El uso de datos personales en Internet

EL USO DE DATOS PERSONALES EN INTERNET. ANOTACIONES ACERCA DE LA RESPONSABILIDAD CIVIL DE LAS BASES DE DATOS.[1]


Por Fernando Ezequiel Pagliuca




I.-El fenómeno del aporte de datos

Las personas humanas brindamos un sinnúmero de datos personales para realizar actividades de la vida en sociedad a menudo. Sea con fines comerciales, educativos, de interés público o simplemente con el objetivo de pertenecer a un círculo determinado de personas que se comunican entre sí a través de una red social o espacios de esparcimiento, otorgamos información propia a una base de datos de un tercero.

En primer lugar, cabe destacar que según la Ley N° 25.326 de protección de datos personales, dichos datos implican la “información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables”.[2]

La norma mencionada hace referencia, asimismo, en particular a los datos sensibles que son aquellos “que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual”.[3]

Con independencia de ello, vemos como a diario para ingresar a diversas plataformas digitales nos vemos obligados por el titular de la misma, a ingresar un gran caudal de información personal, que en muchas ocasiones incluso requiere de confirmación mediante el empleo de teléfonos móviles o la incorporación de documentos digitalizados.

Hasta el avance de Internet, las personas aportaban sus datos a entidades fácilmente individualizables, cuyo domicilio era conocido por el usuario como clubes, entidades financieras, entes estatales, etc.

Sin embargo, el uso masivo de Internet para diversos fines, hizo prácticamente que de un momento a otro los particulares se vieran aportando datos a personas humanas o jurídicas difíciles de identificar, con domicilios desconocidos y algunos en jurisdicciones a las que el usuario no podría acceder (como otros países), y en ocasiones con identidades de fantasía o falsas.

Así, se ha dado lugar a un gran conglomerado de datos en Internet, no solo por la cantidad de personas que aportan sus datos, sino también por la cantidad de datos que cada persona aporta a las diversas plataformas digitales a las que desea ingresar, alojando esos datos en varias bases a la vez.

La magnitud de la información es tan grande que dio lugar a lo que se conoce como “Big data”, macrodatos,​ datos masivos, inteligencia de datos o datos a gran escala, y que refiere al análisis del comportamiento del usuario, extrayendo valor de los datos almacenados, y formulando predicciones a través de los patrones observados.

Las dificultades más habituales vinculadas a la gestión de estas cantidades de datos se centran en la recolección y el almacenamiento,​ búsqueda, compartición, análisis,​ y visualización. Es por ello, que muchas plataformas digitales han optado por ceder la función a otras plataformas para aminorar la problemática del tratamiento de datos y su almacenamiento.

Por ejemplo, en la actualidad muchas páginas de Internet que requieren un nivel de identificación de usuario, recurren a la posibilidad de que el usuario se identifique con su cuenta preexistente de Facebook o Google, sin la necesidad de crear un cuenta nueva, llenando un nuevo formulario, y obteniendo (la plataforma) la información personal del usuario por parte de las otras empresas.

No obstante, a diferencia de lo que sucedía antes, hoy es prácticamente imposible que una persona tenga seguridad de cuántas plataformas digitales y cuáles en particular, poseen una serie de datos personales suyos, y a cuántas y cuáles otras entidades y plataformas esos datos han sido cedidos.

Asimismo, es importante tener en cuenta que en casi todos los casos, no aportar los datos solicitados por la plataforma digital implica no poder utilizarla, dado que los sistemas suelen emplear formularios que requieren ser llenados para continuar al siguiente nivel o página.


II.- Datos sensibles. El requisito del consentimiento.

La normativa vigente refiere a esto que llamamos tratamiento de datos como “operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.” [4]

También es importante tener en cuenta que en la actualidad existe un gran caudal de datos sensibles circulando a través de las plataformas digitales. Aplicaciones que tienen por objeto la conexión de personas con el fin de conseguir pareja o una relación de amistad íntima, requieren del usuario información que se encuentra dentro de su esfera de intimidad y, por tanto, involucra derechos personalísimos del usuario.

