Régimen jurídico de los bancos de datos. Ley 25.326 Eduardo Molina Quiroga

1. Régimen jurídico de los bancos de datos. Ley 25.326Eduardo Molina Quiroga

2. Contenidos • Propiedad intelectual y proteccion bancos de datos • Contratos derivados de operación banco de datos • Responsabilidad derivada bancos datos • Protección de los datos personales Ecomder-CEDyCS 7-5-2002

3. Introducción • Derecho intimidad o vida privada y familiar • Intromisión arbitraria • “derecho a que me dejen solo” Ecomder-CEDyCS 7-5-2002

4. Impacto nuevas tecnologías • Informática • Telecomunicaciones • Preocupación internacional por: • afectación intimidad y ejercicio libertades fundamentales • Elaboración perfiles personales Ecomder-CEDyCS 7-5-2002

5. Antecedentes Derecho Argentino tutela privacidad • Art. 19 C.N. • Art. 18 CN • Art. 1071 bis Cód.Civil (Intromisión “abritraria”) • Art. 31 ley 11723 (permiso fotografiado) • “Ponzetti de Balbín vs Editorial Atlántida” (CSJN 11-12-1984 – LL 1985-B,120) • Ley 23798 (VIH-SIDA) Ecomder-CEDyCS 7-5-2002

6. Autodeterminación Informativa • Más que proteger derechos personalísimos • intimidad • Honor • Imagen • Identidad • Se trata del derecho a controlar los datos que hacen a su persona, es un aspecto de la libertad (libertad informática), aún cuando específicamente no afecte un derecho de los mencionados Ecomder-CEDyCS 7-5-2002

7. Antecedentes normativos • ONU • Consejo Ministros Europa • Legislación europea • Suecia (1970) • Francia (1978) • Dinamarca, Bélgica, etc • España (leyes 5/92 y 15/99) • Estados Unidos Ecomder-CEDyCS 7-5-2002

8. Normas europeas(Convenio 108/81 y Directiva 45/96 CE) • Principios tratamiento datos personales • Organismos (agencias) control • Bancos datos públicos y privados • Sanciones administrativas • Sanciones penales • Responsabilidad civil • Incorporan a constituciones (España, Portugal) Ecomder-CEDyCS 7-5-2002

9. Principios rectores tratamiento datos personales • Licitud recolección • Calidad datos • Consentimiento • Información • Derecho de acceso • Derecho de rectificación y supresión Ecomder-CEDyCS 7-5-2002

10. Constitución Nacional • Art. 43, párrafo 3°: • Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquellos. No podrá afectarse el secreto de las fuentes de información periodística Ecomder-CEDyCS 7-5-2002

11. Ley 25.326 • Objeto: la protección integral de los datospersonales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, • para garantizar el derecho al honor y a la intimidad de las personas, • el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la ConstituciónNacional. • Aplicable, en cuanto resulte pertinente, a los datos relativos a personas de existencia ideal. • En ningún caso se podrán afectar la base de datos ni las fuentes de información periodísticas. Ecomder-CEDyCS 7-5-2002

12. Decreto reglamentario Decreto 1558/2001 reglamenta algunos artículos • Crea la Dirección Nacional de Protección de Datos Personales (Secretaría de Justicia del Ministerio Justicia y DDHH) – art. 29- • Registro Archivos,ficheros y bancos datos • http://www.jus.gov.ar/minjus/DPDP/Formularios.htm Ecomder-CEDyCS 7-5-2002

13. Datos personales • Información de cualquier tipo referida a • personas físicas • o de existencia ideal • determinadas o determinables. • Datos personales incluyen: • Texto, imagen ó sonido Ecomder-CEDyCS 7-5-2002

14. Licitud • La recolección de datos debe tener un fin socialmente válido • No es lícito recolectar datos con finalidad socialmente repudiable • Aspectos vida personal que deben preservarse (datos sensibles) Ecomder-CEDyCS 7-5-2002

