Bienvenidos al blog de hábeas data financiero y protección de datos personales

Bienvenidos al blog de hábeas data financiero y protección de datos personales


Invito a participar en este espacio a los interesados en la protección de datos personales, con la finalidad del enriquecimiento conjunto y colaboración con la sociedad.

Toda persona tiene derecho a conocer sus datos personales, que se encuentren en archivos, bases o bancos de datos y en caso de falsedad o discriminación, exigir la supresión, rectificación, confidencialidad o actualización de aquéllos.

En Argentina, la protección de datos personales se rige principalmente por el artículo 43, párr. 3º de la Constitución Nacional, la ley 25.326 y su decreto reglamentario 1558/2001.


Pueden dejar comentarios, sugerencias o enviar artículos de interés para ser publicados en este blog.


E-mail: contacto@habeasdatafinanciero.com


viernes, 19 de octubre de 2018

Prohibición ANSES

Fallo que prohíbe a ANSES la cesión de datos personales sin consentimiento del titular

Fallo: Torres Abad Carmen c/ Estado Nacional-JGM s/ habeas data
Tribunal: Cámara Nacional de Apelaciones en lo Contencioso Administrativo Federal
Fecha: 3-jul-2018
VISTOS Y CONSIDERANDO:
Los Sres. Jueces de Cámara, Dres. Guillermo F. Treacy y Pablo Gallegos Fedriani dijeron:
I.- Que a fojas 106/108 la jueza de la anterior instancia resolvió rechazar la acción de amparo promovida por la Sra. Carmen TORRES ABAD. Dicha acción tenía como objeto preservar la confidencialidad de la información brindada a la Administración Nacional de la Seguridad Social evitando la utilización de sus datos personales existentes en la base del organismo previsional para otras finalidades distintas a aquellas que motivaron su obtención. Para así decidir, sostuvo que el examen de autos demostró la inexistencia de un agravio, manifiesto y concreto, respecto al derecho constitucional de intimidad y confidencialidad que esgrime la amparista. Esta conclusión, la llevó a compartir los fundamentos y el dictamen del Sr. Fiscal Federal que se agregó como parte integrante de ese decisorio.
II.- Que contra dicha decisión, a fojas 109/115 la accionante presenta recurso de apelación y expresa agravios. En su recurso, manifiesta que la circunstancia de que se disponga el empleo de las pautas procesales del amparo para canalizar la pretensión de autos, no desacredita ni desvirtúa el carácter autónomo de la acción de habeas data. En este sentido, sostiene que no hay necesidad de acreditar un daño o agravio efectivo para que prospere la acción, sino que la vía intentada importa la garantía que le asiste al sujeto que se presenta como titular de los datos. Afirma que “los datos cuya protección se solicita pretenden ser tratados por la demandada de manera excesiva en relación al ámbito y finalidad para los que se obtuvieron y su titular goza del derecho de acceso, rectificación, actualización, supresión y confidencialidad” (fs. 110 vta.). Aclara que el objetivo perseguido por la accionada al acceder a la información personal difiere de la finalidad para lo cual los datos fueron obtenidos por la ANSES. Concluye que “el fallo atacado incurre en error de derecho al omitir ponderar particularizadamente el número telefónico y el correo electrónico como datos sujetos a autorización del titular. Dicho desacierto tiene su correlato lisa y llanamente en la inaplicabilidad de la norma legal, puntualmente en la previsión del consentimiento del titular de los datos que el artículo 5º de la Ley Nº 25.326 exige para todo otro dato que vaya más allá de la taxativa enunciación de su inciso c)” (fs. 112).
III.- Que a fojas 121/129 la demandada contesta los agravios expresados por su contraria. En su presentación, manifiesta que si bien la recurrente se agravia de los requisitos que se exigen para la procedencia de la acción, por entender que estos no se aplican a la acción de habeas data, lo cierto es que tampoco acredita ni justifica que los mismos se encuentren reunidos en el caso. Expresa que “la actora da por hecho que la información sobre sus datos, que le brindara a la ANSES, va a ser utilizada con fines distintos a aquellos que motivaron su obtención, es decir que torna como inminente que va a ser molestada por el Estado, o ser sometida a un permanente asedio por vía telefónica o por el envío de correos electrónicos, lo cual resulta absolutamente falso, amén de no tener sustento probatorio alguno” (fs. 124). Resalta lo señalado por la jueza a quo, en el sentido de que ni el número telefónico ni el correo electrónico son datos considerados sensibles. En este sentido, recuerda que la norma contempla que no será necesario el consentimiento cuando los datos se recaben para el ejercicio de funciones propias de los poderes del Estado.
IV.- Que a fojas 131/132 dictaminó el Fiscal General y a fojas 133 se llamaron autos a fin de resolver la cuestión planteada.
V.- Que al respecto, como primera medida, corresponde señalar que la acción de habeas data -diseñada en el tercer párrafo del artículo 43 de la Constitución Nacional-, está entrañablemente vinculada al derecho a la intimidad, como un instrumento destinado a evitar injerencias extrañas en la vida privada, pero también a fin de proteger el honor, el derecho a la identidad y a la propia imagen. En definitiva, se trata de una herramienta destinada a proteger esos derechos frente al registro indiscriminado de datos personales, debido fundamentalmente a los avances tecnológicos, especialmente en materia de almacenamiento de datos informáticos (Fallos 321:2767 ; voto del Dr. Petracchi). La Corte Suprema de Justicia de la Nación ha sostenido también que el hábeas data protege la identidad personal y garantiza que el interesado -él y sólo él- tome conocimiento de los datos a él referidos y de su finalidad, que consten en registros o bancos públicos o los privados destinados a proveer informes. Constituye, por tanto, una garantía frente a informes falsos o discriminatorios que pudieran contener y autoriza a obtener su supresión, rectificación, confidencialidad o actualización” (Fallos:306:1892). Asimismo, se ha señalado que si bien el tratamiento de la acción de amparo y la acción de habeas data se ubica en la misma norma de la Constitución Nacional, esta última -a diferencia del amparo- tiene un objeto preciso y concreto que consiste básicamente en permitir al interesado controlar la veracidad de la información y el uso que de ella se haga; este derecho forma parte de la vida privada y se trata, como el honor y la propia imagen, de uno de los bienes que integran la personalidad (Fallos 328:797 , disidencia de la Dra. Elena I. Highton de Nolasco).
