EL CONTRATO DE PRESTACION DE SERVICIOS DE TRATAMIENTO DE DATOS PERSONALES (EL "OUTSOURCING" DE DATOS) (*)

I.-Introducción.

La complejidad de los sistemas de tratamiento de información y las posibilidades que ofrece el adelanto tecnológíco han provocado que, en la actualidad, gran cantidad de empresas adviertan la conveniencia de confiar buena parte de sus tareas a terceros especializados en prestar de manera profesional y eficiente servicios de gestión y tratamiento de datos. 

A modo de ejemplo, pueden nombrarse los casos de empresas que tercerizan la gestión de sueldos de sus empleados, el servicio informático, la atención al cliente a través de call centers, la confección e implementación de campañas de promoción y marketing, el alojamiento y administración de sitios web, la personalización y envío de correspondencia y hasta el archivo y gestión de documentación y bases de datos en data centers. En todos estos casos, para realizar la tarea encomendada, el prestador del servicio deberá acceder a los datos de carácter personal incorporados en los archivos, registros, bases o bancos de datos de titularidad de quien lo contrate. 

La Ley 25.326 de Protección de los Datos Personales(1) tiene por objeto la protección integral de cualquier tipo de información referida a personas físicas o jurídicas, determinadas o determinables, que se encuentre asentada en archivos, registros, bases, bancos de datos, u otros medios técnicos de tratamiento de datos, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional(2).

De la definición que trae el artículo 2 de la citada Ley, se desprende que dentro del concepto “Tratamiento de Datos” se incluyen todas aquellas operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y, en general, el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.

Como se ve, prácticamente cualquier actividad que se realice en un archivo, registro, base o banco de datos que contenga información de carácter personal está alcanzada por la Ley, razón por la cual, es necesario analizar cómo impacta la normativa vigente en materia de protección de datos personales cada vez que una empresa decide valerse de los servicios de un tercero para desarrollar una actividad que requiera el acceso por parte del prestador del servicio a datos de carácter personal incorporados en archivos, registros, bases o bancos de datos de su propiedad.

Esta modalidad de realizar tratamientos de datos por cuenta de terceros está prevista en el artículo 25 de la Ley, titulado “Prestación de servicios informatizados de datos personales”.

Si bien esta práctica es internacionalmente conocida con el vocablo inglés “outsourcing", a los efectos de este trabajo, emplearemos el lenguaje utilizado por la  legislación argentina, con la siguiente salvedad: Coincidiendo con Peyrano(3), entendemos que el título del artículo 25 debería haber incluido el término tratamiento y, a su vez, evitado toda referencia a los servicios informatizados, ya que la legislación argentina sobre la materia es aplicable a todo tipo de archivo, registro, base o banco de datos, inclusive los manuales.

De allí que este trabajo se titule “El contrato de prestación de servicios de tratamiento de datos personales”, tal como entendemos debería haber sido denominado por la Ley.

II.-El Contrato 

En virtud a lo dispuesto por el segundo párrafo del artículo 25 del Decreto 1558/2001, el tratamiento de datos personales por cuenta de terceros debe estar regulado por un contrato.

Demás está decir que la relación contractual que contempla la legislación es la de una locación de servicios, pero ¿quiénes tienen que suscribir este contrato y cuáles son las cuestiones que el mismo debe contemplar?

1) Las partes

Las partes en este contrato son dos: 1) el contratante o cliente que encarga el servicio y 2) el contratista o prestador del servicio que se compromete a realizarlo.

En la generalidad de los casos, en un contrato de prestación de servicios de tratamiento de datos personales, quien contrata el servicio será el titular del archivo, registro, base o banco de datos que contiene dicha información y quien lo realice será un tercero. Sin embargo, en su redacción, el artículo 25 del Decreto Reglamentario contempla la posibilidad de que el servicio pueda ser también encargado por la novedosa figura del “Usuario de datos”, no contemplada por las normas internacionales sobre la materia que inspiraron a los legisladores argentinos. 

En los términos de la Ley, se entiende por Usuario de datos a toda persona, pública o privada, que realice a su arbitrio el tratamiento de datos, ya sea en archivos, registros o bancos de datos propios o a través de conexión con los mismos. 

Sinceramente no se entiende a quién quiso referirse el legislador con esta definición, ya que lo habitual es que la persona que realiza a su arbitrio tratamientos de datos sea el Responsable de un archivo, registro, base o banco de datos, ya sea personalmente o a través de sus dependientes. Mucho menos aún si se analiza el alcance que se le ha dado al concepto de Usuario de datos, ya que a través de todo el articulado de la Ley se advierte que se le han asignado casi todos los mismos deberes y obligaciones que a los Responsables de los archivos, registros, bases o bancos de datos.

