Habeas Data – Datos Personales – Privacidad

Caso S. v Citibank s/habeas data

Posted: mayo 29th, 2006 | Author: | Filed under: Argentina, Casos, Habeas Data | Tags: | Comentarios desactivados

Cámara Nacional de Apelaciones en lo Comercial, this sala D, buy more about 22/11/2005, “S., C. c. Citibank N.A.”

Dictamen del Fiscal General de la Nación (ver fallo al final)

Excma. Cámara:

1. El juez de primera instancia hizo lugar parcialmente a la acción de hábeas data impetrada y condenó al Banco Citibank NA a conservar la confidencialidad de los datos del actor contenidos en sus registraciones y le prohibió ceder los mismos a terceros (fs. 63/8).

2. Apeló el actor. Expresó agravios a fs. 73/5.

Se agravió de que el a quo no hizo lugar a su pretensión consistente en acceder a sus datos personales que se hallan en poder de la entidad bancaria demandada. Alegó que el banco no contestó su solicitud efectuada el 28.12.04. Señaló que el responsable de los datos tiene el deber de brindar la información requerida en forma clara, amplia y dentro de los diez dí­as de conformidad con los arts. 14 y 15 de la ley n ° 25.326.

3. Apeló el Banco demandado. Expresó agravios a fs. 84/7.

Manifestó la falta de legitimación pasiva en tanto es una entidad financiera y no un titular de archivos destinado a dar informes a terceros. Agregó que la acción de hábeas data no es admisible en tanto que la cuestión litigiosa no se refiere a la existencia de información inexacta.

Sostuvo que la sentencia no se adecua a los hechos del caso dado que el banco siempre conservó la confidencialidad de los datos y no cedió a terceros datos relativos al actor.

Alegó que el folleto denominado “Promesa de Privacidad” no vulnera la ley n* ° 25.326. Con respecto a la cláusula tercera, adujo que la entidad no puede determinar concretamente las personas que serán autorizadas por el banco para acceder a la información de los clientes, pero se asegura que serán sujetos entrenados en el manejo de datos y que serán sancionados si no cumplen con la promesa de confidencialidad. Con respecto a la cláusula cuarta sostuvo que la ley autoriza a no recabar el consentimiento de los titulares con respecto a datos consistentes en el nombre, el documento de identidad, la identificación tributaria o previsional, la ocupación, la fecha de nacimiento y el domicilio. Con respecto a la cláusula quinta, agregó que sólo se proporciona información a empresas de reconocida reputación, las que no pueden retener la información, salvo con el consentimiento del titular. Finalmente, sostuvo que el plazo de 90 dí­as establecido en el mencionado folleto es el necesario para implementar la solicitud de exclusión.

3. En primer lugar, cabe considerar los agravios presentados por el actor.

El hábeas data es una acción constitucional especí­fica cuyo objeto es a) tomar conocimiento de los datos b) en los casos en que se presuma la falsedad, inexactitud, desactualización de la información de que se trata, o el tratamiento de datos cuyo registro se encuentra prohibido por la ley, para exigir su rectificación, supresión, confidencialidad o actualización…” (art. 33 ley 25.326).

Una de las pretensiones del actor consiste en “tomar conocimiento de los datos personales referidos a mi persona que se encuentren incluidos en sus archivos, registros, bases o bancos de datos, el origen de dichos datos, sus cedentes y/o cesionarios y la especificación de los concretos usos y finalidades para los que se almacenaron” (fs. 9). La petición del actor se funda en los arts. 14, 15 y 39 de la ley 25.326.

De las presentes actuaciones surge que el banco demandado se ha limitado a refutar que le haya negado al actor el acceso a sus datos personales y a informar que transfirió los mismos solamente al Banco Central de la República Argentina en cumplimiento de la normativa vigente. Sin embargo, ante la solicitud de información presentada por el actor ante la entidad bancaria (conf. fs. 3 y 5), ésta no ha probado haber cumplido su deber de informar de acuerdo a los arts. 14 y 15 de la citada ley. Más allá de haber alegado que los datos que tiene del actor son los que éste mismo proporcionó, la entidad no ha cumplido su deber consistente en proporcionar los datos concretos en el término de 10 dí­as y en forma clara, exenta de codificaciones y acompañada de una explicación susceptible de ser accesible al conocimiento medio de la población (conf. art. 15, inc. 1). Asimismo, dicha información debe ser amplia y versar sobre la totalidad del registro perteneciente al actor.

