Acuerdo bilateral: qué es la “transferencia de datos personales” con Estados Unidos y cómo puede afectar a los argentinos

Luego de que el Gobierno de los Estados Unidos anunciara un acuerdo comercial bilateral con Argentina el jueves de la semana pasada, uno de los puntos que puso en alerta a especialistas en derecho digital fue el de la “transferencia transfronteriza de datos, incluidos los datos personales”. ¿Qué significa y qué impacto puede tener para los ciudadanos argentinos?

Aunque por ahora se conoce poco de esta declaración de intención y aún no trascendió la “letra chica”, lo firmado apunta a un tópico sensible de la economía digital: los datos personales. Se pretende establecer un marco legal que permita la circulación sin trabas regulatorias de bases de datos de clientes, operaciones comerciales y datos personales.

Para las empresas, esto define si pueden operar plataformas, servicios en la nube o herramientas de inteligencia artificial con menos regulaciones y capas burocráticas. Pero, al mismo tiempo, tiene un costado que afecta a los ciudadanos, porque determina bajo qué reglas viajan sus datos y qué país garantiza su protección una vez que salen del territorio nacional.

Más allá de que el anuncio esté orientado al comercio, también abre interrogantes sobre cómo se compatibilizarán los modelos regulatorios y qué garantías tendrán los usuarios, sobre todo si se considera que Estados Unidos no tiene una norma federal regulatoria de datos personales.

Clarín se contactó con la Agencia de Acceso a la Información Pública (AAIP) y la Dirección Nacional de Protección de Datos Personales, para entender qué significa este punto del acuerdo. Sin embargo, ninguna de las dos entidades respondió ante la solicitud de un comentario para conocer su postura y aclarar dudas sobre las posibles consecuencias en los ciudadanos.

También fue consultada la Embajada de los Estados Unidos en Argentina, que, al momento de publicación de este artículo, no elaboró una respuesta. Según supo este medio, no harían comentarios de ningún tramo del anuncio hasta que se conozcan los detalles finales.

Quienes expresaron interrogantes y puntualizaron sobre potenciales problemas fueron especialistas en el campo del derecho y los datos personales.

Los “datos personales” son aquellos que permiten identificar e individualizar a un ciudadano, como ser nombre, apellido, domicilio o número de teléfono, email y datos biométricos. Estos son identificadores directos.

Pero también hay identificadores indirectos que, en la discusión sobre la vigilancia online que hacen las grandes tecnológicas como Amazon, Meta, Google y Microsoft, permiten reconstruir a un usuario: cookies, historiales de búsqueda, navegación por algoritmos en redes y más, que permiten armar una online persona a partir de patrones de uso y consumos: ningún dato dice que un ciudadano vive en una dirección específica, pero son únicos en el sentido de que permiten armar un perfil online. GDPR, que es la normativa europea de regulación, los considera datos personales.

En su apartado sobre comercio digital, el texto de la Casa Blanca afirma: “Argentina se comprometió a facilitar el comercio digital con Estados Unidos mediante el reconocimiento de Estados Unidos como una jurisdicción adecuada, según la ley argentina, para la transferencia transfronteriza de datos, incluidos los datos personales, y a no aplicar discriminación contra servicios o productos digitales estadounidenses”.

¿Cómo es la regulación del uso de los datos personales en la actualidad? “Nuestra Ley de Protección de Datos Personales (25.326) parte de una regla bastante sencilla: como principio general, no se pueden transferir datos personales a países que no ofrezcan un nivel de protección adecuado”, explica a este medio Lucas Barreiro, abogado especialista en protección de datos personales.

“Los países que sí tienen ese ‘estatus de adecuado’ pueden recibir datos desde Argentina sin restricciones especiales, porque se entiende que su nivel de protección es equivalentes al nuestro. Las decisiones de adecuación suelen ser adoptadas por la autoridad de protección de datos de cada país; en nuestro caso, la Agencia de Acceso a la Información Pública. Ahora bien, cuando un país no es considerado “adecuado”, ahí la ley exige garantías complementarias para que la transferencia sea lícita”, advierte.

Es esa la situación actual hasta que se formalice la decisión de adecuación: Estados Unidos no está considerado un país adecuado para estos intercambios.

“Si una empresa argentina quiere transferir datos personales a otra radicada, por ejemplo, en Texas, entonces tiene que implementar salvaguardas adicionales o verificar si la operación encuadra en alguna de las excepciones previstas en la ley”, ejemplifica Barreiro.

La intención de acuerdo presentada la semana pasada intentará hacer que Estados Unidos y Argentina tengan un flujo directo de estos datos: “Una vez que esa decisión de adecuación se haga efectiva, el escenario cambia. A los responsables establecidos en Estados Unidos ya no se les exigirá aportar garantías complementarias para recibir datos personales desde Argentina. Esto supondrá la supresión de una barrera regulatoria que hace que a las empresas se les facilite transferir datos personales a cualquier parte de los Estados Unidos, simplificando las contrataciones y favoreciendo el tráfico comercial”.