Toda vez que el análisis del significado de esta figura excede el propósito de este trabajo, que no es otro que el de analizar las características y requisitos que debe reunir un contrato de prestación de servicios de tratamiento de datos, y teniendo en cuenta que, en la mayoría de los casos, quien le confiará a un tercero la prestación de este tipo de servicios será quien tenga la facultad de decidir acerca de la finalidad del archivo, registro, base o banco de datos, debe entenderse que el contratante o cliente al que nos referimos en párrafos anteriores no es otro que el Responsable del tratamiento.

El artículo 2 de la Ley 25.326 define la figura del Responsable diciendo que se trata de la persona física o de existencia ideal, pública o privada, que es titular de un archivo, registro, banco o base de datos. Asimismo, define al Titular del dato(4) y al ya mencionado Usuario de datos. 

Sin embargo, y aún cuando en el artículo 25 del Decreto 1558/2001, al enumerar los requisitos que deben reunir los contratos de prestación de servicios de tratamiento de datos, incorpora la figura del Encargado del tratamiento como un nuevo sujeto susceptible de efectuar tratamientos de datos, omitió definir su significado.

En efecto, el segundo párrafo del ya citado artículo 25 del Decreto reglamentario establece que “la realización de tratamientos por encargo deberá estar regulada por un contrato que vincule al encargado del tratamiento con el responsable o usuario del tratamiento”.

Como se ve, la nueva figura que incorpora la reglamentación, distinta a las restantes definidas por el artículo 2 de la Ley, es idéntica a la que establece la “musa inspiradora” de nuestra legislación: La Ley española 15/99, más conocida como LOPD(5).

En su artículo 3, la LOPD define al encargado del tratamiento como aquella “persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”. El mismo significado le asigna el artículo 2 de la Directiva Europea 95/46/CE del Parlamento y del Consejo. Y es a esta persona a quien se refiere, aunque sin definir su concepto, el artículo 25 de la Ley 25.326. 

La individualidad de la figura del Encargado del tratamiento surge al compararlo con los restantes sujetos contemplados por la legislación. No es “Responsable del archivo, registro, base o banco de datos” porque no es su titular; no es “Usuario de datos” porque no realiza a su arbitrio el tratamiento de datos, no es “Cesionario” porque la relación que lo vincula con el Responsable del archivo, registro, base o banco de datos es distinta a la contemplada por el artículo 11 de la Ley; y, obviamente, no es “Titular de los datos”, porque, se supone, los datos sujetos a tratamiento no se referirán a su persona.

Consideramos que hubiese sido saludable no sólo que se hubiera incluido dentro de las definiciones del artículo 2 la figura del Encargado del tratamiento, sino también, como veremos más adelante, que se lo hubiera tenido presente en la redacción de otros artículos que tratan cuestiones que, a nuestro juicio, le son aplicables.

2) La forma:

Aún cuando ni la Ley ni el Decreto Reglamentario exigen que el contrato de prestación de servicios de tratamiento de datos personales cumpla con determinada formalidad, entendemos que el mismo debe instrumentarse por escrito, ya que el artículo 25 de la Ley indica que los datos personales tratados por terceros no pueden aplicarse o utilizarse con un fin distinto al que “figure en el contrato de servicios”. 

Consideramos que esta interpretación, que también ha sido sostenida por la Sala en lo Contencioso-Administrativo de la Audiencia Nacional Española(6), es la más acorde con la finalidad de la Ley porque garantiza que el prestador del servicio únicamente tratará los datos conforme a las instrucciones impartidas por el Responsable del archivo, registro, base o banco de datos sujeto a tratamiento. En otro caso, se generaría una situación de inseguridad jurídica en perjuicio de los titulares de los datos tratados. 

Hubiese sido mejor que nuestro legislador siguiera el ejemplo español en este sentido, incorporando expresamente la exigencia de la forma escrita para este tipo de contratos, tal como lo hace el art. 12.2. de la LOPD(7).

3) Cuestiones que debe contemplar el contrato:

El artículo 25 de la Ley 25.326 textualmente dice: 

“1.Cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación. 

2. Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años.”

Por su parte, el artículo 25 del Decreto reglamentario Nº 1558/2001 establece lo siguiente: 

“Los contratos de prestación de servicios de tratamiento de datos personales deberán contener los niveles de seguridad previstos en la Ley Nº 25.326, esta reglamentación y las normas complementarias que dicte la Dirección Nacional de Protección de Datos Personales, como así también las obligaciones que surgen para los locatarios en orden a la confidencialidad y reserva que deben mantener sobre la información obtenida. 

La realización de tratamientos por encargo deberá estar regulada por un contrato que vincule al encargado del tratamiento con el responsable o usuario del tratamiento y que disponga, en particular: a) que el encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento; b) que las obligaciones del artículo 9 de la Ley Nº 25.326 incumben también al encargado del tratamiento.” 

