Habeas Data – Datos Personales – Privacidad

Analisis adecuación de ley Argentina a Directiva Europea

Posted: junio 27th, 2006 | Author: | Filed under: Documento, Unión Europea | No Comments »

Unión Europea. Grupo de Trabajo del art. 29 de Protección de las Personas en lo que respecta al Tratamiento de Datos Personales. Dictamen 4/2002 sobre el nivel de protección de datos personales en Argentina.

Adoptado el 3 de octubre de 2002.

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sickness de 24 de octubre de 1995, relativa a la protección de las personas fí­sicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1) , y, en particular, su artí­culo 29 y la letra b del apartado 1 de su artí­culo 30,

Visto su Reglamento interno (2), y, en particular, sus artí­culos 12 y 14,

Considerando lo siguiente:

(1) El Gobierno de la República Argentina solicitó (3) a la Comisión que determinara si Argentina garantiza un nivel de protección adecuado con arreglo a lo dispuesto en el artí­culo 25 de la Directiva.

(2) La Comisión Europea solicitó el dictamen del Grupo de Trabajo al respecto.

HA ADOPTADO EL PRESENTE DICTAMEN:

1. INTRODUCCION: LEGISLACION ARGENTINA SOBRE PROTECCION DE DATOS

La legislación argentina regula la protección de datos personales mediante diversos instrumentos jurí­dicos, que pueden clasificarse en normas generales y sectoriales.

1.1. Normas generales

Las normas generales resultan de combinar la Constitución, la “Ley 25.326 sobre protección de datos personales”:http://www.habeasdata.org/ley25326 y el “Decreto Reglamentario nº 1558/2001″:http://www.habeasdata.org/reglamentacion que, juntos, conforman el régimen jurí­dico común aplicable a la protección de datos personales.

Constitución argentina

La Constitución argentina prevé un recurso judicial especial, denominado * «habeas data* », para proteger los datos personales. Se trata de un subtipo del procedimiento contemplado en la Constitución para proteger los derechos constitucionales y, por tanto, eleva la protección de datos personales a la categorí­a de derecho fundamental. En particular, el tercer párrafo del artí­culo 43 de la Constitución argentina establece que * «toda persona podrá interponer esta acción (es decir, el habeas data) para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las fuentes de información periodí­stica* ».

La jurisprudencia argentina ha reconocido el habeas data como un derecho fundamental y directamente aplicable.

Ley sobre protección de datos personales, de 4 de octubre de 2000 (Ley 25 326, en adelante denominada * «la Ley* »)

La Ley desarrolla y amplí­a lo dispuesto en la Constitución. Contiene disposiciones sobre los principios generales de protección de datos, los derechos de los titulares de datos, las obligaciones de responsables y usuarios de datos, el órgano de control, las sanciones y el procedimiento del recurso judicial habeas data.

Decreto Reglamentario nº 1558/2001, de 3 de diciembre de 2001 (en adelante denominado * «el Reglamento* »)

Este Reglamento establece las normas de aplicación de la Ley, completa lo dispuesto en ella y clarifica aspectos de la Ley que podrí­an interpretarse de manera divergente.

Estos tres instrumentos jurí­dicos constituyen las normas generales de la legislación argentina en materia de protección de datos (en adelante, * «la legislación argentina* »).

ímbito de aplicación de la legislación argentina

El Grupo de Trabajo evaluó la adecuación del nivel de protección de datos personales proporcionado en conjunto por la Constitución argentina, la Ley 25 326 y el Decreto Reglamentario nº 1588/2001. Por tanto, el presente dictamen se limita al ámbito de las citadas normas y no es aplicable a situaciones no cubiertas por dichos instrumentos jurí­dicos. El Grupo de Trabajo ha tenido especialmente en cuenta las explicaciones y garantí­as proporcionadas por las autoridades argentinas sobre la forma en que debe interpretarse lo dispuesto en la Constitución, la Ley y el Reglamento y sobre las situaciones a las que se aplica la legislación argentina de protección de datos.

ímbito de aplicación material

El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto, según las cuales la legislación argentina de protección de datos cubre las situaciones siguientes:

i. En relación al responsable de la base de datos

La legislación argentina cubre la protección de:

1) Los datos personales asentados en archivos, registros, bancos de datos u otros medios técnicos públicos. El Grupo de Trabajo interpreta que el responsable de la base de datos es una institución u organismo público. Dicha interpretación se deduce claramente del artí­culo 43 de la Constitución y del artí­culo 1 de la Ley;

2) Los datos personales asentados en archivos, registros, bancos de datos u otros medios técnicos privados

a) si los archivos, registros o bancos de datos exceden el uso exclusivamente personal. El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto, según las cuales todo uso que pueda afectar a los derechos del titular de los datos debe considerarse que excede el uso exclusivamente personal;

o

b) incluso si los archivos, registros o bancos de datos no exceden el uso exclusivamente personal, si tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a tí­tulo oneroso o gratuito.

El Grupo de Trabajo interpreta que a) y b) se refieren a situaciones en las que el responsable de la base de datos es una entidad privada, sea persona fí­sica o jurí­dica.

