Big Data para todos

La Agencia de Acceso a la Información Pública (AAIP) aprobó los “criterios orientadores e indicadores de mejores prácticas” en la aplicación de la Ley º 25.326 de Habeas Data. Los mismos serán “de observancia obligatoria” para todos aquellos sujetos alcanzados por la norma.

La Resolución 4/2018, que lleva la firma del director de la AAIP, Eduardo Bertoni, fue publicada este miércoles en el Boletín Oficial y cuenta con un anexo en donde se detallan los criterios en materia de Derecho de acceso a datos personales recolectados mediante sistemas de video vigilancia, Tratamiento automatizado de datos, datos biométricos o disociación de datos.

Respecto de los registros de imágenes captados por sistemas de video vigilancia, la Agencia entiende que los mismos constituyen una base de datos, en los términos del artículo 2° de la Ley N° 25.326, que la define como el “conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso”.

Por ello la nueva normativa se pronuncia sobre el alcance de ese derecho y de las condiciones para ejercerlo. Sobre esa base, la resolución cita al artículo 15 de la Ley de Habeas Data, que dispone que al ejercer el derecho de acceso, el responsable de la base de datos debe suministrar la información de forma clara, exenta de codificaciones y, en su caso, acompañada de una explicación, en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen.

La AAIP considera importante establecer "cuál sería el alcance del derecho de acceso del titular de los datos cuando el responsable de la base de datos tome decisiones basadas únicamente en el tratamiento automatizado de datos".

El trámite para el titular de los datos será la de solicitar, mediante presentación de DNI, las imágenes, e indicar fecha y hora aproximada en la que pudo haber sido captada la misma. El responsable de la base de datos deberá, a su vez, proporcionar los datos en forma clara, “acompañados de una explicación del tiempo en que se registró al titular de los datos, lugar en el que el sistema de video vigilancia lo registrara, finalidad, eventuales cesiones y/o destino de los datos”. Incluso deberá, de forma excepcional, proporcionar la imagen (impresión o archivo en formato digital) en caso de solicitud fundada y previo pago de los costos.

En relación al tratamiento automatizado de datos, más conocido como “Big Data”, la resolución pondera que los cambios tecnológicos “han permitido automatizar” esa tarea y que ello “podría acarrear riesgos a la persona”, por lo que la AAIP “considera importante establecer cuál sería el alcance del derecho de acceso del titular de los datos cuando el responsable de la base de datos tome decisiones basadas únicamente en el tratamiento automatizado de datos que le produzcan al titular de los datos efectos jurídicos perniciosos o lo afecten significativamente de forma negativa”.

En estos casos, el titular de los datos tendrá derecho a solicitar al responsable de la base de datos “una explicación sobre la lógica aplicada en aquella decisión”.

Sobre el tercer punto, relativo a la “disociación de datos”, y definido como “todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable” según el artículo 2° de la Ley de Habeas Data, la AAIP pasó a definir qué se entiende por “persona determinable”.

En ese sentido, el anexo establece un criterio “por la negativa”, declarando que no será considerada “persona determinable” cuando “el procedimiento que deba aplicarse para lograr su identificación requiera la aplicación de medidas o plazos desproporcionados o inviables”.

Del mismo modo, entre los criterios también se encuentra el de definir qué se entiende por datos biométricos, que son “aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan o confirmen su identificación única”.

El anexo a la resolución, además, aclara que los datos biométricos que identifican a una persona se considerarán datos sensibles “únicamente cuando puedan revelar datos adicionales cuyo uso pueda resultar potencialmente discriminatorio para su titular”, por ejemplo, con “datos que revelen origen étnico o información referente a la salud”.

Por último, se disponen reglas sobre la instrumentalización de la prestación del consentimiento por parte del titular de los datos. Así, el responsable de la base de datos debe acreditar que quien haya prestado tal consentimiento “sea efectivamente el titular de los datos requeridos y no otra persona, esto es, que cuente con mecanismos de validación de identidad eficaces”.

En cuanto a la cesión de datos personales entre organismos públicos, la resolución permite que no sea necesario el consentimiento del titular de los datos mientras se cumpla con “las condiciones de licitud”, pero en la medida en que el cedente “haya obtenido los datos en ejercicio de sus funciones”, que el cesionario utilice los datos pretendidos “para una finalidad que se encuentre dentro del marco de su competencia” y, por último, que los datos involucrados “sean adecuados y no excedan el límite de lo necesario en relación a esta última finalidad”.

La resolución tiene un apartado especial para el caso de tratamiento de datos personales de niñas, niños y adolescentes, para los cuales se debe tener que el menor de edad podrá prestar consentimiento informado.

Asimismo, si el menor de edad no posee la capacidad suficiente para prestar el consentimiento informado, deberá prestar el consentimiento el titular de la responsabilidad parental o tutela. Para este caso, el responsable de la base de datos deberá “realizar esfuerzos razonables para verificar que el consentimiento haya sido efectivamente otorgado por el titular de la responsabilidad parental o tutela sobre el menor de edad, teniendo en cuenta sus posibilidades para hacerlo”.