Si quisiéramos definir brevemente a los derechos personalísimos o de la personalidad, podríamos decir que son aquellos que están íntimamente unidos a la persona, nacen con ella, y no pueden separarse en toda su existencia, a riesgo de perderla o denigrarla.

Se los precisa como las prerrogativas de contenido extrapatrimonial, inalienables, perpetuas y oponibles “erga omnes”, que corresponden a toda persona por su condición de tal, desde antes de su nacimiento y hasta después de su muerte, y de la que no puede ser privada por la acción del Estado ni de otros particulares.

El Derecho a la Intimidad, cuyo amparo normativo puede encontrarse –entre otros- en el artículo 19 de la Constitución Nacional o el artículo V de la Declaración Americana de los Derechos y Deberes del Hombre, consiste en la defensa de la persona frente a inmiscusiones arbitrarias en su vida privada y las decisiones que tome respecto de ella, integrada por sentimientos, hábitos, costumbres, relaciones familiares, posición económica, creencias religiosas, salud mental y física y todos los datos y hechos que integran el estilo de vida de una persona que la comunidad considera reservadas al individuo.[5]

A ese contexto debe agregarse que la Ley N° 25.326 autoriza la trasferencia o cesión de datos por parte de quien los recogiere, generando un campo de mayor complejidad.

Se requiere sin embargo, que dicha cesión cuente con el “consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias

Las excepciones a tal regla son cuando “los datos se obtengan de fuentes de acceso público irrestricto; se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio; deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento; se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley 21.526”. [6]

El consentimiento es la regla más importante en el sistema de protección de datos. Por ello Puccinelli ha dicho que es el “…principio cardinal del tratamiento de datos de carácter personal y fundamento de la autodeterminación informativa…”[7]

El derecho a la autodeterminación informativa como fundamento de la protección de datos personales, se deriva del derecho a la privacidad y se concreta en la facultad de toda persona de poder decidir la oportunidad y el momento en que está dispuesta a permitir que se difunda una información de carácter personal, contenida en registros públicos o privados.

“…Es el control que todo sujeto posee sobre su información personal. El señorío del hombre sobre sí, se extiende a los datos sobre sus hábitos y costumbres, su sistema de valores y de creencias, su patrimonio, sus relaciones familiares, económicas y sociales, respecto de todo lo cual tiene derecho a la autodeterminación informativa…”[8]


III.- Proyecto de Reforma de la ley N° 25.326

Cabe destacar que, el Poder Ejecutivo presentó en septiembre de 2018 un proyecto de reforma de la Ley N° 25.326 de protección de datos, que introduce cambios sumamente importantes respecto de esta temática.

El art. 12 del Proyecto de Reforma presentado por el ejecutivo establece que el consentimiento otorgado por el titular de los datos puede ser expreso (como en el sistema actual) o tácito, “…cuando surja de manera manifiesta del contexto del tratamiento de datos y la conducta del titular de los datos sea suficiente para demostrar la existencia de su autorización…”

Aunque también impone la carga de la prueba de la autorización en cabeza del responsable del tratamiento de los datos, amplía las posibilidades fácticas que tienen éstos para realizar cesiones de datos.

Adelantamos, que no estamos de acuerdo con esta postura dado que hace peligrar el principio de autodeterminación informativa que desarrollamos anteriormente.

No obstante ello, el caso que nos ocupa que es el de las plataformas digitales, posee la particularidad de que en la mayoría de los casos el consentimiento del titular de los datos, se encuentra brindado de manera expresa y genérica, por lo general al momento de la recolección, mediante el empleo de formularios de términos y condiciones, que de no aceptarse no se permite continuar interactuando con la plataforma.

