1

Legislación argentina sobre protección de datos personales

Autor: Eduardo Ferreyra1

1. La Constitución y la protección de los datos personales: El derecho a la

privacidad está presente en el art. 18 de la Constitución Nacional2, que afirma que “el

domicilio es inviolable, como también la correspondencia epistolar y los papeles privados”

y solo “una ley determinará en qué casos y con qué justificativos podrá procederse a su

allanamiento y ocupación.”. Por su parte, el art. 19 amplía dicha protección a toda las

conductas íntimas, al sostener que “las acciones privadas de los hombres que de ningún

modo ofendan al orden y a la moral pública, ni perjudiquen a un tercero, están sólo

reservadas a Dios, y exentas de la autoridad de los magistrados”

El alcance de estas disposiciones fue delineado por la Corte Suprema de Justicia en

el fallo “Ponzetti de Balbin v. Editorial Atlántida”3 (1985). Allí, el máximo tribunal sostuvo

que “la protección material del ámbito de la privacidad resulta uno de los mayores valores

del respeto a la dignidad de la persona y un rasgo diferencial entre el Estado de derecho

democrático y las formas políticas autoritarias y totalitarias” (cons. 19). Asimismo, la Corte

definió el derecho a la privacidad como “el derecho del individuo para decidir por sí mismo

en qué medida compartirá con los demás sus pensamientos, sus sentimientos y los hechos

de su vida personal” (cons. 19).

La reforma constitucional de 1994 produjo importantes cambios en la materia. En

primer lugar, incorporó a nuestro ordenamiento jurídico diversos tratados internacionales

de derechos humanos, a los cuales dotó de jerarquía constitucional (art. 75 inc.12). Entre

1 Abogado. Investigador de la Asociación por los Derechos Civiles. Magíster en Derechos Humanos y

Democratización en América Latina de la Universidad Nacional de San Martín

2Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/0-4999/804/norma.htm

3 Disponible en

http://www.psi.uba.ar/academica/carrerasdegrado/psicologia/sitios_catedras/obligatorias/723_etica2/material/casuisti

ca/ponzetti_de_babin_derechos.pdf

2

aquellos que interesan para nuestra temática, debemos mencionar la Convención

Americana sobre Derechos Humanos (CADH)4, que establece el derecho a la intimidad en

el art. 11 inciso 2, al afirmar que “nadie puede ser objeto de injerencias arbitrarias o

abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni

de ataques ilegales a su honra o reputación”. A continuación, el inciso 3 consagra el

derecho de toda persona a la “protección de la ley contra esos ataques o injerencias”. Esta

disposición es prácticamente similar al art. 17 del Pacto Internacional sobre Derechos

Civiles y Políticos (PIDCP)5, que también fue incorporado por la reforma del 94.

En segundo lugar, la reforma establece en forma expresa el derecho a la protección

de los datos personales en la Constitución Nacional a través de la incorporación de la

acción de hábeas data. En este sentido, el art. 43 tercer párrafo sostiene que “toda persona

podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su

finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a

proveer informes, y en caso de falsedad o discriminación, para exigir la supresión,

rectificación, confidencialidad o actualización de aquéllos.” De esta manera, a la

consagración de los derechos de fondo (privacidad, intimidad) prevista por la Constitución

original, se adicionó el establecimiento del remedio procesal del habeas data, lo cual

permitió considerar el derecho a la protección de los datos personales como un derecho

constitucional.

2. Leyes sobre privacidad e intimidad: Entre las leyes que regulan el derecho a la

privacidad y la intimidad encontramos las siguientes:

Ley de Correos 20.2166: en su art. 6, la normativa explicita el principio de la

inviolabilidad de la correspondencia consagrado por la Constitución Nacional, al

disponer que ello “importa la obligación de no abrirlos, apoderarse de ellos,

suprimirlos, dañarlos o desviarlos intencionalmente de su curso, ni tratar de conocer

4 Disponible en http://www.oas.org/dil/esp/tratados_B-32_Convecion_Americana_sobre_Derechos_Humanos.htm

5 Disponible en http://www.ohchr.org/SP/ProfessionalInterest/Pages/CCPR.aspx

6 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/20000-24999/21843/norma.htm

3

su contenido, así como de no hacer trascender quienes mantienen relaciones entre sí

o dar ocasión para que otros cometan tales infracciones”.

El Código Civil también contiene disposiciones que protegen el derecho a la

intimidad. El viejo Código7 establecía en su art. 1071 bis que “el que

arbitrariamente se entrometiere en la vida ajena, publicando retratos, difundiendo

correspondencia, mortificando a otros en sus costumbres o sentimientos, o

perturbando de cualquier modo su intimidad, y el hecho no fuere un delito penal,

será obligado a cesar en tales actividades, si antes no hubieren cesado, y a pagar una

indemnización que fijará equitativamente el juez, de acuerdo con las

circunstancias…” Actualmente, el nuevo Código Civil y Comercial8 consagra –a

través de su art. 52- el derecho de toda persona a reclamar la prevención y

reparación de los daños ocasionados por afectaciones a su “intimidad personal o

familiar, honra o reputación, imagen o identidad” o cualquier otra lesión a su

“dignidad personal.” Por otra parte, uno de los aspectos más importantes de la

intimidad, como la imagen, merece una especial protección del Código, al requerir

el consentimiento expreso de la persona para la captación o reproducción de su voz

e imagen (salvo excepciones que se refieren a actos públicos, asuntos de interés

científico, cultural y educacional; información sobre acontecimientos de carácter

general, entre otros)

La ley 27.078 de Tecnologías de la Comunicación y la Información9 –más conocida

como ley Argentina Digital- también consagra el principio de la inviolabilidad de

las comunicaciones, al igual que la ley de correos. Pero su ámbito de aplicación es

mucho mayor, ya que actualizó el concepto de correspondencia para incluir dentro

del mismo a toda “comunicación que se efectúe por medio de Tecnologías de la

7 Disponible en https://www.oas.org/dil/esp/Codigo_Civil_de_la_Republica_Argentina.pdf

8 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/235000-239999/235975/norma.htm#6

9 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/235000-239999/239771/norma.htm

4

Información y las Comunicaciones (TIC)”. De esta manera, además de los correos

postales, la garantía de protección se extiende al correo electrónico y a “cualquier

otro mecanismo que induzca al usuario a presumir la privacidad del mismo y de los

datos de tráfico asociados a ellos, realizadas a través de las redes y servicios de

telecomunicaciones”. Así, toda interceptación – y su posterior registro y análisis-

debe ser requerida por juez competente.

La ley 23.79810 que declaró de interés nacional la lucha contra el SIDA estableció

que no se puede individualizar a las personas que padecen esta enfermedad a través

de registros, ficheros o almacenamiento de datos. Para cumplir con este propósito,

la normativa establece que dichas bases deben estar codificadas (art. 2 inc. e). El

objetivo es restringir lo máximo posible el acceso de terceros a este tipo de

información, debido al posible efecto discriminatorio que el conocimiento de esta

enfermedad puede provocar sobre el individuo afectado.

La ley 26.529 de Derechos de los Pacientes11 ordena que toda actividad médica

vinculada al tratamiento de información del paciente debe respetar la intimidad y la

confidencialidad de los datos sensibles del mismo (art. 2 inc. c). A su vez, se

considera a la historia clínica como inviolable y se dispone que los establecimientos

asistenciales públicos o privados y los profesionales de la salud tienen a su cargo la

guarda y custodia de la misma, debiendo instrumentar los medios y recursos

necesarios para evitar el acceso a personas no autorizadas (art.18).

En Julio de 2014 se sancionó la ley 26.95112, por la cual se creó el Registro

Nacional “No Llame”, con el objetivo de proteger a los titulares y usuarios de

servicios de telefonía de los abusos de procedimientos de contacto para ofrecer,

10 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/0-4999/199/norma.htm

11 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/160000-164999/160432/norma.htm

12 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/230000-234999/233066/norma.htm

5

vender o regalar bienes o servicios no solicitados (art. 1). La normativa establece la

creación de un registro (art. 2) -que funciona dentro del ámbito de la Dirección

Nacional de Protección de Datos Personales- ante el cual pueden inscribirse las

personas que deseen no recibir llamados de ofrecimiento de productos u otro bien.

Aquellos establecimientos que realizan este tipo de ofrecimientos son considerados

por esta ley como responsables o usuarios de bases de datos (art. 7) y tienen la

obligación de no dirigirse a las personas que se inscriban en el registro (art. 7), bajo

amenaza de sufrir una sanción a establecer por la Dirección, quien es la autoridad de

aplicación.

3. Ley de protección de datos personales: Luego de su consagración constitucional en 1994,

la protección de datos personales en Argentina necesitaba de un marco legal que por un

lado, reglamente la acción de habeas data –ya establecida por el texto constitucional- y por

el otro, fijase los derechos de fondo que la redacción del art. 43 no había contemplado. De

esta manera, varios proyectos fueron presentados para sancionar una ley sobre la temática.

Finalmente, en el mes de Octubre de 2000 se aprobó la ley 25.326 de Protección de los

Datos Personales13, la cual está basada en la española Ley Orgánica de Regulación del

Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD)14 –

posteriormente reemplazada por la Ley Orgánica de Protección de Datos Personales

(LOPD)15-. El entramado normativo se completó en 2001 con la reglamentación de la ley a

través del decreto 1558/0116, que creó la Dirección Nacional de Protección de Datos

Personales (DNPDP), autoridad de aplicación de la ley 25.326.

La importancia de la protección de los datos personales para la defensa de los

derechos fundamentales de las personas fue reconocida por el legislador, quien declaró el

13 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/60000-64999/64790/norma.htm

14 Disponible en http://noticias.juridicas.com/base_datos/Derogadas/r0-lo5-1992.html

15 Disponible en

https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/2014/Ley_Organica_15-

1999_de_13_de_diciembre_de_Proteccion_de_Datos_Consolidado.pdf

16 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/70000-74999/70368/norma.htm

6

carácter de orden público de los capítulos I (Disposiciones Generales), II (Principios

Generales), III (Derechos de los titulares de los datos) IV (Usuarios y responsables de

archivos, registros y bancos de datos) y del art. 32 (Sanciones Penales). Esta declaración

implica que las disposiciones reconocidas son consideradas como parte esencial de los

principios que hacen a la existencia de un Estado de derecho y republicano, por lo que

cualquier violación a las mismas vuelve nulo el acto en cuestión.

a) Objeto: La ley protege en forma integral los datos personales asentados en

archivos, registros, bancos o bases de datos17 (art. 1) . Asimismo, la ley establece que

también gozan de protección los datos almacenados en “otros medios técnicos de

tratamiento de datos”, por lo que no es condición necesaria para la aplicación de la ley que

los datos se hallen en una base de datos. Lo importante es que exista un “tratamiento de

datos”.

