Abogada egresada de la Universidad de Buenos Aires. Magíster en Derecho Empresarial por la Universidad Austral con Tesis calificada como sobresaliente (10). Presidenta de la Comisión de Jóvenes del Colegio de Abogados de la Ciudad de Buenos Aires. Actualmente se desempeña como Regional Compliance Officer & Legal Counsel en OLX Group.
Introducción
Tras el impacto del derecho a la autodeterminación informativa(1) que provocó la necesidad de proteger los datos personales en el tratamiento informático, las organizaciones han tenido que encontrar respuestas al uso de la información personal de sus clientes y usuarios sin perder la posibilidad de utilizar el conocimiento que ellos proveen.
Lejos de ser un tema inexplorado -existe normativa en materia de protección de datos personales que tiene más de 50 años en Europa(2) y poco más de 20 en América Latina(3)- los conceptos de “Data Privacy” y “Data Protection” han tomado una relevancia superlativa luego de la entrada en vigor del Reglamento General de Protección de Datos de la Unión Europea, conocida como “GDPR”, y en español “RGPD”. Entre varios factores, ello se ha debido a la imposición de diversas obligaciones para toda persona, empresa, gobierno y organización que ofrezca bienes y servicios o que recopile y trate datos vinculados a los residentes de la Unión Europea (UE), y a las significativas multas que impone la normativa frente a su incumplimiento.
No es menos importante destacar la trascendencia del Reglamento para las compañías ubicadas fuera de la UE, toda vez que la extraterritorialidad que la propia norma plantea, determina que la sujeción a sus directrices no está sujeta a la locación de la persona o compañía que recolecte o procese los datos, sino a la residencia del titular de éstos.
Al respecto, el artículo 3° del RGPD señala la aplicación de sus cláusulas para cualquier tratamiento de datos personales de residentes de la UE cuando tales actividades de procesamiento estén relacionadas con:
La oferta de bienes o servicios a dichos interesados en la UE (independientemente de si a estos se les requiere su pago), o
El control de su comportamiento, en la medida en que este tenga lugar en la UE.
Asimismo, el RGPD se utiliza en el tratamiento de datos personales por parte de un responsable que no se encuentre establecido en la UE sino en un lugar donde el Derecho de los Estados miembros se aplique en virtud del Derecho Internacional Público. Este criterio aplica, por ejemplo, al tratamiento de datos personales llevado cabo por embajadores o cónsules de Estados miembros ubicados fuera del territorio de la UE.
Adicionalmente, el Considerando 23 trae aún más claridad respecto al ámbito de aplicación al mencionar algunos factores que evidenciarían la voluntad del responsable o encargado de procesar el entrecruzamiento de información personal en la oferta de bienes o servicios dentro de uno o varios de los Estados miembros de la UE.
El uso de la lengua o una moneda utilizada generalmente entre Estados miembros de la UE podría revelar esta intención por parte de la organización.
Independientemente de lo expuesto, la Argentina también presenta un plexo normativo que por sí solo compromete a las compañías locales a garantizar a sus clientes y usuarios una adecuada protección de datos personales. Ejemplo de ello es la Ley de Protección de Datos Personales N° 25.326, y la adhesión al Convenio 108 del que la Argentina es oficialmente parte desde el 1º de junio de 2019.
El Convenio 108 es un instrumento multilateral de carácter vinculante en materia de protección de datos personales, que tiene por objeto proteger la privacidad de los individuos contra posibles abusos en el tratamiento de sus datos. La adhesión de la Argentina constituye un compromiso activo con la comunidad internacional en cuanto a la actualización de la normativa aplicable a la materia y la cooperación entre países.
En definitiva, sea por la aplicación de la normativa local o internacional, las compañías argentinas deben tomar varias precauciones para evitar que se ponga en riesgo la información que sus clientes y usuarios les proporcionan, o que el trato que se brinde a los datos intercambiados no sea el adecuado. Tanto las legislaciones internacionales (RGPD), como las locales (ley 25.326 y ordenamientos provinciales) establecen severas multas frente a potenciales incumplimientos.
