Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
Abogado. Investigador de la Asociación por los Derechos Civiles. Magíster en Derechos Humanos y
Democratización en América Latina de la Universidad Nacional de San Martín
2Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/0-4999/804/norma.htm
3 Disponible en
http://www.psi.uba.ar/academica/carrerasdegrado/psicologia/sitios_catedras/obligatorias/723_etica2/material/casuisti
ca/ponzetti_de_babin_derechos.pdf
1
aquellos que interesan para nuestra temática, debemos mencionar la Convención
Americana sobre Derechos Humanos (CADH)4, que establece el derecho a la intimidad en
el art. 11 inciso 2, al afirmar que “nadie puede ser objeto de injerencias arbitrarias o
abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni
de ataques ilegales a su honra o reputación”. A continuación, el inciso 3 consagra el
derecho de toda persona a la “protección de la ley contra esos ataques o injerencias”. Esta
disposición es prácticamente similar al art. 17 del Pacto Internacional sobre Derechos
Civiles y Políticos (PIDCP)5, que también fue incorporado por la reforma del 94.
2. Leyes sobre privacidad e intimidad: Entre las leyes que regulan el derecho a la
privacidad y la intimidad encontramos las siguientes:
4 Disponible en http://www.oas.org/dil/esp/tratados_B-32_Convecion_Americana_sobre_Derechos_Humanos.htm
5 Disponible en http://www.ohchr.org/SP/ProfessionalInterest/Pages/CCPR.aspx
6 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/20000-24999/21843/norma.htm
2
su contenido, así como de no hacer trascender quienes mantienen relaciones entre sí
o dar ocasión para que otros cometan tales infracciones”.
7 Disponible en https://www.oas.org/dil/esp/Codigo_Civil_de_la_Republica_Argentina.pdf
8 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/235000-239999/235975/norma.htm#6
9 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/235000-239999/239771/norma.htm
3
Información y las Comunicaciones (TIC)”. De esta manera, además de los correos
postales, la garantía de protección se extiende al correo electrónico y a “cualquier
otro mecanismo que induzca al usuario a presumir la privacidad del mismo y de los
datos de tráfico asociados a ellos, realizadas a través de las redes y servicios de
telecomunicaciones”. Así, toda interceptación – y su posterior registro y análisis-
debe ser requerida por juez competente.
La ley 23.79810 que declaró de interés nacional la lucha contra el SIDA estableció
que no se puede individualizar a las personas que padecen esta enfermedad a través
de registros, ficheros o almacenamiento de datos. Para cumplir con este propósito,
la normativa establece que dichas bases deben estar codificadas (art. 2 inc. e). El
objetivo es restringir lo máximo posible el acceso de terceros a este tipo de
información, debido al posible efecto discriminatorio que el conocimiento de esta
enfermedad puede provocar sobre el individuo afectado.
La ley 26.529 de Derechos de los Pacientes 11 ordena que toda actividad médica
vinculada al tratamiento de información del paciente debe respetar la intimidad y la
confidencialidad de los datos sensibles del mismo (art. 2 inc. c). A su vez, se
considera a la historia clínica como inviolable y se dispone que los establecimientos
asistenciales públicos o privados y los profesionales de la salud tienen a su cargo la
guarda y custodia de la misma, debiendo instrumentar los medios y recursos
necesarios para evitar el acceso a personas no autorizadas (art.18).
10 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/0-4999/199/norma.htm
11 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/160000-164999/160432/norma.htm
12 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/230000-234999/233066/norma.htm
4
vender o regalar bienes o servicios no solicitados (art. 1). La normativa establece la
creación de un registro (art. 2) -que funciona dentro del ámbito de la Dirección
Nacional de Protección de Datos Personales- ante el cual pueden inscribirse las
personas que deseen no recibir llamados de ofrecimiento de productos u otro bien.
Aquellos establecimientos que realizan este tipo de ofrecimientos son considerados
por esta ley como responsables o usuarios de bases de datos (art. 7) y tienen la
obligación de no dirigirse a las personas que se inscriban en el registro (art. 7), bajo
amenaza de sufrir una sanción a establecer por la Dirección, quien es la autoridad de
aplicación.
13 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/60000-64999/64790/norma.htm
14 Disponible en http://noticias.juridicas.com/base_datos/Derogadas/r0-lo5-1992.html
15 Disponible en
https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/2014/Ley_Organica_15-
1999_de_13_de_diciembre_de_Proteccion_de_Datos_Consolidado.pdf
16 Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/70000-74999/70368/norma.htm
5
carácter de orden público de los capítulos I (Disposiciones Generales), II (Principios
Generales), III (Derechos de los titulares de los datos) IV (Usuarios y responsables de
archivos, registros y bancos de datos) y del art. 32 (Sanciones Penales). Esta declaración
implica que las disposiciones reconocidas son consideradas como parte esencial de los
principios que hacen a la existencia de un Estado de derecho y republicano, por lo que
cualquier violación a las mismas vuelve nulo el acto en cuestión.
17 Estos términos son tratados en forma indistinta por la ley, por lo que de aquí en adelante utilizaremos la
expresión “base de datos”
6
otros) y por el otro, en el carácter “integral” que la propia ley determina como esencial a su
finalidad protectoria. Este criterio ha sido apoyado por la jurisprudencia, que en varias
ocasiones ha resuelto que la ley de protección de datos personales se aplica a todo tipo de
bases de datos18.
Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas,
convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a
la salud o a la vida sexual. La categoría de “datos sensibles” recibe una protección mayor
por parte de la legislación –como se verá más abajo-, debido a que se trata de información
que revela aspectos esenciales de la personalidad de las personas, y por ende, son
susceptibles de afectar la intimidad, la autonomía o el libre desarrollo de los individuos en
forma intensa.
18 Consultar "Halabi, Ernesto c/ Citibank N.A.". C.N.Com., Sala C, 26/03/02. JA, 2002-III-18. ED, 197-327 (sumario
disponible en http://www.saij.gob.ar/convert-html-to-pdf?url=/jurisprudencia/FA02130235-halabi_citibank_amparo-
nacional-2002.htm&name=halabi-ernesto-c-citibank-na-s.pdf) o “CCiv. y Com.San Martin, Sala II, 21/2/2002, "P. c/Forma
Crédito SA", LLBA 2002-859”
7
relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos
personales, así como también su cesión a terceros a través de comunicaciones, consultas,
interconexiones o transferencias.
Responsable de archivo, registro, base o banco de datos: Persona física o de existencia ideal
pública o privada, que es titular de un archivo, registro, base o banco de datos.
Titular de los datos: Toda persona física o persona de existencia ideal con domicilio legal o
delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se
refiere la presente ley.
Usuario de datos: Toda persona, pública o privada que realice a su arbitrio el tratamiento de
datos, ya sea en archivos, registros o bancos de datos propios o a través de conexión con los
mismos.
Los datos deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y
finalidad para los que se hubieren obtenido (art.4 inc.1): este principio exige que las
operaciones de tratamiento de datos personales únicamente se hagan sobre aquellos datos
que sean estrictamente necesarios para las finalidades establecidas.
8
La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma
contraria a las disposiciones de la ley (art. 4 inc.2): para ser legítima, toda adquisición de
datos debe ser hecha de acuerdo a los requisitos que establece la legislación. De esta
manera, se prohíbe el robo de información, el engaño, la estafa o cualquier otro ardid ilícito
para conseguir datos personales.
Los datos personales no pueden ser utilizados para finalidades distintas o incompatibles con
aquellas que motivaron su obtención (art. 4 inc. 3) : la ley establece la obligación – en
forma previa a la recolección de datos- de informar al titular de los datos la finalidad para la
cual van a ser utilizados. El motivo es que la persona pueda tener la certeza de qué es lo que
van a hacer con sus datos, a fin de que su consentimiento pueda ser dado con la suficiente
información. Si se permitiera un cambio en la finalidad del tratamiento, el derecho del
titular del dato sería fácilmente burlado.
Los datos deben ser exactos y actualizarse en caso que fuese necesario (art. 4 inc. 4): este
principio protege el derecho de las personas a que los datos que figuren en las bases de
datos sean verdaderos. Una de las formas de hacer efectivo este derecho es mediante la
actualización de los datos cuando sea pertinente.
Los datos inexactos o incompletos deben ser suprimidos, sustituidos o completados (art. 4
inc. 5): como corolario del principio anterior, se establece la obligación del responsable de
contar con una base de datos exacta y completa, eliminando, reemplazando o completando
aquellos datos que no sean verdaderos o precisos.
El almacenamiento de los datos debe realizarse de modo que el titular pueda ejercer el
derecho de acceso (art. 4 inc. 6): Uno de los aspectos esenciales de la protección de datos
personales consiste en brindar al titular del dato la facultad de conocer cuáles son los datos
que figuran en las bases, de manera de permitirle poder controlar qué información existe
sobre él y así, poder comprobar su exactitud, veracidad, completitud, etc. Para ello, es
condición necesaria el acceso a las bases de datos.
9
Los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los
fines para los cuales fueron recolectados (art. 4 inc.7): complementando el principio de
prohibición de uso para una finalidad distinta, la ley establece la obligación del responsable
de la base de datos de eliminar los datos cuando el motivo por el cual fueron recolectados
haya dejado de existir. Aparte de ser una consecuencia lógica del hecho de que si la
finalidad de recolección se ha cumplido ya no tiene sentido conservar el dato, este principio
busca evitar la utilización de datos para fines cuyo consentimiento no ha sido dado por el
titular del dato.
Consentimiento (art.5): La ley establece como regla general que todo tratamiento de datos
debe realizarse con el consentimiento libre, expreso e informado del titular. De lo contrario,
el tratamiento será considerado ilícito. Respecto a la forma que debe adoptar el
consentimiento, el principio establece que debe ser hecho por escrito o por un medio que se
lo equipare, de acuerdo a las circunstancias. Así, el consentimiento tácito o presunto no es
considerado válido por la ley. Sin embargo, dicho principio no es absoluto. Existen casos
en los cuales no es necesario el consentimiento del titular del dato, los cuales serán
mencionados a continuación:
II. Se recaben para el ejercicio de funciones propias de los poderes del Estado o en
virtud de una obligación legal: tampoco se exige consentimiento cuando se trate de datos
que el Estado necesita recolectar para poder cumplir con las actividades propias de su
naturaleza.
III. Datos no íntimos: cuando se trate de datos que se limiten a nombre, documento
nacional de identidad, identificación tributaria o previsional, ocupación, fecha de
nacimiento y domicilio, la ley no exige consentimiento para su tratamiento. El motivo es
que se considera que estos datos en principio no generan ninguna afectación al derecho a la
intimidad.
10
IV. Datos utilizados en el marco de una relación contractual, científica o profesional
del titular del dato: la condición es que los mismos resulten necesarios para el desarrollo o
cumplimiento de la relación.
