Protección de la privacidad en organismos públicos
Por Romina Iannello
AVOA Abogados

El 9/11/2018 se publicó en el Boletín Oficial la Resolución 204/2018 de la Administración Nacional de la Seguridad Social –A.N.Se.S- (en adelante, la “Resolución”) que aprueba la “Política de Protección de Datos Personales”, la “Política de Acceso a la Información Pública”  y la “Política de Intercambio de Información con Organismos de Control” de dicha entidad (en adelante, las “Políticas”).

 

En el presente trabajo me referiré únicamente a los aspectos más relevantes de la Política de Protección de Datos Personales.

 

No obstante, antes de hacerlo, explicaré los derechos de acceso a la información pública y de protección de datos personales y su tensión, a fin de poner en manifiesto la importancia de las Políticas y la necesidad de que todos los organismos públicos sigan un camino similar.

 

La tensión entre el derecho de acceso a la información pública y la privacidad y protección de los datos personales

 

En la Argentina la información está protegida por la Ley 24.766[1], que se refiere a la información en general, y por la Ley 25.326[2] que protege una categoría especial de información: los datos personales[3].

 

La Ley 25.326 se basa en el principio de autodeterminación informativa, que se concreta en la facultad de toda persona para ejercer control sobre su información personal, contenida en bases de datos públicas o privadas. Si bien este principio no está enunciado expresamente  como tal en nuestro ordenamiento jurídico, los derechos y obligaciones contenidos en la Ley 25.326 fueron inspirados en él. Y en particular, en lo que aquí interesa, el principio del consentimiento informado, según el cual como regla general no se pueden tratar datos personales sin el consentimiento de su titular.

 

Respecto del derecho de acceso a la información pública, en el año 2016 se dictó la Ley 27.275[4]que estableció como regla general la publicidad[5] de toda la información en poder del Estado. Su finalidad es garantizar el efectivo ejercicio del derecho de acceso a la información pública, la promoción de la participación ciudadana y la transparencia de la gestión pública.

 

Es en este punto en el que se presenta la tensión entre estos derechos. Ello es así porque el Estado debe, como regla general, permitir que los ciudadanos accedan a toda la información sobre los actos estatales. Pero podría ocurrir que dentro de ese cúmulo de información existan datos personales de particulares. En tal caso, ¿qué debería privilegiarse? ¿El derecho de los ciudadanos de acceder a la información de la actividad estatal o el derecho a la privacidad?

 

En el artículo 8 de la Ley 27.275 se listan los supuestos de excepción, es decir, los casos en los cuales la información podría no ser de acceso público. En el inciso i) se indica que, los sujetos obligados al cumplimiento de esta ley podrán exceptuarse cuando se trate de: “información que contenga datos personales y no pueda brindarse aplicando procedimientos de disociación, salvo que se cumpla con las condiciones de licitud previstas en la ley 25.326 de protección de datos personales y sus modificatorias”. 

 

Como puede apreciarse, el legisladortuvo especialmente en cuenta la normativa de protección de datos personales y procuró conciliar ambas regulaciones.

 

Adicionalmente, el  Decreto Reglamentario 206/17[6] aclara que la excepción no resulta aplicable cuando: (i) el titular del dato haya prestado el consentimiento para su divulgación; (ii) de las circunstancias del caso pueda presumirse que la información fue entregada por su titular al sujeto obligado con conocimiento de que la misma estaría sujeta al régimen de publicidad de la gestión estatal;  (iii) los datos estén relacionados con las funciones de los funcionarios públicos; o (iv) si el daño causado al interés protegido es menor al interés público de obtener la información.

 

La técnica legislativa no ha sido la mejor, y eso dificulta la comprensión del régimen al establecer excepciones para la excepción. No obstante, creo que puede resumirse de este modo: (i) la información que trata el Estado es, como regla general, pública y, por lo tanto, se puede ejercer respecto de ella el derecho de acceso previsto en la Ley 27.275; (ii) si la información aludida precedentemente contiene datos personales –según se los define en la Ley 25.326- entonces la regla general se invierte y dicho datos solo se podrán informar si: (a) están disociados; (b) se cuenta con el consentimiento informado del titular para ello (el que puede ser expreso o presunto); o (c) se trata de datos personales relacionados con las funciones de funcionario público; y (iii) cuando la información que trata el Estado contiene datos personales pero no se verifica ninguna de las situaciones que habilita su acceso público en los términos enunciados precedentemente, de todos modos debe permitirse su acceso si el interés público en la divulgación supera el daño o interés puntual que tal divulgación pudiera generar.