No obstante, la verdadera motivación de las empresas se encausa en el sostenimiento de la confianza por parte de sus clientes, lo que indudablemente impacta en su nivel de reputación. Debido a ello, este artículo propone brindar algunas breves recomendaciones para todos aquellos que se encuentren asesorando o gerenciado empresas y deseen convertirse en actores “GDPR compliant”.
Confianza, seguridad y reputación
Durante los últimos años, los usuarios y clientes han tomado cada vez más conciencia acerca de las graves consecuencias que puede acarrear el mal uso de sus datos personales. Ello se debe a varios factores, entre los que se puede destacar el avance que han tenido las nuevas tecnologías sobre la privacidad, la transferencia de datos y la mala utilización de estas con objetivos fraudulentos. En líneas generales, el consumidor actual es más exigente, cuidadoso y busca estar más y mejor informado. Es así como ponen más atención sobre qué información comparten y con quienes.
El informe Edelman Trust barometer, que recopila datos de más de 34.000 encuestas en 28 países, ha evidenciado que en los últimos años existe una relación intrínseca entre confianza y beneficio empresarial. Es así como el 68% de los encuestados manifestó negarse a comprar productos o servicios de empresas que no les merecen confianza, e incluso expresó que las desaconseja a conocidos, amigos o familiares. Por otra parte, el 80% declaró que suele comprar a aquellas que les merecen confianza, y las recomiendan a sus conocidos. En igual sentido, el informe Edelman de Argentina correspondiente al año 2019(4) evidenció que el 63% de los encuestados está de acuerdo con la afirmación:
“una buena reputación puede hacer que pruebe un producto, pero si no confío en la compañía que lo realiza, dejaré de comprarlo pronto”.
Los mecanismos de seguridad que las compañías implementen para proteger los datos personales de sus usuarios son esenciales para mantener o incrementar su reputación en el mercado. Por el contrario, aquellas empresas que no priorizan (e invierten recursos en) la seguridad de la información, la capacitación de sus empleados en la materia y la adecuada comunicación a sus clientes y usuarios, son más susceptibles a los riesgos que acarrea la filtración de datos que, como ya hemos expresado, lejos de sólo ocasionar multas y daños económicos, impacta fuertemente sobre la reputación de la empresa.
Por lo expuesto, para la gran mayoría de las organizaciones que recolectan datos personales de usuarios y clientes, garantizar la protección de tales datos y la seguridad de la información que poseen ha pasado a ser una prioridad.
Breves recomendaciones
Consentimiento
El consentimiento es una de las cuestiones más importantes que las empresas deben tener en cuenta a la hora de recolectar datos personales de sus usuarios y clientes. En Argentina, la Ley 25.326 establece en su artículo 5° la ilicitud del tratamiento de datos personales cuando el titular no haya prestado su consentimiento de manera expresa, libre e informada. Además, establece que el mismo deberá ser manifestado por escrito, o por otro medio que se le equipare, de acuerdo con las circunstancias(5).
En la misma línea, el RGPD dispone que el consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen. Una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal son suficientes para acreditar dicha manifestación. En concreto, es válida para el RGPD cualquier declaración o conducta que indique claramente que el interesado acepta la propuesta de tratamiento de sus datos personales(5).
En este sentido, además de los necesarios documentos legales e informativos que deberán publicarse tanto en las plataformas web como en cualquier material físico que recolecte datos, aparece como esencial la expresa manifestación del consentimiento. El silencio, las casillas ya marcadas en los casos donde las empresas deciden incorporar un “box” de expresión del consentimiento, o la inacción no pueden interpretarse como consentimiento.
Otro elemento que destacar es que el consentimiento debe darse para todas las actividades de tratamiento realizadas, esto quiere decir que no podrá considerarse como otorgado cuando como empresa lo consigue para una finalidad diferente. Si existen varias finalidades, debe otorgarse el consentimiento para todas ellas. Ejemplo de ello son las páginas web en donde se brindan servicios adicionales dentro de su plataforma, como ser una empresa automotriz que también ofrece seguros o financiamiento.
Las empresas tampoco deben disimilar las formas como se obtiene el consentimiento, porque ello supone actuar en contra del principio de licitud, que los obliga a dar a conocer con exactitud los fines para los cuales se requiere la autorización para el uso de datos personales. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace.