En cuanto al ámbito de aplicación, la ley regula las bases de datos públicas y

privadas. Respecto a éstas últimas se ha producido la siguiente controversia: el texto del

art.1 –al igual que el del art. 43 de la Constitución Nacional- sólo menciona a las bases de

datos privadas “destinadas a dar informes”. Una interpretación literal llevaría a concluir que

las bases de datos privadas no destinadas a dar informes no están sujetas a las disposiciones

de la ley. De esta manera, bases de datos que almacenan grandes cantidades de datos

personales –como las bases de las entidades financieras- estarían fuera del alcance de la ley

25.326.

Sin embargo, una interpretación respetuosa de los derechos fundamentales de los

ciudadanos debe llevarnos a considerar que todas las bases de datos privadas que posean

datos personales que puedan afectar los derechos de las personas están sujetas a las

disposiciones de la ley. No es la finalidad de la base de datos sino la capacidad que aquellas

tengan para generar eventuales perjuicios a los ciudadanos lo que debe servir como guía

para la aplicación o no de la ley. Esta interpretación se sustenta, por un lado, en la jerarquía

de los derechos que la normativa viene a proteger (derechos al honor y a la intimidad, entre

17 Estos términos son tratados en forma indistinta por la ley, por lo que de aquí en adelante utilizaremos la

expresión “base de datos”

7

otros) y por el otro, en el carácter “integral” que la propia ley determina como esencial a su

finalidad protectoria. Este criterio ha sido apoyado por la jurisprudencia, que en varias

ocasiones ha resuelto que la ley de protección de datos personales se aplica a todo tipo de

bases de datos18.

b) Definiciones: La ley 25.326 nos brinda en su art. 2 un listado de definiciones de

los conceptos más importantes que serán utilizados en sus disposiciones.

Datos personales: Información de cualquier tipo referida a personas físicas o de existencia

ideal determinadas o determinables. De esta manera, la ley protege todos los datos que

puedan ser vinculados a alguna persona. Si el dato está anonimizado o disociado, no gozará

de la protección normativa. Sin embargo, si existiera la posibilidad de determinar la

identidad de una persona, el dato sería considerado “personal”, ya que la ley habla también

de “persona determinable”.

Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas,

convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a

la salud o a la vida sexual. La categoría de “datos sensibles” recibe una protección mayor

por parte de la legislación –como se verá más abajo-, debido a que se trata de información

que revela aspectos esenciales de la personalidad de las personas, y por ende, son

susceptibles de afectar la intimidad, la autonomía o el libre desarrollo de los individuos en

forma intensa.

Archivo, registro, base o banco de datos: Indistintamente, designan al conjunto organizado

de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no,

cualquiera que fuere la modalidad de su formación, almacenamiento, organización o

acceso.

Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos o no, que

permitan la recolección, conservación, ordenación, almacenamiento, modificación,

18 Consultar "Halabi, Ernesto c/ Citibank N.A.". C.N.Com., Sala C, 26/03/02. JA, 2002-III-18. ED, 197-327 (sumario

disponible en http://www.saij.gob.ar/convert-html-to-pdf?url=/jurisprudencia/FA02130235-halabi_citibank_amparo-

nacional-2002.htm&name=halabi-ernesto-c-citibank-na-s.pdf) o “CCiv. y Com.San Martin, Sala II, 21/2/2002, "P. c/Forma

Crédito SA", LLBA 2002-859”

8

relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos

personales, así como también su cesión a terceros a través de comunicaciones, consultas,

interconexiones o transferencias.

Responsable de archivo, registro, base o banco de datos: Persona física o de existencia ideal

pública o privada, que es titular de un archivo, registro, base o banco de datos.

Datos informatizados: Los datos personales sometidos al tratamiento o procesamiento

electrónico o automatizado.

Titular de los datos: Toda persona física o persona de existencia ideal con domicilio legal o

delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se

refiere la presente ley.

Usuario de datos: Toda persona, pública o privada que realice a su arbitrio el tratamiento de

datos, ya sea en archivos, registros o bancos de datos propios o a través de conexión con los

mismos.

Disociación de datos: Todo tratamiento de datos personales de manera que la información

obtenida no pueda asociarse a persona determinada o determinable.

c) Principios generales relativos a la protección de datos personales: La ley 25.326

ha establecido una serie de principios a los cuales deben sujetarse todas las operaciones de

tratamiento de datos. Estos principios tienen como función el de servir como pautas

generales para un tratamiento legítimo y respetuoso de los derechos de los titulares de los

datos personales. A continuación detallaremos los principios contemplados por la ley

25.326

Los datos deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y

finalidad para los que se hubieren obtenido (art.4 inc.1): este principio exige que las

operaciones de tratamiento de datos personales únicamente se hagan sobre aquellos datos

que sean estrictamente necesarios para las finalidades establecidas.

9

La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma

contraria a las disposiciones de la ley (art. 4 inc.2): para ser legítima, toda adquisición de

datos debe ser hecha de acuerdo a los requisitos que establece la legislación. De esta

manera, se prohíbe el robo de información, el engaño, la estafa o cualquier otro ardid ilícito

para conseguir datos personales.

Los datos personales no pueden ser utilizados para finalidades distintas o incompatibles con

aquellas que motivaron su obtención (art. 4 inc. 3) : la ley establece la obligación – en

forma previa a la recolección de datos- de informar al titular de los datos la finalidad para la

cual van a ser utilizados. El motivo es que la persona pueda tener la certeza de qué es lo que

van a hacer con sus datos, a fin de que su consentimiento pueda ser dado con la suficiente

información. Si se permitiera un cambio en la finalidad del tratamiento, el derecho del

titular del dato sería fácilmente burlado.

Los datos deben ser exactos y actualizarse en caso que fuese necesario (art. 4 inc. 4): este

principio protege el derecho de las personas a que los datos que figuren en las bases de

datos sean verdaderos. Una de las formas de hacer efectivo este derecho es mediante la

actualización de los datos cuando sea pertinente.

Los datos inexactos o incompletos deben ser suprimidos, sustituidos o completados (art. 4

inc. 5): como corolario del principio anterior, se establece la obligación del responsable de

contar con una base de datos exacta y completa, eliminando, reemplazando o completando

aquellos datos que no sean verdaderos o precisos.

El almacenamiento de los datos debe realizarse de modo que el titular pueda ejercer el

derecho de acceso (art. 4 inc. 6): Uno de los aspectos esenciales de la protección de datos

personales consiste en brindar al titular del dato la facultad de conocer cuáles son los datos

que figuran en las bases, de manera de permitirle poder controlar qué información existe

sobre él y así, poder comprobar su exactitud, veracidad, completitud, etc. Para ello, es

condición necesaria el acceso a las bases de datos.

10

Los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los

fines para los cuales fueron recolectados (art. 4 inc.7): complementando el principio de

prohibición de uso para una finalidad distinta, la ley establece la obligación del responsable

de la base de datos de eliminar los datos cuando el motivo por el cual fueron recolectados

haya dejado de existir. Aparte de ser una consecuencia lógica del hecho de que si la

finalidad de recolección se ha cumplido ya no tiene sentido conservar el dato, este principio

busca evitar la utilización de datos para fines cuyo consentimiento no ha sido dado por el

titular del dato.

Consentimiento (art.5): La ley establece como regla general que todo tratamiento de datos

debe realizarse con el consentimiento libre, expreso e informado del titular. De lo contrario,

el tratamiento será considerado ilícito. Respecto a la forma que debe adoptar el

consentimiento, el principio establece que debe ser hecho por escrito o por un medio que se

lo equipare, de acuerdo a las circunstancias. Así, el consentimiento tácito o presunto no es

considerado válido por la ley. Sin embargo, dicho principio no es absoluto. Existen casos

en los cuales no es necesario el consentimiento del titular del dato, los cuales serán

mencionados a continuación:

I. Datos que se obtengan de fuentes públicas de acceso irrestricto: esta excepción

abarca aquellos datos que al consistir en hechos notorios, son de público conocimiento o

que figuran en registros públicos.

II. Se recaben para el ejercicio de funciones propias de los poderes del Estado o en

virtud de una obligación legal: tampoco se exige consentimiento cuando se trate de datos

que el Estado necesita recolectar para poder cumplir con las actividades propias de su

naturaleza.

III. Datos no íntimos: cuando se trate de datos que se limiten a nombre, documento

nacional de identidad, identificación tributaria o previsional, ocupación, fecha de

nacimiento y domicilio, la ley no exige consentimiento para su tratamiento. El motivo es

que se considera que estos datos en principio no generan ninguna afectación al derecho a la

intimidad.

11

IV. Datos utilizados en el marco de una relación contractual, científica o profesional

del titular del dato: la condición es que los mismos resulten necesarios para el desarrollo o

cumplimiento de la relación.

V. Datos utilizados por entidades financieras: Las operaciones realizadas por las

entidades financieras y las informaciones que reciban de sus clientes también están

exceptuadas del consentimiento, en la medida en que se traten de operaciones activas, es

decir, aquellas en que el banco es acreedor (ej, cuando el banco otorga un préstamo). Las

operaciones pasivas, en las que el banco es deudor, no están alcanzadas por esta

disposición, debido a que se encuentran protegidas por el secreto bancario.

Información (art. 6): La obligación de informar, necesaria para que el consentimiento

prestado por el titular de los datos sea válido, implica que el responsable deba comunicar –

previamente al tratamiento de datos- al titular de manera expresa y clara la siguiente

información:

I. La finalidad del tratamiento y los posibles destinatarios del mismo

II. La existencia de la base de datos y la identidad y domicilio de su responsable.

III. El carácter obligatorio o facultativo de las respuestas al cuestionario que se le

proponga, en especial en lo referente a los datos sensibles.

IV. Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la

inexactitud de los mismos.