 

Como puede apreciarse, el derecho de protección de la privacidad y de los datos personales muchas veces colisiona con el derecho de información. Es por ello, que es fundamental lograr un equilibrio  entre ellos procurando que el ejercicio de uno no vulnere al otro.

 

Es en este contexto a continuación analizaré la Política de Protección de Datos Personales de la Administración Nacional de Seguridad Social aprobada por la Resolución.

 

Política de Protección de Datos Personales

 

En el Anexo I de la Resolución se aprobó la Política de Protección de Datos Personales (en adelante, la “Política de Protección de Datos”)  que regula el tratamiento de datos personales que realiza la Administración Nacional de Seguridad Social (en adelante, “ANSES”).

 

En términos generales, la Política de Protección de Datos tiene por finalidad informar a los titulares de los datos personales cómo la ANSES trata los datos personales que recolecta y, asimismo, describir como cumple en la práctica con los principios y obligaciones de la Ley 25.326.

 

A continuación, me referiré a cada uno de sus puntos.

 

(i) Objeto. La Política de Protección de Datosse aplica a todo tratamiento de datos que realiza la ANSES.

 

(ii) Definiciones. LaPolítica de Protección de Datos incluye algunas definiciones que, en términos generales[7],  coinciden con las del artículo 2 de la Ley 25.326.

 

Repetir estas definiciones pareciera carecer de sentido, no solo porque dichos términos ya están definidos en una norma de orden público, sino porque actualmente la Ley 25.326 se encuentra en revisión[8].  En consecuencia, si la Ley 25.326 se modificara la Política de Protección de Datos quedaría desactualizada[9].

 

(iii) Fuentes de obtención de los datos personales. ANSES recolecta los datos personales que trata a través de: trámites realizados en sus dependencias, vía el servicio de atención telefónica “130”, del sitio web y aplicaciones oficiales, formularios y/o cesión de otros organismos públicos y/o personas jurídicas.

 

Es importante destacar que el artículo 5 de la Ley 25.326 establece que, como regla general, el tratamiento de datos personales será lícito cuando se tuviera el consentimiento libre, expreso e informado del titular de datos[10]. Y para que el consentimiento sea informado, se debe informar lo siguiente[11]: (a) la finalidad para la que serán tratados; (b) la existencia de la base de datos, identificando la identidad y domicilio de su responsable; (c) el carácter obligatorio o facultativo de proporcionar los datos personales y la consecuencia de no hacerlo o de la inexactitud de los mismos; y (d) la posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos.

 

Si bien existen varias excepciones a este principio, es relevante a este análisis el punto e) del inc. 2) del artículo 5 de la Ley 25.326 que establece que no será necesario el consentimiento cuando: “se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal”.

 

En consecuencia, si bien la ANSES podría encuadrase dentro de esta excepción a los fines de pedir el consentimiento para el tratamiento de datos personales, únicamente aplicaría para aquellos datos que efectivamente sean recabados en ejercicio de una función propia de la ANSES.

 

(iv) Principio de legalidad. La Política de Protección de Datos aclara que las bases de datos de la ANSES se encuentran inscriptas en el Registro Nacional de Bases de Datos.

 

Es importante destacar que, hasta el momento[12], solo son lícitas las bases de datos que se encuentran debidamente inscriptas. Y, en el caso de las bases de datos públicas –como las de la ANSES- además deben publicarse en el Boletín Oficial.

 

(v) Finalidad y calidad. La Política de Protección de Datos  establece que los datos personales recabados son para el ejercicio de funciones propias de ANSES y que la recolección nunca se hará por medios fraudulentos o desleales. Asimismo, indica que los datos recabados serán ciertos, adecuados, pertinentes, exactos y no excesivos con relación a la finalidad que motivó la recolección.

 

En este punto, la ANSES cumple con el principio de calidad del artículo 4 de la ley 25.326 cuya redacción es similar a la redacción completa del punto 5 de la Política de Protección de Datos.

 

(vi) Caducidad. La Política de Protección de Datos establece que los datos personales serán destruidos o archivados cuando hayan dejado de ser precisos o pertinentes para el fin recolectado. 

 

Entiendo que para cumplir adecuadamente con los incisos 5 y 7 del artículo 4 de la Ley 25.326, la Política de Protección de Datos debería precisar cuál es el plazo de conservación de los datos personales y cuáles son las técnicas de destrucción de dichos datos que aseguren que sea imposible su recuperación.

 

(vii) Confidencialidad. La Política de Protección de Datos exige que toda persona que acceda a las bases de datos de ANSES firme los convenios de confidencialidad pertinentes, cumpliendo de este modo con el principio de confidencialidad del artículo 10 de la Ley 25.326.