En cuanto a los archivos de datos privados, el Grupo de Trabajo observa que tanto el tercer párrafo del artí­culo 43 de la Constitución como el artí­culo 1 de la Ley se refieren a * «archivos, registros, bancos de datos u otros medios técnicos privados, destinados a dar informes* ». La misma redacción aparece en otras disposiciones de la citada Ley, como los artí­culos 14 (derecho de acceso), 21 (obligación de inscribirse en el Registro), 29 (atribuciones del órgano de control), 33 y 35 (requisitos del recurso judicial habeas data) y 46 (disposiciones transitorias). No obstante, la interpretación amplia antes indicada se desprende de varios argumentos expuestos por las autoridades argentinas:

-El artí­culo 1 del Reglamento proporciona una interpretación jurí­dica de la Ley. En particular, define jurí­dicamente el concepto de * «archivos, registros, bases o bancos de datos privados destinados a dar informes* » como * «aquellos que exceden el uso exclusivamente personal y los que tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a tí­tulo oneroso o gratuito* ».

-El artí­culo 24 de la Ley dispone que * «los particulares que formen archivos, registros o bancos de datos que no sean para un uso exclusivamente personal deberán registrarse conforme lo previsto en el artí­culo 21* ». El artí­culo 21 de la Ley obliga a inscribir en el Registro las bases de datos privadas destinadas a proporcionar informes. El artí­culo 24 no tendrí­a sentido si la Ley sólo se aplicara a las bases de datos destinadas a proporcionar informes. Estos dos artí­culos confirman el paralelismo de las expresiones * «bases de datos destinadas a proporcionar informes* » y * «bases de datos [-¦] que no sean para un uso exclusivamente personal* », como establece la definición jurí­dica del artí­culo 1 del Reglamento (véase el primer argumento citado anteriormente).

-Por otra parte, cabe mencionar que tanto la Ley como el Reglamento contienen normas sobre tratamiento de datos relativos a la salud (artí­culo 8 de la Ley) o publicidad directa (artí­culos 27 de la Ley y el Reglamento), según las cuales dichas bases de datos, aunque exceden el uso exclusivamente personal, no pueden estar destinadas a proporcionar informes. Una vez más, estas normas serí­an superfluas si la Ley sólo fuera aplicable a las bases de datos destinadas a proporcionar informes.

Según las autoridades argentinas, los tribunales de dicho paí­s han seguido la interpretación amplia mencionada anteriormente (4).

ii. En relación al titular de los datos.

En relación con el tratamiento de datos personales, la legislación argentina protege tanto a las personas fí­sicas como a las personas jurí­dicas. El artí­culo 2 de la Ley define * «titular de los datos* » como * «toda persona fí­sica o persona de existencia ideal con domicilio legal o delegaciones o sucursales en el paí­s, cuyos datos sean objeto del tratamiento al que se refiere la presente ley* », y el artí­culo 1 de la Ley establece que * «las disposiciones de la presente ley también serán aplicables, en cuanto resulte pertinente, a los datos relativos a personas de existencia ideal* ». El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto, según las cuales el requisito de disponer de domicilio legal, delegaciones o sucursales en Argentina sólo es aplicable a las personas jurí­dicas titulares de datos y no a las personas fí­sicas. Por tanto, todas las personas fí­sicas son titulares de datos y están protegidas por la legislación argentina.

iii. En relación al método de tratamiento

La legislación argentina abarca la protección de datos personales tanto si su tratamiento es manual como automático. En particular, el artí­culo 2 de la Ley define * «tratamiento de datos* » como * «operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y, en general, el procesamiento de datos personales, así­ como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias* ».

iv. En relación a la finalidad de las operaciones de tratamiento

El Grupo de Trabajo observa que la legislación argentina tiene al respecto un ámbito de aplicación general. Ya que ninguna norma define la finalidad de las bases de datos sujetas a la legislación, el Grupo de Trabajo interpreta que ésta se aplica en principio a todos los archivos, registros y bancos de datos sea cual sea su finalidad, salvo si se dispone lo contrario. Sin embargo, el Grupo de Trabajo señala los siguientes aspectos:

-“ Tratamiento de datos con fines de defensa nacional, seguridad pública o represión de delitos.

Estas operaciones están sujetas a la Ley. En dichos supuestos se aplican las normas generales de la Ley y el Reglamento, sin perjuicio de lo dispuesto expresamente en el artí­culo 23 de la Ley como lex specialis, que confirma el principio de limitación de la finalidad.

-“ Tratamiento de datos con fines periodí­sticos.

El párrafo 3 del artí­culo 43 de la Constitución dispone que * «no podrá afectarse el secreto de las fuentes de información periodí­stica* ». En la misma lí­nea, el artí­culo 1 de la Ley afirma que * «en ningún caso se podrán afectar la base de datos ni las fuentes de información periodí­sticas* ».