V. La posibilidad del interesado de ejercer los derechos de acceso, rectificación y

supresión de los datos.

Datos sensibles (art. 7): Definidos en el art. 2, los datos sensibles reciben una especial

protección dentro de la legislación, debido a su potencialidad para causar situaciones

discriminatorias a sus titulares. De esta manera, la ley establece que ninguna persona puede

ser obligada a proporcionar datos sensibles. Esta disposición se complementa con la

prohibición a toda base de datos de almacenar información que directa o indirectamente

revele datos sensibles. Sin perjuicio de estas barreras protectorias, en ciertos casos la ley

12

permite algunas excepciones. En materia de recolección y tratamiento, se concede la

autorización en dos supuestos: cuando medien razones de interés general autorizadas por

ley o cuando sean tratados con finalidades estadísticas o científicas, siempre que sus

titulares no puedan ser identificados. Por otro lado, se permite a la Iglesia Católica, las

asociaciones religiosas y las organizaciones políticas y sindicales que puedan llevar un

registro de sus miembros.

Deber de confidencialidad (art. 10): esta obligación pesa sobre todas las personas que

intervienen en el proceso de tratamiento de datos (responsable, usuario, terceros) y

comprende el deber de mantener el secreto profesional sobre los datos personales, aun

después de finalizada la relación con el titular. Este deber puede cesar por medio de una

resolución judicial y por motivos de seguridad pública, defensa nacional o salud pública.

Cesión de datos personales (art.11): La transferencia de datos personales desde una base a

otra es permitida, sólo si se cumplen los siguientes requisitos: que la cesión se haya

realizado para cumplir fines directamente relacionados con el interés legítimo de cedente y

cesionario; que el titular del dato haya dado su consentimiento previo, y que éste haya sido

informado de la finalidad de la cesión, y de la identificación del cesionario o de los

elementos para poder hacerlo. Si la transferencia se produce, el cesionario quedará sujeto a

las mismas obligaciones reglamentarias y legales del cedente, el cual a su vez, deberá

responder en forma solidaría y conjunta ante cualquier violación de la legislación.

Asimismo, el consentimiento es revocable y el titular puede solicitar en cualquier momento

al cesionario que deje de realizar el tratamiento correspondiente.

Sin embargo, el consentimiento no siempre es necesario. Existen varias excepciones

a la regla: cuando lo disponga una ley, cuando se trate de uno de los supuestos por los

cuales no es necesario el consentimiento para el tratamiento del dato (ver arriba), cuando se

trate de cesiones de datos entre dependencias de los órganos del Estado en forma directa,

siempre y cuando se realicen dentro del marco de sus competencias; se trate de datos

relativos a la salud, a condición de que sean necesarios por razones de salud pública,

13

emergencia o para realizar estudios epidemiológicos y se preserve la identidad de los

titulares de los datos; y cuando se hubiera aplicado un procedimiento de disociación de la

información, de manera que las personas no puedan ser identificadas.

d) Derechos de los titulares de los datos: la ley concede una serie de derechos a los

titulares de datos en contra de tratamientos ilegítimos o abusivos.

I. Derecho a la información (art. 13) : para poder controlar a los responsables de

bases de datos, primero se los debe identificar. Por ello, las personas poseen la facultad de

solicitar al organismo regulador (en este caso la DNPDP) que les informe sobre las bases de

datos existentes, así como sus finalidades e identidades de sus responsables.

II. Derecho de acceso (art. 14): este derecho permite al titular de los datos solicitar y

obtener información acerca de los datos sobre él que figuren en toda base de datos, sea

pública o privada. En este caso, el obligado es el responsable de la base de datos, quien

debe brindar la información dentro de los diez días corridos de haber sido notificado. Si así

no lo hiciere o la información fuera insuficiente, el titular podrá iniciar una acción de

habeas data. Este derecho puede ser ejercido en forma gratuita a intervalos de seis meses,

salvo que se acredite un interés legítimo por ejercerlo antes de dicho periodo. Si no, el

derecho persistirá pero el responsable de la base de datos podrá cobrar una suma de dinero

para su acceso.

Para que una información no sea considerada insuficiente, el contenido deber ser

producido de la siguiente manera (art. 15): en primer lugar, la información debe ser clara y

acompañada de una explicación que sea accesible al conocimiento de la población. En

segundo lugar, también debe ser amplia, en el sentido de que verse sobre todo el registro

que pertenezca al titular, aun cuando éste hubiera solicitado sólo una parte. Por último,

debe ser entregada –a opción del titular- por escrito, por medios electrónicos, telefónicos,

de imagen, u otro idóneo a tal fin. Cabe destacar que en ningún caso podrán brindarse datos

de terceros, aun cuando estén vinculados con la persona que hizo la solicitud.

14

III. Derecho de rectificación, actualización o supresión (art. 16): Si los datos son

falsos o están desactualizados, toda persona puede solicitar al responsable o usuario de la

base de datos su corrección, actualización o incluso su supresión, si así correspondiere.

Respecto a la supresión, la ley prohíbe que se adopte este tipo de medida cuando la medida

pudiera causar perjuicios a derechos o intereses de terceros, o cuando existiera una

disposición legal de conservar los datos.

Una vez recibido el pedido, el obligado tiene cinco días hábiles para cumplir con la

solicitud. Si el responsable se hubiera anoticiado del error o la falsedad, también deberá

cumplir con su deber en el mismo plazo, aun cuando no hubiera mediado solicitud del

titular. Asimismo, durante el proceso de verificación y rectificación de la información, las

bases de datos deberán bloquear el archivo o comunicar al momento de proveer la

información que la misma se encuentra sometida a dicho proceso. Por otro lado, si se

hubiera efectuado una cesión de datos, el cedente tiene la obligación de notificar la

rectificación o supresión al cesionario dentro de los cinco días hábiles de efectuarse el

tratamiento de datos. Al igual que sucede con el derecho al acceso, si el responsable no

cumpliere con sus obligaciones, el titular podrá iniciar una acción de protección de datos

personales.

Este marco protectorio no se aplica en el caso de bases de datos públicos, las cuales

en ciertos casos pueden negar el acceso, la rectificación o la supresión de datos. La primera

excepción está dada por asuntos de protección de la defensa de la nación, del orden y la

seguridad pública, o de la protección de derechos e intereses de terceros. El segundo

supuesto se vincula con el peligro de obstaculizar actuaciones judiciales o administrativas

relacionadas con investigaciones sobre el cumplimiento de obligaciones tributarias o

previsionales; el desarrollo de funciones de control de la salud y del medio ambiente y la

investigación de delitos penales y verificación de infracciones administrativas. En todos los

casos la decisión de negar la petición del titular del dato debe estar fundada y ser notificada

al afectado, aunque éste todavía podría intentar una acción de habeas data.

15

Finalmente, se establece que cuando exista una definición del perfil de una persona

basada en el tratamiento informatizado de sus datos personales, ésta no puede servir como

único fundamento de decisiones judiciales o actos administrativos que impliquen

valoraciones de conductas humanas (art. 20). Tal como surge de su redacción, el sector

privado está excluido de la disposición, por lo que actividades como la calificación de

riesgo crediticio que realizan ciertas empresas para determinar si una persona debe o no

recibir un préstamo dinerario, no estarían comprendidas por la norma.

e) Registro de datos personales: La legislación argentina establece la obligación de

todos los registros públicos y privados destinados a dar informes de inscribirse en un

registro que la autoridad de contralor debía habilitar (art. 21) El Registro Nacional de Bases

de Datos fue creado en Noviembre de 2003 mediante la disposición 2/0319 y funciona bajo

la órbita de la Dirección Nacional de Protección de Datos Personales. La única excepción al

deber de registro son las bases de datos para uso exclusivamente personal (art. 24).

f) Supuestos especiales: En lo relativo a los supuestos especiales, la ley contiene

algunas disposiciones sobre las bases de datos de las fuerzas de seguridad, fuerzas armadas

u organismos policiales y de inteligencia (art. 23). En primer lugar, se dispone que dichas

bases también deben cumplir con los preceptos establecidos por la ley. No obstante, el

tratamiento de datos con fines de defensa nacional o seguridad pública no requiere el

consentimiento de los interesados, siempre que el mismo se limite a datos estrictamente

necesarios para el estricto cumplimiento de misiones de defensa nacional, seguridad pública

o represión de delitos; y las bases de datos que se formen sean específicas y clasificadas por

categorías, en función de su grado de fiabilidad. Asimismo, los datos personales que sean

recolectados con fines policiales deben ser cancelados cuando ya no sean necesarios para

las averiguaciones que motivaron su almacenamiento.

g) Servicios de información crediticia (art. 26): El tratamiento de datos personales

que revelen información sobre la situación financiera de las personas resulta un ámbito de

19 Disponible en http://www.jus.gob.ar/media/33394/disp_2003_02.pdf

16

marcada sensibilidad, ya que lo que allí se difunda puede afectar intensamente la capacidad

de los individuos para llevar adelante sus actividades económicas o para mejorar su nivel de

vida. Un informe negativo sobre el pasado comercial de una persona puede ser decisivo

para que ésta no pueda acceder al sistema financiero. Es por ello que la legislación ha

regulado de manera especial la situación de las entidades que brindan servicios de este tipo.

En primer lugar, la norma establece que sólo podrán tratarse datos personales de

carácter patrimonial relativos a la solvencia económica y al crédito. Dichos datos pueden

obtenerse de fuentes públicas, de informaciones facilitadas por el interesado o con su

consentimiento. Cuando se trate de datos sobre el cumplimiento o incumplimiento de

obligaciones, el acreedor o quien actúe por su cuenta e interés también puede facilitarlos.

Además de los derechos consagrados en forma general, la normativa establece dos

derechos particulares a estos casos. El primero es un caso especial del derecho al acceso,

por medio del cual el titular de los datos puede exigir que se le comunique todas las

informaciones, evaluaciones y apreciaciones sobre él que hayan sido comunicadas en los

últimos seis meses previos a la solicitud. El segundo es el derecho a solicitar la eliminación

de datos personales por el transcurso del tiempo. La ley dispone que las bases de datos sólo

puedan registrar los datos necesarios para evaluar la solvencia económico-financiera de los

afectados durante los últimos cinco años. A su vez, cuando el deudor cancele la obligación,

el plazo se reduciría a dos años.

