El día 30 de julio de 2024, bajo el N.º IF-2024-79800235-APN-DNPDP#AAIP, fue ingresada ante la Agencia de Acceso a la Información Pública (AAIP, por sus siglas) la denuncia contra Meta Argentina por el uso indiscriminado de datos personales de sus usuarios para el entrenamiento de su modelo de inteligencia artificial (IA).

La AAIP es el organismo encargado de supervisar y garantizar el derecho de acceso a la información pública y la protección de los datos personales en Argentina. Funciona bajo la órbita de la Jefatura de Gabinete de Ministros de la Nación y tiene como objetivo promover la transparencia en la administración pública y proteger los derechos de privacidad de los ciudadanos en relación con sus datos personales.

Entre sus principales funciones, se encuentran: garantizar el acceso a la información pública de toda la ciudadanía; supervisar el cumplimiento de la Ley de Protección de Datos Personales N.º 25.326, asegurando que los datos sean tratados de manera adecuada y segura; y promover la transparencia mediante el impulso de prácticas de gobierno abierto y transparencia en la gestión.

Varios son los puntos en los que se basa la denuncia referida, todos vinculados a la falta de transparencia y explicabilidad respecto de uso de datos personales de los usuarios de Meta.

Si bien aún no se ha revelado el contenido completo de la presentación ante la AAIP dada la reciente fecha de inicio, algunos de los puntos más relevantes se han dado a conocer. La denuncia fue realizada por los Dres. Facundo Malaureille y Daniel Monastersky, abogados expertos en privacidad y protección de datos personales en Argentina.

Si bien la denuncia consta de 22 requerimientos a Meta, los más destacables son aquellos en los que se solicita presentar:

  • Actualizaciones de la política de privacidad y evidencia del consentimiento del usuario.
  • Una evaluación de impacto en la privacidad (PIA, por sus siglas en inglés) conforme a las directrices argentinas.
  • Explicaciones técnicas sobre los procesos de anonimización de datos y garantías de su irreversibilidad.
  • Aclaraciones sobre cómo se previene la reidentificación de datos anonimizados.
  • Información sobre el manejo de metadatos y datos sensibles en el proceso de anonimización.
  • Detalles sobre las políticas de retención y destrucción de datos.

Asimismo, se requiere a la AAIP—en el marco de sus facultades como autoridad de aplicación de la Ley 25326—que realice una auditoría independiente de los procesos de Meta en Argentina y que establezca directivas sobre los estándares de anonimización de datos aceptables en Argentina.

La noticia no tardó en difundirse en distintos medios de comunicación de amplia difusión del país.

El diario La Nación publicó el día 31 de julio de 2024 una nota periodística en la que se describen algunos detalles de la denuncia. En ella se explica que los denunciantes solicitan a Meta que aclare cómo preserva la intimidad de los datos personales de sus usuarios, que utiliza para mejorar su IA.

La Nación explicó cómo los abogados Facundo Malaureille y Daniel Monastersky exigieron a Meta explicaciones sobre sus prácticas de recolección y uso de datos, y solicitaron una auditoría independiente de estos procesos en Argentina. Además, se mencionaron las implicaciones y riesgos para los derechos fundamentales de los usuarios que, por el momento, no encuentran las garantías de protección adecuadas.

Por su parte, el portal especializado en privacidad y ciberseguridad de Argentina llamado Privacy & Cyber en foco publicó en sus redes la noticia enfatizando la urgente necesidad de actualizar la normativa de protección de datos de Argentina.

Otros medios periodísticos anunciaron la noticia reflejando el creciente interés y preocupación de la ciudadanía por la protección adecuada de sus datos personales.

La situación no es diferente en la región y la Unión Europea

Esta denuncia se suma a una sanción aplicada en otro país de Latinoamérica. Durante el mes de junio de 2024 la Agencia Nacional de Protección de Datos (ANPD) de Brasil determinó la obligatoriedad de Meta a suspender de manera inmediata la Política de Privacidad de Meta para el uso de datos personales para el entrenamiento de sus modelos de IA generativa en el país. Se trata de una medida preventiva que suspende el tratamiento de datos personales en todos los productos de Meta, incluidos los de quienes no son usuarios registrados de las plataformas de la BigTech.

Meta fue intimada a adaptar su política de privacidad para excluir la sección relacionada con el tratamiento de datos personales para el entrenamiento generativo de IA, según la ANPD. También deberá presentar una declaración oficial manifestando haber suspendido el tratamiento de datos personales para ese fin.

Por otro lado, en el mes de junio, Meta fue denunciada en once países de Europa por la misma actividad en varios países del viejo continente. La Unión Europea (UE) declaró que Meta posee acciones violatorias de normas de privacidad digital con su modelo binario conocido como consent-or-pay (también, pay-or-okay (paga o traga)) para el uso de datos personales. Ello infringiría la Ley de Mercados Digitales de la UE, la cual constituye un pilar fundamental en la regulación del sector, junto con la Ley de Servicios Digitales de la UE.

La comisión antimonopolio de la UE busca, según declaraciones de su propia titular, dar a los ciudadanos la posibilidad de tomar el control sobre sus propios datos y de poder elegir una experiencia de anuncios menos personalizada. Ello se enmarca en el principio de auto soberanía y autogobierno que debe regir para todos los usuarios respecto de la gestión de sus datos personales.

Actualmente, en la UE no se encuentra disponible el nuevo modelo de IA Llama 3.1 a fin de evitar eventuales sanciones por parte de la Comisión Europea por violación al Reglamento General de Protección de Datos.

Conclusiones

Volviendo a Argentina, cabe destacar que, de momento, se encuentra en espera de análisis por parte del Congreso un proyecto de reforma de la ley de protección de datos personales. Esta reforma tiene como objetivo actualizar la legislación vigente para adaptarla a las realidades actuales, donde los datos personales son frecuentemente utilizados por grandes compañías tecnológicas sin que los titulares de dichos datos cuenten con las garantías adecuadas. Este proyecto busca proporcionar una protección robusta a la privacidad de los ciudadanos, asegurando que las empresas manejen los datos personales de manera responsable y transparente, en línea con los estándares internacionales y las mejores prácticas en protección de datos.

En este contexto, el rol de la AAIP en Argentina se vuelve crucial. Como organismo encargado de supervisar y garantizar la protección de los datos personales, la AAIP debe asegurar que las empresas cumplan con las leyes de privacidad y que los derechos de los ciudadanos sean respetados.

A modo de conclusión, nos hacemos eco de las motivaciones de los denunciantes en cuanto a buscar una posición proactiva de la AAIP en la regulación del uso de datos personales para el entrenamiento de sus sistemas de IA. Y agregamos, no solo de la IA, sino también para cualquier uso que pretendan hacer de nuestros datos personales sin los recaudos y garantías adecuadas.

La privacidad y la intimidad son derechos humanos esenciales protegidos por diversos instrumentos internacionales y la legislación nacional de Argentina. Su respeto y protección son fundamentales para garantizar la dignidad y la libertad de las personas en cualquier sociedad. La falta de actualización o modernización del marco normativo argentino en materia de protección de datos no puede, ni debe, ser una justificación para que las grandes tecnológicas utilicen indiscriminadamente nuestros datos personales por lo que exigimos a las autoridades tomar la intervención que les compete en este asunto de extrema relevancia no solo para los usuarios de Argentina sino también para la sociedad en su conjunto.


Raquel Sofía Mass es responsable del cumplimiento en H&CO Global Advisors, Latinoamérica y miembro de la IAPP.