El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto, según las cuales esta norma tiene como objetivo proteger el secreto de las fuentes de información periodí­stica como condición necesaria para salvaguardar el derecho fundamental de libertad de prensa, que constituye un pilar importante de un Estado democrático. En este sentido, debe protegerse la identidad de la fuente de información periodí­stica, por ejemplo, contra un titular de datos que solicitara acceder a sus datos personales, ya que podrí­an contener información sobre la fuente de los mismos (según el artí­culo 14 del Reglamento). Por otra parte, la rectificación de datos incorrectos publicados por los medios de comunicación debe seguir las normas del derecho a obtener rectificación asociado a la libertad de prensa.

El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto, según las cuales dicha excepción debe aplicarse de manera restrictiva y no es aplicable a las bases de datos personales sin finalidad periodí­stica aunque su responsable ejerza una actividad periodí­stica (por ejemplo, a la base de datos de recursos humanos de un periódico).

-“ Tratamiento de datos con finalidad estadí­stica

El artí­culo 28 de la Ley dispone lo siguiente:

* «1. Las normas de la presente ley no se aplicarán a las encuestas de opinión, mediciones y estadí­sticas relevadas conforme a Ley 17.622, trabajos de prospección de mercados, investigaciones cientí­ficas o médicas y actividades análogas, en la medida en que los datos recogidos no puedan atribuirse a una persona determinada o determinable.

2. Si en el proceso de recolección de datos no resultara posible mantener el anonimato, se deberá utilizar una técnica de disociación, de modo que no permita identificar a persona alguna* ».

El Grupo de Trabajo señala que no se trata tanto de una excepción al ámbito general de la legislación como de la aplicación del principio de protección de los datos personales, definidos en el artí­culo 2 de la Ley como * «información de cualquier tipo referida a personas fí­sicas o de existencia ideal determinadas o determinables* ». Por tanto, el Grupo de Trabajo interpreta que, cuando los titulares de datos son personas fí­sicas o jurí­dicas determinadas o determinables, la legislación es aplicable plenamente y que ello justifica lo dispuesto en el artí­culo 28 del Reglamento que afirma que * «los archivos, registros, bases o bancos de datos mencionados en el Art. 28 de la Ley n* ° 25.326 son responsables y pasibles de las multas previstas en el Art. 31 de la ley citada cuando infrinjan sus disposiciones* ».

ímbito territorial

Este aspecto se regula en el artí­culo 44 de la Ley, según el cual puede establecerse la distinción siguiente:

I. Normas de la Ley aplicables uniformemente en todo el territorio nacional:

-Capí­tulo I: Disposiciones generales

-Capí­tulo II: Principios generales relativos a la protección de datos

-Capí­tulo III: Derechos de los titulares de datos

-Capí­tulo IV: (Obligaciones de los) usuarios y responsables de archivos, registros y bancos de datos

-Artí­culo 32: Sanciones penales

-La existencia y caracterí­sticas principales del recurso judicial habeas data (tal como se establece en la Constitución)

II. Normas de la Ley no aplicables uniformemente en todo el territorio nacional:

-Capí­tulo V: Órgano de control

-Capí­tulo VI: Sanciones (que puede imponer el órgano de control)

-Capí­tulo VII: Acción de protección de los datos personales (habeas data): Procedimiento aplicable

El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto, según las cuales en este ámbito son aplicables las normas siguientes:

-“ En cuanto a los archivos, registros y bases de datos interconectados en red a nivel interjurisdiccional (es decir, interprovincial), nacional o internacional: Se considera que estos casos competen a la jurisdicción federal y, por tanto, están sujetos a lo dispuesto en la Ley.

-“ En cuanto a otros tipos archivos, registros y bases de datos: Debe considerarse que dichos casos competen a la jurisdicción provincial y las provincias pueden legislar al respecto. Hasta la fecha, algunas provincias han legislado sobre el procedimiento del recurso habeas data.

1.2. Normas sectoriales

Se incluyen normas sobre protección de datos en diferentes instrumentos jurí­dicos que regulan diversos sectores, como por ejemplo las transacciones con tarjeta de crédito, las estadí­sticas, la banca o la salud.

2. EVALUACIÓN DEL CARíCTER APROPIADO DE LA PROTECCIÓN DE LOS DATOS PERSONALES EN LA LEGISLACIÓN ARGENTINA

El Grupo de Trabajo puntualiza que la presente evaluación del carácter apropiado de la legislación argentina sobre protección de datos se centra en las normas generales relativas a dicho ámbito mencionadas en el apartado precedente.

Se han comparado dichas normas con las disposiciones principales de la Directiva, teniendo en cuenta el dictamen del Grupo de Trabajo sobre * «Transferencias de datos personales a terceros paí­ses: aplicación de los artí­culos 25 y 26 de la Directiva sobre protección de datos de la UE* » (5) , que enumera diversos principios que constituyen * «un -núcleo- de principios de -contenido- de protección de datos y de requisitos -de procedimiento/de aplicación-, cuyo cumplimiento pudiera considerarse un requisito mí­nimo para juzgar adecuada la protección* ». El resultado del análisis es el siguiente:

2.1. Principios de contenido

Principios básicos

-Principio de limitación de objetivos – los datos deben tratarse con un objetivo especí­fico y posteriormente utilizarse o transferirse únicamente en cuanto ello no sea incompatible con el objetivo de la transferencia. Las únicas excepciones a esta norma serí­an las necesarias en una sociedad democrática por alguna de las razones contempladas en el artí­culo 13 de la Directiva.

El Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio. En particular, el apartado 3 del artí­culo 4 de la Ley establece que * «los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención* ».

-Principio de proporcionalidad y de calidad de los datos – los datos deben ser exactos y, cuando sea necesario, estar actualizados. Los datos deben ser adecuados, pertinentes y no excesivos con relación al objetivo para el que se transfieren o para el que se tratan posteriormente.

El Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio. En particular, los apartados 4 y 5 del artí­culo 4 de la Ley establece que * «los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario. Los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y sustituidos, o en su caso completados, por el responsable del archivo o base de datos cuando se tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate, sin perjuicio de los derechos del titular establecidos en el art. 16 de la presente ley* ». Asimismo, el apartado 1 del artí­culo 4 de la Ley dispone que * «los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos con relación al ámbito y finalidad para los que se hubieren obtenido* ».

-Principio de transparencia – debe informarse a los interesados acerca del objetivo del tratamiento y de la identidad del responsable del tratamiento en el tercer paí­s, y de cualquier otro elemento necesario para garantizar un trato leal. Las únicas excepciones permitidas deben corresponder al apartado 2 del artí­culo 11 y al artí­culo 13 de la Directiva.

El Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio. En particular, el artí­culo 6 de la Ley establece lo siguiente:

* «Cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa y clara:

a) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios.

b) La existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo de que se trate, y la identidad y domicilio de su responsable.

c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos referidos en el artí­culo siguiente.

d) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos.

e) La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos* ».

El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto, según las cuales debe distinguirse entre la fuente de legitimidad del tratamiento y la obligación de informar al titular de los datos.

Por una parte, el tratamiento puede estar basado en diversos motivos lí­citos, que están especificados en el artí­culo 5. Estos motivos incluyen, entre otros, el consentimiento del titular de los datos, la existencia de una fuente de acceso público, el ejercicio de tareas de interés público, una obligación legal o una relación contractual. Del artí­culo 5 del Reglamento se desprende que si el tratamiento se realiza con el consentimiento del titular, dicho consentimiento debe ser informado, lo que implica que previamente debe haberse facilitado al titular toda la información mencionada en el artí­culo 6.

Por otra parte, el artí­culo 6 de la Ley establece que * «cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa y clara (sigue una relación de cuestiones relativas al tratamiento)* ». Aunque la redacción de dicho artí­culo podrí­a hacer pensar que la obligación de informar al titular de los datos se refiere a los casos en los que el titular facilita los datos por sí­ mismo y con su consentimiento, las autoridades argentinas señalan que dicha obligación es absoluta, incondicional y no depende del motivo que legitima el tratamiento. La obligación de informar es aplicable siempre, independientemente de si los datos personales se solicitan al titular o a un tercero y de si el tratamiento se realiza en virtud del consentimiento del titular o de cualquier otro motivo lí­cito incluido en el artí­culo 5 de la Ley. Por tanto, aunque el tratamiento se realice sin el consentimiento del titular, sigue siendo aplicable la obligación de informarle con arreglo al artí­culo 6 de la Ley.

-Principio de seguridad – el responsable del tratamiento debe adoptar medidas técnicas y organizativas adecuadas a los riesgos que presenta el tratamiento. Toda persona que actúe bajo la autoridad del responsable del tratamiento, incluido el encargado del tratamiento, no debe tratar los datos salvo por instrucción del responsable del tratamiento.

El Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio. En particular, el artí­culo 9 de la Ley establece lo siguiente:

* « 1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad* ».

-Derechos de acceso, rectificación y oposición – el interesado debe tener derecho a obtener una copia de todos los datos a él relativos, y derecho a rectificar aquellos datos que resulten ser inexactos. En determinadas situaciones, el interesado también debe poder oponerse al tratamiento de los datos a él relativos. Las únicas excepciones a estos derechos deben estar en lí­nea con el artí­culo 13 de la Directiva.

En lo relativo al derecho de acceso, el Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio. En particular, el apartado 1 del artí­culo 14 de la Ley establece que * «el titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales incluidos en los bancos de datos públicos o privados, destinados a proveer informes* ». Este principio se desarrolla en los restantes apartados del artí­culo 14 y en el artí­culo 15 de la Ley, así­ como en los artí­culos 14 y 15 del Reglamento.

En cuanto al derecho de rectificación y oposición, el Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio. En particular, el apartado 1 del artí­culo 16 de la Ley establece que * «toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad los datos personales de los que sea titular, que estén incluidos en un banco de datos* ». Este principio se desarrolla en los restantes apartados del artí­culo 16 de la Ley y en el artí­culo 16 del Reglamento.

