Por Pablo A. Pirovano
Oportunamente indicamos que el Habeas Data es una garantía constitucional que tiende a proteger a la persona contra calificaciones erróneas, incompletas o sospechosas, incluidas en registros, que pueden llegar a perjudicarle de cualquier modo y en base a precedentes jurisprudenciales[1] lo definimos como aquella garantía en virtud de la cual toda persona tiene el derecho de solicitar por vía judicial que le sean exhibidos los registros, tanto públicos como los privados destinados a dar informes, en los cuales obren sus datos personales o los de su grupo familiar, para poder tomar conocimiento de su exactitud y requerir en caso necesario su rectificación, la supresión de datos inexactos u obsoletos o que impliquen discriminación. [2]
Bajo este marco conceptual, y sin hacer mérito de la bondad de la legislación bajo análisis, también aseveramos que el deber de registración abarca a los archivos de uso interno, si exceden el uso personal de quien los crea o administra, porque su contenido sirve para realizar evaluaciones que pueden tener una incidencia relevante en los derechos del titular de los datos. Es que, en virtud de lo previsto por la Ley 25.326 y el Decreto 1558/2001, todas aquellas personas físicas o jurídicas que sean titulares de archivos, registros, bases o bancos de datos privados que contengan información relacionada con personas físicas o jurídicas determinadas o determinables, y sus titulares no sean particulares que las utilicen en forma exclusivamente personal, deben inscribirse en el Registro Nacional de Base de Datos Privadas.
Dicho ello, también destacamos que el organismo de contralor no está en conocimiento de los datos que se registren, no registrará datos personales, sino que controlará a las bases que registran esos datos.
El Art 31 de la Ley 25326 estableció la posibilidad de sancionar a los responsables o usuarios de las bases de datos, dejando abierto a la reglamentación ulterior la determinación de las condiciones y procedimientos de aplicación de las sanciones previstas.
Para efectivamente poder llevar a cabo su tarea de contralor, el Poder Ejecutivo Nacional reglamentó el Art 31 de la Ley 25326 mediante el dictado del Decreto 1558/2001, disponiendo en su versión original a quienes serán aplicadas las sanciones, fijando las pautas básicas en virtud de las cuales se graduarán las sanciones, fijando el destino de lo recaudado en concepto de multas y estableciendo un sucinto procedimiento administrativo, que aparecía como razonable en orden a la tarea de contralor que debe ejecutarse.
Más allá de las críticas que podrían esbozarse a la técnica legislativa utilizada y a su eventual constitucionalidad, ello en orden al modo en que se ha legislado sobre estas sanciones que incluso por vía de Disposición del organismo de contralor[3], pueden llegar a la clausura o cancelación del archivo, registro o banco de datos, encontramos ahora una nueva reglamentación de las facultades de contralor de la Dirección Nacional de Protección de Datos Personales que entendemos debe ser prudencialmente ejercido por la autoridad de contralor y severamente controlado por el Poder Judicial.
Sucede que el Art. 31, que es reglamentado nuevamente por el Decreto 1160/2010 y que es objeto de este comentario prevé, como hemos expuesto, que será mediante la reglamentación que se dispondrán “las condiciones y procedimientos para la aplicación de las sanciones previstas”, pero remarca que estas “deberán graduarse en relación a la gravedad y extensión de la violación y los perjuicios derivados de la infracción, garantizando el principio del debido proceso.”
Por su parte, es importante detenerse a analizar el objeto de la ley, que como dijimos, no es otro que garantizar el honor y la intimidad de las personas. Por lo tanto, jamás a través de la reglamentación de esta ley el Poder Ejecutivo Nacional podría avasallar otros derechos constitucionales de similar rango ni atentar en definitiva aquello que se pretende resguardar.
Que en lo que concierne a este comentario del Decreto 1160/2010, se extrae que el Poder Ejecutivo Nacional, ha motivado el mismo en “la necesidad de establecer un procedimiento que regule con mayores precisiones y simplifique la actividad de la Dirección Nacional de Protección de Datos Personales relativa a sus funciones de investigación y control, con miras a la procedencia de la aplicación de sanciones, con resguardo de las reglas del debido proceso y del derecho de defensa.” Asimismo, en la norma reglamentaria se considera conveniente que las constancias del Registro de Infractores sean publicadas en la página web de la Dirección Nacional de Protección de Datos Personales, en cumplimiento de la garantía de publicidad de los actos de gobierno, conforme lo prevé el Decreto Nº 1172 de fecha 3 de diciembre de 2003.