V. Datos utilizados por entidades financieras: Las operaciones realizadas por las
entidades financieras y las informaciones que reciban de sus clientes también están
exceptuadas del consentimiento, en la medida en que se traten de operaciones activas, es
decir, aquellas en que el banco es acreedor (ej, cuando el banco otorga un préstamo). Las
operaciones pasivas, en las que el banco es deudor, no están alcanzadas por esta
disposición, debido a que se encuentran protegidas por el secreto bancario.
Datos sensibles (art. 7): Definidos en el art. 2, los datos sensibles reciben una especial
protección dentro de la legislación, debido a su potencialidad para causar situaciones
discriminatorias a sus titulares. De esta manera, la ley establece que ninguna persona puede
ser obligada a proporcionar datos sensibles. Esta disposición se complementa con la
prohibición a toda base de datos de almacenar información que directa o indirectamente
revele datos sensibles. Sin perjuicio de estas barreras protectorias, en ciertos casos la ley
11
permite algunas excepciones. En materia de recolección y tratamiento, se concede la
autorización en dos supuestos: cuando medien razones de interés general autorizadas por
ley o cuando sean tratados con finalidades estadísticas o científicas, siempre que sus
titulares no puedan ser identificados. Por otro lado, se permite a la Iglesia Católica, las
asociaciones religiosas y las organizaciones políticas y sindicales que puedan llevar un
registro de sus miembros.
Deber de confidencialidad (art. 10): esta obligación pesa sobre todas las personas que
intervienen en el proceso de tratamiento de datos (responsable, usuario, terceros) y
comprende el deber de mantener el secreto profesional sobre los datos personales, aun
después de finalizada la relación con el titular. Este deber puede cesar por medio de una
resolución judicial y por motivos de seguridad pública, defensa nacional o salud pública.
Cesión de datos personales (art.11): La transferencia de datos personales desde una base a
otra es permitida, sólo si se cumplen los siguientes requisitos: que la cesión se haya
realizado para cumplir fines directamente relacionados con el interés legítimo de cedente y
cesionario; que el titular del dato haya dado su consentimiento previo, y que éste haya sido
informado de la finalidad de la cesión, y de la identificación del cesionario o de los
elementos para poder hacerlo. Si la transferencia se produce, el cesionario quedará sujeto a
las mismas obligaciones reglamentarias y legales del cedente, el cual a su vez, deberá
responder en forma solidaría y conjunta ante cualquier violación de la legislación.
Asimismo, el consentimiento es revocable y el titular puede solicitar en cualquier momento
al cesionario que deje de realizar el tratamiento correspondiente.
12
emergencia o para realizar estudios epidemiológicos y se preserve la identidad de los
titulares de los datos; y cuando se hubiera aplicado un procedimiento de disociación de la
información, de manera que las personas no puedan ser identificadas.
d) Derechos de los titulares de los datos: la ley concede una serie de derechos a los
titulares de datos en contra de tratamientos ilegítimos o abusivos.
II. Derecho de acceso (art. 14): este derecho permite al titular de los datos solicitar y
obtener información acerca de los datos sobre él que figuren en toda base de datos, sea
pública o privada. En este caso, el obligado es el responsable de la base de datos, quien
debe brindar la información dentro de los diez días corridos de haber sido notificado. Si así
no lo hiciere o la información fuera insuficiente, el titular podrá iniciar una acción de
habeas data. Este derecho puede ser ejercido en forma gratuita a intervalos de seis meses,
salvo que se acredite un interés legítimo por ejercerlo antes de dicho periodo. Si no, el
derecho persistirá pero el responsable de la base de datos podrá cobrar una suma de dinero
para su acceso.
Para que una información no sea considerada insuficiente, el contenido deber ser
producido de la siguiente manera (art. 15): en primer lugar, la información debe ser clara y
acompañada de una explicación que sea accesible al conocimiento de la población. En
segundo lugar, también debe ser amplia, en el sentido de que verse sobre todo el registro
que pertenezca al titular, aun cuando éste hubiera solicitado sólo una parte. Por último,
debe ser entregada –a opción del titular- por escrito, por medios electrónicos, telefónicos,
de imagen, u otro idóneo a tal fin. Cabe destacar que en ningún caso podrán brindarse datos
de terceros, aun cuando estén vinculados con la persona que hizo la solicitud.
13
III. Derecho de rectificación, actualización o supresión (art. 16): Si los datos son
falsos o están desactualizados, toda persona puede solicitar al responsable o usuario de la
base de datos su corrección, actualización o incluso su supresión, si así correspondiere.
Respecto a la supresión, la ley prohíbe que se adopte este tipo de medida cuando la medida
pudiera causar perjuicios a derechos o intereses de terceros, o cuando existiera una
disposición legal de conservar los datos.
Una vez recibido el pedido, el obligado tiene cinco días hábiles para cumplir con la
solicitud. Si el responsable se hubiera anoticiado del error o la falsedad, también deberá
cumplir con su deber en el mismo plazo, aun cuando no hubiera mediado solicitud del
titular. Asimismo, durante el proceso de verificación y rectificación de la información, las
bases de datos deberán bloquear el archivo o comunicar al momento de proveer la
información que la misma se encuentra sometida a dicho proceso. Por otro lado, si se
hubiera efectuado una cesión de datos, el cedente tiene la obligación de notificar la
rectificación o supresión al cesionario dentro de los cinco días hábiles de efectuarse el
tratamiento de datos. Al igual que sucede con el derecho al acceso, si el responsable no
cumpliere con sus obligaciones, el titular podrá iniciar una acción de protección de datos
personales.
Este marco protectorio no se aplica en el caso de bases de datos públicos, las cuales
en ciertos casos pueden negar el acceso, la rectificación o la supresión de datos. La primera
excepción está dada por asuntos de protección de la defensa de la nación, del orden y la
seguridad pública, o de la protección de derechos e intereses de terceros. El segundo
supuesto se vincula con el peligro de obstaculizar actuaciones judiciales o administrativas
relacionadas con investigaciones sobre el cumplimiento de obligaciones tributarias o
previsionales; el desarrollo de funciones de control de la salud y del medio ambiente y la
investigación de delitos penales y verificación de infracciones administrativas. En todos los
casos la decisión de negar la petición del titular del dato debe estar fundada y ser notificada
al afectado, aunque éste todavía podría intentar una acción de habeas data.
14
Finalmente, se establece que cuando exista una definición del perfil de una persona
basada en el tratamiento informatizado de sus datos personales, ésta no puede servir como
único fundamento de decisiones judiciales o actos administrativos que impliquen
valoraciones de conductas humanas (art. 20). Tal como surge de su redacción, el sector
privado está excluido de la disposición, por lo que actividades como la calificación de
riesgo crediticio que realizan ciertas empresas para determinar si una persona debe o no
recibir un préstamo dinerario, no estarían comprendidas por la norma.
e) Registro de datos personales: La legislación argentina establece la obligación de
todos los registros públicos y privados destinados a dar informes de inscribirse en un
registro que la autoridad de contralor debía habilitar (art. 21) El Registro Nacional de Bases
de Datos fue creado en Noviembre de 2003 mediante la disposición 2/0319 y funciona bajo
la órbita de la Dirección Nacional de Protección de Datos Personales. La única excepción al
deber de registro son las bases de datos para uso exclusivamente personal (art. 24).
19 Disponible en http://www.jus.gob.ar/media/33394/disp_2003_02.pdf
15
marcada sensibilidad, ya que lo que allí se difunda puede afectar intensamente la capacidad
de los individuos para llevar adelante sus actividades económicas o para mejorar su nivel de
vida. Un informe negativo sobre el pasado comercial de una persona puede ser decisivo
para que ésta no pueda acceder al sistema financiero. Es por ello que la legislación ha
regulado de manera especial la situación de las entidades que brindan servicios de este tipo.
En primer lugar, la norma establece que sólo podrán tratarse datos personales de
carácter patrimonial relativos a la solvencia económica y al crédito. Dichos datos pueden
obtenerse de fuentes públicas, de informaciones facilitadas por el interesado o con su
consentimiento. Cuando se trate de datos sobre el cumplimiento o incumplimiento de
obligaciones, el acreedor o quien actúe por su cuenta e interés también puede facilitarlos.
20 Disponible en http://www.habeasdata.org/wp/2011/11/17/derecho-al-olvido-fallo-csjn-catania/
21 Disponible en http://www.habeasdata.org/wp/2011/11/17/derecho-al-olvido-caso-napoli-de-la-csjn/
16
correr con independencia de que se haya operado o no la prescripción respecto a la deuda
cuya eliminación de la base de datos se solicita. De esta manera, el término de cinco años
no queda pospuesto por el hecho de que la deuda todavía sea exigible.
Bases de datos con fines de publicidad: El uso de la tecnología para expandir los
clientes de una empresa a través del ofrecimiento de productos, promociones o servicios ha
supuesto una práctica que -además de resultar molesta- puede afectar la intimidad de las
personas. Es por ello que la ley 25326 consideró necesario dedicar un apartado (art.27) a
las bases de datos cuya finalidad principal es la realización de actividades de publicidad.
Allí, se establece la autorización para el tratamiento de datos “que sean aptos para
establecer perfiles determinados con fines promocionales, comerciales o publicitarios; o
permitan establecer hábitos de consumo”. El requisito para esta autorización es que los
datos figuren en documentos accesibles al público, hayan sido facilitados por los titulares u
obtenido con su consentimiento.
17
Por otro lado, la norma menciona que los titulares de los datos ejercerán su derecho
al acceso sin costo alguno y podrán solicitar en cualquier momento el retiro o bloqueo de su
nombre de la base de datos. Como correlato de este derecho, el decreto reglamentario
consagra la obligación de que toda comunicación por publicidad indique en forma “expresa
y destacada” al titular que goza de tal facultad.
h) Control (art. 30) y sanciones (art. 31): En su versión original, la ley 25.326
disponía que el órgano de control encargado del cumplimiento de la ley gozaría de
“autonomía funcional” y actuaría como “órgano descentralizado en el ámbito del Ministerio
de Justicia de la Nación”. A su vez, el director sería designado “por el término de cuatro (4)
años , por el Poder Ejecutivo con acuerdo del Senado de la Nación”. Sin embargo, al
momento de promulgarse la ley, el Poder Ejecutivo observó los artículos en los que dichas
disposiciones estaban presentes, con el argumento de que la incorporación de un órgano
descentralizado implicaba un incremento en las erogaciones del Estado que no estaba
previsto en las partidas presupuestarias. De está manera, el actual órgano de contralor
consiste en una Dirección Nacional de Protección de Datos Personales que opera en el
ámbito de la Secretaría de Asuntos Registrales dependiente del Ministerio de Justicia y
Derechos Humanos. Asimismo, el director es elegido por cuatro años por el Poder
Ejecutivo, sin la necesidad de contar con el acuerdo del Senado.
18
de datos, las cuales deben dictaminarse en virtud de la “gravedad y extensión de la
violación y de los perjuicios derivados de la infracción”
La acción deberá ser interpuesta por el afectado (en el caso de personas jurídicas,
serán sus representantes legales), sus tutores o curadores o sucesores y será dirigida contra
los responsables y usuarios de la base de datos cuestionada. En caso de que la acción sea
llevada a cabo contra una base de datos pública de organismos nacionales o el dato se
encuentre en un archivo interconectado en redes interjurisdiccionales, la competencia será
federal.
19
Comparación entre la ley argentina de protección de datos personales y el
nuevo Reglamento General de Protección de Datos de la Unión Europea
Autor: Eduardo Ferreyra22
22
Abogado. Investigador de la Asociación por los Derechos Civiles. Magíster en Derechos Humanos y
Democratización en América Latina de la Universidad Nacional de San Martín
23 Disponible en http://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32016R0679&from=ES
20
Por el contrario, el Reglamento desplazará cualquier norma interna en las materias que
regule. Como excepción, únicamente cuando el propio Reglamento lo disponga
expresamente, las legislaciones nacionales podrán dictar regulación complementaria. A
pesar de que la nueva normativa ya ha entrado en vigor, se ha previsto un plazo de dos años
– a contar desde el 25 de mayo de 2016- para el inicio de su aplicación, en virtud de que se
ha considerado prudente otorgar a los sujetos afectados por la nueva regulación un tiempo
razonable para poder adaptarse a las flamantes exigencias legales. El RGPD consiste en 99
artículos reunidos en 11 capítulos y cuenta con 173 considerandos que sirven como
explicación de las disposiciones y eventualmente pueden servir como pautas para su
interpretación.
Objeto (art. 1): El RGPD dispone que su objetivo es establecer normas que se refieran
tanto a la protección de los datos personales de las personas físicas como a la libre
circulación de aquellos datos. Debido a esta doble función, si bien la normativa establece
21
la protección de los derechos y libertades fundamentales de las personas físicas -en
particular el derecho a la protección de datos personales en sí mismo-, también sostiene que
este fin no puede restringir ni prohibir la libre circulación de datos dentro del mercado
interior de la UE.
La ley 25326 también establece como objetivo la protección integral de los datos
personales aunque los considera como un medio para proteger el derecho al honor y a la
intimidad de las personas, así como el acceso a la información. Por otra parte, no solamente
las personas físicas están cubiertas por la legislación sino que las personas jurídicas
también podrán ampararse en la normativa “en cuanto resulte pertinente”, según el lenguaje
de la ley.
Finalmente, ésta última contiene una referencia a que no se podrán afectar las bases
de datos ni las fuentes de información periodística. En este sentido, el RGDP dispone que
los tratamientos de datos personales con fines periodísticos deben gozar de excepciones a
ciertas disposiciones del Reglamento pero deja a cada Estado miembro la determinación de
cuáles serán esas exenciones.
Ámbito de aplicación material (art. 2): El criterio establecido por el Reglamento para su
aplicación es la actividad desarrollada, a saber, la realización de un proceso de tratamiento -
automatizado o no- de datos personales contenidos o destinados a estar en un fichero. En
cambio, en la ley argentina el criterio es el lugar en donde están contenidos los datos
personales, en este caso, que se encuentren en una base de datos pública o privada
destinada a dar informes.
Por otro lado, el Reglamento establece que sus disposiciones no se aplicarán al tratamiento
de datos personales realizados con fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales, o de ejecución de sanciones penales. Esto es así
debido a que en forma conjunta se sancionó la Directiva 2016/680, que establece un marco
autónomo y detallado para regular este tipo de tratamiento de datos. Por el contrario, en la
22
ley argentina existen disposiciones que regulan las bases de datos de las fuerzas de
seguridad y/o policiales, aunque en forma escueta..
En la ley argentina, sólo se habla de “archivos, registros, bancos de datos, u otros medios
técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes”
sin mencionar la sede de su establecimiento ni el lugar en el que se lleva a cabo el
tratamiento de datos como criterio para su aplicación territorial. La única referencia en este
sentido está dada por el art. 44, que somete a la jurisdicción federal a los “registros,
archivos, bases o bancos de datos interconectados en redes de alcance interjurisdiccional,
nacional o internacional”.
Por otra parte, la definición de datos personales del Reglamento establece que una
persona se considerará identificable cuando su identidad pueda “determinarse, directa o
23
indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un
número de identificación, datos de localización, un identificador en línea o uno o varios
elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural
o social de dicha persona”. Por el contrario, la ley argentina no cuenta con ningún criterio o
definición para establecer el carácter identificable de una persona.
24
de empresa, grupo empresarial, organización internacional autoridad de control y autoridad
de control interesada.
Principios (art. 5): En principio, existe una relativa similitud entre los principios
consagrados en ambas legislaciones. Así, los dos ordenamientos reconocen los principios
de licitud, finalidad, exactitud, necesidad, confidencialidad y limitación del plazo de
conservación. Sin embargo, las diferencias surgen al momento de determinar el contenido
de cada uno de ellos. Por ejemplo, mientras que para la ley argentina el principio de licitud
se cumple cuando la base de datos se encuentra inscripta en el Registro y observa los
principios establecidos en la ley, el Reglamento (art. 6) establece una serie detallada y
precisa de condiciones las cuales -al menos una- deben ser cumplidas para ser considerado
lícito el tratamiento, a saber: si el interesado dio su consentimiento para el tratamiento de
sus datos personales para uno o varios fines específicos; si el tratamiento es necesario para
la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de
este de medidas precontractuales; si el tratamiento es necesario para el cumplimiento de
una obligación legal aplicable al responsable del tratamiento; si el tratamiento es necesario
para proteger intereses vitales del interesado o de otra persona física; si el tratamiento es
necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio
de poderes públicos conferidos al responsable del tratamiento o si el tratamiento es
necesario para la satisfacción de intereses legítimos perseguidos por el responsable del
tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los
25
intereses o los derechos y libertades fundamentales del interesado que requieran la
protección de datos personales, en particular cuando el interesado sea un niño.
26
Consentimiento (art. 7): En el Reglamento el consentimiento constituye una de las bases
legítimas por las cuales se considera lícito el tratamiento de datos. Esto significa que si bien
es uno de los más importantes, el consentimiento no tiene una preeminencia en el sistema
de protección de datos de la UE sino que coexiste con otras bases legítimas establecidas por
la legislación, a saber: si es necesario para la ejecución de un contrato en la que el
interesado es parte; si es necesario para el cumplimiento de una obligación legal del
responsable del tratamiento; si es necesario para proteger intereses vitales del interesado u
otra persona física; si es necesario para el cumplimiento de una misión de interés público o
en ejercicio de poderes públicos; y si es necesario para la satisfacción de intereses legítimos
perseguidos por el responsable del tratamiento o un tercero, en tanto no prevalezcan los
intereses o los derechos del interesado.
27
debe suministrar o aceptar el tratamiento de datos que no son necesarios para la ejecución
de dicho contrato, tal situación será tomada como un elemento en contra de considerar al
consentimiento como libre.
Datos sensibles (art. 9): Además de las diferencias en cuanto a qué se considera
dato sensible (vistas más arriba) existen divergencias en la forma de regular su tratamiento.
Según el Reglamento, la regla general es la prohibición de todo tratamiento referente a este
tipo de datos. Sin embargo, existen una serie de situaciones en las cuales el tratamiento de
datos sensibles estaría autorizado. La primera contemplada es el consentimiento explícito
del interesado. Luego, el Reglamento despliega un listado de excepciones que funcionan
como permisos para tratar datos sensibles (entre ellas, la necesidad de cumplir con derechos
y obligaciones del responsable, la existencia de un interés vital del interesado o de otra
persona física, la presencia de un interés público esencial, etc). En definitiva, lo importante
es la existencia de una base legal que justifique el tratamiento de datos sensibles.
28
Derechos de los interesados o titulares de los datos (arts. 13 a 21): Al igual que
la ley argentina, el Reglamento consagra los derechos tradicionales vinculados a la
protección de datos personales, como el derecho a la información, el derecho al acceso, el
derecho a la rectificación y el derecho a la oposición. Sin embargo, agrega tres nuevos
derechos no previstos -o previstos de manera distinta-en la ley 25326.
29
El tercer derecho que se agrega es el derecho a la portabilidad, en virtud del cual
toda persona tiene derecho a recibir los datos personales que le incumban que haya
facilitado a un responsable del tratamiento y a transferirlos a otro responsable, sin que el
anterior pueda impedirlo. El interesado puede pedir la entrega de sus datos en un formato
de uso común o lectura mecánica o que directamente se le entregue al nuevo responsable,
siempre que sea técnicamente posible.
30
La doctrina25 ha sostenido que en este supuesto pueden deducirse dos derechos
derivados del Reglamento. El primero es el derecho a la no discriminación, mediante el
cual las personas tienen el derecho a no verse discriminadas por decisiones algorítmicas
basadas en la utilización de datos que revelan prejuicios raciales, sociales, de género o de
cualquier otro tipo. El segundo derecho es el derecho a una explicación, que faculta a las
personas a solicitar al responsable de un tratamiento de datos que informe acerca de la
lógica y el funcionamiento del algoritmo utilizado para sus operaciones. Como bien dice el
nombre, este derecho se satisface cuando el proceso es explicado en forma clara y
comprensiva para la persona, de manera que ésta pueda evaluar si la toma de decisión ha
afectado alguno de sus derechos.
Esta disposición podrá ceder en los siguientes casos: cuando sea necesario para la
celebración o la ejecución de un contrato entre el interesado y un responsable del
tratamiento; esté autorizada por el Derecho de la Unión o de los Estados miembros que se
aplique al responsable del tratamiento y asimismo establezca medidas adecuadas para
salvaguardar los derechos y libertades y los intereses legítimos del interesado; o cuando
haya un consentimiento expreso del interesado.
25 Ver Bryce Goodman y Seth Flaxman “European Union regulations on algorithmic decision-
making and a “right to explanation” 2016, Oxford, disponible en
https://arxiv.org/pdf/1606.08813v3.pdf
31
Medidas técnicas y de seguridad: Tanto el Reglamento como la ley 25.326 coinciden en
establecer la obligación para los responsables de bases de datos de implementar medidas
técnicas y organizativas que garanticen el cumplimiento con las disposiciones de las
normativas respectivas. Sin embargo, el Reglamento establece numerosas disposiciones que
detallan algunas de las medidas o herramientas que los responsables deben implementar
para asegurar la licitud de sus tratamientos de datos, cuestión que está ausente en la ley
25.326. Entre los tipos de medidas a adoptar se encuentran:
Registro de las actividades del tratamiento (art. 30): A diferencia de Argentina, los
responsables de tratamiento de datos no deben inscribir sus bases de datos en
ningún registro pero sí tienen la obligación de llevar un registro de las actividades
de tratamiento de datos que realizan, las cuales deben estar a disposición de las
autoridades de control cuando éstas lo requieran. Esta obligación no se aplica a
aquellas empresas u organizaciones que empleen menos de 250 personas, a menos
que el tratamiento pueda entrañar un riesgo para los derechos o libertades
fundamentales de los interesados, incluya datos sensibles o se refiera a datos sobre
condenas penales.
Privacidad por diseño y por defecto (art. 25): La primera consiste en la obligación
de todo responsable de tratamiento de aplicar desde el mismo momento en que se
determina los medios de tratamiento todas las medidas necesarias (seudominización,
limitación del tratamiento, etc) para respetar la privacidad de los usuarios. De esta
manera, todo proveedor de servicio, aplicación o similar debe tomar en cuenta al
momento de diseñar su producto la necesidad de que el mismo no afecte los
derechos de las personas. Vinculado con esto, se encuentra el deber de garantizar
por defecto que todo tratamiento de datos tenga como objeto sólo aquellos
necesarios para los fines de su actividad. Asimismo, estas medidas deben garantizar
que los datos personales no sean accesibles a un número indeterminado de personas.
32
Medidas de seguridad adecuadas (art. 24): El Reglamento establece que los
responsables o encargados de tratamiento de datos deben adoptar medidas
adecuadas para garantizar un nivel de seguridad adecuado al riesgo que dicho
tratamiento puede implicar para los derechos y la libertades de las personas. Para
evaluar dicho riesgo, se deberán tomar en cuenta los riesgos que pueda presentar la
eventual destrucción o alteración de la base de datos o el acceso no autorizado a
dichos datos. Además del riesgo, las medidas a adoptar deben tener en cuenta el
estado de la técnica, los costos de aplicación, y la naturaleza, alcance, contexto y
fines del tratamiento. Asimismo, se establece la obligación de incluir en el registro
de actividades la descripción de las medidas de seguridad adoptadas, en cuanto sea
posible. Por último, se considera que la adhesión a un código de conducta o a un
mecanismo de certificación constituye un elemento para demostrar el cumplimiento
de los requisitos de seguridad.
33
como el cifrado-, el responsable ha tomado medidas ulteriores que garantizan que
ya no existe le riesgo o cuando suponga un esfuerzo desproporcionado.
La autoridad de control puede decidir que existe un alto riesgo y así obligar a los
responsables a notificar la violación a los interesados.
Delegado de protección de datos (arts. 37 a 39): El DPD es una figura creada por el
Reglamento y constituye una de las principales novedades del futuro sistema
europeo de protección de datos personales. El reglamento establece que los
responsables y encargados del tratamiento deberán designar uno cuando: el
tratamiento se realice por una autoridad u organismo público (con excepción de la
34
función judicial), las actividades principales del responsable consistan en
operaciones de tratamiento que requieran una observación habitual y sistemática de
interesados a gran escala; o cuando las actividades principales del responsable o del
encargado consistan en el tratamiento a gran escala de datos sensibles o datos
relativos a condenas penales.
Sus funciones serán las de: informar y asesorar sobre las obligaciones impuestas por
la normativa sobre protección de datos, supervisar el cumplimiento de dicha
normativa ( en particular, lo que respecta a la asignación de responsabilidades, la
concienciación y formación del personal que participa en las operaciones de
tratamiento y las auditorías correspondientes), ofrecer asesoramiento sobre la
evaluación de impacto sobre protección de datos y cooperar o actuar de punto de
contacto con la autoridad de control para cuestiones relativas al tratamiento de
datos.
35
humanos y las libertades fundamentales, la legislación pertinente, la existencia y el
funcionamiento efectivo de una o varias autoridades de control independientes, los
compromisos internacionales asumidos, etc. Por el contrario, la ley argentina no contiene
una disposición similar. Esta omisión fue atenuada por el decreto reglamentario, que
estableció que se debe tener en cuenta la naturaleza de los datos, la finalidad y la duración
del tratamiento o de los tratamientos previstos, el lugar de destino final, las normas de
derecho, generales o sectoriales, vigentes en el país de que se trate, así como las normas
profesionales, códigos de conducta y las medidas de seguridad en vigor en dichos lugares, o
que resulten aplicables a los organismos internacionales o supranacionales.
36
cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los
cuales la República Argentina sea parte; o cuando la transferencia tenga por objeto la
cooperación internacional entre organismos de inteligencia para la lucha contra el crimen
organizado, el terrorismo y el narcotráfico. A su vez, el decreto reglamentario agregó el
consentimiento expreso del titular de los datos o interesado y el caso de datos contenidos en
registros públicos abiertos a la consulta del público en general.
Órgano de control (arts. 51 a 54): El Reglamento establece que todas las autoridades de
control de los países miembros deberán actuar con total independencia en el desempeño de
sus funciones. Asimismo, los miembros serán ajenos a toda influencia externa y no
solicitarán ni admitirán ninguna instrucción. Por otro lado, se dispone que todo Estado
debe garantizar que su autoridad de control cuente en todo momento con los recursos
humanos, técnicos y financieros, así como los locales y la infraestructura necesaria para el
cumplimiento efectivo de sus funciones. Finalmente, la normativa ordena que todos los
Estados garanticen que los órganos de control gocen de un presupuesto anual público e
independiente y que estén sujetos a un control financiero que no afecte su independencia.
Estas disposiciones pueden ser contrastadas con lo dispuesto por la ley argentina y
sobre todo con lo que sucede en la práctica con nuestro órgano de control. Como se dijo
anteriormente, si bien estaba previsto el carácter descentralizado y la autonomía funcional
de la autoridad de controlar, finalmente cuestiones financieras hicieron que estas
disposiciones fuesen vetadas por el Poder Ejecutivo de turno. Como resultado, en la
actualidad la Dirección Nacional de Datos Personales (DNPDP) es un órgano dependiente
del Poder Ejecutivo y que no cuenta con los recursos financieros necesarios para cumplir
con todas las funciones que le ordena cumplir la ley de protección de datos personales.
37
consiguiente, sus poderes de investigación son mucho más amplios que las de la autoridad
de control argentina.
En el caso del Reglamento – como dijimos anteriormente- las funciones son más
numerosas. A manera ejemplificativa, podemos mencionar las siguientes: controlar la
aplicación del Reglamento, promover la sensibilización del público y su comprensión de
los riesgos, normas, garantías y derechos en relación con el tratamiento; tratar las
reclamaciones presentadas e investigar, en la medida oportuna, el motivo de la reclamación
e informar al reclamante sobre el curso y el resultado de la investigación en un plazo
razonable; llevar a cabo investigaciones sobre la aplicación del Reglamento; hacer un
seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la
protección de datos personales, en particular el desarrollo de las tecnologías de la
información y la comunicación y las prácticas comerciales, entre otras. Para llevar a cabo
esta tarea, las autoridades disponen de amplios poderes de investigación y de corrección.
Entre los primeros se cuentan: llevar a cabo auditorías de protección de datos, revisiones de
las certificaciones, ordenar la facilitación de cualquier información necesaria para el
38
desempeño de las funciones, obtener el acceso a los datos personales, los equipos y medios
de tratamiento de datos. Entre los segundos podemos mencionar la facultad de imponer
sanciones (advertencia, apercibimiento, multa o la limitación -temporal o definitiva- del
tratamiento) ordenar la supresión, rectificación o limitación de un dato personal, ordenar a
los responsables o encargados que sus operaciones se ajusten al Reglamento, que atiendan
las solicitudes de los interesados en ejercicio de sus derechos o que notifiquen a dichos
interesados en caso de un incidente de seguridad
Sanciones (art. 83): En la normativa europea se prevén dos tipos de sanciones. La primera
y más importante es la multa económica. El Reglamento dispone que las mismas deben
imponerse de manera individual efectiva, proporcionada y disuasoria. De esta manera, el
monto de la sanción debe ajustarse de acuerdo a las circunstancias del caso concreto. Entre
los elementos a tener en cuenta figuran: la naturaleza, gravedad y duración de la infracción,
la intencionalidad o negligencia en la infracción, las medidas tomadas para paliar la
situación, etc. En forma paralela, se dispone que las autoridades de control de cada país
tendrán la capacidad de imponer medidas correctivas en forma conjunta o en reemplazo de
la multa. Estas medidas pueden consistir en advertencias, apercibimientos, órdenes de
limitación, rectificación o supresión, retiro de la certificación, etc.
39
Respecto a las cuantías de las multas, las mismas varían de acuerdo a la gravedad de
la infracción y van desde un monto fijo (de hasta 10.000.000 o 20.000.000 de euros según
la infracción) hasta un porcentaje -si se trata de una empresa- del 4% del negocio total
anual global del ejercicio financiero anterior.
26 Equivalente a 61,50 y 6150 euros o 64.38 y 6438 dólares, respectivamente (según tipo de
cambio 1 euro=16.23 pesos argentinos y 1 dólar=15,53 pesos argentinos del 23/12/2016)
40
autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento
de infracciones penales o de ejecución de sanciones penales. La mencionada norma entró
en vigor el 5 mayo de 2016 y tiene como principal finalidad el garantizar la adecuada
protección de los datos de las víctimas, testigos e investigados por la presunta comisión de
delitos. Paralelamente la Directiva pretende armonizar la cooperación transfronteriza de la
policía y los fiscales para combatir más eficazmente el crimen y el terrorismo en toda
Europa.
41
problemas debido a su indeterminación y amplitud. Asimismo, tampoco establece las
obligaciones que la Directiva europea ha consagrado para el tratamiento de este tipo de
datos. En conclusión, las bases de datos de las fuerzas de seguridad y/o policiales gozan de
una importante discrecionalidad, ya que se encuentran pobremente reguladas por la
normativa argentina. Como consecuencia, los ciudadanos encuentran numerosas
dificultades para ejercer la principal herramienta de protección de sus datos.
42
ejemplo, las tecnologías de biometría, pueden llevar un registro de nuestras actividades
cotidianas.
Por lo tanto, es necesario adecuar nuestra legislación para que responda a las
potenciales amenazas que el surgimiento de la era digital ha traído a las sociedades del
siglo XXI. En esta tarea, resulta útil consultar aquello que se está haciendo en otras partes
del mundo. No porque eso implique necesariamente que debamos copiar literalmente lo
dicho en otro lado, sino porque siempre es de ayuda saber qué es lo que han estado
haciendo países o regiones que ya han dedicado tiempo y recursos al análisis de temáticas
que resultan novedosas para nosotros.
Emprender una tarea a partir del conocimiento ya existente es mejor que empezar
desde cero. Con este objetivo en mente, es de esperar que este análisis comparativo sirva
para plantear los términos de una discusión acerca de las mejores formas de proteger los
datos de las personas en un mundo que pareciera volver cada vez mas difícil la protección
de nuestra privacidad y nuestra intimidad.
Bibliografía:
Gils Carbó, Alejandra. Régimen legal de las bases de datos y habeas data. Editorial
La Ley. Buenos Aires. 2001
43