Fallo: Torres Abad Carmen c/ Estado Nacional-JGM s/ habeas data
Tribunal:
Cámara Nacional de Apelaciones en lo Contencioso Administrativo Federal
Fecha:
3-jul-2018
VISTOS Y
CONSIDERANDO:
Los Sres.
Jueces de Cámara, Dres. Guillermo F. Treacy y Pablo Gallegos Fedriani dijeron:
I.- Que a
fojas 106/108 la jueza de la anterior instancia resolvió rechazar la acción de
amparo promovida por la Sra. Carmen TORRES ABAD. Dicha acción tenía como objeto
preservar la confidencialidad de la información brindada a la Administración
Nacional de la Seguridad Social evitando la utilización de sus datos personales
existentes en la base del organismo previsional para otras finalidades
distintas a aquellas que motivaron su obtención. Para así decidir, sostuvo que el
examen de autos demostró la inexistencia de un agravio, manifiesto y concreto,
respecto al derecho constitucional de intimidad y confidencialidad que esgrime
la amparista. Esta conclusión, la llevó a compartir los fundamentos y el
dictamen del Sr. Fiscal Federal que se agregó como parte integrante de ese
decisorio.
II.- Que
contra dicha decisión, a fojas 109/115 la accionante presenta recurso de
apelación y expresa agravios. En su recurso, manifiesta que la circunstancia de
que se disponga el empleo de las pautas procesales del amparo para canalizar la
pretensión de autos, no desacredita ni desvirtúa el carácter autónomo de la
acción de habeas data. En este sentido, sostiene que no hay necesidad de
acreditar un daño o agravio efectivo para que prospere la acción, sino que la
vía intentada importa la garantía que le asiste al sujeto que se presenta como
titular de los datos. Afirma que “los datos cuya protección se solicita
pretenden ser tratados por la demandada de manera excesiva en relación al
ámbito y finalidad para los que se obtuvieron y su titular goza del derecho de
acceso, rectificación, actualización, supresión y confidencialidad” (fs. 110
vta.). Aclara que el objetivo perseguido por la accionada al acceder a la
información personal difiere de la finalidad para lo cual los datos fueron
obtenidos por la ANSES. Concluye que “el fallo atacado incurre en error de
derecho al omitir ponderar particularizadamente el número telefónico y el
correo electrónico como datos sujetos a autorización del titular. Dicho
desacierto tiene su correlato lisa y llanamente en la inaplicabilidad de la
norma legal, puntualmente en la previsión del consentimiento del titular de los
datos que el artículo 5º de la Ley Nº 25.326 exige para todo otro dato que vaya
más allá de la taxativa enunciación de su inciso c)” (fs. 112).
III.- Que
a fojas 121/129 la demandada contesta los agravios expresados por su contraria.
En su presentación, manifiesta que si bien la recurrente se agravia de los
requisitos que se exigen para la procedencia de la acción, por entender que
estos no se aplican a la acción de habeas data, lo cierto es que tampoco
acredita ni justifica que los mismos se encuentren reunidos en el caso. Expresa
que “la actora da por hecho que la información sobre sus datos, que le brindara
a la ANSES, va a ser utilizada con fines distintos a aquellos que motivaron su
obtención, es decir que torna como inminente que va a ser molestada por el
Estado, o ser sometida a un permanente asedio por vía telefónica o por el envío
de correos electrónicos, lo cual resulta absolutamente falso, amén de no tener
sustento probatorio alguno” (fs. 124). Resalta lo señalado por la jueza a quo,
en el sentido de que ni el número telefónico ni el correo electrónico son datos
considerados sensibles. En este sentido, recuerda que la norma contempla que no
será necesario el consentimiento cuando los datos se recaben para el ejercicio
de funciones propias de los poderes del Estado.
IV.- Que a
fojas 131/132 dictaminó el Fiscal General y a fojas 133 se llamaron autos a fin
de resolver la cuestión planteada.
V.- Que al
respecto, como primera medida, corresponde señalar que la acción de habeas data
-diseñada en el tercer párrafo del artículo 43 de la Constitución Nacional-,
está entrañablemente vinculada al derecho a la intimidad, como un instrumento
destinado a evitar injerencias extrañas en la vida privada, pero también a fin
de proteger el honor, el derecho a la identidad y a la propia imagen. En
definitiva, se trata de una herramienta destinada a proteger esos derechos
frente al registro indiscriminado de datos personales, debido fundamentalmente
a los avances tecnológicos, especialmente en materia de almacenamiento de datos
informáticos (Fallos 321:2767 ; voto del Dr. Petracchi). La Corte Suprema de
Justicia de la Nación ha sostenido también que el hábeas data protege la
identidad personal y garantiza que el interesado -él y sólo él- tome
conocimiento de los datos a él referidos y de su finalidad, que consten en
registros o bancos públicos o los privados destinados a proveer informes.
Constituye, por tanto, una garantía frente a informes falsos o discriminatorios
que pudieran contener y autoriza a obtener su supresión, rectificación,
confidencialidad o actualización” (Fallos:306:1892). Asimismo, se ha señalado que
si bien el tratamiento de la acción de amparo y la acción de habeas data se
ubica en la misma norma de la Constitución Nacional, esta última -a diferencia
del amparo- tiene un objeto preciso y concreto que consiste básicamente en
permitir al interesado controlar la veracidad de la información y el uso que de
ella se haga; este derecho forma parte de la vida privada y se trata, como el
honor y la propia imagen, de uno de los bienes que integran la personalidad
(Fallos 328:797 , disidencia de la Dra. Elena I. Highton de Nolasco).
VI.- Que
con ese encuadre, en el sub lite la actora pretende -mediante la presente
acción de habeas data- que se preserve la confidencialidad de la información
brindada a la ANSES, evitando la utilización de sus datos personales obrantes
en la base del organismo previsional para otras finalidades distintas a
aquellas que motivaron su obtención. Dicho reclamo de la accionante surge a
partir de la cesión de datos estipulada en la Resolución Nº 166-E/2016 de la
Jefatura de Gabinete de Ministros por la cual se aprobó el Convenio Marco de
Cooperación entre la Administración Nacional de Seguridad Social y la
Secretaría de Comunicación Pública. En los considerandos de dicho reglamento se
indicó que los motivos de la recolección de información se sustenta
principalmente en que la mencionada secretaría debe mantener informada a la
población a través de diversas modalidades, que incluyen desde las redes
sociales y otros medios de comunicación electrónicos, hasta el llamado
telefónico o la conversación persona a persona, de forma de lograr con los
ciudadanos un contacto individual e instantáneo. Asimismo, se señaló que
resulta esencial para el Estado Nacional la identificación, evaluación y
análisis de problemáticas o temáticas de interés en cada localidad del país,
así como la comprensión y detección de variables sociales y culturales que
permitan incorporar la diversidad federal en la comunicación pública. En tal
contexto, la cláusula segunda del referido convenio establece que “para el
logro de los objetivos expresados en la cláusula primera, previo requerimiento,
la ANSES remitirá periódicamente la siguiente información que obre en sus bases
de datos: a) Nombre y Apellido; b) DNI; c) CUIT/CUIL; d) Domicilio; e)
Teléfonos; f) Correo Electrónico; g) Fecha de Nacimiento; h) Estado Civil; i)
Estudios.-“.
VII.- Que
para analizar la procedencia de la acción intentada, corresponde -en primer
lugar- señalar las disposiciones de la ley que resultan aplicables al caso. La
acción de habeas data se encuentra reglamentada mediante la Ley Nº 25.326 y, en
lo que aquí interesa, en su artículo 5º establece: “1. El tratamiento de datos
personales es ilícito cuando el titular no hubiere prestado su consentimiento
libre, expreso e informado, el que deberá constar por escrito, o por otro medio
que permita se le equipare, de acuerdo a las circunstancias. El referido
consentimiento prestado con otras declaraciones, deberá figurar en forma
expresa y destacada, previa notificación al requerido de datos, de la
información descrita en el artículo 6° de la presente ley. “2. No será
necesario el consentimiento cuando:[.] b) Se recaben para el ejercicio de
funciones propias de los poderes del Estado o en virtud de una obligación
legal; c) Se trate de listados cuyos datos se limiten a nombre, documento
nacional de identidad, identificación tributaria o previsional, ocupación,
fecha de nacimiento y domicilio; [.]” Ahora bien, a partir de lo dispuesto por
la norma transcripta y lo que surge de la expresión de agravios de fojas 109/115,
la accionante sostiene que existe una “extralimitación” por parte de la
Administración cuando al referirse al tratamiento de datos incorpora a los
listados de datos personales el teléfono y el correo electrónico de las
personas. En este sentido, expresa que dicha información “supera los límites
del listado de datos personales que establece el art. 5 punto 2 inciso c, y por
tanto debe mediar consentimiento del titular” (fs. 112). Añade que “en pleno
auge de la informática y las comunicaciones digitales, bajo ninguna
circunstancia puede admitirse que el número telefónico o el mail no sean dos
datos relevantes con potencialidad de afectar la intimidad y privacidad de los
ciudadanos susceptibles de exponerlos a situaciones ofensivas” y que “no son
datos inocuos o irrelevantes, pues se convierten en extremadamente delicados
mediante un cambio del fin que oportunamente se persigue al momento de su
recolección” (fs. 113). Por su parte, al contestar la expresión de agravios, la
demandada manifiesta que “si bien el número telefónico y el mail no se
encuentran contemplados en el inciso ‘c’ del artículo, sí lo están dentro de lo
establecido en el inciso ‘b’” que se refiere a aquellos datos que se recaben
para el ejercicio de funciones propias de los poderes del Estado, sin perjuicio
de señalar que “ni el número telefónico ni el mail son datos considerados
sensibles” (fs.126). En definitiva, la demandada considera que, en particular,
si bien el teléfono y el correo electrónico no están enunciados en el inciso
c), el tratamiento de esos datos no necesitaría consentimiento ya que a su
entender está habilitada a obtener tales datos en virtud de la excepción del
inciso b).
VIII.- Que
en este contexto, resulta clara la controversia planteada entre las partes. En
primer lugar, se advierte que no hay discrepancias respecto a que no resulta
necesaria la exigencia del consentimiento expreso para la recolección o
tratamiento de los datos personales enunciados en el artículo 5.2 inciso c) de
la Ley Nº 25.326 que, según la doctrina, integran la categoría de “datos
nominativos” por la facilidad de su acceso o por la facilidad en la obtención
de esos datos, que los convierten en “información disponible” (GOZAÍNI, Alfredo
Osvaldo, Habeas Data, Protección de datos personales, Buenos Aires, Rubinzal –
Culzoni Editores, 2002, pág. 79). En cambio, las partes discrepan en cuanto a
si el número telefónico y la dirección de correo electrónico son datos que se
encuentran exceptuados del consentimiento libre, expreso e informado para el
tratamiento de esa información por parte del responsable de un registro público
de datos. Concretamente, la demandada sostiene que -en este caso- también se
produce la excepción prevista en la norma, en cuanto esos datos resultan
necesarios para el ejercicio de “funciones propias del Estado” (art. 5.2 inciso
c] de la Ley Nº 25.326). Cabe aclarar que no resulta acertada la exigencia de
la demostración o la acreditación de un daño concreto por parte de la
accionante -tal como fue expuesto por la jueza a quo y por el Fiscal General en
su dictamen-, ya que el solo tratamiento de los datos -sin la autorización del
interesado- constituye en sí mismo un agravio que la Ley de Protección de Datos
Personales intenta prevenir. Por lo tanto, ante la denuncia de la actora del
tratamiento indebido de sus datos por parte del Estado, compete a los
tribunales adoptar los remedios tendientes a evitar indebidas intromisiones en
su autodeterminación informativa.
IX.- Que
la excepción que invoca la demandada, se refiere a datos de carácter personal
que hayan sido recabados para el desempeño de funciones propias de la
organización estatal. Se ha dicho que “[e]n la práctica, [ello] exime al Estado
de obtener el consentimiento de los titulares de aquellos para proceder a las
operaciones de tratamiento de los mismos, ya que la fórmula resulta tan amplia
e imprecisa que no pone límites razonables a dichas operaciones” (PEYRANO,
Guillermo F., Régimen legal de los datos personales y hábeas data, Buenos
Aires, Lexis Nexis, 2002, pág. 83). Es decir, que “esta liberación ‘en blanco’
aparece como excesiva, por cuanto determinados datos personales y determinados
organismos necesitan el consentimiento de los titulares de los datos para poder
someter esos informes personales a ciertas operaciones de tratamiento. El
consentimiento de la registración de ciertos datos personales, denunciándolos
voluntariamente a ese efecto por el mismo titular, en forma expresa, libre e
informada, no significa que dicho consentimiento se haya prestado para
proporcionar o transferir esos datos a terceros o para su utilización con una
finalidad distinta a la perseguida con la registración” (PEYRANO, Régimen
legal. op. cit., pág. 83). En este mismo sentido, se ha dicho que -en materia
de protección de datos-, “se convierte en un elemento esencial el
consentimiento del afectado por el tratamiento. Todo Banco o Registro público o
privado, que desee tratar datos de personas físicas o jurídicas, como regla
general deberá requerirles previamente su consentimiento para el tratamiento, salvo
que los datos se encuentren en alguno de los supuestos legales que eximen del
mismo” y a tal efecto, que “sólo con una interpretación restrictiva de la ley
se logrará la efectiva protección del derecho a la autodeterminación
informativa” (BASTERRA, Marcela. ”El consentimiento del afectado en el proceso
de tratamiento de datos personales”. Jurisprudencia Argentina. Número Especial,
28 de abril de 2004, pág. 6). En tal orden de ideas, para que proceda la
excepción prevista en el inciso en análisis (art. 5.2 inc. c] de la Ley Nº
26.326), se deben verificar los siguientes requisitos: 1) sólo procede para el
caso en que se recopilen datos con fines de defensa nacional, seguridad pública
o represión de delitos, la que debe tener fundamento estrictamente en una
misión asignada por ley; 2) los bancos de datos a los que la ley concretamente
puede autorizar en un caso concreto a recabar datos sin consentimiento serán
las fuerzas armadas, fuerzas de seguridad, organismos policiales y organismos
de inteligencia; 3) sólo se recopilarán los datos que se necesiten para el
cumplimiento de la misión que la misma ley que autorice el tratamiento
determine; 4) será necesario que, en esos casos concretos, los archivos de
datos fundados en esta disposición sean clasificados por categorías en función
de su grado de fiabilidad (BASTERRA, “El consentimiento.”, op. cit.).
X.- Que a
partir de lo expuesto, se concluye que la regla en materia de tratamiento de
datos -según la Ley Nº 25.326- es el consentimiento del interesado y, las excepciones
a ella, son las previstas en el artículo 5º de ese texto legal, que deben ser
interpretadas de manera restrictiva. En consecuencia, toda vez que ni el número
telefónico ni la dirección de correo electrónico se encuentran dentro de la
categoría de “datos nominativos”, lo cierto es que para que pueda efectuarse la
cesión de estos datos o para el tratamiento de los mismos se requiere el
consentimiento expreso del interesado. Sin embargo, como se ha expuesto, dicho
consentimiento puede no ser necesario cuando esos datos resulten necesarios
para el ejercicio de funciones propias del Estado o en virtud de una obligación
legal. Es en esta excepción que sustenta su postura la demandada. Al respecto,
se advierte que el tratamiento de los datos en cuestión para los fines
perseguidos por la Secretaría de Comunicación Pública, es decir, “mantener
informada a la población” o “la identificación, evaluación y análisis de
problemáticas o temáticas de interés en cada localidad del país”, no son
objetivos que se vinculen con una finalidad de defensa nacional, seguridad
pública o represión de delitos, tal como lo exige la doctrina especializada.
Asimismo, el organismo al cual se cederían esos datos, la Secretaría de
Comunicación Pública dependiente de la Jefatura de Ministros, no tiene
competencias en estas materias. Tampoco podría alegarse que la excepción al
consentimiento se produce “en virtud de una obligación legal”. Ello así, toda
vez que la invocación de una finalidad ad hoc dispuesta en una resolución
administrativa (Resolución Nº 166-E/2016 de la Jefatura de Gabinete de
Ministros), no puede invocarse como excepción a las previsiones de la Ley de
Protección de Datos Personales que exigen el consentimiento expreso del
interesado frente a la protección a la intimidad (o a la autodeterminación
informativa), derecho que posee jerarquía superior ante una invocación genérica
de fines estatales.