VI.- Que con ese encuadre, en el sub lite la actora pretende -mediante la presente acción de habeas data- que se preserve la confidencialidad de la información brindada a la ANSES, evitando la utilización de sus datos personales obrantes en la base del organismo previsional para otras finalidades distintas a aquellas que motivaron su obtención. Dicho reclamo de la accionante surge a partir de la cesión de datos estipulada en la Resolución Nº 166-E/2016 de la Jefatura de Gabinete de Ministros por la cual se aprobó el Convenio Marco de Cooperación entre la Administración Nacional de Seguridad Social y la Secretaría de Comunicación Pública. En los considerandos de dicho reglamento se indicó que los motivos de la recolección de información se sustenta principalmente en que la mencionada secretaría debe mantener informada a la población a través de diversas modalidades, que incluyen desde las redes sociales y otros medios de comunicación electrónicos, hasta el llamado telefónico o la conversación persona a persona, de forma de lograr con los ciudadanos un contacto individual e instantáneo. Asimismo, se señaló que resulta esencial para el Estado Nacional la identificación, evaluación y análisis de problemáticas o temáticas de interés en cada localidad del país, así como la comprensión y detección de variables sociales y culturales que permitan incorporar la diversidad federal en la comunicación pública. En tal contexto, la cláusula segunda del referido convenio establece que “para el logro de los objetivos expresados en la cláusula primera, previo requerimiento, la ANSES remitirá periódicamente la siguiente información que obre en sus bases de datos: a) Nombre y Apellido; b) DNI; c) CUIT/CUIL; d) Domicilio; e) Teléfonos; f) Correo Electrónico; g) Fecha de Nacimiento; h) Estado Civil; i) Estudios.-“.
VII.- Que para analizar la procedencia de la acción intentada, corresponde -en primer lugar- señalar las disposiciones de la ley que resultan aplicables al caso. La acción de habeas data se encuentra reglamentada mediante la Ley Nº 25.326 y, en lo que aquí interesa, en su artículo 5º establece: “1. El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias. El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 6° de la presente ley. “2. No será necesario el consentimiento cuando:[.] b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; c) Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio; [.]” Ahora bien, a partir de lo dispuesto por la norma transcripta y lo que surge de la expresión de agravios de fojas 109/115, la accionante sostiene que existe una “extralimitación” por parte de la Administración cuando al referirse al tratamiento de datos incorpora a los listados de datos personales el teléfono y el correo electrónico de las personas. En este sentido, expresa que dicha información “supera los límites del listado de datos personales que establece el art. 5 punto 2 inciso c, y por tanto debe mediar consentimiento del titular” (fs. 112). Añade que “en pleno auge de la informática y las comunicaciones digitales, bajo ninguna circunstancia puede admitirse que el número telefónico o el mail no sean dos datos relevantes con potencialidad de afectar la intimidad y privacidad de los ciudadanos susceptibles de exponerlos a situaciones ofensivas” y que “no son datos inocuos o irrelevantes, pues se convierten en extremadamente delicados mediante un cambio del fin que oportunamente se persigue al momento de su recolección” (fs. 113). Por su parte, al contestar la expresión de agravios, la demandada manifiesta que “si bien el número telefónico y el mail no se encuentran contemplados en el inciso ‘c’ del artículo, sí lo están dentro de lo establecido en el inciso ‘b’” que se refiere a aquellos datos que se recaben para el ejercicio de funciones propias de los poderes del Estado, sin perjuicio de señalar que “ni el número telefónico ni el mail son datos considerados sensibles” (fs.126). En definitiva, la demandada considera que, en particular, si bien el teléfono y el correo electrónico no están enunciados en el inciso c), el tratamiento de esos datos no necesitaría consentimiento ya que a su entender está habilitada a obtener tales datos en virtud de la excepción del inciso b).
VIII.- Que en este contexto, resulta clara la controversia planteada entre las partes. En primer lugar, se advierte que no hay discrepancias respecto a que no resulta necesaria la exigencia del consentimiento expreso para la recolección o tratamiento de los datos personales enunciados en el artículo 5.2 inciso c) de la Ley Nº 25.326 que, según la doctrina, integran la categoría de “datos nominativos” por la facilidad de su acceso o por la facilidad en la obtención de esos datos, que los convierten en “información disponible” (GOZAÍNI, Alfredo Osvaldo, Habeas Data, Protección de datos personales, Buenos Aires, Rubinzal – Culzoni Editores, 2002, pág. 79). En cambio, las partes discrepan en cuanto a si el número telefónico y la dirección de correo electrónico son datos que se encuentran exceptuados del consentimiento libre, expreso e informado para el tratamiento de esa información por parte del responsable de un registro público de datos. Concretamente, la demandada sostiene que -en este caso- también se produce la excepción prevista en la norma, en cuanto esos datos resultan necesarios para el ejercicio de “funciones propias del Estado” (art. 5.2 inciso c] de la Ley Nº 25.326). Cabe aclarar que no resulta acertada la exigencia de la demostración o la acreditación de un daño concreto por parte de la accionante -tal como fue expuesto por la jueza a quo y por el Fiscal General en su dictamen-, ya que el solo tratamiento de los datos -sin la autorización del interesado- constituye en sí mismo un agravio que la Ley de Protección de Datos Personales intenta prevenir. Por lo tanto, ante la denuncia de la actora del tratamiento indebido de sus datos por parte del Estado, compete a los tribunales adoptar los remedios tendientes a evitar indebidas intromisiones en su autodeterminación informativa.
