Recientemente, la Agencia de Acceso a la Información Pública, autoridad de aplicación de la Ley de Protección de Datos Personales N° 25.326 (“LPDP”), sancionó a Rappi Arg S.A.S. (“Rappi”) por no dar respuesta a un pedido de supresión de datos personales en legal tiempo y forma. En esta nota desarrollamos los aspectos más relevantes del caso.
¿Cómo se origina el caso?
El caso nace a raíz de una denuncia presentada ante la Agencia de Acceso a la Información Pública (“Agencia”) por parte de un usuario de Rappi que se había registrado como repartidor. Rappi es una plataforma online de cadetería, delivery o envío a domicilio de productos que intermedia entre los repartidores y los consumidores. El denunciante señala que había presentado varios reclamos previos a la empresa solicitando la supresión de sus datos sin recibir una respuesta favorable. Asimismo, y pese a estos pedidos, continuaba recibiendo mensajes publicitarios. La Dirección Nacional de Protección de Datos Personales, dependiente de la Agencia, recibió la denuncia y solicitó a la empresa que brindara las explicaciones del caso.
¿Qué contestó la empresa?
En lo sustancial la empresa manifestó lo siguiente:
- El denunciante poseía dos relaciones contractuales distintas, como consumidor y como repartidor y, por ende, estaba registrado en dos bases de datos distintas con procesos de baja independientes y solo se había solicitado la remoción como repartidor, no como consumidor.
- La base legal que justificaría la conservación de datos se relaciona con las “distintas obligaciones en el marco del derecho aplicable” y la salvaguarda de los intereses de todos los sujetos intervinientes en la plataforma, así como potenciales disputas o reclamos que la empresa podría recibir, o bien por cuestiones de seguridad.
- Como regla general se conservan los datos para el cumplimiento de las distintas obligaciones legales.
- La política de privacidad de la plataforma que el usuario acepta al registrarse indica que la compañía se reserva la facultad de conservar los datos personales por 10 años, plazo que surge del Código Civil y Comercial.
¿Qué establece la legislación en cuanto al derecho a la supresión de los datos personales?
En primer lugar, la Constitución Nacional contempla en el artículo 43, tercer párrafo el derecho a la supresión de los datos. A su vez, el artículo 16 de la LPDP reconoce expresamente el derecho a la supresión de los datos personales. En particular, la norma dispone que “toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad los datos personales de los que sea titular, que estén incluidos en un banco de datos.
[…] El responsable o usuario del banco de datos, debe proceder a la rectificación, supresión o actualización de los datos personales del afectado, realizando las operaciones necesarias a tal fin en el plazo máximo de cinco días hábiles de recibido el reclamo del titular de los datos o advertido el error o falsedad.
[…] El incumplimiento de esta obligación dentro del término acordado en el inciso precedente, habilitará al interesado a promover sin más la acción de protección de los datos personales o de hábeas data prevista en la presente ley […].
La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.
[…] Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos.”
Cabe recordar que el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal suscripto en la ciudad de Estrasburgo, Francia, el día 28 de enero de 1981 del Consejo de Europa (Convenio 108), aprobado por Ley 27.483 también prevé el derecho a la supresión de los datos. El artículo 8 establece que “cualquier persona deberá poder (…) c) obtener, llegado el caso, la rectificación de dichos datos o el borrado de los mismos, cuando se hayan tratado con infracción de las disposiciones del derecho interno que hagan efectivos los principios básicos enunciados en los artículos 5 [principios de calidad del dato] y 6 [protección a los datos sensibles] del presente Convenio; d) disponer de un recurso si no se ha atendido a una petición de confirmación o, si así fuere el caso, de comunicación, de ratificación o de borrado, a que se refieren los párrafos b) y c) del presente artículo”.
¿Qué resolvió la Agencia?
En su resolución de fecha 31 de marzo de 2021, la Agencia consideró que la empresa había infringido las disposiciones de la LPDP dado que no se había suprimido la información cuando había dejado de ser pertinente para los fines que motivaron su recolección y, por su parte, no se atendió adecuadamente el pedido de supresión de los datos personales. Merecen destacarse las siguientes consideraciones vertidas por la autoridad:
- Los responsables de bases de datos deben facilitar a los interesados el ejercicio de sus derechos, habilitando procedimientos y formas visibles, accesibles y sencillas de conformidad con el Principio de Información (artículo 6 de la LPDP) aspecto que no habría sido debidamente atendido por la empresa.
