sea necesario para el cumplimiento de una obligación legal aplicable al Responsable o al Encargado de tratamiento; c) que sea necesario para la ejecución de un contrato en el que la persona Titular de los datos sea parte, o para la aplicación de medidas precontractuales; d) que resulte necesario para salvaguardar la vida de la persona Titular de los datos o de terceros, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos de la persona Titular de los datos, y esta se encontrara imposibilitada de otorgar el consentimiento por sí o por sus representantes; e) que sea necesario para la satisfacción del interés legítimo del Responsable de tratamiento, siempre que sobre dicho interés no prevalezcan los intereses o los derechos de la persona Titular de los datos, en particular si la persona Titular de los datos es una niña, un niño o adolescente. La crítica inicial se asienta en que el consentimiento informado deja de ser un principio, un verdadero mandato de optimización con algunas excepciones específicas, y pasa a tener el mismo valor que las otras bases que la ley contempla. Desde una perspectiva algo más filosófica y de lo sustancial, esto desvaloriza profundamente el instituto. En el campo de la práctica, la difícil interpretación de algunas de estas bases legales es lo que termina poniendo en peligro el sentido del consentimiento, por ser tan amplias y poco claras. De estas bases legales, la que más dificultades puede provocar es aquella fundada en la satisfacción del “interés legítimo” del responsable del tratamiento, puesto que las demás refieren a supuestos más específicos que justifican el uso con límites claros. Esta base legal encuentra un primer tropiezo en que no está definido de forma clara qué se entiende por “interés legítimo” en tanto instituto que justifica el tratamiento de datos personales prescindiendo de cualquier consentimiento, de tal forma que resulta en un concepto demasiado amplio. Un segundo problema se halla en los límites que se establecen a este interés legítimo.
al Proyecto objeto de análisis. Por un lado está el interés legítimo entendido como una finalidad propia y un principio del tratamiento de los datos. Esto es un presupuesto necesario de la actividad: la finalidad y medios del tratamiento no pueden ser contrarios al ordenamiento jurídico. Por otro lado, está el interés legítimo del Responsable, que refiere al interés genérico de la industria y que tampoco puede ser contrario al ordenamiento jurídico. Tiene sentido en un contexto de desarrollo tecnológico como es el de la actualidad, donde, por poner un ejemplo, las empresas que no tienen acceso a distintos datos personales no pueden competir contra las que sí en cuestiones de marketing. La finalidad está en el desarrollo de una industria, los datos personales sirven como un medio para ello, y el límite se encontraría en tanto y en cuanto el uso de estos datos provoque perjuicio, puesto que si no existe un daño para el titular poco sentido tendría (desde esta perspectiva) limitar el alcance de las empresas. La tensión se encuentra, en definitiva, entre el derecho a la intimidad y el de ejercer toda industria lícita Resulta ilustrativo lo dicho por la OEA respecto de que el requisito del consentimiento debe interpretarse razonablemente en un entorno tecnológico en rápida evolución, y que en algunas circunstancias el “conocimiento” podría ser la norma apropiada^25. Ahora bien, respecto al límite que impone el Proyecto al tratamiento de los datos con base legal en el interés legítimo, el mismo se encuentra en que sobre el interés del Responsable no prevalezcan los intereses o los derechos de la persona Titular de los datos. Sin embargo, al no tener el requisito del consentimiento informado previo para este tratamiento, en la práctica el titular de los datos no tiene forma de saber siquiera que sus datos están siendo recopilados, estudiados y vendidos. Por esta razón, el “conocimiento” puede ser apropiado para estos casos, ya que si no existe ni siquiera conocimiento de lo que está sucediendo, no hay manera de prevenir futuros abusos. La voluntad del titular pasaría a ser nada más que un adorno en el complejo normativo, ya que si el interés legítimo permite prescindir del consentimiento, y tampoco obliga a informar cuando menos que se están utilizando sus datos, no habría posibilidades de que el Titular pueda proteger sus derechos de forma efectiva. El informar del tratamiento de los datos personales, (^25) OEA (2021). Principios Actualizados sobre la Privacidad y la Protección de Datos Personales.
y el posterior silencio del Titular (en oposición a un Titular que realice un reclamo), constituiría finalmente una especie de consentimiento tácito. En el Proyecto la obligación de informar está contemplada en el art. 36 inc. c (entre otras obligaciones del Responsable o Encargado), y nuevamente en el art. 38 donde obliga a los Responsables a desarrollar sus políticas para el tratamiento de los datos personales. Quedaría pendiente la reglamentación en torno a cómo se controlaría el cumplimiento de la obligación que establece la ley. Dicho aquello, suponiendo que el Titular de los datos es informado de que tal o cual empresa pretende realizar un tratamiento de los datos, y quisiera oponerse a esto, ¿cómo se posibilita esto? Se distingue: en el caso de que haya prestado el consentimiento puede solicitar la supresión de los datos revocando ese mismo consentimiento; en el caso de que se utilice como base legal el interés legítimo el Proyecto ofrece un derecho de oposición a estos, obligando al Responsable a dejar de utilizarlos o suprimirlos, salvo que el interés del Responsable prevalezca sobre el del titular. Esto surge de los artículos 29 y 30 del Proyecto. No queda claro si, en el caso de que el Responsable se niegue a suprimir los datos, el Titular deba recurrir a instancia administrativa o judicial, lo lógico sería que tal cuestión la reglamente la autoridad de aplicación. Hace falta añadir que, si bien el Proyecto establece la obligación de informar, así como una facultad de oposición al tratamiento de los Datos, el mismo en ningún momento dice explícitamente que hay un “consentimiento tácito” o que se presuma el consentimiento si no se opone al tratamiento. Esto es distinto del intento de reforma del 2018, que sí lo previó. Debe entenderse que, dentro del proyecto, tal consentimiento no existe, y esto tiene como efecto que en determinados casos, cuando la autoridad competente así lo crea, determinado interés del responsable del tratamiento pueda valer por encima del interés del Titular, de forma tal que su oposición resulte irrelevante. Es decir, que su consentimiento o falta de no es un tema a discutir, el derecho a oposición no se funda en que se haya brindado consentimiento, sino que simplemente constituye una herramienta administrativa con basamento puro en la norma, como una cuestión procesal, siendo la cuestión de fondo a discutir si prevalece el interés del Titular o el del responsable. Es previsible que una postura pueda llegar a interpretar las disposiciones analógicamente con los principios y estándares internacionales, y decir que la base legal en el interés del Responsable presupone como necesario un consentimiento