IX.- Que la excepción que invoca la demandada, se refiere a datos de carácter personal que hayan sido recabados para el desempeño de funciones propias de la organización estatal. Se ha dicho que “[e]n la práctica, [ello] exime al Estado de obtener el consentimiento de los titulares de aquellos para proceder a las operaciones de tratamiento de los mismos, ya que la fórmula resulta tan amplia e imprecisa que no pone límites razonables a dichas operaciones” (PEYRANO, Guillermo F., Régimen legal de los datos personales y hábeas data, Buenos Aires, Lexis Nexis, 2002, pág. 83). Es decir, que “esta liberación ‘en blanco’ aparece como excesiva, por cuanto determinados datos personales y determinados organismos necesitan el consentimiento de los titulares de los datos para poder someter esos informes personales a ciertas operaciones de tratamiento. El consentimiento de la registración de ciertos datos personales, denunciándolos voluntariamente a ese efecto por el mismo titular, en forma expresa, libre e informada, no significa que dicho consentimiento se haya prestado para proporcionar o transferir esos datos a terceros o para su utilización con una finalidad distinta a la perseguida con la registración” (PEYRANO, Régimen legal. op. cit., pág. 83). En este mismo sentido, se ha dicho que -en materia de protección de datos-, “se convierte en un elemento esencial el consentimiento del afectado por el tratamiento. Todo Banco o Registro público o privado, que desee tratar datos de personas físicas o jurídicas, como regla general deberá requerirles previamente su consentimiento para el tratamiento, salvo que los datos se encuentren en alguno de los supuestos legales que eximen del mismo” y a tal efecto, que “sólo con una interpretación restrictiva de la ley se logrará la efectiva protección del derecho a la autodeterminación informativa” (BASTERRA, Marcela. ”El consentimiento del afectado en el proceso de tratamiento de datos personales”. Jurisprudencia Argentina. Número Especial, 28 de abril de 2004, pág. 6). En tal orden de ideas, para que proceda la excepción prevista en el inciso en análisis (art. 5.2 inc. c] de la Ley Nº 26.326), se deben verificar los siguientes requisitos: 1) sólo procede para el caso en que se recopilen datos con fines de defensa nacional, seguridad pública o represión de delitos, la que debe tener fundamento estrictamente en una misión asignada por ley; 2) los bancos de datos a los que la ley concretamente puede autorizar en un caso concreto a recabar datos sin consentimiento serán las fuerzas armadas, fuerzas de seguridad, organismos policiales y organismos de inteligencia; 3) sólo se recopilarán los datos que se necesiten para el cumplimiento de la misión que la misma ley que autorice el tratamiento determine; 4) será necesario que, en esos casos concretos, los archivos de datos fundados en esta disposición sean clasificados por categorías en función de su grado de fiabilidad (BASTERRA, “El consentimiento.”, op. cit.).
X.- Que a partir de lo expuesto, se concluye que la regla en materia de tratamiento de datos -según la Ley Nº 25.326- es el consentimiento del interesado y, las excepciones a ella, son las previstas en el artículo 5º de ese texto legal, que deben ser interpretadas de manera restrictiva. En consecuencia, toda vez que ni el número telefónico ni la dirección de correo electrónico se encuentran dentro de la categoría de “datos nominativos”, lo cierto es que para que pueda efectuarse la cesión de estos datos o para el tratamiento de los mismos se requiere el consentimiento expreso del interesado. Sin embargo, como se ha expuesto, dicho consentimiento puede no ser necesario cuando esos datos resulten necesarios para el ejercicio de funciones propias del Estado o en virtud de una obligación legal. Es en esta excepción que sustenta su postura la demandada. Al respecto, se advierte que el tratamiento de los datos en cuestión para los fines perseguidos por la Secretaría de Comunicación Pública, es decir, “mantener informada a la población” o “la identificación, evaluación y análisis de problemáticas o temáticas de interés en cada localidad del país”, no son objetivos que se vinculen con una finalidad de defensa nacional, seguridad pública o represión de delitos, tal como lo exige la doctrina especializada. Asimismo, el organismo al cual se cederían esos datos, la Secretaría de Comunicación Pública dependiente de la Jefatura de Ministros, no tiene competencias en estas materias. Tampoco podría alegarse que la excepción al consentimiento se produce “en virtud de una obligación legal”. Ello así, toda vez que la invocación de una finalidad ad hoc dispuesta en una resolución administrativa (Resolución Nº 166-E/2016 de la Jefatura de Gabinete de Ministros), no puede invocarse como excepción a las previsiones de la Ley de Protección de Datos Personales que exigen el consentimiento expreso del interesado frente a la protección a la intimidad (o a la autodeterminación informativa), derecho que posee jerarquía superior ante una invocación genérica de fines estatales.
