PROTECCION DE DATOS PERSONALES.

PRINCIPIOS GENERALES, DERECHOS, DEBERES Y OBLIGACIONES.

(*) Artículo publicado en Revista Jurídica El Derecho. 19/06/2002, pág. 6. Buenos Aires, Argentina.

1.-Introducción.

La sanción de la Ley 25.326 de Protección de Datos Personales en el mes de noviembre de 2000 (1), puso fin a un proceso de casi 15 años iniciado en el año 1986 con la presentación ante el Congreso de un proyecto de ley elaborado por la Subsecretaria de Informática y Desarrollo del Ministerio de Justicia de la Nación (2). La redacción de dicho proyecto, cuyo contenido se basaba fundamentalmente en la ley francesa de 1978, respondió a la recomendación efectuada por el entonces Consejo para la Consolidación de la Democracia que señalaba la conveniencia de consagrar el derecho a la privacidad, principalmente con miras a evitar que se vea afectado por los avances de la informática en materia de registro de datos (3).

La preocupación por la protección de los datos personales no era nueva. Ya en el año 1968, la ley 17.622 que dispuso la creación del INDEC, estableció el secreto de los datos recabados por el Sistema Estadístico Nacional, diciendo que los datos debían ser suministrados y publicados exclusivamente en compilaciones de conjunto, de modo que no pudieran ser violado el secreto comercial o patrimonial, ni individualizarse las personas o entidades a quienes se refieren. Sin embargo, ningún proyecto sobre la materia había sido presentado desde entonces.

El largo camino iniciado en 1986 tuvo a varios proyectos como frustrados protagonistas (4) y luego de un período de estancamiento tomó nuevo impulso a partir de la reforma constitucional del año 1994 que en el tercer párrafo del nuevo artículo 43, y dentro del marco de la acción de amparo, incluyó una acción especial tendiente a que toda persona pueda tomar conocimiento de los datos a ella referidos y de su finalidad, que conste en registros o bancos de datos públicos, o privados destinados a proveer informes, y exigir su supresión, rectificación, confidencialidad o actualización en caso de falsedad o discriminación (5).

En el ámbito del Derecho Público provincial, previamente a ser incorporado a la Constitución Nacional por la reforma de 1994, ya lo habían reconocido las Constituciones Provinciales de Santiago del Estero, La Rioja, Córdoba, Río Negro, Neuquén y Tierra del Fuego. Con posterioridad lo receptaron otras normas provinciales, entre ellas la Constitución de la Ciudad Autónoma de Buenos Aires, que en su artículo 16 incorporó el concepto de libre acceso de las personas, a través de la acción de amparo, a los registros, archivos o bancos de datos que consten en organismos públicos o en los privados destinados a proveer informes. El derecho se extiende además a conocer la fuente, el origen, la finalidad y el uso dado a la información obrante sobre su persona, a efectos de requerir la actualización, rectificación, confidencialidad o supresión cuando esa información lesione o restrinja algún derecho (6).

Mientras diversos proyectos, en su mayoría inspirados en la legislación española, deambulaban sin rumbo por el Congreso, a falta de una ley que reglamentara su ejercicio la acción especial prevista por el artículo 43 de la Constitución fue desarrollada por vía jurisprudencial (7). La iniciativa que más cerca estuvo de alcanzar dicho status legal fue el proyecto de ley Nº 24.745 del año 1996 aprobado por ambas Cámaras, que fuera posteriormente vetado en forma total por el Poder Ejecutivo Nacional entonces a cargo del Dr. Carlos Saúl Menem, mediante el decreto 1616/96 del 23 de diciembre de ese año.

En el mes de noviembre de 1998 el Honorable Senado de la Nación aprobó, con algunas modificaciones, un proyecto de ley similar a la otrora vetada ley 24.745. Girado a la Honorable Cámara de Diputados, el proyecto sufrió varios cambios aunque la mayoría de ellos no fueron aceptados por el Senado que, insistiendo con su proyecto original (8), lo aprobó bajo el número 25.236 el 4 de octubre de 2000.

Pocos días después, más precisamente el 30 de octubre de 2001, el Poder Ejecutivo de la Nación a cargo del Dr. Fernando De la Rúa promulgó la Ley mediante el dictado del Decreto Nº 995 que, además, tuvo como fin vetar los incisos 2 y 3 del artículo 29 referidos al organismo de control (9) y el texto íntegro del artículo 47 que pretendía que los bancos de datos prestadores de servicios de información crediticia suprimieran toda información relacionada con deudas canceladas al momento de entrada en vigencia de la ley (10).

Transcurrido en exceso el plazo de 180 días conferido por el artículo 45 de la ley para que la misma fuera reglamentada, finalmente, el día 29 de noviembre de 2001, el Poder Ejecutivo dictó el Decreto 1558/2001 (11) que reglamentó su ejercicio y creó la Dirección Nacional de Protección de Datos Personales como organismo de control.

2.-Protección de datos.

El concepto de protección de datos nació como una mera contraposición a la interferencia en la vida privada de las personas facilitada por el avance tecnológico. Sin embargo, con el transcurso del tiempo, esa concepción fue evolucionando hasta llegar al momento actual en el que la doctrina internacional lo entiende como la protección jurídica de las personas en lo concerniente al tratamiento de sus datos personales, tanto en forma manual como automatizada. Por otro lado, como dice Correa (12), también ha evolucionado la concepción del derecho a la vida privada, pues ha dejado de concebirse como la libertad negativa de rechazar u oponerse al uso de la información personal para convertirse en la libertad positiva de supervisar su uso.

En consecuencia, en la actualidad algunos definen el concepto de protección de datos como el amparo debido a los ciudadanos contra la posible utilización de sus datos personales por terceros, en forma no autorizada, para confeccionar una información que, identificable con él, afecte su entorno personal, social o profesional, en los límites de su intimidad (13), o como la protección de los derechos fundamentales y libertades de los ciudadanos contra una singular forma de agresión: el almacenamiento de datos personales y su posterior cesión (14).

Más allá de la reconocida evolución doctrinal de este concepto, es indudable que con el correr de los años la posibilidad de disponer información sobre las personas ha ido paulatinamente en aumento. Si a ello se le suma el importante papel que las bases de datos desempeñan en el mundo tecnificado y globalizado de hoy, surge con pocos cuestionamientos el derecho de las personas a protegerse frente a la intromisión de los demás.

En definitiva, como explica Murillo de la Cueva (15), el bien jurídico subyacente es la autodeterminación informativa que consiste en el derecho que toda persona tiene a controlar la información que le concierne, sea íntima o no, para preservar de este modo y en último extremo, la propia identidad, su dignidad y libertad. Este derecho a la autodeterminación informativa fue llamado por primera vez de esa manera (16) en la sentencia del Tribunal Constitucional Alemán del 15 de diciembre de 1983, que declaró inconstitucionales ciertos aspectos de la Ley del Censo de Población de 1982 de la República Federal Alemana.

La referida sentencia destacó como contenido del derecho a la personalidad la facultad de decidir por sí mismo cuándo y dentro de qué límites procede revelar situaciones referentes a la propia vida. Reconoció además que esta facultad requiere de especiales medidas de protección ya que la interconexión de varias colecciones de datos puede converger en la elaboración de un perfil de la personalidad y puede influir en la autodeterminación del individuo y en su libertad de decisión.

Resumiendo, basado en la exigencia de consentimiento para que la recogida y el tratamiento de datos sean lícitos, el derecho a la autodeterminación informativa sobre el que se apoya el concepto de protección de datos personales, no sólo entraña un específico instrumento de protección de los derechos del ciudadano, sino que consagra un derecho fundamental autónomo a controlar el flujo de informaciones que conciernen a cada persona y decidir sobre la difusión y la utilización de sus datos personales.

Así lo ha entendido el Tribunal Constitucional Español (17), al decir que el derecho fundamental a la protección de datos persigue garantizar a las personas el poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado.

3.-Objeto de la ley.

El artículo 1 de la ley 25.326 señala que la misma tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional.

