DECLARACIÓN DE RIOBAMBA

OBSERVATORIO IBEROAMERICANO DE PROTECCIÓN DE DATOS

Hacia la unificación de criterios y medidas de seguridad en protección de datos

Desde la evolución del ser humano, el acceso y la creación de la información ha sido constante, es así que al verse basta y extensa en el mundo entero, ha necesitado de un cierto cuidado sobre todo por el tipo de información que se percibe y recepta entre intercomunicadores, con más motivo la de carácter sensible, por lo que para la protección de la información y el dato, y con el pasar del tiempo, se han creado medidas que puedan asegurar su privacidad y legitimidad frente a terceras personas que quieran hacer un mal uso de esta o inclusive apoderarse con fines pecuniarios.

La ausencia de una cultura en seguridad de la información por parte de administraciones públicas, empresas y ciudadanos es palpable. Ello origina riesgos de seguridad de los datos ante la no adopción de medidas que precautelen su seguridad, así como para evitar la obtención de ventajas derivadas de la implantación (mejora de la imagen corporativa, aseguramiento de la continuidad del negocio ante eventos relacionados con la seguridad de la información…).

La Comisión Europea en el documento «La protección de la privacidad en un mundo interconectado. Un marco europeo de protección de datos para el siglo XXI», de 25 de enero de 2012,  utiliza la expresión “nuevo y complejo entorno digital actual” para referirse al contexto en el que se le plantean retos a la protección de los datos de carácter personal, una expresión que también resulta de aplicación a los retos que, con carácter general, se le plantean a la seguridad de las tecnologías de la información y la comunicación.

Esa complejidad a la que hace referencia la Comisión Europea está formada por diferentes variables, todas y cada una de ellas a su vez con sus complejidades:

1. La rápida evolución de las tecnologías y de su uso social: en el desarrollo e implementación de los productos y soluciones tecnológicas, pero también en su uso, se prioriza la funcionalidad, por encima de otros criterios, como el de la seguridad de la información, que suele descuidarse o dejarse en un segundo término; ese acelerado ritmo de propuestas tecnológicas y de servicios difícilmente pueden ser asumido por los legisladores y reguladores, al menos con los mecanismos normativos tradicionales.

2. La extraordinaria capacidad de procesamiento de la información: tanto desde la perspectiva cuantitativa (volumen de información), como cualitativa (diferentes tipos de informaciones), con efectos positivos, pero también con impactos negativos, ya que esas capacidades también se ponen al servicio de lo ilícito.

3. El hecho de que la información tenga un valor económico: la información es un objeto susceptible de comercialización, la compra/venta de información tanto de manera lícita como ilícita, constituye una actividad más de negocio, formando ya parte esencial y motor de la economía del siglo XXI, donde el desarrollo de la sociedad de la información y progreso económico van estrechamente unidos, pero en paralelo también se ha incorporado al catálogo de actividades delictivas de grupos altamente organizados y profesionales. Los “ciberataques” masivos, sin otro objetivo que entorpecer o importunar, han pasado a la historia, ahora se trata de ataques directos, absolutamente dirigidos, que tienen objetivos e intereses  claros y definidos. Hay que destacar que incluso personas en el mercado de la Deep Web venden sus conocimientos para el hurto de información a terceras personas como industrias, corporaciones, para otras en ventaja de la información que poseen pueden generar más que las empresas de su competencia, en lo que se denomina “competencia desleal”, más por la atribución de tener información adicional ilícitamente.

4. La confrontación entre la seguridad pública y los derechos y libertades individuales: las tecnologías, y especialmente Internet, están mermando sustancialmente los logros en derechos y libertados conseguidos a lo largo de varios decenios, la intromisión en la vida privada, la alteración de la presunción de inocencia o la censura de Internet, son tan solo unos ejemplos de las actividades lideradas por los Estados cuando actúan como garantes de la seguridad pública o nacional.

5. La globalidad del entorno digital: lo que comporta, a la práctica, la transformación del concepto de territorialidad y de las fronteras entre estados, con las dificultades que ello conlleva para la aplicabilidad de las normas, la determinación de la jurisdicción competente y la ejecución de las decisiones de las autoridades, aunque todo ello solo sea, en estos momentos, “la punta del iceberg”.

Si a esa complejidad le añadimos los diferentes actores que despliegan su papel en ese escenario, esa complejidad se ve claramente amplificada. Las empresas y grandes corporaciones con sus intereses empresariales, los ciudadanos de manera individual o colectiva, lo que incluye a los menores, los grupos de presión de diversa índole y tendencia, los estados con sus servicios de inteligencia y cuerpos de seguridad, la delincuencia organizada, los grupos de activistas, y otros actores, todos ellos actuando en el mismo plano pero con diferentes intereses y capacidades. Incluso, se está produciendo un cambio en los hábitos de la criminalidad , y del espionaje y “guerra” entre países. Así, sobre el primero, crece la criminalidad en la red bajando la que se produce en el mundo real; sobre la segunda, se habla de de “ciber-guerra”.

A toda esa magnitud del entorno digital se une el hecho de que las relaciones laborales, interpersonales, educativas, de ciudadanía, de negocio, etc., se despliegan tanto en el plano presencial como en el plano lógico o virtual, de manera que la realidad finalmente está formada por la suma de ambos espacios, lo que sucede en el plano virtual tiene consecuencias en el plano físico, y viceversa.

Si a todo lo antedicho le sumamos una generalizada falta de cultura de seguridad de la información, especialmente entre la ciudadanía, todo y que no exclusivamente, ya que también afecta a las empresas y al sector público, que con carácter general no son conscientes de los riesgos que para sus actividades, incluso para su supervivencia, conlleva la no implantación de las medidas de seguridad de la información adecuadas, es decir, basadas en la evaluación y gestión de los riesgos a que están sujetos sus sistemas de información, junto con el hecho de que tampoco dedican demasiados esfuerzos a la gestión de su seguridad, da como resultado un panorama, al menos desde la perspectiva de la seguridad de la información, cuando menos, caótico.

Estamos ante un cambio de paradigma de las amenazas a que están expuestos los sistemas de información, lo que hace preciso un cambio de actitud, si bien los principios tradicionales de la seguridad de la información siguen siendo vigentes deben ser potenciados y reforzados para minimizar los impactos negativos.

Los impactos negativos o mínimos se potenciarían educando a la ciudadanía en los lineamientos de la Sociedad de la Información brindando herramientas para que estos puedan proteger sus datos del entorno digital que hoy en dia compromete y rodea al menos a un cuarto de la población mundial quien tiene acceso a algún tipo de tecnología en donde su información personal puede ser vulnerada.

Cuestiones tan simples como la implantación de medidas de seguridad preventivas, reactivas y de recuperación, es decir, saber cómo actuar para protegerse antes, durante y una vez se ha producido el incidente, no forman parte de las prioridades, ni tan solo de la cultura, de la mayoría de los actores que desarrollan sus actividades en plena sociedad de la información.

Las consecuencias negativas de no tener en cuenta, con suficiente antelación y de manera planificada, como proteger los sistemas de información resultan evidentes, lo mismo de evidentes deberían ser los impactos positivos derivados de la capacidad para prevenir y reaccionar antes de que se produzcan los ataques a los sistemas de información, y de recuperar la situación previa al incidente de seguridad, con las mínimas afectaciones posibles.

La seguridad de la información debe ocupar por tanto el lugar que le corresponde, debe estar presente, junto con los aspectos funcionales y de negocio, en las primeras etapas de desarrollo de las soluciones y productos tecnológicos, y de sociedad de la información, pero también debe gestionarse de manera continuada y adecuada. La apuesta e impulso por el privacy by desing, es decir, que el producto o servicio desde su gestación esté empapado de privacidad ofrecen gran utilidad ya que uno de sus pilares debe ser la seguridad de los datos.

Cada empresa esta constituida por diversos elementos, cada uno de ellos son los que le otorgan la eficacia y sostenibilidad necesaria para que la empresa pueda mantenerse estable. Dentro de estos activos, necesariamente se debe hablar de la seguridad de información, esto en el entendido de que las empresas y su “saber industrial”, su “saber como” y “datos privados sobre sus clientes” es traducido y plasmado en bits, es decir,  su manera de comportarse y con quienes se comportan las empresas, se encuentra almacenado de manera digital ya sea en sus mismas oficinas, o en un servicio de cómputo en la nube externo.

Es precisamente este elemento de información, aquel que podría reflejarse como el esqueleto del  modelo de negocios de la empresa, es tal la importancia de esta información, que de ser obtenida de manera ilegítima, podría significar que la copia y simulación de los modelos, al igual que la desacreditación de la empresa, por la fácil obtención de datos privados de su cartera de clientes.

Mientras más importante sea un elemento en la empresa, mayor debe ser la tutela que reciba por la misma, al momento en que se comprende el valor de la información y su  fragilidad en cuanto a su destrucción, manipulación y acceso indebido, es cuando las empresas deben velar por la implementación de medidas de seguridad.