XI.- Que sin perjuicio de la conclusión expuesta, y a mayor abundamiento, debe advertirse que lo previsto en el artículo 11 de la Ley Nº 25.326 tampoco modifica la solución que aquí se sostiene. Dicha norma expresa: ”Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo”. Asimismo, se refiere a que el consentimiento allí referido, no es exigible cuando “[s]e realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias” (inciso c], punto 3). Ahora bien, cabe señalar aquí que similar disposición contiene la Ley española de Protección de Datos de Carácter Personal de España (Ley Orgánica 15/1999) que admite la comunicación de datos personales entre administraciones, cuando sean obtenidos o elaborados por una con destino a otra (art. 21 inc. 2º), previendo en ese supuesto la innecesaridad del consentimiento (art. 21 inc. 4º) (PEYRANO, “Régimen legal.”, op. cit., pág. 136). Ahora bien, el Tribunal Constitucional de ese país declaró inconstitucional esa disposición utilizando el siguiente razonamiento: “.el derecho a consentir la recogida y el tratamiento de los datos personales (art. 6, LOPD) no implica en modo alguno consentir la cesión de tales datos a terceros, pues constituye una facultad específica que también forma parte del contenido del derecho fundamental a la protección de tales datos. Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con estos (art. 4.2, LOPD) supone una nueva posesión y uso que requiere el consentimiento del interesado. Una facultad que sólo cabe limitar en atención a derechos y bienes de relevancia constitucional y, por tanto, esté justificada, sea proporcionada y, además, se establezca por ley, pues el derecho fundamental a la protección de datos personales no admite otros límites”. En esta línea de análisis, sostiene que “el interesado debe ser informado tanto de la posibilidad de cesión de sus datos personales y sus circunstancias como del destino de estos, pues sólo así será eficaz su derecho a consentir, en cuanto facultad esencial de su derecho a controlar y disponer de sus datos personales. Para lo que no basta que conozca que tal cesión es posible según la disposición que ha creado o modificado el fichero, sino también las circunstancias de cada cesión concreta. Pues en otro caso sería fácil al responsable del fichero soslayar el consentimiento del interesado mediante la genérica información de que sus datos pueden ser cedidos. De suerte que, sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (art. 5 L.O.P.D.) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia” (Tribunal Constitucional de España. Pleno. Sentencia 292/2000, de 30 de noviembre de 2000. Recurso de inconstitucionalidad 1.463/2000. Ref. BOE-T-2001-332, disponible en: https://www.boe.es/boe/dias/2001/01/04/pdfs/T00104-00118.pdf). Tales conclusiones también son válidas en el marco de la Ley Nº 25.326, conforme a la cual la habilitación para ceder datos de carácter personal entre órganos del Estado, sin el consentimiento de sus titulares, debe ser interpretado de manera restrictiva. Ello, a fin de evitar la vulneración del derecho a la autodeterminación informativa que posee todo titular de datos que se encuentren en registros públicos o privados (art.43, tercer párrafo y 19 CN). Debe advertirse, a la luz de la doctrina y la jurisprudencia comparada, que toda intrusión en la esfera de datos de una persona debe estar rigurosamente justificada con base legal, sin que proceda la invocación de excepciones genéricas que desnaturalicen ese derecho.
XI.- Que en este contexto, resulta necesario advertir -en primer lugar- que los datos que la Administración pretende ceder (en concreto el número telefónico y la dirección de correo electrónico) se efectúa para llevar a cabo una finalidad distinta de aquella por la cual la ANSES recolectó esos datos. Es decir, que este último organismo puede requerir del interesado el número telefónico y su dirección de correo electrónico a los fines de llevar a cabo una eficiente comunicación con el administrado en relación con trámites administrativos (de naturaleza previsional) que lo involucran. En cambio, la cesión de esos datos a la Secretaría de Comunicación Pública tendría como fin, tal como está indicado en la resolución administrativa, lograr objetivos o finalidades distintas a las que oportunamente llevaron a la ANSES a requerirlos.
En consecuencia, el Tribunal concluye que si -como ocurre en el sub lite- el administrado no presta su consentimiento expreso para el tratamiento de datos como su número telefónico o su dirección de correo electrónico, el organismo que los obtuvo no puede cederlos ni debe darlos a conocer, ya que se encuentran bajo la protección de la Ley Nº 25.326. Ello, sin que se advierta que se configuren las situaciones de excepción que contemplan el artículo 5.2 inciso b) de la Ley Nº 25.326 o el artículo 11 del mismo cuerpo legal. Por lo tanto, ante la negativa expresa por parte de la accionante de prestar su consentimiento para el tratamiento de tales datos, la acción intentada resulta procedente. ASÍ VOTAMOS.
El Sr. Juez de Cámara, Dr.Jorge Federico Alemany adhiere en lo sustancial al voto que antecede.
En consecuencia, por las consideraciones precedentes, el Tribunal RESUELVE:
1) Revocar el pronunciamiento apelado, hacer lugar a la acción de habeas data interpuesta por Carmen ABAD TORRES y ordenar a la ANSES que, respecto de los datos referentes a la actora, que no integran los datos enunciados en el inciso c) del punto 2 de la Ley Nº 25.326, se abstenga de someterlos al tratamiento de datos; disponiéndose en particular que no pueden ser cedidos en el marco de la Resolución Nº 166-E/2016 de la Jefatura de Gabinete de Ministros por la cual se aprobó el Convenio Marco de Cooperación entre la Administración Nacional de Seguridad Social y la Secretaría de Comunicación Pública; 2) Imponer las costas de ambas instancias a la demandada vencida (art. 68 del CPCCN).
Regístrese, notifíquese y devuélvase.
Guillermo F. TREACY
Pablo GALLEGOS FEDRIANI
Jorge Federico ALEMANY

