DIPLOMATURA EN DERECHO Y TECNOLOGÍA - UADE

Protección de Datos Personales

Evaluación – Resolución Caso Práctico

Alumno: Fernando Martín Vila

DNI: 25.201.095
Número UADE: 1144175

PREGUNTA (I):
Con la finalidad de vincular a los clientes de BA Streaming con los de Todolibro, analizar la
información sobre consumo que existe en las bases de datos de ambas empresas. De este modo,
tomando como base la información de BA Streaming, categorizará a sus clientes del siguiente modo:
(a) consumidores de películas infantiles; (b) consumidores de películas dramáticas; (c) consumidores
de películas de acción y aventuras; (d) consumidores de películas de terror y ciencia ficción; y (e)
consumidores de películas para adultos. Teniendo presente esta categorización, exportará los datos
y los “entrecruzará” con la base de datos de Todolibro, a fin de enviar por correo -como obsequio-
libros a sus clientes teniendo en cuenta sus gustos/preferencias. ¿Existe algún impedimento para
realizar este cruzamiento de datos y/o para remitir los libros de obsequio? ¿Qué recaudos debería
adoptar el Grupo Inversor para evitar cuestionamientos derivados de la utilización de los datos
personales de los clientes?

RESPUESTA (I):
En los apartados siguientes se responde a las diferentes preguntas
formuladas, a saber.

i.a. Posibilidad de Cesión y Tratamiento Datos Personales con Fines

Publicitarios
La Ley de Protección de Datos Personales N° 25.326 (en adelante LPDP) -
como casi todas las normas de protección de datos personales- se erige sobre la
base del consentimiento previo, libre e informado del titular del dato como requisito
ineludible para el procesamiento de sus datos personales, salvo excepciones
específicas previstas por la propia ley.

1
 Siguiendo estos lineamientos el artículo 27 LPDP dispone que solo se
podrán tratar datos que sean aptos para establecer perfiles con fines promocionales
y/o publicitarios, cuando figuren en documentos accesibles al público o hayan sido
facilitados por los propios titulares u obtenidos con su consentimiento.
Así, la previsión particular del tratamiento de datos “con fines de publicidad”
dispuesta en el artículo 27 LPDP en nada difiere de las previsiones generales sobre
consentimiento previo establecidas el art 5 de la Ley 25.326.
Sin embargo, la reglamentación del artículo 27 antedicho establecida por
el Decreto N° 1558/01 creó un supuesto de excepción al principio del consentimiento
del titular del dato. En efecto, la reglamentación del artículo 27 dispuso
textualmente: “Podrán recopilarse, tratarse y cederse datos con fines de publicidad
sin consentimiento de su titular, cuando estén destinados a la formación de perfiles
determinados, que categoricen preferencias y comportamientos similares de las
personas, siempre que los titulares de los datos sólo se identifiquen por su
pertenencia a tales grupos genéricos, con más los datos individuales estrictamente
necesarios para formular la oferta a los destinatarios”.
Otra cuestión a tener presente, es que esta posibilidad de uso de datos
personales con fines publicitarios que se desprende del Decreto N° 1558/01, se
mantiene prácticamente intacta en el proyecto de ley de reforma de la ley 25.326.
En tal sentido, de acuerdo al actual marco normativo, las empresas podrán
cederse los datos personales cuando ello tenga como finalidad fines publicitarios.

i.b. Recaudos: Las empresas deberán tener en consideración las

siguientes cuestiones:

i.b.1. Derecho al Retiro: El Decreto N° 1558/01 dispone que en toda

comunicación con fines publicitarios se debe indicar, en forma expresa y destacada,
la posibilidad de solicitar el retiro, total o parcial, de su nombre de la base de datos.
Además, a pedido del interesado, se deberá informar el nombre del responsable o
usuario del banco de datos que proveyó la información.

2
 En tal sentido, las empresas deberán seguir el Código de Conducta de la
Cámara Empresaria a la cual pertenezcan, y, en caso de no pertenecer a ninguna,
o bien, que la misma no posea un Código de Conducta, deberá cumplir con la
obligación descripta en el párrafo anterior, conforme el mecanismo previsto al
momento de registrar las bases de datos respectivas.
En consecuencia, al momento del envío de los libros, se deberá dar
cumplimiento con las exigencias antes indicadas.

