Bienvenidos al blog de hábeas data financiero y protección de datos personales

Bienvenidos al blog de hábeas data financiero y protección de datos personales


Invito a participar en este espacio a los interesados en la protección de datos personales, con la finalidad del enriquecimiento conjunto y colaboración con la sociedad.

Toda persona tiene derecho a conocer sus datos personales, que se encuentren en archivos, bases o bancos de datos y en caso de falsedad o discriminación, exigir la supresión, rectificación, confidencialidad o actualización de aquéllos.

En Argentina, la protección de datos personales se rige principalmente por el artículo 43, párr. 3º de la Constitución Nacional, la ley 25.326 y su decreto reglamentario 1558/2001.


Pueden dejar comentarios, sugerencias o enviar artículos de interés para ser publicados en este blog.


E-mail: contacto@habeasdatafinanciero.com


Libro Hábeas Data Financiero

miércoles, 12 de octubre de 2016

Cesión de Datos ANSES

La cesión de los datos personales de la Administración Nacional de Seguridad Social a propósito del dictado de la Resolución 166/2016 y sus anexos

Por Matilde S. Martínez [1]

Introducción.
La Jefatura de Gabinete de Ministros ha dictado la Resolución 166/2016[2], por la cual se aprueba el Convenio Marco  de  Cooperación entre la Administración Nacional de Seguridad Social (ANSES) y la Secretaría de Comunicación Pública dependiente de la Jefatura de Gabinete, con  la finalidad de realizar el intercambio electrónico de información contenida en las bases de datos de ambos Organismos. A tales efectos la ANSES remitirá periódicamente la siguiente información de toda la base de datos de sus empadronados: nombre y apellido; DNI; CUIT/CUIL; domicilio; teléfonos; correo electrónico; fecha de nacimiento; estado civil; estudios. El objeto sería utilizar dicha información para mantener informada a la población, identificar y analizar las problemáticas o temáticas de interés en cada lugar del país y comunicar las acciones de gobierno relacionadas tomando contacto con la población a través de diversas modalidades que incluyen redes sociales, otros medios de comunicación electrónicos, llamados telefónicos o conversación personal.
Esta resolución ha sido altamente cuestionada por los distintos sectores de la población, en relación a su legalidad y la hipotética violación a la ley 25.326[3] de Protección de los Datos Personales y su Decreto Reglamentario 1558/2001[4] y a ello hemos de referirnos en este espacio.

Análisis de la normativa vigente en materia de protección de datos personales en Argentina
En primer lugar debemos aludir a las principales normas de la ley citada relacionadas con el tema en cuestión. Así comenzaremos por los principios de calidad de los datos del art. 4° y principalmente al   inciso 1) en cuanto establece que “Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieran obtenido” y el inc. 3) que expresa “Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención”. Adecuación, pertinencia y no excesividad se han considerado como el “principio de proporcionalidad”, pero además  los datos no podrán ser tratados para finalidades distintas o incompatibles para la cual fueron recabados. El art. 11 de la misma ley reglamenta la cesión de los datos estableciendo en su inc. 1) que “Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo”. El mismo artículo trata las excepciones a la prestación del consentimiento por parte de los titulares de los datos. Así el inc. 3) c) y en relación al tema en análisis expresa que el consentimiento no será exigido cuando: “se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias”. Aquí debemos recordar que nuestra ley 25.326 es una adaptación de la LORTAD (Ley Orgánica de Tratamiento Automatizados de Datos de Carácter Personal) española. Esta ley contenía en su art. 19 inc. 1)[5]  una norma de similares características  a las del art. 11.3.c) de nuestra LPDP, la que fue muy cuestionada en España por abusiva. Consecuentemente en la Ley Orgánica 15/1999 de carácter Personal española que suplanta a la LORTAD, en su art. 21 trata la cesión de datos entre Administraciones Públicas que podrán realizarse sin consentimiento del titular de los datos (21.4. LOPD) estableciendo lo siguiente (21.1 LOPD) “Los datos de carácter personal recogidos por las Administraciones públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas…”[6] Fernández Salmeron,[7] interpretando a contrario sensu, explica que esta norma dispone dos supuestos: el primero cuando se trate del ejercicio de las mismas competencias y el segundo cuando se trate de competencias distintas que versen sobre la misma materia. Ejemplos del primer supuesto sería la cesión de datos entre universidades públicas para traslados de expedientes, cesiones de datos de los ficheros municipales tales como “multas de tráfico”, “precios públicos”, “recibos/liquidaciones”, “contribuyentes” etc, siempre que se trate de la misma competencia en todos los casos: gestión recaudatoria de deudas de derecho público. Ejemplo del segundo supuesto serían las cesiones operadas por un Ayuntamiento a favor de diversos órganos y entes de la Comunidad Autónoma (Dirección General e Inspección de Consumo; Junta Arbitral de Consumo; Servicios de salud, etc.) de los datos integrados en ficheros relativos a reclamaciones, quejas y denuncias de consumo, en la medida en que la legislación en esta materia articula de este modo las competencias. Es importante destacar que el Tribunal Constitucional Español por Sentencia 292/2000 declaró la inconstitucionalidad y nulidad del párrafo del art. 21.1 que preveía la comunicación sin consentimiento del titular de los datos cuando dicha comunicación hubiera sido prevista por disposiciones de rango inferior a la ley por entender que la previsión de una norma reglamentaria no constituía garantía suficiente para el derecho a la protección de los datos personales.
Acerca del ejercicio de la cesión de los datos sin consentimiento de sus titulares entre órganos del Estado  del art. 11.3.c) de la ley 25.326, Peyrano ha expresado que debe ser interpretado de modo restrictivo atendiendo a lo sucedido en España con una norma similar.[8]