15. Principio calidad datos personales • Finalidad • Adecuación • Pertinencia • No excesivos Ecomder-CEDyCS 7-5-2002

16. Finalidad • Debe ser explícita • No pueden utilizarse los datos para una finalidad distinta o incompatible con la expresada en la recolección • Salvo, para fines estadísticos o históricos, encuestas anónimas, etc) • Problema datos salud Ecomder-CEDyCS 7-5-2002

17. Adecuación • Funcionalmente • Temporalmente • Datos cierto puede ser inadecuado: • No completo • Desactualizado Ecomder-CEDyCS 7-5-2002

18. Pertinencia • Nadie tiene derecho a requerir información no pertinente (con la finalidad declarada en la recolección) Ecomder-CEDyCS 7-5-2002

19. Exactitud • Ambigüedad - equivocidad • Caso Lascano Quintana vs Org.Veraz • Voto mayoría • Voto minoría Ecomder-CEDyCS 7-5-2002

20. Consentimiento • Libre • Expreso • Informado Ecomder-CEDyCS 7-5-2002

21. Requisitos consentimiento • Para su validez es necesario (art. 6) • Notificación previa al interesado sobre finalidad recolección datos • Advertencia consecuencias brindar o negar información • Posibles receptores información Ecomder-CEDyCS 7-5-2002

22. Consentimiento informado • Es el que está precedido de una explicación, al titular de los datos, en forma adecuada a su nivel social y cultural, de la información a que se refiere el artículo 6º de la Ley Nº 25.326. Ecomder-CEDyCS 7-5-2002

23. Forma • Escrito • Otros medios • Videos • Documentos electrónicos • Debe reglamentarlo la DNPDP) Ecomder-CEDyCS 7-5-2002

24. Individualizable • Si está incluido con otras declaraciones, debe ser: • Expreso • Destacado • Previa notificación derechos art. 6 Ecomder-CEDyCS 7-5-2002

25. Revocación consentimiento • El consentimiento dado para el tratamiento de datos personales puede ser revocado en cualquier tiempo. • La revocación no tiene efectos retroactivos. Ecomder-CEDyCS 7-5-2002

26. Puede considerarse implícito • Cuando sea necesario • Ejecución contrato en el que el interesado es parte • Aplicación medidas precontractuales adoptadas a petición interesado • Cumplimiento obligaciones a cargo interesado • Protección interés vital interesado Ecomder-CEDyCS 7-5-2002

27. Omisión del consentimiento • Puede omitirse el consentimiento del interesado cuando sea necesario para el cumplimiento misión de interés público o inherente ejercicio poder público • Preocupación por la mala utilización de estos conceptos abiertos e indeterminados (seguridad nacional, salud pública, etc) Ecomder-CEDyCS 7-5-2002

28. Excepciones al consentimiento • Fuentes acceso público irrestricto • Ejercicio poderes Estado o cumplimiento ley • Listados solo apellido, DNI, profesión • Derivados relación contractual • Entidades financieras Ecomder-CEDyCS 7-5-2002

29. Entidades financieras • No es necesario el consentimiento para la información que se describe en los incisos a), b), c) y d) del artículo 39 de la Ley Nº 21.526. • bancos y financieras • empresas emisoras de tarjetas de crédito, • fideicomisos financieros, • exentidades financieras liquidadas por el BCRA • los sujetos que expresamente incluya la Autoridad de Aplicación de la mencionada Ley. Ecomder-CEDyCS 7-5-2002

30. Secreto bancario • En ningún caso se afectará el secreto bancario, quedando prohibida la divulgación de datos relativos a operaciones pasivas que realicen las entidades financieras con sus clientes, de conformidad con lo dispuesto en los artículos 39 y 40 de la Ley Nº 21.526. Ecomder-CEDyCS 7-5-2002

