EL ARTÍCULO 24 DE LA LEY 25.326 DE PROTECCION DE LOS DATOS PERSONALES. (*)

1.-Introducción:

El 2 de noviembre de 2000 fue finalmente publicada en el Boletín Oficial de la Nación la Ley 25.326 de Protección de Datos Personales (más conocida como "Ley de Hábeas Data"), poniendo fin a un proceso de casi 15 años iniciado en 1986 con la presentación ante el Congreso de un proyecto de Ley elaborado por los Doctores Correa, Nino, Molinero, Novoa Monreal y Gibourg, para la Subsecretaria de Informática y Desarrollo del Ministerio de Justicia de la Nación.

La redacción de dicho proyecto, cuyo contenido se basaba fundamentalmente en la ley francesa de 1978, respondió a la recomendación efectuada por el entonces Consejo para la Consolidación de la Democracia que señalaba la conveniencia de consagrar el derecho a la privacidad, principalmente con miras a evitar que se vea afectado por los avances de la informática en materia de registro de datos.

La preocupación por la protección de los datos personales no era nueva. Ya en el año 1968, la Ley 17.622 que dispuso la creación del INDEC, estableció el secreto de los datos recabados por el Sistema Estadístico Nacional, diciendo en su artículo 10 que los datos debe ser suministrados y publicados exclusivamente en compilaciones de conjunto, de modo que no pudiera ser violado el secreto comercial o patrimonial, ni individualizarse las personas o entidades referidas. Sin embargo, ningún proyecto sobre la materia había sido presentado desde entonces.

El largo camino iniciado en 1986 tuvo a varios proyectos como frustrados protagonistas y  luego de un período de estancamiento tomó nuevo impulso a partir de la reforma constitucional del año 1994 que en el tercer párrafo del nuevo artículo 43, y dentro del marco de la acción de amparo, incluyó una acción especial tendiente a que toda persona pueda tomar conocimiento de los datos a ella referidos y de su finalidad, que conste en registros o bancos de datos públicos, o privados destinados a proveer informes, y exigir su supresión, rectificación, confidencialidad o actualización en caso de falsedad o discriminación.

En el ámbito del Derecho Público provincial, previamente a ser incorporado a la Constitución Nacional por la reforma de 1994, ya lo habían reconocido las Constituciones Provinciales de Santiago del Estero, La Rioja, Córdoba, Río Negro, Neuquén y Tierra del Fuego. Con posterioridad lo receptaron otras normas provinciales, entre ellas la Constitución de la Ciudad Autónoma de Buenos Aires, que en su artículo 16 incorporó el concepto de libre acceso de las personas, a través de la acción de amparo, a los registros, archivos o bancos de datos que consten en organismos públicos o en los privados destinados a proveer informes.

Mientras diversos proyectos, en su mayoría inspirados en la legislación española, deambulaban sin rumbo por el Congreso, a falta de una ley que reglamentara su ejercicio, la acción especial prevista por el artículo 43 de la Constitución fue desarrollada por vía jurisprudencial.

La iniciativa que más cerca estuvo de alcanzar dicho status legal fue el proyecto de Ley Nº 24.745 del año 1996 aprobado por ambas Cámaras, que fuera posteriormente vetado en forma total por el Poder Ejecutivo Nacional entonces a cargo del Dr. Carlos Saúl Menem, mediante el decreto 1616/96 del 23 de diciembre de ese año.

En el mes de noviembre de 1998 el Honorable Senado de la Nación aprobó, con algunas modificaciones, un Proyecto de Ley similar a la otrora vetada ley 24.745. Girado a la Honorable Cámara de Diputados, el proyecto sufrió varios cambios aunque la mayoría de ellos no fueron aceptados por el Senado que, a excepción de una modificación inlcuida en el inciso 4 del artículo 6 y algunas reformas menores, insistiendo con su proyecto original, lo aprobó bajo el número 25.236 el 4 de octubre de 2000.

Con posterioridad el Poder Ejecutivo de la Nación a cargo del Dr. Fernando De la Rúa dictó el Decreto Nº 995 que tuvo como fin vetar los incisos 2 y 3 del artículo 29 referido al organismo de control y el texto íntegro del artículo 47 que pretendía que los bancos de datos prestadores de servicios de información crediticia suprimieran toda información relacionada con deudas canceladas al momento de entrada en vigencia de la ley.

Al tiempo de redactar esta ponencia, ya ha transcurrido el plazo de 180 días conferido por el artículo 45 de la Ley para su reglamentación, sin que se conozcan aún cuáles serán principales líneamientos. 

2.-Interpretación del texto legal:

El artículo 1 de la ley 25.326 señala que la misma tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional que en su parte pertinente dice: "Toda persona puede interponer acción expedita y rápida de amparo, siempre que no exista otro medio judicial más idóneo, contra todo acto u omisión de autoridades públicas o de particulares, que en forma actual o inminente lesione, restrinja, altere, amenace, con arbitrariedades o ilegalidad manifiesta, derechos y garantías reconocidos por esta Constitución, un tratado o una ley. En el caso, el juez podrá declarar la inconstitucionalidad de la norma en que se funde el acto u omisión lesiva. Podrán interponer esta acción contra cualquier forma de discriminación y en lo relativo a los derechos que protegen al ambiente, a la competencia, al usuario y al consumidor, así como a los derechos de incidencia colectiva en general, el afectado, el defensor del pueblo y las asociaciones que propendan a esos fines, registradas conforme a la ley, la que determinará los requisitos y formas de su organización. Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o banco de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las fuentes de información periodística”.

Cabe destacar que las disposiciones de la ley no sólo se aplican a los datos relativos a las personas físicas, sino también, en cuanto resulte pertinente, a los relativos a las personas de existencia ideal.

Una significativa omisión del texto legal es la falta de referencia al ámbito subjetivo de su alcance. Ante la falta de aclaración debe entenderse que la protección alcanza a todas las personas, sean nacionales o extranjeras, residan o no en el país, siempre y cuando sus datos personales se encuentren asentados en una base de datos localizada dentro del territorio argentino. Entiendo que, al haberse seguido la estructura de la legislación española y adoptado casi la totalidad de su contenido, hubiera sido conveniente poner en claro el ámbito específico de su aplicación como lo hace el artículo 2 de la ley Orgánica 15/1999 de dicho país que dice que se regirá por dicha ley todo tratamiento de datos de carácter personal: a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional Público. c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

A poco que se analiza el texto del artículo 1 de la Ley 25.326 y el artículo 43 de la Constitución Nacional, surgen dudas respecto al alcance que tiene la expresión "privados destinados a dar informes" y la posibilidad de que a partir de su vaguedad, una gran cantidad de archivos, registros o bancos de datos puedan quedar excluidos del alcance de la ley, o al menos de buena parte de sus disposiciones.

Queda claro que al redactar el artículo 43 de la Constitución, el constituyente advirtió la existencia de dos tipos de registros, archivos o bancos de datos: los públicos y los privados. En esta última categoría el constituyente optó por limitar el derecho a ejercer la acción de amparo sólo a los bancos de datos privados cuya finalidad fuera la de proveer informes. Ello, en el entendimiento de que ampliando el ámbito de aplicación, en los casos de bancos de datos privados, se invadiría la esfera propia de la intimidad de los particulares o de las organizaciones civiles que deseen estructurar un "archivo personal" para su exclusivo uso, sin que nadie tenga derecho sobre los datos allí contenidos.

En la medida en que las informaciones obrantes en los registros o bancos privados adquieren la finalidad de informar a terceros, nace allí el derecho de los titulares de los datos en ellos registrados de acceder a la información que les atañe.

En la Convención Constituyente, el despacho de la Comisión de Nuevos Derechos no hacía referencia a que los bancos privados deberían estar destinados a proveer informes. El agregado resultó de una propuesta de la convencional Adelina de Viola para evitar afectar a todos aquellos registros que no fueran utilizados para prestar servicios, sino como recopilación de documentos, caso de los archivos científicos o periodísticos.

En el debate producido en la asamblea, el convencional Cullen mocionó por agregar, después de las palabras "proveer informes", la expresión "de uso público" con el fin de evitar que a través de esta acción pudiera existir algún riesgo para el secreto profesional. No obstante ello, la moción no fue aceptada.

Sin perjuicio del contenido del texto constitucional, a lo largo de estos años fue abriéndose camino por vía jurisprudencial el criterio de incluir en el ámbito de la legitimación pasiva a las entidades privadas que posean archivos, registros o bancos de datos aunque no tengan como fin suministrar informes a terceros, sujeto a la condición de que quienes pretendieran acceder a la información recopilada demostraran tener interés legítimo para hacerlo.

Aún cuando de la lectura del artículo 1 de la Ley surja como necesaria la finalidad específica de proveer informes para que un registro de datos sea alcanzado por sus disposiciones, resulta claro que la finalidad de todo registro de datos es la de ser utilizado, y que sus titulares son potenciales suministradores de información a terceros. Y como manifestara en párrafos anteriores, es allí cuando nace derecho de los titulares de los datos a ejercer el debido control sobre la información a ellos referida. ¿Qué sucederá entonces con la información registrada en archivos, registros o bancos de datos particulares que no tienen una finalidad informativa pero que luego se difunde?

Es aquí entonces cuando resulta necesario desentrañar cuál ha sido la intención del legislador al redactar el artículo 24 de la Ley. A falta de antecedentes parlamentarios que allanen el camino, queda interpretar la intención del legislador a la luz del frío texto legal. La cuestión no tiene fácil solución ni simple respuesta. Pero la dificultad no exime del intento y este es el objetivo de esta ponencia.

3.-El artículo 24:

El artículo 24 de la Ley puntualiza: "Los particulares que formen archivos, registros o bancos de datos que no sean para un uso exclusivamente personal deberán registrarse conforme lo previsto en el artículo 21"

Tal como surge del artículo en cuestión, sólo están exentos del deber de registro los archivos, registros o bancos de datos formados por los particulares para un uso exclusivamente personal, concepto éste que no ha sido incluido entre las definiciones que trae el artículo 2. Deberemos también intentar determinar qué tipo de archivos, registros o bancos de datos ha tenido en mente el legislador al redactar este artículo.

Evidentemente, que los archivos, registros o bancos de datos privados que no tengan como finalidad brindar informes no hayan sido incluidos en los artículos 1 de la Ley y 43 de la Constitución, no significa que estén exentos de respetar los principios de finalidad, pertinencia, utilización no abusiva, exactitud, legalidad, publicidad, seguridad, control, consentimiento y defensa de los datos sensibles.

En efecto, existen numerosos archivos, registros o bancos privados que no tienen como finalidad suministrar informes a terceros, pero que recolectan información personal que puede resultar discriminatoria en perjuicio de sus titulares. Basta mencionar, a modo de ejemplo, a los que mantienen las empresas con los datos de sus empleados; a los que administran las empresas aseguradoras con relación a sus asegurados; y a las historias clínicas confeccionadas por los establecimientos de salud, entre muchos otros.

Y no puede admitirse que los derechos de las personas sean vulnerados por el sólo hecho de estar sus datos personales registrados en un archivo, registro o banco de datos que no está destinado a dar informes.

Es por eso que, siguiendo esta línea de pensamiento, el deber de registro que exige el artículo 24 tiene como fin evitar que existan archivos, registros o bancos de datos que incumplan los principios básicos de la protección de datos mencionados en el párrafo anterior, estén destinados a proveer informes o no.

Sin perjuicio de lo expuesto, de aceptarse la interpretación efectuada, cabe destacar que aún cuando las bases de datos no destinadas a brindar informes deban inscribirse en el Registro que al efecto se habilite, ello no implicará que sus titulares deban permitir el ejercicio de los derechos reconocidos por la ley a los ciudadanos, ya que dichos derechos sólo podrán ejercerse contra las categorias de bases de datos especificadas en el artículo 1.

Un ejemplo de dicho límite lo constituye el inciso 1 del artículo 14 que establece que el titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales incluidos en los bancos de datos públicos o privados destinados a proveer informes.

De acuerdo a esta norma, los responsables de archivos, registros o bancos de datos que no provean datos a terceros, no estarán obligados a proporcionar información a los titulares de los datos personales registrados en sus archivos, ni en la forma ni dentro de los plazos establecidos por los artículos 15 y 14 inciso 2.

En igual sentido, el artículo 33 inciso a) expresamente señala que la acción de protección de los datos personales o de hábeas data procederá "para tomar conocimiento de los datos personales almacenados en archivos, registros o bancos de datos públicos o privados destinados a proporcionar informes, y de la finalidad de aquellos".

Determinar cuando un registro, archivo o banco de datos está destinado a brindar informes o no, será tarea del organismo de control, en la oportunidad en la que sus responsables procedan a inscribirlos en el registro que a tal efecto se habilite.

De acuerdo al artículo 21, cuando el responsable de un archivo, registro o banco de datos proceda a registrarlo, deberá informar una serie de datos, a saber: nombre y domicilio del responsable; características y finalidad del archivo; naturaleza de los datos personales contenidos en cada archivo; forma de recolección y actualización de datos;  destino de los datos y personas físicas o de existencia ideal a las que pueden ser transmitidos; modo de interrelacionar la información registrada; medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información; tiempo de conservación de los datos; y forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos. Estos datos deberán ser ciertos y estar sujetos a las inspecciones que en su momento pueda realizar el organismo de control.

Dicho artículo establece además que ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro. De alli que, cuando el responsable de un registro, archivo o banco de datos privado no destinado a proveer informes decida comenzar a proveerlos, deberá informar al Registro que ha modificado su finalidad y, a partir de ese momento, será susceptible de recibir no sólo solicitudes de acceso, rectificacion, actualización, cancelación y supresión por parte de las personas interesadas, sino también de ser sujeto pasivo de la acción de proteccion de datos personales regulada en el Capítulo VII de la Ley.

Refuerza esta interpretación amplia respecto del alcance de lo establecido por el artículo 24, el análisis del contenido del artículo 13, referido al derecho de información de los titulares de datos. Allí el legislador ha establecido que: “toda persona puede solicitar información al organismo de control relativa a la existencia de archivos, registros, bases o banco de datos personales, sus finalidades y la identidad de los sus responsables”, siendo dicho registro de consulta pública y gratuita.

Nótese que la información puede versar sobre la existencia de cualquier tipo de archivo, registro o banco de datos, y no sólo respecto a aquellos taxativamente mencionados por el artículo 1, razón por la cual entiendo que no existen motivos para eximir del deber de registro a los archivos, registros o bancos de datos privados que no estén destinados a proveer informes y no sean de uso exclusivamente personal.

4.-Conclusión:

Del texto de la Ley 25.326 surge con claridad que el régimen de protección de datos personales no puede afectar a las fuentes de información periodística, ni es aplicable a los registros, archivos o bancos datos privados que contengan datos anónimos, disociados o información de dominio público.

Todas los restantes registros, archivos o bancos de datos privados, excepto aquellos que han sido formados por particulares para su exclusivo uso personal, están alcanzados por las diversas disposiciones de la Ley. Si bien por la trascendencia de sus finalidades, algunos cuentan con artículos especialmente dedicados, todos deben cumplir con el deber mínimo de respeto a los principios generales de protección de los datos personales.

En consecuencia, y por aplicación del artículo 24, además de los enumerados en el artículo 1, respecto de los cuales podrán ejercerse los derechos de acceso, rectificacion, actualización, cancelación y supresión, deben inscribirse en el Registro que a tal efecto se habilite, todos aquellos registros, archivos o bases de datos que no tengan fines exclusivamente personales, estén destinados o no a proveer informes a terceros.

De allí que pueda concluirse que el artículo 24 sólo excluye del ámbito de aplicación de la Ley, a aquellos registros, archivos o bancos de datos particulares, tales como las agendas personales o las listas de télefonos y direcciones, que cualquier persona puede tener para su uso personal. Esta exclusión se justifica porque lo contrario supondria claramente una intromision ilegitima en la intimidad de las personas.

Gustavo Daniel Tanús 

(*) Ponencia presentada en el Simposio Argentino de Informática y Derecho - SID 2001- realizado en el marco de las 30as. Jornadas Argentinas de Informática e Investigación Operativa (JAIIO) organizadas por la Sociedad de Informática Operativa (SADIO) en Buenos Aires, durante el mes de septiembre de 2001.

  8