Artículo publicado acerca del tema objeto del fallo en: Diario DPI Suplemento Derecho y Tecnologías Nro 26 12.10.2016


La cesión de los datos personales de la Administración Nacional de Seguridad Social a propósito del dictado de la Resolución 166/2016 y sus anexos.

Por Matilde S. Martínez [1]

Introducción.
La Jefatura de Gabinete de Ministros ha dictado la Resolución 166/2016[2], por la cual se aprueba el Convenio Marco  de  Cooperación entre la Administración Nacional de Seguridad Social (ANSES) y la Secretaría de Comunicación Pública dependiente de la Jefatura de Gabinete, con  la finalidad de realizar el intercambio electrónico de información contenida en las bases de datos de ambos Organismos. A tales efectos la ANSES remitirá periódicamente la siguiente información de toda la base de datos de sus empadronados: nombre y apellido; DNI; CUIT/CUIL; domicilio; teléfonos; correo electrónico; fecha de nacimiento; estado civil; estudios. El objeto sería utilizar dicha información para mantener informada a la población, identificar y analizar las problemáticas o temáticas de interés en cada lugar del país y comunicar las acciones de gobierno relacionadas tomando contacto con la población a través de diversas modalidades que incluyen redes sociales, otros medios de comunicación electrónicos, llamados telefónicos o conversación personal.
Esta resolución ha sido altamente cuestionada por los distintos sectores de la población, en relación a su legalidad y la hipotética violación a la ley 25.326[3] de Protección de los Datos Personales y su Decreto Reglamentario 1558/2001[4] y a ello hemos de referirnos en este espacio.
Análisis de la normativa vigente en materia de protección de datos personales en Argentina
En primer lugar debemos aludir a las principales normas de la ley citada relacionadas con el tema en cuestión. Así comenzaremos por los principios de calidad de los datos del art. 4° y principalmente al   inciso 1) en cuanto establece que “Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieran obtenido” y el inc. 3) que expresa “Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención”. Adecuación, pertinencia y no excesividad se han considerado como el “principio de proporcionalidad”, pero además  los datos no podrán ser tratados para finalidades distintas o incompatibles para la cual fueron recabados. El art. 11 de la misma ley reglamenta la cesión de los datos estableciendo en su inc. 1) que “Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo”. El mismo artículo trata las excepciones a la prestación del consentimiento por parte de los titulares de los datos. Así el inc. 3) c) y en relación al tema en análisis expresa que el consentimiento no será exigido cuando: “se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias”. Aquí debemos recordar que nuestra ley 25.326 es una adaptación de la LORTAD (Ley Orgánica de Tratamiento Automatizados de Datos de Carácter Personal) española. Esta ley contenía en su art. 19 inc. 1)[5]  una norma de similares características  a las del art. 11.3.c) de nuestra LPDP, la que fue muy cuestionada en España por abusiva. Consecuentemente en la Ley Orgánica 15/1999 de carácter Personal española que suplanta a la LORTAD, en su art. 21 trata la cesión de datos entre Administraciones Públicas que podrán realizarse sin consentimiento del titular de los datos (21.4. LOPD) estableciendo lo siguiente (21.1 LOPD) “Los datos de carácter personal recogidos por las Administraciones públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas…”[6] Fernández Salmeron,[7] interpretando a contrario sensu, explica que esta norma dispone dos supuestos: el primero cuando se trate del ejercicio de las mismas competencias y el segundo cuando se trate de competencias distintas que versen sobre la misma materia. Ejemplos del primer supuesto sería la cesión de datos entre universidades públicas para traslados de expedientes, cesiones de datos de los ficheros municipales tales como “multas de tráfico”, “precios públicos”, “recibos/liquidaciones”, “contribuyentes” etc, siempre que se trate de la misma competencia en todos los casos: gestión recaudatoria de deudas de derecho público. Ejemplo del segundo supuesto serían las cesiones operadas por un Ayuntamiento a favor de diversos órganos y entes de la Comunidad Autónoma (Dirección General e Inspección de Consumo; Junta Arbitral