La reglamentación intentó aclarar la disposición legislativa al determinar que el

plazo de cinco años se cuente desde “la fecha de la última información adversa archivada

que revele que dicha deuda era exigible”, mientras que el plazo de dos años corre a partir de

la “fecha precisa en que se extingue la deuda”. Por último, la Corte Suprema se encargó de

sentar los criterios para la aplicación de los plazos en los fallos “Catania”20 y “Nápoli”21.

En el primero de ellos, el máximo tribunal estableció que el plazo de cinco años empieza a

20 Disponible en http://www.habeasdata.org/wp/2011/11/17/derecho-al-olvido-fallo-csjn-catania/

21 Disponible en http://www.habeasdata.org/wp/2011/11/17/derecho-al-olvido-caso-napoli-de-la-csjn/

17

correr con independencia de que se haya operado o no la prescripción respecto a la deuda

cuya eliminación de la base de datos se solicita. De esta manera, el término de cinco años

no queda pospuesto por el hecho de que la deuda todavía sea exigible.

En el segundo fallo, la Corte interpretó que la expresión “última información

adversa archivada” debe referirse al “último dato -en su sentido cronológico- que ha

ingresado al archivo”. Así, no pueden considerarse las “sucesivas reiteraciones del mismo

dato (…) que han sido informadas y aparecen asentadas en la base de datos mencionada”.

Con esta interpretación, la Corte buscó evitar la prolongación indefinida del momento de

comienzo del plazo de cinco años, ya que de lo contrario, hubiera bastado que todos los

meses el acreedor informase de la deuda para que nunca operase el inicio de los 5 años.

Bases de datos con fines de publicidad: El uso de la tecnología para expandir los

clientes de una empresa a través del ofrecimiento de productos, promociones o servicios ha

supuesto una práctica que -además de resultar molesta- puede afectar la intimidad de las

personas. Es por ello que la ley 25326 consideró necesario dedicar un apartado (art.27) a

las bases de datos cuya finalidad principal es la realización de actividades de publicidad.

Allí, se establece la autorización para el tratamiento de datos “que sean aptos para

establecer perfiles determinados con fines promocionales, comerciales o publicitarios; o

permitan establecer hábitos de consumo”. El requisito para esta autorización es que los

datos figuren en documentos accesibles al público, hayan sido facilitados por los titulares u

obtenido con su consentimiento.

El decreto reglamentario completó estas disposiciones, al establecer el permiso para

ceder datos personales con fines de publicidad sin necesidad de requerir el consentimiento

del titular, siempre que los datos se utilicen para “perfiles determinados, que categoricen

preferencias y comportamientos similares de las personas”. En este caso, el titular sólo debe

ser identificado por su pertenecia a tales grupos y los datos que puedan individualizarlos

deben ser aquellos estrictamente necesarios para hacerle llegar la oferta.

18

Por otro lado, la norma menciona que los titulares de los datos ejercerán su derecho

al acceso sin costo alguno y podrán solicitar en cualquier momento el retiro o bloqueo de su

nombre de la base de datos. Como correlato de este derecho, el decreto reglamentario

consagra la obligación de que toda comunicación por publicidad indique en forma “expresa

y destacada” al titular que goza de tal facultad.

h) Control (art. 30) y sanciones (art. 31): En su versión original, la ley 25.326

disponía que el órgano de control encargado del cumplimiento de la ley gozaría de

“autonomía funcional” y actuaría como “órgano descentralizado en el ámbito del Ministerio

de Justicia de la Nación”. A su vez, el director sería designado “por el término de cuatro (4)

años , por el Poder Ejecutivo con acuerdo del Senado de la Nación”. Sin embargo, al

momento de promulgarse la ley, el Poder Ejecutivo observó los artículos en los que dichas

disposiciones estaban presentes, con el argumento de que la incorporación de un órgano

descentralizado implicaba un incremento en las erogaciones del Estado que no estaba

previsto en las partidas presupuestarias. De está manera, el actual órgano de contralor

consiste en una Dirección Nacional de Protección de Datos Personales que opera en el

ámbito de la Secretaría de Asuntos Registrales dependiente del Ministerio de Justicia y

Derechos Humanos. Asimismo, el director es elegido por cuatro años por el Poder

Ejecutivo, sin la necesidad de contar con el acuerdo del Senado.

A pesar de esta reducción en la jerarquía, las funciones de la Dirección continúan

siendo las mismas que fueron establecidas por la ley 25326, a saber: asesorar a los titulares

de los datos personales en el ejercicio de sus derechos, recibir denuncias e iniciar

investigaciones contra responsables de tratamiento de datos que no cumplan con la

normativa, inscribir y llevar a cargo el registro de las bases de datos del país, emitir

dictamenes y sanciones de acuerdo a la ley, entre otros.

En lo relativo a las sanciones, la ley faculta al órgano de control a aplicar sanciones

de apercibimiento, suspensión, multa -de 1.000 a 100.000 pesos- o cancelación de la base

19

de datos, las cuales deben dictaminarse en virtud de la “gravedad y extensión de la

violación y de los perjuicios derivados de la infracción”

i)Acción de protección de datos personales (arts. 33 a 43): Los derechos a la

protección de datos personales consagrados en la ley 25326 -y en otros instrumentos

normativos- serían sólo ilusorios si no contaran con una acción judicial para solicitar su

implementación en caso de incumplimiento. Para ello, la ley ha establecido la acción de

habeas data, que no es más que detallar aquello que ya había sido consagrado por la

Constitución luego de la reforma del 94. No obstante, la redacción de la ley amplía los

supuestos previstos por la Carta Magna. Mientras que la Constitución limitaba la acción a

casos de falsedad o discriminación, la ley 25326 extiende su alcance a cualquier caso que

implique una infracción a la ley de datos personales. Es decir que el habeas data procederá

ante cualquier caso que implique una violación a los principios y los derechos vinculados a

la protección de datos personales.

La acción deberá ser interpuesta por el afectado (en el caso de personas jurídicas,

serán sus representantes legales), sus tutores o curadores o sucesores y será dirigida contra

los responsables y usuarios de la base de datos cuestionada. En caso de que la acción sea

llevada a cabo contra una base de datos pública de organismos nacionales o el dato se

encuentre en un archivo interconectado en redes interjurisdiccionales, la competencia será

federal.

Con el objetivo de hacer el procedimiento lo más expedito posible, se dispuso que

rijan las reglas del amparo y en forma supletoria, del juicio sumarísimo. El juez podrá

disponer que, mientras se desarrolla el proceso, se bloqueen provisionalmente los datos

cuando sea manifiesto el carácter falso, discriminatorio o inexacto del mismo. En caso que

se acepte la demanda, la sentencia deberá especificar si la información debe suprimida,

rectificada, actualizada o declarada confidencial, estableciendo un plazo para su

cumplimiento.

20

Comparación entre la ley argentina de protección de datos personales y el

nuevo Reglamento General de Protección de Datos de la Unión Europea

Autor: Eduardo Ferreyra22

Introducción: El 27 de Abril de 2016 el Parlamento Europeo y el Consejo de la

Unión Europea (UE) sancionaron el Reglamento General de Protección de Datos (RGPD)23

que sustituye a la vieja Directiva 95/46, instrumento normativo que reguló la protección de

datos personales en la UE por más de veinte años. La principal característica general de este

Reglamento es que, a diferencia de la Directiva -que necesitaba de la transposición por las

leyes nacionales de los países miembros para su entrada en vigencia-, su aplicación es

inmediata y no hay necesidad de incorporación por parte del ordenamiento jurídico interno.

22 Abogado. Investigador de la Asociación por los Derechos Civiles. Magíster en Derechos Humanos y

Democratización en América Latina de la Universidad Nacional de San Martín

23 Disponible en http://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32016R0679&from=ES

21

Por el contrario, el Reglamento desplazará cualquier norma interna en las materias que

regule. Como excepción, únicamente cuando el propio Reglamento lo disponga

expresamente, las legislaciones nacionales podrán dictar regulación complementaria. A

pesar de que la nueva normativa ya ha entrado en vigor, se ha previsto un plazo de dos años

– a contar desde el 25 de mayo de 2016- para el inicio de su aplicación, en virtud de que se

ha considerado prudente otorgar a los sujetos afectados por la nueva regulación un tiempo

razonable para poder adaptarse a las flamantes exigencias legales. El RGPD consiste en 99

artículos reunidos en 11 capítulos y cuenta con 173 considerandos que sirven como

explicación de las disposiciones y eventualmente pueden servir como pautas para su

interpretación.

A causa de su reciente sanción, el Reglamento es un instrumento normativo

actualizado, por lo que el fenómeno de las nuevas tecnologías de la información y la

comunicación (TIC) ha sido considerado, sobre todo en lo que se refiere a las amenazas y

potenciales afectaciones que puedan ocasionar a la protección de los datos personales. En

paralelo a esto, debemos recordar que la legislación argentina se ha inspirado en gran

medida en el modelo europeo de protección de datos. Como ejemplo, podemos mencionar

que nuestra ley de protección de datos personales se basa en la ley española de 1992

(reemplazada en 1999 por la actual Ley Orgánica de Protección de Datos de Carácter

Personal). Debido a estas consideraciones, no resulta ocioso realizar un análisis

comparativo de nuestra legislación con el RGPD, a fin de ver cuáles son las diferencias de

regulación y detectar aquellas áreas que nuestra legislación no ha regulado en virtud de que

el momento de su sanción no permitía prever las características de la expansión del

fenómeno digital en los siguientes años. Es por ello que a continuación, describiremos las

principales novedades que el Reglamento ha traído y lo compararemos con lo dispuesto en

la legislación argentina.

Objeto (art. 1): El RGPD dispone que su objetivo es establecer normas que se refieran

tanto a la protección de los datos personales de las personas físicas como a la libre

circulación de aquellos datos. Debido a esta doble función, si bien la normativa establece

22

la protección de los derechos y libertades fundamentales de las personas físicas -en

particular el derecho a la protección de datos personales en sí mismo-, también sostiene que

este fin no puede restringir ni prohibir la libre circulación de datos dentro del mercado

interior de la UE.

La ley 25326 también establece como objetivo la protección integral de los datos

personales aunque los considera como un medio para proteger el derecho al honor y a la

intimidad de las personas, así como el acceso a la información. Por otra parte, no solamente

las personas físicas están cubiertas por la legislación sino que las personas jurídicas

también podrán ampararse en la normativa “en cuanto resulte pertinente”, según el lenguaje

de la ley.