Cuando pretendemos respetar las normativas de privacidad de los distintos Estados Iberoamericanos, lo natural es acudir a la legislación propia de cada territorio y comprobar cuales son los principios rectores y las medidas de seguridad aplicables. Pues bien, ese listado de medidas de seguridad  tanto técnicas, organizativas como jurídicas, se deben implementar en toda entidad que trate datos de carácter personal en aras de proteger los mismos. Son medidas  que deben ser homogéneas para permitir la interoperabilidad de protocolos de seguridad, redes y sistemas en un mundo globalizado. Estas medidas además no tienen en cuenta la dimensión y especificidades de las organizaciones basándose, en su mayoría,  únicamente en la sensibilidad de la información personal tratada.

Además, no debemos considerar que la adopción de las medidas de seguridad es únicamente un trámite impuesto por la normativa, sino que su función principal es asegurar los activos de la organización, que no son otros que los datos de las personas.

Pero la tendencia de las legislaciones de privacidad es alcanzar una mayor personalización al proteger la información personal de los individuos que se relacionan con las entidades y conseguir que éstas controlen y resuelvan más eficazmente las posibles fugas de información. Para lograr este segundo objetivo un ejemplo es Europa, en el nuevo Reglamento que se está preparando, encontramos la obligación de comunicar a las autoridades de control las brechas de seguridad que se produzcan en un periodo de tiempo relativamente corto, 72 horas. Esta obligación de notificar es incluso posible que se extienda a los afectados por la misma como ya ocurre con los operadores de servicios de telecomunicaciones. De esta forma, se busca una proactividad, de manera que los afectados puedan adoptar las medidas que fuesen necesarias para proteger sus datos (como por ejemplo, cambiar una contraseña si ha habido una fuga de las mismas que afecten a gran cantidad de usuarios), así como una transparencia en la gestión por parte de las organizaciones. Por lo tanto, la tendencia de introducir medidas destinadas a favorecer el principio de accountability o rendición de cuentas por parte de empresas, corporaciones o administraciones públicas, debería generalizarse ya que obligan a tomar en cuenta la seguridad de los datos.

Por otra parte, se intenta personalizar las medidas a ejecutar estableciendo la obligación de elaborar las llamadas “evaluaciones de impacto sobre privacidad”(Privacy Impact Assessment). Se trata de un informe que al igual que la Privacidad por Diseño, también está previsto en el futuro Reglamento de Protección de Datos de la Unión Europea y se encuentra vigente ya en algunos países sobre todo de influencia anglosajona. Así, por ejemplo, el organismo supervisor de protección de datos en el Reino Unido el ICO (Information Commissioner´s Office) ha elaborado varios manuales en los que se explica cómo elaborar una PIA. En España la Agencia Española de Protección de Datos está trabajando en esa misma línea aunque de momento no será obligatorio realizarla. Con este panorama y siendo una medida que refuerza la seguridad de los datos se hace necesario su generalización en las diferentes legislaciones sobre privacidad y seguridad de la información.

Esta “declaración de impacto” es una obligación similar a las evaluaciones de impacto ambiental exigidas en las distintas normativas. Una declaración de impacto no debe ser una mera verificación de cumplimiento normativo. Consiste en la elaboración por parte del Responsable del Tratamiento de un análisis de riesgos con la finalidad de determinar si el tratamiento que llevará a cabo entraña riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines. Un hecho a destacar es que las autoridades de control podrán conocer estas evaluaciones de impacto puesto que deberán hacerse públicas las conclusiones por el equipo encargado de realizarlas,  por ejemplo por medio del sitio web de la organización.

Las evaluaciones deberían contener, como mínimo una descripción general de las operaciones de tratamiento previstas, una evaluación de los riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a los riesgos y las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos  personales.

Además, para realizar un PIA es importante que exista una colaboración total en la organización, de forma que participen todos los agentes implicados (por ejemplo, el departamento jurídico junto con el departamento que haya desarrollado una aplicación).

El responsable del tratamiento tiene que recabar la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.

Otra buena práctica aun sin ser obligatoria puede ser la autorregulación por parte de la entidad adoptando un sistema de gestión de seguridad de la información ISO 27001. Esta medida reforzaría uno de los pilares de una Declaración de Impacto, a saber la seguridad de los datos, eso sí teniendo presente que los riesgos de incumplimiento normativo deben ser evitados o eliminados, nunca asumidos, como así se indicó en la 6ª Sesión Anual Abierta de la Agencia Española de Protección de Datos.

Desde un punto de vista jurídico, la adopción o no de las medidas de índole técnica y organizativas destinadas garantizar la seguridad de los datos tiene unas claras consecuencias.

Así nos encontramos ante una normativa de privacidad relativamente joven en todos los países de Iberoamérica. Este hecho provoca el desconocimiento de los preceptos que conforman las mismas. Un problema, sin duda, en el momento de implementar las obligaciones recogidas, pero que se acrecienta cuando una organización recibe una sanción establecida en dichas normativas por la desestabilización económica que puede sufrir la entidad.

Para garantizar el adecuado tratamiento de los datos personales, uno de los elementos más importantes para cumplirlo y alcanzarlo son las medidas de seguridad, las cuales y como encontramos en diversas legislaciones iberoamericanas, no solo se refieren a elementos técnicos o informáticos, sino que se refieren también a elementos administrativos o físicos que permitan la protección de los datos personales y que eviten la pérdida, alteración, destrucción, acceso, uso o tratamiento no autorizado.

Ahora bien, realizando un viaje por algunas de las legislaciones que en materia de datos personales existen en Iberoamérica, nos encontramos con el hecho de que en términos generales se establece la obligación para el responsable, encargado o usuario de los archivos de datos de adopte las medidas se seguridad técnicas, administrativas o físicas, que le permitan garantizar la seguridad y confidencialidad de los datos personales, evitando con ello riesgos o usos, accesos y tratamientos no autorizados o fraudulentos.

En algunas legislaciones como la mexicana y la costarricense, se establece que para el establecimiento de las medidas de seguridad los responsables no adoptarán medidas de seguridad menores a las que utilicen para su propia información o los que sean adecuados a los desarrollos tecnológicos o mecanismos de seguridad adecuados.

Para lo anterior, el esquema de implementación de las medidas de seguridad consistirá en la adopción de ciertos elementos y características generales que se irán adecuando a las necesidades de las empresas, organizaciones o modelos de negocio de los que se trate.

Citando lo establecido en las mencionadas legislaciones de México y Costa Rica, para determinar las medidas de seguridad el responsable o en su caso, encargado del tratamiento deberá considerar al momento de determinar las medidas de seguridad aplicables a cada organización el riesgo inherente por tipo de dato personal, la sensibilidad de los datos personales tratados, el desarrollo tecnológico, las posibles consecuencias de una vulneración para los titulares, el número de titulares de datos personales, las vulnerabilidades previas ocurridas en los sistemas de tratamiento, el riesgo por el valor potencial (cuantitativo/ cualitativo) que pudieran tener los datos personales tratados para terceras personas no autorizadas y los factores que puedan incidir en el nivel de riesgo o que provengan de otra legislación aplicable al responsable.

Una vez definidas las medidas de seguridad por parte del responsable, para garantizar su cumplimiento, ejecución y seguimiento, a su vez, el responsable deberá considerar acciones tales como la descripción detallada del tipo de datos tratados y almacenados, el inventario de datos personales, sistemas de tratamiento e infraestructura tecnológica utilizada, análisis de brecha (diferenciación entre medidas de seguridad existentes y las faltantes) y el plan de trabajo para implementar las medidas de seguridad faltantes (análisis de brecha), entre otras.

Adicional a lo anterior, México, por ejemplo, remitió las Recomendaciones en materia de seguridad de datos personales y mediante las cuales, se exhorta a los responsables y en su caso, encargados, para que adopten un Sistema de Gestión de Seguridad de Datos Personales basado en el ciclo PHVA (Planear-Hacer-Verificar-Actuar).

Con dichas Recomendaciones se pretende facilitar a los responsables el contar con una guía que les permita mantener vigente el cumplimiento de la legislación y fomentar las buenas prácticas en materia de datos personales.

Por otra parte, nos encontramos otro tipo de legislaciones que catalogan los datos personales o las medidas se seguridad en niveles y en base a los mismos, establecen o enuncian los diferentes parámetros o elementos que permitan garantizar la seguridad de los datos personales.

Ejemplo de lo anterior lo encontramos en la legislación argentina, la Disposición 11/2006 sobre las Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados, se clasifican las medidas de seguridad en tres niveles: básico, medio y crítico (aplicable a archivos, registros, bases y bancos de datos personales sensibles).

Sigue un sistema similar en cuanto a la implementación de las medidas de seguridad, es Perú, ya que tanto en el Reglamento de la Ley de Datos Personales como en la Directiva de Seguridad de la Información, establecen diferentes niveles de datos personales y sus correspondientes medidas de seguridad, donde se establecen los lineamientos para determinar las medidas de seguridad mediante un sistema de categorización más complejo y detallado que en el caso anterior, para cada grupo se consideran variables sobre el tipo de dato; así como variables cuantitativas relacionadas con el número de personales respecto de las cuales se maneja la información y el número de datos personales que son contenidos o tratados en cada base de datos, estableciéndose los niveles básico, simple, intermedio, complejo y crítico.

