Mejores prácticas en la aplicación de la Ley de Protección de Datos Personales. Resolución 4/2019 de la Agencia de Acceso a la Información Pública
Por Romina Iannello
AVOA Abogados

El 16/01/2019 se publicó en el Boletín Oficial la Resolución 4/2019 de la Agencia de Acceso a la Información Pública (en adelante, la “Resolución”), que tiene por finalidad establecer criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley 25.326.

 

Si bien la Resolución los denomina “criterios orientadores”, la propia norma aclara que resultan de aplicación obligatoria.

 

La Resolución regula 7 aspectos puntuales relacionados con el tratamiento de los datos personales: (i) el ejercicio del derecho de acceso con relación a bases de datos de videovigilancia; (ii) el tratamiento automatizado de datos personales; (iii) el concepto de “persona determinable”; (iv) el concepto de “datos biométricos”; (v) la obligación de validar a la identidad por parte del titular de la bases de datos; (vi) la cesión de datos personales en el ámbito público, y (vii) el tratamiento de datos personales de menores.

 

A continuación analizaré cada uno de los puntos indicados precedentemente. 

 

1. El ejercicio del derecho de acceso con relación a bases de datos de videovigilancia

 

En el año 2015 la Dirección Nacional de Protección de Datos Personales (DNPDP) dictó la Disposición 10/2015 que reguló específicamente a las bases de datos de imágenes de videovigilancia. Pero en dicha norma no se aclaraba cómo proceder, desde el punto de vista práctico, frente a un pedido de acceso, en los términos del artículo 14 de la Ley 25.326.

 

La Resolución establece que para ejercer el derecho de acceso respecto de una base de datos de videovigilancia el titular de los datos personales debe: (i) acreditar su identidad mediante DNI; (ii) indicar fecha y hora aproximada en al que pudo haber sido captada su imagen; y (iii) brindar toda la información necesaria para poder identificar su imagen. Y ante un requerimiento de acceso, el responsable de la base de datos de videovigilancia debe: (i) responder el pedido en forma clara, con expresa indicación de la fecha y hora en que se registró al titular de los datos, lugar en el que el sistema de videovigilancia lo registra, finalidad, eventuales cesiones y/o destinos de los datos; (ii) indicar si la base de datos se encuentra registrada por ante el Registro Nacional de Bases de Datos; (iii) informar al titular de los datos personales que en caso de disconformidad con la respuesta brindada podrá recurrir a la Agencia de Acceso a la Información Pública; y (iv) excepcionalmente, y sólo ante un pedido fundado y respecto del cual el titular asuma los costos, entregar al titular una copia de la imagen.  Si en la imagen pudiera verse un tercero, el titular de la base de datos deberá aplicar técnicas de disociación respecto de dicho tercero.

 

2. Tratamiento automatizado de datos personales

 

La Ley 25.326 dispone que no pueden tomarse decisiones -administrativas o judiciales- que se basen únicamente en el tratamiento automatizado de datos personales, bajo pena de nulidad. Pero nada dice sobre decisiones que se adopten  en el ámbito privado.

 

En este contexto, la Resolución prevé que cuando se adopte una decisión basada en el tratamiento informatizado de datos personales que resulte perjudicial para su titular, éste podrá requerir una explicación sobre la lógica aplicada para adoptar dicha decisión. Este derecho del titular del dato, que generalmente resultará de aplicación en el ámbito privado, se funda en el derecho de información (artículo 15 de la Ley 25.326).

 

3. Persona determinable

 

La Resolución ha procurado precisar el concepto de “persona determinable” contenido en la Ley 25.326. A tal fin, establece que una persona no será considerada “determinable” “cuando el procedimiento que deba aplicarse para lograr su identificación requiera la aplicación de medidas o plazos desproporcionados o inviables”. 

 

La norma no indica qué deberá entenderse por “medidas o plazos desproporcionados o inviables”.  En consecuencia, los responsables de bases de datos deberán asignarle su interpretación a dichos conceptos hasta tanto la Agencia de Acceso a la Información Pública o los tribunales se expidan al respecto.

 

4. Datos Biométricos

 

La Resolución incorpora el concepto de “dato biométrico” y lo define como “aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan o confirmen su identificación única”. No prevé un régimen especial para estos datos.