Del análisis del contenido de los párrafos que la Ley y el Decreto le dedican a este contrato, surgen variadas cuestiones que los mismos deben contemplar y que se traducen en no menos variados deberes en cabeza del Encargado del tratamiento.

a) Deber de respeto a la finalidad para la cual fue creado el archivo, registro, base o banco de datos:

Sin lugar a dudas, uno de los principios rectores del sistema de protección de datos personales es el principio de finalidad, que implica que los datos de carácter personal que sean recabados para incorporarse a un archivo, registro, base o banco de datos deben tratarse con un objetivo específico que debe conocerse antes de su creación e informarse en el momento en el que los datos personales son recolectados. 

Varios artículos de la Ley se refieren a este principio, entre ellos el artículo 3, segundo párrafo que establece que los archivos de datos no pueden tener finalidades contrarias a las leyes o a la moral pública y el artículo 6, apartado a) que indica que cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa y clara la finalidad para la que serán tratados.

El principio de finalidad exige que los datos se obtengan y traten de manera leal y lícita, y que su almacenamiento se realice para fines concretos y legítimos.

El primer párrafo del artículo 25 de la Ley exige que “... cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios...”.

En consonancia con el principio de finalidad que debe regir todo tratamiento de datos, resulta atinada la exigencia legal de incorporar en el contrato que el Responsable de un archivo, registro, base o banco de datos suscriba con un tercero para que realice tratamientos de datos por su encargo, una cláusula que establezca claramente que el Encargado del tratamiento no aplicará o utilizará los datos a los que pueda tener acceso con motivo del servicio contratado con un fin distinto al que figure en el contrato, que no puede ser otro que el mismo que el Responsable del tratamiento tuvo al crear el archivo, registro, base o banco de datos objeto del contrato.

b) Deber de respeto a las instrucciones impartidas por el Responsable del archivo, registro, base o banco de datos:

El inciso a) del segundo párrafo del artículo 25 del Decreto 1558/2001 exige que en el contrato se establezca claramente que “... el encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento...”

Quien presta el servicio actúa por cuenta de quien lo encarga, de modo que el riesgo o beneficio de los resultados del servicio siempre recaerá sobre el Responsable del archivo, registro, base o banco de datos. 

En consecuencia, va de suyo que al encargar el tratamiento de datos personales a un tercero, al Responsable del archivo, registro, base o banco de datos le asistirá el derecho a exigir que el tratamiento se realice en un todo de acuerdo a la Ley y al contrato que los vincula, fundamentalmente porque como principal obligado a cumplir los principios y deberes previstos por la Ley, será susceptible de recibir las sanciones que puedan derivarse de su incumplimiento. 

Para ello, en el contrato deberán especificarse todos y cada uno de los servicios que el Encargado debe y puede realizar, así como todas aquellas actividades que deberá abstenerse de desarrollar. 

Si el Encargado del tratamiento se aparta de las instrucciones impartidas por el Responsable del archivo, registro, base o banco de datos, o viola las prohibiciones incluidas en el contrato de servicios, responderá por su incumplimiento. Por el contrario, si el resultado de las actuaciones del prestador del servicio se ajustan a las instrucciones impartidas por el Responsable del archivo, registro, base o banco de datos en el contrato, entendemos que cualquier infracción a la Ley que no sea directamente atribuible al Encargado del tratamiento debería imputársele a aquél.

c) Imposibilidad de ceder los datos sujetos a tratamiento:

Como regla general, el tratamiento de datos de carácter personal requiere, además del consentimiento libre y expreso del titular de los datos, que quien pretenda recabar datos personales de una persona le informe previamente, en un lenguaje acorde a su nivel social y cultural y de modo expreso, preciso e inequívoco, entre otras cuestiones, con qué finalidad serán tratados los datos recabados y quiénes pueden ser sus destinatarios o clase de destinatarios. Así lo establecen los artículos 5 y 6 de la Ley 25.326 (8)

Esta protección que se le concede al ciudadano frente al tratamiento de sus datos personales, se proyecta también en el caso de cesión a terceros.

En efecto, el inciso 1 del artículo 11 de la Ley establece que, salvo expresas excepciones, “los datos personales objetos de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario, y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo”.

Como puede advertirse, en líneas generales, para ceder datos a terceros la Ley exige que el Responsable del archivo, registro, base o banco de datos cuente con el consentimiento previo del titular del dato, consentimiento que no se requiere para permitir que un tercero acceda a los datos en el marco de un contrato de prestación de servicios de tratamiento de datos como el que analizamos.

De lo dicho, y tal como lo analizaremos más adelante, se desprende que la Ley argentina no considera a la prestación de servicios de tratamiento datos como un supuesto de cesión de datos. Si así fuera, no sólo hubiera incluido este tipo de tratamiento de datos el texto del artículo 11, sino que, además, hubiera exigido que al recabar los datos, el Responsable del archivo, registro, base o banco de datos le informe al Titular del dato recolectado que el tratamiento de sus datos podrá ser realizado por un tercero.