De manera relacionada a las medidas de seguridad, las distintas legislaciones contemplan el hecho de que en caso de que lleguen a existir vulneraciones a la seguridad durante el tratamiento de los datos, los responsables tendrán la obligación de informar de manera inmediata al titular (en el caso de México, Uruguay y Costa Rica) o a la autoridad competente (en el caso de Colombia). Con la finalidad de que el titular pueda tomar las medidas necesarias o prudentes en defensa de sus derechos y/o de que las autoridades puedan ejercer las acciones que permitan efectuar las investigaciones o procedimientos judiciales o administrativos que correspondan.

Las sanciones que más proliferan son las administrativas a lo largo de los textos legales, y en caso de no implementar alguna de las medidas de seguridad, las sanciones alcanzan sumas económicas muy elevadas, llegando a poner en jaque la estabilidad del negocio del que las recibe. En todo caso, no debemos olvidar  que la normativa europea permite que en la vía jurisdiccional ordinaria una persona reclame a una entidad privada una indemnización cuando considera que la vulneración de sus derechos le ha provocado daños y perjuicios. En el caso de las entidades públicas, como norma general, la indemnización se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones Públicas.

En tanto el tratamiento de datos personales afecta a la esfera más íntima de las personas y su protección viene recogida en la mayor de Constituciones iberoamericanas, en aras a una mayor defensa del derecho al honor, a la privacidad, al buen nombre y la intimidad de las personas, se debe dotar el ordenamiento penal de instrumentos preventivos y coercitivos que eviten conductas delictivas que pongan en juego la seguridad de la información, ataques, tráfico de datos, accesos no autorizados, suplantación de identidades o utilización de la información con finalidades al margen de la ley.

Por otra parte y desde el punto de vista administrativo, existe la figura del apercibimiento que se ha introducido en los últimos tiempos con el objetivo que las instituciones reaccionen y cumplan con las medidas de seguridad bajo la amenaza de sanción económica.

En cambio,  en algunos Estados como México sí que se establecen sanciones penales o privativas de libertad en caso de no cumplir con las obligaciones fijadas en la normativa de protección de datos. Alcanzando hasta los diez años de cárcel en los casos más graves.

No cabe duda que en innumerables ocasiones las sanciones económicas han sido desproporcionadas y no han tenido en cuenta la dimensión de la entidad que las recibe. Se han debido cerrar negocios por el hecho de no poder afrontar la cuantía impuesta por una autoridad de control, por ello la tendencia actual es a modular la sanción en relación al volumen de negocio de la entidad y, sobretodo, atenuarlas en base al espíritu y preocupación empresarial en la  implementación de medidas de seguridad de protección de datos personales.

La seguridad en toda la amplitud de la palabra, debe hacer referencia a otorgar intangibilidad al activo, la certeza que no será destruido ni dañado, o accedido por terceros no autorizados. La seguridad que ha de buscarse dentro de una institución no debe ser sólo la seguridad informática, sino la seguridad de la información, en el entendido de que una cultura de seguridad debe ser cultivada de manera interna y en todos los niveles tanto administrativos como ejecutivos, no siendo confiada sólo a dispositivos electrónicos programados.

Si bien la información es un activo de la empresa, y la fuga o vulneración del mismo supone, grandes pérdidas monetarias, no se puede olvidar que la implementación de medidas de seguridad, es una inversión cuyas ganancias son vistas a largo plazo. Estos beneficios se traducen en generación de confianza, imagen corporativa, optimización de recursos y capital humano y trazabilidad de la información entre otros.

Mediante la delimitación de perfiles de usuarios en el acceso a la información conforme a las funciones que desarrollan y su puesto de trabajo se optimiza el tiempo dedicado, asignado a cada empleado los recursos necesarios para desarrollar su trabajo, con lo que conseguimos por un lado optimizar el tiempo real de trabajo (ya que sólo podrá acceder a la información precisa para sus funciones) y por otro, un uso racional de lo recursos. Como consecuencia de la adecuación de los procedimientos y sistemas en protección de datos, se pueden descubrir procesos innecesarios, redundantes, o ineficientes que pueden mejorarse sustancialmente con muy poco esfuerzo.

Proteger la información adoptando medidas de seguridad, debe seguirse de una mayor educación, cultura y prevención, que son los lineamientos más avanzados en materia de seguridad, estos son controles regulares que se realizan al personal de la empresa, para ver que tipo de actos cometen y si es que estos podrían traer consecuencias desfavorables para la seguridad.

La libertad de expresión, el honor, la intimidad, la privacidad y la protección de datos personales, como derecho autónomo, e independiente, deben estar equilibrados con el concepto de seguridad, tanto en materia  empresarial como pública.

La seguridad de los datos personales implica un delicado balance de distintas cuestiones, tales como el nivel de riesgo, la cantidad de datos protegidos por persona, el número de personas cuyos datos personales están siendo tratados, los posibles daños o amenazas, costos financieros y de eficiencia de las medidas de seguridad implementadas para reducir el riesgo y las que se relacionen con las características específicas de la industria de que se trate, tal y como lo mencionaba Daniel Solove.

La integración económica y social resultante del establecimiento y funcionamiento de un mercado globalizado, ha implicado un desarrollo notable de los flujos transfronterizos de datos personales entre distintos agentes públicos y privados establecidos en diferentes países. Este flujo de datos se ha visto favorecido por factores como el avance de las tecnologías de la información y, en particular, el desarrollo de Internet, que facilitan considerablemente el tratamiento y el intercambio de información, y que permiten compartir recursos tecnológicos, centralizar determinadas actividades y procesos, y abaratar costes en la prestación de servicios por la propia empresa fuera del país en el que se encuentra establecida.

.

La Declaración de Riobamba, hacia la unificación de criterios y medidas de seguridad en protección de datos, elaborada desde la iniciativa del Observatorio Iberoamericano de Protección de Datos, fue presentada en la Universidad de Chimborazo (ciudad de Riobamba de la República del Ecuador), el 29 de marzo de 2014, por Alexander Cuenca Espinosa, en el transcurso de la Inauguración del Curso de Formación y Especialización para Peritos Profesionales en Ecuador.

Fallo del Juzgado Federal de Rawson-Chubut contra Google Inc.

Juzgado FEDERAL DE RAWSON / CHUBUT -

y VISTOS: estos autos caratulados: "xxxx c/GOOGLE INC. S/ MEDIDA AUTOSATISFACTIVA" (expte. FCR 3641/2013)

y

CONSIDERANDO:

1) Que se presenta en autos la señora xxxxxxxxxxxxxxx, por derecho propio, con patrocinio letrado del doctor Guillermo M. Zamora, peticionado se dicte medida autosatisfactiva contra la Google Inc., en su carácter de titular del sitio web denominado http://www.google.com.ar. en virtud de los diferentes enlaces que aparecen en el mismo vinculado a la actora con fotografías íntimas, datos personales, así como comentarios injuriantes sobre su persona e intimidad que fueron subidos por una ex pareja sin su consentimiento.-

Se pretende, en definitiva, obtener la prohibición por parte de Google Inc., de mostrar entre sus resultados el enlace http://xxxxxxxxxxxxxxxxx.tumblr.com o cualquier variante del mismo, según se ejemplifica.

Relata que finalizó una relación sentimental con el señor xxxx, xxxxx (hoy residente en España) con quien realizaban e intercambiaban fotografías en el marco de su intimidad y privacidad, pero bajo ningún punto de vista autorizaban su publicación.

Explica que en virtud de su actividad pública como administrativa de la xxxxxx de la Provincia del Chubut hace un tiempo ya se ve expuesta a la publicación de esas fotos donde aparece desnuda o en distintas poses junto con otras de alto calibre pornográfico, apareciendo sus datos personales y número de teléfono, violándose su intimidad y viéndose expuesta a la humillación y vergüenza de ser señalada por compañeros de trabajo y conocidos.

Para acreditar los dichos se insertan en la presentación la impresión de algunas de las imágenes en cuestión.

Afirma que no busca una indemnización, sino sólo una forma de morigeración rápida del mal que le está produciendo la publicación de las fotografías y por ello -sostiene- encuentra como única vía solicitar el bloqueo de ese material desde el buscador que concentra más del 70 % de las búsquedas en intemet.-

Sostiene que se hallan en juego sus derechos personalísimos al honor, la imagen y la intimidad (arts. 19 CN; V Declaracíón Americana de los Derechos y t. Deberes del Hombre; 12, Declaración Universal de Dereehos Humanos; 11 Convención Americana sobre Derechos Humanos, entre otros).