 

(viii) Seguridad.La Política de Protección de Datos establece que se aplicarán medidas de seguridad necesarias para evitar la adulteración, pérdida o tratamiento no autorizado de datos personales pero no explica cuáles son esas medidas. Lo esperable hubiera siso que en este punto la ANSES explicara mínimamente cuales son dichas medidas de seguridad o bien se remitiera al manual de seguridad.

 

(ix) Cesión de datos personales. La Política de Protección de Datos aclara que los datos podrán ser cedidos: (a) a otros organismos del Estado en forma directa, en la medida que el cesionario lo requiera en el marco de su competencia y el tratamiento de los datos que lleve a cabo sea compatible con sus funciones; y (b) a particulares siempre y cuando sean de acceso público, lo permita la competencia del organismo y el cesionario acredite interés legítimo para ello, que se considerará implícito cuando el pedido se vincule al control de la gestión pública.

 

Asimismo, ANSES podrá informar estadísticas a terceros siempre que los datos estén disociados[13].

 

En la Política de Protección de Datos se establece, además, que las cesiones de datos personales serán informadas mediante los canales habituales de comunicación con el ciudadano que ANSES tenga a su disposición.

 

El artículo 11 de la Ley 25.326 prohíbe la cesión, salvo que se obtenga el consentimiento del titular de los datos. No obstante establece varias excepciones, dos de ellas se ven reflejadas en este punto: (a) que sean datos para los cueles no era necesario el consentimiento para recolectarlos[14]; y (b) que la cesión se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias[15].

 

(x) Alojamiento de datos.Todas las bases de datos de ANSES están alojadas en la República Argentina, excepto una, que individualiza e informa que se encuentra en el Reino de España.

 

El principio general de la Ley 25.326 en materia de transferencia internacional de datos personales es que está prohibida salvo que el país de destino tenga un nivel de protección adecuado.

 

Si bien existen varias excepciones a este principio general, lo importante es que el Reino de España es considerado un país con un nivel de protección adecuado por tener una legislación  similar a la nuestra[16].

 

(xi) Prestación de servicios de tratamiento de datos por cuenta de terceros. La Política de Protección de Datos  aclara que se contratan terceros para realizar determinados tratamientos de datos personales.

 

El artículo 25 de la Ley 25.326 autoriza este tipo de tratamiento, con la única obligación de que exista un contrato que vincule al encargado del tratamiento con el responsable de dichos datos. En consecuencia, entiendo saludable que la ANSES, aún cuando no es necesario y está autorizada por ley, informe a los titulares de datos que realiza este tipo de tratamientos.

 

(xii) Derechos de los titulares y procedimiento para su ejercicio. La Política de Protección de Datos explica cuáles son los derechos de los titulares de los datos y como se ejercen.

 

Considero que hubiera sido útil que la Política de Protección de Datos no remita a otro canal para que el titular de los datos pueda ejercer sus derechos. Es decir, los datos de contacto deberían estar comprendidos en la política. Además, no se aclara que quien pretende ejercer estos derechos debe inexcusablemente acreditar su identidad, sin importar cual sea el canal de contacto. Del modo que quedó redactado, pareciera que solo deben cumplir con este punto quienes se presenten en una dependencia de la ANSES y soliciten ejercer su derecho de acceso, rectificación, actualización o supresión.

 

(xiii) Datos sensibles. La ANSES únicamente tratará datos de salud y de afiliación sindical de sus empleados y de aquellos expresamente autorizados por ley para realizar las tareas a su cargo.

 

La Ley 25.326 prohíbe el tratamiento de datos sensibles salvo que exista una autorización legal. En consecuencia, es claro que la ANSES maneja determinados datos sensibles de la población a fin de otorgar, liquidar o pagar las prestaciones de la seguridad social.

 

(xiv) Autoridad de aplicación. Se informa que la Agencia de Acceso a la Información Pública es el órgano de control y autoridad de aplicación de la Ley 25.326 y que ante dicho organismo los titulares de datos personales podrán hacer su reclamo en caso de que la ANSES incumpla con alguna de sus obligaciones en materia de protección de datos personales.

 

(xv) Capacitación. En este punto se informa que todo el personal de la ANSES cuyas funciones estén relacionadas con el tratamiento de datos personales será permanentemente capacitado en la materia.

 

(xvi) Sitios de Internet. La Política de Protección de Datos establece que el sitio web oficial de la ANSES –que no se indica cuál es- puede contener enlaces a sitios de terceros por los cuales la ANSES no es  responsable.