Finalmente, ésta última contiene una referencia a que no se podrán afectar las bases

de datos ni las fuentes de información periodística. En este sentido, el RGDP dispone que

los tratamientos de datos personales con fines periodísticos deben gozar de excepciones a

ciertas disposiciones del Reglamento pero deja a cada Estado miembro la determinación de

cuáles serán esas exenciones.

Ámbito de aplicación material (art. 2): El criterio establecido por el Reglamento para su

aplicación es la actividad desarrollada, a saber, la realización de un proceso de tratamiento -

automatizado o no- de datos personales contenidos o destinados a estar en un fichero. En

cambio, en la ley argentina el criterio es el lugar en donde están contenidos los datos

personales, en este caso, que se encuentren en una base de datos pública o privada

destinada a dar informes.

Por otro lado, el Reglamento establece que sus disposiciones no se aplicarán al tratamiento

de datos personales realizados con fines de prevención, investigación, detección o

enjuiciamiento de infracciones penales, o de ejecución de sanciones penales. Esto es así

debido a que en forma conjunta se sancionó la Directiva 2016/680, que establece un marco

autónomo y detallado para regular este tipo de tratamiento de datos. Por el contrario, en la

23

ley argentina existen disposiciones que regulan las bases de datos de las fuerzas de

seguridad y/o policiales, aunque en forma escueta..

Ámbito de aplicación territorial (art.3): El Reglamento establece dos supuestos para su

aplicación territorial: el primero se produce cuando el tratamiento de datos se realiza en el

contexto de actividades de un establecimiento situado en la UE, con independencia de que

el tratamiento tenga lugar o no en la UE. El segundo supuesto aparece cuando hay

tratamiento de datos personales de interesados que viven en la UE por parte de un

responsable o encargado que no reside en la UE, siempre que la actividad de tratamiento de

datos se vincule con la oferta de bienes y servicios a dichos interesados o con el control de

su comportamiento, en la medida que tenga lugar en la UE.

En la ley argentina, sólo se habla de “archivos, registros, bancos de datos, u otros medios

técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes”

sin mencionar la sede de su establecimiento ni el lugar en el que se lleva a cabo el

tratamiento de datos como criterio para su aplicación territorial. La única referencia en este

sentido está dada por el art. 44, que somete a la jurisdicción federal a los “registros,

archivos, bases o bancos de datos interconectados en redes de alcance interjurisdiccional,

nacional o internacional”.

Definiciones (art. 4): El Reglamento contiene un amplio catálogo de definiciones acerca

de conceptos que son considerados decisivos para la regulación del tratamiento de datos

personales. En este sentido, la lista es mucho más larga que la prevista por la ley argentina.

Entre los conceptos incorporados por el Reglamento y que no figuran en la ley 23.526 se

cuentan: limitación de tratamiento, elaboración de perfiles, datos genéticos, datos

biométricos, empresa, grupo empresarial, normas corporativas vinculantes, servicio de la

sociedad de la información, entre otros.

Por otra parte, la definición de datos personales del Reglamento establece que una

persona se considerará identificable cuando su identidad pueda “determinarse, directa o

24

indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un

número de identificación, datos de localización, un identificador en línea o uno o varios

elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural

o social de dicha persona”. Por el contrario, la ley argentina no cuenta con ningún criterio o

definición para establecer el carácter identificable de una persona.

Respecto a los datos sensibles, el Reglamento -que las denomina “categorías

especiales de tratamiento de datos”- incluye varios datos ya previstos por la ley argentina, a

saber: datos que revelen origen étnico o racial, las opiniones políticas, las convicciones

religiosas o filosóficas, la afiliación sindical, los datos relativos a la salud o a la vida sexual

de las personas. Sin embargo, incorpora algunos tipos de datos que no están previstos en la

legislación argentina, como los datos genéticos, los datos biométricos dirigidos a identificar

de manera unívoca a una persona física y los datos relativos a la orientación sexual de una

persona. A su vez, la ley 25326 considera como dato sensible a los datos que revelen

convicciones morales, situación no prevista por el Reglamento.

En relación a los sujetos contemplados, la ley argentina reconoce tres supuestos: el

titular de los datos (aquel cuyos datos son objeto de tratamiento), el responsable de la base

de datos (quien es titular de un archivo de datos) y el usuario de los datos (quien realiza el

tratamiento de datos). Por el lado del Reglamento, existe un número más amplio de sujetos

definidos por la ley: el interesado (término con que se denomina en la normativa europeo a

lo que en la ley argentina se conoce como titular de los datos), el responsable (similar al

previsto en la normativa argentina), el encargado (aquel que trate datos personales por

cuenta del responsable del tratamiento), el destinatario (aquel al que se comuniquen datos

personales, se trate o no de un tercero), el tercero (aquella persona distinta del interesado,

del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas

para tratar los datos personales bajo la autoridad directa del responsable o del encargado) el

representante (quien representa al responsable o al encargado en lo que respecta a sus

respectivas obligaciones en virtud del Reglamento). Asimismo, se contemplan definiciones

25

de empresa, grupo empresarial, organización internacional autoridad de control y autoridad

de control interesada.

Por último, se contempla a los servicios de la sociedad de la información, para cuya

definición se remite a los afirmado por la Directiva (UE) 2015/1535 , que establece que es

“todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía

electrónica y a petición individual de un destinatario de servicios”.24

Principios (art. 5): En principio, existe una relativa similitud entre los principios

consagrados en ambas legislaciones. Así, los dos ordenamientos reconocen los principios

de licitud, finalidad, exactitud, necesidad, confidencialidad y limitación del plazo de

conservación. Sin embargo, las diferencias surgen al momento de determinar el contenido

de cada uno de ellos. Por ejemplo, mientras que para la ley argentina el principio de licitud

se cumple cuando la base de datos se encuentra inscripta en el Registro y observa los

principios establecidos en la ley, el Reglamento (art. 6) establece una serie detallada y

precisa de condiciones las cuales -al menos una- deben ser cumplidas para ser considerado

lícito el tratamiento, a saber: si el interesado dio su consentimiento para el tratamiento de

sus datos personales para uno o varios fines específicos; si el tratamiento es necesario para

la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de

este de medidas precontractuales; si el tratamiento es necesario para el cumplimiento de

una obligación legal aplicable al responsable del tratamiento; si el tratamiento es necesario

para proteger intereses vitales del interesado o de otra persona física; si el tratamiento es

necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio

de poderes públicos conferidos al responsable del tratamiento o si el tratamiento es

necesario para la satisfacción de intereses legítimos perseguidos por el responsable del

tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los

24 Directiva (UE) 2015/1535 por la que se establece un procedimiento de información en materia

de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información,

disponible en http://eur-lex.europa.eu/legal-

content/ES/TXT/HTML/?uri=CELEX:32015L1535&from=ES

26

intereses o los derechos y libertades fundamentales del interesado que requieran la

protección de datos personales, en particular cuando el interesado sea un niño.

Asimismo, mientras la ley argentina define al principio de finalidad como aquel

mediante el cual los datos no pueden ser utilizados para finalidades distintas o

incompatibles con aquellas que motivaron su obtención, el Reglamento consagra que los

datos pueden ser “recogidos con fines determinados, explícitos y legítimos y no serán

tratados ulteriormente de manera incompatible con dichos fines”.

Por otro lado, el Reglamento consagra explícitamente el principio de minimización

de los datos, que ordena que los datos serán “adecuados, pertinentes y limitados a lo

necesario en relación con los fines para los que son tratados”. De esta manera, la normativa

europea dispone como principio general la obligación de recolectar, almacenar y procesar

la menor cantidad de información posible.

La limitación de la conservación también está definida de manera precisa por el

Reglamento, que establece que los datos sean “mantenidos de forma que se permita la

identificación de los interesados durante no más tiempo del necesario para los fines del

tratamiento de los datos personales”

En sintonía, la normativa europea consagra el principio de integridad y

confidencialidad, ordenando que los datos sean “tratados de tal manera que se garantice una

seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no

autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la

aplicación de medidas técnicas u organizativas apropiadas “.

Finalmente, el Reglamento agrega el principio de responsabilidad proactiva, por el

cual los responsables de tratamiento de datos serán responsables del cumplimiento de todos

los principios y además, deberán ser capaces de demostrar tal cumplimiento.

27

Consentimiento (art. 7): En el Reglamento el consentimiento constituye una de las bases

legítimas por las cuales se considera lícito el tratamiento de datos. Esto significa que si bien

es uno de los más importantes, el consentimiento no tiene una preeminencia en el sistema

de protección de datos de la UE sino que coexiste con otras bases legítimas establecidas por

la legislación, a saber: si es necesario para la ejecución de un contrato en la que el

interesado es parte; si es necesario para el cumplimiento de una obligación legal del

responsable del tratamiento; si es necesario para proteger intereses vitales del interesado u

otra persona física; si es necesario para el cumplimiento de una misión de interés público o

en ejercicio de poderes públicos; y si es necesario para la satisfacción de intereses legítimos

perseguidos por el responsable del tratamiento o un tercero, en tanto no prevalezcan los

intereses o los derechos del interesado.

Por el contrario, en la legislación argentina el consentimiento es la regla general

para la licitud de todo tratamiento de datos personales y los casos en los que no se necesita

dicho consentimiento están configurados como excepciones a dicha regla.

Al momento de definir el consentimiento, el Reglamento afirma que es una

“manifestación de voluntad libre, específica, informada e inequívoca por la que el

interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el

tratamiento de datos personales que le conciernen”. De esta manera, la normativa europea

no utiliza el calificativo “expreso” presente en la legislación argentina y admite además de

una declaración, la presencia de otras “acciones afirmativas claras” que sean expresión del

consentimiento del interesado. En este último sentido, la ley argentina determina que el

consentimiento sólo puede otorgado por escrito o por otro medio que se le equipare.

Otra diferencia con la normativa argentina es que el Reglamento establece

expresamente que es el responsable del tratamiento de datos el encargado de demostrar que

el interesado consintió en que sus datos personales sean tratados. Asimismo, la normativa

europea determina que para establecer el carácter libre del consentimiento, deberá tenerse

en cuenta los datos personales que se solicitan para la ejecución del contrato. Si la persona

28

debe suministrar o aceptar el tratamiento de datos que no son necesarios para la ejecución

de dicho contrato, tal situación será tomada como un elemento en contra de considerar al

consentimiento como libre.

