Breve pantallazo de la situación actual
La modificación normativa en materia de datos personales realizada en la Unión Europea consistente en la sanción del Reglamento General de Protección de Datos (o más conocido como GDPR por sus siglas en inglés General Data Protection Regulation)[i] trascendió la frontera de la Unión Europea. Y ello se debe no solamente a la extraterritorialidad que el propio GDPR establece[ii], sino a la influencia en estados como Argentina, considerados por la Unión Europea como paísconprotección adecuada en materia de datos personales,que continuando la tendencia van camino a armonizar su normativa y estándares a los nuevos lineamientos sentados por el GDPR.
Así, desde la sanción del GDPR[iii], Argentina comenzó un proceso de actualización del régimen de datos personales. Entre dicho proceso se puede mencionar la adhesión al Convenio 108[iv], el hecho de que se encuentra bajo tratamiento por el Congreso de la Nación un proyecto de modificación de la actual Ley N° 25.326 de Protección de Datos Personales (la “LPDP”)[v] y la emisión de nueva reglamentación[vi]por parte de la Agencia de Acceso a la Información Pública (la “AAIP”)[vii]. Es en este marco es que con fecha 16 de enero de 2019, y mientras se aguarda el tratamiento en el Congreso de la Nación de la nueva Ley de Protección de Datos Personales, se publicó en el Boletín Oficial la Resolución N° 4/2019 de la AAIP (la “Resolución”) que es el objeto del presente.
Criterios orientadores e indicadores de mejores prácticas instaurados por la Resolución
Mediante la Resolución se aprobaronlos criterios orientadores e indicadores de mejores prácticas en la aplicación de la LPDP.
Es importante destacar que la observancia de la Resolución, y a diferencia de otras normas emitidas por la AAIP[viii]resulta obligatoria “para todos aquellos sujetos alcanzados por la Ley Nº 25.326”[ix].
La Resolución impone los 5 criterios que serán analizados a continuación:
- Criterio 1: Derecho de acceso a datos personales recolectados mediante sistemas de video vigilancia
El fin de este punto consiste en regular los sistemas de video vigilancia y la imagen de las personas la cual se cataloga como “dato personal”. Dichos sistemas de video vigilancia actualmente deben inscribirse como una base de datos ante la AAIP[x].
Así, se dispone que cualquier persona que quiera acceder a su imagen (dato personal) recolectado mediante sistemasde video vigilancia debe acreditar su identidad mediante DNI e indicar fecha y hora aproximada en laque pudo haber sido captada su imagen así como brindar la información necesaria para identificarla.
Por su parte, el responsable de la base de datos debe proporcionar los datos personales en forma clara, acompañadosde una explicación del tiempo en que se registró la imagen, lugar en el que el sistema de videovigilancia lo registrara, finalidad, eventuales cesiones y/o destino de los datosy debe indicar si el banco dedatos se encuentra inscripto ante la AAIP.
Si bien esta primera parte no parece ocasionar mayores dificultades interpretativas, la obligación, establecidacon carácter excepcional, deproporcionar la imagen (impresión o archivoen formato digital) si el titular funda debidamente la solicitud y cubreel costo que irrogue el trámite, puede ser un poco más complicada de aplicar. Sobre todo, si se tiene en cuenta que se dispone que si de la grabación se identifica aalgún tercero, el responsable de la base de datos deberá aplicar alguna técnica de disociación de forma talque sólo pueda ser identificado el titular de los datos.
Finalmente se impone una obligación formal: informar expresamente y con claridad al titular de los datos que, encaso de disconformidad con la respuesta brindada, podrá presentar su reclamo ante la AAIP[xi]a fin de que dicha autoridad sancione al titular de la base de datos y además puede iniciar la correspondiente acción de habeas data para obtener sus datos personales.
