Gestión de Datos Personales en las Universidades Nacionales de Argentina

Por Marcelo Temperini

Introducción.

En las últimas décadas, la evolución acelerada de las tecnologías ha impactado de manera notable en el mundo de la información. Actualmente, la facilidad en la manipulación y transferencia de la información ocasiona, en numerosos casos, la lesión a los derechos de honor e intimidad de las personas, transformando a la protección de los datos personales en uno de los grandes desafíos de la era de la información.

En esta última etapa, el rápid crecimiento de las Tecnologías de la Información y las Comunicaciones (en adelante TICs), potenciado por el incremento en las infraestructuras de comunicación y el consecuente abaratamiento de los costos para las conexiones en Intranet e Internet, ha permitido que una mayor parte de la población  tenga acceso a las nuevas tecnologías. En consecuencia, y principalmente a partir del Siglo XXI, esto ha permitido el acceso a la utilización masiva e informatizada de los datos personales por parte de todo tipo de empresas y organizaciones.

Dentro de este marco, tendremos como objetivo para el presente trabajo analizar la magnitud del tratamiento de datos personales por parte de las Universidades Nacionales de Argentina, intentando demostrar el importante caudal de datos personales administrados, y sobre todo si dicho tratamiento se adecúa a las exigencias de la normativa argentina.

Las bases de datos personales como herramientas de desarrollo económico.

La gestación de las primeras grandes bases de datos personales fue incentivada con el objetivo de lograr un gran avance en la industria del crédito, debido a que contando con dicha información actualizada y completa sobre la historia comercial de las personas, sería posible calcular los niveles de riesgo crediticio de manera más precisa, disminuyendo determinados costos y aumentando la velocidad de las transacciones.

Fue poco el tiempo transcurrido hasta que se empezó a descubrir el inmenso potencial del tratamiento informatizado de los datos personales, y tambien fue poco lo transcurrido hasta que empezaron a generarse perfiles de consumo de las personas, en base a la organización de datos sobre los bienes y servicios adquiridos.

Dentro de la amplitud de su aplicación, las mismas comenzaron a desarrollarse con información sobre sus afiliaciones políticas, religiosas o filosóficas; registros algunos de ellos, de lo más impensado.

Hoy la tecnología permite segmentar en una determinada ciudad, qué cantidad de habitantes consumen determinado producto, qué personas portan determinada enfermedad o qué alumnos forman parte de que movimientos políticos, dejando descubierto significativos aspectos de la intimidad humana, que dan fundamento a la importancia del cuidado en el tratamiento de los datos personales.

Los riesgos inherentes al manejo masivo de información, se acrecientan de manera potenciada por el propio desarrollo de la tecnología, tanto en hardware como en software. La fuga de información ocurre cada vez más seguido, porque las alternativas y lugares desde donde se puede abrir una brecha son también cada vez mayores. A modo de ejemplo, podemos mencionar los actuales dispositivos de almacenamientos electrónicos, con capacidades que exceden los 32 gigabytes y cuyos tamaños son muy reducidos.

Riesgos del inadecuado tratamiento de los datos personales.

El tratamiento inadecuado de los datos personales trae inconvenientes serios para las personas titulares de dichos datos, siendo los principales bienes jurídicos afectados, el honor y la intimidad de las personas.

Según la Ley Argentina de Protección de Datos Personales Nº 25.326, los mismos pueden clasificarse (siguiendo la tradición europea) en datos personales “comunes” y “sensibles”. Serán sensibles (según el art. 2 de la Ley 25326) aquellos datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual. Es fácil advertir aquí como puede ser vulnerado el honor o intimidad de una persona cuando algún tercero no autorizado acceda a datos que revelen las opiniones políticas, o los datos sobre su salud o vida sexual.