De acuerdo con la Directiva 93/13/CEE debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines a los cuales están destinados los datos personales.
Finalmente, cabe destacar que el consentimiento no se debe considerar libremente prestado cuando el interesado no goza de verdadera libre determinación, o no puede negar o retirar su consentimiento sin sufrir perjuicios por ello. En conclusión, la primera recomendación es elaborar un procedimiento adecuado para que el usuario o cliente manifieste su consentimiento de manera inequívoca y de modo previo al tratamiento de los datos personales. Como responsables de base de datos, las empresas deberán acreditar que quien haya prestado el consentimiento sea efectivamente el titular de los datos requeridos y no otra persona. A tales efectos, se debe contar con mecanismos de validación de identidad eficaces, lo que podrá variar de acuerdo con la capacidad económica de la compañía o el rubro de que se trate.
Política de Privacidad.
Tal como expresa Palazzi […], el Derecho a la Protección de los Datos Personales consiste en otorgar a los individuos una facultad de control sobre sus datos personales, a través de toda una serie de reglas y principios que incluyen la calidad de ciertos datos, el consentimiento para su tratamiento, acciones judiciales, limitaciones a los bancos de datos en su contenido, en el tiempo y en la forma de su tratamiento, en las cesiones o transferencias a terceros y en la intervención de agencias especializadas del Estado destinadas a tutelar estos derechos. Todo esto conlleva obligaciones para las empresas-y particulares-que traten datos personales.
La Política de Privacidad es uno de los avisos mandatorios a incluir en una página web o formulario físico donde se recolecten datos personales de un cliente o usuario. Su accesibilidad y fácil lectura deben ser una prioridad para la empresa. Se trata de un documento legal mediante el cual la compañía informa al consumidor los datos que recolecta, para qué propósito, por cuánto tiempo los almacenará, a quien se los transferirá, etc.
En concreto, es el cumplimiento con el principio de congruencia, según el cual todo aquél que archiva o registra datos personales debe informar la finalidad de la base de datos, el objeto del almacenamiento, la cantidad de datos necesarios para este objetivo, y el destino al que serán proporcionados.
A lo largo de los años, ha quedado de manifiesto que gran parte de las multas que las compañías han tenido, se debieron a la falta de información adecuada a sus usuarios y clientes. Efectivamente, una de las multas más importantes impuestas desde la entrada en vigor del RGPD tuvo como infractor a Google LLC (sociedad francesa) y se motivó precisamente en la falta de información suficiente acerca del uso de los datos.
La Comisión Nacional de Informática y Libertades, la agencia de protección de datos francesa multó a la reconocida empresa con 50 millones de euros por incumplimiento de las reglas del RGPD acerca de la transparencia y de la ausencia de una base legal válida de procesamiento de los datos personales destinados a fines publicitarios. Adicionalmente, expresó que el consentimiento que pidió Google no es ni “específico” ni “inequívoco”.
En tal sentido, un aviso de privacidad detallado, claro en su lenguaje y transparente es esencial para evitar futuros problemas.
El principio de transparencia se encuentra estrechamente ligado con la protección de datos personales, y ha sido establecido no sólo en el RGPD sino también en la normativa local.
El Considerando 39 del RGPD expresa que todo tratamiento de datos personales debe ser lícito y leal, entendiéndose para ello que para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. Seguidamente, el mentado apartado expone que el principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. En concreto, se establece que los usuarios titulares de los datos personales deben ser debidamente informados acerca del tratamiento que se dará a sus datos, así como también acerca de los derechos que pueden ejercer respecto de éstos.
En el caso de los sitios web, los usuarios pueden experimentar dificultades para conocer y comprender qué datos personales se están recogiendo, por quien y con qué finalidad. Esta es la razón que demuestra porqué debe ponerse especial atención en la Política de Privacidad, así como en la visibilidad de esta dentro de la plataforma.