Finalmente, el Reglamento contiene disposiciones referidas al consentimiento

prestado por menores de edad en relación a los servicios que se le ofrecen (art.8). La norma

ordena que el consentimiento será considerado lícito cuando el menor tenga como mínimo

dieciséis (16) años. Si es menor de esa edad, el consentimiento debe ser dado por el o la

titular de la patria potestad o por el que ejerza la tutela. Por el contrario, en la legislación

argentina no hay disposiciones referentes al consentimiento de menores de edad.

Datos sensibles (art. 9): Además de las diferencias en cuanto a qué se considera

dato sensible (vistas más arriba) existen divergencias en la forma de regular su tratamiento.

Según el Reglamento, la regla general es la prohibición de todo tratamiento referente a este

tipo de datos. Sin embargo, existen una serie de situaciones en las cuales el tratamiento de

datos sensibles estaría autorizado. La primera contemplada es el consentimiento explícito

del interesado. Luego, el Reglamento despliega un listado de excepciones que funcionan

como permisos para tratar datos sensibles (entre ellas, la necesidad de cumplir con derechos

y obligaciones del responsable, la existencia de un interés vital del interesado o de otra

persona física, la presencia de un interés público esencial, etc). En definitiva, lo importante

es la existencia de una base legal que justifique el tratamiento de datos sensibles.

En forma similar, la ley argentina establece la prohibición de formar bases de datos

que revelen datos sensibles. Asimismo, también dictamina que ninguna persona puede ser

obligada a proporcionar datos sensibles. Sin embargo, al momento de establecer las

excepciones, la ley sólo se refiere a la existencia de “razones de interés general autorizadas

por ley” y no contiene un listado detallado de salvedades, al estilo del Reglamento.

Finalmente, ambas legislaciones disponen que los registros de antecedentes penales

deben quedar siempre bajo control de las autoridades públicas.

29

Derechos de los interesados o titulares de los datos (arts. 13 a 21): Al igual que

la ley argentina, el Reglamento consagra los derechos tradicionales vinculados a la

protección de datos personales, como el derecho a la información, el derecho al acceso, el

derecho a la rectificación y el derecho a la oposición. Sin embargo, agrega tres nuevos

derechos no previstos -o previstos de manera distinta-en la ley 25326.

El primero es el derecho a la supresión o “derecho al olvido”, por el cual toda

persona tiene la facultad de solicitar la supresión de los datos personales que ya no sean

necesarios para el cumplimento de las finalidades para las que fueron recogidos, cuando se

haya retirado el consentimiento y no exista otra base legal para el tratamiento del mismo,

cuando el tratamiento haya sido realizado en forma ilícita, etc. En estos casos, el

responsable del tratamiento deberá adoptar medidas razonables, teniendo en cuenta la

tecnología disponible y el coste de su aplicación, incluyendo medidas técnicas, con miras a

informar a otros responsables de la solicitud de supresión de cualquier enlace a esos datos

personales o cualquier copia o réplica de los mismos.

El segundo derecho incorporado es el derecho a la limitación del tratamiento. En

virtud de este derecho, la persona puede solicitar que sus datos sean conservados pero sin

que puedan ejercerse otro tipo de tratamiento. Las condiciones en que procede este derecho

son: que el interesado impugne la exactitud de los datos personales, durante un plazo que

permita al responsable verificar la exactitud de los mismos; que el tratamiento sea ilícito y

el interesado no solicite la supresión sino su limitación; el responsable ya no necesite los

datos personales pero el interesado sí para la formulación, el ejercicio o la defensa de

reclamaciones; y cuando el interesado se haya opuesto a un tratamiento de datos, mientras

se verifica si los motivos del responsables prevalecen o no sobre los del interesado. En

estos casos, el responsable puede trasladar temporalmente los datos seleccionados a otro

sistema de tratamiento, impedir el acceso de usuarios a los datos personales seleccionados o

retirar temporalmente los datos publicados de un sitio de Internet.

30

El tercer derecho que se agrega es el derecho a la portabilidad, en virtud del cual

toda persona tiene derecho a recibir los datos personales que le incumban que haya

facilitado a un responsable del tratamiento y a transferirlos a otro responsable, sin que el

anterior pueda impedirlo. El interesado puede pedir la entrega de sus datos en un formato

de uso común o lectura mecánica o que directamente se le entregue al nuevo responsable,

siempre que sea técnicamente posible.

Derecho a la oposición y marketing directo: En el considerando 47, el Reglamento

sostiene que el tratamiento de datos con fines de marketing directo puede considerarse

realizado por interés legítimo. Sin embargo, dentro de la normativa, el legislador ha

contemplado como un supuesto especial del derecho a la oposición el caso de estas bases de

daos. En ese sentido, se otorga el derecho a las personas a oponerse en todo momento al

tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles. Si

el interesado ejerce este derecho, los datos personales deben dejar de ser tratados para estos

fines. A fin de facilitar este ejercicio, se consagra la obligación de informar al interesado en

la primera comunicación que se mantenga con él de la existencia de este derecho en forma

clara y al margen de cualquier otro tipo de información.

Decisiones individuales automatizadas (art.22): El RGPD consagra el derecho de toda

persona a no ser objeto de una decisión basada únicamente en el tratamiento automatizado,

incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte

significativamente de modo similar. De esta manera, se busca garantizar un tratamiento leal

y transparente respecto del interesado con el fin de evitar -por dar un ejemplo- decisiones

producidas por la utilización de algoritmos que pueden exacerbar los ya existentes patrones

sociales de discriminación y exclusión.

31

La doctrina25 ha sostenido que en este supuesto pueden deducirse dos derechos

derivados del Reglamento. El primero es el derecho a la no discriminación, mediante el

cual las personas tienen el derecho a no verse discriminadas por decisiones algorítmicas

basadas en la utilización de datos que revelan prejuicios raciales, sociales, de género o de

cualquier otro tipo. El segundo derecho es el derecho a una explicación, que faculta a las

personas a solicitar al responsable de un tratamiento de datos que informe acerca de la

lógica y el funcionamiento del algoritmo utilizado para sus operaciones. Como bien dice el

nombre, este derecho se satisface cuando el proceso es explicado en forma clara y

comprensiva para la persona, de manera que ésta pueda evaluar si la toma de decisión ha

afectado alguno de sus derechos.

Esta disposición podrá ceder en los siguientes casos: cuando sea necesario para la

celebración o la ejecución de un contrato entre el interesado y un responsable del

tratamiento; esté autorizada por el Derecho de la Unión o de los Estados miembros que se

aplique al responsable del tratamiento y asimismo establezca medidas adecuadas para

salvaguardar los derechos y libertades y los intereses legítimos del interesado; o cuando

haya un consentimiento expreso del interesado.

Tal como lo vimos al momento de describir la legislación vigente, la ley argentina

declara que las decisiones que se basen únicamente en un tratamiento informatizado de

datos personales serán consideradas insanablemente nulas. Sin embargo, esta disposición

únicamente se aplica a decisiones judiciales o administrativas, con los que quedan fuera de

su regulación las entidades privadas, que son las que actualmente hacen un uso intensivo de

las tecnologías de Big Data para la toma de decisiones automatizadas.

25 Ver Bryce Goodman y Seth Flaxman “European Union regulations on algorithmic decision-

making and a “right to explanation” 2016, Oxford, disponible en

https://arxiv.org/pdf/1606.08813v3.pdf

32

Medidas técnicas y de seguridad: Tanto el Reglamento como la ley 25.326 coinciden en

establecer la obligación para los responsables de bases de datos de implementar medidas

técnicas y organizativas que garanticen el cumplimiento con las disposiciones de las

normativas respectivas. Sin embargo, el Reglamento establece numerosas disposiciones que

detallan algunas de las medidas o herramientas que los responsables deben implementar

para asegurar la licitud de sus tratamientos de datos, cuestión que está ausente en la ley

25.326. Entre los tipos de medidas a adoptar se encuentran:

Registro de las actividades del tratamiento (art. 30): A diferencia de Argentina, los

responsables de tratamiento de datos no deben inscribir sus bases de datos en

ningún registro pero sí tienen la obligación de llevar un registro de las actividades

de tratamiento de datos que realizan, las cuales deben estar a disposición de las

autoridades de control cuando éstas lo requieran. Esta obligación no se aplica a

aquellas empresas u organizaciones que empleen menos de 250 personas, a menos

que el tratamiento pueda entrañar un riesgo para los derechos o libertades

fundamentales de los interesados, incluya datos sensibles o se refiera a datos sobre

condenas penales.

Privacidad por diseño y por defecto (art. 25): La primera consiste en la obligación

de todo responsable de tratamiento de aplicar desde el mismo momento en que se

determina los medios de tratamiento todas las medidas necesarias (seudominización,

limitación del tratamiento, etc) para respetar la privacidad de los usuarios. De esta

manera, todo proveedor de servicio, aplicación o similar debe tomar en cuenta al

momento de diseñar su producto la necesidad de que el mismo no afecte los

derechos de las personas. Vinculado con esto, se encuentra el deber de garantizar

por defecto que todo tratamiento de datos tenga como objeto sólo aquellos

necesarios para los fines de su actividad. Asimismo, estas medidas deben garantizar

que los datos personales no sean accesibles a un número indeterminado de personas.

33

Medidas de seguridad adecuadas (art. 24): El Reglamento establece que los

responsables o encargados de tratamiento de datos deben adoptar medidas

adecuadas para garantizar un nivel de seguridad adecuado al riesgo que dicho

tratamiento puede implicar para los derechos y la libertades de las personas. Para

evaluar dicho riesgo, se deberán tomar en cuenta los riesgos que pueda presentar la

eventual destrucción o alteración de la base de datos o el acceso no autorizado a

dichos datos. Además del riesgo, las medidas a adoptar deben tener en cuenta el

estado de la técnica, los costos de aplicación, y la naturaleza, alcance, contexto y

fines del tratamiento. Asimismo, se establece la obligación de incluir en el registro

de actividades la descripción de las medidas de seguridad adoptadas, en cuanto sea

posible. Por último, se considera que la adhesión a un código de conducta o a un

mecanismo de certificación constituye un elemento para demostrar el cumplimiento

de los requisitos de seguridad.