31. Información ó conocimiento • Al recabar datos personales se debe informar previamente a sus titulares (en forma expresa y clara): • finalidad de la recolección • destinatarios posibles o clase de destinatarios; • existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo, de que se trate • identidad y domicilio de su responsable; • Carácter obligatorio o facultativo respuestas • Consecuencias de proporcionar o no los datos, Consecuencias de la inexactitud de los mismos; • Posibilidad ejercer derechos acceso, rectificación y supresión de los datos Ecomder-CEDyCS 7-5-2002

32. Conocimiento y consentimiento Sin información adecuada, no hay consentimiento válido Ecomder-CEDyCS 7-5-2002

33. Datos sensibles(tratamiento especial) • Datos que revelen (Direc. CE 45/96) • Origen racial o étnico • Opiniones políticas • Convicciones religiosas o filosóficas • Pertenencia a sindicatos • Relativos a salud • Relativos a sexualidad Ecomder-CEDyCS 7-5-2002

34. Datos sensibles (art. 7) • Ninguna persona puede ser obligada a proporcionar datos sensibles. • Estos datos sólo pueden ser recolectados y objeto de tratamiento cuando: • medien razones de interés general autorizadas por ley. • con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares. Ecomder-CEDyCS 7-5-2002

35. Prohibición de registros destinados a datos sensibles • No puede haber registros con información que directa o indirectamente revele datos sensibles (excepción: Iglesia Católica, las asociacionesreligiosas y las organizaciones políticas y sindicales pueden llevar un registro de sus miembros). • Antecedentes penales o contravencionales:sólo autoridades públicascompetentes, en el marco de las leyes y reglamentaciones respectivas Ecomder-CEDyCS 7-5-2002

36. Datos sensibles pueden tratarse • Consentimiento explícito del interesado • para respetar derechos y obligaciones laborales (si está autorizado por ley y hay garantías adecuadas) • Datos que el interesado ha hecho públicos • Reconocimiento, ejercicio o defensa de derechos en juicio Ecomder-CEDyCS 7-5-2002

37. Actualizar estas categorías • Datos políticos o religiosos hoy tienen otro contexto • Problema: datos salud • Seguros – A.R.T. • Medicina prepaga • Historias clínicas • VIH - SIDA Ecomder-CEDyCS 7-5-2002

38. Toma decisiones • Derecho a no verse sometido a una decisión con efectos jurídicos sobre ellos o que les afecte de manera significativa basada únicamente en tratamiento automatizado datos • Perfil de una persona: • Datos combinados automatizadamente: pueden omitir o agregar datos, incluso recolectados con otras finalidades Ecomder-CEDyCS 7-5-2002

39. Seguridad • Otro principio es el de seguridad datos • Evitar y prevenir accesos no autorizados • Conservación adecuada de la información Reglamentos técnicos, recaudos que deben cumplir los responsables bancos de datos Ecomder-CEDyCS 7-5-2002

40. Cesión de datos (art.11) • sólo para el cumplimiento de los fines directamente relacionados con el interés legítimo • del cedente • del cesionario • previo consentimiento del titular de los datos • informar sobre la finalidad de la cesión • identificar al cesionario o los elementos que permitan hacerlo • El consentimiento para la cesión es revocable. Ecomder-CEDyCS 7-5-2002

41. Cesión de datos: excepciones al consentimiento • Cuando así lo disponga una ley; • En los supuestos previstos en el artículo 5° inciso 2; • Cesión entre dependencias del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias; • datos salud, necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados; • procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables. Ecomder-CEDyCS 7-5-2002

42. Obligaciones del cesionario • El cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate. Ecomder-CEDyCS 7-5-2002

43. Información (derecho acceso) • Antecedentes • Convenio 108 Estrasburgo • Art. 43 párrafo 3 C.N. • Directiva CE 46/95 • Ley 25.326 Ecomder-CEDyCS 7-5-2002

44. Titular derecho acceso • Personas físicas • También personas jurídicas ? Ecomder-CEDyCS 7-5-2002

45. Vías para hacerlo efectivo • Administrativas o prejudiciales • Judiciales (hábeas data, amparo,etc) • Ley 25326 (arts. 13 y 14) • Leyes provinciales (Chaco, Chubut, Río Negro, Neuquén, Sgo del Estero, Jujuy, Entre Ríos, Constitución Salta, etc. Ecomder-CEDyCS 7-5-2002

