PROYECTO DE LEY DE HABEAS DATA DE LA LEGISLATURA DE LA CIUDAD AUTONOMA DE BUENOS AIRES.
Exp: 0110D03
Firmante. Roque Bellomo (Unión Cívica Radical)
La Legislatura de la Ciudad Autónoma de Buenos Aires, sanciona con fuerza de Ley:
TITULO I
OBJETO. AMBITO DE APLICACION
ARTICULO 1º: La presente ley tiene por objeto regular, dentro
del ámbito de la Ciudad Autónoma de Buenos Aires, la recolección, el
almacenamiento y el tratamiento de datos de carácter personal
pertenecientes a personas físicas y jurídicas contenidos o destinados a ser
contenidos en Registros o Bancos de
datos o en cualquier soporte físico del sector público y privado a los fines
de garantizar, especialmente, el derecho a
la autodeterminación informativa, a la identidad personal, a la
privacidad, a la imagen y al honor.
ARTICULO 2º: A los fines de la presente ley
se entienden incluidos dentro del sector público a aquellos soportes físicos,
Registros o Bancos de datos de
titularidad de las reparticiones de la administración pública centralizada,
entes descentralizados, autárquicos, empresas públicas, sociedades en donde la
Ciudad tenga participación y organismos vecinales, e incluidos dentro del
sector privado a aquellos soportes físicos, Registros o Bancos de datos
destinados o no a proveer informes y cuyo titular sea una
persona física o jurídica incluyéndose
las previstas en el artículo 33 in fine del Código Civil y a los medios de
comunicación periodísticos.
ARTICULO 3º: Quedan exceptuados del ámbito de aplicación de la presente ley la recolección, el almacenamiento y el tratamiento de datos de carácter personal efectuados por una persona física en el ejercicio de actividades y para uso exclusivamente privados y personales y siempre que dichas actividades no sean susceptibles de permitir el acceso o transmisión de los datos a terceros.
TITULO II
DEFINICIONES
ARTICULO 4º: A los fines de la presente ley se entiende por:
a)
Datos de carácter personal:
Son los datos concernientes a personas físicas o jurídicas identificadas o
identificables incluyéndose los relativos a domicilios, números telefónicos,
casillas de correo o similares. Se considerará identificable a toda persona
cuya identidad pueda determinarse, directa o indirectamente, mediante un número
de identificación o mediante uno o varios elementos específicos característicos
de su identidad física, fisiológica, psíquica, económica, cultural o social.
b)
Datos sensibles:
son todos aquellos datos de carácter personal que revelan origen racial
o étnico, convicciones religiosas y no religiosas o de cualquier tipo, hábitos
y comportamientos personales, orientación y vida sexual, rasgos físicos y psíquicos,
estado de salud, opiniones políticas, afiliación sindical, procesos
penales, contravencionales y administrativos.
c)
Registro o Banco de Datos:
Es el conjunto de datos de
carácter personal cualquiera fuera la modalidad o forma de su recolección,
almacenamiento, organización y acceso.
d)
Tratamiento de datos:
Es cualquier operación o conjunto de operaciones, efectuadas o no mediante
procedimientos automatizados y aplicadas a datos de carácter personal, tales
como la recolección, registro, organización, conservación, elaboración o
modificación, extracción, utilización,
cotejo, bloqueo, supresión, así como las cesiones que resulten de
comunicaciones, consultas, transmisión, interconexión, difusión o de
cualquier otro medio que permita el acceso a los mismos.
e)
Titular de datos:
Es la persona física o jurídica a la que se refieren los datos objeto
de recolección, almacenamiento y tratamiento.
f)
Responsable
del Registro o Banco de Datos: es toda persona física o jurídica,
pública o privada que resulte titular del Registro o Banco de Datos así como toda autoridad pública u
órgano que ordene tratar datos de
carácter personal y/o
datos sensibles y decida acerca de la finalidad y objetivos del
tratamiento, los datos personales que deben tratarse, las operaciones que deben
aplicárseles y los terceros que pueden tener acceso a dichos datos.
TITULO III
PRINCIPIOS GENERALES SOBRE LA PROTECCION DE DATOS SENSIBLES
ARTICULO 5º:
Queda
prohibido el tratamiento de los
datos personales que revelen ideologías, origen racial o étnico, convicciones
religiosas y no religiosas o de cualquier tipo, hábitos y comportamientos
personales, orientación y vida sexual, rasgos físicos y psíquicos, estado de
salud, opiniones políticas, afiliación sindical, procesos penales,
contravencionales y administrativos salvo que esta ley o cualquier otra
expresamente disponga lo contrario o medie consentimiento de su titular siempre
que no sea factible su identificación.
ARTICULO 6º: Solo podrán proceder a la recolección y
tratamiento de los datos descriptos en el artículo anterior, con el
consentimiento de su titular, y conforme a lo dispuesto en esta ley, no obstante
que quedando prohibida su cesión, los Registros o Bancos de Datos del sector público
con fines única y exclusivamente estadísticos o científicos y en la medida en
que su tratamiento no permita la identificación del titular.
ARTICULO 7º: Podrán proceder a la recolección
y tratamiento de los datos descriptos en el artículo 5º, con el consentimiento
de su titular y siempre que no permita su identificación, quedando no obstante
prohibida su cesión, las Iglesias, confesiones, comunidades religiosas y
organizaciones políticas y sindicales. El
tratamiento efectuado en virtud de lo dispuesto en este artículo queda sujeto a
las disposiciones de la presente ley.
ARTICULO 8º: Podrán recolectar y tratar datos relacionados con
la salud, con el consentimiento de su titular, siempre que no permita su
identificación y conforme lo
determine esta ley y la normativa vigente y
quedando prohibida su cesión, salvo que una ley determine lo contrario, los
hospitales y demás instituciones sanitarias públicas o privadas y los
profesionales vinculados a las ciencias médicas a quienes haya acudido el
titular de los datos.
ARTICULO 9º: Los datos personales relativos a procesos penales, contravencionales y a infracciones administrativas solo pueden ser recolectados, conservados y tratados por Registros o Bancos de datos de la administración pública competente y en la modalidad y supuestos establecidos por la normativa jurídica pertinente.
TITULO IV
PRINCIPIOS GENERALES SOBRE
LA PROTECCION DE DATOS PERSONALES
ARTICULO 10º: Justificación Social:
La recolección, tratamiento y cesión de datos personales debe responder a un
propósito general y usos específicos lícitos y socialmente aceptables.
ARTICULO 11º: Limitación de la recolección:
Los datos personales sólo pueden ser obtenidos, tratados y cedidos con el
consentimiento libre e informado de su titular y manifestado en forma inequívoca
y por escrito por el mismo.
Deberá manifestarse siempre en
instrumento separado de cualquier otro que se le adjunte o complemente y
redactado en términos claros e indubitables para lo cual se tendrá en cuenta
el nivel cultural y social del titular de los datos.
Es nulo el instrumento e inválido
el consentimiento que no reúna los requisitos establecidos en el presente artículo.
El consentimiento puede ser
revocado por cualquier medio y en cualquier momento. Dicha revocación no tendrá
efectos retroactivos.