- Criterio 2: Tratamiento automatizado de datos
Otro de los criterios establecidos en la Resolución dispone que cuando el responsable de la base de datos tome decisiones basadas únicamente en el tratamientoautomatizado de datos que le produzcan al titular de los datos efectos jurídicos perniciosos o lo afectensignificativamente de forma negativa, el titular de los datos tendrá derecho a solicitar al responsable de labase de datos una explicación sobre la lógica aplicada en aquella decisión, de conformidad con el artículo15, inciso 1 de la LPDP[xii].
El derecho a obtener información cuando se tomen decisión a través del tratamiento automatizado de datos se encuentra en el GDPR en el Considerando 71[xiii]. Sin embargo, en el GDPR se prohíbe como principio – salvo que se encuentra específicamente permitido por la Unión Europea o por algún Estado Miembro o que el titular haya dado su explícito consentimiento- la toma de decisiones que evalúen aspectos personales de una persona y que se basen únicamente en un tratamiento automatizado.
Asimismo, resulta interesante mencionar que el GDPR menciona como supuestos prohibidos de toma de decisiones a través de tratamiento automatizado de datos “la denegación automática de una solicitud de crédito en línea”.Argentina, si bien no posee una disposición similar, podemos mencionar que en el Código Civil y Comercial de la Nación, dentro del Capítulo 12 “Contratos Bancarios con Consumidores y Usuarios” artículo 1387[xiv] segundo párrafo sedispone: “Si el banco rechaza una solicitud de crédito por la información negativa registrada en una base de datos, debe informar al consumidor en forma inmediata y gratuita el resultado de la consulta y la fuente de donde la obtuvo”. Sin embargo, ello se encuentra limitado a un deber de información y en el ámbito de contratos bancarios con consumidores y usuarios y no se extiende a todo el universo de contratantes tal como lo hace la Resolución.
- Criterio 3: Disociación de datos
La protección que otorga el régimen de datos personales argentino resulta aplicable siempre y cuando exista “información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables”[xv].
Así, si se aplica una técnica de disociación de datos, entendida como aquel tratamiento de datos personales que hace que la información obtenida no pueda asociarse a persona determinada o determinable[xvi], los datos dejan de ser “datos personales” y por lo tanto ya no se encuentran amparados por el régimen argentino de protección de datos personales[xvii].
Ahora bien, bajo la Resolución se dispone que noserá considerada persona determinablecuando elprocedimiento que deba aplicarse para lograr la identificación de la persona cuando los datos se encuentra disociados requiera la aplicación de medidas o plazosdesproporcionados o inviables. Esto es, queda expresamente aclarado que aun en el caso que el dato anonimizado pueda recuperarse por algún tipo de mecanismo de ingeniería inversa u otra técnica que permita volver a identificar el dato con una persona determinada, si para ello se requieren medidas o plazos desproporcionados o inviablesdeja de estar protegido pese a que existe una posibilidad de que vuelva identificarse al dato con una persona, volviendo a ser “técnicamente” un dato personal.
Por otro lado, se genera la incertidumbre de cuándo una medida o plazo es desproporcionado o inviable, términos que no son transparentes y que no se encuentran definidos en nuestro ordenamiento jurídico.
- Criterio 4: Datos biométricos
Mediante la Resolución se otorga una definición a los denominados “datos biométricos” indicando que son “aquellos datos personales obtenidos a partir de un tratamiento técnico específico,relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan oconfirmen su identificación única”.Esta misma definición se encuentra en el artículo 2 del Proyecto de modificación de la Ley de Datos Personales.
Asimismo, una definición muy similar se encuentra en el GDPR en el Artículo 4 (Definiciones) punto 14) en el cual se indica que son los “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Por otro lado, la Resolución indica que “Los datos biométricos que identifican a una persona se considerarán datos sensibles (conforme el artículo2°, Ley N° 25.326) únicamente cuando puedan revelar datos adicionales cuyo uso pueda resultarpotencialmente discriminatorio para su titular (v.g. datos que revelen origen étnico o información referentea la salud)”. Entendemos que esta aclaración nada agrega en tanto en la actual LPDP (artículo 2) se otorga una definición de datos sensibles.