i.b.2. Otras Cuestiones a Considerar: Tal como se ha señalado, el

Decreto N° 1558/01-reglamentario LPDP- faculta a las empresas a realizar
entrecruzamiento de datos con fines publicitarios y/o marketing, contradiciendo los
preceptos del artículo 27 de dicha ley.
Dicha situación podría dar lugar a planteos de inconstitucionalidad del
Decreto N° 1558/01 respecto de la posibilidad de tratar datos personales para fines
publicitarios sin consentimiento.
Asimismo, existen antecedentes jurisprudenciales donde se señaló que “la
legitimidad del fin para el cual el responsable de la base de datos los ha obtenido,
es lo que otorga justificación al uso de datos personales de terceros y establece un
límite a su utilización”1
En virtud de lo antes expuesto, y a fin de evitar cuestionamientos, se podría
analizar la posibilidad (y modalidad de instrumentación) de solicitar a los clientes el
consentimiento para el uso publicitario y cesión de sus datos personales, máxime,
teniendo en consideración que es probable que las empresas continúen utilizando
las bases de datos para diversas finalidades.
En el apartado siguiente se analizarán los requisitos de dicho
consentimiento.

PREGUNTA (II)

1
[1] CNCom., Sala D, autos “Salvador, Claudio c/ Citibank N.A.”, fallo del 22/11/05 (del dictamen de la fiscal
de Cámara)

3
Siguiendo con el criterio del “cross-selling” entre Todolibro y BA Streaming, el Grupo Inversor desea
“unificar” los programas de fidelización de clientes que poseen estas dos empresas. La idea es que
los clientes de Todolibro puedan “sumar puntos” también adquiriendo productos o servicios en BA
Streaming y visceversa. Es importante aclarar que Todolibro es la titular y administra la base de
datos de su programa de fidelización de clientes y BA Streaming es titular y administra la base de
datos del suyo. El Grupo Inversor necesita confirmar si es posible “unificar” los dos programas de
fidelización y, en su caso, cómo debería instrumentarse tal unificación.

RESPUESTA (II)
Al implicar la unificación de los programas de fidelización cuestiones que
implican actos más de allá de la publicidad y marketing, entendemos que ambas
empresas deberán contar con el consentimiento de sus actuales clientes, pues se
cederán datos y se modificará la finalidad para la cual fueron recolectados
originariamente los datos.
Por lo tanto, deberá modificarse los términos y condiciones de contratación
(debiendo prestar conformidad los clientes originales), detallando la posibilidad de
cesión de datos personales entra ambas empresas y la nueva finalidad para la cual
son recolectados los datos.
Respecto a la conformidad de la cesión, tal lo previsto por el artículo 11
LPDP, se deberá detallar la finalidad de la cesión e identificar al cesionario.
Asimismo, se debe informar la posibilidad de revocar el consentimiento para la
cesión.
Asimismo, con relación al consentimiento, tal lo previsto por la Resolución
N° 4/2019 de la Agencia de Acceso a la Información Pública (en adelante, la
Resolución), el responsable de la base de datos debe acreditar que quien haya
prestado tal consentimiento sea efectivamente el titular de los datos requeridos y no
otra persona, esto es, que cuente con mecanismos de validación de identidad
eficaces.
Como puede apreciarse, la norma es muy exigente. En efecto, si bien no
establece ningún mecanismo en particular, dispone que el mecanismo debe ser
eficaz para validar la identidad de los usuarios. Con ello, la resolución se coloca en
una posición más bien "resultadista", cuyo cumplimiento deberá evaluarse en
concreto y no en abstracto. Por otra parte, la resolución impone al responsable de
la base de datos la obligación de "acreditar" que quien brindó el consentimiento era

4
el titular del dato. Esto implica que el mecanismo de validación deberá documentar
el proceso y generar evidencia que pueda ser utilizada por el responsable de la base
de datos2.
Asimismo, en el caso que en la base de datos “(a) consumidores de
películas infantiles” existan datos de menores de edad y/o tratamiento de datos
personales de niñas, niños y adolescentes, se debe tener en cuenta lo siguiente:
1) De conformidad con el principio de autonomía progresiva receptado
en los artículos 26 y 639 del Código Civil y Comercial, el menor de edad podrá
prestar consentimiento informado en relación al tratamiento de sus datos personales
teniendo en consideración sus características psicofísicas, aptitudes y desarrollo.
2) Si el menor de edad no posee la capacidad suficiente para prestar el
consentimiento informado, el titular de la responsabilidad parental o tutela sobre la
niña, niño o adolescente, deberá prestar el consentimiento para el tratamiento de
sus datos personales. En tal caso, el responsable de la base de datos deberá
realizar esfuerzos razonables para verificar que el consentimiento haya sido
efectivamente otorgado por el titular de la responsabilidad parental o tutela sobre el
menor de edad, teniendo en cuenta sus posibilidades para hacerlo.
Dada la referencia al Código Civil y Comercial, resulta evidente que los
menores podrán prestar válidamente su consentimiento para el tratamiento de sus
datos personales a partir de los 13 años. Por debajo de dicha edad, deberá
analizarse caso a caso el grado de madurez del menor, ya que no podría
establecerse una regla general.