Cabe destacar que las disposiciones de la ley no sólo se aplican a los datos relativos a las personas físicas, sino también, en cuanto resulte pertinente, a los relativos a las personas de existencia ideal.

Al tiempo del dictado de la Ley existían dudas respecto al significado que debía dársele a la expresión "privados destinados a dar informes" y a la posibilidad de que a partir de su vaguedad, una gran cantidad de registros de datos pudieran quedar excluidos del régimen creado, o al menos de una buena parte de sus disposiciones. De allí que en un primer momento, lo único que resultaba claro era que el régimen establecido no se aplicaba a las fuentes de información periodística, ni a las bases de datos que registren datos anónimos o información de dominio público.

Además de requerir precisiones respecto a los conceptos de bases de datos públicas y de bases de datos privadas destinadas a dar informes, otro concepto estrechamente ligado a los mencionados que necesitaba ser definido es el contemplado por el artículo 24, referido a los “archivos, registros o bancos de datos formados por los particulares para un uso exclusivamente persona”.

Al redactar el artículo 43 de la Constitución, el constituyente advirtió la existencia de dos tipos de registros, archivos o bancos de datos: los públicos y los privados. En esta última categoría optó por limitar el derecho a ejercer la acción de amparo sólo a los bancos de datos privados cuya finalidad fuera la de proveer informes. Ello, en el entendimiento de que ampliando el ámbito de aplicación, en los casos de bancos de datos privados, se invadiría la esfera propia de la intimidad de los particulares o de las organizaciones civiles que desearan estructurar un "archivo personal" para su exclusivo uso, sin que nadie tuviera derecho sobre los datos allí contenidos. De tal forma, sólo en la medida en que las informaciones obrantes en los registros o bancos privados adquieren la finalidad de informar a terceros, nacería el derecho de los titulares de los datos en ellos registrados de acceder a la información a ellos referida.

En la Convención Constituyente, el despacho de la Comisión de Nuevos Derechos no hacía referencia a que los bancos privados deberían estar destinados a proveer informes. El agregado resultó de una propuesta de la convencional Adelina de Viola para evitar afectar a todos aquellos registros que no fueran utilizados para prestar servicios, sino como recopilación de documentos, como el caso de los archivos científicos o periodísticos.

En el debate producido en la asamblea, el convencional Cullen mocionó por agregar, después de las palabras "proveer informes", la expresión "de uso público" con el fin de evitar que a través de esta acción pudiera existir algún riesgo para el secreto profesional. No obstante ello, la moción no fue aceptada.

Más allá del texto constitucional, poco a poco fue abriéndose camino por vía jurisprudencial el criterio de incluir en el ámbito de la legitimación pasiva a las entidades privadas que posean archivos, registros o bancos de datos aunque no tengan como fin suministrar informes a terceros, sujeto a la condición de que quienes pretendieran acceder a la información recopilada demostraran tener interés legítimo para hacerlo.

Aún cuando de la lectura del artículo 1 de la Ley surja como necesaria la finalidad específica de proveer informes para que un registro de datos sea alcanzado por sus disposiciones, resulta claro que la finalidad de todo registro de datos es la de ser utilizado, y que sus titulares son potenciales suministradores de información a terceros. Y como manifestara en párrafos anteriores, es allí cuando nace derecho de los titulares de los datos a ejercer el debido control sobre la información a ellos referida. ¿Qué sucedería entonces con la información registrada en archivos, registros o bancos de datos particulares que no tienen una finalidad informativa pero que luego se difunde?.

Es aquí entonces cuando resulta necesario desentrañar cuál ha sido la intención del legislador al redactar el artículo 24 de la Ley. A falta de antecedentes parlamentarios que allanen el camino, queda interpretar la intención del legislador a la luz del frío texto legal.

El artículo 24 de la Ley puntualiza: "Los particulares que formen archivos, registros o bancos de datos que no sean para un uso exclusivamente personal deberán registrarse conforme lo previsto en el artículo 21"

Tal como surge del artículo en cuestión, sólo están exentos del deber de registro los archivos, registros o bancos de datos formados por los particulares para un uso exclusivamente personal, concepto éste que no ha sido incluido entre las definiciones que trae el artículo 2. Deberemos también intentar determinar qué tipo de archivos, registros o bancos de datos ha tenido en mente el legislador al redactar este artículo.

Evidentemente, que los archivos, registros o bancos de datos privados que no tengan como finalidad brindar informes no hayan sido incluidos en los artículos 1 de la Ley y 43 de la Constitución, no significa que estén exentos de respetar los principios de finalidad, pertinencia, utilización no abusiva, exactitud, legalidad, publicidad, seguridad, control, consentimiento y defensa de los datos sensibles.

En efecto, existen numerosos archivos, registros o bancos privados que no tienen como finalidad suministrar informes a terceros, pero que recolectan información personal que puede resultar discriminatoria en perjuicio de sus titulares. Basta mencionar, a modo de ejemplo, a los que mantienen las empresas con los datos de sus empleados; a los que administran las empresas aseguradoras con relación a sus asegurados; y a las historias clínicas confeccionadas por los establecimientos de salud, entre muchos otros.

Y no puede admitirse que los derechos de las personas sean vulnerados por el sólo hecho de estar sus datos personales registrados en un archivo, registro o banco de datos que no está destinado a dar informes.

Es por eso que, siguiendo esta línea de pensamiento, el deber de registro que exige el artículo 24 tiene como fin evitar que existan archivos, registros o bancos de datos que incumplan los principios básicos de la protección de datos mencionados en el párrafo anterior, estén destinados a proveer informes o no.

Sin perjuicio de lo expuesto, cabe destacar que aún cuando las bases de datos no destinadas a brindar informes deban inscribirse en el Registro que al efecto se habilite, ello no implicará que sus titulares deban permitir el ejercicio de los derechos reconocidos por la ley a los ciudadanos, ya que dichos derechos sólo podrán ejercerse contra las categorias de bases de datos especificadas en el artículo 1.

Un ejemplo de dicho límite lo constituye el inciso 1 del artículo 14 que establece que el titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales incluidos en los bancos de datos públicos o privados destinados a proveer informes.

De acuerdo a esta norma, los responsables de archivos, registros o bancos de datos que no provean datos a terceros, no estarán obligados a proporcionar información a los titulares de los datos personales registrados en sus archivos, ni en la forma ni dentro de los plazos establecidos por los artículos 15 y 14 inciso 2.

En igual sentido, el artículo 33 inciso a) expresamente señala que la acción de protección de los datos personales o de hábeas data procederá "para tomar conocimiento de los datos personales almacenados en archivos, registros o bancos de datos públicos o privados destinados a proporcionar informes, y de la finalidad de aquellos".

Determinar cuando un registro, archivo o banco de datos está destinado a brindar informes o no, será tarea de la Dirección Nacional de Protección de Datos Personales, en la oportunidad en la que sus responsables procedan a inscribirlos en el registro que a tal efecto se habilite.

De acuerdo al artículo 21, cuando el responsable de un archivo, registro o banco de datos proceda a registrarlo, deberá informar una serie de datos, a saber: nombre y domicilio del responsable; características y finalidad del archivo; naturaleza de los datos personales contenidos en cada archivo; forma de recolección y actualización de datos; destino de los datos y personas físicas o de existencia ideal a las que pueden ser transmitidos; modo de interrelacionar la información registrada; medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información; tiempo de conservación de los datos; y forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos. Estos datos deberán ser ciertos y estar sujetos a las inspecciones que en su momento pueda realizar la Dirección Nacional de Protección de Datos Personales.

Dicho artículo establece además que ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro. De alli que, cuando el responsable de un registro, archivo o banco de datos privado no destinado a proveer informes decida comenzar a proveerlos, deberá informar al Registro que ha modificado su finalidad y, a partir de ese momento, será susceptible de recibir no sólo solicitudes de acceso, rectificacion, actualización, cancelación y supresión por parte de las personas interesadas, sino también de ser sujeto pasivo de la acción de proteccion de datos personales regulada en el Capítulo VII de la Ley.