Notificación de una violación de seguridad (art. 33 y 34): En caso de una violación

a la seguridad de los datos personales, el Reglamento dispone que el responsable

debe notificar de inmediato -o a más tardar en 72 horas- a la autoridad de control.

En caso de que se lo haga después del plazo, se deberá indicar los motivos de la

demora. La excepción a la notificación tendrá lugar cuando sea improbable que la

violación constituya un riesgo para los derechos y las libertades de las personas

físicas. Por otro lado, el responsable tendrá la obligación de documentar todos los

incidentes ocurridos, sus causas y las medidas correctivas adoptadas.

Respecto al titular de los datos o interesado, el Reglamento establece la obligación

por parte del responsable o encargado de comunicarle sin dilación indebida la

violación únicamente cuando exista un alto riesgo para los derechos y las libertades

de las personas físicas. Este deber puede eximirse cuando: el responsable ya haya

adoptado medidas de protección apropiadas -en particular aquellas que hagan

ininteligibles los datos personales a personas no autorizadas a acceder a los mismos,

34

como el cifrado-, el responsable ha tomado medidas ulteriores que garantizan que

ya no existe le riesgo o cuando suponga un esfuerzo desproporcionado.

La autoridad de control puede decidir que existe un alto riesgo y así obligar a los

responsables a notificar la violación a los interesados.

Evaluación de impacto de protección de datos (art. 35 y 36): Cuando sea probable

que un tratamiento de datos presente un alto riesgo para los derechos y libertades de

las personas físicas, el Reglamento prevé la obligación por parte del responsable o

encargado de realizar una evaluación de impacto de las operaciones de tratamiento

en la protección de datos personales. En particular, evaluación se exigirá en caso de:

1. elaboración de perfiles sobre cuya base se tomen decisiones que produzcan

efectos jurídicos para las personas físicas o que les afecten significativamente de

modo similar; 2. tratamiento a gran escala de las categorías especiales de datos

(“datos sensibles” según la terminología de la ley argentina) o de datos relativos a

condenas penales, y 3. observación sistemática a gran escala de una zona de acceso

público. Asimismo, cada autoridad de control tiene la facultad de decidir qué

operaciones necesitarán evaluación y cuáles no. Finalmente, el Reglamento prevé

un contenido mínimo de la evaluación y determina que cuando proceda, se deberá

recabar la opinión de los interesados.

Cuando la evaluación demuestre que la operación de tratamiento implica un alto

riesgo si no se adoptan medidas para mitigarlo, el responsable deberá consultar en

forma previa a la autoridad de control antes de iniciar la actividad de tratamiento

Delegado de protección de datos (arts. 37 a 39): El DPD es una figura creada por el

Reglamento y constituye una de las principales novedades del futuro sistema

europeo de protección de datos personales. El reglamento establece que los

responsables y encargados del tratamiento deberán designar uno cuando: el

tratamiento se realice por una autoridad u organismo público (con excepción de la

35

función judicial), las actividades principales del responsable consistan en

operaciones de tratamiento que requieran una observación habitual y sistemática de

interesados a gran escala; o cuando las actividades principales del responsable o del

encargado consistan en el tratamiento a gran escala de datos sensibles o datos

relativos a condenas penales.

El nombramiento del delegado se hará en base a sus cualidades personales, su

conocimiento especializado del Derecho y la práctica en materia de protección de

datos y la capacidad para desempeñar sus funciones. Asimismo, su vinculación con

el responsable o encargado podrá hacerse a través de su incorporación a la plantilla

del personal o mediante un contrato de servicios. Para garantizar su independencia,

el delegado no podrá recibir instrucciones del responsable ni podrá ser sancionado o

destituido por el mismo. Por otro lado, podrá ser contactado en cualquier momento

por los interesados para cualquier cuestión relativa la protección de sus datos.

Sus funciones serán las de: informar y asesorar sobre las obligaciones impuestas por

la normativa sobre protección de datos, supervisar el cumplimiento de dicha

normativa ( en particular, lo que respecta a la asignación de responsabilidades, la

concienciación y formación del personal que participa en las operaciones de

tratamiento y las auditorías correspondientes), ofrecer asesoramiento sobre la

evaluación de impacto sobre protección de datos y cooperar o actuar de punto de

contacto con la autoridad de control para cuestiones relativas al tratamiento de

datos.

Transferencia internacional de datos (art. 44 a 49): Tanto el Reglamento como la ley

argentina sostienen el principio de que sólo se permitirán transferencias internacionales de

datos a aquellos países que cuenten con un nivel adecuado de protección. Al momento de

determinar los criterios por los cuales se considera que un país u organización tiene un

nivel adecuado, el Reglamento contiene una detallada exposición de los elementos que se

deben analizar. Entre ellos figuran: el Estado de Derecho, el respeto de los derechos

36

humanos y las libertades fundamentales, la legislación pertinente, la existencia y el

funcionamiento efectivo de una o varias autoridades de control independientes, los

compromisos internacionales asumidos, etc. Por el contrario, la ley argentina no contiene

una disposición similar. Esta omisión fue atenuada por el decreto reglamentario, que

estableció que se debe tener en cuenta la naturaleza de los datos, la finalidad y la duración

del tratamiento o de los tratamientos previstos, el lugar de destino final, las normas de

derecho, generales o sectoriales, vigentes en el país de que se trate, así como las normas

profesionales, códigos de conducta y las medidas de seguridad en vigor en dichos lugares, o

que resulten aplicables a los organismos internacionales o supranacionales.

En caso de que el país o la organización no cuente con la adecuación, el Reglamento

prevé la transferencia de datos personales en caso de que el responsable o encargado

ofrezca garantías adecuadas, las cuales pueden ser: un instrumento jurídicamente vinculante

y exigible entre las autoridades u organismos públicos, normas corporativas vinculantes,

cláusulas tipo de protección de datos adoptadas por la Comisión o por una autoridad de

control, un código de conducta o mecanismo de certificación.

Si tampoco pueden ofrecerse garantías adecuadas, el Reglamento establece una

última lista de supuestos en los cuales procede la transferencia, a saber: cuando el

interesado haya dado explícitamente su consentimiento o cuando la transferencia sea

necesaria para: la ejecución de un contrato entre el interesado y el responsable del

tratamiento; la celebración o ejecución de un contrato, en interés del interesado, entre el

responsable del tratamiento y otra persona física o jurídica; por razones importantes de

interés público: para la formulación, el ejercicio o la defensa de reclamaciones; o para

proteger los intereses vitales del interesado o de otras personas.

A diferencia del Reglamento, nuestra legislación consagra un corto catálogo de

excepciones. La ley 25326 establece las siguientes (art.12): colaboración judicial

internacional, intercambio de datos de carácter médico, cuando así lo exija el tratamiento

del afectado, o una investigación epidemiológica; transferencias bancarias o bursátiles,

37

cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los

cuales la República Argentina sea parte; o cuando la transferencia tenga por objeto la

cooperación internacional entre organismos de inteligencia para la lucha contra el crimen

organizado, el terrorismo y el narcotráfico. A su vez, el decreto reglamentario agregó el

consentimiento expreso del titular de los datos o interesado y el caso de datos contenidos en

registros públicos abiertos a la consulta del público en general.

Órgano de control (arts. 51 a 54): El Reglamento establece que todas las autoridades de

control de los países miembros deberán actuar con total independencia en el desempeño de

sus funciones. Asimismo, los miembros serán ajenos a toda influencia externa y no

solicitarán ni admitirán ninguna instrucción. Por otro lado, se dispone que todo Estado

debe garantizar que su autoridad de control cuente en todo momento con los recursos

humanos, técnicos y financieros, así como los locales y la infraestructura necesaria para el

cumplimiento efectivo de sus funciones. Finalmente, la normativa ordena que todos los

Estados garanticen que los órganos de control gocen de un presupuesto anual público e

independiente y que estén sujetos a un control financiero que no afecte su independencia.

Estas disposiciones pueden ser contrastadas con lo dispuesto por la ley argentina y

sobre todo con lo que sucede en la práctica con nuestro órgano de control. Como se dijo

anteriormente, si bien estaba previsto el carácter descentralizado y la autonomía funcional

de la autoridad de controlar, finalmente cuestiones financieras hicieron que estas

disposiciones fuesen vetadas por el Poder Ejecutivo de turno. Como resultado, en la

actualidad la Dirección Nacional de Datos Personales (DNPDP) es un órgano dependiente

del Poder Ejecutivo y que no cuenta con los recursos financieros necesarios para cumplir

con todas las funciones que le ordena cumplir la ley de protección de datos personales.

En lo que respecta a las funciones a desarrollar, la normativa europea cuenta con un

catálogo más numeroso de tareas a ser desempeñadas por las autoridades de control, y por

38

consiguiente, sus poderes de investigación son mucho más amplios que las de la autoridad

de control argentina.

En efecto, de acuerdo a la ley 25326, la DNPDP posee funciones de asesoramiento a

las personas que vean afectadas sus datos personales, de promulgación de normas y

reglamentos necesarios para el cumplimiento de la ley, de control de los requisitos que las

bases de datos deben cumplir para poder inscribirse en el registro y de requerimiento de

información a entidades -públicas o privadas- relativas al tratamiento de datos que

realizaren. Por otro lado, la DNPDP puede imponer sanciones administrativas en caso de

violación a la ley y constituirse como querellante penal en caso de cometerse alguna

infracción criminal prevista por la normativa.

Finalmente, el órgano de control puede controlar el cumplimiento de las medidas de

seguridad adoptadas por las bases de datos. Para ello, incluso puede solicitar autorización

judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de

verificar infracciones al cumplimiento de la ley.

En el caso del Reglamento – como dijimos anteriormente- las funciones son más

numerosas. A manera ejemplificativa, podemos mencionar las siguientes: controlar la

aplicación del Reglamento, promover la sensibilización del público y su comprensión de

los riesgos, normas, garantías y derechos en relación con el tratamiento; tratar las

reclamaciones presentadas e investigar, en la medida oportuna, el motivo de la reclamación

e informar al reclamante sobre el curso y el resultado de la investigación en un plazo

razonable; llevar a cabo investigaciones sobre la aplicación del Reglamento; hacer un

seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la

protección de datos personales, en particular el desarrollo de las tecnologías de la

información y la comunicación y las prácticas comerciales, entre otras. Para llevar a cabo

esta tarea, las autoridades disponen de amplios poderes de investigación y de corrección.