En conclusión, considero que la entidad no ha cumplido, ni judicial al contestar la demanda ni extrajudicialmente, con su deber de proporcionar ampliamente y en forma clara la información de los datos personales del actor que constan en sus bancos de datos de acuerdo a lo peticionado a fs. 9.

4. En segundo lugar, paso a examinar los agravios presentados por el banco demandado.

4.1 Con respecto a la falta de legitimación pasiva, cabe rechazar las defensas esgrimidas en tanto el art. 35 de la ley 25.326 enumera entre los legitimados pasivos a los “privados destinados a proveer informes”. Como el mismo apelante manifiesta, en su calidad de entidad financiera está obligado a proveer información al BCRA respecto de la calidad de deudores de sus clientes. Por otro lado, de los términos de la “Promesa de privacidad de Citigroup” (fs. 2) surge que la entidad provee informes sobre sus clientes a compañí­as “de reconocida reputación que se sometan a nuestros estándares de privacidad, a fin de que realicen ofertas de sus productos” (cláusula quinta) y a organizaciones que presten información crediticia y de riesgo (cláusula séptima).

En conclusión, la legitimación pasiva de la entidad bancaria surge de su actividad consistente en proveer datos no sólo al Banco Central sino también a distintas organizaciones privadas.

Por otro lado, el demandado sostuvo que la acción de hábeas data impetrada no resultaba la ví­a idónea en tanto que la cuestión litigiosa no giraba en torno a la inexactitud de datos. Como sostuve en el punto 3, la presente ví­a puede tener por objeto requerir la confidencialidad de los datos contenidas en las registraciones del demandado en los términos de los arts. 16 y 33, inc. b), de la ley 25.326. Por ello, corresponde rechazar el agravio planteado.

4.2 Finalmente, corresponde que me expida sobre si la “Promesa de privacidad del Citigroup” (fs. 2) cumple con los recaudos establecidos en la Ley de Protección de los Datos Personales.

En mi parecer, la polí­tica de privacidad ofrecida por el banco demandado al Sr. S. no observa los recaudos de la ley 25.326, en cuanto establece el uso de datos personales registrados en el banco para fines de marketing directo -”conf. cláusula quinta-” y pone a cargo de sus clientes la realización de un trámite adicional para evitar la cesión de sus datos. A igual conclusión llegué en un caso de ribetes similares “Unión de Usuarios y Consumidores c. Citibank s/sumarí­simo” (Expte. Cám. n° 49153/03), que se encuentra en estudio en la Cámara Nacional de Apelaciones en lo Comercial, Sala E.

Tales disposiciones no observan los principios de licitud y lealtad, y la exigencia del consentimiento para la cesión de datos personales a terceros exigidos por los arts. 5, 6 y 11 de la ley n* ° 25.326. El tratamiento de datos es lí­cito sólo cuando el titular hubiera prestado su consentimiento previo, expreso e informado, salvo las excepciones legales. En el caso, la modalidad adoptada subvierte la regla, exigiendo al usuario un trámite adicional para evitar la transferencia de datos, cuya omisión se considera consentimiento, lo que está expresamente vedado por las normas citadas.