Justifiea la procedencia de la medida autosatisfactiva, cita jurisprudencia, hace reserva del caso federal, ofrece prueba documental consistente en informe psicológico, ofrece perieial informática para el caso que se considere necesario y culmina peticionando en la forma de estilo.-

11) Cabe recordar que las denominadas medidas autosatisfactivas constituyen una respuesta doctrinaria y jurisprudencial a ciertas situaciones merecedoras de tutela jurisdiccional urgente, que no encuadran propiamente dentro del esquema legal de las medidas precautorias, pero que han sido asimiladas a ellas como un tipo de medida cautelar genérica, a falta de regulación legal expresa en nuestro ordenamiento jurídico. Han sido definidas como "soluciones jurisdiccionales urgentes, autónomas, despachables "inaudita et altera pars" y mediando una fuerte probabilidad de que los planteo s formulados sean atendibles" (Cf. Conclusiones del XIX Congreso Nacional de Derecho Procesal, realizado en Corrientes en 1997, ídem. C.Civ y Como Rosario, Sala 3, mayo -5-997 - M. L. N. c. R. c., LA LEY, 1997- F, 433; Peyrano, Jorge W. "Reformulación de la teoría de las medidas cautelares: tutela de urgencia. Medidas Autosatisfactivas").

Como es sabido, además de los requisitos comunes a las cautelares clásicas (verosimilitud del derecho invocado, peligro en la demora y contracautela), la fuerte probabilidad de legitimidad es necesaria para el despacho de una medida de esta clase (Andorno, Luis O. "El denominado proceso urgente (no cautelar) en el derecho argentino como instituto similar a la acción inhibitoria del Derecho italiano" en JA, 1995-11-887).

Pues bien, entiendo que en el sub-lite se presentan los recaudos necesarios para su despacho favorable.-

En efecto, conforme se acreditara con las impresiones de las fotos de fs. 6/7, cuyo contenido y publicación actual en el sitio web tumblr.com denunciado han sido constatadas por Secretaría a través del buscador de Google, se visualiza la existencia de una situación de extrema urgencia, que torna necesario postergar el principio de bilaterialidad, ya que dan cuenta de la existencia de la difusión de imágenes con contenido pornográfico donde se identifica claramente a la actora con sus datos personales, implicando ello una grave afectación de su buen nombre y honor, imagen personal e intimidad, derechos personalísimos protegidos constitucionalmente.

En este sentido se ha dicho: "la divulgación anónima de información sensible a los más profundos sentimientos de cualquier persona importa un gravamen en sí mismo, y no pueden ser dejadas sin amparo las garantías Cita constitucionales involucradasH (Con! Cámara Nacional de Apelaciones en lo Civil, Sala M K.; S.F c. Google ¡nc. y otro H 30/12/00, La ley on line AR/JUR/93766/2010.-)

En consecuencia, se hará lugar a la medida autosatisfactiva en los términos peticionados, ordenando a la empresa "Google Inc", el inmediato y urgente bloqueo en su buscador de internet del sitio http://xxxxxxxxxxx.tumblr.com, como así también todas las variantes del mismo y sus enlaces a páginas internas que se enumeran en la presentación.-

En cuanto a la contracautela, por considerar que "prima facie" la medida que aquí se ordena no puede ocasionar daños al destinatario de la medida- Google Inc se exime a la parte actora de prestarla.

III. Sin costas, por cuanto no ha existido sustanciación.

Por todo lo expuesto,

RESUELVO:

1) Hacer lugar a la medida autosatisfactiva solicitada, ordenando a Google Inc. al inmediato y urgente bloqueo en su buscador de internet, del sitio http://xxxxxxxxxxxxxxxx.tumblr.com, como así también todas las variantes del mismo y sus enlaces a páginas internas que se enumeran en la presentación, debiendo informar a esta Juzgado el cumplimiento de la medida en un plazo máximo de tres días de notificado, bajo apercibimiento de aplicar sanciones conminatorias hasta el momento de su efectivo cumplimiento.

11) Sin necesidad de contracautela y sin cos no haberse sustanciado la presentación.-

IlI) Regístrese y Notifíquese. A tal fin líbrese cédula ley 22.172 al destinatario de la medida, con copia de la presente resolución.-

Este fallo fue cedido por el Dr. Guillermo Manuel Zamora, a quien agradecemos su gentileza.

DECLARACIÓN DE LA PLATA

OBSERVATORIO IBEROAMERICANO DE PROTECCIÓN DE DATOS

HACIA LA UNIFICACIÓN DE CRITERIOS PARA LA PROTECCIÓN DE LOS DATOS PERSONALES DE NIÑAS, NIÑOS Y ADOLESCENTES

La historia nos acostumbró a observar ciclos evolutivos con un ritmo de instalación, crecimiento y asentamiento que permitía la adaptación, en mayor o menor medida, a los cambios. Una de las características que observamos a partir del surgimiento de la denominada “era digital” es una velocidad en los cambios tecnológicos que dificulta la adaptación a los mismos, sobretodo para los adultos.

Cuando pensamos en todos los fenómenos tecnológicos de los últimos años relacionados con el surgimiento de internet, vemos una clara diferencia en la forma que adultos y no adultos (entendiendo como tales a niñas, niños y adolescentes) procesamos esos cambios. Así surgieron términos como “nativos digitales” e “inmigrantes digitales” para tratar de distinguir a aquellos que han nacido en un contexto tecnológico-comunicacional básicamente regido por las redes digitales, y aquellos que han tenido que adaptarse y metabolizar esta explosión tecnológica.

Si bien el debate sigue abierto, hay un concepto que los que trabajamos la temática manejamos con certeza: después de internet ya nadie descansó en el mundo de la protección de los datos personales.

La historia de la expansión de internet y sus servicios (páginas web de lectura, blogs, buscadores, salas de chat, juegos en línea, correo electrónico, redes sociales, sistemas de transmisión de archivos de todo tipo, conexiones punto a punto, etc.) es la historia de un constante y exponencial crecimiento. En ese contexto de permanente cambio, se produce una proliferación de datos personales de la mano de la multiplicación de las fuentes que los exponen. Este proceso de cambio hace convivir datos públicos con privados y genera otros que sin la existencia de la web no hubiesen cobrado publicidad.

Los adultos fuimos asistiendo a este crecimiento y aprendiendo a entenderlo en etapas. Los niños, niñas y adolescentes, en cambio, nacieron con ellos y no necesitaron asimilar las novedades tecnológicas, generando una naturalización respecto a su evolución.

Podríamos pensar entonces en dos características de esta era tecnológica: la irreversibilidad de su avance y la velocidad de los cambios.

LOS DATOS PERSONALES DE LOS NIÑOS

Un ser humano genera datos personales desde el mismo momento de su concepción, la cual debe ser confirmada por un test de sub unidad beta (HCG), tal vez el primer dato sensible en la vida de una persona. A eso le siguen las ecografías prenatales, los estudios y análisis genéticos y toda la batería de herramientas con la que cuenta la medicina actual para el cuidado prenatal de un bebé.

En el momento del nacimiento se sigue un determinado protocolo. El objetivo es claro: determinar la identidad del recién nacido y que no se produzcan confusiones sobre la misma. Esto se observa desde la colocación de un brazalete en el niño y  la madre desde el mismo momento del nacimiento, hasta la obtención de las huellas plantales, la identificación del grupo sanguíneo, talla, peso, circunferencia craneana, la incorporación de un código de barras en las pulseras, la conservación del cordón umbilical, test de Apgar, etc. El establecimiento de la identidad de un recién nacido es un derecho reconocido, y se hace en base a la recolección de una serie de datos personales y sensibles.

De ahí en más, y hasta que sea declarado por la legislación de cada país como ciudadano mayor de edad, quienes ejerzan la representación del  niño serán sus padres (o sus representantes legales. dependiendo de cada caso), y además, el Estado, a través de diversos organismos destinados, en cada ordenamiento jurídico deberá velar por su integridad .

Por lo tanto, cuando hablamos de los derechos a la identidad, a la privacidad y a la intimidad del niño, o sea, cuando nos referimos al cuidado de sus datos personales, parecería que sólamente nos estamos dirigiendo a los padres, tutores, encargados, representantes legales, docentes y a los funcionarios públicos vinculados con esta competencia. Sin embargo, y tal vez la óptica nueva que pretendemos difundir desde este Observatorio, es que los principales involucrados a la hora de defender sus datos personales deben, necesariamente, ser los propios niños y adolescentes. Y eso no quita responsabilidad a quienes legalmente deben ejercer dicho cuidado.

Más que nunca, el desafío es acompañar a los niños, niñas y adolescentes en el desarrollo de una personalidad completa, lo que incluye la consciencia  de la importancia de su intimidad. Es obvio que esta responsabilidad es ineludiblemente de los padres, pero también lo es del Estado, principalmente del sistema educativo. No todo se reduce a fórmulas jurídicas que busquen resarcir daños ya creados. Justamente el objetivo debe ser que esos daños nunca ocurran y los que se encuentran en la mejor situación de lograrlo son los mismos jóvenes. Para ello debemos darles las herramientas necesarias para que puedan seguir creciendo, acertando y equivocándose con sus decisiones, pero que esos errores no sean irreversibles, que sean sólo otra forma de aprender.