En concreto, la información que la empresa provea dentro de sus avisos de privacidad deberá incluir información específica sobre qué datos se están recolectando, qué tratamiento se le dará a los mismos (expresamente, cómo será utilizada esa información para estadísticas, para mejorar la experiencia de compra o navegación, promociones, Email Marketing, etc.), donde serán guardados, por cuánto tiempo serán conservados (debiendo garantizar que éste sea acorde a los principios de necesidad y proporcionalidad), si éstos serán transferidos fuera del territorio donde fueron obtenidos y cuáles son los derechos que el usuario puede ejercer respecto de sus datos personales. Asimismo, el responsable del tratamiento de los datos personales deberá identificarse como tal y brindar información acerca del órgano de control aplicable en la materia en la jurisdicción que se trate.
Asimismo, juntamente con la precisa y detallada información que se debe proveer a los clientes y usuarios, el tratamiento de los datos personales tiene que ser siempre acorde con los lineamientos establecidos en la normativa aplicable. Deberá garantizarse que se recolecten los datos únicamente necesarios para alcanzar dicha finalidad.
Con el objetivo de garantizar que los datos personales no se conserven más tiempo del necesario, el considerando 39 del RGPD expresa que el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica.
Al igual que los “box” de consentimiento, los avisos de privacidad pueden ser en ocasiones más de uno ya que la información podría variar entre un servicio y otro. Por ello, de tener un sitio web, se sugiere confeccionar avisos de privacidad adicionales al de la plataforma -cuyo hipervínculo en general puede observarse al pie de la página- cuando dentro de ésta se estén ofreciendo servicios diferentes al principal objeto del sitio web, por ejemplo, a través de banners o enlaces que redirigen al usuario a otra landing page.
Finalmente, cabe agregar, que es responsabilidad del usuario o cliente leer el aviso de privacidad previo a su aceptación. Las empresas deben asegurarse de ello facilitando el acceso y la lectura de los documentos dentro de la plataforma, y poniendo a disposición canales adecuados de comunicación que permitan no sólo la resolución de consultas respecto al tratamiento de los datos personales sino también la posibilidad de ejercer sus derechos como titulares de éstos.
Seguridad informática
Así como gran parte de las multas impuestas por el RGPD se ocasionaron en la insuficiente o inadecuada información proporcionada por las empresas sancionadas a sus clientes y usuarios, otras tantas se motivaron en problemas relacionados con la filtración de datos, un hecho que vislumbra un deficiente plan de seguridad de la empresa. Algunos casos renombrados fueron los de la aerolínea British Airways y la cadena hotelera Marriott International, que fueron multados con más de 22.000.000€ y 19.000.000€ respectivamente.
En el caso de British Airways, la multa fue impuesta por la Oficina del Comisionado de Información (ICO) de Reino Unido en relación con una filtración de datos ocurrida en el mes de septiembre del año 2018. Los atacantes consiguieron robar la información personal de unos 500.000 clientes de la aerolínea, incluidos sus nombres, números de tarjetas de crédito y direcciones de correo electrónico. En consecuencia, la pena propuesta fue equivalente al 1,5% de su facturación mundial en el año financiero que terminó el 31 de diciembre de 2017.
En relación con Marriott International, tras varias investigaciones se descubrió que los datos personales de hasta 339 millones de clientes habían sido sustraídos. Los atacantes habían tenido acceso a los datos del hotel desde el año 2014, año en el que la reconocida cadena hotelera se había fusionado con otra. Según la investigación de la Oficina del Comisionado de Información, los datos robados correspondían a unos 30 millones de residentes en 31 países del Espacio Económico Europeo.
Los casos mencionados son sólo dos de varios que han ocurrido en los últimos años. Independientemente del tamaño o del rubro en el que opere, cualquier compañía es susceptible de encontrarse envuelta en una situación similar. Las filtraciones de datos y los incidentes de seguridad son cada vez más costosos, por ello, la seguridad informática se torna relevante para las empresas, atendiendo no sólo la necesidad del resguardo de la información sino también los altos riesgos económicos y reputacionales asociados a los ciberataques.
Lo cierto es que, además del evidente impacto positivo, la implementación de medidas técnicas y organizacionales para garantizar la seguridad de la información a los clientes y usuarios son mandatarias para las compañías. Entre otros, el Considerando 39 del RGPD establece que:
"Las organizaciones deberán proteger los datos personales con las medidas de seguridad apropiadas y notificar a las autoridades las filtraciones de datos personales”.