de Consumo; Servicios de salud, etc.) de los datos integrados en ficheros relativos a reclamaciones, quejas y denuncias de consumo, en la medida en que la legislación en esta materia articula de este modo las competencias. Es importante destacar que el Tribunal Constitucional Español por Sentencia 292/2000 declaró la inconstitucionalidad y nulidad del párrafo del art. 21.1 que preveía la comunicación sin consentimiento del titular de los datos cuando dicha comunicación hubiera sido prevista por disposiciones de rango inferior a la ley por entender que la previsión de una norma reglamentaria no constituía garantía suficiente para el derecho a la protección de los datos personales.
Acerca del ejercicio de la cesión de los datos sin consentimiento de sus titulares entre órganos del Estado  del art. 11.3.c) de la ley 25.326, Peyrano ha expresado que debe ser interpretado de modo restrictivo atendiendo a lo sucedido en España con una norma similar.[8]
A modo de conclusión
Las autoridades de gobierno han fundamentado el dictado de la resolución cuestionada (cesión de datos personales de la base de datos de la ANSES a la Secretaría de Comunicación Pública) en la norma del art. 11.3.c) de la ley 25.326. Como podemos observar no han tenido en cuenta para ello, los valiosos antecedentes y experiencia surgidos como consecuencia de la aplicación de la ley española seguida del pronunciamiento de la Sentencia del Tribunal Constitucional de España en relación al tema controvertido. Sería deseable que la norma del art. 11 en la parte referida sea modificado en una posible reforma de la LPDP, la que actualmente se está llevando a cabo a instancia de la Dirección Nacional de Protección de Datos Personales, a través del Plan “justicia 2020” (plan de gobierno para la reforma judicial) por el que se convoca a todos los interesados a la participación para tal cometido. Pero aún más importante sería que el tema sea del interés de los legisladores del Congreso de la Nación cuando el proyecto de reforma de ley llegue al recinto para su tratamiento y sanción, dándole al artículo un alcance preciso y claro en pos de la protección de los datos personales de los administrados. No obstante ello, cuando los titulares de los datos personales consideren que se han violado sus derechos como consecuencia de la aplicación de ésta norma podrán ejercer el derecho de supresión de los datos establecido por la ley 25.326 de Protección de los Datos Personales.





[1] Matilde S. Martínez. Abogada (UBA). Especialista Universitario de Protección de Datos  y Privacidad,  Universidad de Murcia, España. Miembro del Instituto de Derecho Informático y del Instituto de Derecho Bancario del CPACF. Estudios de posgrado: Derecho Constitucional y Procesal Profundizado; Derecho Bancario; Mediadora prejudicial.  Ex asesora legal de Citibank N.A.  Auditora de la Auditoria General de la Nación. Autora de publicaciones en revistas jurídicas: El Derecho, Microjuris, otras y del libro Hábeas Data Financiero.    Integrante y coautora del equipo coordinado por Daniel López Carballo del "Estudio sobre las garantías en materia de protección de datos y hábeas data: una visión desde Iberoamérica" que obtuvo el Accésit Premio Nacional de Investigación de la Agencia Española de Protección de Datos,  2015. Profesora de posgrado del Módulo de Informes Crediticios  y del Módulo Protección de Datos Personales -Derecho al olvido-  en la Especialización de Derecho  Informático de la UBA.  Site: http://www.habeasdatafinanciero.com, e-mail: mmartinez@habeasdatafinanciero.com
[2] Del 21/07/2016. http://www.infoleg.gob.ar/ (05/10/2016)
[3]  Sanc. 04/10/2000. Prom. 30/10/2000.  http://www.infoleg.gob.ar/ (05/10/2016)
[4] Dictado el 29/11/2001.  http://www.infoleg.gob.ar/ (05/10/2016)
[5] Peyrano Guillermo F. Régimen Legal de los Datos Personales y Hábeas Data.  LexisNexis. Depalma. 2002. P.136
[6] El art. 21.1 LOPD continúa …”salvo cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso..” Este párrafo fue declarado inconstitucional y nulo por Sentencia del Tribunal Constitucional 292/2000, 30 noviembre (B.O.E. 4 enero 2001)
[7] Fernández Salmeron, Manuel.  Ficheros de titularidad pública. Material del curso Especialista Universitario de Protección de Datos Personales y Privacidad, Facultad de Derecho, Universidad de Murcia. 2012
[8] Peyrano G. F. Op. Cit. P. 137