ARTICULO 12º:
No se requerirá el consentimiento al que se refiere el artículo precedente
cuando:
a)
Una ley, expresamente, disponga lo contrario.
b)
Los datos se obtengan de una fuente accesible al público.
c)
Se reproducen datos ya
publicados en boletines, diarios o repertorios oficiales.
d)
Se trate de datos relativos a la salud y sea necesario por razones de
salud pública y de emergencia, siempre que se preserve la identidad de su
titular.
e)
Tratándose del supuesto de cesión o transmisión por cualquier medio,
cuando el cesionario lo constituyan los magistrados del Poder Judicial, el
Defensor del Pueblo o el Ministerio Público en ejercicio de sus funciones.
f)
El tratamiento y cesión tenga lugar entre Registros o
Bancos de Datos del sector público que tengan la misma competencia y siempre
que el cesionario respete la finalidad y destinatarios del tratamiento de los
datos del cedente.
ARTICULO 13º: Finalidad: Los datos de carácter personal deben
ser adecuados, pertinentes y limitarse al mínimo necesario para alcanzar
el fin perseguido en la recolección. Asimismo, la finalidad de su tratamiento o
cesión no puede ser diferente de aquella para la cual hubieren sido recogidos,
salvo consentimiento previo del titular y expresado del modo preceptuado en el
artículo 11º.
ARTICULO 14º: Calidad y fidelidad:
Los datos personales deben conservarse exactos, completos y actualizados a los
fines de que respondan a la veracidad de la situación de su titular y de un
modo que no responda a criterios discriminatorios.
ARTICULO 15º: Limitación temporal:
Los datos personales no pueden ser conservados
en el Registro o Banco de datos una vez que se haya agotado la finalidad
para la que hubiesen sido recogidos, salvo que la ley estableciera otro
plazo.
TITULO V
OBLIGACIONES Y RESPONSABILIDAD DEL BANCO DE DATOS
ARTICULO 16º: Constituyen obligaciones del responsable del
Registro o Banco de datos, las
siguientes:
a)
Requerir y obtener el consentimiento del titular de los datos, previo a
su tratamiento o cesión, y
conforme lo estipulado en el artículo 11º del presente cuerpo normativo,
debiendo proceder de inmediato a la
supresión de los mismos cuando hubiere omitido dicho requerimiento y/u obtenido
el consentimiento. Queda exceptuado de esta obligación en los supuestos en que
conforme a la presente ley no se exige el consentimiento previo.
b)
Notificar e informar en forma escrita, inequívoca y precisa al titular
de los datos y de un modo previo a la obtención,
tratamiento o cesión de los mismos acerca de:
1) Identidad y domicilio del responsable del Registro o Banco de Datos.
2) Finalidad de la recolección, del tratamiento o en su caso de la cesión de los datos
3) Destinatarios o categorías de destinatarios
4) El carácter obligatorio o facultativo de la respuesta a las preguntas que le sean formuladas
5) Las consecuencias que se deriven de la negativa a responder
6) La facultad y modo de ejercer los derechos que se le confieren en esta ley para lo cual deberán transcribirse los textos pertinentes
7) Nombre, apellido y domicilio del cesionario.
8) Detalles sobre los órganos de aplicación de la presente ley.
La
notificación que omitiera alguno de estos requisitos será nula.
c)
Almacenar y tratar los datos
sin propósitos o criterios discriminatorios o que fueran ilícitos.
d) Proceder en forma inmediata a la supresión, rectificación o actualización de los datos personales cuando fueran total o parcialmente inexactos, incompletos, o desactualizados, así como proceder a su supresión cuando se hubiesen tratado sin cumplimentar con las obligaciones descriptas en los incisos a) y b) del presente artículo.
e) Suprimir los datos personales cuando la finalidad de su obtención y tratamiento fuera ilícita o socialmente inaceptable, cuando los datos fueran inadecuados, impertinentes y excesivos con la finalidad notificada a su titular y cuando la finalidad de su tratamiento no fuera compatible con el propósito, destinatarios o categoría de destinatarios que hubiere notificado al titular.
f) Proceder en forma inmediata a la supresión de los datos personales cuando se hubiese agotado la finalidad para la cual fueron obtenidos.
g) Notificar a su costo, por escrito y en forma inmediata a los terceros a quienes se les haya transmitido o cedido la información por cualquier medio, acerca de la supresión, rectificación o actualización de los datos que hayan tenido lugar.
h) Garantizar la confidencialidad y seguridad de los datos personales debiendo adoptar todas las medidas técnicas y de organización necesarias y adecuadas que impidan la adulteración, pérdida, destrucción y el tratamiento o acceso no autorizado de los datos. Dichas medidas deberán garantizar un nivel de seguridad apropiado en relación con la tecnología aplicada y sus avances, con la naturaleza de los datos tratados y con los riesgos propios del tratamiento.
i) Adoptar todas las medidas que resulten necesarias para asegurar el conocimiento por parte del titular de los datos y del público en general de la existencia, fines, usos y métodos de operación de su Registro o Banco de datos.
j) Garantizar el pleno, inmediato y eficaz ejercicio de los derechos de acceso, de rectificación, de supresión y actualización que le competen al titular de los datos conforme lo establecido en la presente ley.
k) Solicitar la autorización a la que se refiere la presente ley en caso de tratarse de un Registro o Banco de datos pertenecientes al sector privado.
l) Presentar un informe escrito al Registro de Datos Personales que se crea por esta ley y, en forma previa a la obtención y tratamiento de los datos, el que deberá contener la información descripta en el artículo 38 de esta ley.
m)
Proceder a la publicación e inscripción del
Registro o Banco de datos y de los extremos exigidos de conformidad
con lo preceptuado en la
presente ley.
ARTICULO 17º: Todas
las personas que actúen, trabajen, o presten servicios de cualquier tipo en el
ámbito físico en donde se encuentre el Registro
o Banco de Datos solo podrán acceder y tratar los datos personales, cuando así
lo disponga el responsable del Registro o Banco de Datos o en virtud de un
imperativo legal. Quedan sujetos, al igual que los usuarios y cesionarios, a las
disposiciones estipuladas en la presente ley y en cuanto ellas resulten
pertinentes.
ARTICULO 18º: El responsable del Registro o Banco de datos, su
personal, cesionarios y quienes
intervienen en cualquier fase del tratamiento de los datos de carácter personal
están obligados al secreto profesional respecto
de los mismos y a guardar dicho secreto, obligaciones que subsisten una vez
finalizadas las relaciones, funciones o actividades en virtud de las que
trataban dichos datos.
ARTICULO 19º: Cuando en virtud del incumplimiento de las
obligaciones que se imponen en la presente ley se causare un perjuicio material
o un daño moral al titular de los datos o a terceros, el responsable del
Registro o Banco de datos o el
cesionario en su caso, deberán reparar el daño causado sin perjuicio de las
demás acciones y sanciones reconocidas en esta ley y en cualquier otra.
Si no se pudiese determinar al
autor del perjuicio, responderán solidariamente el responsable del Registro o
Banco de Datos y el cesionario.
Dicha responsabilidad es objetiva
admitiéndose como causal de eximición el caso fortuito o causa mayor
extraña, culpa de la víctima o de un tercero por quien no debe responder.