Pablo Palazzi, director del CETYS de la Universidad de San Andrés y socio del estudio Allende & Brea, opina que “el acuerdo puede ser muy positivo para el país y su economía”, aunque advirtió que “habrá que ver la letra chica una vez que se implemente, porque puede haber muchas variantes sobre cómo hacerlo”.

En materia de protección de datos personales, Palazzi recordó que, como marco normativo, “Argentina sigue desde hace un cuarto de siglo el sistema europeo de protección de datos”, a partir de la Ley 25.326, aprobada en 2000.

De hecho, Argentina fue el primer país de la región en ser considerado “adecuado” por la Unión Europea y que permite la libre transferencia de datos desde Europa hacia Argentina. “Después, la UE reconoció también a Uruguay, y a Brasil hace unos meses”, agregó el especialista, que hizo una tesis, hace 25 años, titulada “La transmisión internacional de datos personales y la protección de la privacidad”, sobre este problema.

Pero la protección de datos en Estados Unidos tiene una particularidad que no es menor: no hay una ley federal de protección de datos personales. En un país que está “más focalizado en la innovación y la tecnología, y en menos regulación”. “En Estados Unidos, sólo 20 de los 50 estados tienen leyes generales de privacidad y todavía no existe una ley federal, por eso se permite hacer más cosas con los datos personales, incluida la IA, sin ningún límite, a diferencia de Europa, donde las restricciones son mayores”, explicó.

Daniel Monastersky, abogado especialista en protección de datos personales, fue uno de los primeros en advertir este punto apenas se conoció la noticia: “Cuando un ciudadano argentino transfiere sus datos a través de una plataforma digital, pueden terminar en California (donde existe supervisión regulatoria robusta, autoridades independientes, y sanciones significativas por incumplimiento) o podrían terminar en cualquier otro estado estadounidense donde prácticamente no existe protección”, dijo a Clarín.

Y llamó a hacer una corrección: “El Marco actual permitiría tratar ambos escenarios como equivalentes. Eso es impreciso. Eso es injusto. Y precisamente por eso, la ventana para corregirlo está abierta ahora”.

Esto, para Beatriz Busaniche, presidenta de la Fundación Vía Libre, representa un problema de asimetría: “Argentina tiene una ley nacional de protección de datos, pero Estados Unidos no tiene una regulación federal equivalente. California tiene normas muy robustas, pero la mayoría de los estados no. Entonces, ¿cómo se armoniza eso?”, se pregunta.

“Muchas veces me dicen: ‘Bueno, si Google ya tiene todos nuestros datos’. Pero este tipo de acuerdos habilita algo distinto: transparentan y facilitan la transferencia de datos mucho más sensibles (médicos, financieros, de aseguradoras y consumos) hacia una jurisdicción donde estaremos completamente desprotegidos. Y esos datos valen muchísimo, especialmente los médicos”, dice en diálogo con este medio.

“En cualquiera de los casos, todo el contenido del acuerdo es en beneficio de Washington, no creo que tengamos beneficio alguno, es total y absolutamente asimétrica la relación que se plantea”, cierra.

Tomás Pomar, abogado, miembro del Observatorio de Derecho Informático Argentino (O.D.I.A.), cree que hay un tema fundamental de soberanía de fondo. “La discusión sobre tráfico de datos en el mundo actual es una discusión de soberanía política y tecnológica. Creo que el mayor percance es que bajo el título de ‘Comercio Digital’ se están discutiendo derechos humanos: es una mirada mercantilista de la protección de datos, que va en contra de las discusiones que se dan en el mundo, desde hace ya 15 años con el caso de Edward Snowden”.

Snowden reveló en 2013 cómo la NSA y otras agencias de inteligencia de Estados Unidos usaban la infraestructura digital global para recolectar información masiva sobre ciudadanos y gobiernos, muchas veces sin control judicial efectivo. Su caso instaló la idea de que los datos son un punto neurálgico de la soberanía de las naciones: quién los controla, quién accede y con qué límites, incluso con casos de abusos por parte del Estado mismo.

“A esto se suma otro elemento incómodo: Estados Unidos mantiene normas de vigilancia muy intrusivas. Es cierto que durante la administración Biden se introdujeron algunos límites y mecanismos de control, pero de ninguna manera podemos decir que sea un paraíso de la privacidad”, suma Barreiro.

“Y ni hablar que el punto más débil que tiene algo como esto es que un acuerdo de este tipo tiene que pasar por el Congreso”, cierra Pomar.

Clarín pudo saber que la decisión de adecuación, bajo la órbita de la AAIP, se va a dar: “La Agencia quedó en un lugar complicado y no creo que lleguen a plantear objeciones: se lo van a tirar por la cabeza y, a fin de cuentas, lo va a tener que aprobar”, dijo una fuente allegada al caso.

Resta conocer la letra chica para entender cómo esto puede favorecer o perjudicar a la ciudadanía argentina, pero las dudas de los que trabajan estos temas hace más de 20 años están planteadas.