Los datos personales “comunes” son definidos por exclusión, es decir, todos aquellos que no sean sensibles, que sean considerados como información de algún tipo referido a una persona, entrarán en esta categoría (por ejemplo: nombre, apellido, mail, dirección, teléfono, etc). Este tipo de datos también debe ser adecuadamente protegido y tratado porque, si bien revisten menor nivel de afectación a la intimidad, igualmente pueden terminar afectando negativamente a sus titulares, por ejemplo a través del envío masivo de publicidad sin consentimiento (spam).

Se verá más adelante cuáles son los datos recolectados por las UUNN sobre los alumnos, pero brevemente diremos que entre esos datos, podría saberse de un alumno determinado:

¿Con quién vive el alumno en período de clases? ¿Cuál es la fuente de financiamiento de sus estudios? ¿Cuántas horas y en qué trabaja el padre? ¿Para qué utiliza Internet?. Los datos obtenidos en este tipo de preguntas en un cuestionario, si bien pueden llegar a tener alguna utilidad en determinados casos, en principio podría decirse que exceden los mínimos necesarios para llevar a cabo la relación educativa, quedando en serias dudas el cumplimiento del requisito de la finalidad (art. 4 Ley 25.326).

Marco normativo en materia de datos personales.

La situación jurídica en materia de protección de datos personales en Argentina es compleja. A partir de la reforma constitucional de 1994, en el Art. 43 3er párrafo se incorporó el Derecho de Habeas Data como garantía fundamental, permitiendo que todos los ciudadanos tengan el derecho de acceso (y rectificación, supresión o confidencialidad en los casos que corresponda) a sus datos personales. En el año 2000, se logró la sanción de la Ley 25.326 de Protección de Datos Personales (en adelante LPDP), que reguló este derecho constitucional a través una serie de principios y medidas que se deben adoptar desde su sanción. En el año 2001, se reglamentó dicha Ley con el Decreto 1558/2001, en el cuál en su Capítulo V, dio origen a la Dirección Nacional de Protección de Datos Personales[1] (DNPDP), como órgano de control de la Ley Nº 25.326.

La DNPDP, ejerciendo su potestad de dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por la ley (otorgadas en el Art. 29 de la Ley 25.326), a emitido varias disposiciones obligatorias, siendo una de las más importantes, la Disposición Nº 11/2006, en la cuál se aprobaron y dispusieron las medidas de seguridad que deben ser cumplidas para el correcto tratamiento y conservación de datos personales contenidos en archivos, registros y bases de datos públicas no estatales y privados.

De esta manera, queda completo el esquema a ser cumplido para lograr la licitud de las bases de datos tratadas (Art. 3 de la Ley 25326): la inscripción y el cumplimiento de las disposiciones de seguridad que correspondan.

Debe tenerse en cuenta que todas las UUNN, dada su participación en un servicio público de Educación de nivel superior, son considerados establecimientos de Utilidad Nacional (Art. 75 inc. 30 de la Constitución Nacional). Ello trae como consecuencia que lo relativo a la regulación de estos establecimientos será competencia del Congreso de la Nación, quedando sus actividades bajo jurisdicción federal. Su relevancia deriva del hecho de que sea de competencia federal, la DNPDP es responsable directo del registro de sus datos, así como de sus controles, auditorías y eventuales sanciones (en caso de incumplimientos).

Muestras y datos relevados.

Según información oficial del Ministerio de Educación de la Nación^[2], las Universidades Nacionales Argentinas son 46,  por lo que a los fines de la brevedad de este trabajo para obtener la magnitud de datos personales gestionados por una Universidad Nacional, se han tomado las muestras mencionadas a continuación.

En el primer relevamiento se ha hecho foco sobre la principal fuente de recolección de datos personales que existe en las UUNN, como son las inscripciones para ingresos a las carreras de grado. En este punto, se ha tomado muestras sobre los datos personales recolectados por el formulario de inscripción de dos UUNN, a fin de tener datos para comparación. Vale destacar que la mayoría de las UUNN utilizan los sistemas SIU para gestionar los datos de la institución, lo cuál permite proyectar los resultados de manera aproximada hacia las demás instituciones.