Esta adhesión que hace el usuario acarrea la posibilidad de que sus datos se encuentren en constante cesión y de generar innumerables perjuicios. Se incumple así con el consentimiento para la cesión.

Ahora bien, otro límite que poseen tanto la legislación actual como la que se encuentra en tratamiento de las comisiones parlamentarias, es el de la finalidad, que se encuentra íntimamente relacionado con el principio de la conformidad y de la información que debe brindársele al usuario.

Gandolla sostiene que este “…principio va a contramano de una de las características principales del Big Data: la reutilización que se hace de la información…”[9]

Y si bien, muchas empresas prevén potenciales usos secundarios, “…a medida que pasa el tiempo, quienes poseen los datos y realizan los análisis pueden descubrir nuevas utilidades para sus intereses o, incluso, que la dirección de sus negocios, y por lo tanto su interés, también tomen otros rumbos. También es lógico que la propia actividad vaya generando la incorporación de nuevos datos que permitan nuevas interrelaciones y genere nuevas conclusiones a partir de los mismos…”[10]

En ese contexto, el consentimiento de la persona respecto del tratamiento de sus datos personales se podría ver en el tiempo tergiversado por los constantes cambios de situaciones tanto de Internet como de las empresas que manejan los datos.


IV.- Daños por falta de consentimiento

Se ha observado como en ocasiones ello generó daños concretos y palpables: se direccionó el comportamiento del usuario de las plataformas digitales constituyéndose en conductas ilegitimas, implicando daños extrapatrimoniales. Aunque, veremos luego, no resulta necesario que ello se traduzca en un daño en concreto hacia la persona.

Un caso mundialmente resonante fue la filtración de datos de usuarios de Facebook, cedidos a la consultora Cambridge Analytica, para que ésta efectúe propaganda política dirigida y personalizada, con el fin de favorecer al candidato del Partido Republicano de los Estados Unidos de América, Donald Trump. [11]

Otro caso que conmocionó a la opinión pública respecto del uso indebido de datos personales, fue el que involucró a la aplicación de teléfonos móviles para citas de preferencia homosexual, “Grindr”, que habría compartido el “Estado de VIH” de sus usuarios a terceros con fines publicitarios.[12]

Ambos casos versan sobre datos sensibles, cuya cesión se encuentra vedada por Ley en Argentina, y el proyecto de reforma presentado por el Ejecutivo mantiene la misma tesitura.[13]

Esta prohibición, tiene su raíz, entre otras cosas en los “Principios rectores para la reglamentación de los ficheros computarizados de datos personales” de la Asamblea de la Naciones Unidas, que indica que “no deberían registrarse datos que puedan originar una discriminación ilícita o arbitraria, en particular información sobre el origen racial o étnico, color, vida sexual, opiniones políticas, convicciones religiosas, filosóficas o de otro tipo, o sobre la participación en una asociación o la afiliación a un sindicato[14]

El fundamento central de la prohibición, como regla, de la recolección de datos sensibles es el potencial discriminatorio que entrañaría la divulgación de estos datos fuera del ámbito de intimidad al que los somete su titular. Se trata de proteger circunstancias propias del fuero íntimo de cada persona en razón de que su divulgación pública podría alentar persecuciones o bien exclusiones provocadas por discriminaciones estigmatizantes propias de la intolerancia.[15]

En la Argentina, se puede comentar un caso que ha tratado este tema de manera concreta, y es el del denominado “Instituto Patria” contra la Inspección General de Justicia de la Nación.

El Instituto Patria es una asociación civil sin fines de lucro que nuclea esencialmente a adeptos del partido político llamado “Frente Para la Victoria”, cuyo liderazgo recae en la persona de la ex-presidente de la Nación, Cristina Fernández de Kirchner.