Asimismo, vulnera el principio de finalidad, consagrado por el art. 4.3 de la citada ley. Los datos no pueden ser usados para fines distintos o incompatibles con aquellos que motivaron su obtención. La legitimidad del fin para el cual el responsable de la base de datos los ha obtenido, es lo que otorga justificación al uso de datos personales de terceros y establece un lí­mite a su utilización (v. Gozaí­ni, Osvaldo A., “Hábeas Data, Protección de Datos Personales”, Ed. Rubinzal-Culzoni Editores, pág. 55; Grimalt Servera, Pedro, “La Responsabilidad Civil en el Tratamiento Automatizado de Datos Personales”, Ed. Comares, 1999, pág. 193; Murillo, Pablo L., “El Derecho a la Autodeterminación Informativa”, Ed. Tecnos, España, 1990, pág. 142; Alvarez-Cienfuegos Suarez, José M., “La Defensa de la intimidad de los Ciudadanos y la Tecnologí­a Informática”, Ed. Aranzadi, España, 1999, pág. 31; Carranza Torres, Luis R., “Hábeas Data, La Protección Jurí­dica de los Datos Personales”, 2001, pág. 61 y 62; Gils Carbó, Alejandra M., “Régimen Legal de las Bases de Datos y Hábeas Data”, Ed. La Ley, 2001, pág. 73 y 74).

En el caso, es claro que la finalidad o propósito predeterminado, en virtud del cual los clientes del banco autorizaron el uso de sus datos personales, es el ámbito de la relación contractual bancaria (artí­culo 5 d), ley n ° 25.326). Su utilización para un fin diverso, como lo es la cesión a terceros con fines de marketing directo es ajeno a la finalidad de su recolección y requiere el consentimiento previo, expreso, inequí­voco e informado del cliente (arts. 5, 6 y 11, ley n* ° 25.326).

Por ultimo, la denominada “Promesa de Privacidad” no observa las reglas especí­ficas dispuestas por la ley 25.326 para el tratamiento de datos para marketing directo.

El art. 27 establece que se podrán tratar datos que sean aptos para establecer perfiles promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo, cuando éstos figuren en documentos accesibles al público o hayan sido facilitados por los propios titulares y obtenidos con su consentimiento. En el caso, la violación consiste en que los datos personales fueron suministrados por los clientes al banco con un fin que no es el marketing directo -”como se vio-” sino su relación contractual. Para cederlos con otro propósito, debe obtener su consentimiento, porque de otro modo se transgrede el principio de finalidad.

En tal sentido, dice Pablo Palazzi que “La ley argentina adoptó el principio general conocido como “opt in” por el cual el titular de los datos debe dar su consentimiento para que el tratamiento de los datos sea legí­timo, esto es, para que sus datos ingresen en la base de datos en forma legal. La ley requiere un consentimiento expreso, el que deberá constar por escrito (o medios similares).” (en “La Protección de los Datos Personales en la Argentina”, Ed. Errepar; pág. 42).

Este consentimiento, destaca el autor, no puede ser inferido ni por el mero transcurso del tiempo ni por el silencio del titular de los datos. Se requiere, por lo tanto, de alguna aserción o acción positiva. Cita un precedente en el derecho comparado, British Gas Trading c. Data Protection Registrar, en el cual un tribunal inglés resolvió que no resultaba suficiente para cumplir la exigencia legal del consentimiento, la modalidad de enviar un folleto dando la oportunidad al usuario, de objetar el procesamiento de sus datos personales más allá de los fines relativos a la provisión del servicio público de gas (por ejemplo, con fines de marketing) y luego, proceder a realizarlo si no se formulaba reclamo alguno (pág. 42).

En el mencionado caso, la empresa prestadora del servicio público de gas, habí­a informado a los clientes que iban a ser transferidos sus datos personales con propósitos de marketing directo, salvo que hicieran su reclamo manifestando su opinión. Dijo el tribunal que, en esas circunstancias, la mera oportunidad de “opt out” no era suficiente para satisfacer el requisito de lealtad y licitud en el tratamiento de la información.

Nuestra ley 25.326 sigue los lineamientos de la Directiva 95/46/CE del Parlamento Europeo y del Consejo (UE), motivo por el cual la Comisión de las Comunidades Europeas consideró que la República Argentina garantiza un nivel adecuado de protección legal para la transferencia de datos personales desde la Comunidad (decisión del 30-6-2003 disponible en el sitio web). Desde ese punto de vista, y considerando que nuestra legislación de protección de datos sigue los mismos lineamentos que la de España e Italia, cabe tener presente que la Agencia Española de Protección de Datos sancionó a una filial del Grupo Gas Natural por usar datos de la empresa matriz, mediante la modalidad de enviar a sus clientes una carta personalizada en la que se les informaba que, en el caso de que no manifestaran su oposición, se cederí­an los datos a otras empresas (en copia).

