miércoles, 26 de agosto de 2015

El lado oscuro de los datos personales... "estamos en Argentina... que le vamos a hacer?"


Hoy era otro día como cualquier otro, hasta que una llamada de un número de Paraná lo hizo distinto. Por cuestiones de seguridad (y el hecho de trabajar en Seguridad de la Información) me ha llevado a grabar algunas llamadas, por las dudas tenga la necesidad de recuperar algún dato que mi memoria olvida. 


La llamada es una de tantas en las que te intentan vender un servicio, pero lo inusual de esta llamada fueron las respuestas dada por la chica del call center cuando empecé a preguntar (ya casi es un deporte) sobre cómo habían hecho para conseguir mis datos personales... La primera de las respuestas ensayadas por la otra parte fue "los datos los proporciona Personal... en realidad los datos de telefonía se comparten". Como esto claramente sonaba irreal, repregunte... entonces "Personal te comparte mi número de teléfono para que vos me llames para venderme otro servicio?" A lo que la chica con mucha seguridad responde y redobla la apuesta con un "Si, nosotros tenemos convenio con Personal y con Claro"... El remate de la conversación fue al final cuando le expreso que "lo que vos me contas de datos personales no puede ser porque eso es ilegal en Argentina"... "Bueno, estamos en Argentina Marcelo, que le vamos a hacer?".  Una frase que creo que sirve un poco para graficar la situación en nuestro país en relación al respeto en el tratamiento de los datos personales. "Estamos en Argentina Marcelo... que le vamos a hacer?"

Desde el punto de vista jurídico, la explicación ensayada no puede ser real, o al menos, si lo fuera, no sería legal toda vez que de acuerdo al art. 11 de la Ley Nº 25.326 de Protección de Datos Personales, una empresa (en este caso Personal), no tiene la potestad de ceder mis datos personales, a menos que como titular haya otorgado un consentimiento expreso (el cuál debería haber sido debidamente informado por la empresa, algo que no sucedió).

Para aquellos lectores que aún no tienen ni idea de la existencia de una normativa en materia de protección de datos personales (aunque la ley se presume conocida por todos), diré brevemente que no es nueva ya que la misma data de Octubre del 2000 y que estamos viendo de organizar con Segu-Info algo especial para celebrar los 15 añitos a la niña bonita. Esta ley establece que para que el tratamiento de los datos personales -que es toda información que haga a una persona determinada o determinable- sea lícito debe estar debidamente inscripta y en cumplimiento de todos los principios establecidos por la normativa. No abundaremos mucho más puesto que este artículo no pretende ser una capacitación en la materia, pero simplemente recordaremos la existencia de obligaciones importantes como la de consentimiento (art. 5), deber de informar adecuadamente (art. 6), obligaciones de seguridad (art. 9), deber confidencialidad (art. 10), entre otros.

Volviendo a la práctica y a la llamada en sí, la realidad muestra que estas prácticas existen desde hace tiempo en nuestro país, hasta el punto de ver radicadas empresas de otros países para hacer desde aquí algunas acciones (email marketing) que desde otros países (como España) no sería negocio realizar. Sin entrar en la deep web, mucho más alcance de cualquier mortal, en Argentina es posible comprar por cierto dinero todo tipo de bases de datos personales, segmentados por provincias, ciudades, profesiones e incluso intereses.

La práctica también muestra que algunas empresas llevan a cabo conductas que dudosa ética comercial. Un ejemplo claro me pasó también hace algunos días, donde pagué para publicar un anuncio en un portal de compra venta online. Una vez el aviso posteado, a las pocas horas recibo una primera llamada... que en principio pareció un interesado... "Hola, vos pusiste a la venta un ...... ?" "sisi, soy yo"... "ah bueno, mira te llamo del sitio -competencia directa- para ofrecerte publicar tu aviso gratis, etc etc". :(

Avanzar en la materia también depende del Estado, en este sentido nuestro país tuvo una Dirección Nacional de Protección de Datos Personales con mucho tiempo (más de 10 años) de inactividad en la materia, y que a partir de algunos cambios en los últimos años se empiezan a observar algunos movimientos y medidas interesantes, como la Disposición 39/2015, donde se establece la posibilidad de realizar "inspecciones electrónicas", una medida que tiene el potencial de mejorar notablemente el nivel de cumplimiento (a través del control) de la normativa vigente.

A modo de conclusión, diremos que protección de nuestros propios datos personales dependen de nosotros mismos, de ejercer los derechos que ya tenemos y de exigir el cumplimiento de las obligaciones que ya existen. Si no hacemos nada, la cosa sigue igual, porque para algunos viste como es... "estamos en Argentina... que le vamos a hacer?"

 _________

Actualización del post: 27/08/2015 a las 14:20 hs

Desde la Dirección Nacional de Protección de Datos Personales se han puesto en contacto confirmando que se iniciará una investigación de oficio para este caso. De nuestra parte, ya estamos trabajando en el trámite de la denuncia formal acompañada por todos los elementos probatorios para que se pueda avanzar con la investigación. Aunque estemos en Argentina, las cosas se pueden hacer bien igual.

