Por Daniel Monastersky, Director del CECyD (Centro de Estudios en Ciberseguridad y Datos de la Universidad Austral)
La Ley 25.326 de Protección de Datos Personales de Argentina es categórica: cualquier grabación de imágenes que permita identificar a una persona constituye un tratamiento de datos personales. Esto significa que cada vez que una cámara de seguridad captura su rostro, su figura o cualquier elemento que permita su identificación, se está procesando información que la ley considera sensible y que requiere protección especial.
Esta no es una interpretación técnica reservada para abogados. Es una realidad que impacta directamente en su vida cotidiana: cuando ingresa a su edificio, cuando camina por la calle, cuando visita un comercio, cuando trabaja en su oficina. Cada una de estas situaciones puede implicar el tratamiento de sus datos personales a través de sistemas de grabación.
Los aspectos críticos que nadie explica
Almacenamiento de imágenes: ¿dónde están sus datos?
El primer interrogante fundamental es dónde se almacenan las imágenes grabadas. La legislación argentina exige que los datos personales de ciudadanos argentinos sean tratados conforme a estándares específicos de seguridad. Sin embargo, muchos sistemas de videovigilancia utilizan servidores en el extranjero, particularmente en países que no ofrecen niveles adequados de protección de datos.
Cuando sus imágenes se almacenan en servidores ubicados en jurisdicciones con marcos legales más laxos, usted pierde las protecciones que le otorga la ley argentina. Sus datos quedan expuestos a legislaciones extranjeras que pueden permitir el acceso gubernamental sin orden judicial, la comercialización sin consentimiento, o la retención indefinida sin justificación legal.
Control de acceso: ¿quién puede ver sus imágenes?
La Ley 25.326 establece el principio de finalidad: los datos personales solo pueden ser utilizados para los fines específicos para los cuales fueron recolectados. En el contexto de la videovigilancia, esto significa que únicamente las personas autorizadas y para propósitos legítimos de seguridad deberían tener acceso a las grabaciones.
Sin embargo, la realidad es frecuentemente diferente. Muchos sistemas de videovigilancia carecen de controles adecuados de acceso. Empleados de empresas de seguridad, personal de mantenimiento, administradores de edificios, e incluso terceros contratistas pueden tener acceso a imágenes que contienen datos personales sin que exista una justificación legal clara o un sistema de autorización apropiado.
Registros de acceso: la transparencia ausente
Un aspecto crítico y frecuentemente ignorado es la obligación de mantener registros detallados de quién accede a las imágenes, cuándo lo hace, y con qué propósito. La Ley 25.326 exige que los responsables del tratamiento de datos mantengan registros que permitan la trazabilidad del acceso a la información personal.
Estos registros no son un mero formalismo burocrático; son un mecanismo fundamental para garantizar que sus datos personales no sean utilizados de manera incorrecta. Sin estos registros, es imposible determinar si ha habido accesos no autorizados, si la información ha sido utilizada para fines diferentes a los declarados, o si ha habido filtraciones de datos.
Período de retención: ¿por cuánto tiempo conservan sus datos?
La legislación argentina establece que los datos personales deben ser conservados únicamente por el tiempo necesario para cumplir con la finalidad para la cual fueron recolectados. En el contexto de la videovigilancia, esto significa que las imágenes deben ser eliminadas una vez que ya no sean necesarias para garantizar la seguridad.
Sin embargo, muchos sistemas de grabación conservan las imágenes por períodos indefinidos, sin criterios claros para su eliminación. Esto viola el principio de proporcionalidad y expone a las personas a riesgos innecesarios de uso indebido de sus datos personales.
Las implicaciones sistémicas de la desprotección
La falta de cumplimiento de estas obligaciones no es un problema menor. Cuando los sistemas de videovigilancia operan sin las protecciones adecuadas, se crean vulnerabilidades que pueden ser explotadas por actores maliciosos. Las imágenes pueden ser utilizadas para extorsión, acoso, discriminación, o incluso para la construcción de perfiles de comportamiento sin el consentimiento de las personas.
Además, la ausencia de controles apropiados puede llevar a que las imágenes sean utilizadas por autoridades gubernamentales sin las garantías constitucionales necesarias, o que sean comercializadas por terceros sin el conocimiento de las personas afectadas.
El marco sancionatorio: consecuencias reales
La Ley 25.326 no es una norma declarativa sin consecuencias prácticas. El incumplimiento de las obligaciones relacionadas con el tratamiento de datos personales puede resultar en sanciones significativas:
Sanciones Administrativas: La Agencia de Acceso a la Información Pública (AAIP) puede imponer multas que van desde $1.000 hasta $100.000, dependiendo de la gravedad de la infracción. En casos de reincidencia o infracciones particularmente graves, estas multas pueden multiplicarse significativamente.
Sanciones Penales: El tratamiento ilícito de datos personales puede constituir un delito. El artículo 157 bis del Código Penal argentino establece penas de prisión de un mes a dos años para quien revele, difunda o ceda datos personales sin autorización. En casos donde se afecte la intimidad sexual, la pena puede extenderse hasta tres años.
Responsabilidad Civil: Los responsables del tratamiento inadecuado de datos personales pueden ser obligados a indemnizar los daños causados. Esto incluye no solo el daño material, sino también el daño moral derivado de la violación de la privacidad.
Clausura de Sistemas: En casos graves, la AAIP puede ordenar la suspensión o clausura de los sistemas de tratamiento de datos que no cumplan con la legislación.
Soluciones prácticas y cecesarias
Para consorcios y administradores
Los consorcios deben implementar políticas claras de videovigilancia que incluyan: notificación apropiada sobre la existencia de cámaras, definición clara de los fines del tratamiento, implementación de controles de acceso, establecimiento de períodos de retención apropiados, y mantenimiento de registros de acceso.
Para ciudadanos
Los ciudadanos tienen derechos que pueden y deben ejercer: derecho a la información sobre el tratamiento de sus datos, derecho de acceso a las imágenes que los involucren, derecho de rectificación en caso de datos incorrectos, derecho de supresión cuando el tratamiento no sea necesario, y derecho a presentar denuncias ante la AAIP.
Para el sistema legal
Es necesario desarrollar reglamentaciones específicas para la videovigilancia que establezcan estándares técnicos mínimos, procedimientos de certificación para sistemas de grabación, y mecanismos de supervisión más efectivos.
La urgencia de la acción
La protección de datos personales en el contexto de la videovigilancia no es un lujo legal reservado para expertos en tecnología. Es un derecho fundamental que afecta la dignidad, la privacidad, y la seguridad de todos los ciudadanos argentinos.
Cada día que pasa sin que se implementen las protecciones adecuadas, miles de argentinos quedan expuestos a riesgos innecesarios. Sus imágenes, sus movimientos, sus rutinas diarias quedan registradas en sistemas que pueden no cumplir con los estándares legales mínimos.
La batalla por la protección de datos personales en la era digital no es solo una cuestión técnica o legal; es una lucha fundamental por preservar la autonomía individual en un mundo cada vez más vigilado. No podemos permitir que la comodidad de la seguridad se convierta en una excusa para la erosión de nuestros derechos fundamentales.
Es hora de que consorcios, empresas, y autoridades asuman su responsabilidad. Es hora de que los ciudadanos conozcan y ejerzan sus derechos. Es hora de que la protección de datos personales deje de ser una promesa legal para convertirse en una realidad práctica y efectiva.
Info – Ciberseguridad Latam