 

Adicionalmente, se aclara que en el sitio web oficial de la ANSES se podrán recabar datos personales, aspecto que ya se había informado en el punto 3 de la Política de protección de Datos

 

Conclusión

 

Es un gran avance que los organismos públicos se interesen por la protección de datos personales y aprueben este tipo de políticas, que son más habituales en el sector privado.

 

Las políticas de protección de datos personales deberían tener una finalidad  informativa hacia el titular de los datos. Es decir, explicar en el caso concreto cómo el responsable de la base de datos cumple con los principios y obligaciones de la Ley 25.326. Si bien en muchos puntos ello es así, en algunos casos la Política de Protección de Datos se limitó a repetir conceptos de la Ley 25.326 sin una aplicación concreta.

 

De todos modos, parece un primer paso hacia una regulación necesaria en el ámbito interno del Estado. Espero que otros organismos sigan el mismo camino y que la ANSES revise con cierta periodicidad esta regulación, para adecuarla según la experiencia práctica de su aplicación.

 

 

Citas

[1] La Ley 24.766, conocida como la “ley de confidencialidad”, protege a toda la información que reúna los siguientes requisitos: (i) ser secreta; (ii) poseer valor comercial; y (iii) haya sido objeto de medidas de seguridad  razonables para mantenerla secreta.

[2] El objeto de la Ley 25.326 –publicada en el Boletín Oficial el 2/11/2000- consiste en “la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre (…)”. Es importante aclarar que la Ley 25.326 es reglamentaria de la acción constitucional de Habeas Data que fue incorporada en el artículo 43 de la Constitución Nacional con la reforma de 1994.

[3] La definición de datos personales contenida en Ley 25.326 es sumamente amplia, no solo porque la identifica como “información de cualquier tipo” sino porque alcanza tanto a las personas humanas como a las jurídicas. Adicionalmente, existe una categoría especial de datos personales: los datos sensibles, que son aquellos“que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual” (conforme artículo 2 de la Ley 25.326).

[4] Publicada en el Boletín Oficial el 29/09/2016.

[5] Es importante destacar que la presunción de publicidad es solo uno de los principios que fundan el objeto del acceso a la información pública pero no me referiré a los demás porque exceden el ámbito de este trabajo.

[6] Publicado en el Boletín Oficial el 28/03/2017.

[7] Digo “en términos generales” porque la Política de Protección de Datos incorpora como “definiciones” 4 términos que no están definidos en el artículo 2 de la ley 25.326. Ellos son: cesión de datos, derecho de acceso, derecho de rectificación, actualización, supresión y confidencialidad y transferencia internacional.

[8] El Poder Ejecutivo Nacional envió al Congreso un proyecto de reforma de la Ley 25.326 el19/09/2018. El texto completo de la reforma puede accederse en: https://www.argentina.gob.ar/sites/default/files/mensaje_ndeg_147-2018_datos_personales.pdf.

[9] De hecho, la definición de “datos personales” y “datos sensibles” –definiciones fundamentales tanto en el régimen de protección general como en las Políticas de Protección de Datos- cambiarían si se aprobara el proyecto de reforma de la Ley 25.326. 

[10] Existen numeras excepciones a este principio general: (a) los datos se obtengan de fuentes de acceso público irrestricto; (b) se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; (c) se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio;

(d) deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento; (e) Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley 21.526.

[11] Conforme artículo 6 de la Ley 25.326.

[12] El proyecto de reforma de la Ley 25.326 elimina el registro o inscripción de las bases de datos.

[13] Es importante destacar que la Ley 25.326 se aplica a datos personales de personas, humanas o jurídicas, determinadas o determinables. Es decir, que si el dato está disociado y no puede identificarse a su titular, no se aplica la Ley 25.326.

[14] Una de esas excepciones consiste en que los datos se “recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal”, conforme art. 5 inciso 2-b) de la ley 25.326.

[15] Recientemente se dictó la Resolución 4/2019 de la Agencia de Acceso a la Información Pública (publicada en el Boletín Oficial el 16/01/2019)  cuyo objeto fue enunciar una serie de regulaciones para facilitar la aplicación de lanormativa de protección de datos personales e interpretar de un modo actualizado su contenido. En relación a este punto, la Resolución 4/2019 es consistente con lo explicado.

[16] Conforme Disposición 60/2016 de la Dirección Nacional de Protección de Datos Personales.

Opinión

Aportes irrevocables a cuenta de futuras suscripciones de acciones y nuevas normas de la IGJ: ¿resurgimiento como opción de financiamiento?
Por Dolores M. Gallo
Barreiro
detrás del traje
Diego Palacio
De PALACIO & ASOCIADOS
Nos apoyan