- Criterio 5: Consentimiento
Mediante la Resolución se pone expresamente la obligación de que el responsable de la base de datos acredite que quien haya prestado tal consentimiento seaefectivamente el titular de los datos requeridos y no otra persona. Y para ello, se dispone que se debe contar con “mecanismos devalidación de identidad eficaces” dejando amplio margen para que los sujetos responsables de la base de datos apliquen aquellos mecanismos que más le resulten (ya sea por una cuestión económica o de industria, etc).
Luego, la Resolución dedica un punto a la cesión de datos personales entre organismos públicos, indicando que no se requiere el consentimiento deltitular de los datos y se cumple con las condiciones de licitud, en la medida en que (i) el cedente hayaobtenido los datos en ejercicio de sus funciones, (ii) el cesionario utilice los datos pretendidos para unafinalidad que se encuentre dentro del marco de su competencia y, por último, (iii) los datos involucradossean adecuados y no excedan el límite de lo necesario en relación a esta última finalidad.
Por otro lado, y en armonía con el Código Civil y Comercial de la Nación y la capacidad gradual que éste instaura, se establece que el menor de edad podrá prestar consentimiento informado en relación al tratamiento desus datos personales teniendo en consideración sus características psicofísicas, aptitudes y desarrollo.
Además, y lo cual resulta una obviedad, la Resolución aclara que si el menor de edad no posee la capacidad suficiente para prestar el consentimiento informado, el titularde la responsabilidad parental o tutela deberá prestar el consentimientopara el tratamiento. Y nuevamente, se pone en cabeza del responsable de la base de datos la responsabilidad de “realizaresfuerzos razonables” para verificar que el consentimiento haya sido efectivamente otorgado por el titular dela responsabilidad parental o tutela.
Conclusiones
Entendemos que mientras la AAIP se maneje dentro del marco de sus facultades y no exceda de su competencia, la sanción de normativa como esta Resolución traen luz sobre aspectos operativos del tratamiento de datos y a la vez ayuda a Argentina a continuar siendo un país de protección adecuada en materia de protección de datos personales, tema sumamente importante para poder hacer negocios con el mundo y sobre todo con los miembros de la Unión Europea. Esto, mientras se aguarda la sanción de la Nueva Ley de Datos Personales.
Citas
[i] El GDPR reemplazó ala Directiva de Protección de Datos (oficialmente Directiva 95/46/EC relativa a la protección de personas físicas en lo respectivo al tratamiento de datos personales y a la libre circulación de estos datos).
[ii] El Considerando 122) dispone que“Cada autoridad de control debe ser competente, en el territorio de su Estado miembro, para ejercer los poderes y desempeñar las funciones que se le confieran de conformidad con el presente Reglamento. Lo anterior debe abarcar, en particular, el tratamiento en el contexto de las actividades de un establecimiento del responsable o del encargado en el territorio de su Estado miembro, el tratamiento de datos personales realizado por autoridades públicas o por organismos privados que actúen en interés público, el tratamiento que afecte a interesados en su territorio, o el tratamiento realizado por un responsable o un encargado que no esté establecido en la Unión cuando sus destinatarios sean interesados residentes en su territorio. Debe incluirse el examen de reclamaciones presentadas por un interesado, la realización de investigaciones sobre la aplicación del presente Reglamento y el fomento de la sensibilización del público acerca de los riesgos, las normas, las garantías y los derechos en relación con el tratamiento de datos personales”.
[iii] Entró en vigencia el 25 de mayo de 2016 y fue de aplicación el 25 de mayo de 2018, dos años durante los cuales las empresas, las organizaciones, los organismos y las instituciones han debido ir adaptándose para su cumplimiento.