Toda vez que, como hemos visto, para ceder datos personales a terceros se requiere contar con el consentimiento previo del titular del dato, consentimiento que nunca puede ser obtenido por el Encargado del tratamiento, va de suyo que no podrá ceder los datos personales que el Responsable del archivo, registro, base o banco de datos le confie para que realice la tarea contratada.

Aún cuando dicha prohibición surge tácitamente del juego armónico de los artículos mencionados, el inciso 1 del artículo 25 de la Ley expresamente señala en forma expresa que el encargado del tratamiento no puede ceder los datos personales sujetos a tratamiento a otras personas, ni aún para su conservación.

Esta garantía, básica para el entendimiento de la finalidad de la Ley, encuentra respuesta, cuando no es respetada, entre otros supuestos, en el punto 3, b) del Anexo I de la Disposición 1/2003 de la Dirección Nacional de Protección de Datos Personales, que considera que "la comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas” es una infracción grave que puede ser sancionada con multas de entre cincuenta mil y cien mil pesos.

En una Sentencia dictada por la Sala en los Contencioso-Administrativo de la Audiencia Nacional de España con motivo de un recurso interpuesto contra una resolución de la Agencia de Protección de Datos(9) se dispuso que el Encargado del tratamiento no puede, en ningún caso, ceder los datos, ni siquiera para su conservación a terceras personas, ya que la Ley “faculta al titular del fichero –como mero depositario de los datos- para que pueda obtener la colaboración de un tercero que le preste el servicio –por no disponer de las necesarias aplicaciones informáticas o por meras razones de conveniencia- de tratamiento automatizado de estos datos de carácter personal, obligándose el tercero contratante a no aplicar o utilizar los datos obtenidos con fines distintos al del tratamiento proyectado, ni cederlos, ni siquiera para su conservación, a otras personas”.

d) Deber de no conservar los datos más allá de lo necesario:

El segundo párrafo del artículo 25 de la Ley 25.326 exige que una vez cumplida la prestación contractual encomendada, el Encargado del tratamiento deberá destruir los datos de carácter personal tratados, salvo cuando razonablemente se presuma la posibilidad de ulteriores encargos y medie autorización expresa del Responsable del archivo, registro, base o banco de datos tratado. En tal caso, los datos se podrán almacenar con las debidas condiciones de seguridad por un período de hasta dos años.

La exigencia de no conservar los datos más allá del plazo establecido en el contrato para la prestación del servicio encomendado se basa en el principio de limitación en el tiempo establecido en el inciso 7 del artículo 4 de la Ley, que ordena que los datos deben ser destruidos cuando hayan dejado dejado de ser necesarios con respecto a los fines para los cuales fueron recolectados. 

Siguiendo el criterio del legislador español, consideramos que, tal como surge del texto del artículo 12 inciso 3 de la LOPD, el deber de destruir los datos puede considerarse cumplido si el encargado del tratamiento devuelve al Responsable del tratamiento todos los datos personales contenidos en el archivo, registro, base o banco de datos tratados por cuenta del mismo, entendiéndose también por ello la devolución de todo soporte o documento, informático o no, que contenga algún dato de carácter personal.

Esta exigencia debe formar parte de las cláusulas del contrato. Asimismo, debe contemplarse la posibilidad de que el Responsable del archivo, registro, base o banco de datos necesite contar en el futuro con los servicios del Encargado del tratamiento. En este caso, siempre que el Responsable lo autorice en forma expresa y el tratamiento futuro se efectue sobre los mismos datos y con una de las finalidades previstas en el momento de su creación, el Encargado del tratamiento podrá conservar dichos datos por un período máximo de dos años, luego del cual, deberá destruirlos o reintegrárselos a quien encargó el servicio.

e) Deber de confidencialidad:

El primer párrafo del artículo 25 del Decreto 1558/2001 exige que el contrato contemple respecto del Encargado del tratamiento todas las obligaciones que surgen para los locatarios en orden a la confidencialidad y reserva que deben mantener sobre la información obtenida.

Ya el artículo 10 de la Ley establecía que tanto el Responsable del archivo, registro, base o banco de datos, como todas aquellas personas que, de una u otra manera, intervengan en alguna fase del tratamiento de datos personales, entre las que se encuentra, obviamente, el Encargado del tratamiento, deben respetar el secreto profesional respecto de los mismos, y que la confidencialidad debe subsistir aun después de finalizada la relación con el Responsable del archivo, registro, base o banco de datos. 

Este deber de secreto tiene que figurar en el contrato y debe ser respetado en todo momento por el Encargado del tratamiento, salvo si es relevado del mismo por resolución judicial o cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública.