Además, los datos deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento. A nivel local, la Ley de Protección de Datos Personales N° 25.326 establece que el responsable o usuario del archivo de datos deberá adoptar las medidas técnicas y organizativas que resulten necesarias:
“para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado” (conf. Art. 9)"
En la práctica, cumplir con estas disposiciones importa para las empresas una suerte de “transformación digital”, pues implica no sólo invertir en capacitaciones a su personal sino también en un programa de seguridad que permita combatir la cibercriminalidad y evitar significativas pérdidas monetarias en el futuro.
La seguridad informática persigue la protección de toda la información a la que tiene acceso la empresa, tanto aquella que se encuentra contenida en la red como en otros dispositivos como teléfonos celulares, tabletas o laptops, contra amenazas que puedan poner en riesgo la integridad y confidencialidad de dicha información. Un robusto programa de seguridad informática deberá contar con medidas preventivas, de detección y corrección adecuadas. Entre otros, deberá ser capaz de proteger las redes de intrusos, mantener los dispositivos y el software libres de amenazas y detectar correos de phishing o malware.
El "phishing" ha sido definido como un tipo de fraude informático cuya finalidad es la de apoderarse de información personal de un usuario de Internet, para acceder a sus cuentas de correo o de redes sociales y obtener adicionalmente datos de sus contactos virtuales, a fin de comerciarlos ilícitamente, o bien, conseguir claves de "e-banking" para de este modo ingresar a las cuentas corrientes bancarias de los titulares y disponer del dinero que en ellas se encuentra, realizando una operación de transferencia de activos a un tercero que se denomina "mule"(6).
El "malware" es una expresión ambigua que incluye una amplia lista de programas maliciosos que tienen objetivos variados, que van desde la destrucción de datos alojados en servidores o computadoras personales, pasando por la mera demostración de la vulnerabilidad de los sistemas, hasta el desvío de los servidores DNS con el objeto de redirigir la navegación para la propagación de publicidad, o bien, para introducirse en sistemas de información, a través de la utilización o simulación de datos reales a fin de hacer creer a la víctima que se está contactando con un usuario real, por ejemplo, una página de una entidad bancaria por Internet u otro servicio de carácter comercial(7).
Un programa de seguridad informática eficiente también deberá contar con personal idóneo para capacitar a todos los empleados de la compañía. El entrenamiento en estos temas es tan importante como la implementación del programa de seguridad, pues de nada servirá contar con este último si los trabajadores de la empresa, en definitiva, quienes acceden a la información y los datos personales que los clientes y usuarios comparten, desconocen de qué modo éstos deben ser tratados para garantizar el correcto cumplimiento de la normativa aplicable.
Todos los empleados deben estar debidamente informados sobre las leyes de protección de datos personales, y en particular, sobre los derechos que tienen los titulares de éstos, de modo de poder brindar una respuesta apropiada ante un potencial reclamo. Adicionalmente, deben ser capaces de detectar red flags por sí mismos, por ejemplo, conocer la importancia de utilizar únicamente el correo corporativo para cuestiones laborales, seleccionar programas para compartir documentos que sean adecuados en términos de seguridad online y funciones, identificar correos que puedan ser de phishing y conocer en profundidad las medidas de seguridad física informática adoptadas por la empresa. En suma, la seguridad informática revela varios niveles de resguardo necesario:
el técnico que evita intromisiones de terceros;
el interno, destinado a resguardar la confidencialidad de los datos que se tratan;
el personal, para que los operadores del procesamiento de datos resguarden y se obliguen a la confidencialidad.
Finalmente, resulta relevante elaborar políticas y procedimientos en la materia, de modo tal que los empleados tengan la información disponible en cualquier momento que lo deseen (por ejemplo, Política BYOD -Bring Your Own Device- para garantizar una correcta utilización de los dispositivos personales o la Política de Data Breach para informar a los empleados cómo deben actuar ante una filtración de datos).
Reflexiones finales
El éxito en cuidar los datos de los clientes y usuarios no sólo es de las autoridades, sino también de los ciudadanos, pero fundamentalmente de las empresas, ya que deben tratarlos de una manera ética(8).
