Breve pantallazo de la situación actual
La modificación normativa en materia de datos personales realizada en la Unión Europea consistente en la sanción del Reglamento General de Protección de Datos (o más conocido como GDPR por sus siglas en inglés General Data Protection Regulation) trascendió la frontera de la Unión Europea. Y ello se debe no solamente a la extraterritorialidad que el propio GDPR establece, sino a la influencia en estados como Argentina, considerados por la Unión Europea como paísconprotección adecuada en materia de datos personales,que continuando la tendencia van camino a armonizar su normativa y estándares a los nuevos lineamientos sentados por el GDPR.
Así, desde la sanción del GDPR, Argentina comenzó un proceso de actualización del régimen de datos personales. Entre dicho proceso se puede mencionar la adhesión al Convenio 108, el hecho de que se encuentra bajo tratamiento por el Congreso de la Nación un proyecto de modificación de la actual Ley N° 25.326 de Protección de Datos Personales (la “LPDP”) y la emisión de nueva reglamentaciónpor parte de la Agencia de Acceso a la Información Pública (la “AAIP”). Es en este marco es que con fecha 16 de enero de 2019, y mientras se aguarda el tratamiento en el Congreso de la Nación de la nueva Ley de Protección de Datos Personales, se publicó en el Boletín Oficial la Resolución N° 4/2019 de la AAIP (la “Resolución”) que es el objeto del presente.
Criterios orientadores e indicadores de mejores prácticas instaurados por la Resolución
Mediante la Resolución se aprobaronlos criterios orientadores e indicadores de mejores prácticas en la aplicación de la LPDP.
Es importante destacar que la observancia de la Resolución, y a diferencia de otras normas emitidas por la AAIPresulta obligatoria “para todos aquellos sujetos alcanzados por la Ley Nº 25.326”.
La Resolución impone los 5 criterios que serán analizados a continuación:
- Criterio 1: Derecho de acceso a datos personales recolectados mediante sistemas de video vigilancia
El fin de este punto consiste en regular los sistemas de video vigilancia y la imagen de las personas la cual se cataloga como “dato personal”. Dichos sistemas de video vigilancia actualmente deben inscribirse como una base de datos ante la AAIP.
Así, se dispone que cualquier persona que quiera acceder a su imagen (dato personal) recolectado mediante sistemasde video vigilancia debe acreditar su identidad mediante DNI e indicar fecha y hora aproximada en laque pudo haber sido captada su imagen así como brindar la información necesaria para identificarla.
Por su parte, el responsable de la base de datos debe proporcionar los datos personales en forma clara, acompañadosde una explicación del tiempo en que se registró la imagen, lugar en el que el sistema de videovigilancia lo registrara, finalidad, eventuales cesiones y/o destino de los datosy debe indicar si el banco dedatos se encuentra inscripto ante la AAIP.
Si bien esta primera parte no parece ocasionar mayores dificultades interpretativas, la obligación, establecidacon carácter excepcional, deproporcionar la imagen (impresión o archivoen formato digital) si el titular funda debidamente la solicitud y cubreel costo que irrogue el trámite, puede ser un poco más complicada de aplicar. Sobre todo, si se tiene en cuenta que se dispone que si de la grabación se identifica aalgún tercero, el responsable de la base de datos deberá aplicar alguna técnica de disociación de forma talque sólo pueda ser identificado el titular de los datos.
Finalmente se impone una obligación formal: informar expresamente y con claridad al titular de los datos que, encaso de disconformidad con la respuesta brindada, podrá presentar su reclamo ante la AAIPa fin de que dicha autoridad sancione al titular de la base de datos y además puede iniciar la correspondiente acción de habeas data para obtener sus datos personales.
- Criterio 2: Tratamiento automatizado de datos
Otro de los criterios establecidos en la Resolución dispone que cuando el responsable de la base de datos tome decisiones basadas únicamente en el tratamientoautomatizado de datos que le produzcan al titular de los datos efectos jurídicos perniciosos o lo afectensignificativamente de forma negativa, el titular de los datos tendrá derecho a solicitar al responsable de labase de datos una explicación sobre la lógica aplicada en aquella decisión, de conformidad con el artículo15, inciso 1 de la LPDP.
El derecho a obtener información cuando se tomen decisión a través del tratamiento automatizado de datos se encuentra en el GDPR en el Considerando 71. Sin embargo, en el GDPR se prohíbe como principio – salvo que se encuentra específicamente permitido por la Unión Europea o por algún Estado Miembro o que el titular haya dado su explícito consentimiento- la toma de decisiones que evalúen aspectos personales de una persona y que se basen únicamente en un tratamiento automatizado.