Dicha institución presentó un balance de acuerdo a la Ley ante el órgano de contralor indicado y entre los conceptos figuraba el aporte social que cada asociado realizaba a la entidad. La IGJ solicitó el listado total de dichos asociados, arguyendo la finalidad de corroborar la veracidad de la declaración jurada presentada. Por su parte, la asociación se opuso a dicho pedido arguyendo que dicha información revelaría datos sensibles de sus afiliados, dada la íntima conexión entre la institución y una ideología política determinada.

La justicia falló a favor del Instituto Patria, entendiendo que es de público y notorio conocimiento que el solo hecho de ser parte de la entidad implicaba compartir un pensamiento político determinado y una concepción filosófica de vida expresamente contempladas en la norma.

Es que, resulta “…claro al respecto el art. 2 de la ley 25.326, desde que dichos datos se encuentran comprendidos dentro de la esfera de la intimidad personal y son disponibles solamente por el propio titular de ese dato íntimo...”[16]


V.- Hechos que pueden generar responsabilidad civil

Como podemos observar, l nos encontramos con dos posibles situaciones a los que debiera aplicarse tratamientos distintos.

Por un lado, tenemos el caso de la filtración, tratamiento o cesión de datos sensibles. Por el otro, tenemos el tratamiento para finalidades distintas a las consentidas.

1. Filtración o tratamiento de datos sensibles. Recogiendo lo que establece la normativa vigente y lo que ha expresado la jurisprudencia, dado que nadie -como principio general- se encuentra obligado a brindar datos sensibles; y a su vez solo son disponibles por su titular, estamos en condiciones de asegurar que el encargado del tratamiento o responsable de esos datos tiene un deber de seguridad respecto de los datos sensibles que posea.

Ello, nos coloca inmediatamente en un factor de atribución objetivo, dado que el titular brinda al responsable del tratamiento datos íntimos, confiando en que éste no los divulgará.

Asimismo, el encargado del tratamiento se obliga a conservar esos datos en la más absoluta reserva, y cualquier eventual incumplimiento de esa obligación genera el deber de resarcir.

Para determinar la extensión del deber de seguridad, cabe tener en cuenta la previsibilidad de los riesgos y el grado de creencia legítima de la víctima con respecto al riesgo al que se expone.[17]

Ahora bien, al hablar de bases de datos en Internet, donde el usuario no posee mayores niveles de acceso que el de sus propios datos y algunos otros que el dueño de la plataforma le facilite, y el compromiso asumido por éste respecto de la reserva en el tratamiento de los mismos, y siguiendo lo que anteriormente indicábamos en cuanto al consentimiento, siempre estaremos ante un factor objetivo, en el que la base de datos deberá demostrar las razones que excusen su apartamiento del consentimiento dado o el tratamiento contrario a la Ley (cesión de datos sensibles).

Otro fallo importante en la temática del último tiempo, es el de la causa “Torres Abad c/ Jefatura de Gabinete”, en el que se debatía la facultad que poseía la ANSES para ceder a terceros datos relacionados al teléfono móvil de las personas que figuraban en su base de datos.

En ese caso, el debate se centraba en torno al artículo 5° de la ley N° 25.326, dado que refería al tratamiento de datos personales sin autorización expresa de su titular.

El fondo de la cuestión se resolvió mediante el análisis del inciso 2 apartado c) de dicho artículo. Ello así, porque si bien la ANSES es un organismo del Estado, su base de datos no es de acceso irrestricto y su transferencia no implicaba el cumplimiento específico de ninguno de sus fines.

En efecto, la ANSES había realizado un convenio con la Secretaría de Comunicación Pública dependiente de la Presidencia de la Nación, por el cual remitiría periódicamente los datos referidos a las personas obrantes en su base de datos, entre los que enumera expresamente “teléfono”.

Los juzgadores entendieron que la enumeración realizada en el apartado 2 del inciso c) respecto de qué datos pueden ser objeto de tratamiento sin autorización del titular es taxativa, y cualquier otro dato que no integre ese listado se encuentra sujeto a la voluntad expresa del titular sin excepción alguna.