46. EJERCICIO DEL DERECHO DE ACCESO Petición de información sobre los datos personales incluidos en un banco de datos¹. DATOS DEL RESPONSABLE DEL FICHERO O TRATAMIENTO Nombre:.............................................................................................................. Dirección de la Oficina de Acceso: C/............................................................... nº.......... C.P..................... Localidad:...................... Provincia:.......................................... Nota: Si usted desconoce la dirección del responsable del banco de datos puede dirigirse a la Dirección Nacional de Protección de Datos Personales (DNPDP) del Ministerio de Justicia y Derechos Humanos para solicitar esta información en el teléfono xxxxxxxx en horario de 9 a 14 de lunes a viernes. (LA DNPDP NO DISPONE DE LOS DATOS CONTENIDOS EN EL BANCO DE DATOS, SINO TAN SÓLO LA DIRECCIÓN DEL RESPONSABLE DEL BANCO DE DATOS). DATOS DEL SOLICITANTE D./Dª. ............................................................................, con domicilio en ……………………….. ........................................................... nº.....…... piso ………. depto. ……, Localidad ………… ........................................... Provincia de .........................................., C.P. ............... con D.N.I ......................., del que acompaña fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de acceso, de conformidad con el artículo 14 de la Ley Nº 25.326, y los artículos 14 y 15 de la Reglamentación de la Ley Nº 25.326 aprobada por Decreto Nº 1558/01. SOLICITA.- 1.- Que se le facilite gratuitamente el acceso a sus ficheros en el plazo máximo de diez (10) a contar desde la recepción de esta solicitud, entendiendo que si transcurre este plazo sin que de forma expresa se conteste a la mencionada petición de acceso se entenderá denegada. En este caso se interpondrá la oportuna reclamación ante la Dirección Nacional de Protección de Datos Personales y quedará expedita la vía para ejercer la acción de protección de los datos personales, en virtud de lo dispuesto por el artículo 14 de la Ley Nº 25.326 y el artículo 14 de la Reglamentación de la Ley Nº 25.326 aprobada por Decreto Nº 1558/01. 2.- Que si la solicitud del derecho de acceso fuese estimada, se remita por correo la información a la dirección arriba indicada en el plazo de diez días desde la resolución estimatoria de la solicitud de acceso. 3.- Que esta información comprenda de modo legible e inteligible los datos de base que sobre mi persona están incluidos en sus ficheros, y los resultantes de cualquier elaboración, proceso o tratamiento, así como el origen de los datos, los cesionarios y la especificación de los concretos usos y finalidades para los que se almacenaron. En................................... a los ........... días del mes de............................. de 200..... ¹ Los derechos se ejercen ante el responsable del banco de datos: Organismo Público o Privado, empresa, profesional o particular, que es quien dispone de los datos. La DNPDP no dispone de sus datos personales. Ecomder-CEDyCS 7-5-2002

47. Legitimación • Activa • Titular de los datos • Interpretación amplia: caso “Urteaga” • Pasiva • Responsable banco datos • Usuarios banco datos • Caso “Ganora” Ecomder-CEDyCS 7-5-2002

48. Procedimiento • Plazo 10 días para responder intimación • Gratuidad (solo cada seis meses) • Acreditar identidad • Motivos por los que cree el intimado tiene sus datos Ecomder-CEDyCS 7-5-2002

49. Claridad en la información • Clara • Sin codificaciones • Explicada en lenguaje accesible nivel medio población • Crítica: sordos, ciegos, otros idiomas ? • Informes financieros, datos médicos Ecomder-CEDyCS 7-5-2002

50. Amplitud en la información • Todos los datos • Aun los no solicitados • No puede revelar datos sobre terceros • Comp.Dir.CE 46/95- Reglam.LORTAD Ecomder-CEDyCS 7-5-2002