La primera muestra fue tomada de la Universidad Nacional del Litoral[3] (en adelante UNL), la cuál puede observarse en el Cuadro Anexo I (todos los Anexos se encuentran al final de la investigación). La segunda muestra fue tomada de la Universidad Nacional del Comahue[4] (en adelante UNCOMA), la cuál puede observarse en el Cuadro Anexo II. Los cuadros fueron diagramados indicando el tipo de dato personal exigido, el titular o titulares de los mismos (en la mayoría de los casos son solamente del solicitante, pero en otros, son también de su grupo familiar). En la tercera y última columna, se ha indicado el tipo de dato considerado. Para ello, se ha tenido en cuenta la clasificación vigente según la Disposición Nº 11/2006 de la DNPDP.

El segundo relevamiento fue tomado con material desde los formularios de inscripción a diferentes becas. En este punto, la referencia han sido unas becas otorgadas por la UNL, que se pueden observar en el Cuadro Anexo III y otras otorgadas por la Universidad de Buenos Aires (en adelante UBA), graficadas en el Cuadro Anexo IV.

El tercer elemento utilizado para la investigación, han sido las consultas al Registro de Bases de Datos Personales, administrado por la Autoridad de Control de la LPDP: la Dirección Nacional de Protección de Datos Personales^[5]. En dicho registro, se ha consultado (es información pública) por todas las UUNN de Argentina, a fin de poder informarse sobre la cantidad de bases registradas, con sus respectivas finalidades. Por esta vía se han relevado aquellas UUNN que poseen sus bases de datos inscriptas, confeccionando el Cuadro Anexo V (Resumen) y VI.

Finalmente, se han consultado los Dictámenes y Sanciones emitidos por la DNPDP, buscando material que sea de importancia para esta investigación.

Otras fuentes.

El segundo material relevado en materia de recolección de datos, han sido los formularios de inscripción a 2 becas en diferentes Universidades. La primera de ellas es una beca de estudio[6], otorgada por la UNL, que se puede observar en el Cuadro Anexo III. En la misma se observa que se exige al alumno postulante una serie de datos personales, donde su cantidad no es tan extensa (son 19 datos) dado que la Universidad ya posee todos los demás datos personales del postulante y exige otros extras para poder tramitar la posibilidad de una beca. Lo que se puede observar es que a través de estos datos, es posible acceder a información crítica como los montos de los recibos de sueldo de toda la familia, la declaración jurada, la situación sobre su vivienda, que vehículo poseen con datos de hasta modelo y año.

Por otro lado, se ha analizado una solicitud de beca estímulo[7] otorgada por la UBA, graficadas en el Cuadro Anexo IV. En este caso, el número de datos personales es mayor, ya que se han contabilizado 49, entre los que se encuentra varios del solicitante pero varios de terceras personas afines a la beca (director de la beca, director del proyecto, etc.). De la misma manera que en el caso anterior, aquí estos datos son extras a los que ya posee la Universidad sobre el propio alumno solicitante de la beca.

Inscripciones de ingreso como principal fuente de recolección.

Del análisis de los cuadros anexos confeccionados, pueden extraerse los siguientes resultados:

• En promedio, por cada alumno se están tratando más de 90 datos personales[8]. Dicho patrón puede ser tomado como referencia para gran parte de las UUNN, dado el punto común de utilización del sistema informático SIU (cada una en su propios servidores).
• En el año 2005, en la UNL se inscribieron 12.644 estudiantes^[9] (considerando inscriptos para carreras presenciales y a distancia), significando un ingreso sólo en ese año, de aproximadamente 760.000 datos personales a su base de datos de alumnos.
• En el año 2010, en la UNL se inscribieron más de 6315 estudiantes^[10] para las diferentes ofertas académicas presenciales, significando un ingreso en ese año de aproximadamente 380.000 datos personales nuevos para los registros de la Universidad.
• En el año 2006, la población estudiantil de grado en la UNL (cantidad total de alumnos en todos los años y carreras de grado), era de 30.000 estudiantes^[11]. Esto significa que en ese año, se administraba para todos sus estudiantes de grado, más de 1.800.000 datos personales en sus registros.
• En el 2004, en la UNCOMA se inscribieron más de 6800 estudiantes[12] para las ofertas en ese ciclo lectivo, significando un ingreso en ese año de aproximadamente 850.000 datos personales[13]. En ese mismo año, la UNCOMA tenía una población estudiantil en todas sus unidades académicas de más de 30.000 estudiantes, dando un aproximado de más de 3.750.000 datos personales en sus registros[14].
• La UBA (la Universidad más grande de la Argentina, con más de 108 carreras en 13 facultades) recibe anualmente más de 50.000 estudiantes^[15], significando un ingreso de aproximadamente 4.500.000 (cuatro millones quinientos mil) de datos personales[16] que se incorporan anualmente a los registros de la misma.
• Según los censos propios de la UBA, la población estudiantil de grado en el 2004 en dicha Universidad, era de 293.358 estudiantes^[17]. Esto significa que en ese año, la UBA administraba para todos sus estudiantes de grado,  aproximadamente 26 millones y medio de datos personales[18].

Universidades registradas ante la Autoridad de Control.

En esta última etapa, se ha consultado el Registro Público de Bases inscriptas, administrado por la DNPDP, y que tiene como finalidad que cualquier persona pueda consultar quién es el Responsable de un determinado registro al cuál pertenece, a los fines de ponerse en contacto y poder ejercer los derechos que le asegura la Ley. De esta manera, se ha consultado sobre cuáles son las UUNN de Argentina que poseen sus bases de datos inscriptas (tanto de alumnos, docentes, becarios, etc.). Dichos resultados han sido expresados en el Cuadro Anexo V, donde se puede observar que de las 46 UUNN, sólo 7 de ellas tienen debidamente inscriptas algunas de las bases de datos que poseen. Esto indica que el 85% de las UUNN no tienen ninguna base de datos inscriptas, quedando el tratamiento de sus datos fuera de la normativa vigente, y por lo tanto, haciendo ilícito[19] su tratamiento. Incluso dentro del 15% de las Universidades que poseen alguna base inscripta, debe destacarse que no todas ellas se encuentran en la misma situación, existiendo entre ellas también diferentes niveles de cumplimiento en las inscripciones.

Recordemos que deberían gestionarse cada registro de acuerdo a la finalidad que poseen en su contexto. Por ejemplo, se considera como mínimo poseer inscripta una base de datos de alumnos por cada facultad o instituto académico dentro de la facultad, ya que generalmente cada una administra a través de Alumnado sus propios alumnos, sin intervención alguna de otras facultades. También se debería contar con bases independientes para los cursos de posgrado, personal docente, no docente, bibliotecas, becarios, todo de acuerdo a las características y organización de cada Universidad en particular.

Además del Cuadro Anexo V, se ha confeccionado el Cuadro Anexo VI, donde se puede observar lo señalado anteriormente: dentro de las 7 que poseen algunas bases inscriptas también existen diferencias. El primer lugar en el cumplimiento de la protección de los datos personales, es para la Universidad Nacional de Córdoba (UNC), que además de su adecuada clasificación de las bases de datos (según las diferentes finalidades y características que posee cada una) que tiene inscriptas, la misma posee un adecuado marco de Seguridad de la Información, aprobada  por la Resolución HCS 120/06, siguiendo los lineamientos de la Norma Argentina IRAM/ISO-IEC 17799 (ISO 27000)^[20]. Dentro de este marco de trabajo, la UNC a través de la Ordenanza HCS 09/07^[21], aprobó un proyecto de Creación de un Registro Interno de Bases de Datos (que hace posible su autocontrol y clasificación ordenada).

