Introducción

En cualquier portal de noticias puede leerse que “La cantidad de información que se genera en internet es abrumadora. En los últimos diez años, su incremento ha sido exponencial. Según el estudio “Big Data en números 2014”, presentado por la Online Business School, durante los últimos diez años se creado más información que en toda la historia de la humanidad. Es la revolución del Big Data, que genera grandes volúmenes de datos a diario” (*2) . Se considera que esta tendencia es irreversible y la generación de datos e información se seguirá acrecentando de modo imparable.

Los “datos”, por sí solos, carecen de utilidad. Para procesar la información y dotar los “datos” de “valor”, era necesario un gran equipo con una enorme capacidad. Esta ingeniería, si bien inicialmente era exclusiva de grandes corporaciones, es cada día más accesible para la comunidad en general.

Ambas cuestiones, nos llevan a indagar el estado actual de la cuestión, cómo las empresas tratan los datos, los efectos, las consecuencias y cómo se abordó el tema en toras latitudes.

El aprovechamiento de los “datos”

El aprovechamiento de los datos (y su valoración) se hace a través de procedimientos que se identifican como “machine learning”. Por ejemplo, uno de estos procesos se denomina “Deep learning”. El deep learning es un tipo de machine learning que entrena a una computadora para que realice tareas como las hacemos los seres humanos, como el reconocimiento del habla, la identificación de imágenes o hacer predicciones. En lugar de organizar datos para que se ejecuten a través de ecuaciones predefinidas, el deep learning configura parámetros básicos acerca de los datos y entrena a la computadora para que aprenda por cuenta propia reconociendo patrones mediante el uso de muchas capas de procesamiento(*3).

Actualmente, las empresas, independientemente del sector comercial al que correspondan, utilizan “datos” e intentan aplicarlos para mejorar su performance, ya sea para optimizar el funcionamiento interno, como en sus relaciones externas (captar mayor clientela, predecir dónde va el mercado, etc.). Naturalmente, dentro de todo el arco empresario, las que toman especial protagonismo son aquellas empresas que utilizan estas herramientas tecnológicas como para desarrollar su objeto primario. Pero en rigor, hoy por hoy, la regla es que, de un modo u otro, las distintas empresas que obtienen datos intentan maximizar los mismos.

Existen sociedades que aplican estas tecnologías (que identifican con IA) en el funcionamiento de sus órganos de administración(*4) , e incluso se vienen asomando las denominadas “Entidades Autónomas de Descentralizadas” o DAO (por sus siglas en inglés)(*5).

Pero al mismo tiempo, también existen empresas que utilizan toda esta información para desarrollar el “microtargeting”. El “microtargeting” utiliza perfiles “psicométricos”. Dice Byung Chul Han (*6)  “La psicometría, también conocida como es un procedimiento basado en datos para obtener un perfil de personalidad. Los perfiles psicométricos permiten predecir el comportamiento de una persona mejor de lo que podría hacerlo un amigo o compañero. Con suficientes datos, es posible incluso generar una información más allá de lo que creeos saber de nosotros mismos (…)”.

Siguiendo esta línea, según Eli Pariser, “La nueva generación de filtros de internet se fija en lo que aparece que a usted le gusta -cómo ha sido de activo en la red o qué cosas o personas le gustan- y saca las conclusiones pertinentes. Las máquinas pronosticadoras crean y y refinan continuamente una teoría sobre su personalidad y predicen lo siguiente que usted querrá hacer. Juntas, estas máquinas crean un universo de información para cada uno de nosotros -lo que llamo “filtro burbuja”- y cambian fundamentalmente el modo en que accedemos a las ideas y a la información”. Cuanto más tiempo paso en internet, más se llena mi filtro burbuja de información que me gusta, que refuerza mis creencias. Sólo me muestran aquellas visiones del mundo que están conformes con la mía. El filtro corta el paso a otras informaciones, De ese modo, el filtro burbuja me enreda en un permanente.”(*7)

Entonces, si bien la cuestión gira en torno al tratamiento automatizado de datos (IA), el gran problema reside en la utilización abusiva o el mal uso de la información lo que quizás, en nuestro país está acentuado debido a la inexistencia de normas y prácticas que regulan estas cuestiones. Ello nos lleva a compartir las siguientes reflexiones.