En cuanto al caso específico que nos ocupa podemos decir, que la regla es que la confianza del usuario en una plataforma digital al momento de brindarle datos sensibles, de ningún modo debiera interpretarse como un consentimiento expreso a que esos datos sean divulgados o cedidos a terceros.

Se convierte en un elemento esencial el consentimiento del afectado por el tratamiento. “…Todo Banco o Registro público o privado, que desee tratar datos de personas físicas o jurídicas, como regla general deberá requerirles previamente su consentimiento para el tratamiento, salvo que los datos se encuentren en alguno de los supuestos legales que eximen del mismo” y a tal efecto, que sólo con una interpretación restrictiva de la ley se logrará la efectiva protección del derecho a la autodeterminación informativa…”[18]

El proyecto de reforma del Ejecutivo, contempla un tratamiento especial del deber de seguridad del encargado de los datos, estableciendo medidas mínimas de seguridad aplicables y la obligación de notificar incidentes en la integridad de las bases de datos que guarde.

En ese contexto ante cualquier eventualidad el titular de una plataforma digital que hubiere seguido las reglas de seguridad y notificado a los titulares de los datos, podría eximirse demostrando solamente que de su parte no hubo culpa. Así se deduce del texto de norma.[19]

Nuevamente, según nuestra opinión estamos en las antípodas en las antípodas de esta postura dado que el tratamiento de los datos importa siempre un riesgo y, por tanto, una responsabilidad cuyo factor de atribución debe ser objetivo, dado que la responsabilidad está dada por el dolo, la culpa; o también por el cuidado negligente, como podría ser el robo de los datos personales por un ataque informático.[20]

2. Tratamiento con finalidades distintas a las consentidas oportunamente. En primer lugar lo que podemos dejar sentado es que el cedente y cesionario responden de forma solidaria y conjunta, conforme el art. 11 de la Ley N° 25.326, con independencia del factor de atribución que se le aplique.

En ese sentido, se ha dicho que “…cuando existe inobservancia de las disposiciones, y, en particular cuando se omite el deber de seguridad impuesto en las reglas que autorizan trasmitir datos sin el consentimiento, la responsabilidad se reúne en ambos partícipes del incumplimiento legal, cedente y cesionario, conforme lo previsto por el inciso 4 del art. 11 de la ley mencionada…”[21]

Ahora bien, en cuanto al factor de atribución podemos decir que en este caso, si seguimos lo indicado por la Sala L de la Cámara Nacional de Apelaciones en lo Civil, resulta objetivo.

Para los juzgadores del caso del Instituto Patria, si la entidad filtraba la identidad de sus asociados estaría directamente aportando datos sensibles y ello implicaba una violación expresa a los términos de la Ley.

Sin embargo, el proyecto de reforma en su artículo 22 establece que “…en cualquier caso, podrán ser eximidos total o parcialmente de responsabilidad si demuestran que no se les puede imputar el hecho que ha producido el daño…”

Si bien la carga de la prueba se encuentra en cabeza del responsable del tratamiento[22], pareciera que el factor de atribución es subjetivo, bastándole demostrar que de su parte no hubo culpa, o lo que sería peor, que el titular no pueda demostrar la culpa del responsable del tratamiento.

No obstante ello, es dable recordar que en este punto nos referimos a situaciones donde ni siquiera exista consentimiento para el tratamiento que finalmente se le dio a los datos.

Podríamos decir, que resulta pacifico que el “…consentimiento de la registración de ciertos datos personales, denunciándolos voluntariamente a ese efecto por el mismo titular, en forma expresa, libre e informada, no significa que dicho consentimiento se haya prestado para proporcionar o transferir esos datos a terceros o para su utilización con una finalidad distinta a la perseguida con la registración…”[23]

Podría visualizarse con mayor facilidad una diferencia de criterio al momento de analizar la responsabilidad en caso de daños, cuando la finalidad empleada en la cesión se condice con el consentimiento otorgado.