 

Además establece que, cuando los datos biométricos puedan revelar datos potencialmente discriminatorios para su titular, serán considerados como datos sensibles, en los términos del artículo 2 de la Ley 25.326.

 

5. La obligación de validar a la identidad por parte del titular de la bases de datos

 

La Resolución dispone que “cualquiera sea la modalidad del consentimiento que se adopte, conforme el artículo 5, inciso 1 de la Ley 25.326, el responsable de la base de datos debe acreditar que quien haya prestado tal consentimiento sea efectivamente el titular de los datos requeridos y no otra persona, esto es, que cuente con mecanismos de validación de identidad eficaces”.

 

Si bien no establece un mecanismo en particular, la Resolución impone al responsable de la base de datos la obligación de “acreditar” que quien brindó el consentimiento era el titular del dato. Esto implica que el mecanismo de validación deberá documentar el proceso y generar evidencia que pueda ser utilizada por el responsable de la base de datos.

 

6. Cesión de datos personales en el ámbito público

 

La Resolución dispone que en “la cesión de datos personales entre organismos públicos, no se requiere el consentimiento del titular de los datos y se cumple con las condiciones de licitud, en la medida en que (i) el cedente haya obtenido los datos en ejercicio de sus funciones, (ii) el cesionario utilice los datos pretendidos para una finalidad que se encuentre dentro del marco de su competencia y, por último, (iii) los datos involucrados sean adecuados y no excedan el límite de lo necesario en relación a esta última finalidad”.

 

Si bien la cesión  de datos personales entre organismos del Estado ya está regulada en la Ley 25.326, la Agencia de Acceso a la Información Pública consideró necesario precisar algunos aspectos. No obstante, del modo que quedó redactada la Resolución entendemos que podrían generarse confusiones ya que una interpretación literal de la norma podría determinar que cuando un organismo estatal ha accedido a un dato personal, podrá cederlo a cualquier otro organismo estatal con la única limitación de que el cesionario los utilice para fines vinculados con su competencia.

 

7. Tratamiento de datos personales de menores de edad

 

La Resolución dispone que “i) de conformidad con el principio de autonomía progresiva receptado en los artículos 26 y 639 del Código Civil y Comercial, el menor de edad podrá prestar consentimiento informado en relación al tratamiento de sus datos personales teniendo en consideración sus características psicofísicas, aptitudes y desarrollo” y “ii) si el menor de edad no posee la capacidad suficiente para prestar el consentimiento informado, el titular de la responsabilidad parental o tutela sobre la niña, niño o adolescente, deberá prestar el consentimiento para el tratamiento de sus datos personales. En tal caso, el responsable de la base de datos deberá realizar esfuerzos razonables para verificar que el consentimiento haya sido efectivamente otorgado por el titular de la responsabilidad parental o tutela sobre el menor de edad, teniendo en cuenta sus posibilidades para hacerlo”.

 

A diferencia del Código Civil y Comercial de la Nación, la Resolución no establece topes de edad. No obstante, podría sostenerse que los menores a partir de los 13 años podrían prestar válidamente su consentimiento para el tratamiento de datos personales y, por debajo de dicha edad, deberá analizarse caso a caso el grado de madurez del menor.

 

8. Conclusión

 

La Resolución tuvo como objeto clarificar algunos aspectos de la Ley 25.326  que generaron posiciones encontradas en la doctrina y en la jurisprudencia. Pero también actualizar ciertos criterios de cumplimiento de la ley a la luz del avance de la tecnología y las nuevas modalidades de tratamiento de datos personales, que difieren sustancialmentede las existentes cuando entró en vigencia la Ley 25.326 en el año 2001.

 

Por otra parte, actualmente se está discutiendo en el Congreso un proyecto de reforma de la Ley 25.326 y la Resolución, en muchos aspectos, intentó acercarse a la nueva regulación o erigirse como un punto intermedio entre la actual y la futura.

 

Tal es así que, por ejemplo, incorporó la definición de “dato biométrico” y reguló el “tratamiento automatizado de datos personales”. Ambos temas, aunque con algunas diferencias, se encuentran comprendidos en el proyecto de reforma de la Ley 25.326.

 

 

Opinión

Acuerdo Privado de Reorganización empresarial: divulgando una herramienta poco conocida
Por Juan Andres Urgoiti
Bragard
detrás del traje
Carina Marcela Castrillon
De BULLO ABOGADOS
Nos apoyan