Frente al incumplimiento, el daño
se presume no admitiéndose prueba en contrario.
A dicho fin son competentes los
órganos de jurisdicción ordinaria y el procedimiento es el de juicio sumario.
No obstante, y en caso de interponerse la acción de habeas data que por esta
ley se reglamenta, el afectado podrá acumular en dicho procedimiento, su
pretensión de la reparación del daño causado.
La responsabilidad que en virtud
del presente se le atribuye al responsable del Registro o Banco de Datos y al
cesionario, lo es sin perjuicio de las acciones de reintegro que pudieran
corresponderles en caso de que el daño o perjuicio haya sido causado por la
culpa o dolo de su personal o dependientes.
ARTICULO 20º:
Responderá de los daños
causados aquel que en forma ilegítima logre interceptar, interferir o acceder a
los datos personales que se encuentran almacenados en el Banco o Registro y/o que circulan en la red de carácter pública
o privada.
A dicho efecto resulta de
aplicación lo dispuesto en el artículo 19º de la presente ley.
ARTICULO 21º: Son nulos e inválidos los actos administrativos,
judiciales, decisiones privadas y toda aquella que implique una valoración del
comportamiento o de la personalidad fundada en el tratamiento de datos
personales. Asiste al titular de los datos y al afectado el derecho a impugnar
tales actos y decisiones sin perjuicio de las demás acciones que se le
reconocen por esta ley.
TITULO VI
DERECHOS DEL TITULAR DE DATOS
ARTICULO 22º: Asisten al titular de los datos de carácter
personal, sea éste persona física o jurídica,
los siguientes derechos:
a)
Derecho de acceso:
en virtud del cual puede exigir libremente, sin restricciones ni requisitos de
ningún tipo y con la sola acreditación de su identidad y de su representación
legal o convencional en su caso, al Registro o Banco de Datos si consta o no
información sobre su persona y en caso afirmativo exigir toda la información
de sus datos personales o que obren en poder del cesionario.
Asimismo, y del mismo modo, podrá
exigir la información relativa a la identificación de las personas que han
solicitado datos sobre su persona, de los fines del tratamiento, los
destinatarios o categorías de destinatarios, toda la información relativa al
origen de los datos, el conocimiento de la lógica utilizada en los tratamientos
automatizados de los datos, las medidas y técnicas utilizadas para garantizar
la confidencialidad y seguridad del tratamiento.
Este derecho solo puede ser
ejercitado en intervalos no inferiores a tres meses, salvo que el titular
acredite un interés legítimo a dicho efecto, en cuyo caso podrá ejercerlo en
cualquier momento.
La información que el Registro o
Banco de Datos deba brindar, podrá consistir, a requerimiento del titular, en
la visualización de los Registros o Bancos de datos o en la
expedición de un escrito inteligible, exento de codificación. Debe
brindarse toda la información que se encuentre almacenada en el Registro o
Banco aún cuando el requerimiento del titular solo comprenda un aspecto de sus
datos personales.
Dicha información deberá ser
expedida por el Registro o Banco de Datos, gratuitamente y dentro de los dos días
hábiles de formulado el requerimiento verbal o escrito en tal sentido.
b)
Derecho de supresión:
el titular de los datos tendrá derecho a reclamar en forma verbal o escrita sin
otro requisito que el de la acreditación de su identidad y de su representación
legal o convencional en caso de corresponder, la supresión del dato cuando su
obtención, conservación y tratamiento estuvieran prohibidas conforme a lo
establecido en la presente ley, cuando se omitió su consentimiento o cuando el
instrumento que lo contiene fuera nulo, cuando el Registro o Banco no estuviese
autorizado, cuando no se cumplimentó con el informe previo al que se refiere el
artículo 16 inciso l) o el mismo fuera incompleto, cuando no se cumplimentó
con la publicación
e inscripción a la que se refiere el
mismo artículo en su inciso m), o cuando la misma fuera incompleta, cuando no
se respetó la finalidad del tratamiento o cesión en su caso, cuando
fuera excesiva, inadecuada o cuando se cumplimentó.
c)
Derecho de rectificación:
el titular de los datos podrá peticionar la rectificación de los datos total o
parcialmente inexactos o incompletos. A dicho fin le bastará al titular con la acreditación de su identidad y
representación legal o convencional en su caso, debiendo correr el
Registro o Banco, con todas las diligencias que le sean necesarias para
acreditar la veracidad de la petición del titular.
d)
Derecho de actualización:
cuando los datos han resultado caducos o no acordes con la realidad por haberse
modificado las circunstancias o en virtud del transcurso del tiempo, podrá el
titular de los datos solicitar su supresión
o actualización según corresponda. A los fines del ejercicio de este derecho,
resulta de aplicación lo dispuesto en el inciso anterior así como también lo
que respecta a la obligación del Registro o Banco.
ARTICULO 23º:
El responsable del Banco o Registro de datos, no podrá exigir contraprestación
alguna para el ejercicio de los derechos de supresión, rectificación y
actualización. Debe proceder a la supresión, rectificación o actualización
de los datos dentro del plazo de
los tres días hábiles de formulado el requerimiento en tal sentido, no
pudiendo exigir ningún requisito adicional al establecido en
los incisos respectivos del artículo precedente.
Asimismo
y dentro del mismo plazo, deberá proceder a notificar por escrito al
cesionario de los datos, si hubiese procedido a su cesión con carácter previo
a la supresión, rectificación o actualización,
debiendo el cesionario tomar cuenta de ello dentro del plazo de dos días
de recibida la notificación.
ARTICULO 24º: El titular de los datos podrá ejercer los derechos
que se le reconocen en esta ley por sí o a través de sus representantes
legales o convencionales. Se encuentran facultados del mismo modo los sucesores
de las personas físicas.
TITULO VII
HABEAS DATA
ARTICULO 25º:
Cuando
el responsable del Banco o Registro y/o el cesionario no procedieran en el plazo
estipulado en la presente ley al acceso, supresión, rectificación o
actualización de los datos e información en los términos requeridos por el
titular o procedieran a ello pero de un modo inexacto o insuficiente, el titular
deberá intimar por escrito. Si transcurridos cinco (5) días desde la recepción
de la notificación no se procediera al acceso, supresión, rectificación o
actualización, el titular o su sucesor podrán interponer la acción de habeas
data por sí o por medio de apoderado, conforme lo preceptuado en los artículos
siguientes y sin perjuicio de las demás acciones administrativas y judiciales
correspondientes.
ARTICULO 26º: La acción de habeas data deberá interponerse por
escrito dentro del plazo de 90 días de transcurrido el plazo de cinco (5) días
estipulado en el artículo precedente. Serán competentes los jueces ordinarios
del domicilio del titular o los del domicilio del Banco de Datos o Registro de
que se trate a elección del primero. El procedimiento es gratuito.
ARTICULO 27º: En la demanda deberá individualizarse con la mayor precisión posible los datos
referentes al Registro o Banco de datos de que se trate, su domicilio, titular o
encargado.
El accionante deberá alegar las
razones que fundamentan su derecho y acompañar la prueba documental
correspondiente, o bien individualizarla, de no encontrarse en su poder, y
ofrecer la restante.