Ello así, dado que la Ley 25.326 en su artículo 11 no estable diferencia alguna para casos en que la cesión se haya realizado o no con consentimiento del titular.

Es decir, según la normativa vigente, para casos en que el tratamiento de los datos no cuente con el consentimiento el responsable de los datos deberá responder por los daños derivados de la filtración.

En los casos en que la cesión sí se ajuste a la finalidad consentida por el titular, según el apartado 4 de la norma referida, la responsabilidad se podría interpretar conjunta y solidaria entre cedente y cesionario ante la existencia de eventuales daños y el factor de atribución objetivo. El proyecto de reforma no aporta cambios en este sentido con la salvedad antes realizada respecto del factor de atribución.

Por último, respecto del daño podemos decir que de no contar con el consentimiento del titular para el tratamiento o de resultar datos sensibles, adherimos a la postura empleada en el caso Torres Abad que sostiene que no es preciso que se acredite otro daño concreto por parte del titular, ya que el solo tratamiento de los datos -sin la autorización del interesado- constituye en sí mismo un agravio que la Ley de Protección de Datos Personales.

El daño está dado en la desprotección que una persona puede sentir por la pérdida total del control sobre sus datos personales, que son usados arbitrariamente por el responsable.

Implica en definitiva, una intromisión a la vida privada del titular de los datos y una vulneración de su derecho a la autodeterminación informativa.

Ello responde a que el responsable de los datos procede con inobservancia de los deberes a su cargo y en clara repugnancia del imperativo legal que le exige los recaudos mencionados para el tratamiento o la cesión.


VI.- El Caso de la Unión Europea

En cuanto a materia de protección de datos, la Unión Europea (UE) es pionera y hace poco tiempo empezó aplicar su Reglamento General de Protección de Datos (RGPD), cuya entrada en vigor fuera el 25 de mayo de 2016.

El RGPD, sin embargo fue de aplicación efectiva recién a partir del 25 de mayo de 2018, dado que se otorgó un plazo de dos años a las empresas, organizaciones, organismos e instituciones, para que adapten sus sistemas de recolección y almacenamiento de datos personales, y puedan cumplir con lo que la normativa estipulaba.

La regulación se aplica si el controlador de datos (una organización que recolecta datos de residentes de la UE) o el procesador (una organización que trata datos en nombre del controlador de datos, por ejemplo, proveedores de servicios en la nube) o el interesado (persona) tiene su sede en la UE. Además, la regulación también se aplica a las organizaciones con sede fuera de la Unión Europea si recopilan o tratan datos personales de los residentes de la UE.

Según el artículo 6 del RGPD, el tratamiento por parte de empresas, Estados u organizaciones de todo tipo solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo primero para destacar es la regla del consentimiento para el tratamiento por parte del titular de los datos, y ese consentimiento debe ser expreso ara los datos recopilados y los fines para los que se utilizan los datos[24], y en el caso de menores, debe ser otorgado por padre, madre o tutor.[25]

Por otra parte la prueba del consentimiento según los artículos 7 y 8 recae siempre en cabeza del responsable del tratamiento.

Esto parece un dato menor, pero en la práctica ha implicado un gran cambio en sistema de las empresas y organizaciones. A modo de ejemplo se puede indicar que hasta la aplicación del RGPD las empresas que atendían clientes telefónicamente y grababan las llamadas, solo daban aviso de la situación al usuario. Actualmente, no solo dicha grabación no puede ser automática, sino que además cuando los usuarios que aceptaron en un principio ser grabados decidan retirar su consentimiento, el interlocutor debe tener la posibilidad de parar la grabación al instante.

En cuanto a la responsabilidad, el artículo 24 establece que el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento, y que esas medidas serán revisadas y actualizadas las veces que sea necesario, coligiéndose así una responsabilidad objetiva por esos deberes.