Los “datos” en tanto materia prima. “La propia identidad deviene en una mercancía”.

La Inteligencia Artificial (*8) , el Big Data (*9) , el Machine Learning funcionan gracias al procesamiento de “datos”. Se tiene dicho que “Los datos se han convertido en un factor de producción fundamental de cualquier proceso económico actual, indistintamente si es desde el sector privado, o el Estado. Así, la generación masiva de datos, y la capacidad de procesarlos para construir valor, resulta clave para incrementar la eficacia y eficiencia en la toma de decisiones”. “Un dato por sí solo no tiene valor, y muchos datos acumulados sin procesar, tampoco. Pero su tratamiento y análisis científico los convierten en conocimiento útil, original y rentable. El surgimiento del Big Data y de la aplicación del machine learning permitió dar el salto a este nuevo nivel.” “Los datos son la materia prima que alimenta los algoritmos de machine learning e inteligencia artificial, ya que nos permite tomar decisiones en función de análisis de comportamiento histórico y poder así predecir comportamientos futuros.” (*10) Dentro del “universo” de los “datos”, queremos hacer especial referencia a los “datos” relacionados de modo directo con las “personas humanas”, cómo se tratan los mismos y cómo, a nuestro entender, deben organizarse las empresas de cara a la manipulación de dicha información.

Fuente de Datos ¿Cómo se obtienen los datos?

Los datos provienen de todo tipo de fuentes: visita a cualquier sitio web a cualquier efecto; uso de GPS; todo tipo de consulta u operación que se haga por sistema; comentarios en redes sociales; foto multas; compras con tarjetas; correo electrónico; las aplicaciones cuentapasos; los geolocalizadores; etc.

La mayoría de las personas que utiliza algún tipo de tecnología o servicio online deja “datos”. Como dice Byung Chul Han (*11) “El smartphone es un dispositivo de registro psicométrico que alimentamos con datos día tras día, incluso cada hora. Puede utilizarse para calcular con precisión la personalidad de su usuario.”

Nos preguntamos si las personas en general ¿saben que cualquier movimiento por más irrelevante que parezca produce una “dato” que otro aprovecha? ¿saben qué se hace con sus datos?

En principio la respuesta negativa se impone, aunque no puede negarse que existe un “saber popular” (*12), o una simple noción -superflua- sobre el particular pero que no llega a ser “consentimiento”.

Suele ocurrir que cuando se visita un sitio web (al menos la primera vez) surge un formulario virtual que contiene “Términos y Condiciones” donde se explica “qué pasa” con la información que uno deja volcada en el sitio. Leer estos textos, tiene una duración promedio de dieciseis (16) minutos. En los hechos, las personas no leen nada y “clickean” “ACEPTAR” y pasan a lo que sigue. La empresa que recopila los datos, obviamente sabe que el “usuario” no estuvo 16 minutos frente al “cartel” y tardó unos pocos segundos o minutos en “avanzar”, lo que nos genera una duda razonable sobre el verdadero “consentimiento” del “usuario” sobre el destino de los datos que deja volcados.

Lo cierto es que la empresa, una vez que se hace de los “datos”, los utiliza. Luego, una vez procesada toda la información, ese material se emplea con múltiples y distintos fines. No sólo para mejorar la performance de respuesta de las empresas, sino también que se comercializan y/o comparten con otras entidades.

¿Prestar consentimiento para que la “empresa” usufructúe los datos, implica perder la propiedad sobre los mismos?

Sin ánimo de indagar sobre la naturaleza jurídica del “dato”, podemos arriesgarnos en aceptar que es un desprendimiento de la personalidad de los seres humanos, y como tal, podría considerarse que siempre es propiedad de la persona y cualquier consentimiento prestado para su utilización es libremente revocable tal como lo indica el art. 55 CCCN.(*13)

Del mismo modo que tenemos la firme convicción de ello, tenemos la certeza de que nadie saber con precisión “dónde fueron a parar sus datos”.

Existen modos de prever, medir e incluso retrotraer el “viaje” de los datos? Sí. El “data management” tiene dicha finalidad.

