Ley de Protección de los
Datos Personales
Se encuentra vigente la Ley 25.326 cuyo objeto es la protección integral de los datos personales para garantizar:
a) el derecho al honor y la intimidad de las personas;
b) el acceso a la información registrada sobre las mismas.
La misma legisla sobre la garantía constitucional establecida
en el artículo 43, párrafo tercero de
“Toda persona podrá interponer acción
para tomar conocimiento de los datos a ella referidos y de su finalidad, que
consten en registros o bancos de datos públicos, o los privados destinados a
proveer informes, y en caso de falsedad o discriminación, para exigir la
supresión, rectificación, confidencialidad o actualización de aquellos. No
podrá afectarse el secreto de las fuentes de información periodística”
Aclaración terminológica previa
La ley define indistintamente los términos “archivo”, “registro” “base de datos” o “banco de datos”, como aquel conjunto organizado de datos personales que son objeto de tratamiento o procesamiento, sin importar la manera en que:
a) se constituyan,
b) se almacenen u organicen,
c) la forma en que se pueda acceder a ellos, ni
d) el volumen o cantidad de los datos almacenados
Por razones de comodidad, en las líneas siguientes utilizaré, para referirme a todos ellos, la expresión “banco de datos”.
Bancos de Datos alcanzados por la ley
La ley se refiere a datos
personales, no a cualquier tipo de dato. En consecuencia, los bancos de datos alcanzados por la ley,
son aquellos que contienen datos
personales.
Por datos personales debe entenderse cualquier información referida a personas (físicas o de existencia ideal), determinadas o determinables.
La protección legal no se limita a aquellos datos que sean objeto de tratamiento electrónico, sino que se extiende a todos los datos que se encuentren en archivos, registros, bancos de datos o cualquier otro medio técnico que permita su tratamiento.
Abarca tanto los asientos de datos públicos, cuanto los privados, pero – en el caso de bancos de datos privados – se limita a aquellos “destinados a dar informes”.
Esta expresión suscita una polémica:
a) conforme a una interpretación amplia, todos los bancos de datos que excedan el uso personal de su titular, se encuentran alcanzados por la ley;
b) conforme a una interpretación más restringida, la ley solamente se refiere a los bancos de datos que proporcionan informes a personas distintas de su titular;
Para fundar la interpretación amplia, se afirma que todo banco de datos, está destinado a dar informes (aunque sea exclusivamente al titular del mismo) y que su sola formación configura un hecho que, genera riesgos para los intereses que la ley intenta proteger, añadiéndose que en ningún lugar la ley sostiene que la información deba estar destinada a terceros.
Se busca así ampliar la posibilidad que las personas ejerzan las acciones tendientes a la protección de su intimidad y honor; el derecho a conocer cuál sea la información que, sobre ellas, se encuentre registrada y – en determinados casos – a solicitar la rectificación o supresión de dicha información..
Siguiendo esta línea argumental, el decreto reglamentario dispuso que el concepto de “banco de datos privado destinado a dar informes” designa a aquellos que:
a) que exceden el uso exclusivamente personal; y
b) a los que tienen como finalidad la cesión o transferencia de datos personales (sea a título oneroso o a título gratuito).
La aparición de una sola de estas características, hace (conforme al decreto) que el banco de datos se encuentre incluido en las disposiciones de la ley.
Más allá de la validez de la motivación para una interpretación amplia del texto de la ley, como lo hace el decreto reglamentario, lo cierto es que, si todos los bancos de datos están destinados a dar informes no se termina de entender cuál sea el sentido de la expresión “destinados a dar informes” (pues nada agregaría a la noción de banco de datos).
La expresión “destinados a dar informes” que figura en el artículo primero de la ley, debe interpretarse, en mi modo de ver, como limitando, de alguna manera, el concepto de banco de datos. Es por ello que no soy partidario de la que he denominado, interpretación amplia.
Lo que sí queda claro es que un banco de datos puede estar destinado a dar informes a terceros, sin que sea éste el objetivo de la actividad de su titular.