En segundo lugar, se encuentra la Universidad Tecnológica Nacional (UTN), que además de ser la segunda con más bases inscriptas, también muestra en su portal oficial^[22], el isologotipo oficial de la DNPDP, indicando que a través de la Dirección de Servicios Informáticos dependiente de la Secretaría Administrativa durante el mes de septiembre de 2007 ha cumplimentado con la inscripción de las bases de datos del Rectorado de acuerdo con lo dispuesto por el artículo 21 de la LPDP.

Dentro del ámbito de Santa Fe, la Facultad Regional Santa Fe de la UTN (FRSF-UTN), en su funcionamiento interno tiene conformado adecuadamente su comité de Seguridad, contando con su Política de Seguridad general^[23], así como Políticas independientes para los diferentes casos (telefonía IP, correos electrónicos, usos adecuados, accesos remotos, etc).

El cumplimiento como excepción.

Según el estudio realizado, a fecha de Marzo 2011, el 85% de las Universidades Nacionales Argentinas no poseen ninguna base de datos inscripta ante la DNPDP, haciendo que por interpretación del art. 3 de la LPDP, el tratamiento de sus datos sea de carácter ilícito.

Debe comprenderse que una Universidad no está en cumplimiento de legislación vigente en materia de datos personales por el sólo hecho de tener una o más bases de datos inscriptas. Como bien ya lo reiteramos, ello es condición indispensable pero a su vez debe ser acompañado por la adopción de los principios establecidos por la ley, siendo entre ellos uno de los más destacados la seguridad de la información. De manera que la protección (o no) de los datos personales no se logra a través de una mera inscripción, sino que se logra realmente con una adecuada gestión y respeto por el tratamiento de este tipo especial de información. Se encuentra dentro de estos principios, el deber de informar sobre los derechos al titular de los datos, siendo ésto expresado en leyendas que deberían existir en todos aquellos campos de recolección de datos (ya sean electrónicos o físicos). La extensión de este trabajo no es suficiente para desarrollar aquellos principios que deben ser respetados según lo indica la ley, pero existe importante material en donde se hace un adecuado desarrollo.

Las Universidades Nacionales en la DNPDP.

Ya se ha mencionado dentro del marco jurídico aplicable, que las UUNN están bajo jurisdicción federal, y por lo tanto, la DNPDP es plenamente competente para realizar auditarías, controles y sanciones, en aplicación del art. 29, 36 y 44 de la LPDP. Como parte de esta investigación, se ha hecho un estudio sobre los Dictámenes publicados por la DNPDP que puedan tener relación con esta situación de las Universidades. En dicha búsqueda se han  con dos Dictámenes del año 2004.

El primero de ellos es el Dictamen 7/2004[24], en el cuál la Facultad de Derecho de la UBA (más específicamente la Oficina de Pasantías y Asistencia Técnica), consulta sobre la posibilidad de ceder los datos de los alumnos. Considero acertada la respuesta dada por el Dr. Travieso, que afirma que si podrá realizarse, siempre que se cumplan con todos los extremos requeridos por la normativa (consentimiento informado para cesión, cumplimiento art. 11, procedimientos de acceso, etc.).

El segundo caso es el Dictamen 35/2004[25], en el cual se consulta por el caso de informes de alumnos de la Facultad de Derecho de la Universidad Nacional de Mar del Plata que eran requeridos por el Colegio de Abogados de la Provincia de Buenos Aires, invocando una ley provincial. En honor a la brevedad, cito el final que resume lo relativo a este trabajo: “se concluye que la información relativa a los alumnos de esa casa de estudios constituyen datos personales y en consecuencia se encuentran alcanzados por las disposiciones de la Ley Nº 25.326, resultando de aplicación lo dispuesto en el artículo 11 de la Ley Nº 25.326 en cuanto a la cesión de datos personales que los pedidos de informes de que se trata significan.”