En caso de incumplimiento, la violación al deber de secreto es considerada una infracción leve, susceptible de ser sancionada con una multa de entre mil y tres mil pesos, salvo que constituya un supuesto de infracción grave, en cuyo caso la multa podrá alcanzar la suma de cincuenta mil pesos(10).

f) Deber de seguridad:

El artículo 9 de la Ley 25.326 prohibe que se registren datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad, y exige que el Responsable del tratamiento adopte medidas técnicas y organizativas adecuadas a los riesgos que presenta el tratamiento que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. 

En lo que al contrato de prestación de servicios de tratamiento de datos se refiere, el segundo párrafo, apartado b) del artículo 25 del Decreto reglamentario exige que el contrato establezca que “las obligaciones del artículo 9 de la Ley Nº 25.326 incumben también al encargado del tratamiento.”

De lo expuesto se desprende que el Encargado del tratamiento deberá establecer las medidas de seguridad que oportunamente determine la Dirección Nacional de Protección de Datos Personales como si él mismo fuera el Responsable del archivo, registro, base o banco de datos.

Entendemos que si al Encargado del tratamiento le incumben las mismas obligaciones que al Responsable del archivo, registro, base o banco de datos, también le deberían incumbir las mismas sanciones, aún cuando el artículo 31 del Decreto 1558/2001 establezca que las sanciones previstas por el artículo 31 de la Ley sólo le serán aplicadas a los Responsables o Usuarios de archivos, registros, bases o bancos de datos. 

Sin perjuicio de ello, y en lo que al Responsable del archivo, registro, base o banco de datos se refiere, es recomendable que para controlar que el Encargado  del tratamiento cumpla con el deber de seguridad a su cargo, el contrato que se suscriba prevea la realización de auditorías e inspecciones en los sistemas utilizados por el Encargado del tratamiento, para verificar que haya adoptado y de cumplimiento a las medidas técnicas y organizativas indicadas.

Es por ello que el artículo 17 inciso 2 de la Directiva Europea 95/46/CE del Parlamento y del Consejo expresamente recomienda que el Responsable del tratamiento contrate a un tercero que reuna garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse y se asegure de que dichas medidas sean cumplidas.

g) Especial referencia a las Entidades Financieras:

Esta exigencia de suscribir un contrato con el tercero prestador del servicio de tratamiento de datos, encuentra un antecedente en la Comunicación “A” 3198(11) del Banco Central de la República Argentina, que en su Sección 5º, al referirse a los requisitos operativos mínimos exigidos al área de sistemas de información, permite que las entidades financieras tercericen en proveedores externos las actividades relacionadas con tecnología informática o sistemas de información, siempre y cuando suscriban un contrato que fije, como mínimo, el alcance de las actividades, niveles mínimos de prestación, participación de subcontratistas, derechos a realizar auditorías por parte de la Entidad, compromisos de confidencialidad, mecanismos de resolución de disputas, duración del contrato, cláusulas de terminación del contrato, mecanismos de notificación en cambios del gerenciamiento, procedimiento por el cual la entidad pueda obtener los datos, programas fuentes, manuales y documentación técnica de los sistemas.

Como exigencia adicional, en este tipo de contratos se debe establecer claramente la inexistencia de limitaciones para la Superintendencia de Entidades Financieras y Cambiarias, en cuanto al acceso a los datos y a toda documentación técnica relacionada (diseño de archivos, tipo de organización, etc.) y a la realización de auditorías periódicas en las instalaciones del proveedor, a fin de verificar el cumplimiento de todos los aspectos contemplados por la normativa mencionada.

Por su parte, y en cuanto a la atribución de responsabilidad derivada del tratamiento de datos, la referida Comunicación del B.C.R.A. establece que la gerencia superior de la Entidad contratante será la responsable primaria sobre el control de las actividades que han sido delegadas al prestador del servicio, debiendo contar con recursos humanos técnicamente capacitados para ejercer un control eficiente sobre las actividades que desarrolla el proveedor externo. 

III.-Diferencia entre el contrato de prestación de servicios de tratamiento de datos personales y la cesión de datos

Siguiendo el criterio establecido por la anteriormente citada Sentencia de la Audiencia Nacional española (ver nota 8), entendemos que la prestación de servicios de tratamiento de datos constituye una excepción a lo dispuesto por el artículo 11, inciso 1 de la Ley, lo que justifica su interpretación restrictiva.

En efecto, la Ley no lo considera un supuesto de cesión de datos, ya que en tal caso lo hubiera incluido dentro del artículo 11 especialmente dedicado a ese tipo de tratamiento de datos.

Además, existe una clara diferencia en cuanto a los efectos que tiene la cesión de datos, ya que el artículo 11 inciso 4 de la Ley indica que “el cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente, y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate”, consecuencias que no se han previsto para cuando el Responsable encarga a un tercero el tratamiento de los datos incluidos en sus archivos, registros, bases o bancos de datos.

