Lucia Tenaglia*

El martes 16 de abril de 2024, Argentina se enfrentó a una de las filtraciones de datos personales más significativas de su historia reciente. Más de 6 millones de registros de licencias de conducir fueron expuestos, incluyendo información sensible como fotografías, números de DNI, firmas, y direcciones físicas, entre otros datos. Este ciberdelito no solo vulnera la privacidad de millones de ciudadanos y ciudadanas, sino que también pone en tela de juicio la robustez de nuestras estrategias de ciberseguridad a nivel nacional.

El incidente revela una brecha crítica en la protección de datos personales y suscita una serie de interrogantes fundamentales, principalmente sobre las responsabilidades y capacidades de las instituciones encargadas de salvaguardar nuestra información digital. La Dirección Nacional de Ciberseguridad y el Cert.ar (Equipo de Respuesta ante Emergencias Informáticas nacional) deben ser revisados en función de su capacidad y recursos para enfrentar estas amenazas. La efectividad de la Agencia de Acceso a la Información Pública (AAIP), en su rol de control según la Ley de Protección de Datos Personales (Ley 25.326) , es también cuestionable ante la magnitud de este ataque.

Más allá de la reacción inmediata ante el incidente, es crucial preguntarnos: ¿Están estas entidades dotadas del presupuesto, la tecnología, las herramientas, y el personal técnico necesario para prevenir y responder adecuadamente a estos ataques? Ejemplos concretos de mejoras podrían incluir la asignación de fondos específicos para la actualización tecnológica y la formación continua del personal en técnicas avanzadas de ciberseguridad. Lamentablemente, la respuesta parece inclinarse hacia la negativa.

Frente a este escenario, es imperativo replantear nuestras políticas y estrategias de ciberseguridad. La Agencia de Acceso a la Información Pública (AAIP), como órgano de control de la Ley de Protección de Datos Personales, realiza investigaciones sobre estas materias, pero ¿son suficientes sus esfuerzos para garantizar una protección efectiva de nuestros datos personales? ¿Cuentan con la legislación actualizada necesaria para mitigar estos ataques? Este reciente ciberataque sugiere que aún tenemos un largo camino por recorrer en materia de fiscalización y aplicación de las leyes de protección de datos, en nuestro país la Ley N° 25.326 .

Para profundizar en la Ley de Protección de Datos Personales de Argentina (Ley 25.326) y hacer una comparación con la legislación europea, específicamente el Reglamento General de Protección de Datos (RGPD), y cómo cada uno aborda los ciberdelitos, vamos a desglosar los puntos clave y las diferencias fundamentales:

La Ley 25.326 tiene como fin proteger los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre estas mismas se registre. En relación a su alcance, esta ley se aplica a los datos personales registrados en soportes que permitan su tratamiento, excluyendo los archivos o bases de datos personales destinados a un uso exclusivamente personal.

La Agencia de Acceso a la Información Pública (AAIP) es el órgano encargado de la protección de datos personales, el cual tiene competencias para fiscalizar y exigir el cumplimiento de la ley. La ley establece sanciones para el tratamiento indebido de datos personales, pero no aborda específicamente los ciberdelitos. Los aspectos relacionados con delitos informáticos son tratados en otras normativas, como la Ley de Delitos Informáticos (Ley 26.388) .

A su turno, la Corte de Justicia Nacional, por medio de la Acordada N° 32/2023, dispuso la creación de una Oficina de Ciberseguridad que funcionará bajo la órbita de la Dirección de Sistemas y tendrá como misión gestionar la seguridad del tribunal en esta materia, garantizando “la integridad, confidencialidad y disponibilidad de la información y sistemas, mediante una gestión proactiva frente a amenazas cibernéticas y promoviendo una cultura robusta de seguridad informática”.

No debemos olvidar que, desde el 1 de junio de 2019, Argentina es parte del Convenio 108, convirtiéndose en el tercer país de América Latina y el 54 a nivel mundial en ratificarlo. Además, Argentina se destaca como el trigésimo tercer país en firmar la versión modernizada del Convenio 108, demostrando su compromiso con los estándares internacionales de protección de datos personales y reforzando su posición en el escenario global de la privacidad digital.

La ratificación del Convenio 108+ constituye un refuerzo significativo para el marco normativo argentino en materia de protección de datos personales. Con la adopción de este estándar internacional avanzado, la Agencia de Acceso a la Información Pública, que funge como autoridad reguladora en este ámbito, obtiene herramientas adicionales para proteger y garantizar los derechos de privacidad de la ciudadanía. Este paso representa un progreso notable en la salvaguarda de la privacidad individual frente a posibles malas prácticas en el manejo de datos personales.

El Convenio 108+ es una actualización del Convenio 108 original, firmado en 1981 en Estrasburgo, Francia. Este convenio es el único tratado multilateral vinculante diseñado específicamente para la protección de datos personales, cuyo objetivo es preservar la privacidad de los individuos frente a abusos en el procesamiento de sus datos. Siendo un estándar abierto a todos los estados, ofrece un marco de seguridad jurídica y previsibilidad que puede ser adoptado globalmente, reforzando así la integridad en las prácticas de protección de datos a nivel internacional.

El Convenio 108+ busca establecer un estándar internacional común para la protección de datos personales, ofreciendo un marco básico que los países pueden adaptar, mientras que el RGPD es un conjunto de reglas detallado y riguroso con requisitos específicos y sanciones para garantizar la protección de datos dentro de la UE y para los ciudadanos de la UE, independientemente de dónde se procesen sus datos. Ambos representan esfuerzos importantes para proteger los datos personales, pero el RGPD es más prescriptivo y detallado en sus exigencias[1].

Por otro lado, el Reglamento General de Protección de Datos o más comúnmente conocido como RGPD, busca proteger los datos personales y la privacidad de los ciudadanos y ciudadanas de la UE en todos los sectores, incluido el internet. Tiene como finalidad última dar control a los ciudadanos y ciudadanas sobre sus datos personales y simplificar el entorno regulatorio para el comercio internacional. Es aplicable a cualquier organización, sin importar su ubicación, que procese datos personales de residentes de la UE.

Esta comparativa pone de relieve la necesidad de una estrategia más robusta y coherente en Argentina, que no solo incremente los recursos y capacidades de nuestras instituciones encargadas de la ciberseguridad, sino que también incorpore medidas proactivas como las estipuladas en el RGPD. A su vez, es necesaria la adopción de un enfoque más globalizado, que considere las mejores prácticas internacionales para poder fortalecer significativamente nuestra posición frente a los desafíos de la ciberseguridad.

El incidente de la filtración de datos de licencias de conducir debe servir como un llamado de atención para todos los niveles del Estado argentino. La protección de la información personal y la ciberseguridad deben ser vistas no solo como una responsabilidad del gobierno, sino como un compromiso colectivo que involucre a toda la sociedad, incluyendo el sector privado y los ciudadanos.

[1] El Convenio 108+ y el Reglamento General de Protección de Datos (RGPD) son dos marcos legales importantes para la protección de datos personales, pero difieren en varios aspectos clave, incluyendo su ámbito de aplicación, alcance y requisitos.