Asimismo, en Italia, la doctrina sostiene que el consentimiento del titular de los datos, no puede ser tácitamente manifestado ni inferido de comportamientos concluyentes, por lo cual ninguna incidencia tiene el silencio, ni la inercia del interesado o la tolerancia de un tratamiento de los propios datos, que no pueden ser considerados equivalentes al consentimiento (v. Paola Manes, “Il consenso al trattamento del dati personali” Ed. Cedam, Italia, 2001, pág. 98).

En conclusión, considero que la “Promesa de Privacidad” vulnera la ley n ° 25.326. La defensa esgrimida por el banco demandado basada en el art. 5, inc. c), es improcedente en tanto que de los términos de la mencionada promesa de privacidad no surge que ésta se limite a datos concernientes al nombre, documento de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio. Por otro lado, la cesión de esos datos importarí­a ceder implí­citamente un dato que excede los previstos en el art. 5, inc. c, esto es, que el titular de los datos es cliente del banco.

La misma suerte debe seguir la defensa relativa a la reputación de las empresas cesionarias en tanto que ello es irrelevante a los efectos de la ley 25.326, que tiende a proteger la intimidad y el honor de los titulares de datos independientemente de la reputación del usuario.

Por lo expuesto, considero que el banco demandado debe mantener la confidencialidad de los datos relativos al actor, salvo los datos requeridos por el Banco Central de la República Argentina en virtud de la normativa aplicable.

7. Por tales consideraciones, opino que debe rechazarse el recurso de apelación interpuesto y confirmarse la sentencia apelada.

Octubre 14 de 2005. Alejandra Gils Carbó.

2ª Instancia. – Buenos Aires, noviembre 22 de 2005.

1. a) La parte actora promovió acción de hábeas data a efectos de: (i) tomar conocimiento de los datos personales referidos a su persona que se encuentren incluidos en sus archivos, registros, bases o bancos de datos, el origen de dichos datos, sus cedentes y/o cesionarios, y la especificación de los concretos usos y finalidades para los que se almacenaron, y (ii) solicitar que se ordene al demandado a conservar en confidencialidad sus datos personales habida cuenta del tratamiento de datos prohibido efectuado.

b) El Citibank NA, contestó la demanda en fs. 31/8; solicitó el rechazo de la pretensión.

c) El a quo dictó sentencia en fs. 63/8, haciendo lugar a la demanda deducida por el accionante, ordenando resguardar y conservar la confidencialidad de los datos que, respecto del actor, pudiere mantener en sus registros, que no podrán ser cedidos a terceros, salvo por imperativo legal, sin el previo consentimiento del demandante.

Ordenó de conformidad con lo normado por la Ley 25.326, remitir copia de la decisión a la Dirección Nacional de Protección de datos personales del Ministerio de Justicia, Seguridad y Derechos Humanos de la Nación.

2. a) Se agravia la parte actora en cuanto no se hizo lugar a su pretensión dirigida a acceder a sus datos personales que se hallan en poder de la entidad bancaria.

Sostuvo, en lo que aquí­ interesa referir que el Banco demandado recibió el pedido de acceso y nunca lo contestó.

Alegó que la ley 25.326 exige que ante un pedido de acceso, el responsable de la base de datos debe brindar la información en forma clara, amplia y dentro del plazo estipulado en dicha normativa.

b) Se agravió el demandado en cuanto el magistrado a quo rechazó la defensa de falta de legitimación pasiva oportunamente opuesta, sosteniendo que dicha entidad no es una empresa destinada a proveer información, sino una entidad bancaria y es a raí­z de la actividad que despliega que está obligada a remitir al BCRA, cierta información que éste, como órgano de contralor, le requiere respecto de los deudores morosos del banco.