Del Peso Navarro comenta(12) que en dos consultas planteadas a la Agencia española de Protección de Datos respecto de la diferencia existente entre la prestación de servicios y la cesión de datos, la Agencia respondió que no se trata de un supuesto de cesión, sino de una actividad empresarial para una finalidad concreta y determinada(13), agregando que sólo si no se cumplieran los requisitos establecidos por la ley se trataría de una cesión de datos, lo que requeriría su inscripción en el Registro (14)

Como el acceso del prestador del servicio no supone la revelación de datos al mismo en los términos en que la norma concibe la cesión, hay que entender que los deberes impuestos a los cesionarios no le son aplicables a quienes traten datos por cuenta de terceros.

En consecuencia, si el tercero tiene que someter a tratamiento los datos a los que accede, dicho tratamiento no requerirá el consentimiento del afectado. Dicho de otra forma, se entiende que dicho consentimiento del interesado, prestado originariamente al responsable del fichero, se extiende al tercero por la vía de la relación de prestación del servicio. Ello, por cuanto el sujeto activo del tratamiento es el propio Responsable del archivo, registro, base o banco de datos por cuya cuenta actúa el Encargado del tratamiento.

IV.-Responsabilidad del “Encargado del tratamiento” de datos personales

Evidentemente, al tratarse de una relación regida por un contrato, si el  Encargado de tratamiento incumple las obligaciones establecidas en el mismo, por ejemplo, utilizando los datos para fines distintos a los expresamente pactados, deberá responder por el incumplimiento frente al Responsable del archivo, registro, base o banco de datos en base a las normas que regulan la culpa contractual.

A los efectos de establecer reglas claras al respecto, es recomendable que cuestiones tales como las características, alcances y calidad del servicio, así como las consecuencias derivadas del incumplimiento de las cláusulas pactadas, se incorporen expresamente en el contrato estableciendo un deber de indemnidad del Encargado frente al Responsable para el caso de violación a lo acordado. 

Demás está decir que si la conducta del Encargado del tratamiento encuadra en alguno de los tipos penales previstos por el artículo 32, podrá ser reprimido con la pena de prisión que, en su caso, le corresponda(15). ¿Pero qué ocurre con las sanciones administrativas que prescribe la Ley? ¿Podrían aplicársele al Encargado del tratamiento que infringió los términos del contrato suscripto con el Responsable del archivo, registro, base o banco de datos?.

La Ley 25.326 no establece sanciones para el caso de incumplimiento por parte del Encargado del tratamiento, lo que en definitiva implica que, en principio, el prestador del servicio de tratamiento de datos no asume ninguna responsabilidad frente al organismo de control. En esto, la ley argentina sigue el criterio de la antigua Ley española 5/1992, más conocida como LORTAD (16), según la cual el Encargado del tratamiento sólo asumía responsabilidades derivadas del contrato.

El artículo 31 del Decreto 1558/2001 tampoco contempla dicha posibilidad, ya que prevé que las sanciones administrativas establecidas por el artículo 31 de la Ley sólo serán aplicables a los Responsables o Usuarios de archivos, registros, bases o bancos de datos, y ya hemos visto que se trata de sujetos distintos al Encargado del tratamiento.

Sin embargo, entendemos que podría ensayarse una respuesta afirmativa recurriendo a una interpretación amplia de la no muy clara figura del Usuario de Datos. Ello, porque al incumplir el Encargado del tratamiento las condiciones impuestas por el Responsable del archivo, registro, base o banco de datos en el contrato suscripto, ya no estaría actuando por cuenta del mismo, sino por cuenta propia y a su arbitrio, encuadrando entonces en el concepto de Usuario de Datos que trae el artículo 2 de la Ley.

Aún cuando esta interpretación fuera aceptada por el organismo de control y los Tribunales, entendemos que hubiese sido conveniente que, tal como lo establece  el artículo 12, inciso 4 de la Ley española, la Ley 25.326 hubiera dispuesto expresamente que en caso que el Encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, Responsable del tratamiento, respondiendo personalmente de las infracciones en que hubiera incurrido.

V.-Responsabilidad del “Responsable del archivo, registro, base o banco de datos”. 

Recuerda Salom (17) que en algún caso se ha planteado a la Agencia española de Protección de Datos la posibilidad de exigir la responsabilidad directamente del Responsable del tratamiento, entendiendo que este tipo de contratos puede ser utilizado inescrupulosamente para eludir responsabilidades interponiendo a una persona insolvente para infringir la Ley, y que el razonamiento del Gabinete Jurídico de la referida Agencia fue que, cuando el Responsable del archivo, registro, base o banco de datos contrata a un tercero para que realice algún tipo de actividad, tiene que elegir a una persona idónea en la que pueda confiar, ya que las infracciones que se cometan pueden serle imputables por el principio de la “culpa in eligendo”. 