Por eso subrayamos la importancia de implementar un programa de seguridad informática, con el cual las compañías podrán cumplir efectivamente con la normativa de protección de datos personales, tomando las recomendaciones realizadas en esta breve columna.
Particularmente, destacamos la importancia de las directivas transparentes, informar en forma clara la recopilación de datos, resumir los propósitos del procesamiento y los usos, así como también definir las directivas de conservación y eliminación.
Asimismo, es esencial que las organizaciones capaciten adecuadamente al personal en relación con la privacidad, realizar auditorías y actualizar las directivas de datos, así como también elaborar y administrar contratos de proveedores compatibles. Independientemente de la obligatoriedad de la normativa de protección de datos personales, las empresas cada vez más observan en el cuidado de los datos un lugar donde diferenciarse de sus competidores y añadir valor a sus negocios. Su nueva estrategia pasa por considerar que
no hay mejor valor comercial que generar confianza en los clientes.
Bibliografía y Notas
El derecho a la autodeterminación informativa implica que todas las personas tengan derecho a elegir libremente bajo qué circunstancias, y en qué medida, expondrán información sobre sí mismas. El titular de los datos personales tiene la capacidad de decidir sobre la divulgación y el uso de estos, así como controlar y delimitar lo que los demás puedan conocer sobre su vida personal. La protección de la privacidad digital, la libertad de expresión, la protección de los datos personales, el derecho a la vida privada activa, el derecho a la educación y el derecho a la información del sector público pertenecen al ámbito de la autodeterminación informativa.
El estado alemán de Hesse adoptó la primera ley del mundo sobre protección de datos en 1970, que solo era de aplicación en ese estado. Suecia adoptó la Datalagen en 1973; Alemania la Bundesdatenschutzgestez en 1976; y Francia la Loi relative à l’informatique, aux fichiers et aux libertés en 1977. En el Reino Unido, la Data Protection Act se adoptó en 1984. Por último, los Países Bajos adoptaron los WetPersoonregistraties en 1989. A nivel internacional, cabe mencionar el Convenio 108 del Consejo de Europa “Convenio para la protección de las personas con respeto al tratamiento automatizado de datos de carácter personal”, firmado por Alemania, Francia, Dinamarca, Austria y Luxemburgo el 28 de enero de 1981. Ésta ha sido identificada como la primera normativa general sobre protección de datos. Seguidamente en el año 1995, se emitió la Directiva 95/46/CE11 relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos.
Chile fue el primer país que adoptó una ley de protección de datos personales en 1999 (Ley N° 21.096), seguido de Argentina en 2000 (Ley N° 25.326), Uruguay en 2008 (Ley N° 18.331), México en 2010 (Ley Federal de Protección de Datos Personales en Protección de los Particulares), Perú en 2011 (Ley N° 29.733), Colombia en 2012 (Ley N° 1581) y Brasil en 2018 (Ley N° 13.709), entre otros.
Edelman es una agencia global de comunicación que se alía con empresas y organizaciones para hacer evolucionar, promover y proteger sus marcas y su reputación. Edelman cuenta con más de 20 años de presencia en América Latina, con oficinas en Buenos Aires, Bogotá, Ciudad de México, Miami, Río de Janeiro y São Paulo, así como con una amplia red de alianzas con organizaciones en los principales mercados de la región.
El artículo 5° de la Ley 25.326 también expresa que no será necesario el consentimiento cuando: a) Los datos se obtengan de fuentes de acceso público irrestricto; b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; c) Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio; d) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento; e) Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley 21.526.
Artículo 32 del RGPD. Seguridad del tratamiento: “1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento; 2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos; 3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo; 4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
Vásquez Ruano, Trinidad. “Aproximación jurídica al spam desde la protección de datos de carácter personal”, en Revista de Contratación Electrónica, 33 (2002), pp. 3 ss.
Pardo Albiach, Juan. Ciberacoso: "Cyberbullying", "grooming", redes sociales y otros peligros, en González, Javier (coordinador), en Ciberacoso: la tutela penal de la intimidad, la integridad y la libertad sexual en Internet (Valencia, Tirant lo Blanch, 2010) (n. 6), pp. 66 ss.