Las excepciones a estos derechos, descritas en el artí­culo 17 de la Ley, permiten restricciones sólo para los bancos de datos públicos y por un número limitado de motivos importantes como la defensa nacional, el orden y la seguridad públicos, la protección de los derechos e intereses de terceros y cuando dicha información pudiera obstaculizar actuaciones judiciales o administrativas en curso vinculadas con el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. El Grupo de Trabajo considera que dichas excepciones se ajustan a lo dispuesto en el artí­culo 13 de la Directiva.

-Restricciones respecto a transferencias sucesivas a otros terceros paí­ses – únicamente deben permitirse transferencias sucesivas de datos personales del paí­s de destino a otro tercer paí­s en el caso de que este último paí­s garantice asimismo un nivel de protección adecuado. Las únicas excepciones permitidas deben estar en lí­nea con el apartado 1 del artí­culo 26 de la Directiva.

El Grupo de Trabajo entiende que la legislación argentina se ajusta en gran medida a este principio. En particular, el apartado 1 del artí­culo 12 establece que * «es prohibida la transferencia de datos personales de cualquier tipo con paí­ses u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuado* ».

El apartado 2 del artí­culo 12 de la Ley incluye excepciones a dicho principio en los casos siguientes:

* «a) Colaboración judicial internacional.

b) Intercambio de datos de carácter médico, cuando así­ lo exija el tratamiento delafectado, o una investigación epidemiológica, en tanto se realice en los términos del inc. e) del artí­culo anterior.

c) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable.

d) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte.

e) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico* ».

El artí­culo 12 del Reglamento añade a la lista de excepciones el consentimiento expreso a la transferencia por parte del titular de los datos y la transferencia desde un registro público en las mismas condiciones que la consulta, en la lí­nea establecida por la letra f) del apartado 1 del artí­culo 26 de la Directiva.

El Grupo de Trabajo considera que estas excepciones son más amplias que las previstas en la Directiva, especialmente que las enunciadas en las letras b), c) y d) del apartado 1 del artí­culo 12. El Grupo de Trabajo lamenta este hecho, preferirí­a que se limitaran dichas excepciones e invita al Gobierno argentino a trabajar en este sentido.

-Principios adicionales aplicables a tipos especí­ficos de tratamiento son:

-Datos sensibles – cuando se trate de categorí­as de datos * «sensibles* » (las incluidas en el artí­culo 8 de la Directiva), deberán establecerse protecciones adicionales, tales como la exigencia de que el interesado otorgue su consentimiento explí­cito para el tratamiento.

El Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio. En particular, el artí­culo 2 de la Ley define * «datos sensibles* » como * «datos personales que revelan origen racial y étnico, opiniones polí­ticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual* ». El artí­culo 7 de la Ley prevé protecciones adicionales para su tratamiento:

* «1. Ninguna persona puede ser obligada a proporcionar datos sensibles.

2. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley. También podrán ser tratados con finalidades estadí­sticas o cientí­ficas cuando no puedan ser identificados sus titulares.

3. Queda prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la Iglesia Católica, las asociaciones religiosas y las organizaciones polí­ticas y sindicales podrán llevar un registro de sus miembros.

4. Los datos relativos a antecedentes penales o contravencionales sólo pueden ser objeto de tratamiento por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas* ».

Asimismo, el artí­culo 8 de la Ley establece que * «los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud fí­sica o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional* ».

-Márketing directo – en el caso de que el objetivo de la transferencia de datos sea el márketing directo, el interesado deberá tener en cualquier momento la posibilidad de negarse a que sus datos sean utilizados con dicho propósito.

El Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio. En particular, el artí­culo 27 de la Ley establece lo siguiente:

* «1. En la recopilación de domicilios, reparto de documentos, publicidad o venta directa, y otras actividades análogas, se podrán tratar datos que sean aptos para establecer perfiles determinados con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo, cuando éstos figuren en documentos accesibles al público o hayan sido facilitados por los propios titulares u obtenidos con su consentimiento.

2. En los supuestos contemplados en el presente artí­culo, el titular de los datos podrá ejercer el derecho de acceso sin cargo alguno.

3. El titular podrá en cualquier momento solicitar el retiro o bloqueo de su nombre de los bancos de datos a los que se refiere el presente artí­culo* ».

-Decisión individual automatizada – cuando el objetivo de la transferencia sea la adopción de una decisión automatizada en el sentido del artí­culo 15 de la Directiva, el interesado deberá tener derecho a conocer la lógica aplicada a dicha decisión, y deberán adoptarse otras medidas para proteger el interés legí­timo de la persona.

El Grupo de Trabajo entiende que la legislación argentina se ajusta a este principio en lo relativo a las operaciones de tratamiento realizadas por el sector público, dado que tales decisiones automatizadas están prohibidas. En particular, el artí­culo 20 de la Ley establece lo siguiente:

* «1. Las decisiones judiciales o los actos administrativos que impliquen apreciación o valoración de conductas humanas no podrán tener como único fundamento el resultado del tratamiento informatizado de datos personales que suministren una definición del perfil o personalidad del interesado.

