LA PROTECCIÓN DE LOS DATOS PERSONALES EN LA NORMATIVA ARGENTINA
En la actualidad, con el auge de las redes sociales y el marketing directo (uno a uno), los datos personales –es decir, aquellos que identifican o pueden hacer identificable a una persona- cuentan con un valor en el mercado sin precedentes. La obtención y gestión de este tipo de información no solo resulta rentable para empresas; también representa un gran valor para autoridades (por motivos de seguridad nacional, por ejemplo). Por eso, debe ser debidamente protegida para evitar abusos en su recolección y tratamiento.
En la Argentina, la protección de datos personales se encuentra garantizada a través de la acción de habeas data prevista en el artículo 43 de la Constitución Nacional, la que consagra el derecho de las personas a conocer, controlar, solicitar la rectificación, la supresión, la confidencialidad y la actualización de los datos que de ellas existen en poder de terceros.
En línea con esta garantía, rige la ley 25.326 de Protección de los Datos Personales (LPDP), que adopta lo previsto constitucionalmente. La finalidad de esta norma es la protección de los datos de las personas contenidos en archivos o bases de datos. La ley, reglamentada por el correspondiente decreto, se complementa con disposiciones de la Dirección Nacional de Protección de Datos Personales (DNPDP), designada su Órgano de Control.
De la normativa se desprenden principios que consagran exigencias a cargo de aquellos que tratan datos personales en el ejercicio de su actividad. Entre ellos:
Se establece la obligación de registrar las bases de datos por parte del Responsable de la Base de Datos, definido como aquella persona física o de existencia ideal pública o privada que es titular de un archivo, registro, base o banco de datos. Las bases de datos que no se encuentren registradas ante el Registro Nacional de Bases de Datos a cargo de la DNPDP son consideradas ilícitas.
La normativa también prevé la necesidad de que el Responsable de la Base de Datos asegure la calidad de los datos, es decir su exactitud, veracidad, pertinencia y actualidad. Esta exigencia conlleva el cumplimiento de un complejo de obligaciones y la implementación de medidas pertinentes para tal fin.
Otro de los principios a cumplimentar es aquel que refiere a la finalidad del registro. Los datos recolectados deben ser adecuados a la finalidad determinada al momento de la creación del Archivo de Datos, definido como aquel conjunto organizado de datos personales objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso; y no modificable sin un nuevo consentimiento del interesado.
La normativa también consagra el principio de lealtad, que implica que la recolección de los datos no puede hacerse por medios desleales, fraudulentos o contrarios a las finalidades de la ley, lo que significa brindar al titular información suficiente y obtener por parte de éste un consentimiento libre, expreso e informado.
Por último, y estrechamente relacionado con el principio anterior, cabe destacar el deber de informar por parte del Responsable de la Base de Datos. Esto significa que debe poner al titular en conocimiento de la existencia de la base de datos y los derechos que le asisten: de acceso, rectificación, supresión y actualización de los datos recolectados.
La ley también especifica las medidas técnicas y organizativas que el Responsable de la Base de Datos debe cumplir a efectos de garantizar la seguridad de los datos personales. Estas medidas, establecidas en la disposición 11/2006 de la DNPDP, son aún más estrictas en los casos de tratamiento de datos sensibles (aquellos que por su naturaleza o contexto pudieran producir algún trato discriminatorio al titular).
Además de las obligaciones del Responsable de la Base de Datos, la ley prevé el supuesto de una prestación de servicios que implique el tratamiento de datos personales por cuenta de terceros, a quienes se denomina Encargados del Tratamiento y quedan igualmente sujetos al cumplimiento de las medidas de seguridad dispuestas por la normativa. La prestación del servicio en sí, a su vez, debe estar regulada por un contrato que vincule al Encargado del Tratamiento con el Responsable de la Base de Datos, quien deberá disponer las obligaciones y derechos del primero.
Otro punto que establece la norma es la prohibición de la transferencia internacional de datos personales con países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados, especificados por la DNPDP como aquellos con los que cuenta el país que pretende realizar la transferencia. La seguridad nacional, cuestiones de salud pública, lucha contra el crimen organizado y terrorismo gozan de una excepción en este punto.
Las consecuencias del no cumplimiento de las exigencias enumeradas también están contempladas en el cuerpo de la ley, siendo la Autoridad de Control la facultada a aplicar apercibimientos, suspensiones, multas y hasta la clausura o cancelación del archivo. El titular del dato, por su parte, cuenta con la acción de habeas data, mencionada al comienzo de este artículo, que tiene por objeto conocer, rectificar, adicionar, suprimir, bloquear o actualizar datos personales que consten en bases de datos públicas o privadas. Sin perjuicio de ello, puede accionarse civilmente y/o iniciar acciones penales contra quien trate datos personales incumpliendo la normativa vigente.
Por último, cabe mencionar algunos de los documentos que se utilizan para reflejar el cumplimiento con lo previsto en la normativa en análisis. En primer lugar, se encuentra la Política de Privacidad cuya función consiste en informar, entre otras cosas: el Responsable de la Base de datos, su inscripción ante la DPDP, la información que se solicita del usuario, las finalidades que se persigue con la recolección de los datos, los derechos a favor del titular del dato y los supuestos de cesión o tratamiento de datos por parte de terceros. El Documento de Seguridad de Datos Personales, por su parte, es el que consagra las previsiones de la ley y tiene por fin reglamentar las condiciones en que se llevará a cabo la recolección y el tratamiento de datos personales por quienes conforman la empresa Responsable de la Base de Datos.
Para finalizar, resulta relevante mencionar que en el año 2016 la DNPDP presentó una propuesta de reforma de la ley aquí explicada, motivada en gran medida por la necesidad de adecuar la normativa a los cambios tecnológicos. Además, se pretende reflejar la experiencia acumulada por la DNPDP en sus más de 15 años como Autoridad de Control de la ley, así como alinearse a las últimas tendencias normativas, tal como el Reglamento General de Protección de Datos de la Unión Europea (Reglamento UE 2016/679) del año 2016.