Entre los primeros se cuentan: llevar a cabo auditorías de protección de datos, revisiones de

las certificaciones, ordenar la facilitación de cualquier información necesaria para el

39

desempeño de las funciones, obtener el acceso a los datos personales, los equipos y medios

de tratamiento de datos. Entre los segundos podemos mencionar la facultad de imponer

sanciones (advertencia, apercibimiento, multa o la limitación -temporal o definitiva- del

tratamiento) ordenar la supresión, rectificación o limitación de un dato personal, ordenar a

los responsables o encargados que sus operaciones se ajusten al Reglamento, que atiendan

las solicitudes de los interesados en ejercicio de sus derechos o que notifiquen a dichos

interesados en caso de un incidente de seguridad

Responsabilidad e indemnización (art. 82) : El Reglamento establece expresamente el

derecho de todo interesado a solicitar una indemnización por los daños y perjuicios

materiales e inmateriales que hubiese sufrido como consecuencia de una infracción por

parte del responsable o el encargado. Por el contrario, no existe una disposición similar en

la ley argentina, en la cual la acción de habeas data permite al afectado tomar conocimiento

de los datos personales almacenados o exigir su rectificación, supresión, confidencialidad o

actualización pero no se prevé un resarcimiento por los daños sufridos. Si bien la ley

25.326 menciona en su art. 31 que los responsables de bases de datos están sujetos a la

responsabilidad por daños y perjuicios derivados de la inobservancia de sus disposiciones,

no está consagrado en forma expresa el derecho de los titulares a solicitar una

indemnización.

Sanciones (art. 83): En la normativa europea se prevén dos tipos de sanciones. La primera

y más importante es la multa económica. El Reglamento dispone que las mismas deben

imponerse de manera individual efectiva, proporcionada y disuasoria. De esta manera, el

monto de la sanción debe ajustarse de acuerdo a las circunstancias del caso concreto. Entre

los elementos a tener en cuenta figuran: la naturaleza, gravedad y duración de la infracción,

la intencionalidad o negligencia en la infracción, las medidas tomadas para paliar la

situación, etc. En forma paralela, se dispone que las autoridades de control de cada país

tendrán la capacidad de imponer medidas correctivas en forma conjunta o en reemplazo de

la multa. Estas medidas pueden consistir en advertencias, apercibimientos, órdenes de

limitación, rectificación o supresión, retiro de la certificación, etc.

40

Respecto a las cuantías de las multas, las mismas varían de acuerdo a la gravedad de

la infracción y van desde un monto fijo (de hasta 10.000.000 o 20.000.000 de euros según

la infracción) hasta un porcentaje -si se trata de una empresa- del 4% del negocio total

anual global del ejercicio financiero anterior.

En lo que respecta a Argentina, la ley ha otorgado al órgano de control un listado de

sanciones que van desde el apercibimiento y la suspensión hasta la imposición de multas

(de $1.000 a $100.00026) y la cancelación de la base de datos. Asimismo, también se

determina que las sanciones deben aplicarse en relación a la gravedad y extensión de la

violación y de los perjuicios derivados de la infracción. Por último se establece que toda

sanción debe imponerse garantizando el principio del debido proceso.

La principal diferencia que se observa entre ambas normativas es la cuantía de las

sanciones económicas. Por un lado, el monto al que pueden alcanzar las sanciones en la UE

es mucho más alto que en Argentina. Por otro lado, en el Reglamento existe la facultad de

aplicar una multa mediante un porcentaje del negocio total, mientras que la ley 25.326 no

ha consagrado esa prerrogativa. La ausencia de la posibilidad de imponer multas por

porcentaje puede constituir un obstáculo para la capacidad de los órganos de control de

hacer cumplir la ley, ya que muchas veces los montos fijos son muy bajos o quedan

desactualizados por la marcha de la economía. De esta manera, los responsables prefieren

pagar la multa antes que cumplir con sus deberes, los cuales pueden resultar aun más

onerosos que la sanción.

Bases de datos en manos de fuerzas de seguridad o policiales: El Reglamento no

contiene disposiciones al respecto. Sin embargo, esto no se debe a un grosero descuido. En

forma paralela, la Unión Europea sancionó la Directiva 680/2016 relativa a la protección de

las personas físicas en lo que respecta al tratamiento de sus datos personales por parte de las

26 Equivalente a 61,50 y 6150 euros o 64.38 y 6438 dólares, respectivamente (según tipo de

cambio 1 euro=16.23 pesos argentinos y 1 dólar=15,53 pesos argentinos del 23/12/2016)

41

autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento

de infracciones penales o de ejecución de sanciones penales. La mencionada norma entró

en vigor el 5 mayo de 2016 y tiene como principal finalidad el garantizar la adecuada

protección de los datos de las víctimas, testigos e investigados por la presunta comisión de

delitos. Paralelamente la Directiva pretende armonizar la cooperación transfronteriza de la

policía y los fiscales para combatir más eficazmente el crimen y el terrorismo en toda

Europa.

La Directiva establece que los principios generales de protección de datos

personales también deben aplicarse al tratamiento de este tipo de información. Asimismo,

se introducen disposiciones especiales en razón de la particular naturaleza de los datos

tratados. Así, se establece la necesidad de fijar plazos para la supresión de los datos

personales almacenados o para una revisión periódica de la necesidad de conservar los

mismos. También se dispone que los responsables del tratamiento deben distinguir

claramente entre las distintas clases de interesados, como: personas respecto de las cuales

existan motivos fundados para presumir que han cometido o van a cometer una infracción

penal, personas condenadas por una infracción penal, víctimas de una infracción penal o

terceras partes involucradas en una infracción penal. Otro principio que se consagra es la

obligación de distinguir -en la medida de lo posible- los datos personales basados en hechos

de aquellos datos personales basados en apreciaciones personales. Por último -sólo a los

fines de esta breve descripción-, se establece la prohibición de aquellas decisiones que estén

basadas únicamente en un tratamiento automatizado -incluida la elaboración de perfiles-

que produzcan un efecto negativo en el interesado. Si bien esta prohibición puede ser

dejada de lado por el derecho interno, en ese caso se debe procurar que se tomen medidas

adecuadas para resguardar los derechos y libertades del interesado, al menos el derecho a

obtener la intervención humana por parte del responsable del tratamiento.

En lo que atañe a la normativa argentina, las regulaciones sobre este tipo de

tratamiento de datos son muy escasas. En la ley 25.326 encontramos un único artículo -el

23- que se ocupa de ofrecer algún tipo de guía normativa. Pero esta disposición presenta

42

problemas debido a su indeterminación y amplitud. Asimismo, tampoco establece las

obligaciones que la Directiva europea ha consagrado para el tratamiento de este tipo de

datos. En conclusión, las bases de datos de las fuerzas de seguridad y/o policiales gozan de

una importante discrecionalidad, ya que se encuentran pobremente reguladas por la

normativa argentina. Como consecuencia, los ciudadanos encuentran numerosas

dificultades para ejercer la principal herramienta de protección de sus datos.

Conclusión: La sanción del Reglamento General de Protección de Datos ha

supuesto la mayor novedad de los últimos tiempos en materia de protección de datos

personales. La influencia de sus principios y de sus normas seguramente se extenderá mas

allá de Europa. En ese sentido, Argentina seguramente será de las primeras en acusar su

impacto. Hay dos razones principales para ello. La primera tiene que ver con que el sistema

de protección de datos personales argentino está fuertemente inspirado en el modelo

europeo. Como resultado, no es de extrañarse que las nuevas disposiciones establecidas en

el Reglamento sean prontamente analizadas, debatidas y discutidas en nuestro país, con el

objetivo de seguir adaptándonos a lo que nuestro modelo de referencia ha establecido

últimamente.

La segunda razón se vincula con la necesidad de actualizar nuestra ley de datos

personales. Sancionada en el año 2000, la ley 25.326 -con todos sus defectos- implicó un

fuerte avance en la defensa de los derechos de las personas a la protección de sus datos

personales. Sin embargo, el impresionante desarrollo de las tecnologías digitales sucedido

con posterioridad dio lugar a la aparición de variados fenómenos que ponen a prueba el

actual mecanismo de protección de datos. Por citar algunos casos, la minería de datos ha

permitido detectar y elaborar información de un conjunto muy grande de datos en forma

automática. Asimismo, las actuales tecnologías de recolección de datos les permiten

almacenar gran cantidad de datos acerca de nosotros de forma sencilla y poco onerosa. De

esta manera, las empresas pueden comercializar nuestros datos u ofrecernos productos y

servicios de acuerdo al perfil que hayan elaborado de nosotros. Asimismo, los gobiernos

cuentan con herramientas de vigilancia y a través de diversas tecnologías -como por

43

ejemplo, las tecnologías de biometría, pueden llevar un registro de nuestras actividades

cotidianas.

Por lo tanto, es necesario adecuar nuestra legislación para que responda a las

potenciales amenazas que el surgimiento de la era digital ha traído a las sociedades del

siglo XXI. En esta tarea, resulta útil consultar aquello que se está haciendo en otras partes

del mundo. No porque eso implique necesariamente que debamos copiar literalmente lo

dicho en otro lado, sino porque siempre es de ayuda saber qué es lo que han estado

haciendo países o regiones que ya han dedicado tiempo y recursos al análisis de temáticas

que resultan novedosas para nosotros.

Emprender una tarea a partir del conocimiento ya existente es mejor que empezar

desde cero. Con este objetivo en mente, es de esperar que este análisis comparativo sirva

para plantear los términos de una discusión acerca de las mejores formas de proteger los

datos de las personas en un mundo que pareciera volver cada vez mas difícil la protección

de nuestra privacidad y nuestra intimidad.

Bibliografía:

Gils Carbó, Alejandra. Régimen legal de las bases de datos y habeas data. Editorial

La Ley. Buenos Aires. 2001

Palazzi, Pablo. La Protección de los datos personales en la Argentina. Errepar,

Buenos Aires, 2004

Travieso, Juan Antonio (Director) Régimen jurídico de los datos personales. Tomo I

y II Abeledo Perrot. Buenos Aires. 2014