miércoles, 3 de octubre de 2018

Proyecto Ley Prtección de Datos



Datos más controlados
y restrictivos

domingo, 20 de mayo de 2018

GDPR y empresas latinoamericanas


¿Qué es el GDPR y por qué es bueno saber que también afectará a las empresas latinoamericanas?

Por Basterrica

Acá te damos la respuesta a qué es el GDPR. Un reglamento al que, quizás sin saberlo, empresas del continente deben regirse también.



Varias empresas latinoamericanas y del mundo se están preparando para el GDPR de manera más formal. Pero, ¿De qué diantres estamos hablando cuando utilizamos esta sigla?.
Básicamente se trata del Reglamento General de Protección de Datos de la Unión Europea, ley que entró en vigencia el 25 de mayo de 2016 y que es "relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de sus datos".
Lo que muchos hasta ahora no sabían, es que este nuevo régimen de protección de datos de la UE amplía el alcance de la ley de protección  a todas las compañías extranjeras que procesan datos de residentes de la Unión Europea. Para cumplir con estas regulaciones, sin embargo, esto implica el costo de un estricto régimen de cumplimiento de protección de datos con penalizaciones severas de hasta el 4% de la facturación mundial.
Las bases legales para el procesamiento de datos según este reglamento son:
  • El interesado ha dado su consentimiento para el procesamiento de sus datos personales con uno o más propósitos específicos.
  • El procesamiento es necesario para la ejecución de un contrato del que el interesado es parte o para tomar medidas a petición del interesado antes de celebrar un contrato.
  • El procesamiento es necesario para cumplir con una obligación legal a la cual el controlador está sujeto.
  • El procesamiento es necesario para proteger los intereses vitales del interesado o de otra persona física.
  • El procesamiento es necesario para la realización de una tarea llevada a cabo en interés público o en el ejercicio de la autoridad oficial conferida al controlador.
  • El tratamiento es necesario para los fines de los intereses legítimos perseguidos por el responsable o por un tercero, salvo cuando dichos intereses sean anulados por los intereses o los derechos y libertades fundamentales del interesado que requieren protección de datos personales, en particular cuando los datos sujeto es un niño.
  • Para aclarar más el tema, hablamos con Alex Pessó, director de Asuntos Legales de Microsoft Chile, quien nos explicó a fondo de qué se trata el reglamento y cómo afectará a la región.
    ¿Qué es la GDPR?
    El Reglamento General de Protección de Datos (más conocido como GDPR, por sus siglas en inglés) -que entrará en vigencia el próximo 25 de mayo- es un amplio conjunto de reglas centradas en la protección de la privacidad personal y el intercambio de datos. Todas las compañías con operaciones en la Unión Europea y quienes hacen negocios con sus 500 millones de habitantes deberán acatar este reglamento y además tiene aplicación extraterritorial en el caso de organización establecida fuera de la UE, cuando dicho tratamiento esté relacionado con la oferta de bienes o servicios a esas personas o al monitoreo de su comportamiento.
    Por lo anterior este Reglamento terminará impactando al mundo entero y se convertirá posiblemente en el estándar más estricto en materia de tratamiento de datos personales. Este nuevo referente definirá un conjunto de reglas que los países, las empresas y finamente los titulares incorporarán en su forma de tratar de datos y de ejercer los derechos asociados, respectivamente.

