En la primera reunión de la mesa consultiva sobre el protocolo General para la Prevención Policial del Delito con uso de Fuentes Digitales Abiertas, conocido públicamente como protocolo de ‘ciberpatrullaje’, diversas organizaciones de la sociedad civil y especialistas invitados instamos al Ministerio a suspender la práctica hasta tanto se corrobore la necesidad, proporcionalidad y utilidad de la mentada actividad que se pretendía regular, a la vez que celebramos la derogación del protocolo vigente desde 2018 que había habilitado una serie de acciones contrarias a la libertad de expresión como el conocido caso de Javier Smaldone.
En ese encuentro realizado en la primera semana de julio de este año, la Agencia de Acceso a la Información Pública que tiene bajo su órbita el área de protección de datos personales prometió presentar un dictamen sobre el protocolo y la práctica de inteligencia de fuente abierta.
Merced a una solicitud de acceso a la información pública, desde la Fundación Vía Libre accedimos al dictamen sobre la adecuación del Protocolo realizada por la Agencia de Acceso a la Información Pública y remitido al Ministerio de Seguridad el 23 de Julio pasado.
El documento detallado aborda varios aspectos que deberían haber sido considerados antes de la puesta en marcha del protocolo y que merecen suma atención.
En primer lugar establecen la vinculación innegable del protocolo con la ley de protección de datos personales vigente en Argentina al expresar que “Dado que la finalidad del Protocolo es realizar tareas de prevención del delito en el espacio cibernético, y que para determinar si una persona cometió o no un delito las Fuerzas Policiales van a consultar, recolectar, ceder y/o almacenar información referida a la conducta de personas determinadas -es decir, datos personales-, no cabe duda que el Protocolo se encuentra sometido a la regulación de la Ley N° 25.326.”
Hecha esa aclaración, cabe preguntarse entonces si cumple realmente con los mandatos de la norma vigente en Argentina. Veamos…
El segundo aspecto que evalúa el dictamen es la legalidad de la práctica como tal, que en principio no parece colisionar con la ley de protección de datos: “…en el caso objeto de análisis el MSG parecería realizar sus operaciones de tratamiento bajo las bases legales de los apartados (a) y (b) del artículo 5, inciso 2 la Ley No 25.326, que establecen, respectivamente, que “[n]o será necesario el consentimiento [del titular de los datos] cuando: a) Los datos se obtengan de fuentes de acceso público irrestricto; b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal”.
Sin embargo, esto no habilita a que el MinSeg incumpla las demás obligaciones que surgen de la ley de protección de datos, especialmente el derecho de información, modificación, seguridad de la información, eliminación y todo lo que tiene que ver con el procesamiento de esos datos recolectados. En particular, no queda claro según el documento si entre los datos recolectados se incluye o no datos sensibles, cuya protección especial debe necesariamente ser garantizada por cualquier oficina pública.
En tercer lugar, el protocolo se establece para atender la situación excepcional de la crisis provocada por la pandemia de Covid 19 y fija validez sólo por el período de vigencia del decreto de emergencia sanitaria. Sin embargo, a la hora de evaluar los delitos que se integran como potenciales justificaciones, buena parte de ellos carecen de relación directa con la situación sanitaria. “Esto pareciera indicar que la finalidad del tratamiento podría ser demasiado amplia, y debería restringirse únicamente a aquellos casos en los que una intrusión a la privacidad sea estrictamente necesaria para alcanzar el objetivo propuesto por el MSG. Por lo anteriormente expuesto,la AAIP estima que, en principio, la finalidad del Protocolo resulta muy amplia y por ello debería estudiarse su restricción.”
‘El artículo 4 del Protocolo (Procedimiento estandarizado y definición de indicadores delictivos) establece que a los fines de realizar las tareas de prevención “[…] la SECRETARÍA DE SEGURIDAD Y POLÍTICA CRIMINAL dispondrá el procedimiento estandarizado y la definición de los indicadores delictivos que orientarán la actividad preventora de los cuerpos policiales y fuerzas de seguridad en el marco de la política criminal del MINISTERIO DE SEGURIDAD durante la emergencia pública en materia sanitaria […]”.’ Los y las integrantes de la Mesa Consultiva de seguimiento todavía no tenemos ninguna noticia sobre la definición de los indicadores delictivos que orienten la actividad.
Hacemos nuestro el pertinente reclamo de la AAIP en el sentido de que “el Protocolo no especifica cómo las tareas de prevención realizadas por el MSG funcionarán en la práctica; ni en particular (i) que categorías de datos se recolectarán, (ii) cómo se asegurará que la información recopilada sea fiable, y (iii) qué consecuencias tendrá el tratamiento de los datos para sus titulares.”
El principio de información al titular de los datos es clave para el real cumplimiento de la normativa. En este sentido, hay una seria falencia en el protocolo ya que más allá de la legalidad y justificación del tratamiento, falla a la hora de cumplir debidamente el artículo 6 de la ley 25.326 que manda proveer información al titular de los datos para que este pueda ejercer plenamente sus derechos de acceso, rectificación, supresión y la posibilidad de iniciar un reclamo administrativo en caso de corresponder. Entonces, la AAIP expresa que “Protocolo deberá prever de qué manera el MSG informará a la ciudadanía sobre el tratamiento de sus datos, y en particular, a través de qué medios podrán ejercer sus derechos.”
Por otro lado, es indispensable que el protocolo clarifique la situación relacionada con la retención y destrucción de los datos que no cumplan con una finalidad establecida. En este caso, el documento del MinSeg establece el principio de destrucción del material ‘prevenido no judicializado’, pero no aclara cuál es el plazo para esta revisión, no establece ningún programa de revisión periódica para evaluar la pertinencia y necesidad de los datos ni por cuánto tiempo serán almacenados. Esa es otra demanda muy pertinente de la oficina de protección de datos.
Un tema aparte es la posibilidad de que los datos sean recolectados y procesados mediante la utilización de algún tipo de sistema automatizado de tratamiento de esos datos. La autoridad de aplicación de la norma de protección de datos en argentina ya se ha expedido sobre el particular en su Resolución AAIP N° 4/2019 al establecer que “[e]n caso que el responsable de la base de datos tome decisiones basadas únicamente en el tratamiento automatizado de datos que le produzcan al titular de los datos efectos jurídicos perniciosos o lo afecten significativamente de forma negativa, el titular de los datos tendrá derecho a solicitar al responsable de la base de datos una explicación sobre la lógica aplicada en aquella decisión, de conformidad con el artículo 15, inciso 1 de la Ley No 25.326.”
Y aquí llegamos a otro punto seriamente conflictivo del protocolo y la política del MinSeg. En todas las reuniones, en todos los documentos presentados a las autoridades, desde Fundación Vía Libre repetimos la pregunta sobre qué tecnologías está utilizando el Ministerio de Seguridad para ejercer la tarea de ciberpatrullaje. Nunca recibimos respuestas apropiadas, salvo la promesa de una respuesta en la próxima reunión prevista para el 1 de septiembre del corriente año. No hay tampoco información apropiada sobre las medidas de salvaguarda de la información recolectada, ninguna evaluación de impacto ni un plan de seguridad de la información recolectada.
Desde Vía Libre compartimos la preocupación de la AAIP y hacemos nuestra la recomendación de que se suspenda la aplicación de las tareas de prevención del delito con uso de Fuentes Digitales Abiertas hasta tanto se clarifiquen y cumplan debidamente los principios establecidos en el marco de la Ley de Protección de datos personales vigente en todo el territorio nacional.
Descargar el documento completo del dictamen de la AAIP en .pdf