Establece también medidas de seguridad concretas y la obligación de llevar un registro de actividad respecto de los datos que trate cada responsable, y el deber de mantener comunicado al titular tanto de las actividades que registra como de las eventualidades en seguridad.

Entre las medidas de seguridad, se encuentra el “seudonimizamiento”, que implica reemplazar campos de información personal dentro de un registro de datos por uno o más identificadores artificiales o pseudónimos.[26]

El “seudonimizamiento” constituiría, en la inteligencia de la normativa europea, una garantía para el titular de los datos personales ante la eventualidad de una filtración por incidentes de seguridad producidos por ejemplo por ataques informáticos o virus, dado que los datos no estarían indicados como propiedad del titular, sino con un nombre de fantasía que impediría identificar al verdadero titular.

Por último, como novedad en sistema de protección de datos crea la figura del Delegado de Protección de Datos. Esta figura, asimilable a un miembro del Ministerio Público para los procesos judiciales, debe ser una persona con conocimiento experto de la legislación y prácticas de protección de datos debería ayudar al controlador o procesador a supervisar el cumplimiento interno del Reglamento, cuando el tratamiento lo lleve a cabo una autoridad pública, a excepción de los tribunales o autoridades judiciales independientes cuando actúan en su capacidad judicial; o cuando, en el sector privado, el tratamiento lo lleva a cabo un controlador cuyas actividades centrales consisten en operaciones de tratamiento que requieren regular y la supervisión sistemática de los interesados.[27]

[1] “El presente trabajo fue realizado en el marco del proyecto UBACyT 20020170200322BA, Programación 2018-2020, Resolución (CS) Nº 1041/18, titulado “Lectores para la Justicia”.


[2] Ley N° 25.326, art. 2


[3] Ob. Cit. Ley N° 25.326


[4] Ob. Cit. Ley N° 25.326


[5] Vgr. CSJN, 6/3/2001 “Recurso de Hecho en autos: Lascano Quintana, Guillermo Víctor c/ Veraz S.A. s/ Habeas Data”


[6] Ley N° 25.326, Art. 5°


[7] Puccinelli, Oscar R., Protección de datos de carácter personal, Bs. As., Astrea, 2004, p. 202.


[8] CSJN. 15/10/98, “Urteaga, Facundo Raúl c/ Estado Nacional -Estado Mayor Conjunto de las FF.AA.- s/ amparo ley 16.986”, voto del Dr. Fayt


[9] Gandolla, Luciano “Conflictos entre el Big Data y la Ley de Protección de Datos Personales” Publicación: www.infojus.gov.ar, 13 DE NOVIEMBRE DE 2015


[10] Ob. Cit. Gandolla, Luciano.


[11]https://www.infobae.com/america/tecno/2018/03/20/7-datos-para-entender-el-escandalo-de-facebook-y-cambridge-analytica/


[12] https://elpais.com/tecnologia/2018/04/03/actualidad/1522737696_785730.html


[13] Art. 7 de la Ley 25.326 y 16 del Proyecto de Reforma.


[14] Resolución de la Asamblea General de Naciones Unidas N° 45/95 del 14 de diciembre de 1990.


[15] conf. Calogero Pizzolo, “Tipología y protección de datos personales: El sistema establecido en la ley 25.326 y la legislación comparada”, Lexisnexis. Número Especial “Hábeas Data y Protección de Datos Personales”. 28/8/2004


[16] Cám. Nac. Civil – Sala L. 24/5/18 “INSTITUTO PATRIA PENSAMIENTO ACCION Y TRABAJO PARA LA INCLUSION AMERICANA ASOCIACION CIVIL c/ I.G.J. 1899459/7544628/7734718/921/922 s/RECURSO DIRECTO A CAMARA” (la negrita es mía)