No obstante ello, entendemos que este tipo de imputación sólo sería aplicable respecto de la responsabilidad patrimonial por daños y perjuicios que pudiera haberle ocasionado al Titular de los datos, pero no respecto de la responsabilidad por infracción. En tal caso, para poder imputar al Responsable del archivo, registro, base o banco de datos los actos del Encargado del tratamiento que se apartó de lo establecido por la Ley y el contrato, seria necesario acreditar que la tercerización se realizó de mala fe y con la finalidad expresa de violar la Ley y cometer la infracción.

Sobre la base de la interpretación efectuada en el punto anterior, respecto a que cuando el Encargado del tratamiento incumple las condiciones establecidas en el contrato podría ser considerado como un Usuario de datos, consideramos que, de verificarse, existirían argumentos razonablemente sólidos para sostener la exoneración del Responsable del archivo, registro, base o banco de datos de la responsabilidad administrativa prevista por la Ley.  

Ello, obviamente, siempre y cuando se acredite que el único infractor ha sido el Encargado del tratamiento, y el Responsable del archivo, registro, base o banco de datos pueda acreditar un actuar diligente, que sólo podrá demostrarse si, tal como lo entendió el Director de la Agencia de Protección de Datos española en un Resolución de mediados del año 2000 (18), el Responsable del tratamiento acredita la existencia de un contrato por escrito que permita tener constancia de su celebración y contenido, e incluya cláusulas que prohiban que el Encargado del tratamiento utilice los datos para finalidades distintas a las expresamente acordadas, que los comunique a otras personas y que contengan, además, las estipulaciones contractuales sobre las medidas de seguridad que el Encargado del tratamiento debe implementar.

VI.-Prestación de servicios de tratamiento de datos en el exterior

Hasta aquí hemos visto lo que ocurre cuando el Responsable de un archivo, registro, base o banco de datos decide tercerizar el servicio de tratamiento de datos personales a un Encargado de tratamiento con domicilio y actividades en la República Argentina. ¿Pero qué ocurre cuando se presenta la posibilidad de contratar a un tercero que ofrece realizar dichos servicios en el exterior?

En el Considerando Nº 10 de la Decisión 2002/16/CE(19), la Comisión Europea señala que la divulgación de datos personales a los encargados del tratamiento establecidos fuera de la Comunidad Europea debe entenderse como una transferencia internacional protegida por el capítulo IV de la Directiva 95/46/CE.

Haciendo un paralelismo con la legislación argentina, y aún cuando el artículo 25 de la Ley 25.326 no lo menciona, entendemos que cuando el Responsable de un archivo, registro, base o banco de datos decida contratar a un tercero para que efectúe en el exterior tratamientos de datos del tipo de los que se analizan en este trabajo, deberá contemplar las previsiones del artículo 12 de la citada Ley y del Decreto que la reglamenta.

A los efectos de este trabajo, basta con señalar que, como regla general, se encuentra prohibida la transferencia de datos personales a países que no proporcionen niveles de protección semejantes a los que exige la legislación nacional, razón por la cual antes de contratar a un tercero localizado en el exterior, el Responsable del archivo, registro, base o banco de datos deberá tomar los recaudos correspondientes, solicitando en su caso la evaluación por parte de la Dirección Nacional de Protección de Datos Personales.

En el caso, y aún cuando no se trate de un supuesto de cesión de datos, entendemos que es de aplicación la excepción que contempla el artículo 12 del Decreto 1558/2001, que permite la transferencia de datos personales hacia países que no proporcionen niveles adecuados de protección cuando el Titular del dato lo hubiera consentido expresamente.

VII.-Comentarios finales

Como ya hemos dicho, la legislación argentina sobre protección de datos personales se elaboró a imagen y semejanza de las leyes españolas sobre la materia. Fue así, que transcribiendo varios artículos de la LORTAD, otros tantos de la LOPD e incorporando algunas modificaciones y agregados autóctonos, nuestros legisladores concluyeron creando un cóctel que en algunas cuestiones deja mucho que desear. Una de esas cuestiones es la que hemos intentado analizar en este trabajo.  

Esperamos haber aportado un poco de claridad.

Gustavo Daniel Tanús 

(*) Artículo publicado por LEXIS NEXIS. Suplemento Especial sobre Habeas Data y Protección de Datos Personales. Mayo de 2004.


Notas:

(1)  Publicada en el Boletín Oficial de la Nación el día 2 de noviembre de 2000.