_________

Actualización del post: 11/10/2015 a las 19:40 hs

En fecha 05/10/2015, volví a recibir una nueva e interesante llamada de la empresa Movistar, que sigue intentando captarme como cliente a través de los llamados telefónicos. En realidad, algunos días antes recibí otra llamada, pero al hacer la incómoda pregunta sobre "me podes decir de donde sacaste mis datos personales", la señorita al menos tuvo la decencia de directamente cortar la llamada.
En este nuevo caso que traemos, se dio otra conversación interesante donde ante la pregunta mágica (fuente de la base de datos) la vendedora me dice que "Nos lo da Personal Marcelo, sino sería imposible saber cuanto abonas, tu número de documento y titular de línea"... a continuación y atenta a que se me nota la molestia por la situación, la señorita me comenta que "los datos nos lo da Personal, si te molesta, tenes que llamar a Personal para que no de los números..." La charla termina donde intento explicarle a la vendedora que por un lado estoy inscripto en el Registro No llame y por otro, ellos no tienen mi consentimiento para tratar mis datos personales, haciendo que la práctica sea ilegítima. Parece ser que a la chica del call center no le gusto mucho escuchar esto último (sobre la ilegitimidad de la práctica) y decidió dejar de lado los intentos de explicaciones para pasar a algo más sencillo y radical: putearme



A ver si explicamos un poco la situación jurídica de los datos personales en estos casos concretos. Personal es la empresa que me provee el servicio de comunicaciones, con la cuál mantengo una relación contractual (porque obviamente todos los meses debo abonar por el servicio prestado), por lo que legalmente la empresa Personal tiene autorización para tener mis datos personales en virtud de la relación contractual. No obstante, dicha situación para nada implica que ellos puedan ceder mis datos personales (que según reconoce la propia señorita, ellos tienen titular de la línea, dni y cuanto es lo que abono por mi servicio) a otras empresas.

Pensando en esto, se me ocurrió revisar los términos y condiciones legales de Personal, puntualmente sus Políticas de Privacidad, para asegurarme de que lo estoy escribiendo sea cierto, y me encontré con una cláusula que me parece interesante explicarlo (intentaré hacerlo lo más sencillo posible):
Sin perjuicio de lo antes expuesto, y bajo estrictos estándares de seguridad y privacidad, PERSONAL podrá ceder temporalmente la Información Personal que recopila, a terceras empresas contratadas que brindan servicios necesarios para cumplimentar las obligaciones que PERSONAL tiene a su cargo, tales como la prestación del servicio de telecomunicaciones móviles, como así también a estudios de cobranza y centrales de riesgo crediticio, con quienes PERSONAL tiene convenio vigente. Lo anteriormente citado acontecerá en los supuestos en que los datos no requieren su consentimiento previo para su recolección, tratamiento y cesión -conforme con lo establecido en los artículos 5º, inciso 2., sub-inciso c), y 11º, de la Ley N° 25.326 de Protección de Datos Personales. Las contrataciones de servicios de soporte o tecnología a terceros, para los cuales deban acceder a Información Personal, se efectúan de acuerdo a los requerimientos de privacidad y seguridad establecidos por nuestras políticas y de conformidad a lo dispuesto en el art 25 de la Ley 25.326 y su decreto reglamentario.
1) Ceder temporalmente... por cuanto tiempo? Personal debe decirnos por cuanto.
2) A quien? Personal no determina quienes son los cesionarios a los cuáles cedera nuestra datos personales, ni tampoco nos da los elementos para poder determinarlos... Porqué digo esto? Por referencia al artículo 11 del la Ley de Protección de Datos Personales Nº 25.326, primera parte donde dice:
ARTICULO 11. — (Cesión). 1. Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.
Es decir, más allá que existe la obligación legal de que sólo pueden ser cedidos previo consentimiento del titular, existe la obligación de informar al titular (nosotros) la finalidad de la cesión y la identificación del o los cesionarios o bien, los elementos que nos permitan hacerlo, algo que no se cumple adecuadamente por parte de Personal (al menos para quien escribe). Sin embargo, como suele suceder en el derecho, siempre hay que hacer una lectura completa e integral de las regulaciones. La segunda parte dice "Lo anteriormente citado acontecerá en los casos que los datos no requieran consentimiento previo para su recolección, tratamiento y cesión" y cita el art. 11 (cesión) y el 5 inc. 2 C (consentimiento). Brevemente, esto implica que esta cesión que aclaran será temporaria, sólo se realizará sobre los datos para los cuáles no se requiere consentimiento de acuerdo al art. 5 inc. 2 C, los cuáles por la propia ley son:  "nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio" (básicamente son los datos del padrón electoral.

Es decir, entre esos datos no está ni el número de línea, ni tampoco el monto del abono, por lo que incluso siendo que exista un convenio entre Personal y Movistar (lo cuál dudo, toda vez que claramente es una práctica donde una empresa pretende robarles los clientes a la otra), tampoco podrían cederse legalmente esos datos puntuales.

Más allá de toda la explicación jurídica, que si se quiere sólo aporta a la teoría del marco normativo de la protección de datos personales, la realidad diaria muestra como es posible que el mercado negro de los datos personales siga existiendo en nuetro país (diría la chica del call center... "sino, como te pensas que tenemos tus datos"), donde las empresas no tienen ningún problema en llamarte varias veces para ofrecerte el mismo servicio (aún teniendo la negativa en varias ocasiones) y en el peor de los casos, hasta insultando porque hago preguntas en el ejercicio legítimo de mis derechos.

PD: Estoy intentando ejercer mi derecho de acceso ante Personal Argentina, a fin de que me informen con certeza quienes son los cesionarios a los cuáles están cediendo mis datos personales.

Actualización, dejo capturas de pantalla de lo conversado vía Twitter con Personal Argentina.




Abog. Marcelo Temperini
www.asegurarte.com.ar
mtemperini.blogspot.com.ar