Asimismo, resulta interesante mencionar que el GDPR menciona como supuestos prohibidos de toma de decisiones a través de tratamiento automatizado de datos “la denegación automática de una solicitud de crédito en línea”.Argentina, si bien no posee una disposición similar, podemos mencionar que en el Código Civil y Comercial de la Nación, dentro del Capítulo 12 “Contratos Bancarios con Consumidores y Usuarios” artículo 1387 segundo párrafo sedispone: “Si el banco rechaza una solicitud de crédito por la información negativa registrada en una base de datos, debe informar al consumidor en forma inmediata y gratuita el resultado de la consulta y la fuente de donde la obtuvo”. Sin embargo, ello se encuentra limitado a un deber de información y en el ámbito de contratos bancarios con consumidores y usuarios y no se extiende a todo el universo de contratantes tal como lo hace la Resolución.
- Criterio 3: Disociación de datos
La protección que otorga el régimen de datos personales argentino resulta aplicable siempre y cuando exista “información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables”.
Así, si se aplica una técnica de disociación de datos, entendida como aquel tratamiento de datos personales que hace que la información obtenida no pueda asociarse a persona determinada o determinable, los datos dejan de ser “datos personales” y por lo tanto ya no se encuentran amparados por el régimen argentino de protección de datos personales.
Ahora bien, bajo la Resolución se dispone que noserá considerada persona determinablecuando elprocedimiento que deba aplicarse para lograr la identificación de la persona cuando los datos se encuentra disociados requiera la aplicación de medidas o plazosdesproporcionados o inviables. Esto es, queda expresamente aclarado que aun en el caso que el dato anonimizado pueda recuperarse por algún tipo de mecanismo de ingeniería inversa u otra técnica que permita volver a identificar el dato con una persona determinada, si para ello se requieren medidas o plazos desproporcionados o inviablesdeja de estar protegido pese a que existe una posibilidad de que vuelva identificarse al dato con una persona, volviendo a ser “técnicamente” un dato personal.
Por otro lado, se genera la incertidumbre de cuándo una medida o plazo es desproporcionado o inviable, términos que no son transparentes y que no se encuentran definidos en nuestro ordenamiento jurídico.
- Criterio 4: Datos biométricos
Mediante la Resolución se otorga una definición a los denominados “datos biométricos” indicando que son “aquellos datos personales obtenidos a partir de un tratamiento técnico específico,relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan oconfirmen su identificación única”.Esta misma definición se encuentra en el artículo 2 del Proyecto de modificación de la Ley de Datos Personales.
Asimismo, una definición muy similar se encuentra en el GDPR en el Artículo 4 (Definiciones) punto 14) en el cual se indica que son los “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Por otro lado, la Resolución indica que “Los datos biométricos que identifican a una persona se considerarán datos sensibles (conforme el artículo2°, Ley N° 25.326) únicamente cuando puedan revelar datos adicionales cuyo uso pueda resultarpotencialmente discriminatorio para su titular (v.g. datos que revelen origen étnico o información referentea la salud)”. Entendemos que esta aclaración nada agrega en tanto en la actual LPDP (artículo 2) se otorga una definición de datos sensibles.
- Criterio 5: Consentimiento
Mediante la Resolución se pone expresamente la obligación de que el responsable de la base de datos acredite que quien haya prestado tal consentimiento seaefectivamente el titular de los datos requeridos y no otra persona. Y para ello, se dispone que se debe contar con “mecanismos devalidación de identidad eficaces” dejando amplio margen para que los sujetos responsables de la base de datos apliquen aquellos mecanismos que más le resulten (ya sea por una cuestión económica o de industria, etc).
Luego, la Resolución dedica un punto a la cesión de datos personales entre organismos públicos, indicando que no se requiere el consentimiento deltitular de los datos y se cumple con las condiciones de licitud, en la medida en que (i) el cedente hayaobtenido los datos en ejercicio de sus funciones, (ii)el cesionario utilice los datos pretendidos para unafinalidad que se encuentre dentro del marco de su competencia y, por último, (iii) los datos involucradossean adecuados y no excedan el límite de lo necesario en relación a esta última finalidad.
Por otro lado, y en armonía con el Código Civil y Comercial de la Nación y la capacidad gradual que éste instaura, se establece que el menor de edad podrá prestar consentimiento informado en relación al tratamiento desus datos personales teniendo en consideración sus características psicofísicas, aptitudes y desarrollo.
Además, y lo cual resulta una obviedad, la Resolución aclara que si el menor de edad no posee la capacidad suficiente para prestar el consentimiento informado, el titularde la responsabilidad parental o tutela deberá prestar el consentimientopara el tratamiento. Y nuevamente, se pone en cabeza del responsable de la base de datos la responsabilidad de “realizaresfuerzos razonables” para verificar que el consentimiento haya sido efectivamente otorgado por el titular dela responsabilidad parental o tutela.
Conclusiones
Entendemos que mientras la AAIP se maneje dentro del marco de sus facultades y no exceda de su competencia, la sanción de normativa como esta Resolución traen luz sobre aspectos operativos del tratamiento de datos y a la vez ayuda a Argentina a continuar siendo un país de protección adecuada en materia de protección de datos personales, tema sumamente importante para poder hacer negocios con el mundo y sobre todo con los miembros de la Unión Europea. Esto, mientras se aguarda la sanción de la Nueva Ley de Datos Personales.
Leer artículo publicado en Abogados.com.ar