PREGUNDTA III:
Consolidar la base de datos de usuarios de el BA Streaming y de Todolibro en una única base de
datos de todos los usuarios de las distintas empresas que posee el Grupo Inversor. Estas empresas
están localizadas en distintos lugares del mundo, pero en su mayoría en países de Europa. La base

2
Conceptos y mejores prácticas en la aplicación de la Ley de Protección de Datos Personales.
La resolución 4/2019 de la Agencia de Acceso a la Información Pública, Autores: Veltani, J.
Conceptos y mejores prácticas en la aplicación de la Ley de Protección de Datos Personales.
La resolución 4/2019 de la Agencia de Acceso a la Información Pública Veltani, Darío -
Iannello, Romina S. Publicado en: LA LEY 13/03/2019, 13/03/2019, 1 - LA LEY2019-A,
1065. Cita Online: AR/DOC/461/2019
5
única se consolidaría en Argentina dado que los costos para el tratamiento son más convenientes, y
sería operada por BA Streaming. ¿Genera esto alguna obligación adicional para BA Streaming?
¿Considera que esta estructura es conveniente desde el punto de vista jurídico para BA Streaming?
¿Existe alguna figura que aparezca como más eficiente?

RESPUESTA (III)
La unificación de la base de datos, implicará que se trataran datos
personales de empresas que prestan sus servicios en Europa.
Sentado lo expuesto, debemos tener en consideración el Reglamento
General de Protección de Datos Personales 2016/679 del Parlamento Europeo y
del Consejo, de 27/04/2016, relativo a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre circulación de estos
datos, también denominado GDPR por sus siglas en inglés (en adelante, el
"Reglamento" o "RGPD" en forma indistinta).
El Reglamento amplió el alcance territorial de sus disposiciones,
extendiéndolas de forma tal que comprenda agentes (responsables o encargados
de tratamiento) situados fuera de las fronteras del ámbito en donde rige la normativa
comunitaria. En tal sentido, el art. 3º establece lo siguiente:
"1. El presente Reglamento se aplica al tratamiento de datos personales en el
contexto de las actividades de un establecimiento del responsable o del encargado
en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o
no.
"2. El presente Reglamento se aplica al tratamiento de datos personales de
interesados que residan en la Unión por parte de un responsable o encargado no
establecido en la Unión, cuando las actividades de tratamiento estén relacionadas
con:
"a) la oferta de bienes o servicios a dichos interesados en la Unión,
independientemente de si a estos se les requiere su pago, o
"b) el control de su comportamiento, en la medida en que este tenga lugar en la
Unión.
"3. El presente Reglamento se aplica al tratamiento de datos personales por parte
de un responsable que no esté establecido en la Unión sino en un lugar en que el
derecho de los Estados miembros sea de aplicación en virtud del derecho

6
internacional público".
Por tanto, el Reglamento aplica a empresas establecidas en la Unión
Europea como a aquellas que, ubicadas fuera del ámbito del bloque comunitario,
realicen un tratamiento de datos que tenga un punto de conexión con Europa, ya
sea porque ofrezcan productos o servicios a sujetos en la Unión o monitoreen
comportamientos de individuos en tal región. En consecuencia, BA Streming deberá
dar cumplimiento con la normativa que fija el GDPR.
El catálogo de deberes que impone el RGPD es extenso, pero podemos
citar a modo de ejemplo la obligación de adoptar medidas técnicas y organizativas
necesarias para demostrar un adecuado tratamiento de los datos personales en pos
del principio de responsabilidad proactiva o accountability, y que puede incluir la
implementación de políticas, procedimientos, códigos de conducta, la creación de
un registro de las actividades de procesamiento, etc. El RGPD también comprende
la implementación de medidas de seguridad, la notificación de incidentes o brechas
de seguridad, la realización de evaluaciones de impacto en materia de protección
de datos personales y la formulación de las consultas previas a las autoridades
respectivas en los casos pertinentes, así como la designación del delegado de
protección de datos personales en los supuestos indicados por la norma 3.
En consecuencia, no parece ser lo más conveniente la estructura planteada
por BA streaming desde el punto de vista jurídico.
Entendemos que podría ser más eficiente, plantear convenios de cesión y
tratamiento de datos personales entre las empresas, máxime cuando la República
Argentina es parte del Protocolo que modifica el Convenio 108 del Consejo de
Europa para la Protección de las Personas con Respecto al Tratamiento
Automatizado de Datos de Carácter Personal (comúnmente conocido como
"Convenio 108+").
En efecto, el Convenio 108+ posibilita la transmisión internacional de datos
y tratamiento por los estados partes, cumpliendo con las normativa legal de cada