Refuerza esta interpretación amplia respecto del alcance de lo establecido por el artículo 24, el análisis del contenido del artículo 13, referido al derecho de información de los titulares de datos. Allí el legislador ha establecido que “toda persona puede solicitar información al organismo de control (la Dirección Nacional de Protección de Datos Personales) relativa a la existencia de archivos, registros, bases o banco de datos personales, sus finalidades y la identidad de los sus responsables”, siendo dicho registro de consulta pública y gratuita.

Nótese que la información puede versar sobre la existencia de cualquier tipo de archivo, registro o banco de datos, y no sólo respecto a aquellos taxativamente mencionados por el artículo 1, razón por la cual entiendo que no existen motivos para eximir del deber de registro a los archivos, registros o bancos de datos privados que no estén destinados a proveer informes y no sean de uso exclusivamente personal.

Todas los restantes registros, archivos o bancos de datos privados, excepto aquellos que han sido formados por particulares para su exclusivo uso personal, están alcanzados por las diversas disposiciones de la Ley. Si bien por la trascendencia de sus finalidades, algunos cuentan con artículos especialmente dedicados, todos deben cumplir con el deber mínimo de respeto a los principios generales de protección de los datos personales.

En consecuencia, y por aplicación del artículo 24, además de los enumerados en el artículo 1, respecto de los cuales podrán ejercerse los derechos de acceso, rectificacion, actualización, cancelación y supresión, deben inscribirse en el Registro que a tal efecto se habilite, todos aquellos registros, archivos o bases de datos que no tengan fines exclusivamente personales, estén destinados o no a proveer informes a terceros.

Si bien entiendo que era esta la interpretación correcta del texto legal, no es menos cierto que se imponía una aclaración que evitara malentendidos. Fue así que el Poder Ejecutivo decidió poner fin a la incertidumbre generada por la Ley estableciendo en el artículo 1 del Decreto 1558/2001 que “quedan comprendidos en el concepto de archivos, registros, bases o bancos de datos privados destinados a dar informes, aquellos que exceden el uso exclusivamente personal y los que tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a título oneroso o gratuito”.

No cabe dudas que hubiera sido conveniente aclarar también el significado que debe dársele a la expresión “uso exclusivamente personal”. A falta de ello, y siguiendo a Heredero Higueras (19), entiendo que se refiere a las bases de datos mantenidas por las personas físicas con fines exclusivamente particulares, como el caso de las agendas personales o las listas de teléfonos y direcciones, cuya inclusión supondría una clara intromisión ilegítima en la intimidad de las personas.

4.-Principios fundamentales de la protección de datos.

Como bien decía la Exposición de Motivos de la primera ley española de regulación del tratamiento automatizado de los datos de carácter personal, más conocida como LORTAD (20), los principios generales de la protección de datos son los que definen las pautas encaminadas a garantizar tanto la veracidad de la información contenida en los datos almacenados en los archivos, registros, bancos o bases de datos, cuanto la congruencia y la racionalidad de la utilización de los mismos.

Contenidos fundamentalmente en el Capítulo II de la ley, pero rectores de todo su articulado, pueden reducirse a los siguientes:

a) Principio de pertinencia.

Coincidiendo con Lema Devesa (21), considero que el primer principio que ha inspirado la Ley es el principio de pertinencia de los datos.

También conocido como principio de proporcionalidad y calidad de los datos, este principio exige que los datos que se recaben y almacenen en una base de datos sean pertinentes y adecuados, es decir, que esten relacionados con el fin perseguido en el momento de creación de la base de datos.

En una palabra, significa que la recolección y el tratamiento de los datos han de ser proporcionales con respecto a los fines que se persiguen, sin que en ningún caso se puedan utilizar los datos obtenidos para finalidades distintas de aquéllas para las que se hubieran recogido.

Así lo impone el artículo 4, inciso 1 referido a la calidad de los datos diciendo que los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.

El principio de pertinencia, por tanto, delimita las circunstancias personales sobre las que pueden indagar y recabar información quienes mantengan bases de datos que incluyan información personal.

De tal forma, como enseña Salom (22), este principio supone que no obstante la posible autorización del titular de los datos o la habilitación legal para someter la información a tratamiento, no se permite que puedan incluirse más datos que aquellos que sirvan o puedan servir para la consecución de la finalidad que justifica dicho tratamiento, que debió determinarse en el momento de la obtención del consentimiento, o que sirve para presumir la concurrencia de éste en los supuestos en que se establecen presunciones legales de su otorgamiento.

b) Principio de finalidad.

Este principio, que para Del Peso Navarro (23) engloba a los de pertinencia y utilización no abusiva, implica que los datos de carácter personal que sean recabados para incorporarse a una base de datos deben tratarse con un objetivo específico que debe conocerse antes de la creación de la base misma e informarse en el momento en el que la información personal es recolectada.

Varios artículos se refieren a este principio, siendo los más importantes el artículo 3, segundo párrafo que establece que los archivos de datos no pueden tener finalidades contrarias a las leyes o a la moral pública y el artículo 6, apartado a) que indica que cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa y clara la finalidad para la que serán tratados.

El principio de finalidad exige que los datos se obtengan y traten de manera leal y lícita, y que su almacenamiento se realice para unos fines concretos y legítimos.

c) Principio de utilizacion no abusiva.

El articulo 4, inciso 3 incorpora este principio diciendo que los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquéllas que motivaron su obtención.

d) Principio de exactitud.

Los incisos 4 y 5 del artículo 4 establecen que los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario y que los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y sustituidos, o en su caso completados, por el responsable del archivo o base de datos cuando se tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate.

De acuerdo al artículo 4 de la Ley los titulares de ficheros deben poner los medios necesarios para comprobar la exactitud de los datos registrados y asegurar su puesta al día. Este principio alcanza también a los supuestos de cesión. En estos casos el cedente debe notificar la rectificación o cancelación al cesionario dentro del quinto día hábil de efectuado el tratamiento del dato (artículo 16, inciso 4).

Al exigir que los datos personales recogidos a los efectos de su tratamiento sean exactos y estén actualizados, con la correlativa obligación para el responsable del archivo, registro, banco o base de datos de suprimir, sustituir o completar aquellos datos total o parcialmente inexactos o incompletos, cabe entender también que será necesario proceder a su actualización conforme lo establecido por el artículo 16, pues aun cuando la ley sólo alude al deber de suprimir, sustituir o completar la información de que se trate, y no al deber de actualizar, este último debe entenderse implícito ya que una información que no esté al día puede ser considerada inexacta o incompleta. Este criterio ha sido el adoptado en el primer párrafo del artículo 16 del Decreto 1558/2001 al aclarar que en las disposiciones de los artículos 16 a 22 y 28 a 43 de la Ley en que se menciona a algunos de los derechos de rectificación, actualización, supresión y confidencialidad, debe entenderse que tales normas se refieren a todos ellos.

Parece lógica la necesidad que los datos que se obtengan y se sometan a procesamiento sean exactos y estén actualizados. Cuando la información la aporte el el titular de los datos se entiende que será completa y actualizada. Pero si los datos se obtienen por otros medios puede ocurrir que la información esté desactualizada, no se corresponda con la realidad o sea errónea, circunstancias que menoscabarán el legítimo interés de su titular. Por ello, el cumplimiento de la exigencia de que los datos sean exactos y actualizados recae sobre los responsables de los archivos o bancos de datos, siendo éllos los obligados por la ley a cumplir con el principio de exactitud. En definitiva, lo que pretende este principio es que los datos respondan con veracidad a la situación real de su titular.

e) Principio de derecho al olvido.

Intimamente relacionado con el principio de exactitud se encuentra este principio, también conocido como principio de limitación en el tiempo (24), que implica que los datos deben desaparecer del archivo o base de datos una vez que se haya cumplido el fin para el que fueron recabados. El inciso 7 del artículo 4º de la ley recepta este principio estableciendo que los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados. Refuerza este principio lo establecido por el párrafo tercero del artículo 4 del Decreto 1558/2001 que al reglamentar su ejercicio indica que “el dato que hubiera perdido vigencia respecto de los fines para los que se hubiese obtenido o recolectado debe ser suprimido por el responsable o usuario sin necesidad de que lo requiera el titular de los datos”.

f) Principio de legalidad.