2. Los actos que resulten contrarios a la disposición precedente serán insanablemente nulos* ».

En cuanto al sector privado, el Grupo de Trabajo observa que la legislación argentina no hace referencia a este aspecto. Sin embargo, el Grupo de Trabajo recuerda que una resolución de conformidad debe tener en cuenta todas las circunstancias que rodean a la transferencia de datos personales, y el nivel de riesgo que la transferencia plantea al titular de los datos es un elemento importante dentro de dichas * «circunstancias* ». La legislación argentina prevé garantí­as para el titular en la prestación de servicios de información crediticia, que es un sector destacado en lo relativo a las decisiones individuales automatizadas. Dichas garantí­as, descritas en el artí­culo 26 de la Ley y del Reglamento, limitan las categorí­as de datos que pueden procesarse, la fuente de los datos y el perí­odo de tiempo al que pueden hacer referencia. Por tanto, el Grupo de Trabajo considera que la ausencia de una disposición general sobre decisiones individuales automatizadas para el sector privado no debe representar un obstáculo para una resolución de conformidad.

2.2. Mecanismos del procedimiento/de aplicación

El dictamen de 1998 del Grupo de Trabajo señala que para evaluar el carácter adecuado del sistema jurí­dico de terceros paí­ses, es necesario distinguir los objetivos subyacentes de un sistema normativo de protección de datos, y sobre esta base juzgar la variedad de diferentes mecanismos de procedimiento judiciales y no judiciales utilizados en terceros paí­ses.

Los objetivos de un sistema de protección de datos son básicamente tres:

-“ ofrecer un nivel satisfactorio de cumplimiento de las normas,

-“ ofrecer apoyo y asistencia a los interesados en el ejercicio de sus derechos,

-“ ofrecer ví­as adecuadas de recurso a quienes resulten perjudicados en el caso de que no se observen las normas.

-Ofrecer un nivel satisfactorio de cumplimiento de las normas – Un buen sistema se caracteriza, en general, por el hecho de que los responsables del tratamiento conocen muy bien sus obligaciones y los interesados conocen muy bien sus derechos y medios para ejercerlos. La existencia de sanciones efectivas y disuasorias es importante a la hora de garantizar la observancia de las normas, al igual que lo son, como es natural, los sistemas de verificación directa por las autoridades, los auditores o los servicios de la administración encargados especí­ficamente de la protección de datos.

El Grupo de Trabajo entiende que la legislación argentina ha establecido diversos elementos encaminados a cumplir dicho objetivo. En particular:

(a) Sanciones efectivas y disuasorias

La legislación argentina establece sanciones de diversos tipos y grados, en función de la gravedad de la infracción cometida por los responsables o usuarios de las bases de datos. Pueden identificarse dos categorí­as de sanciones:

i. Sanciones administrativas

Estas sanciones están reguladas en el artí­culo 31 de la Ley y el Reglamento y pueden consistir en apercibimiento, suspensión, multa de mil pesos ($ 1 000) a cien mil pesos ($ 100 000), clausura o cancelación del archivo, registro o banco de datos. Dichas sanciones podrán ser impuestas por el organismo de control y deberán graduarse atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceros y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuricidad y de culpabilidad presentes en la concreta actuación infractora.

Asimismo, los responsables o usuarios de bancos de datos públicos pueden incurrir en responsabilidades administrativas en virtud de las normas generales de servicio público.

ii. Sanciones penales

El Código Penal argentino considera que tratar a sabiendas datos falsos o violar la confidencialidad o seguridad de los datos son infracciones penales. El Código prevé penas de prisión de 3 a 6 años (o de 4 años y medio a 9 años cuando del hecho se derive perjuicio a alguna persona) y la inhabilitación para desempeñar cargos públicos en el caso de los funcionarios.

El Grupo de Trabajo entiende que dichas sanciones son efectivas y disuasorias, y que pueden inducir de forma satisfactoria a desistir de tratar ilegalmente datos personales.

(b) El órgano de control de protección de datos

La legislación argentina prevé la creación de un órgano de control de protección de datos. Con arreglo al artí­culo 29 de la Ley, el órgano de control deberá realizar todas las acciones necesarias para cumplir los objetivos y demás disposiciones de la Ley. A tal efecto, el órgano de control ejercerá diversas funciones, entre las que se incluyen funciones de asistencia y asesoramiento, la adopción de normas y reglamentaciones en el desarrollo de la Ley, el mantenimiento de un censo de bases de datos y el control de la observancia de la legislación por parte de las bases de datos. El órgano de control goza de diversas atribuciones, como solicitar autorización judicial para acceder a locales o equipos de tratamiento de datos, solicitar información a las entidades públicas y privadas, imponer sanciones administrativas, constituirse en querellante en acciones penales y controlar el cumplimiento de los requisitos y garantí­as para inscribir bancos de datos privados en el Registro.

En virtud del artí­culo 29 del Reglamento, se creó la Dirección Nacional de Protección de Datos Personales (DNPDP), en el ámbito del Ministerio de Justicia y Derechos Humanos, como órgano de control. El Director ejercerá sus funciones con plena independencia, sin estar sujeto a instrucciones. Sus decisiones pueden recurrirse ante los tribunales con arreglo a las normas generales de procedimientos administrativos.