    ¿Qué implica la GDPR para los usuarios?
    La nueva reglamentación aumenta los derechos de los titulares de los datos personales, y por consiguiente, las obligaciones de los controladores de los datos, sean entidades públicas o privadas, que ofrezcan servicios a los ciudadanos de la UE pero también y de manera indirecta elevarán el estándar al que accederán otros usuarios en el mundo. Se regulan importantes derechos como  El “Derecho al Olvido” y el Derecho a la Portabilidad de los Datos, así como la ampliación del Consentimiento Previo Informado. Esta materia es crítica porque con la nueva reglamentación el controlador  deberá informar a los titulares/usuarios la base legal para el tratamiento de los datos, el período de conservación de éstos, la posibilidad de realizar reclamos, y en general cumplir con una serie de obligaciones de información que beneficiarán a los usuarios al momento de definir la forma en que controlan sus datos.
     ¿Cómo afecta a las empresas?
    El GDPR cambiará las reglas del juego en Estados Unidos y en varias geografías y para muchas empresas.
    El concepto de "privacidad por diseño" deberá ser incluido dentro de los servicios y productos desde el principio, con un consentimiento suficiente y una mayor claridad acerca del uso de los datos y, como resultado, los usuarios, consumidores y titulares de Estados Unidos y todo el mundo obtendrán el gran beneficio de esto, que se traducirá en tener mayor control de sus datos personales.
    Es importante destacar que GDPR tiene un alcance extraterritorial, por lo que empresas ubicadas fuera de la Unión Europea que realicen negocios con personas o empresas de dichos países, o que realicen tratamiento de datos de ciudadanos o residentes europeos podrían estar sujetas también al cumplimiento de la GDPR y esto podría afectar directamente a varias empresas chilenas.

miércoles, 25 de abril de 2018

El precio de tus datos


Protección de datos personales, nueva oportunidad de negocio

Protección de datos personales, nueva oportunidad de negocio


La controversia generada alrededor de la consultora política Cambridge Analytica y Facebook por la filtración de datos personales de más de 50 millones de usuarios para elaborar perfiles de votantes y apoyar la campaña presidencial de Trump en 2016 revela una oportunidad de crear nuevos negocios en cuanto a la protección de datos personales se refiere, de acuerdo a expertos en comunicación digital y ciberseguridad.
Y es que el valor comercial de los datos es cada vez mayor. De acuerdo a La Comisión Europea, dicho mercado ronda los 400,000 millones de dólares (mdd) y prevé que esta cifra ascienda hasta los 900.000 millones para 2020.
“Los mercados no se equivocan. Si la obtención de tu información personal ya es un negocio para las empresas, la protección de los mismos es la otra cara de la moneda,”afirma Alonso Cedeño, experto en comunicación estratégica y especialista en uso y aplicación de nuevas tecnologías.

De acuerdo a las mismas cifras de crecimiento que Facebook ha compartido, la red social valora el perfil de cada usuario y establece una tarifa en dólares por su información. Esta varía entre las diferentes regiones del globo y es para que las empresas tengan la posibilidad de segmentar su publicidad a niveles muy particulares.
Por ejemplo, el precio promedio por el perfil de un ciudadano a nivel mundial está valuado en 6.18 dólares. Mientras que un ciudadano europeo tiene un valor 8.76 dólares, y un usuario canadiense o de Estados Unidos, puede alcanzar un valor de casi 27 dólares.
Facebook Q4 2017 Results
Foto tomada de investor.fb.com
A todo esto, el Gerente de Seguridad de GeneXus Consulting, Gerardo Canedo, explica que más que el derecho al olvido en la red, la oportunidad para el surgimiento de nuevos negocios radica en consultorías a cumplimiento que se dediquen a la capacitación de usuarios en cuanto a compartir información que pueda comprometer la seguridad de sus datos o los de la empresa en la que laboran.
“El negocio estará en el análisis de riesgo para las empresas y en la concientización de los usuarios”, sostiene el experto en ciberseguridad de GeneXus.
En cuanto al panorama nacional se refiere, el estudio de “Privacidad en México 2016”, elaborado por la consultora PwC, mostró que las empresas en el país no cuentan con el conocimiento adecuado para manejar datos personales de clientes, proveedores y/o trabajadores, que no capacita a su personal para tal procedimiento y que no tiene planeado invertir en tales temas.
“Todo lo que está en la red se guarda. Incluso si se borra un tuit, el internet ya tiene un registro y una copia de lo que se borró”, asegura Canedo y afirma que “los desafíos técnicos para regular el intercambio de información en la red son gigantescos” y que los negocios que quieran emprender en este sector primero deben apegarse a las leyes de cada país y al reglamento interno de cada red social.  
A las acusaciones de Facebook se suma la serie de correos electrónicos y documentos obtenidos por The Intercept en los que se demostraba que el Servicio de Inmigración y Control de Aduanas de Estados Unidos utilizó los datos de la red social para rastrear inmigrantes y deportarlos.
“Hay que tener mucho cuidado y dejar de pensar que las redes sociales son fuente de anonimato, aunque falta una mayor regulación en el espacio virtual, las regulaciones van a evolucionar en temas de regular al usuario”, sostiene Alonso Cedeño.

Luego de este embrollo con Cambridge Analytica y las repercusiones que tuvo en la elección estadounidense del 2016, el fundador de la plataforma social más popular del mundo, Mark Zuckerberg, ofreció disculpas y prometió medidas más estrictas ante al Congreso de EU para proteger la información de sus usuarios, y aunque los nervios de Wall Street le ocasionaron pérdidas de más de 60,000 mdd a su valor de mercado, tras sus comparecencias, las acciones de Facebook subieron más de 5% e impulsaron el valor de la empresa en más de 24,000 mdd.