Esto se encuentra en consonancia con el derecho a ser escuchado consagrado en el art. 12 de la Convención de las Naciones Unidas sobre los derechos del Niño, que implica dar su opinión libremente y tenerla en cuenta en función de su edad y madurez.

De este permanente debate y sobre todo de la experiencia de escuchar a los niños, es que pudimos asumir que ellos ya no son, y creemos que no volverán a ser, aquellos que se tuvo en mira al dictar las legislaciones civiles que todavía siguen vigentes. Los niños deben ser protegidos en forma rotunda por cada uno de los responsables en dicha tarea, pero también han demostrado una evolución en su pensamiento y participación que requiere que tomemos conciencia de que es imprescindible transmitirles la necesidad de que se involucren en el cuidado de su propia privacidad e incluso en la de sus pares.

EL  ACCESO A INTERNET COMO UN DERECHO

Que el acceso a internet es un derecho humano universal y reconocido internacionalmente no es una novedad, como tampoco que internet es una herramienta de comunicación que es considerada imprescindible para materializar la libertad de expresión y la circulación de la información. Tampoco es un concepto nuevo, pero sí se ha  replanteado en el ámbito internacional, en especial durante los últimos meses, que esa libertad de expresión y esa posibilidad de comunicarse que nos permite internet debe ser defendida y protegida.

A su vez, el reconocimiento que se ha hecho del derecho que tienen los niños de acceder a la información implica que, como contrapartida, debamos realizar un esfuerzo particularizado para que ese acceso sea valorado en un doble sentido: como un beneficio, con todas las posibilidades positivas que abre, y como un riesgo, por todas las implicancias negativas que presenta. Este esfuerzo debe, en definitiva, orientarse a una educación en habilidades.

UNA NUEVA FORMA DE VER EL MUNDO

Para poder educar niños en habilidades que le permitan discernir entre beneficios y riesgos, es indispensable entender que la forma de ver el mundo de los niños de hoy no es necesariamente similar a la de los adultos. La brecha generacional, sumada a la brecha digital, plantean diferentes formas de percibir el contexto y de apropiarse de las herramientas tecnológicas.

Los términos “nativo” e “inmigrante” digital sirven para entender las diferencias que surgen entre aquellos que deben aprender sobre las TIC y los que, al haber nacido y crecido con ellas, las utilizan como algo natural que no requiere aprendizaje.

Los nativos digitales no usan sino que atraviesan la tecnología. No hay un planteamiento sobre cómo funciona un dispositivo, o cómo funciona una herramienta. Hay un uso intuitivo y el dispositivo es un tema secundario, es una herramienta que les sirve para acceder a la conexión. Como concepto unificador de los distintos dispositivos surge la “pantalla”. Los niños hoy se conectan a través de pantallas, preferentemente táctiles.

No se trata de haber nacido a partir de un año determinado; se trata de haber nacido en un contexto donde el uso de la tecnología ya se encontraba incorporado y donde no se tiene registro de una vivencia sin el tipo de tecnología del cual estamos hablando.

¿Cuál es la utilidad de esta clasificación tan de moda? Que pueden establecerse a partir de esta distinción situaciones de investigación, estudio y análisis, pero siempre teniendo en cuenta que la variable “fecha de nacimiento” no es la definitoria. Sin embargo, a los fines prácticos no vemos una utilidad práctica en la utilización de una clasificación que divide entre nativos digitales o no, ya que profundiza una brecha a la hora de encarar la concientización.

Cuando tenemos que abordar la tarea de concientizar a los niños y adolescentes, debemos pensar que no le hablamos a una masa compuesta exclusivamente por nativos digitales. Nuestro discurso debe tener en cuenta distintas realidades y distintos aspectos de un mismo fenómeno, y no profundizar  las diferencias.

EL ROL DE LOS PADRES

Los padres de niñas, niños y adolescentes que hoy acceden a las tecnologías tienen diversa formación respecto a este fenómeno.  Algunos pueden comprender el alcance de la temática, pero seguramente sea un grupo minoritario.

Hemos visto que a lo largo de los últimos años se ha enfocado en la necesidad de que los padres se involucren con lo tecnológico, como también se han sostenido los beneficios de que utilicen las mismas redes sociales que sus hijos.

Sin negar que es sumamente positivo que los padres aprendan a manejar las herramientas tecnológicas, aprovechar sus ventajas y conocer sus riesgos, el rol del padre debe enfocarse en lo preventivo y lo educativo. Primero, debe existir una comprensión del fenómeno, más allá de la cuestión tecnológica. Esto quiere decir comprender que hoy existe  una banalización de la privacidad,  una sobreexposición de la imagen y  una falta de límites entre lo que es íntimo, lo que es privado y lo que es público. Frente a esto, el uso en sí mismo no es lo más urgente para que un padre aborde, como sí lo es que los tome conciencia de esta nueva fenomenología.

El rol del padre se presenta dentro de lo que es su misión fundamental: construir la socialización de su hijo, poner un límite claro y tener una presencia acorde a la edad y al  nivel madurativo.

Por eso el desafío para los adultos debe ser participar en el proceso de socialización y crecimiento de los niños en su interacción con las TIC, más allá de que no cuenten con los conocimientos técnicos que ellos poseen. La importancia del rol del adulto pasa por brindar una mirada crítica y reflexiva de todo este proceso, y brindar los consejos y/o el asesoramiento correcto ante determinadas cuestiones que derivan del uso de la tecnología.

Para poder también incluir su rol educativo y formador (absolutamente distinto al rol educador de un docente) debe haber una comprensión sobre las conductas típicas de los niños, niñas y adolescentes presentes en el uso de las tecnologías. Hay que hacer una evaluación de la situación desde el marco de valores de cada familia, ya que la valoración  (“esto es bueno”, “esto es malo”) es absolutamente privativa del ámbito familiar, y es en función de eso que se podrá determinar  qué conductas son las esperadas en el uso de lo tecnológico dentro de esa familia. El análisis debe estar seguido también de un razonamiento. Hoy los niños, niñas y adolescentes manejan un cúmulo de información que les permite el debate, por lo tanto, más allá del límite concreto que puede y debe establecer cada padre, debe brindarse también una explicación clara de las razones.

Para poder brindar esas razones, debe tenerse un conocimiento de las consecuencias de los actos de nuestros hijos en el uso de la tecnología. Por ejemplo, un padre debe saber que una imagen subida hoy con un contenido inadecuado, no podrá ser recuperada, pero además producirá un perjuicio a largo plazo. Los niños y adolescentes se caracterizan por no representarse las consecuencias de sus actos presentes en un futuro que les parece muy lejano, cuando en realidad se trata de futuros que pueden ser tanto cercanos como lejanos (por ejemplo, las consecuencias de una imagen subida a una red social en el ámbito escolar).

EL ROL DEL ESTADO

Uno de los cambios más relevantes que conlleva internet es que obliga a replantear la territorialidad en general y del Estado en particular.

Las leyes, normas y reglas que regían antes de internet podían enmarcarse en un país, comunidad o cualquier otro tipo de territorio delimitado. La web puso en jaque ese tipo de límite y obliga a repensar la forma en que un Estado puede ejercer sus obligaciones en el marco de las nuevas tecnologías.

Sin embargo, dentro del desafío de ubicar al Estado en el contexto de las TIC, encontramos algunos roles que con seguridad debe representar y que son propios de nuestra área: debe comunicar, informar y concientizar sobre aspectos tanto generales como particulares acerca de la temática de la protección de los datos personales en internet.

El espacio de la prevención en el área que abordamos no requiere de un territorio definido y es por eso que el Estado puede y debe estar presente. Los riesgos que existen en el mundo digital respecto de los datos personales, la intimidad y la privacidad, tienen que ser informados por programas estatales que focalicen sus acciones en llevarle a la población información seria sobre el tema.

La información que debe proveer el Estado, es necesario que cuente el detalle tanto de los riesgos que puede la población encontrarse como las formas de prevenirlos y  gestionarlos en caso que ocurran. Debe asimismo informar sobre otros organismos estatales o de la sociedad civil que trabajen las temáticas y a los que se pueda recurrir para asesoramiento.

Es también responsabilidad estatal fomentar la idea de que cada persona es dueña de sus datos personales y por lo tanto, responsable por cuidarlos y elegir quién y cómo los tiene. Apoderarse de la información que habla de nosotros debe ser el núcleo de un cambio de conducta que se vuelve indispensable en un contexto donde internet atraviesa nuestras rutinas casi en su totalidad. Este cambio de conducta debe ser liderado por el Estado que como protector de los derechos de los ciudadanos, y sin buscar fines de lucro, debe cuidarlos y brindarles información para manejarse en un mundo liderado por grandes empresas con grandes intereses.

En lo que respecta a los ámbitos legales y jurídicos, resulta indispensable que los Estados de una misma región trabajen en conjunto para acompañar la dinámica de Internet, que no respeta fronteras. Cerrar puertas y legislar para un país sería anacrónico y, por lo tanto, de escasa utilidad.

