Bienvenidos al blog de hábeas data financiero y protección de datos personales

Bienvenidos al blog de hábeas data financiero y protección de datos personales


Invito a participar en este espacio a los interesados en la protección de datos personales, con la finalidad del enriquecimiento conjunto y colaboración con la sociedad.

Toda persona tiene derecho a conocer sus datos personales, que se encuentren en archivos, bases o bancos de datos y en caso de falsedad o discriminación, exigir la supresión, rectificación, confidencialidad o actualización de aquéllos.

En Argentina, la protección de datos personales se rige principalmente por el artículo 43, párr. 3º de la Constitución Nacional, la ley 25.326 y su decreto reglamentario 1558/2001.


Pueden dejar comentarios, sugerencias o enviar artículos de interés para ser publicados en este blog.


E-mail: contacto@habeasdatafinanciero.com


domingo, 8 de septiembre de 2024

TRASHING

 


INAI advierte sobre el peligro del "Trashing" y cómo proteger tus datos personales

El trashing es una práctica que consiste en buscar datos personales desechados sin precaución en la basura, lo que puede llevar a fraudes, extorsiones o robos de identidad

diego Araiza

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) ha emitido una recomendación para que la población tome conciencia sobre una práctica cada vez más común y peligrosa: el "trashing". Este término, que en inglés se refiere a la recolección de información en la basura, implica el riesgo de que personas no autorizadas accedan a datos personales desechados sin precaución, exponiendo a los titulares a posibles fraudes, extorsiones o robos de identidad.

¿Qué es el "Trashing"?

El "trashing" es una técnica que consiste en buscar información personal en la basura, ya sea en los recibos de servicios domésticos como luz, gas, agua, o en facturas de compras en línea, así como en equipos electrónicos que no han sido limpiados adecuadamente antes de ser desechados. Esta práctica es aprovechada por delincuentes para recolectar datos que podrían utilizarse en contra de los propietarios, generando un riesgo considerable de estafas y otros delitos.

Recomendaciones del INAI para evitar el "Trashing"

Para prevenir esta amenaza, el INAI recomienda a la ciudadanía tomar medidas específicas al momento de deshacerse de documentos o dispositivos que contengan datos personales. Algunas de estas recomendaciones incluyen:

1. Destruir documentos sensibles: Tachar o destruir documentos con información personal antes de tirarlos, como estados de cuenta, boletas de calificaciones, facturas de servicios, y cualquier recibo de compra que incluya datos del titular de una tarjeta de crédito o membresía.

2. Eliminar datos de etiquetas de paquetería: Borrar la información personal de las etiquetas de los paquetes recibidos por compras en línea.

3. Borrar de forma segura la información de dispositivos electrónicos: Si se va a cambiar de teléfono o computadora, es crucial realizar un borrado seguro de los datos personales, siguiendo las recomendaciones del INAI sobre métodos de borrado seguro.

4. Revisar frecuentemente el buzón: Recoger la correspondencia regularmente y destruir cualquier documento que no sea necesario conservar.

El INAI también pone a disposición la “Guía para el Borrado Seguro de Datos Personales”, donde se detalla cómo eliminar de forma definitiva y segura la información almacenada en equipos de cómputo y dispositivos electrónicos, minimizando el riesgo de que esta información pueda ser recuperada y utilizada indebidamente.

El INAI advierte que la falta de conocimiento y de medidas preventivas en el manejo de datos personales es un factor que facilita el "trashing". La información que se desecha sin la debida protección puede ser recopilada y utilizada con fines delictivos, afectando no solo la privacidad sino también la seguridad financiera y personal de los ciudadanos.

Para minimizar estos riesgos, es fundamental que tanto ciudadanos como organizaciones adopten prácticas seguras en la gestión de datos personales. Las recomendaciones del INAI están diseñadas para fortalecer la protección de la privacidad y evitar incidentes de seguridad que puedan derivar en consecuencias económicas y morales para los afectados.

https://www.cronica.com.mx/nacional/inai-advierte-sobre-peligro-trashing-proteger-tus-datos-personales.html


domingo, 10 de marzo de 2024

Tribunal Supremo. Derecho al olvido.

 A propósito del derecho al olvido: nueva sentencia del Tribunal Supremo

La sentencia ofrece claridad en un debate aún vigente en la doctrina jurídica, especialmente acerca de los avances informáticos que afectan el tratamiento de datos personales y la libertad de expresión

Hace escasas semanas, se acudía al Tribunal Supremo para defender en sede de casación, la normativa sobre protección de datos personales en relación a personas fallecidas y defender la prevalencia en la ponderación del derecho a la supresión (derecho al olvido) de los datos de personas fallecidas, a petición de los familiares, frente a los derechos de información, libertad de expresión e investigación histórica.

La situación se encuentra a la espera de la resolución judicial sobre el particular, pero se ha dado a conocer recientemente una Sentencia del Tribunal Supremo, de la misma materia (colisión entre derecho a la libertad de información y expresión y derecho al olvido, aunque de personas vivas) que se analizará en este artículo.

Se trata de la Sentencia de 21 de diciembre de 2023, dictada por la Sección Tercera de la Sala de lo Contencioso Administrativo del Tribunal Supremo, que resuelve el litigio suscitado entre un particular que recurría contra la Agencia Española de Protección de Datos, que había dado la razón a Google, no apreciando vulneración de su derecho al honor, y no retirando, por tanto, varios enlaces que el particular consideraba atentatorios.

La Sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional desestimó el 24 de junio de 2022 el recurso interpuesto, considerando que existía un legítimo interés de los internautas a tener acceso a las publicaciones de Google, habida cuenta de la repercusión social de dicho proceso penal.


El particular, decide acudir al Tribunal Supremo y plantear como cuestión de interés casacional, si tiene incidencia la calidad en qué se intervenga en un proceso penal, del que se revele dicha información. El particular había intervenido como testigo en un proceso penal de corrupción, y consideraba que las publicaciones sobre su citación, eran falsas y dañaban su fama y propia estimación.

Pues bien, el Tribunal Supremo parte recordando la doctrina jurisprudencial del Tribunal Constitucional, concretamente la contenida en la STC 58/2018, de 4 de junio y en la ulterior STC 89/2022, de 29 de junio, que se pronuncian sobre el denominado «derecho al olvido«.

Derecho al olvido

El derecho al olvido es una vertiente del derecho a la protección de datos personales frente al uso de la informática que se consagra en el art. 18.4 CE y es también un mecanismo de garantía para la preservación de los derechos a la intimidad y al honor, con los que está íntimamente relacionado, aunque es un derecho autónomo.

Este derecho otorga a su titular el derecho a obtener la supresión de los datos personales de una determinada base que los contuviera, o como establece el art. 17 RGPD, es un derecho a obtener la supresión de los datos personales que le conciernan del responsable del tratamiento cuando concurran alguna de las condiciones establecidas en dicho precepto, tratándose de un derecho autónomo que encuentra un ámbito de protección específico e idóneo en el art. 18.4 CE.

En cuanto a los criterios que han de considerarse en la ponderación de este derecho y el de la libertad de información y expresión, se establece por la jurisprudencia propia del derecho constitucional (STC 58/2018) que, la libertad de información constituye, no sólo un derecho fundamental de cada persona, sino también una garantía de la formación y existencia de la opinión pública libre que, al ser condición previa y necesaria para el ejercicio de otros derechos inherentes al funcionamiento de un sistema democrático, se erige en uno de los pilares de una sociedad libre y plural.

El Tribunal Europeo de Derechos Humanos insiste en que la prensa juega un papel esencial en una sociedad democrática, en la medida en que le incumbe comunicar, en cumplimiento de sus deberes y de sus responsabilidades, informaciones e ideas sobre todas las cuestiones de interés general. Ideas e informaciones que, igualmente, nuestro Tribunal ha considerado fundamentales para conformar una opinión pública libre y plural, capaz de adoptar decisiones políticas a través del ejercicio de los derechos de participación contenidos, principalmente, en el artículo 23 CE.

En esta medida, la libertad de información puede llegar a ser considerada prevalente sobre los derechos de la personalidad garantizados por el artículo 18.1 CE, no con carácter absoluto sino caso por caso, en tanto la información se estime veraz y relevante para la formación de la opinión pública, sobre asuntos de interés general, y mientras su contenido se desenvuelva en el marco del interés general del asunto al que se refiere. En suma, el derecho al olvido respecto de las hemerotecas, puede ceder frente a la libertad de información en determinados supuestos.

La jurisprudencia emplea así un canon para dirimir la colisión entre el derecho a la información y los derechos de la personalidad.

En primer término, la información transmitida debe ser veraz. El requisito de veracidad, no insta a que los hechos sean rigurosamente verdaderos, sino que se entiende cumplido en los casos en los que el informador haya realizado, con carácter previo a la difusión de la noticia, una labor de averiguación de aquéllos con la diligencia exigible a un profesional de la información. Por tanto, también queda protegida por el derecho fundamental incluso la noticia errónea, siempre que haya precedido dicha indagación y que el error no afecte a la esencia de lo informado.

 

Y, junto a la veracidad, la protección constitucional de la libertad de información, y su eventual prevalencia sobre los derechos de la personalidad, exige que la información se refiera a hechos con relevancia pública, en el sentido de sean noticiables. La notoriedad pública de la información, viene determinada tanto por la materia u objeto de la misma, como por razón de la condición pública o privada de la persona a que atañe.

Destaca en esta Sentencia el Tribunal Supremo un matiz importante, no incluido en otras anteriores sobre la materia: el carácter noticiable también puede tener que ver con la «actualidad» de la noticia, es decir, con su conexión, más o menos inmediata, con el tiempo presente; de modo que, si se refiere a un hecho sucedido hace años, sin ninguna conexión con un hecho actual, puede haber perdido parte de su interés público o de su interés informativo.

Por otro lado, y como señala el Tribunal en lo que a los motores de búsqueda de Google se refiere, tienen como particularidad que pueden afectar significativamente a los derechos fundamentales de respeto de la vida privada y de protección de datos personales, toda vez que dicho tratamiento permita a cualquier internauta obtener mediante la lista de resultados una visión estructurada de la información relativa a esta persona que puede hallarse en Internet, que afecta potencialmente a una multitud de aspectos de su vida privada que, sin dicho motor, no se habrían interconectado o sólo podrían haberlo sido muy difícilmente y que le permite de este modo establecer un perfil más o menos detallado de la persona de que se trate.

Pues bien, partiendo de todas las consideraciones anteriores, con especial hincapié en la Jurisprudencia extensa del Tribunal de Justicia de la Unión Europea, concluye el más alto Tribunal que, el particular, no era una persona pública, ni había adquirido notoriedad, pero las noticias publicadas se ciñen a su intervención como testigo en un proceso penal relevante, y sin que se refiera la información a su vida privada.

Por tanto, la Sala concluye que el derecho a la información y el interés público a la información veraz, prevalece sobre el derecho al olvido propugnado, al concurrir un interés público y un interés manifiesto en la opinión pública, sin que las noticias sobre su intervención como testigo en una causa penal tengan un contenido peyorativo o una connotación negativa o perjudicial para el interesado, amén de que no implica participación en los hechos delictivos.

En opinión de quienes suscriben, se trata de una sentencia importante, que viene a clarificar una cuestión jurídica discutida y discutible todavía hoy en la doctrina (desde la tradicional prensa escrita y la colisión entre el derecho al honor y la libertad de información). Y más si cabe, en un tiempo en el que el desarrollo informático, no solo de los motores de búsqueda, sino también de las aplicaciones web, traen consigo cambios a los que todos han de adaptarse, siempre por supuesto, cumpliendo unos estándares mínimos de seguridad, rigurosidad, y objetividad en el tratamiento de datos.

 

https://www.economistjurist.es/articulos-juridicos-destacados/a-proposito-del-derecho-al-olvido-nueva-sentencia-del-tribunal-supremo/

viernes, 9 de febrero de 2024

Países adecuados

 

Argentina y Uruguay, nuevamente declarados países adecuados para la transferencia internacional de datos

El 15 de enero de 2024, la Comisión Europea (“la Comisión”) concluyó la revisión de 11 declaraciones de países adecuados ya existentes, entre los que se incluyen Argentina y Uruguay. En su informe, la Comisión concluye que los datos personales transferidos desde la Unión Europea a Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay siguen gozando de garantías adecuadas de protección de datos. Por lo tanto, las decisiones de adecuación adoptadas para estos 11 países y territorios siguen en vigor y los datos pueden seguir fluyendo libremente a estas jurisdicciones.

 

En los casos de Argentina y Uruguay, la Comisión valoró la adhesión por parte de ambos países al Convenio N° 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y la ratificación del Protocolo de modificación que crea el Convenio 108+ modernizado. Asimismo, entendió que las autoridades públicas de ambos países están sujetas a reglas claras, precisas y accesibles para el acceso y uso de datos transferidos desde la Unión Europea con fines de interés público, especialmente en la aplicación de la ley penal y la seguridad nacional.

 

En Argentina, la Comisión consideró además la independencia de la autoridad de control de protección de datos como consecuencia de la creación de la Agencia de Acceso a la Información Pública a través del Decreto 746/17, y el gran número de normas y dictámenes vinculantes que aclaran cómo debe interpretarse y aplicarse en la práctica el marco de protección de datos emitido por dicha autoridad. Por último, la Comisión recomendó la aprobación del Proyecto de Ley de Protección de Datos recientemente presentado en el Congreso argentino, con el fin de incorporar las protecciones desarrolladas a nivel sub legislativo y fortalecer el marco de privacidad. Actualmente, dicho Proyecto se encuentra bajo revisión de la Comisión de Asuntos Constitucionales de la Cámara de Diputados.

 

Con respecto a Uruguay, la Comisión valoró las enmiendas a la Ley 18.331 de Protección de Datos Personales y de acción de Habeas Data que ampliaron el alcance territorial de la legislación de protección de datos, crearon nuevos requisitos de rendición de cuentas (como las evaluaciones de impacto, protección de datos por diseño y por defecto, notificación de incidentes de seguridad y el nombramiento de delegados de protección de datos) e introdujeron protecciones adicionales para los datos biométricos.

 

Según el Reglamento General de Protección de Datos, la decisión de ratificación permanece vigente 4 años y luego puede revisarse, verificando los acontecimientos que puedan afectar la decisión adoptada. La reivindicación de Argentina y Uruguay como países adecuados para la transferencia internacional de datos apuntala la economía digital en dichos países y desempeña un papel fundamental en el crecimiento y la innovación.

 

Por Mariano Peruzzotti, Candela Basilotta y Andrea Sanchez Vicentini

https://abogados.com.ar/index.php/argentina-y-uruguay-nuevamente-declarados-paises-adecuados-para-la-transferencia-internacional-de-datos/34271

 


lunes, 13 de junio de 2022

Olvido digital

 

La ley del olvido: Uruguay ordena a Google eliminar búsquedas de datos personales

La justicia uruguaya sentencia a Google a desindexar datos personales. ¿De qué trata?

 https://rpp.pe/tecnologia/google/la-ley-del-olvido-uruguay-ordena-a-google-eliminar-busquedas-de-datos-personales-noticia-1410796?ref=rpp


 

jueves, 14 de abril de 2022

Reconocimiento facial


En buenahora!!!

 Proteccion de Datos Personales - Seguridad

LA JUSTICIA PORTEÑA SUSPENDIÓ EL SISTEMA DE VIGILANCIA Y RECONOCIMIENTO FACIAL

13 abril, 2022
Lo decidió el juez Roberto Gallardo tras detectar que fue utilizado para acceder a datos biométricos de personas que no estaban siendo buscadas. La medida fue tomada sobre la base de un informe que la Defensoría presentó en febrero de este año, en el que proponía la realización de "estudios previos de constatación del éxito de la herramienta para evitar vulneraciones de los derechos de las personas".

En el marco del amparo “OBSERVATORIO DE DERECHO INFORMÁTICO ARGENTINO O.D.I.A. SOBRE OTROS PROCESOS INCIDENTALES - AMPARO – OTROS”, el juez en lo Contencioso, Administrativo y Tributario de la Ciudad, Roberto Gallardo, ordenó ayer una batería de medidas de prueba para constatar con qué fines fueron solicitados los datos biométricos de millones de personas y además reafirmó que debe permanecer suspendido el Sistema de Reconocimiento Facial (SRF).

Para ello, el magistrado tomó como base un informe presentado en febrero de 2022 por la Defensoría del Pueblo de la Ciudad de Buenos Aires en esa causa, donde Gallardo aseguró que la institución respondió punto por punto el requerimiento judicial. En el fallo se tomaron algunas sugerencias realizadas en relación a la necesidad de realizar estudios de impacto a la privacidad y la obligación de inscribir las bases de datos en el registro creado por la ley 1845.

En este sentido, el juez hace referencia a la ley 6339, que reforma la Ley 5688 de Seguridad Pública, y manifiesta que para la Defensoria “corresponde realizar estudios previos de constatación del éxito de la herramienta para evitar vulneraciones de los derechos de las personas y propuso con destacado tino seguir la guía para la evaluación de impacto en la protección de datos, quien, vale reiterar, es el órgano de control en todo lo que respecta al tratamiento de datos personales”.

A este respecto, como organismo defensor de los derechos y garantías de las personas, la Defensoría realizó recomendaciones de carácter legal al momento de discutir esa reforma en la Legislatura porteña. Allí se mencionaron cuestiones relacionadas a los posibles sesgos en los sistemas de inteligencia artificial utilizados, las posibles fallas y planes de respuesta. Además, se abordó la necesidad de controlar este tipo de herramientas, informar a la población y sobre todo analizar en el caso concreto si cumplen con el principio de proporcionalidad y necesidad.

Desde 2019 la Defensoría ha realizado diversas acciones a través de su Coordinación Operativa de Seguridad Ciudadana y Violencia Institucional y el Centro de Protección de Datos Personales. Inicialmente se hicieron pedidos de informes, se efectuaron más de cuatro constataciones en el Centro de Monitoreo Urbano y se realizaron reuniones con los titulares del CONARC (Consulta Nacional de Rebeldías y Capturas), José María Guerrero y Lisandro Catalán. Asimismo, en el marco de la visita oficial a país del Relator Especial de las Naciones Unidas sobre el derecho a la privacidad, Joseph Cannataci, se mantuvo una reunión con él donde se abordó el tema del SRF, que hacía muy poco tiempo había sido implementado, y se observaron las reservas que él mismo presentaba.

Además, desde la Defensoría se trabajó para contribuir a la depuración de la base de datos del CONARC, la cual presentaba errores de tipeo en información personal fundamental. Un ejemplo público de esto fue el caso de Guillermo Ibarrola quien, por un problema de tipeo en su número de DNI, fue detenido por error en la terminal de Retiro y quedó preso, acusado de haber cometido un robo en Bahía Blanca. A los seis días fue liberado. Este no fue el único caso, la Defensoría participó en otros cinco similares.

La Defensoria del Pueblo de la Ciudad Autónoma de Buenos Aires seguirá trabajando en la supervisión del sistema de reconocimiento facial, como así también de otras técnicas de vigilancia masiva, para garantizar la seguridad democrática y evitar que se vulneren los derechos y garantías de los ciudadanos y ciudadanas

miércoles, 19 de enero de 2022

Capacitación digital

 Proteccion de Datos Personales

EL CPDP TRABAJA JUNTO A LOS ADULTOS MAYORES EN EL ACCESO A LA TECNOLOGÍA

18 enero, 2022
Desde el año pasado, el Centro de Protección de Datos Personales (CPDP) de la Defensoría adaptó su propuesta para seguir trabajando en reducir la brecha digital y brindar herramientas para la integración y una invitación al aprendizaje permanente.
  • e participación, colaboración y vínculos interinstitucionales, y en estos tiempos de pandemia, el equipo del CPDP adaptó su propuesta para seguir trabajando principalmente en acompañar a las personas mayores que necesitan apoyo para poder estar de algún modo en contacto y seguir aprendiendo a transitar los desafíos que propone la vida en la nueva sociedad de la información y la comunicación. 

Para ello, es fundamental seguir el camino en vistas de reducir la brecha digital y brindar herramientas para la integración, ya que la tecnología exige a todos un aprendizaje permanente. El derecho a la privacidad, el cuidado y la protección personal de los datos a la hora de conectarse a Internet continúa siendo el compromiso de toda el área. 

Las capacitaciones que brindan tienen dos públicos destino. Por un lado, los asistentes, así como también los coordinadores y equipos de trabajo de los Centros de día del GCBA. El objetivo de las mismas es la difusión de la ley y los derechos que allí se exponen, y dotar de herramientas para poder hacer uso a las nuevas tecnologías de manera segura, desnaturalizando los prejuicios e ideas negativas que están asociadas con las personas mayores, y los miedos asociados al uso de las TIC 's. 

Por el otro, se dictan cursos virtuales gratuitos en el marco de los convenios firmados con el programa "Experiencias universitarias para personas mayores" de la Secretaría de Cultura de la UTN sede Buenos Aires y con el Instituto Universitario Hospital Italiano de Buenos Aires.


En esta oportunidad y teniendo presente los intereses del alumnado se brindaron dos niveles de capacitación. El primero de ellos estuvo orientado en introducirlos en la protección personal de los datos personales, alentando el uso y acceso a las nuevas tecnologías de manera segura desnaturalizando los prejuicios -propios y de terceros- y los miedos asociados al uso de las TIC 's. 

En el Nivel 2 se invitó a los participantes a reflexionar y ampliar los conocimientos brindados previamente sobre los datos personales, sus derechos y la importancia en la era de la información y comunicación.  

Cabe mencionar que, en dichos cursos, se aborda la protección de datos personales desde la perspectiva de la sociedad del conocimiento, con una mirada transdisciplinaria, debatiendo sobre los cambios socioculturales y sus efectos directos en nuestra vida cotidiana. A su vez, se intenta ampliar las herramientas que están al alcance de los adultos mayores, incrementando su conocimiento para ejercer sus derechos con plenitud. 

Para inscripción e informes comunicate con:

https://defensoria.org.ar/noticias/el-cpdp-trabaja-junto-a-los-adultos-mayores-en-el-acceso-a-la-tecnologia/

martes, 2 de noviembre de 2021

Borrón y cuenta nueva. Colombia

 Diario del Sol

https://diariodelsur.com.co/local/el-presidente-duque-sanciono-ley-de-borron-y-cuenta-nueva


El presidente Duque sancionó ley de ‘Borrón y cuenta nueva’

Luego de casi dos meses de haber pasado y superado la revisión constitucional, el presidente Iván Duque sancionó la ley de 'Borrón y cuenta nueva', con la que comienza a regir una modernización de la Ley de Habeas Data.

Según cálculos del jefe de Estado y de los promotores de la iniciativa, alrededor de 10 millones de ciudadanos saldrán beneficiados.

" Acabamos de sancionar la Ley de ‘borrón y cuenta nueva’ con la que se beneficiarán cerca de 10 millones de colombianos, que se encuentran reportados en centrales de riesgo y que podrán restablecer calificación positiva para acceder a créditos de vivienda, educación o adquisición de bienes", afirmó el presidente Duque.

 

Desaparecen reportes negativos

 

El senador y autor del proyecto, Luis Fernando Velasco, aseguró que "con esta firma, de entrada se borran 7 millones de reportes negativos que tenían los colombianos.

“Si usted hace 6 meses se puso al día, hizo un acuerdo de pago o pagó, ya tiene derecho al beneficio inmediato. Pero además, se sigue hacia adelante contando ese alivio, de manera que seguimos sacando a los colombianos de los reportes negativos del Habeas Data", expresó Velasco.

Agregó que "si usted es estudiante y tiene crédito con el Icetex, o mujer rural, víctima de la violencia, sector turismo, tiene una Mypime, lo tienen que borrar de inmediato apenas se ponga al día, ya sea porque pague o haga un acuerdo de pago".

 

Una gran ayuda

 

Por su parte, el senador del Partido Conservador David Barguil, también autor, señaló que "la amnistía va a ayudar a darle oportunidades a alrededor estos 10 millones de ciudadanos, que volverán a ser sujetos de crédito. El compromiso del Gobierno es que antes de la salida del presidente la ley tendrá plenos efectos, estará vigente".

Por ello, anunció que los ciudadanos tendrán un espacio de 'quejas', por si no se les permite acceder al beneficio. "Queremos ponerles a su disposición el portal www.LeydeBorronyCuentaNueva, donde van a encontrar todos los beneficios de la ley, el ABC de la misma, y tendrán un canal de denuncias y de comunicación con nosotros, para acompañarles. Que los colombianos reciban este beneficio y tengan una segunda oportunidad", precisó.

Además, según recordó Velasco, con esta iniciativa "arreglaremos también todos los problemas de la suplantación de identidad; miles y miles de colombianos tiene ese problema. Con la ley, en 10 días se arreglará. Y no le pueden pedir un reporte de una base de datos, la más conocida es Datacrédito, para ver si firma o no firma un contrato laboral; eso queda prohibido".

jueves, 25 de febrero de 2021

Vacunación. Acceso a la información

 

Publicación realizada por la Agencia de Acceso a la Información Pública

Acceso a la información, datos personales y vacunación contra el COVID19

La Agencia de Acceso a la Información Pública comunica una serie de criterios sobre cómo deben tratarse los datos de aquellas personas que hayan sido vacunadas contra el coronavirus COVID19. En este sentido, se indican a continuación algunos de los principios fundamentales de la regulación vigente en materia de protección de datos personales y acceso a la información pública.

Cuando un sujeto obligado ante la Ley 27.275 de Acceso a la Información Pública entrega o publica cualquier información que contenga datos personales -proactivamente o ante un pedido de acceso a la información pública- ello constituye una cesión de datos personales efectuada “en virtud de una obligación legal” (art. 1 de la Ley 27.275; y art. 5, inciso 2 (b) y art. 11, inciso 3 (a) y 3 (b) de la Ley 25.326 de Protección de Datos Personales). Sin embargo, tal como ha sostenido la Agencia en diversas oportunidades, ante una colisión de ambos derechos es necesario hacer un análisis de interés público, que debe realizarse casuísticamente. En cada caso puede ser diferente el riesgo a la privacidad que puede materializarse ante la publicación o no de un dato personal, así como el interés público que puede revestir una cierta pieza de información.

En un contexto de crisis sanitaria, tanto en el país como a nivel mundial, y la escasez general de vacunas, existe un gran interés público de conocer cómo se distribuyen, así como si la distribución está siendo realizada conforme al "Plan Estratégico para la Vacunación contra la COVID-19 en la República Argentina", publicado en el sitio web del Ministerio de Salud de la Nación el 23 de diciembre de 2020.

Por último, cabe destacar que la Oficina de las Naciones Unidas contra las Drogas y el Delito ha publicado recientemente un artículo donde ha opinado que "[l]os gobiernos deberán garantizar transparencia al establecer los criterios utilizados para determinar destinatarios prioritarios de la vacuna y también asegurarse de que sea comunicado ampliamente a la población", y que “[l]os principios de igualdad de respeto, reciprocidad y legitimidad […] debe[n] aplicarse desde el principio en su distribución y asignación.”

Teniendo en cuenta lo anterior, la Agencia informa que, en principio, es posible distinguir tres escenarios a la hora de tratar información personal sobre vacunación:

1. Datos de vacunación en general

En el contexto de la crisis sanitaria actual, la Agencia entiende que los datos de quienes hayan sido vacunados contra el COVID19 según la normativa elaborada por el Ministerio de Salud, y cumpliendo los turnos y etapas correspondientes, podrán ser publicados de forma disociada. Es decir, se podrá publicar datos básicos como edad y sexo de la persona, fecha de vacunación, etapa del plan de vacunación, pero no aquellos datos que permitan identificarla (por ejemplo, su nombre, número de DNI o identificación tributaria). De esta manera, la ciudadanía podrá conocer si la vacuna fue administrada conforme al plan de vacunación oficial o no y, al mismo tiempo, se resguardará la privacidad de los titulares de los datos.

Sin embargo, se podrán divulgar datos que permitan la identificación personal únicamente en caso que esa persona haya prestado su consentimiento libre, expreso e informado (art. 5, Ley 25.326). Para que el consentimiento sea libre, la cesión de la información debe hacerse de manera totalmente voluntaria: la negativa a ceder la información personal no debe resultar en un perjuicio para el titular del dato (por ejemplo, que la vacuna no sea administrada si el titular del dato no está dispuesto a ceder su información personal).

2. Funcionarios y empleados públicos

Si bien la Ley 27.275 establece en su art. 8 inciso (i) que los sujetos obligados pueden exceptuarse de proveer información cuando “contenga datos personales”, el Decreto 206/2017, reglamentario de la Ley 27.275, esclarece el alcance de dicha excepción al establecer que “[l]a excepción [de datos personales] será inaplicable cuando el titular del dato haya prestado consentimiento para su divulgación; o cuando de las circunstancias del caso pueda presumirse que la información fue entregada por su titular al sujeto obligado con conocimiento de que la misma estaría sujeta al régimen de publicidad de la gestión estatal; o cuando los datos estén relacionados con las funciones de los funcionarios públicos. Asimismo, los sujetos obligados no podrán invocar esta excepción si el daño causado al interés protegido es menor al interés público de obtener la información.”

Asimismo, mediante la Resolución 48/2018, la Agencia ha establecido algunos criterios generales para determinar cuándo una información es de interés público, herramienta que sirve para realizar la ponderación anteriormente mencionada. Serán considerados de interés público aquellos datos que estén relacionados con “la transparencia en la gestión pública”; “asuntos necesarios para ejercer el control político sobre las instituciones”, “hechos que refieran a la administración de fondos públicos, a la malversación de fondos (o enriquecimiento ilícito) o al

incumplimiento en el ejercicio de funciones públicas"; y toda otra cuestión “atinente a personas que actúan en un ámbito público, como funcionarios públicos o políticos”.

La información relativa a si un funcionario o empleado público ha recibido una vacuna contra el COVID19 debe ser, entonces, considerada pública, en tanto como establece el Decreto 206/2017, la Resolución 48/2018 y la jurisprudencia internacional:

- Cuentan con una menor expectativa de privacidad que el resto de las personas.

- La compra de las vacunas fue realizada con fondos públicos.

- La ciudadanía debe poder controlar a quien el Estado argentino considera "personal estratégico".

Por otra parte, su acceso a la vacunación no es por una cuestión de salud sino que lo es como personal estratégico, por lo que no le caben las previsiones vinculadas a la protección de datos sensibles.

3. Personas que pudieran haber accedido a la vacuna contra el COVID19 por fuera del plan oficial y las etapas allí establecidas

Por último, cabe hacer referencia al supuesto de aquellas personas que no hubieran sido vacunadas conforme a las etapas asignadas mediante el plan oficial de vacunación.

Dado el estado de situación de la crisis sanitaria, y en el supuesto de personas que hayan accedido al beneficio excepcional de vacunación desde el Estado por fuera del plan oficial, la Agencia entiende que, en este caso en donde también existe una colisión de derechos, el interés público en conocer quiénes accedieron de manera irregular a un bien, por el momento escaso, es superior al potencial daño individual que pudiera tener la persona involucrada, todo de acuerdo con lo estipulado en las Leyes 27.275 y 25.326. El control ciudadano sólo puede realizarse si la información que se publica es veraz, completa y oportuna.

Como se manifestó anteriormente, cualquier análisis que implique un test de interés público o una prueba de daño requiere tener en cuenta, también, el contexto en que se produce la colisión de derechos o de normas. En este supuesto caso, la escasez de vacunas, la ausencia de previsión en cuanto a la llegada de nuevas dosis y las consecuencias sanitarias de la pandemia influyen en la resolución de este conflicto normativo y de derechos.

Para más información sobre cómo realizar un pedido de acceso a la información pública, ingresá en https://www.argentina.gob.ar/solicitar-informacion-publica.

Y para más información sobre cómo realizar una denuncia por incumplimientos a la Ley de Protección de Datos Personales, ingresá en

https://www.argentina.gob.ar/denunciar-incumplimientos-de-la-ley-de-proteccion-de-datos-personales.


viernes, 20 de marzo de 2020

Proyecto de ley


DATOS PERSONALES EN EL ÁMBITO  FINANCIERO EN EL  NUEVO PROYECTO DE LEY DE PROTECCION DE DATOS PERSONALES.

Por Matilde S. Martínez *

PRELIMINAR
Oportunamente, y a propósito de la convocatoria a la comunidad que realizó la Dirección Nacional de Protección de Datos Personales, para participar de la modificación de la ley 25.326 para adaptarla a la nueva normativa europea RGPD Reglamento UE, 679/2016, vigente desde el 25/05/2018,   habíamos desarrollado una propuesta de reforma de dicha ley, en cuanto al tratamiento de los datos personales en los Servicios de información crediticia.
El nuevo proyecto de ley que se ha elaborado en el ámbito de la Dirección Nacional de Protección de Datos Personales, hoy dependiente de la Agencia  Nacional de Acceso a la Información Pública,  oportunamente fue girado al Poder Ejecutivo y elevado a la Cámara de Diputados de la Nación en el mes de setiembre de 2018 para el tratamiento parlamentario correspondiente y su posterior sanción, lo que hasta la fecha no ha acontecido.
No obstante ello hemos elaborado un análisis  del proyecto sobre los cambios del tratamiento de los datos para la prestación de servicios de información crediticia y un comparativo con la legislación española en la misma temática. Tal análisis se encuentra anexado al documento elaborado como propuesta de la reforma de la ley al final del mismo, publicando aquí la totalidad del documento: propuesta y análisis del tema modificado, con el título “Datos personales en el ámbito financiero en el nuevo proyecto de ley de protección de datos personales”, es decir Parte I y Parte II, respectivamente.

PARTE I.
PROTECCIÓN DE DATOS PERSONALES   FINANCIEROS EN EL MARCO DE LA PROPUESTA DE REFORMA DE LA LEY 25.326
INTRODUCCIÓN
La Dirección Nacional de Protección de Datos Personales ha impulsado una reforma de la ley 25.326 de Protección de los Datos Personales. Con tal fin ha elaborado una propuesta con los temas que deberían ser modificados o agregados en consonancia con la nueva regulación europea, Reglamento UE, 679/2016[1], la que entrará en vigor en 2018. Consideramos muy acertada la propuesta señalada, en relación a la reforma del art. 26 de la LPDP, acerca del cómputo de los plazos de caducidad de los datos negativos, pues desde que se sancionó la ley, este es un tema que ha obtenido distintas posturas tanto doctrinarias como jurisprudenciales, pero se le debe a la sociedad una solución definitiva que otorgue certidumbre a los distintos actores de ésta, es decir: afectados, responsables de ficheros, profesionales, magistrados de los tribunales judiciales, etc. Igualmente opinamos en relación a las distintas notificaciones a los titulares de los datos referidas en la propuesta indicada. Por ello hemos de permitirnos realizar un análisis del origen de la  norma en cuestión y su trayectoria para llegar a una opinión acerca de la hipotética reforma del artículo 26 de la ley 25.326 con respecto a los puntos señalados.
LA PROPUESTA DE LA DNPDP EN RELACIÓN A  LOS DERECHOS Y OBLIGACIONES DE LOS SERVICIOS DE INFORMACIÓN CREDITICIA.  ART. 26 DE LA LPDP
“En tal sentido, se propone la determinación del momento a partir del cual deben contarse los plazos en que está permitido archivar, registrar o ceder datos personales significativos para evaluar la solvencia económico-financiera de los afectados. Asimismo, se entiende aconsejable regular aquellos casos de información significativa que renueva el plazo de información de una deuda en mora. Finalmente, se propone que el acreedor, antes de ceder información de incumplimientos patrimoniales a los bancos de datos que prestan servicios de información crediticia, deberá notificar previamente al deudor, con lo que se le está dando a éste la oportunidad de cancelar y/o controlar la exactitud de la información que se va a ceder a terceros; y se propicia establecer la obligación de informar cuando se utiliza un informe de riesgo crediticio para denegar la celebración de un contrato, solicitud de trabajo, servicio, crédito comercial, bancario o financiero, por cuanto se ha detectado que en la práctica muchas personas se enteran luego y de manera indirecta, los motivos por los cuales se les ha negado un crédito o un producto financiero; a lo que se suma que a veces se les niega también la entrega del informe y deben investigar por sus propios medios cuál es la empresa que los ha informado, afectando así sus derechos constitucionales.”[2]

ANTECEDENTES
Nuestra legislación referente a la protección de datos personales encuentra sus raíces en la normativa de la Unión Europea. Efectivamente las leyes protectorias en la materia, en los Estados de la Unión deben respetar las disposiciones de la Directiva 46/95[3] del Consejo de Europa y el Parlamento Europeo de 24 de noviembre de 1995. Esta Directiva no establece normas específicas para la recolección y tratamiento de este tipo de información, pero los Estados partes han considerado que se encuentra legitimado en el artículo 7° de “Principios relativos a la Legitimación” en su inc. f) es decir cuando “… es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por terceros a quién se le comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado.”
En el Nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que comenzará a regir a partir  de mayo del año 2018, esta misma norma se encuentra en el artículo 6° de “Licitud del tratamiento” en su inc. f).
Podemos decir que nuestra ley 25.326[4] es una adaptación a nuestro país de la LORTAD (Ley Orgánica de Tratamiento Automatizados de Datos de Carácter Personal) española, la que fue reemplazada por la Ley Orgánica 15/1999[5] de carácter Personal de 13 de diciembre de 1999.
Esta ley en su art. 29  establece las directivas que ha de regir la “Prestación de servicios de información crediticia sobre solvencia patrimonial y crédito”. Los inc. 1 y 2 del art. señalado dispone que tipo de datos podrán ser objeto de tratamiento. 1. Los datos  de carácter personal sobre  solvencia patrimonial y el crédito. 2. Los datos de carácter personal de cumplimiento o incumplimiento de obligaciones dinerarias. Con referencia  a las notificaciones al titular de los datos, en su inc. 2. dispone que “…se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley.” En el inc. 4. del mismo art. establece que “Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos.” Es decir, se notificará a los interesados en el plazo de 30 días desde la registración de los datos en ficheros morosos de aquellos que han sido incluidos. Los datos deberán ser determinantes para enjuiciar la solvencia económica de los interesados. Y cuando los datos sean adversos no podrán ser anteriores a 6 años.
Pero a través del Reglamento de Desarrollo de la Ley el Real Decreto 1720/2007[6], art. 38 y siguientes se establecieron otros requisitos de procedencia para la inclusión de los datos de carácter personal en los ficheros de morosos concordantes con las disposiciones de la LOPD.
Así el mencionado art. 38 del RLRD de “Requisitos para la inclusión de datos” dispone 1. Que los datos de carácter personal deberán ser determinantes para enjuiciar la solvencia económica del afectado, y que además deberán concurrir los siguientes requisitos: a) existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada; b) que no hayan trascurrido seis años desde la fecha en que hubo procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquella fuera de vencimiento periódico. Es decir, desde que se produce la mora. c) Debe existir requerimiento previo de pago a quien corresponda el cumplimiento de la obligación. Además, el acreedor o quien actúe por su cuenta o interés quedan obligados a conservar documentación que acredite el cumplimiento de estos requisitos. También, el responsable del fichero común, (ej. Agencias de informes crediticios) deberá notificar a los interesados la inclusión en su fichero dentro del plazo de 30 días desde dicho registro (art. 40 LOPD).
Antes del dictado del mencionado Real Decreto de 2007, estos requisitos se habían dispuesto a través de la Instrucción 1/1995 de la Agencia Española de Protección de Datos Personales  bajo el título Calidad de los Datos.
De la normativa española podemos observar que determina con precisión el momento en que ha de computarse el plazo de 6 años para la comunicación de los datos adversos o negativos: desde la registración de los mismos. Estos requisitos de notificaciones tanto del acreedor como del responsable del fichero común español fueron otorgados a los afectados como compensación por la excepción de  exigibilidad de prestación del consentimiento.

La prestación de servicios de información crediticia en la ley 25.326.
Requisitos para la inclusión en los ficheros de morosos.
Ahora bien, recordemos que el proyecto de ley de protección de datos personales en Argentina ingresó al Congreso de la Nación en el año 1998. Este proyecto, en el art. 26, al final del inc. 2° contenía un párrafo que no fue incluido en la ley 25.326 finalmente sancionada. El párrafo aludido exigía requisitos para la inclusión de los datos negativos en las bases de datos de morosos en los siguientes términos: “Los datos relacionados con el incumplimiento de obligaciones dinerarias sólo podrán tratarse si concurren los siguientes recaudos: a) Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impaga; b) Requerimiento previo de pago a su deudor o a quien corresponda el cumplimiento de la obligación”.[7] Pero finalmente el art. 26 de nuestra LPDP sobre “Prestación de servicios de información crediticia” quedó sancionado sin la exigencia de estos requisitos siendo su texto vigente el siguiente:
ARTICULO 26. — (Prestación de servicios de información crediticia).
1. En la prestación de servicios de información crediticia sólo pueden tratarse datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por el interesado o con su consentimiento.
2. Pueden tratarse igualmente datos personales relativos al cumplimiento o incumplimiento de obligaciones de contenido patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o interés.
3. A solicitud del titular de los datos, el responsable o usuario del banco de datos, le comunicará las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y domicilio del cesionario en el supuesto de tratarse de datos obtenidos por cesión.
4. Sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico-financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo extinga la obligación, debiéndose hace constar dicho hecho.
5. La prestación de servicios de información crediticia no requerirá el previo consentimiento del titular de los datos a los efectos de su cesión, ni la ulterior comunicación de ésta, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.

Pero la ley no sólo no exige los requisitos mencionados sino que al contrario establece que el interesado podrá saber las evaluaciones o apreciaciones que sobre el mismo se hayan comunicado durante los últimos seis meses a su solicitud, es decir que es el interesado quien debe requerirlo del responsable del archivo, estableciendo además que no se requerirá el consentimiento del afectado ni la ulterior comunicación por parte de las empresas de informes crediticios.
La falta de los requerimientos señalados en la práctica no ha resultado muy feliz, pues  ha contribuido al perjuicio de los afectados que como sabemos, en muchas ocasiones se enteran al momento de intentar realizar una operación de crédito y la misma les es rechazada por figurar en las bases de datos personales con datos negativos en el cumplimiento de sus obligaciones, cuando en muchas oportunidades se trata de mala calidad de los datos (por ej. homonimia) o incluso cuando hayan podido ser deudores, con la intimación de pago podrían haber regularizado la situación o aclarado los conflictos. Todo ello ha llevado a una mayor litigiosidad y a una falta de seguridad y seriedad en los informes crediticios, los que deberían ser elementos importantes para evaluaciones de crédito responsables,   han implicado un escollo para toda la sociedad.
También podemos mencionar en relación a los requisitos mencionados, el proyecto de reforma del art. 26 de la ley 25.326 elaborado por el ex Senador Nacional Carlos Alberto Rossi de setiembre de 2005, inspirado en el fallo de la CSJN “Martínez”[8] y otras injusticias, donde proponía que se incluyera la siguiente disposición en el inc. 3°  “En todos los casos, los datos relacionados con el incumplimiento de obligaciones dinerarias sólo pueden tratarse si concurren los siguientes recaudos: a) Existencia previa de una deuda cierta, vencida y exigible, que haya sido impaga; b) Requerimiento previo y fehaciente de pago a su deudor o a quien corresponda el cumplimiento de la obligación, y c) En tanto no exista un principio de prueba documental que aparentemente contradiga alguno de los requisitos anteriores.” Y el inc. 4 proponía: “El responsable o usuario del banco de datos deberá comunicar fehacientemente al titular de los datos, las informaciones, evaluaciones y apreciaciones que fueran a registrarse o asentarse, y su derecho a recabar, rectificar, ampliar o suprimir la información concerniente según los términos de la ley. Pasados diez días desde la notificación, la omisión de respuesta, facultará el asiento de los datos, sin perjuicio del derecho del titular a rectificación, actualización o supresión posterior. El incumplimiento de las previsiones contenidas en los incisos 3 y 4, dará lugar a las sanciones administrativas previstas en el artículo 31, a más de las acciones judiciales que pudieren corresponder.”[9] Lamentablemente este proyecto de reforma no prosperó.

Cómputo del tiempo de permanencia.
En cuanto al plazo de caducidad de los datos por el transcurso del tiempo, el art. 26 de la LPDP que venimos analizando en su inc. 4. establece que sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico  financiera de los afectados durante los últimos 5 años y que dicho plazo se reducirá a 2 años cuando el deudor cancele o extinga la obligación. La norma   no establece a partir del momento que se deberá realizar el cómputo de los 5 o de los 2 años. Lo que parecería no acarrear ninguna duda es que en cuanto a los 5 años, la ley no exige que la obligación haya sido cancelada o extinguida, pues aclara que será de 2 años cuando precisamente se haya cancelado o extinguido la obligación. Y así fue, los legisladores en los debates parlamentarios se plantearon reiteradamente la voluntad de favorecer a aquellas personas que hubieran cumplido con sus obligaciones dinerarias.[10] 
Con el dictado del Decreto Reglamentario 1558/2001 se intentó regular a partir de qué  momento comenzaría el cómputo del plazo de 5 y 2 años, pero su complicada redacción no ha logrado otra cosa que, tanto doctrina como jurisprudencia, hayan realizado diversas interpretaciones no habiéndose zanjado todavía esta problemática hermenéutica. Así el art. 26 del dec. en cuestión, en la parte pertinente al cómputo del plazo textualmente dice:
“…Para apreciar la solvencia económico-financiera de una persona, conforme lo establecido en el artículo 26, inciso 4, de la Ley Nº 25.326, se tendrá en cuenta toda la información disponible desde el nacimiento de cada obligación hasta su extinción. En el cómputo de CINCO (5) años, éstos se contarán a partir de la fecha de la última información adversa archivada que revele que dicha deuda era exigible. Si el deudor acredita que la última información disponible coincide con la extinción de la deuda, el plazo se reducirá a DOS (2) años. Para los datos de cumplimiento sin mora no operará plazo alguno para la eliminación.
A los efectos del cálculo del plazo de DOS (2) años para conservación de los datos cuando el deudor hubiere cancelado o extinguido la obligación, se tendrá en cuenta la fecha precisa en que se extingue la deuda.”
Como vemos la norma en el caso del plazo de 5 años está disponiendo que se cuente “a partir de la última información adversa archivada que revele que dicha deuda era exigible”. Esta disposición ha excedido el texto de la ley, pues ésta no se  refiere a la exigibilidad o no de la deuda. En tal sentido Peyrano ha expresado: “En el punto, la reglamentación aprobada por dec. 1558 del 2001 ha introducido disposiciones que inciden sobre la interpretación efectuada y modifican los alcances de la misma”[11] Así ha generado varios interrogativos, primero que se debe considerar por “última información adversa archivada que revele que dicha deuda era exigible”, se ha dicho que se puede considerar la interposición de la demanda, una nueva calificación por el acreedor ante la Central de Deudores del Banco Central de la República Argentina; la cesión de la deuda por parte del acreedor, etc., etc. Y en relación a partir de cuándo se debe realizar el cómputo también ha generado variadas interpretaciones tanto doctrinarias como jurisprudenciales.
También el cómputo del plazo de los 2 años tiene su propia problemática, pues del texto de la norma surge que comenzará a partir de la cancelación de la deuda. Ello podría ocasionar desventajas en el deudor que quiera ejercer el derecho de cumplir con su obligación de pago, pues como ejemplo típico podríamos citar un deudor que paga a los 4 años desde que se produjo la mora, si contamos 2 años a partir de ese momento no se produciría la caducidad hasta los 6 años, mientras que si no cumple con la obligación de cancelar o extinguir la obligación a los 5 años, depende de cada interpretación, la caducidad podría producirse a  los 5 años.
Por ello consideramos que puede plantearse la inconstitucionalidad del  párrafo del dec. 1558/2001 referido al cómputo del plazo de caducidad por apartarse de las prescripciones de la ley 25.326, reglamentaria del art. 43, párr. 3°, de la Constitución nacional.[12]
Otros antecedentes relevantes que merecen ser citados en relación al tema que nos ocupa los podemos encontrar: 1) en la Opinión de la Procuración del Tesoro de la Nación. Ante la importancia del tema y las controvertidas opiniones se ha expedido la Procuración del Tesoro de la Nación en un caso concreto que se sometió a su decisión. En Dictamen PTN 388 del 20/11/2006[13], opinó en lo sustancial que las disposiciones legales que venimos analizando no requieren, “en modo alguno, la previa indagación acerca de la exigibilidad de la deuda de que se trate.” Opina que “a los efectos de establecer si un dato debe ser informado por una entidad bancaria a la Central de Deudores del Sistema Financiero, administrada por el BCRA, sólo corresponde atender a la fecha en que la deuda se tornó exigible y, a partir de allí, computar los cinco o dos años que establece el artículo 26, inciso 4°, de la Ley 25.326, según corresponda.” Considera que la norma del art. 26 inc 4 no se ve modificada por el texto del decreto 1558/01 “-ni podría serlo en razón de su menor rango normativo-”, pues, expresa que de la interpretación armónica de ambas disposiciones, cabe afirmar que cuando el decreto 1558/01 indica qué información deberá tenerse en cuenta, es “(toda la información disponible desde el nacimiento de la obligación hasta su extinción) por el plazo de cinco años, y que dicho plazo debe computarse (a partir de la fecha de la última información adversa archivada que revele que dicha deuda era exigible) desde que la obligación se tornó exigible.”
2) Posteriormente se expide la DNPDP en Dictamen 150/2007[14], cuyas conclusiones son: “a) Si se trata de obligaciones con vencimiento único o en cuotas, el plazo del denominado derecho al olvido comienza a correr a partir de la fecha en la que la deuda se tornó exigible, es decir, con prescindencia de la prescripción. b) En los casos de obligaciones con vencimiento único la mora se configura en el momento estipulado para el cumplimiento del total de la obligación y la información susceptible de ser incluida en la central de deudores sería la relacionada con el total de lo adeudado. c) En los casos de obligaciones en cuotas, la mora y, consecuentemente, el inicio del plazo del derecho al olvido se produce con el vencimiento de la primera cuota impaga y se interrumpe y reinicia con cada nuevo vencimiento en tanto el banco acreedor no haga uso de la facultad de dar por decaídos todos los plazos y exigir el pago de la totalidad de la deuda. Dentro de ese plazo y en virtud del principio de integridad del pago, se puede informar la totalidad de la deuda existente desde el inicio de la obligación.”
Tales dictámenes no son vinculantes para los tribunales de justicia por lo que parte de la jurisprudencia, quizás mayoritaria, adoptó la postura de considerar  el cómputo del plazo conforme a los parámetros señalados por los dictámenes,  mientras que la otra postura jurisprudencial fue considerar que el cómputo debe comenzar desde el momento que el acreedor deja de informar la deuda, es decir que esto sería la última información adversa que revele que la deuda era exigible. Esta postura dio lugar a que los acreedores financieros renovaran la misma información periódicamente de manera tal que el plazo del cómputo de los 5 años no pudiera comenzar transformando las prescripciones de la ley en “ilusorias”.
3) En el fallo “Nápoli”[15] de la Corte Suprema de Justicia de la Nación del 08/11/2008, el Alto Tribunal ha expresado  que el párrafo del art. 26 del decreto 1558/01 donde dispone “…a partir de la fecha de la última información adversa que revele que dicha deuda era exigible”, adolece de “imprecisión y poca claridad” acerca del momento en que comienza a correr el plazo de los cinco años, motivo por el cual ello “debe subsanarse mediante una interpretación que, sin excluir su literalidad, se ajuste estrictamente a la voluntad del legislador que dictó la ley 25.326. También se refiere a que dicho párrafo no ha sido impugnado por inconstitucional. Esta referencia formulada por la Corte en cuanto a que “-cuya constitucionalidad no ha sido impugnada-” podríamos interpretarla como una apertura a ejercer este derecho tendiente a lograr que definitivamente se obtenga la declaración de inconstitucionalidad de la parte cuestionada estableciéndose con mayor certeza el momento desde el cual debe computarse el plazo de cinco o dos años para que opere la caducidad, el que en nuestra opinión debería ser desde que la deuda se hizo exigible, es decir cuando comenzó la mora del deudor. Agrega el Alto Tribunal que: “Ha de evitarse, entonces, toda inteligencia que en los hechos implique una postergación sine die, o una excesiva tardanza en el inicio del cómputo del plazo que se examina, puesto que ello se opone al declarado propósito de lograr una reinserción del afectado en el circuito comercial o financiero. En este sentido, cuando el artículo 26 del decreto 1558/01 fija como hito, "la fecha de la última información adversa archivada que revele que dicha deuda era exigible", esta expresión debe ser entendida como el último dato -en su sentido cronológico- que ha ingresado al archivo, registro o base de datos, en la medida en que, como reza el artículo 26 de la ley 25.326, se trate de datos "significativos" para evaluar la solvencia económica-financiera de los afectados". En este orden de ideas, se adelanta que, no podrá considerarse como última información archivada, la asentada en un registro por el sólo hecho de ser la constancia final de una serie o sucesión de datos, si -como ha ocurrido en el sub examine- se trata de una mera repetición de la misma información que, sin novedad o aditamento alguno, ha sido archivada durante los meses o años anteriores.”
En relación al punto de partida del plazo, en este caso, la CSJN ha considerado que la última información adversa que revele que la deuda era exigible es la calificación 5 (irrecuperable) de la Clasificación de Deudores del Sistema Financiero que emite el BCRA.[16] Ésta establece que corresponde adjudicar dicha calificación cuando el tiempo de la mora en una obligación es mayor a un año. Es decir que el cómputo de los 5 años debe comenzar a partir del año que se informó la deuda,  ello sumaría 6 años desde que la deuda se hizo exigible.


DERECHO COMPARADO
Consideramos relevante mencionar las legislaciones  en relación a la regulación de los plazos de caducidad en algunos de los países de Iberoamérica, además de la ya analizada legislación española:

Uruguay
La ley 17.838 del 2004 de Protección de Datos Personales para ser Utilizados en Informes Comerciales y Acción de Hábeas Data, en relación a los plazos y el cómputo establece en su art. 9° lo siguiente: “Los datos personales relativos a obligaciones de carácter comercial sólo podrán estar registrados por un plazo de cinco años contados desde su incorporación. En caso que al vencimiento de dicho plazo la obligación permanezca incumplida, el acreedor podrá solicitar al titular de la base de datos, por única vez, su nuevo registro por otros cinco años.  Este nuevo registro deberá ser solicitado en el plazo de treinta días anteriores al vencimiento original. Las obligaciones canceladas o extinguidas por cualquier medio, permanecerán registradas, con expresa mención de este hecho, por un plazo máximo de cinco años, no renovable, a contar de la fecha de la cancelación o extinción.”[17]

Chile
La ley 19.628 del 1999, Sobre Protección de la  Vida Privada.  Protección de Datos de Carácter Personal chilena, lo regula en su “Artículo 18.- En ningún caso pueden comunicarse  los datos a que se refiere el artículo anterior,  que se relacionen con una persona identificada o  identificable, luego de transcurridos cinco años desde que la respectiva obligación se hizo exigible. Tampoco se podrá continuar comunicando los datos relativos a dicha obligación después de haber sido pagada o haberse extinguido por otro modo legal. Con todo, se comunicará a los tribunales de Justicia la información que requieran con motivo de juicios pendientes.[18]

Perú.
Ley 27.489 de 2001/2002 de Regulación de las Centrales Privadas de Información de Riesgos y Protección al Titular de la Información en su art. 10° (Información excluida) establece: Las CEPIRS (Centrales privadas de información de riesgos) no podrán contener en sus bases de datos ni difundir en sus reportes de créditos la siguiente información:    a) Información sensible;      b) Información que viole el secreto bancario o la reserva tributaria;      c) Información ilegal, inexacta o errónea;      d) Información referida al incumplimiento de obligaciones de naturaleza civil, comercial o tributaria, cuando (i) la obligación se haya extinguido y hayan transcurrido 2 (dos) años desde su extinción; o (ii) 5 (cinco) años desde el vencimiento de la obligación. Estos plazos no rigen si el titular ejerce el derecho de cancelación de acuerdo a lo establecido en el inciso b) del artículo 13 de la presente Ley.      El caso de los protestos se regirá por la Ley de Títulos Valores.      e) Información referida a sanciones exigibles de naturaleza tributaria, administrativa u otras análogas de contenido económico, cuando (i) hayan transcurrido 2 (dos) años desde que se ejecutó la sanción impuesta al infractor o se extinguió por cualquier otro medio legal, y (ii) 5 (cinco) años desde que se impuso la sanción.      f) Informaciones referidas al incumplimiento de otras obligaciones que no sean comerciales, civiles, tributarias, laborales o de seguros. Excepcionalmente, las CEPIRS sólo podrán contener en su banco de datos obligaciones referidas a servicios públicos cuando se haya dejado de pagar dichos servicios por el titular de la información durante 6 (seis) meses continuos.      g) Información referida a la insolvencia o quiebra del titular de la información, cuando hayan transcurrido 2 (dos) años desde que se levantó el estado de insolvencia o 5 (cinco) años desde que se declaró la quiebra; o,      h) Cualquier otra información excluida por ley."[19]

México
Ley Federal de Protección de Datos Personales en Posesión de los Particulares del 2010 en su art. 11 dispone: “El responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados. Cuando los datos de carácter personal hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas por el aviso de privacidad y las disposiciones legales aplicables, deberán ser cancelados. El responsable de la base de datos estará obligado a eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de setenta y dos meses, contado a partir de la fecha calendario en que se presente el mencionado incumplimiento.”[20]
Colombia
Ley Estatutaria 1266 del 2008 regula en su art. 13 de “Permanencia de la Información.  <Artículo condicionalmente exequible> La información de carácter positivo permanecerá de manera indefinida en los bancos de datos de los operadores de información. Los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de la cartera, y en general, aquellos datos referentes a una situación de incumplimiento de obligaciones, se regirán por un término máximo de permanencia, vencido el cual deberá ser retirada de los bancos de datos por el operador, de forma que los usuarios no puedan acceder o consultar dicha información. El término de permanencia de esta información será de cuatro (4) años contados a partir de la fecha en que sean pagadas las cuotas vencidas o sea pagada la obligación vencida.[21]

A MODO DE CONCLUSIÓN
Con el objetivo de abordar una postura en relación al cómputo del plazo de caducidad de los datos en el ámbito financiero he de referirme en primer lugar a lo señalado en la propuesta de la Dirección Nacional de Protección de Datos Personales, en cuanto propone “…se entiende aconsejable regular aquellos casos de información significativa que renueva el plazo de información de una deuda en mora.” Parecería estar conduciendo a determinar cuál es la última información adversa que revele que la deuda era exigible del art. 26 del dec. 1558/2001. Tal como lo hemos analizado, esta norma adolece de claridad, precisiones y presunta inconstitucionalidad, motivo por el cual estimamos pertinente apartarnos de la misma. Por lo tanto sería adecuado volver a las fuentes, es decir, tener en cuenta la voluntad  de los legisladores al sancionar la ley y recordemos que de los debates parlamentarios surge que el interés de éstos era reinsertar a más personas al circuito financiero  disponiéndose 5 años para quienes no hubieran cumplido con la obligación y beneficiar con 2 años de permanencia a los que cancelaran o extinguieran la obligación, ello con fundamento en el abuso que cometían las entidades financieras y las empresas de informes crediticios con los afectados. Por ello consideramos que el art. 26 debería reformarse estableciendo concretamente el plazo de 5 años cuando no se haya cumplido con la obligación y 2 años cuando el deudor cancele o extinga de otro modo la obligación  a partir de la registración de la deuda (o desde que la deuda se hizo exigible o a partir de la mora de la misma)  
En cuanto a los requisitos estimamos conveniente volver al proyecto originario del art. 26 tratado en el Congreso Nacional y al proyecto del ex senador Carlos Rossi, antes señalados es decir que los datos relacionados con el incumplimiento de las obligaciones dinerarias sólo podrán tratarse si concurren los siguientes recaudos: a) Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impaga; b) Requerimiento previo de pago a su deudor o a quien corresponda el cumplimiento de la obligación, haciéndole saber que ante el incumplimiento será informado a las bases de datos de deudores. Asimismo exigir que las empresas de informes crediticios notifiquen de inmediato al deudor incluido en sus bases de datos. De esta manera se lograría un texto completo, definitivo y que no produzca incertidumbres interpretativas como en la actualidad y a la vez seguridad y seriedad en los informes comerciales. Es decir, necesitamos una norma clara, precisa y robusta para toda la sociedad en relación al tratamiento de datos personales financieros.

PARTE II

DATOS PERSONALES EN EL ÁMBITO FINANCIERO EN EL PROYECTO DE LEY DE PROTECCIÓN DE DATOS PERSONALES

En el proyecto de ley de Protección de Datos Personales, que como habíamos mencionado se encuentra para su tratamiento y sanción en el Congreso de la Nación desde el mes de setiembre de 2018[22], el tema de los Servicios de Información Crediticia se ha desarrollado en el Capítulo 6 de Servicios de información financiera, en los artículos 58 a 65, los que analizaremos en sus cuestiones mas relevantes.

Así, el art. 58 del proyecto de ley comienza denominando a la actividad como “prestación de servicios de información crediticia del sector financiero y no financiero”. Establece que: En la prestación de servicios de información crediticia sólo pueden tratarse datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes de acceso público irrestricto o restricto, o procedentes de informaciones facilitadas por el titular de los datos o con su consentimiento. Pueden tratarse igualmente datos personales relativos al cumplimiento o incumplimiento de obligaciones de contenido patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o interés, sin necesidad de contar con el  consentimiento del titular de los datos.
Este artículo reemplazaría a los incs. 1 y 2 del art. 26 de la ley 25.326, (ley que todavía se encuentra vigente)    en un sentido muy similar pero mas amplio. En principio aclara que se trata de la información del sector financiero y no financiero. Si bien las bases de datos de estos servicios ya habían incorporado incumplimientos de las obligaciones en el sector no financiero no se encontraba expresamente legislado. En cuanto a las fuentes de acceso público en la ley vigente, la doctrina había interpretado que se trataba de  información irrestricta, siendo aquella que  puede obtener cualquier persona tan sólo con el nombre del titular de los datos o algún número de documento. El proyecto de ley  se encarga de  aclarar que no sólo se trata de las fuentes de acceso público irrestricto, sino también restricto y en el art. 2 Definiciones) especifica que se deberá entender por ellas de la siguiente manera: Fuente de acceso público irrestricto: la que contiene información destinada a ser difundida al público, de libre acceso e intercambio por razones de interés general, accesible ya sea en forma gratuita o mediante una contraprestación.
Fuente de acceso público restricto: la que contiene información que no está sujeta a confidencialidad ni tampoco está destinada a ser difundida irrestrictamente al público y cuyo acceso a terceros resulta generalmente condicionado al cumplimiento de ciertos requisitos. La obtención de datos personales de fuentes de acceso público restricto implica un grave riesgo a la privacidad de las personas como también a los derechos y libertades individuales, contrariando así  al Proyecto de ley que estamos analizando en su Art. 11 sobre “Licitud de tratamiento de datos” y al Reglamento Europeo en su Art. 6° sobre “Licitud del tratamiento” que exige expresamente que prevalezcan  tales valores frente al interés de los terceros.

El art. 59 reemplazaría al inc. 3 del art. 26 la ley vigente con algunos cambios. Se trata del derecho fundamental de acceso a la información crediticia de las personas. En la ley vigente se establece que los responsables o usuarios de bancos de datos, a solicitud de los titulares de datos deberán comunicarle las informaciones, evaluaciones y apreciaciones que hayan sido comunicadas durante los últimos seis meses y el nombre y domicilio del cesionario en caso que los datos hayan sido obtenidos por cesión. Este acceso a la información es gratuito por períodos de seis meses. En el proyecto de ley este plazo se modifica a doce meses, es decir que los titulares de los datos sólo podrán acceder a sus datos existentes en bases de datos gratuitamente por lapsos de un año. También establecería que debe informarse la fuente de información incluyendo nombre y apellido en caso de corresponder. Suponemos que “en caso de corresponder” se trata en caso de cesión. Siempre que se trate de casos de cesión se deberá informar el nombre y domicilio del cesionario, aunque de la lectura del artículo podría darse alguna otra interpretación poco feliz, es decir que podrían darse casos en que podría “no corresponder”. Si así fuere la negativa a comunicar la información financiera a los titulares de los datos sería absolutamente inconstitucional por tratarse de un derecho fundamental consagrado en el art. 43, 3er. Párr. de la Constitución Nacional.

El artículo siguiente del Proyecto es quizás el más conflictivo de este Capítulo 6, se trata del plazo de conservación de la información crediticia (art. 60) o llamado comúnmente como “derecho al olvido”.  Habíamos analizado todas las complicaciones interpretativas que se originaron con el texto del inc. 4 del art 26 de la LPDP y su decreto reglamentario 1558/01, en cuanto al comienzo del cómputo del plazo para determinar los 5 o 2 años de conservación de los datos crediticios. Ello originó que actualmente existan tres posturas jurisprudenciales diferentes, una que sostiene que el cómputo del plazo debe comenzar a partir del momento en que se produjo la mora, es decir desde la exigibilidad de la obligación, otra que mientras dure la mora debe continuar informado en las bases de datos crediticias y la tercera de la CSJN por la que el punto de partida del cómputo debe comenzar al año desde que fue informado en la Central de Deudores del Banco Central de la República Argentina (cuando obtuvo la clasificación 5)  es decir seis años desde que se produjo la mora, tal como lo mencionamos en la Parte I.
Entonces, la primera parte del artículo 60 de “Plazo de conservación de la información crediticia” establece: Sólo se pueden archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico financiera durante los últimos CINCO (5) años a contar desde la última información significativa, o desde el vencimiento del plazo original de la operación de crédito de que se trate, el que fuera mayor. El plazo se reduce a DOS (2) años cuando el deudor cancele o extinga la obligación, a contar a partir de la fecha precisa en que se extingue la deuda. El proyecto de ley sigue básicamente la redacción del Dec. reglamentario 1558/01, en cuanto a los párrafos que  habíamos dicho que son inconstitucionales por apartarse de la letra de la ley 25.326, pero la completa y aclara en perjuicio de los afectados. A continuación establece cuando se considerará que la información es significativa para computar el plazo de 5 años en los siguientes 6 incisos: a. El momento en que se produce la mora del deudor; b. Las modificaciones en las clasificaciones que otorgan al deudor las entidades crediticias; c. El inicio de la acción judicial de cobro; d. La sentencia judicial que dispone el pago de la deuda; e. La fecha de la apertura del concurso de acreedores o de la declaración de quiebra, en caso de deudas verificadas o en trámite de verificación en los procesos de concursos preventivos y quiebras respectivamente; f. Aquella otra información que defina el órgano de control. No se considera última información significativa la asentada en una base de datos por el sólo hecho de ser la constancia final de una serie o sucesión de datos si se trata de una mera repetición de la misma información que, sin novedad o aditamento alguno, ha sido archivada durante los meses anteriores.
En primer lugar debemos referirnos a  una inapropiada técnica legislativa para el caso, la enumeración taxativa de lo que se considerará “información significativa”, pues a las indicadas por el artículo en análisis se le podrían agregar muchas otras de la misma relevancia. Tal como hemos analizado en el derecho comparado, sobre la materia, el cómputo del plazo comienza ante una circunstancia única e inequívoca, como por ejemplo, al momento de producirse la mora, al momento del pago u otras por el estilo.
En cuanto al apartado f) del mismo artículo, es decir  Aquella otra información que defina el órgano de control”, es de una amplitud ilimitada y su inconstitucionalidad se torna manifiesta   prima facie, pues le otorga al órgano de control facultades legislativas en franca violación a la Constitución federal.
Realizando una interpretación global del artículo en análisis consideramos que aquí se establece claramente un perjuicio para los afectados y consecuentemente produce mayor incertidumbre e inseguridad jurídica. Estimamos que a través de este inapropiado texto se ha querido  introducir la teoría más dura en relación con los deudores afectados, es decir aquella que propugna que hasta que el deudor no cancele su obligación debe continuar informado en los bancos de datos de morosos, no existiendo así derecho al olvido, pues si el deudor no encuadra en los incisos a, b, c, d, e, siempre podrá acudirse al órgano de Control para que lo encuadre de acuerdo a su sola discrecionalidad. Es de esperar que cuando los legisladores del Congreso traten el proyecto interpongan las modificaciones adecuadas a una ley para satisfacción de la sociedad en su conjunto. Por último, el artículo aclara, que no se considerará información significativa la asentada en una base de datos por el sólo hecho de ser la constancia final de una serie o sucesión de datos si se trata de una mera repetición de la misma información que, sin novedad o aditamento alguno, ha sido archivada durante los meses anteriores.

El artículo siguiente, es decir el 61 del proyecto se refiere a la difusión de la información por parte de las entidades crediticias. Establece que éstas deberán ceder la información relativa al cumplimiento de las obligaciones al Banco Central de la República Argentina e indicar que información han cedido a terceros. A su vez el Banco Central difundirá dicha información de manera amplia y transparente. Y agrega que en ningún caso esta obligación afectará el derecho de acceso de los titulares de los datos. Este texto es novedoso dentro del contexto de una ley, pues existe la obligación por parte de las entidades financieras de informar al Banco Central la clasificación de deudores a la Central de Deudores del Banco Central acerca de los cumplimientos e incumplimientos de las operaciones financieras de sus clientes, normado por Comunicaciones del Banco Central en su función de Órgano de contralor y en cumplimiento de la ley de entidades financieras.

El artículo 62 también es novedoso para nuestra legislación de protección de datos personales, ya que se establece la obligación por parte de las entidades crediticias el deber de comunicación a los titulares de los datos la información a ceder cuando las obligaciones pasen de cumplimiento normal a incumplimiento, dentro de los 10 días hábiles de producida la nueva clasificación. Esta comunicación a los titulares de los datos debe realizarse al último domicilio por éstos denunciado, por medio postal o electrónico o en la forma que establezca el Banco Central. En cualquier caso  el cedente tiene la carga de acreditar el cumplimiento de la comunicación dispuesta. En caso de disconformidad con el contenido de la información comunicada, el titular de los datos puede ejercer los derechos que le correspondan de acuerdo a lo establecido en la ley. A nuestro criterio, si bien la norma es ventajosa para los titulares de los datos ya que en la actualidad generalmente se enteran que han sido informados en banco de datos de morosos, en ocasión de pretender realizar alguna operación de crédito y la misma le es negada por tal motivo, el plazo de 10 días hábiles es demasiado exiguo para poder aclarar cualquier situación compleja que pudiera existir.

Con buen criterio el artículo 63 dispone que cuando se deniegue al titular de los datos la celebración de un contrato, solicitud de trabajo, servicio, crédito comercial o financiero sustentado en un informe crediticio, se le deberá informar tal circunstancia, la empresa que proveyó el informe y hacerle entrega de una copia.

El artículo 64 se refiere a los fiadores o avalistas y establece que se debe suprimir la información de éstos cuando se haya cancelado o extinguido la obligación, previo pedido ante la empresa de información crediticia que deberá cumplir dentro de los 10 días hábiles. Aquí el proyecto de ley ha diferenciado a los deudores de los fiadores o avalistas, pues los deudores una vez cancelada  extinguida la obligación deberán continuar informados por el término de 2 años tal como lo analizamos oportunamente, en cambio cuando se trata de fiadores o avalistas la información de éstos se deberá suprimir mediante su pedido.
El último artículo  (65) del Capítulo 6, relativo a la rectificación, oposición y supresión de los datos, establece que en caso de los archivos o bases de datos públicas conformadas por cesión de información suministrada por entidades crediticias, tales derechos deben ejercerse ante la entidad cedente que sea parte en la relación jurídica a que se refiere el dato impugnado. Si el reclamo fuera procedente, la entidad respectiva debe realizar las modificaciones necesarias. Toda modificación debe ser comunicada a través de los mismos medios empleados para la divulgación de la información. Con este artículo se excepciona al Banco Central principalmente,  cuando en realidad éste realiza tratamiento de datos personales, tiene sus bases de datos y las publica por internet, siendo el ingreso a las mismas en forma irrestricta.


LEY ESPAÑOLA EN LO REFERENTE A SISTEMAS DE INFORMACIÓN CREDITICIA.

Como consecuencia del dictado del RGPD puesto en vigencia a partir del 25 de mayo de 2018  España comienza un proceso legislativo para adaptar la ley de protección de datos a la nueva normativa europea. Así, el 5 de diciembre  de 2018 se sanciona la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales[23]. En el Título IV, artículo 20 se desarrolla el tratamiento de datos en Sistemas de Información crediticia. Vamos a analizar aquí las diferencias más sustanciales con respecto al proyecto de ley Argentina recientemente estudiado. Comienza el art. 20 en su inciso 1, disponiendo que salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los requisitos enunciados por el texto que seguidamente veremos. En primer lugar la licitud del tratamiento  de datos admite prueba en contrario para los datos negativos. Los requisitos exigidos por el artículo indicado son de gran importancia para un adecuado tratamiento de los datos en el ámbito financiero y comercial y se encuentran enumerados en 6 apartados. El apartado a) establece que los datos se considerarán lícitos cuando  hayan sido facilitados por el acreedor o por quien actúe por su cuenta o interés. El apartado b) exige que los datos deben referirse a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes. Este texto es muy apropiado porque tutela la defensa del afectado, pues si existe una controversia no hay certeza de la deuda. En nuestra ley se ha intentado reiteradamente la existencia de estos requisitos pero nunca han prosperado. No menor importancia tiene el apartado c) que contiene instrucciones tanto para el acreedor como para los sistemas de información. El acreedor deberá notificar al afectado en el contrato o en el momento de requerir el pago de la deuda la posibilidad de ser incluido en los ficheros de morosos de tales  sistemas en caso de no cancelar la obligación. Adicionalmente, la entidad que mantenga el sistema de información crediticia con datos relativos a incumplimientos de obligaciones dinerarias, financieras o de crédito deberá notificar al afectado la inclusión de tales datos y le informará sobre la posibilidad de ejercer los derechos de acceso a la información, rectificación, supresión, limitación del tratamiento u oposición, dentro de los 30 días siguientes a la notificación de la deuda al sistema. Mientras transcurra este plazo los datos deberán permanecer bloqueados en las bases de datos. El apartado d) se refiere a la temporalidad en que deben conservarse los datos en las bases de datos. Éstos se podrán mantener en el sistema mientras persista el incumplimiento y con el límite máximo de cinco años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito. Este texto legisla  lo que comúnmente llamamos “derecho al olvido”. Aquí resulta oportuno aclarar que a diferencia del proyecto de  ley de Argentina en donde al cancelarse o extinguirse la obligación debe permanecer dos años mas en los ficheros de morosos, en la ley española sólo se podrán mantener mientras exista la obligación, es decir que una vez que se cancela o extingue ésta,  inmediatamente se deben suprimir los datos. Aquellos afectados que no cumplieron con la obligación podrán permanecer por el plazo máximo de cinco años desde el vencimiento de la obligación. Así de transparente es la ley española en cuanto al cómputo del plazo para aplicar el derecho al olvido o la caducidad de los datos por el transcurso del tiempo. Lamentablemente el proyecto de ley argentina no adoptó este ejemplo normativo. El apartado e) establece que los datos referidos a un deudor determinado sólo pueden ser consultados cuando quién consulte mantuviese una relación con el afectado que implique el abono de una cuantía pecuniaria o éste le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica. Tal como se observa la información de estos datos no es irrestricta, no la puede consultar cualquier persona sin tener un interés legítimo. El mismo apartado agrega que cuando el interesado hubiera ejercitado ante el sistema de información el derecho a la limitación del tratamiento de sus datos personales impugnando la exactitud de los mismos, el sistema informará a quienes consulten la mera existencia de dicha circunstancia, sin facilitar los datos concretos respecto de los que se hubiera ejercitado el derecho, en tanto se resuelva acerca de la solicitud del afectado. El siguiente apartado f) dispone que en caso que se deniegue la solicitud para la celebración de un contrato, como consecuencia de la consulta efectuada, quien haya consultado el sistema debe informar al afectado el resultado de dicha consulta. El inciso 2) del mismo artículo establece que las entidades que mantengan el sistema y las entidades acreedoras, respecto del tratamiento de los datos referidos a sus deudores, tendrán la condición de corresponsables del tratamiento de los datos. Corresponderá al acreedor garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda, respondiendo por su inexistencia o inexactitud. El inciso estipula como se determinará  la responsabilidad en la que incurran cada uno de los corresponsables en la cadena del tratamiento de los datos. El inciso 3) del artículo analizado dispone que la presunción de licitud en el tratamiento de datos personales relativos al incumplimiento de obligaciones mencionadas en el inciso 1) no ampara los supuestos en que la información crediticia fuese asociada por la entidad que mantuviera el sistema a informaciones adicionales a las contempladas en dicho apartado, relacionadas con el deudor y obtenidas de otras fuentes, a fin de llevar a cabo un perfilado del mismo, en particular mediante la aplicación de técnicas de calificación crediticia. Esto refiere a la restricción  acerca de la elaboración de perfiles a través de tratamientos automatizados que produzcan efectos jurídicos que perjudiquen a los titulares de los datos.
Por último la Disposición Adicional Sexta de la ley orgánica establece un límite a la cuantía de la obligación. No se incorporarán a los sistemas de información crediticia cuando las deudas sean inferiores a cincuenta euros. No obstante, el Gobierno, mediante decreto, podrá actualizar este monto.

A MODO DE CONCLUSIÓN
Tal como se ha señalado, al mencionar la propuesta de la modificación de la ley 25.326 de la Dirección Nacional de Protección de Datos Personales, y acerca a la caducidad de los datos por el transcurso del tiempo, la elaboración del proyecto de ley de protección de datos personales se ha inspirado en el texto del Dec. 1558/01, art. 26,  en relación a regular cual es la última información adversa que revele que la deuda era exigible. Efectivamente, el criterio ha sido sustentarse en el texto que habíamos apuntado como inconstitucional por apartarse de la letra de la ley 25.326 y por lo tanto de la fuente, es decir de la voluntad que tuvieron los legisladores al sancionar dicha ley que como ya lo dijimos se basaron en el interés de reinsertar a más personas al circuito financiero con fundamento en el abuso que comenten las entidades financieras y las empresas de informes crediticios con los deudores del sistema. El proyecto aún no es ley, no se ha tratado en el Congreso de la Nación por lo que todavía alentamos la esperanza de que no se pierda esta oportunidad para legislar el tema con la claridad,  exactitud y justicia  que la sociedad se merece  y teniendo en cuenta que se trata de una ley de protección de datos personales y no de empresarios que realizan tratamiento de datos personales. También es justo contemplar las crisis económicas a las que tenemos periódicamente en el país donde los deudores caen en incumplimiento de sus obligaciones involuntariamente, lejos de ser o convertirse en deudores consuetudinarios.
No obstante celebramos las mejoras como la obligación que se establece a las entidades crediticias de notificar el cambio de clasificación al titular de los datos aunque el plazo sea muy exiguo; la información al afectado cuando se le deniega la celebración de algún contrato a causa del informe crediticio; el beneficio de supresión de los datos a avalistas o fiadores.
Adicionalmente,  podemos observar que esta regulación tiene grandes diferencias con la ley española, que fue en su momento primitivo de regulación de la ley de protección de datos personales, el modelo para los legisladores. 




*Abogada (UBA).  Especialista Universitario de Protección de Datos Personales y Privacidad. Facultad de derecho. Universidad de Murcia. España.




[7] Uicich, Rodolfo Daniel. Hábeas Data Ley 25.326. comentada y anotada. Ed. AD-HOC 2001. P. 124
[8] CSJN. “Martínez, Matilde Susana c/Organización Veraz s/sumario” 05/04/2005. Fallos:797 (2005)
[9] Proyecto de ley modificando el art. 26 de la ley 25.326, (Hábeas Data), respecto de la prestación de servicios de información crediticia,  exped. 2292 del 8/9/2005, reproducido por exped. 604 del 29/3/2007. http://www.senado.gov.ar/web/proyectos/verExpe.php?&origen=S&numexp=604/07&tipo=PL&tConsulta=1  (25/10/2016)
[10] Honorable Senado de la Nación, 22° Sesión Ordinaria, 4/10/2000. http://www.senado.gov.ar
[11] Peyrano, Guillermo F. Régimen Legal de los Datos Personales y Hábeas Data, LexisNexis – Depalma, 2002. P243
[12] Martínez, Matilde Susana. Hábeas Data Financiero. Ediciones de la República. Diciembre 2009. P. 328
[13] Dictamen PTN 388/2006, del 20/11/2006, exped. 144.241/04, Ministerio de Justicia y Derechos Humanos (Dictámenes 259:197)
[15] Nápoli Carlos Alberto c/ Citibank N.A. CSJN. N. 112. XLII.  MJ-JU-M-69558-AR | MJJ69558
[16] Texto ordenado. http://www.bcra.gob.ar
[17] https://legislativo.parlamento.gub.uy/temporales/leytemp2478740.htm (19/10/2016)
[18] http://www.oas.org/juridico/spanish/cyb_chi_ley_19628.pdf  (19/10/2016)
[20] http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf (19/10/2016)
[21] http://www.secretariasenado.gov.co/senado/basedoc/ley_1266_2008.html (19/10/2016)