Ahora bien, del texto de la nueva reglamentación del Art 31 de la ley 25236, surge que la autoridad de contralor entre otras prerrogativas podrá iniciar los procedimientos de oficio o por denuncia de quien invocare un interés particular, ello de la misma forma que lo preveía su redacción original.
Adicionalmente detalla las acciones que podrá desarrollar el organismo de contralor para el cumplimiento de sus cometidos, con un nivel de ingerencia sobre el objeto de control que permite avizorar –teniendo presente la motivación sancionatoria- una ingente actividad administrativa que por su parte deberá ser contrapesada por un férreo control judicial.
Entre otras prerrogativas, organismo de contralor podrá:
- I) Comprobar la legitimidad de todas las operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.
La amplitud del ámbito de operaciones sujetas a control dará lugar seguramente a un examen permanente de las metodologías utilizadas en todo archivo, registro o base de dato público o privado destinado a proporcionar informes, sin que exista incluso una denuncia en particular por la violación de los preceptos legales, que como indicáramos son únicamente garantizar el uso adecuado y fidedigno de los datos personales.
De esta forma, entendemos que, si bien la reglamentación pretende poner en práctica un efectivo control previo de las operaciones y procedimientos sistemáticos empleados en archivos, registros o bases de datos, a modo de evitar abusos respecto a los datos que se administran y/o transfieran, es menester abogar para que estos controles sean efectuados en los casos que la propia reglamentación prevé, o sea, cuando exista un pedido de un interesado o ante la sospecha de una ilegalidad. Circunstancias ambas, que deberán encontrarse debidamente motivadas.
- II) Constatar el funcionamiento adecuado de los mecanismos de control interno y externo del archivo, registro, base o banco de datos para el efectivo resguardo de los datos personales que contiene.
En este punto que es complementario del anterior, la autoridad de contralor también deberá ser extremadamente cautelosa en su actuación. La ley le permite auditar el funcionamiento adecuado de los controles internos y externos únicamente para garantizar la protección del honor e intimidad de las personas. Esta facultad no permite otra conducta que examinar sistemas de control, por lo que, una irrazonable reglamentación –Vg. por engorrosa u excesivamente onerosa- de aquellos controles que deban implementarse, debería merecer la revisión judicial en orden a la posibilidad de que ello afecte –sin razón valedera- las propias garantías constitucionales de los responsables o usuarios de los registros, archivos o bases de datos.
III) Verificar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos.
Debiera explicitarse como mayor detalle la extensión de este control en relación a la observancia apuntada, ya que la integridad de los datos no es materia que la autoridad de contralor pueda aplicar de oficio.
Sobre la seguridad de los datos, entendemos que esta facultad esta enmarcada en la prevista en el Inciso II del mismo artículo, relacionada con la facultad de constatar el funcionamiento de los mecanismos de control interno y externo, circunstancia que torna sobreabundante este concepto.
- IV) Velar por el cumplimiento de los plazos establecidos en los artículos 14 y 16 de la Ley Nº 25.326 para el ejercicio de los derechos de acceso, rectificación, supresión, actualización y confidencialidad reconocidos a los titulares de datos personales.
En el caso, se trata de garantizar el debido cumplimiento por parte de los responsables o usuarios de los archivos, registros o bases de datos de sus obligaciones de responder y acceder –llegado el caso de corresponder- a la rectificación, supresión, actualización y confidencialidad de los datos personales de aquellos titulares que así lo hayan requerido.
La intervención de la autoridad de controlar en estos supuestos siempre debe ser a pedido del interesado que no ha obtenido en tiempo forma de parte del responsable del archivo, registro o base de datos, la respuesta indicada en la ley dentro del tiempo y forma allí establecidos.
- V) Realizar investigaciones e inspecciones, así como requerir de los responsables o usuarios de bancos de datos personales y de su tratamiento, información, antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que estime necesario y también solicitar el auxilio de los cuerpos técnicos y/o, en su caso, la autorización judicial que corresponda, a sus efectos.