XI.- Que sin perjuicio de la conclusión expuesta, y a mayor
abundamiento, debe advertirse que lo previsto en el artículo 11 de la Ley Nº
25.326 tampoco modifica la solución que aquí se sostiene. Dicha norma expresa: ”Los
datos personales objeto de tratamiento sólo pueden ser cedidos para el
cumplimiento de los fines directamente relacionados con el interés legítimo del
cedente y del cesionario y con el previo consentimiento del titular de los
datos, al que se le debe informar sobre la finalidad de la cesión e identificar
al cesionario o los elementos que permitan hacerlo”. Asimismo, se refiere a que
el consentimiento allí referido, no es exigible cuando “[s]e realice entre
dependencias de los órganos del Estado en forma directa, en la medida del
cumplimiento de sus respectivas competencias” (inciso c], punto 3). Ahora bien,
cabe señalar aquí que similar disposición contiene la Ley española de
Protección de Datos de Carácter Personal de España (Ley Orgánica 15/1999) que
admite la comunicación de datos personales entre administraciones, cuando sean
obtenidos o elaborados por una con destino a otra (art. 21 inc. 2º), previendo
en ese supuesto la innecesaridad del consentimiento (art. 21 inc. 4º) (PEYRANO,
“Régimen legal.”, op. cit., pág. 136). Ahora bien, el Tribunal Constitucional
de ese país declaró inconstitucional esa disposición utilizando el siguiente
razonamiento: “.el derecho a consentir la recogida y el tratamiento de los
datos personales (art. 6, LOPD) no implica en modo alguno consentir la cesión
de tales datos a terceros, pues constituye una facultad específica que también
forma parte del contenido del derecho fundamental a la protección de tales
datos. Y, por tanto, la cesión de los mismos a un tercero para proceder a un
tratamiento con fines distintos de los que originaron su recogida, aun cuando
puedan ser compatibles con estos (art. 4.2, LOPD) supone una nueva posesión y uso
que requiere el consentimiento del interesado. Una facultad que sólo cabe
limitar en atención a derechos y bienes de relevancia constitucional y, por
tanto, esté justificada, sea proporcionada y, además, se establezca por ley,
pues el derecho fundamental a la protección de datos personales no admite otros
límites”. En esta línea de análisis, sostiene que “el interesado debe ser
informado tanto de la posibilidad de cesión de sus datos personales y sus
circunstancias como del destino de estos, pues sólo así será eficaz su derecho
a consentir, en cuanto facultad esencial de su derecho a controlar y disponer
de sus datos personales. Para lo que no basta que conozca que tal cesión es
posible según la disposición que ha creado o modificado el fichero, sino también
las circunstancias de cada cesión concreta. Pues en otro caso sería fácil al
responsable del fichero soslayar el consentimiento del interesado mediante la
genérica información de que sus datos pueden ser cedidos. De suerte que, sin la
garantía que supone el derecho a una información apropiada mediante el
cumplimiento de determinados requisitos legales (art. 5 L.O.P.D.) quedaría sin
duda frustrado el derecho del interesado a controlar y disponer de sus datos
personales, pues es claro que le impedirían ejercer otras facultades que se
integran en el contenido del derecho fundamental al que estamos haciendo
referencia” (Tribunal Constitucional de España. Pleno. Sentencia 292/2000, de
30 de noviembre de 2000. Recurso de inconstitucionalidad 1.463/2000. Ref. BOE-T-2001-332,
disponible en: https://www.boe.es/boe/dias/2001/01/04/pdfs/T00104-00118.pdf). Tales conclusiones también son válidas en el marco de la Ley Nº
25.326, conforme a la cual la habilitación para ceder datos de carácter
personal entre órganos del Estado, sin el consentimiento de sus titulares, debe
ser interpretado de manera restrictiva. Ello, a fin de evitar la vulneración
del derecho a la autodeterminación informativa que posee todo titular de datos
que se encuentren en registros públicos o privados (art.43, tercer párrafo y 19
CN). Debe advertirse, a la luz de la doctrina y la jurisprudencia comparada,
que toda intrusión en la esfera de datos de una persona debe estar rigurosamente
justificada con base legal, sin que proceda la invocación de excepciones
genéricas que desnaturalicen ese derecho.
XI.- Que
en este contexto, resulta necesario advertir -en primer lugar- que los datos
que la Administración pretende ceder (en concreto el número telefónico y la
dirección de correo electrónico) se efectúa para llevar a cabo una finalidad
distinta de aquella por la cual la ANSES recolectó esos datos. Es decir, que
este último organismo puede requerir del interesado el número telefónico y su
dirección de correo electrónico a los fines de llevar a cabo una eficiente
comunicación con el administrado en relación con trámites administrativos (de
naturaleza previsional) que lo involucran. En cambio, la cesión de esos datos a
la Secretaría de Comunicación Pública tendría como fin, tal como está indicado
en la resolución administrativa, lograr objetivos o finalidades distintas a las
que oportunamente llevaron a la ANSES a requerirlos.
En
consecuencia, el Tribunal concluye que si -como ocurre en el sub lite- el
administrado no presta su consentimiento expreso para el tratamiento de datos
como su número telefónico o su dirección de correo electrónico, el organismo
que los obtuvo no puede cederlos ni debe darlos a conocer, ya que se encuentran
bajo la protección de la Ley Nº 25.326. Ello, sin que se advierta que se
configuren las situaciones de excepción que contemplan el artículo 5.2 inciso
b) de la Ley Nº 25.326 o el artículo 11 del mismo cuerpo legal. Por lo tanto,
ante la negativa expresa por parte de la accionante de prestar su
consentimiento para el tratamiento de tales datos, la acción intentada resulta
procedente. ASÍ VOTAMOS.
El Sr.
Juez de Cámara, Dr.Jorge Federico Alemany adhiere en lo sustancial al voto que
antecede.
En
consecuencia, por las consideraciones precedentes, el Tribunal RESUELVE:
1) Revocar
el pronunciamiento apelado, hacer lugar a la acción de habeas data interpuesta
por Carmen ABAD TORRES y ordenar a la ANSES que, respecto de los datos
referentes a la actora, que no integran los datos enunciados en el inciso c)
del punto 2 de la Ley Nº 25.326, se abstenga de someterlos al tratamiento de
datos; disponiéndose en particular que no pueden ser cedidos en el marco de la
Resolución Nº 166-E/2016 de la Jefatura de Gabinete de Ministros por la cual se
aprobó el Convenio Marco de Cooperación entre la Administración Nacional de
Seguridad Social y la Secretaría de Comunicación Pública; 2) Imponer las costas
de ambas instancias a la demandada vencida (art. 68 del CPCCN).
Regístrese,
notifíquese y devuélvase.
Guillermo
F. TREACY
Pablo
GALLEGOS FEDRIANI
Jorge
Federico ALEMANY
Artículo
publicado acerca del tema objeto del fallo en: Diario
DPI Suplemento Derecho y Tecnologías Nro 26 – 12.10.2016
La
cesión de los datos personales de la Administración Nacional de Seguridad
Social a propósito del dictado de la Resolución 166/2016 y sus anexos.
Por Matilde S. Martínez [1]
Introducción.
La Jefatura de Gabinete
de Ministros ha dictado la Resolución 166/2016[2], por la cual se aprueba el
Convenio Marco de Cooperación entre la Administración Nacional
de Seguridad Social (ANSES) y la Secretaría de Comunicación Pública dependiente
de la Jefatura de Gabinete, con la
finalidad de realizar el intercambio electrónico de información contenida en
las bases de datos de ambos Organismos. A tales efectos la ANSES remitirá
periódicamente la siguiente información de toda la base de datos de sus empadronados:
nombre y apellido; DNI; CUIT/CUIL; domicilio; teléfonos; correo electrónico;
fecha de nacimiento; estado civil; estudios. El objeto sería utilizar dicha
información para mantener informada a la población, identificar y analizar las
problemáticas o temáticas de interés en cada lugar del país y comunicar las
acciones de gobierno relacionadas tomando contacto con la población a través de
diversas modalidades que incluyen redes sociales, otros medios de comunicación
electrónicos, llamados telefónicos o conversación personal.
Esta resolución ha sido altamente
cuestionada por los distintos sectores de la población, en relación a su
legalidad y la hipotética violación a la ley 25.326[3] de Protección de los Datos
Personales y su Decreto Reglamentario 1558/2001[4] y a ello hemos de
referirnos en este espacio.
Análisis
de la normativa vigente en materia de protección de datos personales en
Argentina
En primer lugar debemos
aludir a las principales normas de la ley citada relacionadas con el tema en
cuestión. Así comenzaremos por los principios de calidad de los datos del art.
4° y principalmente al inciso 1) en cuanto establece que “Los datos
personales que se recojan a los efectos de su tratamiento deben ser ciertos,
adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para
los que se hubieran obtenido” y el inc. 3) que expresa “Los datos objeto de
tratamiento no pueden ser utilizados para finalidades distintas o incompatibles
con aquellas que motivaron su obtención”. Adecuación, pertinencia y no
excesividad se han considerado como el “principio de proporcionalidad”, pero
además los datos no podrán ser tratados
para finalidades distintas o incompatibles para la cual fueron recabados. El
art. 11 de la misma ley reglamenta la cesión de los datos estableciendo en su
inc. 1) que “Los datos personales objeto de tratamiento sólo pueden ser cedidos
para el cumplimiento de los fines directamente relacionados con el interés
legítimo del cedente y del cesionario y con el previo consentimiento del
titular de los datos, al que se debe informar sobre la finalidad de la cesión e
identificar al cesionario o los elementos que permitan hacerlo”. El mismo
artículo trata las excepciones a la prestación del consentimiento por parte de
los titulares de los datos. Así el inc. 3) c) y en relación al tema en análisis
expresa que el consentimiento no será exigido cuando: “se realice entre
dependencias de los órganos del Estado en forma directa, en la medida del
cumplimiento de sus respectivas competencias”. Aquí debemos recordar que
nuestra ley 25.326 es una adaptación de la LORTAD (Ley Orgánica de Tratamiento
Automatizados de Datos de Carácter Personal) española. Esta ley contenía en su
art. 19 inc. 1)[5] una norma de similares características a las del art. 11.3.c) de nuestra LPDP, la
que fue muy cuestionada en España por abusiva. Consecuentemente en la Ley
Orgánica 15/1999 de carácter Personal española que suplanta a la LORTAD, en su
art. 21 trata la cesión de datos entre Administraciones Públicas que podrán
realizarse sin consentimiento del titular de los datos (21.4. LOPD)
estableciendo lo siguiente (21.1 LOPD) “Los datos de carácter personal
recogidos por las Administraciones públicas para el desempeño de sus
atribuciones no serán comunicados a otras Administraciones públicas para el
ejercicio de competencias diferentes o de competencias que versen sobre
materias distintas…”[6]
Fernández Salmeron,[7]
interpretando a contrario sensu, explica
que esta norma dispone dos supuestos: el primero cuando se trate del ejercicio
de las mismas competencias y el segundo cuando se trate de competencias
distintas que versen sobre la misma materia. Ejemplos del primer supuesto sería
la cesión de datos entre universidades públicas para traslados de expedientes,
cesiones de datos de los ficheros municipales tales como “multas de tráfico”,
“precios públicos”, “recibos/liquidaciones”, “contribuyentes” etc, siempre que
se trate de la misma competencia en todos los casos: gestión recaudatoria de
deudas de derecho público. Ejemplo del segundo supuesto serían las cesiones
operadas por un Ayuntamiento a favor de diversos órganos y entes de la
Comunidad Autónoma (Dirección General e Inspección de Consumo; Junta Arbitral
de Consumo; Servicios de salud, etc.) de los datos integrados en ficheros
relativos a reclamaciones, quejas y denuncias de consumo, en la medida en que
la legislación en esta materia articula de este modo las competencias. Es
importante destacar que el Tribunal Constitucional Español por Sentencia
292/2000 declaró la inconstitucionalidad y nulidad del párrafo del art. 21.1
que preveía la comunicación sin consentimiento del titular de los datos cuando
dicha comunicación hubiera sido prevista por disposiciones de rango inferior a
la ley por entender que la previsión de una norma reglamentaria no constituía
garantía suficiente para el derecho a la protección de los datos personales.
Acerca del ejercicio de
la cesión de los datos sin consentimiento de sus titulares entre órganos del
Estado del art. 11.3.c) de la ley
25.326, Peyrano ha expresado que debe ser interpretado de modo restrictivo
atendiendo a lo sucedido en España con una norma similar.[8]
A
modo de conclusión
Las autoridades de
gobierno han fundamentado el dictado de la resolución cuestionada (cesión de
datos personales de la base de datos de la ANSES a la Secretaría de
Comunicación Pública) en la norma del art. 11.3.c) de la ley 25.326. Como
podemos observar no han tenido en cuenta para ello, los valiosos antecedentes y
experiencia surgidos como consecuencia de la aplicación de la ley española seguida
del pronunciamiento de la Sentencia del Tribunal Constitucional de España en
relación al tema controvertido. Sería deseable que la norma del art. 11 en la
parte referida sea modificado en una posible reforma de la LPDP, la que
actualmente se está llevando a cabo a instancia de la Dirección Nacional de
Protección de Datos Personales, a través del Plan “justicia 2020” (plan de
gobierno para la reforma judicial) por el que se convoca a todos los
interesados a la participación para tal cometido. Pero aún más importante sería
que el tema sea del interés de los legisladores del Congreso de la Nación
cuando el proyecto de reforma de ley llegue al recinto para su tratamiento y
sanción, dándole al artículo un alcance preciso y claro en pos de la protección
de los datos personales de los administrados. No obstante ello, cuando los
titulares de los datos personales consideren que se han violado sus derechos
como consecuencia de la aplicación de ésta norma podrán ejercer el derecho de
supresión de los datos establecido por la ley 25.326 de Protección de los Datos
Personales.
[1] Matilde S.
Martínez. Abogada (UBA). Especialista Universitario de Protección de Datos y Privacidad,
Universidad de Murcia, España. Miembro del Instituto de Derecho
Informático y del Instituto de Derecho Bancario del CPACF. Estudios de
posgrado: Derecho Constitucional y Procesal Profundizado; Derecho Bancario;
Mediadora prejudicial. Ex asesora legal
de Citibank N.A. Auditora de la
Auditoria General de la Nación. Autora de publicaciones en revistas jurídicas:
El Derecho, Microjuris, otras y del libro Hábeas Data Financiero. Integrante y coautora del equipo coordinado
por Daniel López Carballo del "Estudio sobre las garantías en materia de
protección de datos y hábeas data: una visión desde Iberoamérica" que
obtuvo el Accésit Premio Nacional de Investigación de la Agencia Española de
Protección de Datos, 2015. Profesora de
posgrado del Módulo de Informes Crediticios
y del Módulo Protección de Datos Personales -Derecho al olvido- en la Especialización de Derecho Informático de la UBA. Site: http://www.habeasdatafinanciero.com,
e-mail: mmartinez@habeasdatafinanciero.com
[5] Peyrano Guillermo
F. Régimen Legal de los Datos Personales y Hábeas Data. LexisNexis. Depalma. 2002. P.136
[6] El art. 21.1 LOPD
continúa …”salvo cuando la comunicación hubiere sido prevista por las
disposiciones de creación del fichero o por disposición de superior rango que
regule su uso..” Este párrafo fue declarado inconstitucional y nulo por
Sentencia del Tribunal Constitucional 292/2000, 30 noviembre (B.O.E. 4 enero
2001)
[7] Fernández
Salmeron, Manuel. Ficheros de
titularidad pública. Material del curso Especialista Universitario de
Protección de Datos Personales y Privacidad, Facultad de Derecho, Universidad
de Murcia. 2012
[8] Peyrano G. F. Op.
Cit. P. 137