También conocido como principio de limitación de la recolección (25), establece que el procedimiento de recogida de datos no debe ser realizado en forma ilícita o desleal. Así lo establece el artículo 4, inciso 2 diciendo que la recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la ley.

Además de los que la ley contempla expresamente, a modo de ejemplo, pueden mencionarse como métodos fraudulentos, ilegales o desleales de recolección de datos a las investigaciones privadas realizadas por detectives, el uso de instrumentos de grabación o escucha de conversaciones privadas, la violación de correspondencia o papeles privados, o cualquier otro en el que se oculte la verdadera finalidad de la recogida de datos y posterior tratamiento. Lo que pretende la ley es evitar actuaciones delictivas por intermedio de las cuales pueda vulnerarse el bien jurídico protegido.

La ausencia de mayor precisión al respecto, motivó que el reglamentador incorporara en el primer párrafo del artículo 4 del Decreto 1558/2001 una mención a los parámetros generales que deberan tenerse en cuenta para determinar la lealtad y buena fe en la obtención de los datos personales, así como el destino que a ellos se asigne. En consecuencia, los parámetros que deberán analizarse serán el procedimiento efectuado para la recolección de los datos y, en particular, el cumplimiento de lo dispuesto por el artículo 6 de la ley en cuanto a la información que debe proporcionarse a las personas cuando se pretenda recabar información de carácter personal referida a ellas.

g) Principio de publicidad.

El artículo 21 establece que todo archivo, registro, base o banco de datos público, y privado destinado a proporcionar informes debe inscribirse en el Registro que al efecto habilite la Dirección Nacional de Protección de Datos Personales. Ello porque tal como lo indica el artículo 3, la formación de archivos de datos será lícita cuando los mismos se encuentren debidamente inscriptos, observando en su operación los principios que establece la ley y las reglamentaciones que se dicten en su consecuencia.

La conveniencia de la creación y mantenimiento de un registro público en el que figuren los archivos o bases de datos que poseen datos de carácter personal, radica en que a través de su consulta los ciudadanos pueden tomar conocimiento de los archivos en los cuales pueden existir datos referidos a su persona y de la identidad de los responsables de su tratamiento, para poder ejercer una defensa adecuada de sus derechos.

h) Principio de control.

Este principio, que la ley comentada incorpora en su artículo 29, se refiere a la existencia de un organismo de control responsable del cumplimiento efectivo de los principios contenidos en la legislación.

Todas las legislaciones del mundo que amparan los datos personales, tanto nacionales como supranacionales, han previsto un organismo de tales características. Sin embargo, como enseña Del Peso Navarro (26), no todas han estado de acuerdo en la forma adoptada para ello. Algunas han buscado la total independencia del Poder Ejecutivo, mientras que otras lo configuraron como un apéndice más del mismo.

En Argentina, algunos proyectos pretendieron ubicarlo en el ámbito del Congreso de la Nación creando una Comisión Bicameral de Protección Legislativa de Datos, otros propusieron la creación de una Comisión Nacional de Datos Personales integrada por miembros provenientes de distintos sectores de los poderes legislativo, ejecutivo y judicial, algunos bregaron por su independencia y otros lo subordinaron al Poder Judicial.

La versión original sancionada por el Congreso había optado por una opción intermedia. Dotaba al órgano de control de autonomía funcional, pero lo reconocía como un órgano descentralizado en el ámbito del Ministerio de Justicia y Derechos Humanos de la Nación, cuyo Director debía ser nombrado por el Poder Ejecutivo con acuerdo del Senado y podía ser removido por el Poder Ejecutivo por mal desempeño en sus funciones.

Aunque podía vislumbrarse su dependencia del Poder Ejecutivo, que se encuentra autorizado a determinar sus características organizativas por el artículo 45, con el veto parcial del Decreto 995 anteriormente mencionado (27) se abrió una incógnita con relación al carácter autónomo, independiente o subordinado que ostentaría el organismo de control a crearse.

Como ya hemos visto, dicha incógnita fue dilucidada por el artículo 29 del Decreto 1558/2001, cuyo inciso 1 creó como órgano de control a la Dirección Nacional de Protección de Datos Personales.

Si bien es cierto que el sistema establecido por la ley carecería de eficacia si no se instrumentara un adecuado mecanismo de control sostenido por un organismo de tipo institucional, entiendo, como dice Correa (28), que la condición básica para que su desempeño sea eficaz es que cuente con la independencia y potestades necesarias para poder supervisar, sin condicionamientos, que los responsables y usuarios de los archivos, registros, bancos o bases de datos públicos y privados sometan el tratamiento de los datos de carácter personal en ellos asentados a las disposiciones de la ley. Su creación dentro del ámbito de la Secretaría de Justicia y Asuntos Legislativos del Ministerio de Justicia y Derechos Humanos no augura tal independencia.

i) Principio de seguridad.

Una de las cuestiones que más preocupan en el tratamiento de datos en general, y de los datos personales en particular, es el de su seguridad, tanto en el momento de su recolección como en el de su tratamiento y cesión a terceros. Es por ello que el inciso 2 del artículo 9 prohibe que se registren datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.

Entiendo que una de las misiones del Decreto reglamentario era establecer los niveles de seguridad que deberán adoptarse en cada caso concreto. Sin embargo, en su artículo 9, el Decreto 1558/2001 evita fijar estándares de seguridad indicando que será la Dirección Nacional de Protección de Datos Personales por él creada quien deberá “promover la cooperación entre sectores públicos y privados para la elaboración e implantación de medidas, prácticas y procedimientos que susciten la confianza en los sistemas de información, así como en sus modalidades de provisión y utilización”.

j) Principio de defensa de los datos sensibles.

A poco que se analizan las definiciones que la ley trae en su artículo 2º se comprende que no todos los datos personales requieren de identica intensidad protectora, pues la primer definición se refiere a los datos personales y la segunda a los datos sensibles, diferenciados de los primeros. Asimismo, a medida que se avanza en el análisis de la ley aparecen diversas normas que se refieren de manera especial a cada tipo de datos.

La ley entiende por datos personales a cualquier tipo de información referida a personas físicas o de existencia ideal determinadas o determinables. Por su parte considera datos sensibles a aquellos datos personales que revelen origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

Como regla general, de acuerdo a lo establecido por el artículo 7, inciso 3, está prohibido formar de archivos, bancos o registros que almacenen información que directa o indirectamente revele este tipo de datos. Sin embargo, entiendo que por ser la intimidad un derecho renunciable, nada impide el tratamiento de datos personales, aún de los denominados sensibles, cuando sean recabados con el consentimiento del titular de los mismos, siempre que se respeten los principios generales de la ley. Es por ello que en el inciso 1 del artículo 7 se pone de manifiesto que ninguna persona puede ser obligada a proporcionar datos sensibles. Sin que el titular de los datos sea obligado a comunicarlos y siempre que la información se obtenga con su consentimiento libre, expreso, informado y por escrito, considero que no existe impedimento para incluir en una base de datos información sensible de una persona, siempre y cuando se respeten todos los principios generales contemplados por la ley.

Vemos entonces que el principio general que prohibe el tratamiento de este tipo de datos admite varias excepciones. Una de carácter general como la del consentimiento anteriormente mencionada, y otras, más específicas, como las mencionadas por el artículo 8 y por los incisos 2, 3 y 4 del artículo 7, contempladas expresamente en la ley.

En efecto, el artículo 8 permite que los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud recolecten y sometan a tratamiento datos personales relativos a la salud física o mental de sus pacientes actuales o pasados, estableciendo la obligación de respetar los principios del secreto profesional.

Asimismo, los mencionados incisos del artículo 7 preven distintas excepciones. El inciso 2 indica que pueden recolectarse y tratarse datos sensibles cuando medien razones de interés general autorizadas por ley, permitiendolo además cuando la finalidad de la recolección y tratamiento sea estadística o científica y no puedan ser identificados sus titulares. El inciso 3, en su parte final, permite que la Iglesia Católica, las asociaciones religiosas y las organizaciones políticas y sindicales lleven un registro de sus miembros aunque ello implique el registro de datos sensibles. Por su parte, el inciso 4 establece que los datos relativos a antecedentes penales o contravencionales sólo pueden ser objeto de tratamiento por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas.

k) Principio del consentimiento.

Como regla general, el tratamiento de datos de carácter personal requiere el consentimiento libre, expreso e informado del titular de los datos. El propósito del consentimiento requerido es el de proporcionar a la persona el derecho a elegir qué datos referidos a su persona pueden ser sujetos a tratamiento. El artículo 5 del Decreto 1558/2001 entiende en su primer párrafo que el consentimiento informado es aquél que está precedido de una explicación, al titular de los datos, en forma adecuada a su nivel social y cultural, de la información a la que se refiere el artículo 6 de la Ley.

En principio, el consentimiento debe constar por escrito. Si bien el artículo 5 de la Ley también permite que sea prestado por otro medio equiparable, el inciso 2 del Decreto 1558/2001 establece que será el órgano de control quien estabelcerá los requisitos para que el consentimiento pueda ser prestado por un medio distinto al escrito.

Resulta importante destacar que una vez prestado el consentimiento, el titular de los datos puede revocarlo en cualquier momento, sin que se le puedan atribuir efectos retroactivos.

El inciso 2º del artículo 5º de la Ley enumera la excepciones al requerido consentimiento del titular de los datos para el tratamiento de sus datos personales. Los supuestos son los siguientes:

1) Cuando los datos se obtengan de fuentes de acceso público irrestricto;

2) Cuando se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal;

3) Cuando se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio;

4) Cuando deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento;

5) Cuando se trate de las operaciones que realicen las entidades financieras (29) y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la ley 21.526 (30).

La exigencia del consentimiento previo también sufre excepciones en el caso de cesión a terceros. En efecto, además de las excepciones previstas en general por el inciso 2º del artículo 5º, el inciso 3 del artículo 11 establece que no debe exigirse el consentimiento cuando:

1) Así lo disponga una ley;

2) La cesión se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias;

3) Se trate de datos personales relativos a la salud, y sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados.

4) Se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables. A tal fin, y de acuerdo a lo que establece el párrafo cuarto del artículo 11 del Decreto 1558/2001, la Dirección Nacionalde Protección de Datos Personales deberá fijar los estándares de seguridad aplicables a los mecanismos de disociación de datos.

5.-Derechos de los titulares de datos personales.

Como enseña Cifuentes (31), multiplicadas son las facultades de la persona para reaccionar frente al manejo y apropiación del derecho a los datos personales. Por la importancia y la trascendencia que tienen como instrumentos para proteger la intimidad de las personas es necesario estudiarlos separadamente, con la incidencia que la ley tiene en el reconocimiento de cada uno de ellos en particular.

a) Derecho de oposición.

Este derecho permite al titular de los datos personales negarse a facilitar un dato de carácter personal en el caso de que no sea obligatorio hacerlo. Si bien no cuenta con un apartado especial como el resto de los derechos, la posibilidad de ejercerlo se desprende del texto del inciso 1 del artículo 7º que expresamente reza que ninguna persona puede ser obligada a proporcionar datos sensibles.

b) Derecho de información.

Este derecho, presupuesto de los restantes, se convierte en el derecho básico del afectado para poder ejercitar, con ciertas garantías, los controles que la ley articula en los diversos momentos del tratamiento de datos.

De acuerdo al artículo 6º, las personas a las que se le soliciten datos de carácter personal tienen el derecho de ser previamente informadas de modo expreso, preciso e inequívoco de las siguientes circunstancias:

1) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios;

2) La existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable;

3) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos referidos en el artículo siguiente;

4) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos;

5) La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos.

Esta información deberá aparecer en los todos los formularios que se utilicen para recoger datos de carácter personal.

c) Derecho de acceso.

El derecho de acceso reconocido por el artículo 14 se complementa con la obligación que el inciso 6 del artículo 4º le impone a los responsables de las bases de datos de almacenar los datos de modo que permitan el ejercicio del derecho de acceso de su titular y permite que cualquier persona pueda conocer no sólo si sus datos personales figuran en una base de datos, sino también cuáles son. Sólo si los datos se almacenan de tal forma, el titular de los datos personales registrados en un archivo o base de datos podrá ejercer el derecho de acceso reconocido por el artículo 14.

Entendido como la garantía de comprobación de que las informaciones que versan sobre las personas son veraces, actualizadas y delimitadas al fin para el cual fueron registradas, este derecho es la médula de lo que comunmente se conoce como habeas data o habeas scriptum.

Tomando como fuente de inspiración lo que señala el artículo 8.b) del Convenio 108 del Consejo de Europa (32), puede decirse que el derecho de acceso no es más que el derecho que tienen los ciudadanos a obtener en intervalos razonables y sin demoras o gastos excesivos la confirmación de la existencia o inexistencia de información relativa a su persona en una base de datos, así como la comunicación de tales datos en forma inteligible.

Heredero Higueras (33) enseña que incluso antes de que se promulgaran las primeras leyes sobre Protección de Datos, este derecho habia sido bautizado como habeas data, por considerarlo una modalidad de acción exhibitoria análoga a la del hábeas corpus. Así lo entendió la doctrina y jurisprudencia argentinas, aunque con mayor alcance que el mero acceso (34).

Del juego armónico de los artículos 14 y 15 de la ley, este derecho puede ser ejercido en forma gratuita y a intervalos no inferiores a seis meses por todos aquellos titulares de datos que acrediten previamente su identidad ante los responsables de los bancos de datos públicos, o privados destinados a proveer informes. Si el titular de los datos acredita un interés legítimo puede ejercer el derecho a intervalos menores.

De acuerdo a lo establecido por el artículo 14 del Decreto 1558/2001, siempre que se garantice la identificación del titular o, en caso de personas fallecidas, el vínculo correspondiente con la presentación de la declaratoria de herederos, la solicitud de información no requiere de fórmulas específicas y puede efectuarse de manera directa, presentándose el interesado ante el responsable o usuario del archivo, registro, base o banco de datos, o de manera indirecta, a través de una intimación fehaciente por medio escrito que deje constancia de su recepción.

El acceso podrá consistir en la mera consulta de los archivos por medio de la visualización, o en la indicación de los datos objeto de tratamiento por escrito, por medios electrónicos, telefónicos, de imagen u otro idóneo a tal fin y, de acuerdo a lo establecido por el Decreto reglamentario, permitirá que el titular de los datos:

1) Conozca si se encuentra o no en el archivo, registro, base o banco de datos.

2) Conozca todos los datos relativos a su persona que consten en el archivo.

3) Solicite información sobre las fuentes y los medios a través de los cuales se obtuvieron sus datos.

4) Solicite las finalidades para las que sus datos fueron recabados.

5) Conozca el destino previsto para sus datos.

6) Sepa si el archivo se encuentra registrado en el registro habilitado por la Dirección Nacional de Protección de Datos Personales.

Ante el requerimiento del interesado y su opción en cuanto al medio preferido para conocer la respuesta, el responsable o usuario del banco de datos deberá proporcionar la información solicitada dentro de los diez días corridos de haber sido intimado fehacientemente.

Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, éste se estimara insuficiente, el titular de los datos tendrá expedita la acción de protección de los datos personales o de hábeas data prevista en el Capítulo VII de la Ley y denunciar el hecho ante la Dirección Nacional de Protección de Datos Personales.

d) Derecho de rectificación, cancelación o supresión.

Como correlato lógico a los principios de finalidad, pertinencia y exactitud que en forma de deberes la ley impone a los responsables de los archivos o bases de datos que contengan datos de carácter personal, surgen los derechos autónomos que el artículo 16 reconoce a los titulares de los datos personales para exigir que cuando los mismos sean inexactos o incompletos, sean rectificados o actualizados, y cuando corresponda, suprimidos o sometidos a confidencialidad.

El derecho de cancelación permite eliminar del archivo o base de datos a aquellos datos personales que, por diversas circunstancias, no deben figurar en el mismo. Es importante poner de manifiesto que el término "cancelación" debe ser entendido en forma amplia como la acción tendiente a hacer irreconocibles los datos archivados, ya sea anulando, destruyendo, borrando, tornando ilegibles o declarando su nulidad. La metodología empleada diferirá de acuerdo a las circunstancias. Demás está decir que existen casos en los que, por cuestiones de interés público, será imposible eliminar completamente una información. Prueba de ello es la excepción a la destrucción física de los datos que la ley contempla en diversos artículos al referirse al mecanismo de bloqueo de datos.

De la misma manera que ocurre con el derecho de acceso, el artículo 19 establece que la rectificación, actualización o supresión de datos personales inexactos o incompletos que obren en registros públicos o privados se efectuará sin cargo alguno para el interesado.

e) Derecho de tutela.

Siguiendo a Suñé Llinás, quien lo entiende como derecho al recurso, sanciones y responsabilidad (35), es el derecho que le asiste a todos los titulares de datos en ejercicio de los demás derechos conferidos por la ley, para hacer frente a los incumplimientos de la norma.

Con el fin de salvaguardar los derechos de los titulares de los datos de carácter personal, la ley prevee dos tipos de acciones. Una, mencionada en el artículo 31 inciso 1, permite reclamar los daños y perjuicios que pudieran habérsele ocasionado a raíz de la inobservancia de la ley. La otra, más específica, es la denominada "Acción de protección de los datos personales". Regulada en el Capítulo VII (36), tiene como fin tomar conocimiento de los datos personales almacenados en archivos, registros o bancos de datos públicos o privados destinados a proporcionar informes, y de su finalidad; y exigir la rectificación, supresión, confidencialidad o actualización de la infomación cuyo registro se encuentre prohibido o se presuma que sea falsa, inexacta o desactualizada.

En cuanto al procedimiento sancionador, más allá de las responsabilidades administrativas que pudieran corresponderle a los responsables o usuarios de bases de datos públicas y de las sanciones que en general enumera el artículo 31, resulta interesante destacar que la ley sujeta a reglamentación el establecimiento de las condiciones y procedimientos para la aplicación de las sanciones, así como la necesaria graduación de las mismas en base a la gravedad y extensión de la valoración y de los perjuicios que de ellas pudieran derivarse.

Es así que el artículo 31 del Decreto 1558/2001 establece que la cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, el volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceros, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

Finalmente, se pone de manifiesto que la ley, a través de su artículo 32, define nuevos tipos delictivos y supuestos de responsabilidad penal para la eventualidad de su incumplimiento, cuyo texto incorpora como artículos 117 bis (37) y 157 bis (38) del Código Penal.

f) Derecho a la impugnación de valoraciones.

Además de declarar su insanable nulidad, el artículo 20 legitima a los ciudadanos a impugnar, entendiéndose por ello recurrir demandando su invalidez (39), todo acto administrativo o decisión privada que implique una apreciación o valoración de su comportamiento fundada únicamente en el tratamiento de datos de carácter personal que permita obtener un determinado perfil de su personalidad.

g) Derecho de consulta.

Bajo el título de "Derecho de Información" el artículo 13 establece que toda persona puede solicitar al organismo de control (la Direccin Nacional de Protección de Datos Personales) información relativa a la existencia de archivos, registros, bases o bancos de datos personales, sus finalidades y la identidad de sus responsables. Señala además que el registro que se lleve al efecto será de consulta pública y gratuita.

5.-Deberes y obligaciones de los usuarios y responsables de bases de datos.

Además de los derechos de defensa legalmente reconocidos a los titulares de los datos de carácter personal, la ley prevee una serie de garantías específicas tendientes a asegurar su respeto, cuyo incumplimiento podrá ser penado con las sanciones previstas en el capítulo VI o desatar los mecanismos de tutela previstos en el capitulo VII. Estas garantías constituyen otros tantos deberes que pesan sobre la persona del responsable del archivo o base de datos, entre los que se destacan los siguientes:

a) Deber de Secreto

Definido por el artículo 10 como "deber de confidencialidad", obliga al responsable y a las personas que intervengan en cualquier fase del tratamiento de datos personales a respetar el secreto profesional respecto de los mismos, exigencia que deberá subsistir aun después de finalizada la relación con el titular del archivo de datos. El inciso 2 del mencionado artículo releva el deber de secreto en caso de resolución judicial o cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública.

El deber de secreto profesional responde a la finalidad de evitar que la información salga del círculo de personas a quienes está destinada, habida cuenta que sobre los archivos o bases de datos pesa una presunción de secreto.

b) Deber de Inscripción

Conforme se manifestara al analizar el principio de publicidad, el inciso 1 del artículo 21 pone en cabeza de los usuarios y responsables de los archivos, registros, bases o bancos de datos público, y privados destinado a proporcionar informes, el deber de inscribir los en el Registro que al efecto habilite la Dirección Nacional de Protección de Datos Personales.

Si bien considero que el procedimiento de inscripción debía haber sido determinado por el Decreto reglamentario, por aplicación del inciso 2 del artículo 21, y una vez que el registro sea habilitado, la inscripción de archivos, registros, bases o bancos de datos deberá comprender como mínimo la siguiente información:

1) Nombre y domicilio del responsable;

2) Características y finalidad del archivo;

3) Naturaleza de los datos personales contenidos en cada archivo;

4) Forma de recolección y actualización de datos;

5) Destino de los datos y personas físicas o de existencia ideal a las que pueden ser transmitidos;

6) Modo de interrelacionar la información registrada;

7) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información;

8) Tiempo de conservación de los datos;

9) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos.

Como excepción al sistema de registro e inscripción previsto para los archivos, registros, bases o bancos de datos alcanzados por la Ley, el cuarto párrafo del artículo 27 del Decreto 1558/2001 exime del deber de registro a todos aquellos responsables o usuarios de archivos, registros, bancos o bases de datos con fines de publicidad que se encuentren adheridos a alguna Cámara, Asociación y/o Colegio Profesional del sector que disponga de un Código de Conducta homologado por la Dirección Nacional de Protección de los Datos Personales. En esos casos, serán dichas Cámaras, Asociaciones y/o Colegios Profeionales los que deberán inscribirse, acompañando una nómina con el nombre, apelllido y domicilio de sus asociados, quienes, por estatuto, deberán estar obligatoriamente adheridos al Código de Conducta mencionado. Obviamente, aquellos responsables o usuarios de archivos, registros, bancos o bases de datos con fines de publiicidad que no se encuentren nucleados en algunas de esas Cámaras, Asociaciones y/o Colegios Profesionales, deberán cumplir con el deber de registro establecido por el artículo 21 de la Ley.

c) Deber de Información

Contracara del derecho de información, la ley exige que cuando se recolecten datos de carácter personal que requieran el consentimiento de sus titulares, el responsable del tratamiento ponga a disposición de los mismos una serie de informaciones que le permitan decidir en forma libre la conveniencia de proporcionar datos referidos a su persona. Dicha información deberá indicar qué se va a hacer con los datos, quienes serán los destinatarios de la información y la identidad y dirección del responsable del archivo o base de datos.

Este deber se pone de manifiesto nuevamente en el artículo 11 dedicado a la cesión de datos, cuyo inciso 1 exige que el titular de los datos sea informado sobre la finalidad de la cesión, la identidad del cesionario y los elementos que permiten realizar dicha cesión.

d) Deber de Seguridad

El responsable del tratamiento deberá adoptar medidas técnicas y organizativas adecuadas a los riesgos que presenta el tratamiento. Así lo establece el artículo 9, inciso 1 de la ley cuando al referirse a la seguridad de los datos señala que el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. Además, en su inciso 2º prohibe registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.

Tal como lo manifestara en párrafos anteriores (40), los titulares de los archivos o bases de datos deberán aguardar que la Dirección Nacional de Protección de Datos Personales establezca las medidas de seguridad que deberán garantizar, dependiendo del tipo de datos personales que sometan a tratamiento.

e) Deber de velar por la calidad de los datos.

Este deber consiste en el necesario respeto por parte del responsble y los usuarios de los archivos o bases de datos, de las reglas establecidas para la recogida, tratamiento, uso, conservación, almacenamiento y cesión de datos, conjugadas con los principios generales de protección de datos. De esta forma, la calidad estará medida de acuerdo a los parámetros de la pertinencia, proporcionalidad, lealtad, congruencia, exactitud y accesibilidad por parte del titular de los datos.

f) Deber de dar acceso a los datos.

El deber de dar acceso a los datos que la ley coloca en cabeza del responsable de la base de datos en el artículo 14, se apoya en el deber previo impuesto por el inciso 6 del artículo 4 que exige que los responsables de las bases de datos almacenen la información de forma tal que el ejercicio del derecho de acceso de su titular esté garantizado.

En virtud a lo establecido por el artículo 15, el responsable de la base de datos debe suministrar información amplia sobre la totalidad del registro perteneciente al titular de los datos personales. Además, el deber se complementa con la obligación de que el informe sea claro, exento de codificaciones y, en caso de ser necesario, que se entregue acompañado de una explicación escrita en lenguaje accesible al conocimiento medio de la población.

Si bien el inciso 3 del artículo 15 de la Ley establece que la información podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen u otro medio idóneo a tal fin, a opción del titular, el artículo 15 del Decreto 1558/2001 aclara que a los efectos de responder el requerimiento formulado por el titular de los datos, podrán ofrecerse los siguientes medios alternativos de información:

1) Visualización en pantalla.

2) Informe escrito entregado en el domicilio del requerido.

3) Informe escrito remitido al domicilio denunciado por el requirente.

4) Transmisión electrónica de la respuesta, siempre que esté garantizada la identidad del interesado y la confidencialidad, integridad y recepción de la información (41).

5) Cualquier otro procedimiento que sea adecuado a la configuración e implantación material del archivo, registro, base o banco de datos, ofrecido por el responsable o usuario al mismo.

Este deber de dar acceso a los datos cuenta con una clara excepción en el texto del articulo 17, inciso 2, que permite que los responsables o usuarios de bancos de datos públicos puedan denegar, mediante resolución fundada, la información solicitada por los titulares de datos de carácter personal, cuando por intermedio de ello se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas.

g) Deber de rectificación, cancelación y supresión.

De acuerdo a lo que establece el artículo 16, luego de recibir un reclamo efectuado por una persona cuyos datos personales se encuentren registrados en un archivo o banco de datos, o al advertir el error o falsedad en la información, el responsable o usuario del mismo debe proceder a la rectificación, supresión o actualización de la información registrada dentro de un plazo máximo de cinco días hábiles. El incumplimiento de esta obligación habilita al titular de los datos a promover sin más la acción de protección de los datos personales o de hábeas data prevista en la ley.

Evidentemente, como enseña Salom (42), este deber es la consecuencia lógica del principio de pertinencia, pues si sólo pueden tratarse los datos que sean adecuados a la finalidad que lo justifica, aquellos que hayan dejado de serlo, por los motivos que fuere, no pueden seguir siendo objeto de tratamiento.

Cabe destacar que el deber establecido es este artículo cuenta con varias excepciones, ya que de acuerdo a lo que establece el inciso 5 del artículo 16, la supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.

Asimismo, el artículo 17 indica que los responsables o usuarios de bancos de datos públicos pueden, mediante decisión fundada, denegar el acceso, rectificación o la supresión en función de la protección de la defensa de la Nación, del orden y la seguridad públicos, o de la protección de los derechos e intereses de terceros.

h) Deber de bloqueo.

Al tratar el derecho de rectificación, actualización o supresión, el inciso 6 del artículo 16, exige que durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del banco de datos proceda a bloquear el archivo, o consignar, al proveer información relativa al mismo, la circunstancia de que se encuentra sometida a revisión.

i) Deber de controlar la cesión de datos a terceros.

El deber de controlar la cesión a terceros de los datos, consagrado en el art 11, constituye el requisito último y fundamental de la pretensión legal de preservar la intimidad de los datos incorporados en archivos o bases de datos.

La regla general parte de la imposibilidad de ceder tales datos. Las excepciones, previstas en el inciso 1, requieren la concurrencia de un triple requisito:

1) El consentimiento del afectado, salvo supuestos específicamente contemplados en el inciso 3.

2) Que la cesión constituya un requisito para el cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del cesionario.

3) Que la cesión le sea informada al titular de los datos, indicándose además la finalidad de la cesión, la identidad del cesionario y los elementos que permitan hacerlo.

j) Deber de información al cesionario.

El deber mencionado en el punto anterior no termina con la cesión, sino que se extiende en el tiempo. Ello, porque tal como establece el inciso 4 del artículo 16, el responsable o usuario del banco de datos que proceda a rectificar, cancelar o suprimir información de carácter personal previamente cedida a terceros, debe notificar dicha rectificación o supresión al cesionario dentro del quinto día hábil de efectuado el tratamiento del dato.

Como excepción a esta regla, el tercer párrafo del artículo 15 del Decreto 1558/2001 establece acertadamente que los responsables o usuarios de archivos o bases de datos públcos de acceso público irrestricto pueden cumplir la notificación mencionada en el párrafo anterior, mediante la modificación de los datos realizada a través de los mismos medios empleados para su divulgación.

6.-Comentarios finales.

En estas líneas he intentado reseñar lo que considero son los principios básicos de la protección de datos a la luz de la nueva legislación argentina.

Para finalizar, y a modo de corolario, considero de utilidad resumir, en un intento de definición, en qué consiste el sistema de protección de los datos personales, que no es más el poder de disposición y control sobre los datos personales que faculta a las personas para decidir cuáles de esos datos quieren proporcionar a terceros, sea el Estado o un particular, o qué datos pueden esos terceros recabar, y permite saber quién posee esos datos personales y para qué, pudiendo inclusive oponerse a esa posesión o uso.

Estos poderes de disposición y control sobre los datos personales, se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos.