[iv] Mediante la Ley N° 27.483, publicada en el Boletín Oficial con fecha 2 de enero de 2019, se aprobó el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, suscripto en la ciudad de Estrasburgo, República Francesa, el día 28 de enero de 1981, y el Protocolo Adicional al Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, a las autoridades de control y a los flujos transfronterizos de datos, suscripto en la ciudad de Estrasburgo, República Francesa, el día 8 de noviembre de 2001.
[v] El día 23 de septiembre de 2018, mediante Mensaje N° 147-2018, el Poder Ejecutivo Nacional presentó ante el Congreso de la Nación el Proyecto de Ley de Protección de Datos Personales, que actualmente se encuentra en tratamiento.
[vi] Entre ellas, cabe mencionar Resolución N° 40/2018 referente a la Política Modelo de Protección de Datos Personales para Organismos Públicos yal Delegado de Protección de Datos Personales; Resolución N°47/2018 sobre Medidas de Seguridad;Resolución N° 132/2018 referente a la Inscripción de las Bases de Datos y la Resolución N° 159/2018, mediante la cual se aprobó unos lineamientos y contenidos básicos que las empresas pueden incorporar a sus normas autorregulatorias (a modo de bindingcorporate rules) y de esa manera, realizar transferencias internacionales hacia empresas que conformen un mismo grupo económico ubicadas en países sin legislación adecuada para la protección de datos personales.
[vii] Organismo creado por la Ley N° 27.275 que reemplazó en el año 2017 a la Dirección Nacional de Protección de Datos Personales. A diferencia de su antecesor, es un ente autárquico que funciona con autonomía funcional en el ámbito del Poder Ejecutivo Nacional.
[viii] Tal el caso de la Resolución N° 47/2018 sobre Medidas de Seguridad que es de carácter optativo.
[ix] Artículo 1 de la Resolución.
[x] La obligación de inscribir las bases de datos se elimina en el Proyecto de modificación de la Ley de Datos Personales.
[xi] La Resolución menciona a la “Dirección Nacional de Protección de Datos Personales” pero entiendo que se hace referencia a la AAIP.
[xii] El artículo 15 inciso 1 de la LPDP dispone que “La información debe ser suministrada en forma clara, exenta de codificaciones y en su caso acompañada de una explicación, en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen”.
[xiii] El Considerando 71) del GDPR dispone que“El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna. Este tipo de tratamiento incluye la elaboración de perfiles consistente en cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Sin embargo, se deben permitir las decisiones basadas en tal tratamiento, incluida la elaboración de perfiles, si lo autoriza expresamente el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento, incluso con fines de control y prevención del fraude y la evasión fiscal, realizada de conformidad con las reglamentaciones, normas y recomendaciones de las instituciones de la Unión o de los órganos de supervisión nacionales y para garantizar la seguridad y la fiabilidad de un servicio prestado por el responsable del tratamiento, o necesario para la conclusión o ejecución de un contrato entre el interesado y un responsable del tratamiento, o en los casos en los que el interesado haya dado su consentimiento explícito. En cualquier caso, dicho tratamiento debe estar sujeto a las garantías apropiadas, entre las que se deben incluir la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión. Tal medida no debe afectar a un menor. A fin de garantizar un tratamiento leal y transparente respecto del interesado, teniendo en cuenta las circunstancias y contexto específicos en los que se tratan los datos personales, el responsable del tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o que den lugar a medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboración de perfiles sobre la base de categorías particulares de datos personales únicamente deben permitirse en condiciones específicas.
[xiv] Esta obligación no es más que la manifestación particular del deber de información que ya establece el Artículo 4 de la Ley N° 24.240 de Defensa del Consumidor y el artículo 1.100 del Código Civil y Comercial de la Nación.
[xv] Artículo 2 de la LPDP.
[xvi] Artículo 2 de la LPDP.
[xvii] Así, por ejemplo ya no se requiere el consentimiento del titular de dichos datos para que la información pueda cederse (artículo 11 inciso 3e) de la LPDP)
Artículos
Barreiro
opinión
ver todosAlfaro Abogados
PASSBA
Bragard
Kabas & Martorell