Cuando los Estados piensen acciones legales en conjunto, va a ser necesario que ubiquen a internet como lo que es: una herramienta que potencia o expone distintas temáticas existentes fuera de ella. Es por eso que va a ser clave no legislarla  como un espacio separado, sino entender tanto su dinámica como las acciones que en su marco ocurren.

.

La Declaración de la Plata, hacia la unificación de criterios en protección de datos personales de niñas, niños y adolescentes, fue presentada por Noemí Olivera, Docente-investigadora y Directora del Grupo de Estudio de la Complejidad en la Sociedad de la Información, el miércoles 20 de noviembre de 2013, en la Universidad Nacional de La Plata (Argentina), en el transcurso de la Jornada “El Mundo de Internet y las Redes Sociales: Aprendiendo a Cuidarnos” organizada por el Programa Nacional Con Vos en la Web de la Dirección Nacional de Protección de Datos Personales, el Centro de Protección de Datos Personales de la Defensoría del Pueblo de la Ciudad de Buenos Aires, y el Grupo de Estudio de la Complejidad en la Sociedad de la Información de la Facultad de Ciencias Jurídicas y Sociales de la Universidad Nacional de La Plata.

A retirar las fotos de los padrones

Piden a la Justicia retirar las fotos de los padrones - Ambito.com

Piden a la Justicia retirar las fotos de los padrones

A pocos días de las elecciones legislativas, la Asociación por los Derechos Civiles (ADC) reclamó este martes a la Justicia que obligue al Gobierno a retirar fotos de los votantes de los padrones definitivos publicados en Internet, que son de consulta abierta. 

A través de un comunicado, la ADC informó que presentó "una acción de habeas data colectiva pidiendo que se elimine la totalidad de las imágenes fotográficas de los ciudadanos y ciudadanas contenidas y exhibidas en el sitio de consulta oficial www.padron.gob.ar". 

La decisión de incorporar fotos tipo 4x4 en los listados on line e impresos se implementó a partir de las primarias de agosto pasado como parte de reforma política y fue autorizado por la Cámara Nacional Electoral de Argentina. Sin embargo, las únicas fotos se pudieron ver fueron las de los ciudadanos que habían renovado recientemente su documento de identidad, que se aproxima a un 30% del padrón. 

Pero para la asociación esa publicación "viola el derecho a la privacidad de todas estas personas" e implica "una cesión de hecho de esa información a terceros, quienes la podrían compilar e integrar a bases de datos con fines comerciales e ilícitos". 

"La ADC considera que la publicación de las fotografías en un sistema de acceso abierto pone en riesgo la autonomía de las personas en tanto les impide tener un control adecuado sobre un dato personalísimo y sensible como es la imagen de sus respectivos rostros", sostuvo la entidad en el comunicado. 

Como medida cautelar, la ADC solicitó el "retiro inmediato" de las imágenes del padrón on line, pero como medida de fondo exigió que se ordene a la Cámara Nacional Electoral que elimine del Registro Nacional de Electores la totalidad de las fotografías.

"El derecho a la privacidad es un derecho fundamental en una comunidad democrática garantizado en el artículo 19 de la Constitución nacional, en diversos instrumentos internacionales de Derechos Humanos con jerarquía constitucional y en la Ley 25.326 de Protección de Datos Personales", agregó la asociación para justificar la iniciativa. 

"Como lo ha sostenido la Relatoría Especial para la Libertad de Opinión e Información de la ONU, la protección de los datos personales es una forma especial de protección del derecho a la privacidad", concluyó.

La acción de amparo colectiva fue presentada ante el juzgado contencioso administrativo Federal 4, de la ciudad de Buenos Aires, a cargo de la magistrada Rita Ailán.

DAÑO PUNITIVO EN HÁBEAS DATA

La Corte Suprema de Justicia de Tucumán hace lugar al daño punitivo en un hábeas data

SENT Nº 157

 C A S A C I Ó N

En la ciudad de San Miguel de Tucumán, a Veintidos (22) de Abril de dos mil trece, reunidos los señores vocales de la Excma. Corte Suprema de Justicia, de la Sala en lo Civil y Penal, integrada por los señores vocales doctores Antonio Daniel Estofán, Antonio Gandur y Daniel Oscar Posse, bajo la Presidencia de su titular doctor Antonio Daniel Estofán, para considerar y decidir sobre el recurso de casación interpuesto por la parte demandada en autos: “Alu Patricio Alejandro vs. Banco Columbia S.A. s/Sumarísimo (Residual)”.

Establecido el orden de votación de la siguiente manera: doctores Daniel Oscar Posse, Antonio Gandur y Antonio Daniel Estofán, se procedió a la misma con el siguiente resultado:

 El señor vocal doctor Daniel Oscar Posse , dijo:

 I.- Que viene a conocimiento y resolución de esta Corte Suprema de Justicia de Tucumán, el recurso de Casación interpuesto por la parte demandada en contra de la sentencia Nº 29 del 28 de febrero de 2012 expedida por la Excma. Cámara Civil y Comercial Común (Sala II). En dicho pronunciamiento se resuelven las apelaciones interpuestas por ambas partes del litigio en contra de la sentencia de Iª Instancia Nº 326 del 17 de junio de 2011, expedida por el Juez en lo Civil y Comercial Común de la Vª Nominación, a la que modifica parcialmente imponiendo la multa por daño punitivo prevista en el art. 52 bis de la Ley Nº 24.240 (incorporado por Ley Nº 26.361). Por esta sentencia de Iª Instancia se hizo lugar parcialmente a la acción sumarísima deducida por el demandante, condenando en consecuencia al demandado a pagar la suma de $ 15.000 (pesos quince mil) en concepto de indemnización por daño moral más los intereses que correspondan, rechazando el rubro de daño punitivo.

II.- La sentencia cuestionada en casación, en lo pertinente al recurso tentado, dispone receptar la queja relativa a la procedencia de los daños punitivos por la conducta de la demandada posterior a la vigencia de la Ley N° 26.361. Entiende (citando doctrina) que el instituto se define “…por sumas otorgadas al actor por encima de las pérdidas reales con el propósito de castigar a una conducta fuertemente reprochable y para disuadir al demandado y a otros de imitar esta conducta en el futuro”. El pronunciamiento descarta cualquier especulación sobre la naturaleza del instituto del “daño punitivo” a partir de su recepción legislativa como art. 52 bis introducido por Ley N° 26.361 en la Ley de Defensa del Consumidor (N° 24.240). Para el fallo, dicha sanción es una pena civil pecuniaria que tiene carácter sancionatorio y disuasorio, no apunta a mantener la indemnidad de la víctima y es independiente de otras indemnizaciones.

Encuentra justificada la imposición de los daños punitivos en la conducta de la demandada fijando el monto de la sanción en $ 3.000 (pesos tres mil). Manifiesta que se acreditó con informe del Banco Central de la República Argentina (en adelante BCRA) que el actor estuvo calificado como deudor moroso (calificación 5) desde noviembre de 2003 hasta mayo del 2007 por el Banco demandado. Lo relevante para la aplicación de la multa es el período cumplido desde noviembre de 2007 a junio de 2009 en el que el actor aparece con idéntica calificación por el Fideicomiso Financiero Privado Columbia, del cual la entidad demandada resulta ser la fiduciante y cedente de la información. La decisión manifiesta que ello ocurrió, no obstante haberse dictado sentencia en la causa caratulada “Alú Patricio Alejandro c/ Banco Columbia s/ Habeas data” de fecha 06 de noviembre de 2006 expedida por el Juzgado Civil y Comercial Común de la Iª  Nominación, por la que se condenó al Banco Columbia a rectificar el nombre del actor, al no contar deuda alguna con Citibank ni con el Banco Columbia. Dicha sentencia fue confirmada en todos sus términos por la Sala III de la Excma. Cámara. en lo Civil y Comercial Común.