[17] Conf. CSJN. 26/12/17 “ARREGUI, DIEGO MAXIMILIANO c/ ESTADO NACIONAL - PFA - Y OTROS s/daños y perjuicios” (Voto del Dr. Lorenzetti). Se trató de un caso en que un participante de un evento para promover la prevención del VIH organizado por la Comunidad Homosexual Argentina (CHA) en la Costanera Sur, fue violentamente agredido por un grupo de desconocidos, a la finalización del mismo y fuera del ámbito de realización del evento . El damnificado demandó a la Policía Federal, al Gobierno de la Ciudad y a la asociación organizadora. En primera y segunda instancia se aplicó la doctrina del fallo “Mosca” y, por tanto, responsabilizó a la CHA como organizador, liberando a la Policía por no haber sido notificada del evento. En cuanto al GCBA también se lo eximió de responsabilidad, dado que no se probó la relación causal entre la omisión de notificación a la policía y el hecho dañoso.

La Corte por su parte, indica la resolución del GCBA que autorizaba la producción del evento no impone en cabeza de la CHA el deber de la seguridad del predio, limitándose al cuidado del espacio público en el cual se desarrolló la campaña. Ello, imposibilitaba la aplicación del antecedente “Mosca”, dado que en éste último el organizador, que poseía el control de ingreso y seguridad del evento a su cargo, mantenía una responsabilidad objetiva por ello, situación que no acontece a su entender en este caso.

En su voto el Dr. Lorezetti, expresa que “…el deber de seguridad no se funda solamente en una ley expresa, conforme la jurisprudencia de esta propia Corte y la doctrina jurídica […] La obligación de seguridad también puede tener su fuente en la buena fe, que en el caso es la confianza creada en el asistente de que no sufrirá daños. Esta obligación se halla en cabeza de ‘toda persona’ (art. 1710, primera parte, del actual Código Civil y Comercial de la Nación). Por eso, haya o no haya habido ‘delegación de la seguridad’ de los espectadores por parte del ente estatal, hay deber de seguridad que tenía la demandada como consecuencia del principio general del al terum non laedere. Ello es así porque existe una expectativa de ‘confianza fundada en que el organizador se ha ocupado razonablemente de su seguridad’…” (Considerando 7° Voto del Dr. Lorezetti) En esa tesitura, era dable observar si la CHA se había ocupado razonablemente de la seguridad de los participantes que, si bien el actor no probó la omisión de esta actividad, a su modo de ver se encontraba cubierta por la autorización estatal, y que la producción del daño resultaría imprevisible para el organizador y reuniría las características del caso fortuito. (Considerando 9° Voto del Dr. Lorezetti)


[18] Cám Nac. Cont. Admin. – Sala V. 3/7/18 “TORRES ABAD, CARMEN c/ EN-JGM s/ HABEAS DATA”


[19] Arts. 12, 19 y 20 del proyecto de reforma.


[20] Conf. Gamen, Sebastián, “Protección de los datos personales de los consumidores -Comentario al fallo “Gamen Sebastián Ariel c/Car Security SA s/ordinario” elDial DC25FD, 10 de marzo de 2018.


[21] Ob. Cit. Cám. Nac. Civil – Sala L. 24/5/18 “INSTITUTO PATRIA…”


[22] Esto se condice con la prueba del consentimiento que establece el art. 12 del proyecto que mencionaremos ut supra.


[23] Ob. Cit. Cám Nac. Cont. Admin. – Sala V. 3/7/18 “TORRES ABAD…”


[24] El art. 7 del RGPD establece las condiciones para el consentimiento del titular, estableciendo que la finalidad debe estar expresada y que el titular debe tener la facultad de retirar el consentimiento en cualquier momento.


[25] Art. 8 RGPD


[26] Art. 32 RGPD


[27] Art. 37 RGPD

ENTED

Exploratorio de Nuevas Tecnologías, Educación y Derecho

Contáctanos
  • Facebook Basic Black
  • Twitter Basic Black
  • Instagram Basic Black

© 2019 por ENTED.