3
Alcance territorial de las Leyes de Protección de Datos Personales, Peruzzotti, Mariano, LA LEY
19/11/2020, 19/11/2020, 1, Cita Online: AR/DOC/2634/2020

7
país y tratados internacionales, pero sin tener que cumplir las mayores exigencias
del GDPR.

CONSULTA IV:
Con relación a los problemas que se ha encontrado luego de la adquisición, el Grupo Inversor ve
que en Todolibro existe un programa de fidelización de clientes que otorga puntos por cada compra
realizada; dichos puntos pueden, luego, ser canjeados por productos u órdenes de compra. En este
contexto, unos días después de la adquisición por parte del Grupo Inversor, Todolibro recibió un
reclamo de un cliente adherido al programa de millaje, solicitando que se eliminen del sistema
informático los títulos de los libros adquiridos por él por cuanto evidencian sus ideas y opiniones
políticas. ¿Cómo debería actuar Todolibro frente a este reclamo?

RESPUESTA IV:
El artículo 16 LPDP dispone que toda persona tiene derecho a que sean
suprimidos o sometidos a confidencialidad los datos personales de los que sea
titular, que estén incluidos en un banco de datos.
A su vez, el artículo 2 de la LPDP define como dato sensible, entre otros
supuestos, a aquel dato personal que puede revelar opiniones políticas. Por otro
lado, el artículo 7 LPDP prohíbe la formación de bancos de datos que almacenen
información que directa o indirectamente revele datos sensibles.
Atento lo expuesto, y teniendo en consideración que no existe normativa
legal que ordene a Todolibro tener dicha información, no existe perjuicio a un
tercero, y, además, no habría mayor perjuicio para TodoLibro en suprimir la, se
aconseja que proceder a la supresión de la información.
Es menester señalar, que tal lo previsto en el artículo 16 LPCDP, la
supresión debe realizarse en el plazo máximo de cinco días hábiles de recibido el
reclamo, y, además, deberá notificarse la supresión a quienes se hayan cedido los
datos personales.

CONSULTA (V)
Finalalmente, si tuviera que redactar la política de privacidad del sitio web de BA Streaming y de
Todolibro, ¿Qué recaudos debería tener? ¿Qué debería garantizar cada empresa a sus usuarios?
¿Cuáles son los derechos de los titulares de datos personales y cómo se ejercerían?

8
RESPUESTA V:
La empresa en las políticas de privacidad deberá tener en cuenta los
siguientes recaudos:
1. El cliente preste el consentimiento (conforme lo antes señalado) para la
cesión de datos, indicando la finalidad de la cesión, posible transferencia
internacional y detallando específicamente a las empresas.
2. Informar que lo datos serán almacenadas en la base de datos de clientes de
la empresa, indicando la finalidad para la cual serán almacenados.
3. La empresa garantizará la facultad de ejercer el derecho de acceso a los
datos personales en forma gratuita a intervalos no inferiores a seis meses,
salvo que se acredite un interés legítimo al efecto, conforme lo establecido
en el artículo 14, inciso 3 de la Ley N.º 25.326.
4. El Titular podrá solicitar, en cualquier momento, la actualización, rectificación
y/o supresión de los datos personales oportunamente suministrados.
5. Indicar la modalidad para ejercer los derechos antes indicados en forma
gratuita, previa acreditación de identidad. No se podría fijar que envía una
carta documento, pues ello genera un costo.
6. Indicar que: “La AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA,
Órgano de Control de la Ley N.º 25.326, tiene la atribución de atender las
denuncias y reclamos que se interpongan con relación al incumplimiento de
las normas sobre protección de datos personales”.

Ciudad Autónoma de Buenos Aires, 1 de mayo de 2021

Fernando Digitally signed by

Fernando Martin Vila

Martin Vila 16:48:19 -03'00'

Date: 2021.05.01

Fernando Martín Vila

DNI 25201095