Sin embargo, el Grupo de Trabajo resalta que el Director del órgano de control de protección de datos es designado y puede ser destituido por el Ministerio de Justicia y Derechos Humanos, que también decide sobre el personal de dicho organismo, integrado en la estructura del Ministerio de Justicia. El Grupo de Trabajo considera que tal situación no garantiza que el organismo pueda actuar con plena independencia y, por tanto, insta a implementar los elementos necesarios a tal efecto, incluí­do un cambio en el procedimiento para designar y destituir al Director del organismo.

Con arreglo al artí­culo 44 de la Ley, el Grupo de Trabajo entiende que la DNPDP puede considerarse * «jurisdicción federal* » y que, por tanto, será responsable de controlar los registros, archivos o bancos de datos interconectados en redes de alcance interjurisdiccional, nacional o internacional. En otros casos, dichos registros, archivos o bancos de datos estarán bajo jurisdicción provincial y, por tanto, fuera de la jurisdicción de la DNPNP. El Grupo de Trabajo invita a crear órganos de control de protección de datos en todas las provincias, ya que es importante para garantizar que en todos los casos exista un sistema de verificación directo por parte de la administración y un mecanismo institucional que permita investigar las denuncias de manera independiente de la ví­a judicial.

A la vista de estas consideraciones, el Grupo de Trabajo entiende que la legislación argentina incluye los elementos necesarios para ofrecer un buen nivel de cumplimiento de las normas.

-Ofrecer apoyo y asistencia a los interesados en el ejercicio de sus derechos -“ El interesado debe tener la posibilidad de hacer valer sus derechos con rapidez y eficacia, y sin costes excesivos. Para ello es necesario que haya algún tipo de mecanismo institucional que permita investigar las denuncias de forma independiente.

El grupo de Trabajo observa que la legislación argentina ha establecido diversos elementos encaminados a cumplir este objetivo. En particular:

(a) El recurso judicial habeas data

Como se ha mencionado anteriormente, la Constitución argentina prevé un recurso judicial especial para proteger los datos personales, conocido como * «habeas data* ». Se trata de un subtipo del procedimiento contemplado en la Constitución para proteger los derechos constitucionales y, por tanto, eleva la protección de datos personales a la categorí­a de derecho fundamental. En particular, el tercer párrafo del artí­culo 43 de la Constitución argentina establece que * «toda persona podrá interponer esta acción (es decir, el habeas data) para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las fuentes de información periodí­stica* ».

Las normas legislativas que promulgan dicho recurso constitucional están incluí­das en los artí­culos 33 a 43 de la Ley. El habeas data está concebido como un recurso judicial simplificado y rápido que los titulares de datos pueden utilizar contra los responsables o usuarios de bases de datos. El Gobierno argentino ha aclarado que, de acuerdo con lo comentado en relación al ámbito de la protección de datos en la legislación argentina, este recurso puede utilizarse contra los responsables o usuarios de cualquier base de datos pública o privada (y no sólo de bases de datos privadas destinadas a dar informes), si exceden el uso exclusivamente personal. Dicho aspecto ha sido confirmado por sentencias judiciales en este sentido.

El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto, según las cuales la Ley amplí­a el ámbito de lo dispuesto en la Constitución, al permitir utilizar dicho recurso en los casos en que se presuma el tratamiento de datos personales cuyo registro está prohibido por la Ley. Esto significa que cualquier infracción de las normas de protección de datos puede permitir utilizar el habeas data.

Asimismo, el Grupo de Trabajo observa que, en caso de alegar una excepción al derecho de acceso, rectificación o supresión, la carga de la prueba recae sobre el responsable o usuario de los datos.

El recurso habeas data permite que una sentencia judicial obligue a suprimir, rectificar, actualizar o declarar confidenciales los datos. El Grupo de Trabajo destaca que la sentencia judicial debe comunicarse al órgano de control, y que ello puede permitir que la DNPDP, en el ámbito de sus competencias, haga aplicar las normas de protección de datos con respecto a otros titulares de datos afectados que pueden no haber tomado parte en el procedimiento inicial de habeas data.

(b) Recursos judiciales generales

Además del habeas data, las normas generales de la legislación argentina permiten hacer valer ante los tribunales con arreglo a los procedimientos generales los derechos y obligaciones relativos a la protección de datos. En particular, el titular de los datos puede incoar un proceso judicial ante un tribunal civil para obtener una compensación por los daños sufridos o para hacer cumplir cualquiera de los derechos reconocidos por la Ley o el Reglamento. Asimismo, pueden incoarse acciones penales por delitos relacionados con el tratamiento de datos personales incluí­dos en el Código Penal.

A la vista de estas consideraciones, el Grupo de Trabajo entiende que la legislación argentina incluye los elementos necesarios para ofrecer apoyo y asistencia a los titulares de datos individuales en el ejercicio de sus derechos.

-Ofrecer ví­as adecuadas de recurso a quienes resulten perjudicados en el caso de que no se observen las normas – í‰ste es un elemento clave que debe incluir un sistema que ofrezca la posibilidad de obtener una resolución judicial o arbitral y, en su caso, indemnizaciones y sanciones.

