Antecedentes
Una de las razones que motivó la implementación de normativa sobre protección de datos personales fue la invasión a la privacidad y el abuso en la recolección y procesamiento de información personal con fines publicitarios. Esto es, con el propósito de categorizar perfiles de consumidores e inducirlos al consumo mediante ofertas publicitarias segmentadas en función de sus preferencias o necesidades específicas, la mayoría de las veces sin su consentimiento.La Directiva europea sobre datos personales 95/46 (1995) constituyó un gran avance y pilar legal fundamental para intentar prevenir tales abusos. Esta norma fue reemplazada por la Reg. Gral. de Datos Personales 2016/79 (“GDPR”, vigente desde Mayo de 2018) que actualizó e intensificó el régimen tuitivo de datos personales, con alcance extraterritorial y severas sanciones por incumplimiento. Un ejemplo de ello es la reciente multa 50 millones de Euros impuesta por la Comisión Nacional de Informática y libertades (CNIL) de Francia a Google, por no haber informado “en forma clara y comprensible” claramente a sus usuarios sobre el uso de sus datos personales.
Argentina fue el primer país de América en contar con una ley de protección de datos personales, la ley 25.326 sancionada en 2001 en base a los lineamientos europeos (fundamentalmente de España e Italia); y también el primero de América en ser expresamente reconocido por la Unión Europea por contar con “legislación adecuada” en materia de datos personales (Decisión C2003 1731). Hoy, la enorme mayoría de países de América tiene algún tipo de norma sobre protección de datos personales, más o menos basada en los principios básicos del modelo europeo. Asimismo, existe una tendencia global en tratar de adaptar las legislaciones existentes en materia de datos personales a los estándares del GDPR Europeo. En nuestro país, con ese fin en Septiembre de 2018 el presidente Macri remitió al Congreso un proyecto de reforma integral de la Ley 25.326. Gran parte del articulado del proyecto constituye una copia casi literal de GDPR.
¿A qué viene este racconto? A que en Argentina, todo el régimen de “protección de datos personales” (tal el nombre de la ley 25.326) y su evolución legal en tal sentido, se contrapone con la posibilidad legal de usar indiscriminadamente datos alegando “fines publicitarios”. Veamos
Regulación Argentina de Datos Personales con Fines Publicitarios
Nuestra ley 25.326 -como casi todas las normas de protección de datos personales- se erige sobre la base del consentimiento previo, libre e informado del titular del dato como requisito ineludible para el procesamiento de sus datos personales, salvo excepciones específicas previstas por la propia ley. Inicialmente, el tratamiento de datos con fines de publicidad quedaba comprendido dentro del principio general del consentimiento previo. Concretamente, el art. 27 de la ley 25.326 dispone que “en la recopilación de domicilios, reparto de documentos, publicidad o venta directa y otras actividades análogas, se podrán tratar datos que sean aptos para establecer perfiles determinados con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo, cuando éstos figuren en documentos accesibles al público o hayan sido facilitados por los propios titulares u obtenidos con su consentimiento”. En otras palabras, la exigencia del consentimiento del titular de los datos sólo podía ser dejada de lado cuando los datos eran obtenidos de “documentos accesibles al público”. Así, la previsión particular del tratamiento de datos “con fines de publicidad” previsto en el art 27 en nada difiere de las previsiones generales sobre consentimiento previo establecidas el art 5 de la Ley 25.326.
Ahora bien: la reglamentación al art. 27 antedicho establecida por el Dec. 1558/01 (actualmente vigente) creó un supuesto de excepción al principio del consentimiento del titular del dato, contraviniendo lo dispuesto por el art. 27 reglamentado. En efecto, el Decreto 1558/01, al reglamentar el art. 27 antedicho, prescribe textualmente: “Podrán recopilarse, tratarse y cederse datos con fines de publicidad sin consentimiento de su titular, cuando estén destinados a la formación de perfiles determinados, que categoricen preferencias y comportamientos similares de las personas, siempre que los titulares de los datos sólo se identifiquen por su pertenencia a tales grupos genéricos, con más los datos individuales estrictamente necesarios para formular la oferta a los destinatarios”.
Esta última norma puede ser interpretada –y de hecho lo ha sido- como una licencia lisa y llana para procesar todo tipo de datos personales sin consentimiento de sus titulares bajo el amparo legal de que ello se realiza “con fines de publicidad” en los términos del Dec 1558/01 antedicho.
Ulteriores regulaciones de la entonces Dirección Nacional de Protección de Datos Personales (actualmente Agencia de Acceso a la Información Pública, “AAIP”) ratificaron esta tesitura.
La Disposición 4/09 regulólas “comunicaciones de publicidad directa no requeridas o consentidas previamente por el titular del dato personal”, con lo cual se admite que tales comunicaciones publicitarias (emails, spam) puedan ser legalmente efectuadas sin consentimiento de sus destinatarios.
Posteriormente, en 2014, la Ley 26.951 creó el “Registro Nacional “No Llame”” con el objetode “proteger a los titulares o usuarios autorizados de los servicios de telefonía, en cualquiera de sus modalidades, de los abusos del procedimiento de contacto, publicidad, oferta, venta y regalo de bienes o servicios no solicitados a través de los mismos”.Lejos de cumplir ese objeto, la ley crea un mecanismo de ‘optout’, avalando que las personas sean llamados y/o contactados a sus teléfonos con fines publicitarios, a menos que estas proactivamente se inscriban en el mencionado registro. Dicho régimen alcanza también a los mensajes de texto (SMS) conforme lo ha confirmado la AAIP en dictámenes al respecto.Pese a lo anterior, la norma antedicha se infringe sistemáticamente, al punto tal que más del 95% de las sanciones -por cierto exiguas- de la AAPI durante 2018 se debió a violaciones a la ley 26.951, principalmente por parte de empresas telefónicas.
Todo este régimen de ‘libre uso de datos’ con “fines publicitarios” se mantiene prácticamente intacto en el proyecto de ley de reforma de la ley 25.326 a fin de alinearla con GDPR, pese a que en este aspecto se contradice con preceptos elementales de GDPR.
Reflexiones
¿De qué vale contar con un régimen legal de “protección de datos personales” si tal protección puede alegremente ser dejada de lado invocando “fines publicitarios”?
¿Cuál es el fin de actualizar nuestra ley de datos personales en base a estándares europeos -GDPR- al tiempo que mantenemos artilugios legales que nos permiten eludir tales estándares?¿Nos interesa ‘ser’ o solo ‘parecer’?
¿Es constitucional la reglamentación del Decreto 1558/2001 que, lejos de reglamentar contradice abiertamente la letra del art 27 de la Ley 25.326? La posibilidad de utilizar datos “con fines de publicidad sin consentimiento de su titular”, ¿cumple con el principio de finalidad establecido de la Ley 25.326 (“Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención”)?
Estas preguntas deberían ser analizadas, especialmente al momento de analizar el proyecto de ley de reforma de la Ley 25.326 (actualmente en el congreso), en cuyo art 68 se regulan las “bases destinadas a publicidad” de manera prácticamente idéntica al régimen actualmente imperante.
A nivel local, cabe tener presentes palabras de la Sala D de la CNComercial, en un conocido fallo sobre el tema, en donde -acogiendo distintas fuentes doctrinarias- se señaló que “la legitimidad del fin para el cual el responsable de la base de datos los ha obtenido, es lo que otorga justificación al uso de datos personales de terceros y establece un límite a su utilización”.[1]
Citas
[*] Abogado, egresado de la Universidad de Buenos Aires, Master of Laws (LLM) de Yeshiva University, New York. Socio del Estudio Richards, Cardinal, Tutzer, Zabala & Zaefferer, a cargo del Departamento de IT. Profesor de Datos Personales de la Universidad Austral (Master de Derecho Empresario). Vice Chair del Subcommittee de Artificial Intelligence & Robotics de la International Bar Association (IBA). Autor de diversos artículos s/ Data Privacy, IT & IP en publicaciones nacionales e internacionales.
[1] CNCom., Sala D, autos “Salvador, Claudio c/ Citibank N.A.”, fallo del 22/11/05 (del dictamen de la fiscal de Cámara, que cita la siguiente doctrina: Gozaíni, Osvaldo A., "Hábeas data, protección de datos personales", Rubinzal-Culzoni Editores, p. 55; Grimalt Servera, Pedro, "La responsabilidad civil en el tratamiento automatizado de datos personales", 1999, Ed. Comares, p. 193; Murillo, Pablo L., "El Derecho a la autodeterminación informativa", 1990, Ed. Tecnos, p. 142; Álvarez y Cienfuegos Suárez, José M., "La defensa de la intimidad de los ciudadanos y la tecnología informática", 1999, Ed. Aranzadi, p. 31; Carranza Torres, Luis R., "Hábeas data, la protección jurídica de los datos personales", 2001, ps. 61 y 62; Gils Carbó, Alejandra M., "Régimen legal de las bases de datos y hábeas data", 2001, Ed. La Ley, ps. 73 y 74
Opinión
PASBBA
opinión
ver todosNORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law
Eskenazi Corp