El sentido común y la finalidad de la ley, deberán ayudar a dilucidar cada caso concreto. Pero lo cierto es que queda abierto un margen de incertidumbre, no deseable, que la jurisprudencia deberá dilucidar en el futuro.
Pero debe tenerse presente
que la opinión doctrinaria actualmente mayoritaria, lo dispuesto por el decreto
reglamentario y la opinión de
Están expresamente
excluidas de la ley las encuestas de opinión, mediciones y estadísticas
relevadas conforme a ley 17.622 (
La Inscripción en el Registro Nacional de Bases de
Datos
Los Bancos de Datos, alcanzados por la ley, deben ser
inscriptos (registrados) en el Registro
Nacional de Bases de Datos, llevado por
De este modo, se garantiza que toda persona, dirigiéndose a dicha Dirección, pueda conocer qué bancos de datos, existen, cuáles son sus finalidades y quiénes son sus responsables.
La aprobación de dicha inscripción, permite utilizar – en la
página web del responsable del Banco de Datos inscripto – un isologotipo. Para
ello es necesario un trámite ante
Los Bancos de Datos formados a partir de la implementación del Registro Nacional de Bases de Datos (01 de agosto de 2005 para los privados y 03 de abril de 2006 para los públicos), solo pueden ser puestos en marcha una vez cumplido el requisito de inscripción.
En cambio, aquellos que preexisten a dicha implementación, tienen un plazo para inscribirse que, luego de sucesivas postergaciones, vencerá – conforme las disposiciones hoy vigentes – el 30 de abril de 2006 para los privados.
La inscripción tiene una validez anual, debiendo solicitarse su renovación dentro del plazo de cuarenta y cinco días corridos anteriores a la fecha de vencimiento.
La registración del banco de datos debe comprender la siguiente información:
a) nombre y domicilio del responsable;
b) características y finalidad del archivo;
c) naturaleza de los datos personales contenidos en cada archivo;
d) forma de recolección y actualización de los datos;
e) destino de los datos y personas físicas o de existencia ideal a las que pueden ser transmitidos;
f) modo de interrelacionar la información registrada;
g) medios utilizados para garantizar la seguridad de los datos (detallando las personas con acceso al tratamiento de la información);
h) tiempo de conservación de la información registrada;
i) forma y condiciones en que los titulares de los datos pueden acceder a los mismos para ejercer los derechos que le otorga la ley;
Si se tratara de un banco
de datos con fines de publicidad, existe la posibilidad que el titular o usuario
del banco de datos integre una
Cámara o Asociación y que la misma cuente con un Código de Conducta al que, deban adherir obligatoriamente todos sus
miembros. Si este código de conducta es homologado por
Debe quedar claro que
lo que se debe inscribir es la existencia del banco de datos (proporcionando
la información antes detallada). No se
debe, ni puede, transferir el contenido del mismo (es decir, la información
registrada en el banco de datos).
La ley exime expresamente
de la obligación de inscripción, a los particulares que formen banco de datos destinados a un uso
exclusivamente personal. Pareciera entonces que la obligación de inscripción
solamente alcanzaría a algunos bancos de
datos. Sin embargo, conforme lo dispuesto por el decreto reglamentario,
respecto de cuáles sean los bancos de
datos alcanzados por la ley (la que he llamado “interpretación amplia”), es
claro que no existen excepciones a la
obligación de inscripción.
Reitero
que, la opinión doctrinaria actualmente mayoritaria, y la opinión de la
Autoridad de Aplicación (
Quedarían
incluidas conforme a esta interpretación, las bases de datos de personal, las
bases de datos de clientes, las bases de datos de proveedores, las bases de
datos publicitarias y de marketing directo (ver http://www2.jus.gov.ar/dnpdp/index.html,
vínculo “Registro Nacional” “¿Qué es el Registro”, apartado destinado a la
inscripción de bases de datos en su estado al 09 de abril de 2006).
La falta de solicitud de inscripción es una infracción
que puede determinar la aplicación de una multa de hasta tres mil pesos ($
3.000,00). En cambio, la falta de inscripción cuando la misma ha sido requerida
por
El trámite de inscripción puede iniciarse a través de
la página web de la Dirección de Datos Personales, alojada en el sitio del Ministerio de Justicia y Derechos Humanos (http://www.jus.gov.ar/), donde se encuentran
los programas a utilizar e instrucciones a seguir.
Otras Obligaciones y normas a considerar
La obligación de inscripción, es solamente una de las impuestas por la ley.
Finalidad lícita: se establece expresamente que los archivos de datos no pueden tener finalidades contrarias a las leyes o a la moral pública.
Calidad de los datos: los datos recolectados deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para el que se hubieren obtenido. Se exige su destrucción cuando han dejado de ser necesarios o pertinentes a la finalidad para la que fueron recolectados, aún sin petición expresa de la personal involucrada (tema este que debe ser tenido en consideración en diversos casos: exámenes preocupacionales de salud correspondientes a personas no incorporadas, información proporcionada exclusivamente para participar en ciertas competencias, concursos o postulaciones, etc.)
No es suficiente una genérica “veracidad” de los datos: la ley exige su exactitud, completitud y actualidad (lo que obliga al titular del banco de datos a actualizarlos, completarlos o suprimirlos cuando ello fuere procedente para el mantenimiento de la calidad de los mismos).
Destino de los datos: No pueden ser utilizados para finalidades distintas de las que hubieran motivado su recolección (ni para finalidades que fueren incompatibles con ellas).
Posibilidad de acceso del titular: el almacenamiento debe ser efectuado en modo tal que su titular (que es la persona a la que los datos se refieren), pueda tener acceso a ellos. En determinadas condiciones, el titular de los datos tiene el derecho a solicitar su rectificación o supresión.
Pautas de la recolección: la recolección debe respetar las pautas previstas por la ley, en particular, no puede hacerse por medios desleales o fraudulentos.
El consentimiento del titular de los datos. La recolección de los datos, exige el consentimiento libre, expreso e informado del titular de los mismos.
Dicho consentimiento, que deberá instrumentarse por escrito o por un medio que – conforme las circunstancias – sea equiparable al instrumento escrito, deberá indicar los datos para cuya recolección se lo presta, por lo que si estuviera incorporado en otras declaraciones de la persona, deberá aparecer en forma destacada, indicando los datos para los cuales es otorgado.
No solo no es suficiente un consentimiento tácito, sino que quien presta consentimiento debe ser anoticiado previamente sobre:
a) los datos que serán recolectados;
b) la finalidad de la recolección y tratamiento de los mismos;
c) quiénes pueden ser los destinatarios (es permitida su designación en forma genérica);
d) la existencia del banco de datos en que serán alojados;
e) nombre y domicilio del responsable de tal banco de datos;
f) carácter obligatorio o facultativo de las respuestas a las preguntas formuladas;
g) consecuencias de proporcionar o no los datos requeridos;
h) consecuencias de brindar dichos datos en forma inexacta;
i) derecho del interesado
de acceder a dichos datos, solicitar su rectificación o supresión.
Toda esta información debe ser proporcionada en forma
adecuada al nivel cultural de quien
Es importante entonces tener presente que la recolección de los datos aludidos por la ley hecha sin conocimiento del titular de los mismos (por ejemplo mediante procedimientos electrónicos invisibles para quien accede a un determinado sitio web) configura un procedimiento ilícito.
Innecesariedad de recabar el consentimiento. El consentimiento para la recolección de datos personales no es necesario cuando:
a) los mismos son obtenidos de fuentes de acceso público e irrestricto;
b) se recaban para el ejercicio de funciones propias de los poderes del Estado;
c) se recaban en función de una obligación legal;
d) derivan de una relación contractual, científica o profesional, siendo necesarios para su desarrollo o cumplimiento;
e) se trata de la información
recibida por entidades financieras, con motivo de operaciones realizadas por
ellas, conforme lo previsto por el artículo 39 de la ley 21.526 (se trata de
los casos alcanzados por el secreto bancario). El decreto reglamentario
considera entidades financieras a: las personas alcanzadas por la Ley de
Entidades Financieras, a las emisoras de tarjetas de crédito, a los
fideicomisos financieros, a las entidades financieras liquidadas por el Banco
Central de
f) Tampoco se requiere el consentimiento del titular cuando los datos son recabados con finalidad publicitaria, y se obtienen de fuentes accesibles al público, para conformar perfiles de preferencias y comportamientos similares de las personas. Pero es necesario que el titular de los datos solamente quede identificado por su pertenencia a esos grupos genéricos con más los datos estrictamente necesarios para que se le formulen ofertas. También podrán utilizarse, con el mismo condicionamiento, aquellos que hayan sido facilitados por el titular de los datos u obtenidos con su consentimiento.
En particular, el
consentimiento no es requerido para la recolección del nombre, documento
nacional de identidad, identificación tributaria, identificación previsional,
ocupación, fecha de nacimiento y domicilio.
El consentimiento otorgado, puede ser revocado en cualquier momento, pero dicha revocación no tiene efecto retroactivo.
Los datos sensibles. Existe una categoría de datos, denominada datos sensibles. Se trata de los datos personales que revelan origen racial, étnico, opiniones políticas, convicciones religiosas filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
Nadie puede ser obligado a proporcionar datos sensibles, los que solamente pueden ser recolectados cuando existan razones de interés general autorizadas por la ley.
Quiere entonces decir que el proporcionar datos sensibles es una facultad de su
titular (no puede ser obligado, pero puede hacerlo si lo desea). Sin embargo,
aún cuando el titular decida voluntariamente proporcionarlos, la formación de bancos de datos sensibles
está, como principio, prohibida, con las siguientes excepciones:
a) cuando la ley lo autoriza expresamente;
b) con finalidad científica, siempre y cuando no pueda identificarse a los titulares de los datos;
c) los registros que, de sus propios miembros, lleven
d) los datos relativos a antecedentes penales, pero solamente por las autoridades públicas, competentes (no cualquiera) y en el marco de las leyes y reglamentaciones respectivas;
e) los relativos a la salud (física o mental) que pueden ser recolectados y tratados por los sanatorios (públicos o privados) y por los profesionales vinculados a las ciencias de la salud, cuando se trate de pacientes que acudan a los mismos, estén o hubieran estado bajo su tratamiento, respetando el secreto profesional.
Esta normativa debe tenerse expresamente en cuenta en relación al destino de datos recolectados con una finalidad autorizada por la ley, pero que posteriormente pierde actualidad (por ejemplo: los exámenes preocupacionales de salud correspondientes a personas que, posteriormente, no son incorporadas a una empresa).
Seguridad. Los bancos
de datos deben reunir condiciones técnicas de integridad y seguridad, que
eviten la adulteración, pérdida, consulta o tratamiento no autorizado. Está
prohibido registrar datos personales
en bancos de datos que no las reúnan
La adopción de estas medidas corresponde al responsable del banco de datos (o sea el titular del mismo) y el usuario (que es quien realiza a su arbitrio el tratamiento de los datos, sea que estén en un banco de datos propio o conectándose a dichos bancos).
Los parámetros de dichas medidas de seguridad serán definidos
por
Tanto el titular de un banco de datos, cuanto las personas que intervengan en cualquier etapa del tratamiento de los mismos, quedan obligados por el secreto profesional. Respecto de estas últimas, dicho deber de secreto subsiste aún luego de terminada su relación con el titular del banco de datos.
La cesión de datos personales. Los datos personales motivo de tratamiento, solo pueden ser cedidos respetando ciertas pautas:
a) que exista un interés legítimo del cedente y del cesionario;
b) que el titular de los datos haya dado, previamente, su consentimiento (el que requiere los mismos requisitos que el necesario para la recolección de los datos);
c) que quien otorgó el consentimiento para la cesión de los datos, haya sido previamente informado respecto de la finalidad de la cesión y quién será el cesionario (lo que puede hacerse proporcionándole los datos para su identificación);
d) este consentimiento puede ser revocado;
El requisito del consentimiento con la cesión no es exigido cuando:
1) existe una disposición legal;
2) no fuera necesario para la recolección de los datos;
3) se trate de una cesión entre dependencias del Estado (en forma directa y en la medida del cumplimiento de sus respectivas competencias);
4) se trate de datos relativos a la salud y la cesión sea necesaria por razones de salud pública, emergencias o realización de estudios epidemiológicos (pero preservando la identidad de los titulares mediante los mecanismos de disociación adecuados);
5) la información cedida haya
sido objeto de procedimientos de disociación (cuyos estándares serán
establecidos por
6) que se trate de servicios de información crediticia relacionados con el giro de la actividad comercial o crediticia de los cesionarios;
La cesión de los datos hace que el cesionario quede sujeto a las mismas obligaciones a que estaba el cedente (y el cedente permanece solidariamente responsable con el cesionario por el cumplimiento de las mismas).
Si la cesión de datos fuera internacional, solo se encuentra
permitida respecto de países u organismos (internacionales o supranacionales),
que proporcionen adecuados niveles de seguridad (cuya evaluación está a cargo
de
a) se trate de casos de colaboración judicial internacional;
b) se trate de intercambios médicos para el tratamiento de un afectado o en una investigación epidemiológica y se hubiera realizado la disociación de la información;
c) se trate de transferencias bancarias o bursátiles realizadas respetando la legislación aplicable;
d) se realice en el marco de tratados internacionales de los que nuestro país sea parte;
e) tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo o el narcotráfico;
f) el titular de los datos la hubiere permitido expresamente;
g) se realice desde un registro público, legalmente constituido para facilitar información al público en general (o a cualquier persona que tenga un interés legítimo
Derechos del titular de los datos
Toda persona tiene derecho a conocer:
a) qué datos personales (de los que sea titular) se encuentren registrados en un banco de datos público o privado destinado a proveer informes;
b) cuál es la fuente o medio por el que se obtuvieron;
c) las finalidades para las que se recabaron;
d) el destino previsto para dichos datos;
e) si el banco de datos se encuentra inscripto.
Si el titular de los datos hubiere fallecido, este derecho corresponde a sus sucesores universales.
La ley otorga, también, el derecho a que dichos datos personales sean rectificados, actualizados, y – si correspondiere – suprimidos o sometidos a confidencialidad.
Es importante tener presente que no existe el derecho a la supresión cuando la misma pueda lesionar intereses legítimos de terceros o bien exista la obligación legal de conservar la información (la que puede originarse en disposiciones legales o contractuales originadas en acuerdos en los que haya intervenido el titular de los datos).
En particular, en toda comunicación publicitaria, se debe indicar en forma expresa y destacada la posibilidad del titular de los datos de solicitar el retiro o bloqueo – total o parcial – de su nombre de la base de datos.
Los acuerdos para el tratamiento de datos
También se condiciona la prestación de servicios de tratamiento de datos personales por cuenta de terceros:
1. es necesario un contrato expreso del que resulte que se actúa conforme a las instrucciones del responsable y que el encargado del tratamiento debe adoptar las obligaciones de seguridad previstas por la ley;
2. no se puede alterar el destino de los datos;
3. los datos no pueden ser cedidos a terceros (ni siquiera para su conservación);
4. terminado el tratamiento, los datos deben ser destruidos, salvo acuerdo expreso en el que se prevea su conservación para ulteriores tratamientos, pero dicha conservación no puede exceder los dos años.
Los servicios de información crediticia
Los servicios de información crediticia, solamente pueden tratar datos personales relativos a la solvencia económica y crediticia, cuando son obtenidos de fuentes accesibles al público o proporcionados por el interesado o con consentimiento del mismo.
Si se trata de datos referidos al cumplimiento o incumplimiento de obligaciones de contenido patrimonial, deben haber sido facilitadas por el acreedor o por quien actúe por su cuenta o interés.
Debe tratarse de datos relativos a los últimos cinco años (plazo que queda reducido a dos años cuando se ha cancelado o extinguido la obligación, circunstancia que debe figurar en el archivo).
Buenos Aires, 16 de abril de 2006