El Grupo de Trabajo señala que ni la Ley ni el Reglamento incluyen normas especí­ficas sobre el derecho de quienes resulten perjudicados por una operación de tratamiento ilegal a ser compensados por los daños sufridos. El Grupo de Trabajo toma nota de las explicaciones de las autoridades argentinas al respecto según las cuales, en ausencia de normas especiales, son aplicables las normas generales de la legislación argentina en materia de responsabilidad. Según el caso, pueden ser aplicables las normas en materia de responsabilidad contractual (si el tratamiento se realiza en el marco de una relación contractual entre las partes) o en materia de responsabilidad extracontractual en los demás casos. Las normas argentinas se ajustan en ambos casos a la tradición europea en materia de Derecho Civil y al principio que exige la compensación de los daños ocasionados en caso de manipulación ilegal.

A la vista de estas consideraciones, el Grupo de Trabajo entiende que la legislación argentina incluye los elementos necesarios para ofrecer ví­as adecuadas de recurso a quienes resulten perjudicados en el caso de que no se observen las normas.

2.3. Otros aspectos

El Grupo de Trabajo observa que el artí­culo 5 de la Ley permite el tratamiento de datos personales sin el consentimiento del titular de los datos si los datos se obtienen de fuentes de acceso público irrestricto. El Grupo de Trabajo considera que es necesario establecer normas que garanticen que los datos incluí­dos en una fuente de acceso público irrestricto sean de tal naturaleza que no sea probable que su tratamiento sin el consentimiento del titular pueda suponer un riesgo para los derechos fundamentales y las libertades del individuo y, concretamente, para su derecho a la intimidad. Se sobreentiende que, incluso en el caso de que se incluyan datos personales en una fuente de acceso publico irrestricto, es aplicable todo lo dispuesto en la legislación argentina sobre protección de datos.

3. RESULTADO DE LA EVALUACIÓN

El Grupo de Trabajo insiste en que, para llevar a cabo la presente evaluación de la legislación argentina, el Gobierno de dicho paí­s ha facilitado información sobre la manera en que debe interpretarse lo dispuesto en la Constitución, la Ley y el Reglamento, y ha garantizado que las normas en materia de protección de datos se aplican conforme a dicha interpretación. Por tanto, el Grupo de Trabajo ha basado su análisis en las citadas informaciones y garantí­as del Gobierno argentino, y su dictamen está subordinado al hecho de que, en la aplicación efectiva de las normas de protección de datos en Argentina, se confirmen los citados elementos facilitados por el Gobierno de dicho paí­s. En particular, en lo relativo al ámbito de la legislación argentina, el Grupo de Trabajo ha tenido especialmente en cuenta las explicaciones y garantí­as proporcionadas por las autoridades argentinas sobre la forma en que debe interpretarse lo dispuesto en la Constitución, la Ley y el Reglamento y sobre las situaciones a las que se aplica la legislación de protección de datos. La redacción del presente dictamen se ha basado en dichos supuestos y explicaciones, y no en una experiencia sólida en la aplicación práctica de la legislación, ni a nivel federal ni provincial. Esto es cierto también en lo relativo a que las autoridades argentinas tomen efectivamente en consideración, en un plazo razonable, las reservas expresadas anteriormente y las invitaciones a mejorar o modificar los textos legales vigentes.

Como conclusión, en virtud de todo lo anterior, el Grupo de Trabajo asume que Argentina garantiza un nivel de protección adecuado con arreglo a lo dispuesto en el apartado 6 del artí­culo 25 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas fí­sicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Sin embargo, el Grupo de Trabajo invita también a las autoridades argentinas a tomar las medidas necesarias para solucionar los puntos débiles de los actuales instrumentos legales identificados en el presente dictamen y solicita a la Comisión Europea continuar el diálogo con el Gobierno argentino con el citado objetivo. En particular, el Grupo de Trabajo insta a las autoridades argentinas a garantizar la aplicación efectiva de la legislación a nivel provincial mediante la creación de los necesarios órganos de control independientes en los casos en los que éstos no existan y, mientras tanto, a buscar soluciones temporales apropiadas que sean conformes con el orden constitucional argentino.

Hecho en Bruselas, el 3 de octubre de 2002.

Por el Grupo de Trabajo

El Presidente

Stefano RODOTA

Notas
(1) DO L 281, 23.11.1995, p. 31, que puede consultarse en:

http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm.

(2) Adoptado por el Grupo de Trabajo en su tercera reunión celebrada el 11.9.1996.

(3) Carta del Embajador de la República Argentina ante la Unión Europea, de 23 de enero de 2002.

(4) Cámara Civil de Apelación, Mantovano c/ Banco Regional de Cuyo, 2000; Becker José c/ Banco de la provincia de Buenos Aires, 2002.

(5) WP 12 -“ Aprobado por el Grupo de Trabajo el 24 de julio de 1998, que puede consultarse en:

http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.



Leave a Reply

You must be logged in to post a comment.