III.- El escrito recursivo, luego de justificar la admisibilidad del remedio casatorio, considera que el fallo es “…arbitrario, infundado e irracional…” por errónea aplicación del derecho, incurriendo en “arbitrariedad fáctica”. El recurrente se agravia porque entiende violado el principio de irretroactividad de la ley consagrado por el artículo 3 del Código Civil. Considera que el fallo impone una pena que nada tiene que ver con un eventual resarcimiento para el accionante, que no precisa la conducta prohibida generadora de la misma, ni el factor subjetivo de atribución, ni las pautas mínimas de su graduación. En concreto sostiene que el Banco Columbia no es responsable por la información remitida al BCRA por el Fideicomiso Financiero Privado Columbia del cual es Fiduciario. Afirma que la sentencia citada le imponía la obligación de dejar de informar al actor en el BCRA pero que ello no era óbice para que la deuda no pueda ser cedida, siendo el cesionario el responsable de la información remitida. Afirma que el demandado fue notificado de la sentencia mucho tiempo después  y que, en todo caso, el incumplimiento debió dar lugar a una ejecución de sentencia en el marco de la acción de Habeas Data más no a la imposición de la multa sobre todo teniendo en cuenta que la Ley N° 26.361 entró en vigencia el 07 de abril de 2008. Entiende el recurrente que el instituto del daño punitivo es inaplicable en nuestro derecho, que no concibe la existencia de las llamadas “penas privadas” y que es inconstitucional por conformar un “tipo penal abierto” contrario al artículo 18 de la Constitución Nacional, al artículo 11 de la Declaración Universal de los Derechos Humanos, los artículos 8 y 9 de la Convención Americana sobre Derechos Humanos y el artículo 15 del Pacto Internacional de Derechos Civiles y Políticos. Afirma que aún cuando se admitiere la procedencia del instituto, es de aplicación restringida. Sostiene que no se encuentran reunidos los requisitos para su admisibilidad, que están referidos a conductas graves en las que el responsable causó un perjuicio a sabiendas de que el beneficio que obtendría con la actividad nociva, supera el valor desembolsado para repararlo. Manifiesta que no se verifica en la actuación del Banco Columbia la obtención de lucro alguno y que el simple cumplimiento que le impone el BCRA como su entidad de contralor no puede traer ningún lucro a costa del actor. Expresa que la remisión de información errónea carece de todo contenido económico y que el instituto cuestionado no se aplica a una relación contractual como la celebrada con el actor. Para el recurrente, el fallo de Cámara no indica la conducta reprochable que justifica la multa: o es la información remitida por el fideicomiso, o la remitida por el Banco luego de la sentencia de Habeas Data o la cesión celebrada con el Fideicomiso. Por último propone doctrina legal y hace reserva del caso federal.

IV.- A fs. 240 la representación de la parte actora contesta el traslado y trata los argumentos del recurrente. Entiende que no concurren los extremos que configuran la “arbitrariedad fáctica” denunciada, por lo que no corresponde la apertura de la casación. Sostiene que los agravios esgrimidos han sido vertidos al contestar la demanda y fundar la apelación en el proceso de Habeas Data, que su representado no es deudor moroso omo pretende el demandado en contra de lo dispuesto por la sentencia de Iª Instancia y la confirmatoria de la Cámara. Afirma que la responsabilidad del Banco Columbia ha quedado firme como consecuencia del mal manejo de los datos del actor y que hizo caso omiso de la sentencia de Habeas Data con la creación del fideicomiso con el mismo banco como fiduciante. Sostiene que es claro el art. 52 bis, incorporado por la Ley Nº 26.361, cuando alude al incumplimiento de obligaciones legales o contractuales no exigiendo la obtención de lucro por parte del proveedor como lo pretende el demandado. Entiende que el Banco Columbia incumplió obligaciones legales derivadas del “Régimen sobre rectificaciones financieras y/o exclusiones de la Central de Deudores del Sistema Financiero del BCRA”. Advierte asimismo que el actor no era deudor de Banco Columbia ni de Provencred ni del Fideicomiso, por lo que el Banco no puede transmitir un derecho que no posee (art. 3270 del Código Civil). Por último desarrolla en particular los agravios esgrimidos por el recurrente y solicita que se declare inadmisible el recurso.

V.- La casación fue concedida por sentencia N° 99 de la Excma. Cámara en lo Civil y Comercial Común (Sala II), de fecha 08 de mayo de 2012. Entiende el fallo que concede el recurso, que el mismo es admisible por que se interpuso contra sentencia definitiva, se funda en infracción a normas de derecho de fondo e invoca arbitrariedad.

VI.- Atento a lo referido en los parágrafos precedentes corresponde a esta Corte Suprema expedirse en definitiva sobre la admisibilidad y en su caso sobre la procedencia del remedio tentado. De la lectura del recurso interpuesto, surge que el escrito casatorio se ajusta a lo prescripto por el artí. 751 (CPCCT) por haber sido deducido en término, ser autosuficiente, citar normas que estima infringidas y proponer doctrina legal que considera aplicable al caso. Aduce el recurrente que el fallo en crisis incurrió en arbitrariedad, infracción a norma de derecho y al principio de congruencia. Se acredita el depósito exigido por el art. 752 (CPCCT) con la boleta respectiva y la sentencia cuestionada pone fin al juicio, por lo que queda comprendida en las previsiones del art. 748 inc. “1” (CPCCT). En virtud de lo expuesto y estando bien concedido el recurso de casación por superar el análisis de admisibilidad, corresponde el examen de su procedencia.

VII.- De la compulsa del escrito casatorio con los antecedentes de la causa, surge que no asiste razón al recurrente y que el remedio intentado no puede prosperar. Son puntos dirimentes que hacen al examen de la procedencia casatoria: la invocada violación del principio de irretroactividad de la ley y en concreto del artículo 3º del Código Civil, la inconstitucionalidad del instituto del “Daño Punitivo” y por último la supuesta arbitrariedad fática en la que habría incurrido el fallo por imputar al Banco Columbia la remisión al BCRA de la información sobre el actor, realizada por el Fideicomiso Financiero Privado Columbia. En relación al primer punto, cabe destacar que la previsión del art. 52 bis de la Ley Nº 24.240 (incorporado por la Ley Nº 26.361) instituye la figura de una “multa civil” a favor del consumidor y a instancias del proveedor. Esta sanción tiene como presupuesto el incumplimiento de obligaciones legales o contractuales y como principio general se aplica desde su entrada en vigencia (ocurrida el 07 de abril de 2008), aún a las consecuencias de las relaciones y situaciones jurídicas existentes, conforme lo dispuesto en el artículo 3º del Código Civil. En el caso que analizamos el incumplimiento de las obligaciones legales del Banco en relación al “Régimen sobre rectificaciones financieras y/o exclusiones de la Central de Deudores del Sistema Financiero del BCRA”, ha sido corroborado por una sentencia condenatoria de fecha 06 de septiembre de 2006 y confirmado por una sentencia de apelación de fecha 17 de abril de 2007. Sin embargo y a pesar de las mencionadas decisiones el incumplimiento ha continuado en el tiempo hasta junio de 2009, lo que motiva el posterior reclamo por daños que llega a esta instancia casatoria. Es importante destacar que no estamos ante una infracción instantánea cuya consumación se perfecciona en un solo momento aunque sus efectos puedan ser permanentes. Estamos ante una infracción permanente que persiste en el tiempo, que consiste en una conducta omisiva de un deber legal y que tiene carácter consumatorio mientras dure la actitud infractora o antijurídica. El art. 52 bis de la Ley Nº 24.240 dispone la aplicación de una multa “…al proveedor que no cumpla sus obligaciones legales o contractuales con el consumidor…”. El incumplimiento es tal mientras se prolonga en el tiempo y cualquier fragmento temporal posterior al momento inicial constituye un presupuesto que habilita la sanción prevista en la norma. La infracción se consuma a cada momento y mientras dura la actitud omisiva. En este contexto se condenó al Banco Columbia a “…rectificar el nombre del actor por no contar deuda alguna con Citibank ni con Columbia…”. Dicha obligación queda firme en abril de 2007 y requería del condenado una acción positiva consistente en arbitrar los medios necesarios para que se depure la base de datos que contenía al actor como deudor incobrable en el BCRA, lo que no se verificó hasta 2009. La regulación del instituto del daño punitivo, a partir de 2008, es comprensiva de la conducta violatoria y omisiva del Banco Columbia respecto de la obligación legal y luego sentencial y configura a partir de ese momento un presupuesto que hace operativa la sanción prevista en la norma. No estamos ante una aplicación retroactiva de dicha norma ya que la misma rige a partir de su entrada en vigencia “…para las consecuencias de las relaciones y situaciones jurídicas existentes…”, en el marco de lo dispuesto en el art. 3º del Código Civil. La sentencia condenatoria a la que el Banco Columbia no ha dado cumplimiento, es una situación jurídica existente y actual que a partir de la entrada en vigencia del instituto del daño punitivo, además configura un presupuesto también actual para la aplicación de la sanción prevista por el art. 52 bis de la Ley Nº 24.240 (incorporado por la Ley Nº 26.361). En relación al segundo punto, el recurrente afirma que el daño punitivo es inconstitucional por configurar un tipo penal abierto, violatorio del art. 18 de la Constitución Nacional. Cabe destacar que la figura del daño punitivo ha sido insertada por nuestro legislador en el ámbito de las relaciones contractuales propias del derecho privado, aunque con importantes implicancias públicas. La ilicitud en el derecho en general tiene dos derivaciones posibles, la punibilidad y el resarcimiento. El ilícito penal es retributivo y está condicionado por la tipicidad, sin la cual no puede haber ilicitud. Debe configurarse el tipo penal para que pueda aplicarse la pena prevista en la norma. Por su parte el ilícito civil es en principio resarcitorio, el presupuesto de la responsabilidad civil prescinde de la tipicidad y se basa en tres pilares: el principio “Alterum non laedere” que impone la obligación de no dañar al otro, el nexo de causalidad entre el comportamiento del demandado y el daño invocado y por último en el criterio de imputación de responsabilidad (negligencia, culpa, dolo, riesgo o ex lege). En el tráfico de las relaciones privadas prevalece el principio de la autonomía de la voluntad, surgido históricamente para enervar la posibilidad del abuso del estado frente al ciudadano. Sin embargo en las relaciones privadas también se producen situaciones abusivas que dejan indefensa a la persona, pero no frente al estado sino frente a importantes corporaciones que generan relaciones asimétricas con quienes contratan sus servicios o prestaciones o aún frente a terceros que no han contratado con ellas pero que quedan a expensas de sus decisiones. Esto ha motivado al legislador a “publificar” en alguna medida el derecho privado en algunos sectores, tales como la hoy denominada “relación de consumo” y a incluir sanciones que pueden aplicarse a una de las partes de esta relación, pero desde los presupuestos civiles de responsabilidad. Este tipo de sanción en el Derecho del Consumidor no tiene la misma estructura que la sanción penal, vinculada a la prevención o represión de la delincuencia y en la que debe prevalecer el denominado “Principio pro Homine” por que las consecuencias de la acción penal repercuten en la persona humana de manera directa. La sanción punitiva en el Derecho del Consumidor se explica por la función de tutela que la Ley Nº 24.240 atribuye al Estado, a los efectos de disuadir a las empresas proveedoras de incurrir en conductas reiteradas que lesionen a los bienes jurídicos protegidos por la ley de defensa del consumidor. Por otro lado el “Principio pro Homine” no puede aplicarse a personas jurídicas, que en la gran mayoría de los casos integran como parte la relación de consumo. La reparación civil hace al interés privado del damnificado pero en ocasiones es insuficiente para preservar al interés público representado por la necesidad de un comportamiento lícito en las relaciones jurídicas. Ello ocurre, por ejemplo, cuando el costo de la reparación no supera el beneficio que se obtiene o podría obtenerse incurriendo en infracción. Ello provoca que muchos proveedores opten por la reparación del daño antes que evitarlo, por resultar más económico. La defensa del consumidor es una necesidad que surge a raíz de las relaciones asimétricas que el tráfico económico actual impone a los usuarios y consumidores e incluso a terceros ajenos a una relación contractual, como es el caso que analizamos. En este contexto la autonomía de la voluntad de los consumidores se reduce a su mínima expresión. En materia contractual a intervenir, en el mejor de los casos, en la conclusión del contrato y no en la configuración de los términos del mismo y esta autonomía puede llegar a ser inexistente cuando de manera involuntaria y a raíz de una causal no demostrada, un tercero pasa a integrar una “cartera negociable”. Lo expuesto justifica la regulación específica del instituto del daño punitivo, constituyendo un desarrollo acorde a lo dispuesto por el artículo 42 de la Constitución Nacional que establece que: “Los consumidores y usuarios de bienes y servicios tienen derecho, en la relación de consumo, a la protección de su salud, seguridad e intereses económicos; a una información adecuada y veraz; a la libertad de elección, y a condiciones de trato equitativo y digno”. En consecuencia no asiste razón al recurrente en casación cuando impugna la constitucionalidad del “Daño Punitivo”. En relación al último cuestionamiento cabe destacar que existe una sentencia que el recurrente incumplió. Ignoró que en la misma se deja constancia que el actor no tiene deuda y que por lo tanto debe rectificar su nombre en la lista de deudores. De esta forma incurrió en responsabilidad por su conducta omisiva. Pero además, realizó acciones positivas y concretas como la constitución de un fideicomiso financiero y la posterior cesión del “deudor” que desnaturalizan la pretensión del recurrente de evadirse de la responsabilidad por el incumplimiento de la sentencia. Tal constitución es inoponible en lo pertinente a las responsabilidades que surgen del referido incumplimiento. En este contexto se concluye que la sentencia cuestionada en casación es ajustada a derecho por ser procedente la imposición de la multa dispuesta en su resolutiva a la demandada, en el marco de lo estatuido por el art. 52 bis de la Ley Nº 24.240 (incorporado por la Ley Nº 26.361), siendo además el instituto consagrado en el mencionado artículo, ajustado a lo dispuesto por la Constitución Nacional en su art. 42. En consecuencia, corresponde rechazar por improcedente la casación interpuesta por la demandada en contra de la sentencia Nº 29 del 28 de febrero de 2012 expedida por la Excma. Cámara Civil y Comercial Común (Sala II) y confirmar la misma en todas sus partes. Todo ello en el marco del art. 762 (CPCCT) con imposición de costas a la vencida en virtud de lo dispuesto por los arts. 105 y 107 (CPCCT).