A modo de conclusión
Las autoridades de gobierno han fundamentado el dictado de la resolución cuestionada (cesión de datos personales de la base de datos de la ANSES a la Secretaría de Comunicación Pública) en la norma del art. 11.3.c) de la ley 25.326. Como podemos observar no han tenido en cuenta para ello, los valiosos antecedentes y experiencia surgidos como consecuencia de la aplicación de la ley española seguida del pronunciamiento de la Sentencia del Tribunal Constitucional de España en relación al tema controvertido. Sería deseable que la norma del art. 11 en la parte referida sea modificado en una posible reforma de la LPDP, la que actualmente se está llevando a cabo a instancia de la Dirección Nacional de Protección de Datos Personales, a través del Plan “justicia 2020” (plan de gobierno para la reforma judicial) por el que se convoca a todos los interesados a la participación para tal cometido. Pero aún más importante sería que el tema sea del interés de los legisladores del Congreso de la Nación cuando el proyecto de reforma de ley llegue al recinto para su tratamiento y sanción, dándole al artículo un alcance preciso y claro en pos de la protección de los datos personales de los administrados. No obstante ello, cuando los titulares de los datos personales consideren que se han violado sus derechos como consecuencia de la aplicación de ésta norma podrán ejercer el derecho de supresión de los datos establecido por la ley 25.326 de Protección de los Datos Personales.



[1] Matilde S. Martínez. Abogada (UBA). Especialista Universitario de Protección de Datos  y Privacidad,  Universidad de Murcia, España. Miembro del Instituto de Derecho Informático y del Instituto de Derecho Bancario del CPACF. Estudios de posgrado: Derecho Constitucional y Procesal Profundizado; Derecho Bancario; Mediadora prejudicial.  Ex asesora legal de Citibank N.A.  Auditora de la Auditoria General de la Nación. Autora de publicaciones en revistas jurídicas: El Derecho, Microjuris, otras y del libro Hábeas Data Financiero.    Integrante y coautora del equipo coordinado por Daniel López Carballo del "Estudio sobre las garantías en materia de protección de datos y hábeas data: una visión desde Iberoamérica" que obtuvo el Accésit Premio Nacional de Investigación de la Agencia Española de Protección de Datos,  2015. Profesora de posgrado del Módulo de Informes Crediticios  y del Módulo Protección de Datos Personales -Derecho al olvido-  en la Especialización de Derecho  Informático de la UBA.  Site: http://www.habeasdatafinanciero.com, e-mail: mmartinez@habeasdatafinanciero.com
[2] Del 21/07/2016. http://www.infoleg.gob.ar/ (05/10/2016)
[3]  Sanc. 04/10/2000. Prom. 30/10/2000.  http://www.infoleg.gob.ar/ (05/10/2016)
[4] Dictado el 29/11/2001.  http://www.infoleg.gob.ar/ (05/10/2016)
[5] Peyrano Guillermo F. Régimen Legal de los Datos Personales y Hábeas Data.  LexisNexis. Depalma. 2002. P.136
[6] El art. 21.1 LOPD continúa …”salvo cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso..” Este párrafo fue declarado inconstitucional y nulo por Sentencia del Tribunal Constitucional 292/2000, 30 noviembre (B.O.E. 4 enero 2001)
[7] Fernández Salmeron, Manuel.  Ficheros de titularidad pública. Material del curso Especialista Universitario de Protección de Datos Personales y Privacidad, Facultad de Derecho, Universidad de Murcia. 2012
[8] Peyrano G. F. Op. Cit. P. 137

Publicado en Diario DPI Suplemento Derecho y Tecnología N° 26. 12.10.2016

No hay comentarios:

Publicar un comentario