Esta facultad no se encuentra restringida a los casos de denuncias de particulares damnificados y debe entenderse que encuentra razón de ser en lo previsto en el Art. 4 de la reglamentación.[4] La autoridad de contralor deberá ejercer esta facultad de modo prudencial, ya que cabe la posibilidad de que sea desvirtuada a tal fin de que se produzcan incesantes pedidos de informes, inspecciones “in situ” administrando la autoridad de contralor los programas u otros elementos relativos al tratamiento de los datos personales, operando de modo genérico, ya no en pos de garantizar que los particulares puedan tomar debido “conocimiento de los datos referidos a persona determinada y su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, exigir la supresión, la rectificación, confidencialidad o actualización de aquellos”[5], sino bajo el manto de precisar el modo de administrarlos, llegar al contenido de los archivos, registros o bases de datos, violentando de esa forma (en los casos que no haya denuncia de un particular damnificado) lo que la ley ha venido a resguardar que no es otro bien que la intimidad y el honor de las personas.
Es fundamental realizar una prudente utilización de esta facultad reglamentaria, la cual solamente apunta a los sistemas que son utilizados en archivos, registros o bases de datos para tratar los mismos. Operar el control de modo tal que avance sobre el contenido de los registros o archivos, implicaría poner en riesgo otras garantías republicanas –en este caso de los responsables de los registros, archivos o bases de datos e incluso de los propios titulares de los datos- suponiendo ello una ingerencia del Estado no deseada por la norma bajo análisis.
- VI) Solicitar la presentación de informes a los responsables de bancos de datos y de su tratamiento.
En relación a estos informes la reglamentación no da detalles respecto al contenido de los mismos ni la ocasión en que podrán ser solicitados, pero se entiende que se encuentran entre aquellos que podría pedir en uso de las facultades conferidas por el Art. 4 del mismo texto legal.
VII) Formular requerimientos ante las autoridades nacionales, provinciales y municipales.
VIII) Realizar inspecciones y labrar el Acta de Inspección pertinente, la que junto con las comprobaciones técnicas que se dispusieren, constituirá prueba suficiente de los hechos así comprobados.
- IX) Solicitar al juez competente el auxilio de la fuerza pública para realizar el allanamiento de domicilios; la Clausura de registros; el secuestro de documentación y toda otra medida tendiente al cabal cumplimiento de la actividad investigativa.
Estas facultades otorgan a la autoridad de contralor el acceso al efectivo control que le demanda el legislador. En caso de existir resistencia del responsable o usuario de un registro, archivo o base de datos ante una inspección o pedido de informes, podrá recurrir a la autoridad judicial a los fines de poner en práctica su actividad investigativa. De la misma forma deberá obrar en caso de pretender clausurar los registros o secuestrar documentación.
Como se puede observar, la modificación introducida al Anexo I del Decreto 1558/2001, específicamente a la reglamentación del Art. 31 de la ley 25.326, posee como dato de relevancia el detalle con el que se han descripto las facultades para el ejercicio de su actividad por parte de la autoridad de contralor. Estas facultades, si bien abundantes, permitirán ejercer la función de control de los archivos, registros y bases de datos en cuanto públicos o privados destinados a proveer informes. Claro está que, tratándose del ejercicio del poder de policía en el ámbito del honor y la intimidad de las personas, encontrado en ocasiones con el derecho de propiedad del hardware y software de quien administra esos archivos, registros o bases de datos, deberá el Poder Judicial efectuar por su parte el control suficiente y exhaustivo de lo actuado por la autoridad de contralor, cuando así sea requerido por el administrado.
[1] “Dinamarca Víctor Hugo Dante c/ Mº del Interior -Comisión Nac. de Desaparición de Personas s/Habeas Data” Causa: 14.784/98. magistrados: Grecco, Gallegos Fedriani, Otero; 10/05/1999; C.NAC.CONT.ADM.FED., SALA V
[2] Habeas Data: archivos, registros y bases de datos destinados a dar informes. El Derecho
[3] Ver Disposición 7/2005 de la Dirección Nacional de Protección de Datos Personales
[4] El Art. 4 Decreto 1558/2001 faculta a la Dirección Nacional de Protección de Datos Personales a efectuar controles de oficio ante la sospecha de una ilegalidad en relación al tratamiento de los datos personales.
[5] Art. 43 de la Constitucional Nacional.