(2)  Constitución Nacional. Artículo 43: “Toda persona puede interponer acción expedita y rápida de amparo, siempre que no exista otro medio judicial más idóneo, contra todo acto u omisión de autoridades públicas o de particulares, que en forma actual o inminente lesione, restrinja, altere, amenace, con arbitrariedades o ilegalidad manifiesta, derechos y garantías reconocidos por esta Constitución, un tratado o una ley. En el caso, el juez podrá declarar la inconstitucionalidad de la norma en que se funde el acto u omisión lesiva. Podrán interponer esta acción contra cualquier forma de discriminación y en lo relativo a los derechos que protegen al ambiente, a la competencia, al usuario y al consumidor, así como a los derechos de incidencia colectiva en general, el afectado, el defensor del pueblo y las asociaciones que propendan a esos fines, registradas conforme a la ley, la que determinará los requisitos y formas de su organización. Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o banco de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquellos. No podrá afectarse el secreto de las fuentes de información periodística. Cuando el derecho lesionado, restringido, alterado o amenazado fuera de la libertad física, o en caso de agravamiento ilegítimo en la forma o condiciones de detención, o en el de desaparición forzada de personas, la acción de habeas corpus podrá ser interpuesta por el afectado o por cualquiera en su favor y el juez resolverá de inmediato, aun durante la vigencia del estado de sitio".

(3) Peyrano, Guillermo F. “Régimen Legal de los Datos Personales y Hábeas Data”, Editorial LexisNexis, Depalma, Buenos Aires, pág. 226.

(4) Toda persona física o persona de existencia ideal con domicilio legal o delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se refiere la Ley.

(5) Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

(6) Audiencia Nacional de España. Sala en lo Contencioso-Administrativo. Sentencia de fecha 15 de noviembre de 2002 (Expediente Nº 732/2000).

(7) Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Artículo 12, inciso 2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

(8) Ley 25.326. Artículo 5.- (Consentimiento). 1. El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias. El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 6º de la presente ley. 2. No será necesario el consentimiento cuando: a) Los datos se obtengan de fuentes de acceso público irrestricto; b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; c) Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio; d) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento; e) Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley 21.526. Artículo 6.- (Información). Cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa y clara: a) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios; b) La existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable; c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos referidos en el artículo siguiente; d) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos; e) La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos.

(9) Sentencia de fecha 14 de abril de 2000 mediante la cual la Sala en lo Contencioso-Administrativo de la Audiencia Nacional de España desestimó el recurso Nº 103/99 interpuesto por SF S.A. contra la resolución de la Agencia de Protección de datos de fecha 22 de diciembre de 1998, por la que se impuso a la recurrente una multa de cincuenta millones de pesetas por violación a la Ley 5/92 de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.

(10) Punto 2 del Anexo II de la Disposición 1/2003 de la Dirección Nacional de Protección de Datos Personales que aprueba la clasificación de infracciones y la graduación de las sanciones a aplicar ante las faltas que se comprueben.

(11) Requisitos operativos mínimos del área de sistemas de información (SI) – Tecnología informática. Texto ordenado. Emitida el 12/12/2000 y publicada en el Boletín Oficial Nº 29.553 de fecha 26/12/2000.

(12) Del Peso Navarro, Emilio. “Ley de Protección de Datos. La Nueva Lortad”, Ediciones Díaz de Santos, Madrid, España, página 217.

(13) Consultas M94 y M95.

(14) Dictamen del Gabinete Jurídico de la Agencia de Protección de Datos de España de fecha 29 de septiembre de 1998.

(15) Ley 25.326. Artículo 32. (sanciones penales). 1. Incorpórase como artículo 117 bis del Código Penal, el siguiente: 1°. Será reprimido con la pena de prisión de un mes a dos años el que insertara o hiciera insertar a sabiendas datos falsos en un archivo de datos personales. 2°. La pena será de seis meses a tres años, al que proporcionara a un tercero a sabiendas información falsa contenida en un archivo de datos personales. 3°. La escala penal se aumentará en la mitad del mínimo y del máximo, cuando del hecho se derive perjuicio a alguna persona. 4°. Cuando el autor o responsable del ilícito sea funcionario público en ejercicio de sus funciones, se le aplicará la accesoria de inhabilitación para el desempeño de cargos públicos por el doble del tiempo que el de la condena". 2. Incorpórase como artículo 157 bis del Código Penal el siguiente: "Será reprimido con la pena de prisión de un mes a dos años el que: 1°. A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales; 2°. Revelare a otro información registrada en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de una ley. Cuando el autor sea funcionario público sufrirá, además, pena de inhabilitación especial de uno a cuatro años".

(16) Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.

(17) Salom, Javier Aparicio. “Estudio sobre la Ley Orgánica de Protección de Datos de Carácter Personal”, Editorial Aranzadi, Pamplona, Navarra, España, pagina 165.

(18) Resolución de la Agencia de Protección de Datos española tomada en el marco de un procedimiento sancionador iniciado a mediados del año 2000 a raíz de la publicación en Internet de datos de personas que habian participando en el casting del programa de TV Gran Hermano , mencionada en las Memorias del año 2000 de la Agencia de Protección de Datos, pág. 265.

(19) Decisión de la Comisión de 27 de diciembre de 2001 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE.