PDP ¦ Protección de Datos Personales

Antes que fuera promulgada la Ley de Protección de los Datos Personales en el mes de noviembre pasado, nada obligaba a los Web sites argentinos a tratar en forma adecuada los datos personales de sus usuarios. La generalizada costumbre de incluir a pie de página una mención a la "Política de Privacidad" con un enlace a un página que detallaba sus lineamientos era totalmente voluntaria y sus promesas normalmente incumplidas. Además, en la mayoría de los casos, su contenido copiaba textualmente modelos extraídos de Web sites extranjeros con mención de normas ajenas a nuestro sistema jurídico y por ende, de difícil exigibilidad. Con la sanción de la Ley 25.326 (vetada parcialmente por el Decreto 995) comienza una nueva etapa para los emprendimientos que basan buena parte de su negocio en la interacción con los usuarios y el manejo de datos personales. Ya no basta con publicar la política relativa a la protección de los datos personales de los usuarios. Ahora hay que cumplirla de acuerdo a lo que exige la nueva Ley.

La Ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, públicos o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre. Como se ve, el derecho que se trata de proteger no es sólo el de la intimidad, sino algo con mayor profundidad que en el derecho anglosajón se denomina "privacy" y que se ha castellanizado como "privacidad". Lo que se busca es proteger aspectos de la personalidad que individualmente no tienen mayor trascendencia pero que, al unirse con otros, pueden configurar un perfil determinado de las personas. Ante dicha posibilidad surge el derecho de sus titulares a exigir que los datos permanezcan en el ámbito de su privacidad.

Salvo que medien razones de interés general autorizadas por Ley, ninguna persona puede ser obligada a proporcionar datos personales que revelen su origen racial y étnico, sus opiniones políticas, sus convicciones religiosas, filosóficas o morales, su afiliación sindical e información referente a su salud o vida sexual. Es más, la formación de archivos, bancos o registros que almacenen datos que revelen ese tipo de información -denominada sensible- queda prohibida. La Ley establece que los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido. Además, no pueden ser utilizados para fines distintos o incompatibles con los que motivaron su obtención. Cuando no sean exactos, deben actualizarse, suprimirse o sustituirse y si han dejado de ser necesarios o pertinentes a los fines para los cuales fueron recolectados, deben ser destruidos. En cuanto a los datos relativos a la salud, los datos de los pacientes sólo pueden ser recolectados por los establecimientos sanitarios y los profesionales médicos responsables de su tratamiento, siempre y cuando se respeten los principios del secreto profesional.

Como norma general, pueden tratarse datos personales de los usuarios cuando hubieren prestado, por escrito o medio equiparable, su consentimiento libre, expreso e informado. No será necesario el consentimiento cuando los datos se obtengan de fuentes de acceso público irrestricto (como las guias telefónicas), se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal, se deriven de una relación contractual, científica o profesional con el titular de los datos y resulten necesarios para su desarrollo o cumplimiento, o se trate de listados cuyos datos se limiten a registrar el nombre, DNI, CUIT o CUIL, ocupación, fecha de nacimiento y domicilio. Lo que no está del todo claro es si puede entenderse que un usuario, luego de leer la ya famosa "Política de Privacidad", presta su consentimiento por el sólo hecho de pulsar el botón de aceptación que al efecto se coloque en el Web site, o si será necesario que además de la aceptación virtual envie por otro medio un documento de aceptación que contenga su firma manuscrita. El acto de pulsar el botón para consentir o aceptar algo en la web se ha convertido en una costumbre entre los internautas. Es por ello que debería aceptarse la validez de esa forma de prestar el consentimiento y establecerse niveles más rigurosos de aceptación para casos en los que estén en juego las clases de datos personales especialmente protegidos por la ley.

Más allá de lo que pueda decir el apartado dedicado a la Política de Privacidad, cada vez que un usuario deba completar un formulario en el que se le soliciten datos referidos a su persona, además de obtener su consentimiento se le debe informar claramente cuál es la finalidad para la que serán tratados; quiénes pueden ser sus destinatarios; la existencia del archivo, registro o banco de datos; la identidad y domicilio de su responsable; el carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga; las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos y la posibilidad de conocer, modificar o incluso cancelar los registros referentes a su persona en forma gratuita.

Todo archivo, registro, base o banco de datos deberá inscribirse en el Registro que al efecto habilite el organismo que sea designado como autoridad de control. Sólo así la formación de archivos de datos será lícita. Además la ley exige que se adopten medidas técnicas y organizativas que garanticen la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta, tratamiento no autorizado y que permitan detectar desviaciones de información. Los datos personales objeto de tratamiento sólo pueden ser cedidos a terceros para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo. Es por ello que todo Web site debe diseñar un sistema claro y efectivo que permita a los usuarios decidir si aceptan, o no, que sus datos personales sean ingresados, por ejemplo, en bases de datos para campañas de marketing, promoción y publicidad.

Las empresas que realizan tareas de marketing, promoción y publicidad podrán tratar datos que sean aptos para establecer perfiles determinados con fines promocionales, comerciales o publicitarios, o permitan establecer hábitos de consumo, siempre y cuando dichos datos figuren en documentos accesibles al público o hayan sido facilitados por los propios titulares u obtenidos con su consentimiento.

Las cookies constituyen una potente herramienta utilizada por la gran mayoría de los Web sites y consisten en pequeños archivos de datos de texto que el servidor entrega al programa navegador que lo visita para que lo guarde en el disco rígido de esa computadora con el fin de recolectar información acerca de lo que el usuario ha estado haciendo por sus páginas. Si el Web site utiliza cookies, debe explicarse claramente qué son, qué tipo de información recopilan, cuás es su objeto y cómo pueden desactivarse. De esta manera los usuarios tendrán la libertad de elegir si prefieren la navegación sin cookies, de decidir si desean arriesgar una porción de su intimidad a cambio de una navegación más personalizada, o si aceptan la intromisión luego de comprobar que quienes las utilizan se ajustan a los límites impuestos por la ley.