Sostuvo que al actor en ningún momento le fue negado por Citibank el acceso a sus datos personales obrantes en poder del banco. Los datos fueron los informados por el propio actor al momento de contratar, por lo cual la insistencia del accionante por conocer el origen de los mismos, enunciada en la demanda y desestimada por el a quo, constituye una circunstancia que evidencia la improcedencia de la acción deducida.

Añadió en lo que respecta a la redacción de la cláusula 3ra del folleto, el hecho de no mencionarse especí­ficamente allí­ quienes serí­an tales personas autorizadas no reviste ninguna relevancia por resultar materialmente imposible detallar los nombres y apellidos de la totalidad del personal, no obstante lo cual, se puso particular énfasis en el entrenamiento que aquellos deberí­an tener y en la advertencia para quienes no cumplan con lo estipulado.

Manifestó en cuanto a la redacción de la cláusula 4ta, que la ley 25.326 establece que no será necesario el consentimiento del titular de los datos cuando se trate de listados cuyos datos se limiten a: nombre, DNI, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio.

Asimismo y en lo que respecta a la cláusula quinta, adujo que sólo se proporciona información a empresas de reconocida reputación y no tienen permitido retener la información proporcionada, salvo consentimiento expreso de los clientes.

Concluyó que los datos personales de sus clientes son mantenidos en estricta confidencialidad y son comunicados únicamente al BCRA, por disposición de la ley.

3. Los fundamentos vertidos en el dictamen de la Señora Fiscal de Cámara que precede a este decreto, que esta Sala comparte y que por evidentes razones de economí­a procesal y celeridad hace suyos aquí­, son suficientes para confirmar la decisión impugnada.

Sólo añádese que resulta procedente deducir acción de hábeas data que tenga por finalidad tomar conocimiento de los datos personales almacenados en archivos, registros o bancos de datos públicos o privados destinados a proporcionar informes (Ley 25.326:33) siempre que como en el caso de autos, haya mediado pedido en los términos del artí­culo 14 y no se haya recibido respuesta conforme lo prevé el artí­culo 15 de la citada normativa. La información cual deberá ser suministrada en forma clara, exenta de codificaciones y en su caso, acompañada de explicación, en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen.

Por lo demás y referido a los agravios sostenidos por el demandado dirigidos a su falta de legitimación pasiva, destácase que si bien su finalidad no es la de proveer informes, distintas circulares del BCRA establecen que tales entidades deben suministrar determinada información, todo lo cual frente a la amplitud del carácter tuitivo con que la ley faculta demandar y en función de lo previsto por la ley 25.326:22 y 33, determina el rechazo de la defensa articulada.

4. Por lo expuesto, confí­rmase la sentencia apelada en cuanto (I) ordena resguardar y conservar la confidencialidad de los autos que, respecto del autor, pudiere mantener en sus registros, que no podrán ser cedidos a terceros, salvo por imperativo legal, sin el previo consentimiento del demandante y (II) dispónese que la demandada deberá dar acceso completo e integral a la totalidad de los datos personales referidos a la persona del demandado en los términos y con los alcances previstos por la ley 25.326:14. Con costas a cargo de la apelante perdidosa.

5. En consecuencia, han de ponderarse como elementos coadyuvantes de la estimativa de honorarios, la naturaleza jurí­dica, moral y económica del asunto en la cuestión planteada y las etapas procesales efectivamente cumplidas.

Confí­rmase los honorarios regulados en fs. 67vta en $1200 para el letrado patrocinante del demandante Drs. G. D. T..

6. Comuní­quese al organismo de contralor lo aquí­ decidido (Ley 25.326:43).

Notifí­quese a la señora Fiscal de Cámara en su despacho y, oportunamente, devuélvase sin más trámite, confiándose al magistrado de primera instancia proveer las diligencias ulteriores (cpr 36:1* °) y las notificaciones pertinentes.

Actúan los suscriptos de conformidad con lo dispuesto por las Resoluciones 177/04, 238/05 y 359/05 del Consejo de la Magistratura y Acuerdos del 15.12.04, 29.6.05 y 12.9.05 de esta Cámara.  Marí­a L. Gómez Alonso de Dí­az Cordero. Felipe M. Cuartero. Miguel F. Bargalló.


Comments are closed.