Data Management y Data Protection: La necesidad de su incorporación

Las disciplinas que permiten organizar y sacar provecho de los datos, forman parte del Data Management o Gestión de Datos, y se puede pensar en ellas como una serie de prácticas que permiten el desarrollo y ejecución de arquitecturas, políticas y procedimientos que cubren las necesidades del ciclo de vida completo de los datos de una empresa.

Los datos ganan valor comercial cuando se aprovechan, y para ello, no sólo deben ser datos veraces, sino que deben estar disponibles, por lo que generalmente se almacenan en alguna una plataforma nube (Cloud Computing) y no en una bóveda impenetrable.

Por ello, toda empresa, sea una PYME o una multinacional, debe arbitrar los medios para gestionar adecuadamente dichos datos.

Si bien no existe ninguna normativa doméstica sobre el particular, y dentro de los “organigramas” de las sociedades que manipulan datos no resulta frecuente la mención de un sector o departamento de “data compliance”, consideramos que resulta una figura necesaria y su incorporación no obedece sólo a una buena práctica, sino que también guarda estricta relación con las diligencias que deben adoptar los administradores societarios.

En otras latitudes, incorporar un “DPO” (siglas por “data protection officer” o “delegado de protección de datos”, que no es otra cosa que un “data compliance”) como órgano societario y/o como asistente permanente de los mismos, es una obligación cuyo incumplimiento genera distinto tipo de sanciones.

En esta línea, en la Unión Europea, debido a los distintos conflictos derivados del manejo irresponsable de datos, se sancionó el Reglamento General de Protección de Datos (RGPD, aunque es más conocido como GDPR, por sus siglas en inglés). El RGPD –vigente desde el 2018– es un amplio conjunto de reglas centradas en la protección de la privacidad personal y el intercambio de datos entre fronteras.

Según el RGPD, existe la obligación de designar un Delegado de Protección de Datos (DPO), entre otros casos(*14): n.- cuando las actividades principales del responsable o el encargado del tratamiento consisten en operaciones de tratamiento que requieren el seguimiento regular y sistemático de los interesados a gran escala; n.- cuando las actividades principales del responsable o el encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos penales; n.- cuando se trate de las siguientes entidades: a) Los colegios profesionales y sus consejos generales; b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas; c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala; d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio; e) Las entidades dedicadas a la ordenación, supervisión y solvencia de entidades de crédito; f) Los establecimientos financieros de crédito; g) Las entidades aseguradoras y reaseguradoras; h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores; i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural; j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo; k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos; l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes; m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas; n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego; ñ) Las empresas de seguridad privada; o) Las federaciones deportivas cuando traten datos de menores de edad; etc.

Según surge de distintos medios informativos, la Agencia Española de Protección de Datos (AEPD) ha multado con 50.000 euros a la pyme Conseguridad, una empresa dedicada a ofrecer servicios de seguridad privada. El motivo de la sanción es no tener designada la figura del Delegado de Protección de Datos(*15) .

Por otro lado, ha multado a otra compañía GlovoApp, dedicada a los envíos a domicilio a través de riders, de 25.000 euros ratificada por el organismo encargado del buen tratamiento de los datos de los españoles(*16) .

Esta simple mención pretende poner de relieve la jerarquía del tema. Destacamos que de ningún modo se sugiere encastrar a la fuerza en nuestro sistema una figura propia de otro sistema (amén del éxito de la misma), sino tan sólo aprovechar las experiencias para casos similares. Como fuere, entendemos necesaria la incorporación de una figura acorde.

Corolario

Del mismo modo que en otras áreas se entiende necesaria la existencia de un Programa de Compliance (por ej., Ley 27.401 de Responsabilidad Penal de las Personas Jurídicas), consideramos imprescindible que las sociedades que se valgan de “datos”, cuenten con un sector o departamento de “Data Compliance”.

Como antes dijimos, su incorporación no obedece sólo a una buena práctica, sino que también guarda estricta relación con las diligencias que deben adoptar los administradores societarios.

Hoy por hoy, cobra especial relevancia el deber de prevención del daño, y por ello, los administradores societarios pueden y deben adoptar las medidas razonables para evitar y/o disminuir que se produzca un daño o su magnitud, tal como sería la adopción de un DPO.