Gustavo Daniel Tanús
(1) Publicada en el Boletín Oficial de la Nación el día 2 de noviembre de 2000 (2) Elaborado por los Doctores Correa, Nino, Molinero, Novoa Monreal y Gibourg. (3) Dictamen del Consejo para la Consolidación de la Democracia. Editorial Eudeba, Noviembre de 1986 (4) Entre ellos el que fuera presentado en el año 1993 por la Subsecretaría de Derechos Humanos del Ministerio del Interior, los presentados por los Diputados Jorge Vanossi, Jorge Gentile y Antonio Hernández y el presentado por el Senador Alcides López (5) El texto del artículo 43 de la Constitución Nacional dice: "Toda persona puede interponer acción expedita y rápida de amparo, siempre que no exista otro medio judicial más idóneo, contra todo acto u omisión de autoridades públicas o de particulares, que en forma actual o inminente lesione, restrinja, altere, amenace, con arbitrariedades o ilegalidad manifiesta, derechos y garantías reconocidos por esta Constitución, un tratado o una ley. En el caso, el juez podrá declarar la inconstitucionalidad de la norma en que se funde el acto u omisión lesiva. Podrán interponer esta acción contra cualquier forma de discriminación y en lo relativo a los derechos que protegen al ambiente, a la competencia, al usuario y al consumidor, así como a los derechos de incidencia colectiva en general, el afectado, el defensor del pueblo y las asociaciones que propendan a esos fines, registradas conforme a la ley, la que determinará los requisitos y formas de su organización. Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o banco de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las fuentes de información periodística. Cuando el derecho lesionado, restringido, alterado o amenazado fuera de la libertad física, o en caso de agravamiento ilegítimo en la forma o condiciones de detención, o en el de desaparición forzada de personas, la acción de habeas corpus podrá ser interpuesta por el afectado o por cualquiera en su favor y el juez resolverá de inmediato, aun durante la vigencia del estado de sitio. (6) El texto del artículo 16 de la Constitución de la Ciudad Autónoma de Buenos Aires dice: "Toda persona tiene, mediante una acción de amparo, libre acceso a todo registro, archivo o banco de datos que conste en organismos públicos o en los privados destinados a proveer informes, a fin de conocer cualquier asiento sobre su persona, su fuente, origen, finalidad o uso que del mismo se haga. También puede requerir su actualización, rectificación, confidencialidad o supresión, cuando esa información lesione o restrinja algún derecho. El ejercicio de este derecho no afecta el secreto de la fuente de información periodística. (7) Para un análisis de la jurisprudencia relativa a la acción de habeas data ver el trabajo de Pedro Dubié titulado: "Reseña de Jurisprudencia sobre Habeas Data 1998-1999" en "Revista de Derecho y Nuevas Tecnologías. Año 2, Número 3. Pablo Palazzi, Director". Editorial Ad-Hoc. Buenos Aires, 2000, pág. 219. (8) Sólo aceptó la modificación incluida en el inciso 4 del artículo 6 y algunas reformas menores. (9) El texto vetado es el siguiente: "2. El órgano de control gozará de autonomía funcional y actuará como órgano descentralizado en el ámbito del Ministerio de Justicia y Derechos Humanos de la Nación. 3. El órgano de control será dirigido y administrado por un Director designado por el término de cuatro (4) años, por el Poder Ejecutivo con acuerdo del Senado de la Nación, debiendo ser seleccionado entre personas con antecedentes en la materia. El Director tendrá dedicación exclusiva en su función, encontrándose alcanzado por las incompatibilidades fijadas por ley para los funcionarios públicos y podrá ser removido por el Poder Ejecutivo por mal desempeño de las funciones". (10) El texto vetado es el siguiente: "Los bancos de datos prestadores de servicios de información crediticia deberán suprimir, o en su caso, omitir asentar, todo dato referido al incumplimiento o mora en el pago de una obligación, si ésta hubiera sido cancelada al momento de la entrada en vigencia de la presente ley". (11) Publicado en el Boletín Oficial de la Nación el día 3 de diciembre de 2001. (12) Correa, Carlos María y otros. "Derecho Informático", Editorial Depalma, Buenos Aires, 1994, pág. 250. (13) Davara Rodríguez, Miguel Angel. "Manual de Derecho Informático", Editorial Aranzadi. Pamplona, España, 1997, pág. 47. (14) Alvarez-Cienfuegos Suarez, José María. "La Defensa de la Intimidad de los Ciudadanos y la Tecnología Informática", Editorial Aranzadi. Pamplona, España, 1999, pág. 25. (15) Murillo de la Cueva, Pablo Lucas. "El derecho a la autodeterminación informativa". Editorial Tecnos. Madrid, España, 1990. (16) Recht auf informationelle Selbstbestimung, en alemán. (17) Tribunal Constitucional Español, Sentencia del 30/11/2000, Fundamento 6. (18) El texto del artículo 24 dice: "Los particulares que formen archivos, registros o bancos de datos que no sean para un uso exclusivamente personal deberán registrarse conforme lo previsto en el artículo 21". (19) Heredero Higueras, Manuel. "La ley Orgánica 5/1992, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. Comentarios y Textos. Editorial Tecnos, Madrid, España, 1996, págs. 54 y 55. (20) Ley Orgánica 5/1992, derogada por la ley Orgánica 15/1999. (21) Lema Devesa, Carlos, “Protección de Datos y Publicidad”, Ponencia presentada en la XX Conferencia Internacional de Autoridades de Protección de Datos. Santiago de Compostela, España, 16-18 de Septiembre de 1998. (22) Salom, Jaiver Aparicio, "Estudio sobre la Ley Orgánica de Protección de Datos de Carácter Personal", Editorial Aranzadi. Pamplona, España, 2000, pág.95. (23) Del Peso Navarro, Emilio, "Ley de Protección de Datos. La Nueva LORTAD", Editorial Diaz de Santos. Madrid, España, 2000, pág. 18. (24) Correa, Carlos María y otros. op. cit., pág. 260. (25) Correa, Carlos María y otros. op. cit., pág. 258. (26) Del Peso Navarro, Emilio. op. cit, pág. 89. (27) El principal argumento utilizado por el Poder Ejecutivo para fundamentar el veto, fue la falta de previsión por parte de los redactores del proyecto de la forma en que se financiaría el funcionamiento de un organismo de control descentralizado. Ello porque, de acuerdo al Decreto, si se aceptara su creación, la mencionada omisión obligaría a incrementar las erogaciones del Estado Nacional no previstas en los Presupuestos Nacionales de los ejercicios 2000 y 2001. (28) Correa, Carlos María y otros. op. cit., pág. 254. (29) El cuarto párrafo del artículo 5 del Decreto 1558/2001 entiende por tales a las personas alcanzadas por la Ley Nº 21.526 y a las empresas emisoras de tarjetas de crédito, los fideicomisos financieros, las ex entidades financieras liquidadas por el Banco Central de la República Argentina y los sujetos que expresamente incluya la Autoridad de Aplicación de la mencionada Ley. (30) El quinto párrafo del artículo 5 del Decreto 1558/2001 aclara que no es necesario el consentimiento para la información que se describe en los incisos a), b), c) y d) del artículo 39 de la Ley Nº 21.526. (31) Cifuentes, Santos. "Derecho personalísimo a los datos personales". La ley, 1997-E-1330. (32) Convenio de Estrasburgo del 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. (33) Heredero Higueras, Manuel. op. cit., pág. 96. (34) "Siguiendo la opinión de Sagües se ha sostenido que "el habeas data tiene cinco objetivos principales: a) que una persona pueda acceder a la información que sobre ella conste en un registro o banco de datos; b) que se actualicen datos atrasados; c) que rectifiquen los datos inexactos; d) que se asegure la confidencialidad de cierta información legalmente obtenida para evitar su conocimiento por terceros, y e) supresión del requisito de la llamada "información sensible", tal como la referida a la vida íntima, ideas políticas, religiosas o gremiales". (CNCont. Adm., Sala 4º, 5/9/95, "Farrel Desmond A. c/ Banco Central", JA. 1995-IV-350, con nota de Sagües, Néstor; Palazzi, Pablo A.: "El hábeas data en la Constitución Nacional - La protección de la privacidad en la era de la información-", LL. 1995-IV-710; Ekmekdjian, Miguel Angel: "El hábeas data en la reforma constitucional", ED. 1995-E-946). (35) Suñé Llinás, Emilio. "Marco Jurídico del tratamiento de datos personales en la Unión Europea y España", en "XI Encuentros sobre Informática y Derecho" Instituto de Informática y Derecho. Facultad de Derecho ICADE. Universidad Pontificia Comillas. Editorial Aranzadi, Pamplona, España 1998, pág. 263. (36) Artículos 33 y siguientes. (37) Su texto es el siguiente: 1°. Será reprimido con la pena de prisión de un mes a dos años el que insertara o hiciera insertar a sabiendas datos falsos en un archivo de datos personales. 2°. La pena será de seis meses a tres años, al que proporcionara a un tercero a sabiendas información falsa contenida en un archivo de datos personales. 3°. La escala penal se aumentará en la mitad del mínimo y del máximo, cuando del hecho se derive perjuicio a alguna persona. 4°. Cuando el autor o responsable del ilícito sea funcionario público en ejercicio de sus funciones, se le aplicará la accesoria de inhabilitación para el desempeño de cargos públicos por el doble del tiempo que el de la condena. (38) Su texto es el siguiente: "Será reprimido con la pena de prisión de un mes a dos años el que: 1°. A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales; 2°. Revelare a otro información registrada en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de una ley. Cuando el autor sea funcionario público sufrirá, además, pena de inhabilitación especial de uno a cuatro años. (39) Alvarez-Cienfuegos Suarez, José María, op. cit., pág. 45. (40) Ver punto 4.i) Principio de Seguridad. (41) En este punto, entiendo que el reglamentador ha querido referirse a un mensaje de datos enviado utilizando el procedimiento de firma digital regulado por la Ley 25.506, sancionada el 14 de noviembre de 2001 y promulgada de hecho el 11 de diciembre de ese mismo año. (42) Salom, Jaiver Aparicio, op. cit., pág. 96.

«