HABEAS DATA. ¿Y AHORA QUE? (*)
La nueva Ley exige cambios en la Política de Privacidad de los Web sites.
Antes
que fuera promulgada la Ley de Protección de los Datos Personales en el mes de
noviembre pasado, nada obligaba a los Web sites argentinos a tratar en forma
adecuada los datos personales de sus usuarios. La generalizada costumbre de
incluir a pie de página una mención a la "Política de Privacidad"
con un enlace a un página que detallaba sus lineamientos era totalmente
voluntaria y sus promesas normalmente incumplidas. Además, en la mayoría de
los casos, su contenido copiaba textualmente modelos extraídos de Web sites
extranjeros con mención de normas ajenas a nuestro sistema jurídico y por
ende, de difícil exigibilidad. Con la sanción de la Ley 25.326 (vetada
parcialmente por el Decreto 995) comienza una nueva etapa para los
emprendimientos que basan buena parte de su negocio en la interacción con los
usuarios y el manejo de datos personales. Ya no basta con publicar la política
relativa a la protección de los datos personales de los usuarios. Ahora hay que
cumplirla de acuerdo a lo que exige la nueva Ley.
Qué
se protege
La
Ley tiene por objeto la protección integral de los datos personales asentados
en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento
de datos, públicos o privados destinados a dar informes, para garantizar el
derecho al honor y a la intimidad de las personas, así como también el acceso
a la información que sobre las mismas se registre. Como se ve, el derecho que
se trata de proteger no es sólo el de la intimidad, sino algo con mayor
profundidad que en el derecho anglosajón se denomina "privacy" y que
se ha castellanizado como "privacidad". Lo que se busca es proteger
aspectos de la personalidad que individualmente no tienen mayor trascendencia
pero que, al unirse con otros, pueden configurar un perfil determinado de las
personas. Ante dicha posibilidad surge el derecho de sus titulares a exigir que
los datos permanezcan en el ámbito de su privacidad.
Qué
datos pueden recabarse
Salvo
que medien razones de interés general autorizadas por Ley, ninguna persona
puede ser obligada a proporcionar datos personales que revelen su origen racial
y étnico, sus opiniones políticas, sus convicciones religiosas, filosóficas o
morales, su afiliación sindical e información referente a su salud o vida
sexual. Es más, la formación de archivos, bancos o registros que almacenen
datos que revelen ese tipo de información -denominada sensible- queda
prohibida. La Ley establece que los datos personales que se recojan a los
efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no
excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.
Además, no pueden ser utilizados para fines distintos o incompatibles con los
que motivaron su obtención. Cuando no sean exactos, deben actualizarse,
suprimirse o sustituirse y si han dejado de ser necesarios o pertinentes a los
fines para los cuales fueron recolectados, deben ser destruidos. En cuanto a los
datos relativos a la salud, los datos de los pacientes sólo pueden ser
recolectados por los establecimientos sanitarios y los profesionales médicos
responsables de su tratamiento, siempre y cuando se respeten los principios del
secreto profesional.
Consentimiento
Como
norma general, pueden tratarse datos personales de los usuarios cuando hubieren
prestado, por escrito o medio equiparable, su consentimiento libre, expreso e
informado. No será necesario el consentimiento cuando los datos se obtengan de
fuentes de acceso público irrestricto (como las guias telefónicas), se recaben
para el ejercicio de funciones propias de los poderes del Estado o en virtud de
una obligación legal, se deriven de una relación contractual, científica o
profesional con el titular de los datos y resulten necesarios para su desarrollo
o cumplimiento, o se trate de listados cuyos datos se limiten a registrar el
nombre, DNI, CUIT o CUIL, ocupación, fecha de nacimiento y domicilio. Lo que no
está del todo claro es si puede entenderse que un usuario, luego de leer la ya
famosa "Política de Privacidad", presta su consentimiento por el sólo
hecho de pulsar el botón de aceptación que al efecto se coloque en el Web
site, o si será necesario que además de la aceptación virtual envie por otro
medio un documento de aceptación que contenga su firma manuscrita. El acto de
pulsar el botón para consentir o aceptar algo en la web se ha convertido en una
costumbre entre los internautas. Es por ello que debería aceptarse la validez
de esa forma de prestar el consentimiento y establecerse niveles más rigurosos
de aceptación para casos en los que estén en juego las clases de datos
personales especialmente protegidos por la ley.
Formularios
Más
allá de lo que pueda decir el apartado dedicado a la Política de Privacidad,
cada vez que un usuario deba completar un formulario en el que se le soliciten
datos referidos a su persona, además de obtener su consentimiento se le debe
informar claramente cuál es la finalidad para
la que serán tratados; quiénes pueden ser sus destinatarios; la existencia del
archivo, registro o banco de datos; la identidad y domicilio de su responsable;
el carácter obligatorio o facultativo de las respuestas al cuestionario que se
le proponga; las consecuencias de proporcionar los datos, de la negativa a
hacerlo o de la inexactitud de los mismos y la
posibilidad de conocer, modificar o incluso cancelar los registros referentes a
su persona en forma gratuita.
Tratamiento
y cesión de datos
Todo
archivo, registro, base o banco de datos deberá inscribirse en el Registro que
al efecto habilite el organismo que sea designado como autoridad de control. Sólo
así la formación de archivos de datos será lícita. Además la ley exige que
se adopten medidas técnicas y organizativas que garanticen la seguridad y
confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida,
consulta, tratamiento no autorizado y que permitan detectar desviaciones de
información. Los datos personales objeto de tratamiento sólo pueden ser
cedidos a terceros para el cumplimiento de los fines directamente relacionados
con el interés legítimo del cedente y del cesionario y con el previo
consentimiento del titular de los datos, al que se le debe informar sobre la
finalidad de la cesión e identificar al cesionario o los elementos que permitan
hacerlo. Es por ello que todo
Web site debe diseñar un sistema claro y efectivo que permita a los usuarios
decidir si aceptan, o no, que sus datos personales sean ingresados, por ejemplo,
en bases de datos para campañas de marketing, promoción y publicidad.
Marketing
y Publicidad
Las
empresas que realizan tareas de marketing, promoción y publicidad podrán
tratar datos que sean aptos para establecer perfiles determinados con fines
promocionales, comerciales o publicitarios, o permitan establecer hábitos de
consumo, siempre y cuando dichos datos figuren en documentos accesibles al público
o hayan sido facilitados por los propios titulares u obtenidos con su
consentimiento.
Cookies
Las cookies constituyen una potente herramienta utilizada por la gran mayoría de los Web sites y consisten en pequeños archivos de datos de texto que el servidor entrega al programa navegador que lo visita para que lo guarde en el disco rígido de esa computadora con el fin de recolectar información acerca de lo que el usuario ha estado haciendo por sus páginas. Si el Web site utiliza cookies, debe explicarse claramente qué son, qué tipo de información recopilan, cuás es su objeto y cómo pueden desactivarse. De esta manera los usuarios tendrán la libertad de elegir si prefieren la navegación sin cookies, de decidir si desean arriesgar una porción de su intimidad a cambio de una navegación más personalizada, o si aceptan la intromisión luego de comprobar que quienes las utilizan se ajustan a los límites impuestos por la ley.
Gustavo Daniel Tanús
(*) Artículo publicado en Information Technology, revista editada por Mind Opener S.A. Edición Nº 52 - Marzo 2001, pág. 96. Buenos Aires, Argentina.