 El señor vocal doctor Antonio Gandur, dijo:

 Estando de acuerdo con los fundamentos vertidos por el señor vocal preopinante, doctor Daniel Oscar Posse, vota en idéntico sentido.

 El señor vocal doctor Antonio Daniel Estofán, dijo:

 I.- Doy por íntegramente reproducida la relación de antecedentes de la causa contenida en el voto del señor vocal preopinante, doctor Daniel Oscar Posse.

II.- En orden al juicio de admisibilidad, se verifica el cumplimiento de los requisitos de presentación tempestiva, depósito de ley y definitividad de la sentencia recurrida. En lo concerniente a la existencia de una quaestio juris, el recurrente invoca arbitrariedad, y cita doctrina legal de este Tribunal al respecto. El suscripto mantiene el criterio reiteradamente sustentado en anteriores pronunciamientos, entre ellos en sentencia Nº 556 de fecha 16/8/2011 recaída in re: “Capozzuco Carlos Ángel vs. Distribuidora Munich s/ Cobro de pesos”. Es que, como allí se dijera, se hace necesario dejar debidamente sentado que la determinación sobre la configuración o no del supuesto vicio de arbitrariedad que se denuncia en el escrito de casación constituye una cuestión que en puridad hace, no ya a la admisibilidad del remedio extraordinario local, sino a su procedencia, y , por ende, es a esta Corte a quien de manera exclusiva compete determinar si los agravios que en tal sentido se formulan tiene entidad suficiente como para invalidar el acto jurisdiccional en cuestión (cfr. CSJTuc., 27/4/2010, “Juárez Juan Carlos y otra vs. Provincia de Tucumán y otro s/ Daños y perjuicios”, sentencia N° 249; 28/10/2010, “Agudo Juan Ángel y otra vs. I.P.S.S.T. s/ Amparo”, sentencia N° 820; 28/10/2010, “Argañaraz, César Mauricio vs. S.A. San Miguel A.G.I.C.I. y F. s/ Despido”, sentencia N° 822; 17/12/2010, “Centro Vecinal Marcos Paz vs. Municipalidad de Yerba Buena s/ Amparo”, sentencia N° 997). En efecto, tal como vengo sosteniendo desde la Sala en lo Laboral y Contencioso Administrativo de la Corte, la ponderación que el Tribunal de casación hace de la valoración del material fáctico obrante en la causa efectuada por los jueces de grado, resulta objeto propio -ni “ajeno” ni “excepcional”- del recurso extraordinario local, en la medida que se trata de una típica cuestión jurídica, cual es la determinación de la existencia o no de un error in iuris iudicando por parte del órgano a quo (CSJT, 30/6/2010, “Frías Daniel Eduardo vs. Municipalidad de Alderetes s/ Daños y perjuicios”, sentencia Nº 487; 03/5/2011, “Serrano Víctor Oscar vs. Minera Codi Conevial S.A. s/ Indemnización por despido”, sentencia Nº 223; 03/5/2011, “Maidana Silvia Inés y otra vs. Molina Víctor Hugo, Mothe Fernando y Alderete Alberto s/ Cobro de pesos”, sentencia Nº 227; 06/5/2011, “Ismaín Emilio David vs. Tarjeta Naranja S.A. s/ Cobro de pesos”, sentencia Nº 237; 11/5/2011, “Soraire Julio Roberto vs. Berkley International ART S.A. s/ Cobro de pesos”, sentencia Nº 252).

III.- Con relación al juicio de procedencia, y a la imposición de costas, adhiero íntegramente al voto del señor vocal preopinante.

 Y VISTO: El resultado del precedente acuerdo, la Excma. Corte Suprema de Justicia,

por intermedio de su Sala en lo Civil y Penal,

 R E S U E L V E :

 I.- RECHAZAR el recurso de casación interpuesto por la demandada en contra de la sentencia Nº 29 del 28 de febrero de 2012 expedida por la Excma. Cámara Civil y Comercial Común (Sala II).

II.- CONFIRMAR la sentencia Nº 29 del 28 de febrero de 2012 expedida por la Excma. Cámara Civil y Comercial Común (Sala II) en todas sus partes.

III.- COSTAS conforme se consideran.

IV.- RESERVAR pronunciamiento sobre regulación de honorarios para su oportunidad.

 HÁGASE SABER.

 ANTONIO DANIEL ESTOFÁN (con su voto)

 ANTONIO GANDUR DANIEL OSCAR POSSE

 ANTE MÍ:

  CLAUDIA MARÍA FORTÉ