- Los responsables de las bases de datos deben observar los principios de proporcionalidad, finalidad, calidad y retención de datos reconocidos en el artículo 4 de la LPDP a la hora de determinar la pertinencia en la recolección y conservación de los datos personales.
- A los fines de determinar la validez en la conservación de los datos se debe ponderarse el derecho a la privacidad, en cabeza del titular del dato, por un lado y el deber de cumplir una obligación legal a cargo del responsable del tratamiento, por el otro. Este último debe demostrar exhaustivamente que dicha obligación legal permite que almacene los datos por el tiempo consignado.
- El plazo de 10 años que invocó la empresa en base al artículo 328 del Código Civil y Comercial hace sólo referencia a libros y registros contables. Por ende, Rappi no lograría justificar la conservación en tanto no resulta razonable derivar de tal norma una obligación de mantener los datos personales recabados.
- La mera referencia a la existencia de una obligación legal de retención de los datos basada en poder dar respuesta a eventuales reclamos o requerimientos o contestar respuestas de organismos competentes es insuficiente. No se habría explicado si la empresa es un sujeto obligado, los plazos específicos de conservación que surgirían por ley para estas obligaciones, ni las categorías de datos necesarias para cumplir tales exigencias.
- La mera enumeración de normas y regulaciones resulta insuficiente para justificar que la empresa deba conservar las categorías de datos que procesa.
- La invocación de una obligación legal en los términos formulados por la empresa resulta vaga y ambigua.
- Tal como fuera reconocido por la propia empresa, la conservación de los datos ha resultado excesiva, en tanto no se poseía una base jurídica sólida para demostrar que las operaciones de tratamiento eran lícitas.
- RAPPI no contestó el reclamo de supresión en el plazo legal ni realizó las operaciones de actualización de sus bases o las necesarias en atención al pedido recibido. Por el contrario, la empresa continuó enviando notificaciones, haciendo caso omiso a la solicitud de supresión y baja.
¿Qué sanción aplicó la Agencia?
La Agencia aplicó a Rappi una multa de Pesos 80.000 (equivalentes a USD 812 al tipo de cambio de la fecha de redacción de este artículo) por considerar que había cometido una infracción grave consistente en “no atender en tiempo y forma la solicitud de acceso, rectificación o supresión de los datos personales objeto de tratamiento cuando legalmente proceda”, de conformidad al régimen sancionatorio (Disposición DNPDP N° 7/2005 y modificatorias). Según las disposiciones vigentes, en caso de incumplimientos a la LPDP la autoridad puede imponer las siguientes sanciones: apercibimiento, suspensión, multa de Pesos 1.000 a 100.000 (equivalentes a USD 10 a USD 1015, clausura o cancelación de la base de datos.
La resolución aún no se encuentra firme ya que puede ser recurrida.
Algunas consideraciones finales
La Agencia sancionó a la empresa por no haber atendido el pedido de eliminación de los datos personales. Es importante destacar que la normativa vigente reconoce el derecho a la supresión, el cual, en principio, debe proceder en todos los casos salvo en los supuestos indicados por la propia norma, a saber cuando la eliminación pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos. En la resolución comentada la Agencia puntualiza que el derecho a la eliminación tampoco es absoluto por lo que el resultado de una solicitud de supresión puede ser diferente según el caso particular. Las evaluaciones deben realizarse caso por caso.
Por último, es importante recordar que la LPDP dispone plazos muy breves para la atención y respuesta de los requerimientos que realicen los titulares de datos en ejercicio de sus derechos, inclusive menores a los establecidos en leyes de otros países. A modo de ejemplo, el Reglamento General de Protección de Datos Personales de la Unión Europea contempla un plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso de ser necesario, teniendo en cuenta la complejidad y el número de solicitudes. En Argentina el plazo para responder un pedido de acceso es de 10 días corridos mientras que en el caso de las solicitudes de actualización, modificación, supresión y trato de confidencial es de 5 días hábiles.
Opinión
Barreiro
opinión
ver todosPASBBA
NORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law