El juez evaluará la
razonabilidad de la petición con criterio amplio y salvo manifiesta y notoria
improcedencia formal, declarará la admisibilidad de la acción al solo efecto
de requerir la información al Registro o Banco de datos correspondiente, quien
deberá cumplimentar dicho requerimiento dentro del plazo de tres (3) días sin
excepción alguna. Asimismo, dentro del mismo plazo deberá fundamentar, acompañar
la documental y ofrecer la
restante prueba respaldatoria de la información que suministra.
La resolución judicial que
declara inadmisible la acción es apelable mientras que la que intima al
requerimiento de la información al Banco de datos o Registro es
inapelable.
ARTICULO 28º: Cuando se hubiese ofrecido prueba, el juez deberá
fijar una audiencia debiendo ser ésta producida dentro
de los diez (10) días siguientes al vencimiento del plazo fijado en el
artículo anterior. El juez deberá dictar sentencia dentro de los tres (3) días
de realizada la audiencia o de transcurrido el plazo de los tres (3) días de
formulado el requerimiento al Banco de datos o Registro cuando no se hubiese
ofrecido prueba o cuando hubiese éste
omitido cumplimentar el requerimiento, desestimando la acción u ordenando el
acceso, rectificación, supresión, actualización según corresponda, así como
la indemnización del daño causado si el afectado lo hubiese pretendido
conforme lo estipulado en el artículo 19º fijando asimismo un plazo breve para
su cumplimiento el que no podrá exceder de los seis (6) días.
ARTICULO 29º: Procede la ejecución forzada frente al
incumplimiento de la sentencia en el plazo por ella estipulado. Sin perjuicio de
ello, el juez podrá imponer la pena de multa o astreintes. Tratándose de un
Registro o Banco de Datos Público la multa se aplica sobre la remuneración del
responsable del organismo del cual depende el Registro o Banco de datos.
Asimismo, podrá ordenar la
clausura del Registro o Banco de datos y adoptar todas las medidas preventivas
que estime pertinentes durante la tramitación del procedimiento.
ARTICULO 30º: La
sentencia definitiva será apelable con efecto devolutivo.
ARTICULO 31º: Los plazos a que se refiere la presente ley, se
computan en días hábiles. Es de aplicación supletoria en el procedimiento del
Habeas Data, las normas sobre acción de amparo que en lo sucesivo lo modifiquen
o reemplacen y las disposiciones del Código Procesal Civil y Comercial
relativas al procedimiento sumarísimo.
TITULO VIII
REGISTRO DE DATOS PERSONALES
ARTICULO 32º: Registro de Datos Personales: Créase en el ámbito de la
Defensoría del Pueblo de la Ciudad de Buenos Aires el Registro de Datos
Personales que tendrá las siguientes funciones:
a)
Autorizar y habilitar la creación, explotación y funcionamiento de los
Registros y Bancos de datos
personales privados de conformidad
con lo preceptuado en la presente ley.
b)
Llevar un Registro de los Bancos
y Registros de datos personales públicos
y privados.
c)
Registrar los datos establecidos en el
artículo 16 inciso l) y aquellos otros que considere necesarios.
d)
Garantizar el acceso gratuito al público de toda la información
contenida en su Registro.
e)
Velar por el cumplimiento de las disposiciones de la presente ley y por
el respeto de los derechos a la privacidad, imagen, autodeterminación
informativa, honor y demás derechos de que son titulares las
personas físicas y/o jurídicas.
f)
De oficio o a pedido del afectado o de terceros, podrá
apercibir, multar, suspender o cancelar la autorización y habilitación del
funcionamiento de los Registros o Bancos de datos personales que cometan las
infracciones descriptas en el Título IX. El importe que ingrese por las multas
aplicadas se destinará al ejercicio de las funciones que por esta ley se
atribuyen al Registro.
g)
Recibir denuncias.
h)
Formular denuncias y reclamos judiciales por sí, cuando tuviere
conocimiento de manifiestos incumplimientos de lo estipulado en la presente ley
por parte de Registros o Bancos de Datos del sector público y del privado.
i)
Representar a las personas titulares de los datos, cuando
éstos se lo requiriesen, a fin de hacer efectivo el derecho de acceso,
rectificación, supresión y actualización, cuando correspondiere, por ante el
Registro o Banco de datos.
j)
Asistir al titular de los datos, cuando éste se lo
requiera, en los juicios que, en virtud de lo establecido en la presente ley,
entable por ante los tribunales de la Ciudad.
ARTICULO 33º:
El Defensor del Pueblo establecerá el procedimiento de habilitación e
inscripción de los Registros y Bancos de Datos, el contenido de la inscripción,
su modificación, cancelación, reclamaciones. Asimismo, y a los fines de
garantizar el cumplimiento de lo estipulado en la presente ley, así como de sus
fines y objetivos, establecerá los requisitos y procedimientos que deberán
cumplimentar los Registros y Bancos de Datos relativos al proceso de recolección
de datos, diseño general del sistema, incluyendo los mecanismos de seguridad y
control necesarios, equipamiento técnico, mecanismos adoptados para garantizar
los derechos de acceso, supresión, rectificación y actualización así como
demás extremos pertinentes.
ARTICULO 34º: Cualquier
persona podrá conocer la existencia de Registros o Bancos de datos personales,
su finalidad, la identidad y domicilio del responsable, destinatarios y categorías
de destinatarios, condiciones de organización, funcionamiento, procedimientos
aplicables, normas de seguridad, garantías para el ejercicio de los derechos
del titular de los datos así como toda otra información registrada.
Esta información deberá ser
suministrada por el Registro de Datos Personales que será de consulta pública
pudiendo el peticionante recurrir a la acción de habeas data estipulada en la
presente ley en caso de desconocimiento de dicho derecho.
TITULO IX
INFRACCIONES
ARTICULO 35º: Se consideran infracciones las siguientes:
a)
Realizar el tratamiento de datos desconociendo los principios
establecidos en los Títulos III y IV del presente cuerpo normativo.
b)
Incumplir las obligaciones descriptas en el Título V.
c)
No proceder de oficio, o a solicitud del titular de los datos, o del
Registro de Datos Personales a la supresión, rectificación y actualización de
los datos personales en los supuestos, tiempo y forma establecidos en esta ley.
d)
Obstaculizar o impedir el derecho de acceso reconocido en esta ley al
titular o al Registro de Datos Personales en los supuestos, tiempo y forma que
la misma estipula.
e)
Efectuar la cesión de datos personales desconociendo los extremos y
requisitos que se establecen en la presente.
f)
Proceder a la creación de Bancos o Registros de datos,
ponerlos en funcionamiento, iniciar
el tratamiento de datos personales sin el cumplimiento de los requisitos
establecidos en esta ley.
g)
No cumplimentar los demás extremos o requisitos que esta ley establece,
así como aquellos que la Defensoría del Pueblo en ejercicio de su competencia
establezca.
h)
Obstruir las funciones que
por esta ley se le reconocen al Registro de Datos Personales.
i)
Tratar los datos de carácter personal de un modo que
lesione, violente o desconozca los derechos a la privacidad, autodeterminación
informativa, imagen, identidad, honor así como cualquier otro derecho de que
sea titular la persona física y/o jurídica.
A los fines de aplicar las
sanciones descriptas en el artículo 32 inciso f), el Registro de Datos
Personales deberá tener en cuenta la naturaleza de los derechos afectados o
lesionados, los beneficios obtenidos, el grado de intencionalidad o negligencia
y la reincidencia.
TITULO X
CREACION. MODIFICACION Y ELIMINACION DE REGISTROS
Y BANCOS DE DATOS.
ARTICULO 36º: Registro y Bancos de datos del sector público:
la creación, modificación y eliminación de los Registros y Bancos de datos
del sector público solo podrá realizarse por la Legislatura y deberá
publicarse en el Boletín Oficial de la Ciudad de Buenos Aires e
inscripto y registrado, con carácter previo a su funcionamiento, en el Registro
de Datos Personales.
ARTICULO 37º: Los Registros o Bancos de Datos del sector privado
que contengan datos de carácter personal quedan sometidos al régimen de la
presente ley. Su creación, modificación y eliminación deberá ser publicada
en el Boletín Oficial de la Ciudad de Buenos Aires e inscripto y registrado,
con carácter previo a su funcionamiento, en el Registro de Datos Personales.
ARTICULO 38º: A los fines de obtener la habilitación respectiva,
el Registro o Banco de datos del sector privado deberá presentar un informe
escrito detallando:
a)
El nombre y la dirección del responsable del Registro o Banco de Datos.
b)
La finalidad del tratamiento.
c)
Los destinatarios o categorías de destinatarios
d)
Una descripción general que permita evaluar de modo preliminar si las
medidas adoptadas resultan adecuadas para garantizar la confidencialidad y
seguridad del tratamiento así como los derechos de sus titulares.
e)
Condiciones de organización, funcionamiento y procedimientos aplicables.
f)
La información objeto de tratamiento, fuente y destino.
g)
Cualquier otra información que le sea exigida por el Registro de Datos
Personales en ejercicio de sus facultades.
El mismo informe deberá ser
presentado ante el Registro de Datos Personales por el Registro o Banco de Datos
del sector público que fuera creado por la Legislatura, y en forma previa a la
recolección y tratamiento de los datos.
ARTICULO 39º:
Una
vez otorgada la autorización para el funcionamiento por el Registro de Datos
Personales si se tratare de un Registro o Banco de Datos privado, o una vez
creado por la Legislatura el Registro o Banco de Datos perteneciente al sector público,
deberán publicarse como mínimo a costo del Banco o Registro respectivo, y con
carácter previo al tratamiento de los datos, los siguientes extremos:
a)
Domicilio del Registro o Banco de datos.
b)
La finalidad del Registro o Banco de datos y los usos previstos para los
mismos.
c)
Las personas sobre las que se pretenda obtener datos personales.
d)
La finalidad y el procedimiento del tratamiento de los datos.
e)
La descripción de los datos personales que se pretendan obtener y
tratar.
f)
La estructura básica del Registro o Banco de datos.
g)
Las cesiones que, en su caso, se prevean.
h)
Nombre y apellido de los responsables
del Registro o Banco de datos.
i)
Lugar y horario en el que pueden ejercitarse los derechos
de acceso, rectificación, actualización y
supresión personales.
TITULO XI
TRATAMIENTO INTERNACIONAL DE DATOS
ARTICULO 40º: Queda prohibida la cesión o transmisión de datos
a personas físicas o jurídicas de otros estados o a organismos internacionales
o supranacionales que no aseguren una protección equivalente de los datos de
carácter personal.
TITULO XII
DISPOSICIONES PARTICULARES.
ARTICULO 41º:
Prestación de servicios sobre solvencia patrimonial y de crédito.
Quienes se dediquen a la prestación de servicios de información sobre
solvencia patrimonial y de crédito quedan sujetos al régimen de la presente
ley y solo podrán tratar datos
personales obtenidos de fuentes accesibles al público, del propio titular o del
acreedor. Deberán proceder a la supresión de los datos personales que tengan
una antigüedad superior a los cinco años.
ARTICULO 42º: Registros o Bancos de datos de Seguridad: Los Registros o Bancos de datos
de organismos de Seguridad e Inteligencia que almacenen datos de carácter
personal, quedan sujetos al régimen de la presente ley y podrán denegar en
forma fundada el derecho de acceso a la información que contengan cuando exista un peligro real y objetivo que
amenace los derechos de terceros o la eficacia de las investigaciones que se estén
realizando.
Si la denegación fuese
arbitraria, asiste al titular o afectado los derechos que por esta ley se le
reconocen.
ARTICULO 43:
De
forma.
CLAUSULAS TRANSITORIAS:
PRIMERA:
En un plazo de treinta (30) días a contar desde la vigencia de la presente ley,
la Defensoría del Pueblo deberá proceder a la reglamentación de lo estipulado
en el artículo 31º, 32º y 33º a
los fines de poner en funcionamiento el Registro de Datos Personales que por
esta ley se crea.
SEGUNDA:
En un plazo de sesenta (60) días a contar desde la reglamentación efectuada
por la Defensoría del Pueblo conforme lo estipulado en la cláusula anterior,
las personas físicas y jurídicas que realicen las actividades que por esta ley
se regulan, deberán proceder a obtener
la respectiva habilitación y a su consecuente inscripción.
FUNDAMENTOS
Señor Presidente:
La Constitución de la Ciudad de
Buenos Aires, siguiendo los lineamientos de la Constitución de la Nación
reformada en 1994, incorporó en el Título de "Derechos y Garantías",
artículo 16º el derecho de toda persona de acceder libremente a todo
registro, archivo o banco de datos que conste en organismos públicos, y en los
privados destinados a proveer informes, a fin de conocer cualquier asiento sobre
su persona, su fuente, origen, finalidad o uso que del mismo se haga.
Asimismo, se le reconoce el
derecho a requerir la actualización, rectificación, confidencialidad o supresión,
cuando dicha información lesione o restrinja algún derecho, dejándose a salvo
que el ejercicio de estos derechos no afectará el secreto de la fuente de
información.
El tratamiento de la información
y especialmente, de los datos de carácter personal, es una actividad que ha
sido realizada en todas las épocas, tanto en el ámbito privado como en el público,
sin generar preocupación alguna.
No obstante, la relativamente
reciente aparición y difusión de la informática en todos los aspectos de la
vida social, si bien ha dado nacimiento a nuevas posibilidades, a nuevos
intereses, asimismo y como contrapartida, ha generado una serie de "nuevos
peligros y riesgos" hasta dicho entonces desconocidos.
Relacionando lo expuesto, con lo
que a nuestra función compete,
debemos manifestar que la preocupación
actual que nos inquieta, consistente en regular y normatizar en forma urgente la
gestión de los bancos y registros de datos personales, resulta ser entonces
contemporánea con el avance de la tecnología informática que ha hecho posible
compilar información de datos personales en cantidad antes no imaginable,
procesarla en forma mucho más completa y sistemática y difundirla en contados
segundos a un ámbito infinito.
En efecto, la realidad tecnológica
que hoy nos toca ha generado un peligro potencial de daño antes desconocido
derivado de la eventualidad de obtener información confidencial así como de
difundir a terceros datos personales inexactos, incompletos, desactualizados y
de un modo que ni siquiera nuestra lógica es capaz de comprender a veces.
Hasta el presente las fronteras
de la privacidad estaban defendidas y protegidas por el tiempo y el espacio,
pero resulta que uno y otro, en tanto límites, han desaparecido, puesto que las
modernas técnicas de comunicación han permitido salvar sin dificultades el
espacio, así como almacenar todos lo datos que se obtienen a través de dichas
comunicaciones y acceder a ellos en apenas segundos por distante que fuera el
lugar donde transcurrieron los hechos o por más remotos que éstos fueran.
La grave consecuencia de todo lo
expuesto puede apreciarse en el hecho
de que los más diversos datos son factibles de ser compilados permitiendo a
quien los dispusiera acceder a un conocimiento cabal de actitudes, hechos, o
pautas de comportamientos que, sin duda pertenecen a la vida privada de las
personas. Pero resulta que no constituye ella la única grave consecuencia,
puesto que el conocimiento ordenado
de estos datos puede dibujar un perfil de la persona o configurar una
determinada reputación posteriormente valorada en forma favorable o
desfavorable para las más diversas actividades.
Por todo lo recientemente
expuesto es que nos resulta imperioso no solo reglamentar la acción del habeas
data reconocida en la Constitución de la Ciudad de Buenos Aires, sino que, y no
bastando con ello, entendemos que resulta imprescindible regular y delimitar el
tratamiento de datos de carácter personal estableciendo las obligaciones y
responsabilidades de los Registros y Bancos de datos a la vez que otorgando garantías y derechos a los afectados
frente a las eventuales violaciones o
desconocimiento de su privacidad.
A dicho fin hemos consultado la
"Directiva sobre Protección de Datos Personales de la Comunidad Europea
(95/46/EC)" de octubre de 1995, el "Convenio para la Protección
de las Personas con respecto al Tratamiento automatizado de Datos de Carácter
Personal" firmado el 28 de enero de 1981 en Estrasburgo por el Consejo de
Europa, su Memoria explicativa, la Resolución 73 adoptada por el Comité de
Ministros el 26 de septiembre de 1973 durante la 224º reunión de los Delegados
de los Ministros del Consejo de Europa y la resolución
74 adoptada el 20 de
septiembre de 1974 durante la 236º reunión, la Propuesta modificada de la
Directiva 92/C 211/04 del Consejo de Europa relativa a la Protección de las
Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la
libre circulación de esos datos, la ley Francesa 78-17 del 6 de enero de 1978
relativa a la Informática, ficheros y libertades y su decreto reglamentario
78-774, la ley Orgánica 5/1992 de España de Regulación del Tratamiento
Automatizado de los Datos de Carácter Personal (LORTAD), la ley 26.301 referida
a la aplicación de la Acción Constitucional de Habeas Data de Perú, la ley
de Protección de datos de 1.987 de Gran Bretaña, la ley de Protección
de Datos alemana de 1991, la ley Argentina Nacional sobre habeas data y protección
de Datos personales 24.745 vetada por el Poder Ejecutivo Nacional así como la ley 4360 sobre Habeas Data del Chaco, Argentina.
Asimismo, se han considerado las
exposiciones efectuadas en el VI Congreso Iberoamericano de Derecho e Informática
celebrado en Uruguay (1998) por el Dr. Gonzalo Secco de Uruguay titulada
"Bases de Datos y Protección a la Privacidad", por el Dr. español
Juan José Iturmendi titulada "Tratamiento informático de los datos de carácter
personal. Automatización y Seguridad. Personas físicas y jurídicas. Intimidad
versus libertad de información", por los Dres Humberto F. Ruani, Paulina
G. Albrecht, Luis M. Gaibrois de Argentina "Los Piratas del soft en las
sentencias argentinas", por el Dr. venezolano Héctor Ramón Peñaranda
Quintero "Regulación Jurídica del Bien Informacional" y la exposición
del Dr. Pablo Andrés Palazzi de Argentina titulado "Limitación Temporal
al almacenamiento de información personal de bancos de Datos".
Por último hemos contemplado
también la opinión doctrinaria predominante en la Argentina a cuyo fin se han
leído los artículos escritos por Bazan, Víctor "El Habeas Data después
de la reforma Constitucional" ED T-163-824, Bazan Lazcano, Marcelo
"Las dos especies del amparo y el habeas data" ED T167-923, Bianchi,
Alberto "Habeas Data y derecho a la privacidad" ED T-161-866,
Ekmekdjian, Miguel Angel "El Habeas Data en la reforma constitucional"
LL 1995-E-946, Puccinelli, Oscar R. "Habeas Data: aportes para una eventual
reglamentación" ED T 161-913, Vanossi, Jorge R "El Habeas Data, no
puede ni debe contraponerse a la libertad de los medios de prensa" ED T
159-949, Cifuentes, Santos " Derecho Personalísimo a los datos
personales" LL t-1997-E-1323. También se ha utilizado como fuente de este
proyecto el volumen 6 de "Informática
y Derecho, Aportes de Doctrina Internacional",
titulado "Régimen Jurídico de los Bancos de Datos" por Daniel
R. Altmark y Eduardo Molina Quiroga, Ediciones De Palma, Bs. As 1998.
En nuestra tarea de regulación
el primer escollo que hemos debido soslayar en el proyecto de ley que
proponemos, ha sido decidir sobre las jerarquías de los derechos que entendemos
se encuentran en este ámbito enfrentados. A saber, se opone a la tan mentada
"libertad informática" que pregonan los operadores de los Bancos y
Registros de datos, un derecho a la autodeterminación informativa que tiene
como objeto garantizar la facultad de la persona para conocer y acceder a las
informaciones que le conciernen y que se encuentran archivadas en dichos bancos
o registros de datos, controlar su calidad, lo cual implica la posibilidad de
corregir o cancelar los datos inexactos o indebidamente procesados, así como
disponer sobre su transmisión.
Este conflicto de derechos, los
problemas y dificultades que el mismo ha acarreado, ha sido resuelto en nuestro
proyecto reconociendo la preeminencia del derecho a la privacidad y sus conexos
por sobre el del registrador. En efecto, constituyendo los primeros derechos
personalísimos, no podía resultar de otro modo. No obstante, en la regulación
normativa que proponemos se ha cuidado muy especialmente que el ejercicio del
derecho a la privacidad no neutralice el derecho del registrador, salvo cuando
éste sea ejercido ilegítimamente.
Adentrándonos ahora en el análisis
del contenido de nuestra propuesta normativa, debemos aclarar en primer término
que hemos entendido imprescindible reconocer y por ende regular una tutela preventiva de los
derechos personalísimos reconociendo
consecuentemente una serie de derechos al titular de los datos, a los fines de
que su efectividad constituya una verdadera valla al manejo indiscriminado de
información personal.
En virtud de ello, es que hemos
regulado los derechos de acceso, rectificación, supresión y actualización así
como regulado asimismo el mecanismo y procedimiento para su ejercicio. Ello
complementado con un derecho de información por ante el Registro de Datos
Personales, consistente en acceder al conocimiento sobre el número y
titularidad del total de los Registros y Bancos de datos existentes en la
Ciudad, derecho éste que tiene la virtualidad a su vez de garantizar y hacer
factible el ejercicio de los mencionados en primer término.
Hemos decidido otorgarle un
tratamiento especial a los denominados "Datos Sensibles", denominación
ésta atribuida por la legislación comparada y doctrina mayoritaria a ciertos
datos personales. En efecto, y siguiendo muy especialmente el convenio
sancionado por el Consejo de Europa en 1981, hemos enunciado cuales son aquellos
datos que por su importancia y relevancia en el desarrollo de una persona se
acuerdan en llamar "sensibles" y cuyo manipuleo o manejo es
susceptible de ocasionar la "muerte civil de la persona", "de su
prestigio". Por lo expuesto, es que respecto de ellos hemos entendido
absolutamente necesario establecer como principio general la prohibición de su
recolección y tratamiento, admitiéndose solo
excepcionalmente siempre y cuando no sea factible en su virtud la
individualización de su titular.
Asimismo, y a los fines de
reforzar y constituir una efectiva garantía de pleno respeto a los derechos
personalísimos del titular de los datos, hemos entendido
indispensable consagrar legalmente los principios rectores de la
disciplina de la protección y tratamiento de datos, principios que han sido
extraídos del estudio de la legislación comparada vigente así como de las
Directivas sobre protección de Datos Personales de la Comunidad Europea
incorporadas por la normativa de los países que la conforman.
Dentro del marco de referencia de
los principios a que hemos aludido precedentemente, es que hemos estipulado y
descripto asimismo las obligaciones a las que entendemos debe sujetarse el
responsable del Banco o Registro así como el usuario y cesionario de los datos
personales. Reiteramos,
a los fines de garantizar los derechos personalísimos de todo ser
humano, resulta indispensable regular y delimitar la gestión del tratamiento de
datos para lo cual resulta imprescindible establecer cuales serán las
obligaciones del titular del Banco o Registro, del usuario y del cesionario y
cuales sus respectivas responsabilidades.
Por lo expuesto, es que hemos
decidido regular un sistema de responsabilidades civiles
para el registrador o usuario de datos personales. La necesidad de
legislar sobre el régimen de responsabilidades deviene del hecho de que la acción
de habeas data reconocida en nuestra Constitución, no debe ser confundida con
las demás herramientas que las distintas ramas del derecho ha regulado con
fines ciertamente análogos o conexos. O dicho de otro modo, el instituto del
habeas data no garantiza ni implica, la responsabilidad penal que pueda
esgrimirse frente a los delitos que puedan cometer las autoridades o
particulares con el manejo de la información, como así tampoco la
responsabilidad civil derivada del daño cometido. La acción penal tiende a
aplicar una sanción penal, la acción civil a
reparar el daño causado. Respecto
de la primera, ninguna regulación hemos establecido dado la falta de
competencia de esta Legislatura para legislar sobre dicho aspecto.
Por lo que, y sin perjuicio de
dejar sentada nuestra posición en cuanto a que entendemos que urge al Congreso
Nacional la sanción de una ley de responsabilidad penal, hemos
establecido sanciones civiles para aquellos que violen los preceptos
establecidos en la normativa.
Al respecto, hemos propuesto, en
concordancia con la doctrina predominante, que el accionante no se encuentre
forzado a demostrar el daño causado como resultado del accionar ilegítimo del
sujeto pasivo, puesto que en materia de derecho a la privacidad la capacidad dañosa
de la intrusión se presume juris et de jure. Solo será necesario probar el
quantum.
Asimismo, y compartiendo el
criterio de la doctrina predominante, así como el de los sistemas jurídicos
contemporáneos (a modo de ejemplo: el artículo 29 de la Ley Francesa sobre
Informática y Libertades, el Artículo 9º de la LORTAD)
proponemos una responsabilidad objetiva, residiendo su fundamento en la
circunstancia de considerar a la actividad destinada al tratamiento de datos
como una actividad peligrosa en sí misma por el riesgo que crea, consistente en
el potencial uso indiscriminado de la información personal registrada en el
Banco o Registro de datos. La responsabilidad existe tanto cuando el daño tiene
origen en el hecho propio del responsable como en el de sus dependientes o
personal.
Reiteramos, el volumen de
información que contienen los Bancos y Registros de datos, la velocidad con que
pueden ser examinados los convierten en un peligro para la privacidad. Por ello
es que, insistimos, debemos establecer un régimen de responsabilidad objetivo
como el que hemos propuesto en nuestro proyecto.
Sin perjuicio de las
responsabilidades civil que
proponemos, para una adecuada estructuración del régimen regulatorio
que pretendemos imponer, entendemos que resulta necesario establecer una serie de
sanciones del tipo administrativas las que recaerán sobre
el responsable del Banco o Registro de datos cuando viole los principios
rectores de la protección de los derechos humanos y a los que hemos hecho
referencia más arriba. Se intenta
de este modo imponer un régimen de sanciones administrativas, de modo que
puedan aplicarse aún de oficio por la autoridad de control que proponemos y a
la que aludiremos en los párrafos siguientes, sin necesidad de acudir a la vía
judicial, y aún en aquellos supuestos en los que no se configura un supuesto de
responsabilidad penal o civil. O dicho de otro modo, se intenta establecer un régimen
regulatorio que impida dejar impune la mínima
acción que desconozca los derechos del ser humano.
En lo que hace a los sujetos
pasivos de los derechos que proponemos garantizar mediante este proyecto de ley,
hemos entendido, conforme surge del texto constitucional, que en la expresión
"Registros o Bancos públicos" quedan incluidos todos los existentes
en los organismos del estado, cualquiera fuese su naturaleza puesto que la
Constitución no establece excepción alguna.
Asimismo y en lo que respecta a
las entidades privadas, pensamos que se encuentran también incluidas en el
concepto "sujeto pasivo", las entidades que posean Bancos o Registros
de datos aunque no estén
destinados a suministrar informes a terceros. Puesto que si bien la Carta Magna
se refiere al requisito de "proveer informes", lo cierto es que no
pudo haber estado en su espíritu desconocer los derechos personalísimos
cuando el que requiera su ejercicio acredite tener un interés legítimo
para hacerlo. La Constitución no
pudo haber desconocido estos derechos naturales.
Cabe hacer una breve alusión a
los Bancos o Registros que quedan excluidos, a nuestro entender, del ámbito de
aplicación de nuestro proyecto, y ellos son los que están destinados al uso
exclusivo del registrador.
La razón de la excepción
antedicha radica en el hecho de que un Registro o Banco de datos utilizable o utilizado solo por un
individuo, atañe a su privacidad, siempre y cuando, obviamente, se trate de una
acción privada en sentido estricto, es decir, sobre la cual nadie puede
interferir, puesto que ese derecho se relaciona con la intimidad de cada
registrador y está captado por el concepto de" papeles privados".
En lo que respecta a los Bancos o
Registros del estado relacionados con la seguridad, hemos entendido que no se puede imaginar un estado que no sea
capaz de guardar y proteger ciertos datos secretos. No obstante, no dejamos de
desconocer que cuanto más amplia es la zona de secreto, tanto más reducida es
la zona de transparencia ligada a la construcción de la democracia de la
sociedad.
En razón de lo expuesto es que
hemos decidido acotar el secreto de
estado admitiendo el derecho de acceso y sus conexos también sobre los Bancos o
Registros de Seguridad e Inteligencia. Y a su vez, si bien hemos establecido una
causal de excepción al ejercicio de dichos derechos,
hemos exigido razonabilidad en la denegación del Registro o Banco
otorgando por ende, y en cuanto fuera ésta infundada o arbitraria, un derecho
del ciudadano de acudir por ante el
juez competente para que decida al
respecto.
Dependerá por ende de la
valoración que haga la autoridad jurisdiccional, de acuerdo a las
circunstancias del caso y del momento histórico, para brindar un mayor o menor
radio de acción a la garantía de acceso. Por ello, si bien no dejamos al
estado sin una herramienta decisiva, tampoco permitimos que el ciudadano quede
indefenso frente a los secretos del estado.
Por último, y concluyendo con la
categoría de sujetos pasivos, en lo que hace a
los Registros o Bases de datos periodísticos hemos entendido que nuestra
Constitución no inhibe el ejercicio de los derechos de acceso y conexos con
relación a la información de carácter personal contenido en dichos registros,
puesto que lo que se protege es la fuente, es decir, el origen o el
proveedor de la información pero no se veda el derecho de la persona a acceder
a sus datos así como de ejercer el resto de los derechos conexos.
Los problemas nuevos requieren
soluciones nuevas. Por ello, es que nuestra Constitución haciéndose eco de los
problemas creados por el avance informático, ha contemplado el instituto del
habeas data.
En nuestro proyecto hemos
decidido reglamentar el ejercicio de esta acción. Para ello, hemos tenido
presente que este instituto es
relativamente novedoso, está moldeándose.
Lo cual permite, conformarlo a la medida de las necesidades y darle realmente el
contorno que resulte más apropiado para satisfacer las necesidades que el
tiempo exige.
En virtud de lo expuesto es que
hemos advertido que la
regulación del habeas data debe ser genérica no excesivamente detallada,
puesto que en caso contrario correríamos
el riesgo de encorsetar el instituto que tiene que desenvolverse y adquirir su
fisonomía a tenor de las necesidades.
Esgrimidos los antedichos
fundamentos, hemos decidido que la acción de habeas data se desarrolle en dos
etapas: una prejudicial, en donde la persona debe notificar en forma fehaciente
su pretensión al registrador, y otra judicial que tendría virtualidad
frente al desconocimiento del derecho del titular por parte del Banco o
Registro de datos. La razón de lo expuesto está dada en que resulta
imprescindible que para que la vía judicial sea procedente,
haya ocurrido una intimación fehaciente al incumplidor. Puesto que solo
de este modo se lo constituye en mora al registrador.
Creemos que, hasta tanto se
sancione la ley sobre amparo, el procedimiento para hacer lugar a la acción de
habeas data tiene que ser algo sencillo, muy simple e informal para que
cualquiera que se sienta afectado, pueda remover ese obstáculo tendiendo
fundamentalmente a dos cosas, al derecho al acceso y el derecho a la rectificación, actualización
o supresión de aquellos asientos que resulten lesivos.
En virtud de las razones
expuestas precedentemente es que hemos regulado un procedimiento escueto y
sumario. Escueto en el sentido de que se encuentra ausente de intrincados trámites
y sumario en cuanto a la celeridad y a la rapidez con que el remedio debe surtir
efectos antes de que el daño pueda ser irreparable. Por ello hemos elegido
plazos cortos aplicándose supletoriamente las normas del procedimiento sumarísimo
del Código Procesal Civil y Comercial puesto que es el de más fácil
sustanciación y el de más inmediata respuesta por parte de la instancia
jurisdiccional.
El objetivo primordial del procedimiento del habeas data es que el titular tenga siempre garantizado el derecho de acceso a la información para poder verificarla, puesto que es en su virtud que entendemos podrá el juez apreciar si corresponde otorgar los derechos a la rectificación, actualización o supresión peticionadas por el ciudadano. Por lo expuesto es que, salvo defecto formal notorio, el juez debe admitir siempre la petición de acceso a los fines de tomar conocimiento de los datos a ella referidos y de su finalidad. Solo de este modo podrá acreditarse si corresponde hacer lugar a los derechos de rectificación, supresión o actualización.
De este modo entendemos reafirmar
los lineamientos de las conclusiones de la Comisión II arribada en el IV
Congreso Internacional de Daños, Asociación de Abogados de Buenos Aires,
Facultad de Derecho UBA, abril de 1995 en virtud de las que se sostuvo que el
derecho de acceso se constituye en un derecho autónomo que puede ser ejercido
con independencia de eventuales ataques a otros derechos de la personalidad.
El derecho de acceso es un derecho autónomo que debemos garantizar en
forma incondicional en virtud del habeas data.
Distinta suerte corren los derechos conexos puesto que una vez otorgado
el acceso, a posteriori, el juez apreciará en virtud de la prueba aportada, si
corresponde su procedencia.
A los fines de contar con un
instrumento más para garantizar la
tutela de los derechos de la personalidad, hemos previsto sanciones pecuniarias
a que se hará pasible la persona reticente a obedecer la orden judicial emanada
como corolario de la procedencia del habeas data, dejando a salvo la vigencia
coetánea de otras sanciones como las que hemos aludido.
Por último, siguiendo asimismo
los lineamientos de la legislación comparada quien ha decidido crear un
organismo de contralor y protección de los datos personales, hemos sostenido
también que a los fines de garantizar y fortalecer los derechos que en esta ley
se protegen, resulta necesario crear un organismo que funcione como la autoridad
de control atribuyéndole legitimación procesal.
A dicho fin hemos creado el
Registro de Datos Personales que actuará bajo amparo de las facultades que le
hemos atribuido a los fines de garantizar, mediante su accionar, una adecuada
garantía de plena vigencia del derecho a la
autodeterminación informativa y a la privacidad.
A los fines de evitar la
superpoblación de organismos, hemos creído conveniente ampliar, en virtud de
este proyecto de ley, las facultades ya otorgadas al Defensor del Pueblo
y otorgar consecuentemente las funciones
así como el manejo del Registro de Datos Personales
a la Defensoría del Pueblo de la Ciudad de Buenos Aires.
Asimismo para afinar el
funcionamiento de la institución hemos creído necesario establecer una
regulación expresa que fije claramente las preceptivas para la creación de los
Registros o Bancos de datos, supervisándose asimismo, por parte del Registro de
Datos Personales, su funcionamiento y cumplimiento de la ley, ello a su vez en
procura de sistematizar un control estadístico de los mismos y un efectivo
esquema institucional y organizativo a su respecto. De ahí que le hemos asimismo impuesto al Registro mencionado
la función de registrar los Bancos y Registros que se creen.
Por último también le hemos
atribuido asimismo al Registro facultad sancionatoria y legitimación
procesal para iniciar por sí los reclamos judiciales pertinentes cuando se
estima que los bancos no cumplen con la reglamentación de la ley reconociendo
de este modo una tutela a los intereses difusos o simples.
Roque Bellomo. Diputado.