En ambos casos, queda reflejado por el propio Director de la DNPDP que cada Facultad de cada Universidad debe respetar los principios y obligaciones de la LPDP, teniendo registrada sus bases y cumpliendo con todos los principios en su tratamiento.

Entre controles y sanciones.

Hemos mencionado la potestad de control y sanción corresponde en estos casos a la DNPDP, atribución conferida por el art. 29 de la LPDP. Como último material de la investigación, se ha realizado una búsqueda sobre todas las Sanciones emitidas por dicha Autoridad de Control, a fines de establecer si dicha situación de irregularidad en el tratamiento de los datos personales por parte de las UUNN, en algún momento había sido auditada y posteriormente sancionada.

Según los datos publicados oficialmente[26] por la DNPDP, desde el año 2005 hasta el presente 2011, han sido emitidas 20 sanciones. Todas ellas han sido clasificadas en el Cuadro Anexo VII, conforme los distintos tipos de sanciones que puede establecer de acuerdo al art. 31 de la LPDP: Apercibimiento, Suspensión, Multa y Clausura del Registro.

Según el cuadro, desde un comienzo puede observarse que nunca han sido aplicadas las sanciones de Suspensión o de Clausura del Registro. Sólo en 5 ocasiones (un 25% considerando el total de 20 emitidas) se han aplicado sanciones de multas económicas, y en todo el resto de los casos (75%) se han aplicado sólo apercibimientos a los infractores.

En estas sanciones impuestas, no se ha encontrado ninguna relacionada con el ámbito de las Universidades Nacionales, hasta incluso se puede mencionar.

Desde una perspectiva positiva se puede rescatar que a medida que han avanzado los años (sobre todo en el 2010) la actividad de control y sanción por parte de la DNPDP ha ido incrementándose (puede verse que al comienzo era una sanción por año). Sin embargo, debe reconocerse que la actividad de control y posterior sanción está muy por debajo de los números esperados, cuestión que impacta de manera directa con la eficacia de la ley en relación al real cumplimiento de la protección de los datos personales.

Se considera como escasa la actividad, a la luz de una comparación con Agencias de PDP similares, como lo podría ser la Agencia Española de Protección de Datos Personales (modelo que Argentina ha seguido), en donde en el año 2009[27], se han resuelto 709 procedimientos sancionadores, con un total de ingresos por multas económicas de 24.872.979 € (casi 25 millones de euros).

Conclusiones.

En la actualidad, la información es un activo imprescindible en todas las organizaciones, y su importancia está presente en todos los ámbitos de actividad. Dentro de las UUNN, los datos personales son una de las más habituales y principales especies de información, tanto por su función educativa que cumplen como establecimientos de utilidad nacional, así como por la magnitud y caudal^[28] que se ha demostrado en este trabajo.

Sólo 7 de 46 de las UUNN posee sus bases debidamente inscriptas, y dentro de este 15% que representan, existen también diferentes niveles de cumplimiento. Es decir que el 85% de las UUNN en nuestro país se encuentran en una situación irregular en cuanto a la licitud de los datos personales que administran.

De los Dictámenes analizados, queda reflejado por el propio Director de la DNPDPque cada Facultad de cada Universidad, debe respetar los principios y obligaciones de la LPDP, debiendo tener registradas sus bases y cumpliendo con todos los principios en el tratamiento de los datos personales..

Para finalizar, y dada mi situación como estudiante de una Universidad Nacional, expreso a través de esta investigación un deseo de toma de conciencia sobre la importancia de la adecuación en el tratamiento de los datos personales. Esto  debe ser fomentado tanto por el interés de los propios titulares de los datos (alumnos) al ejercer sus derechos, así como de una propia conducta responsable de los Directivos de estas instituciones educativas, quienes deben adecuar sus gestiones al tratamiento adecuado exigido por la normativa argentina.

Cuadro Anexo I

Cuadro Anexo II

Cuadro Anexo III

Cuadro Anexo IV

Cuadro Anexo V

Cuadro Anexo VI

Cuadro Anexo VII