PROYECTO DE LEY DE HABEAS DATA DE LA LEGISLATURA DE LA CIUDAD AUTONOMA DE BUENOS AIRES.

Exp: 0110D03

Firmante. Roque Bellomo (Unión Cívica Radical)

 

La Legislatura de la Ciudad Autónoma de Buenos Aires, sanciona con fuerza de Ley:

 

TITULO I

OBJETO. AMBITO DE APLICACION

ARTICULO 1º: La presente ley tiene por objeto regular, dentro del ámbito de la Ciudad Autónoma de Buenos Aires, la recolección, el almacenamiento y el tratamiento de datos de carácter personal  pertenecientes a  personas físicas y jurídicas contenidos o destinados a ser contenidos en  Registros o Bancos de datos o en cualquier soporte físico del sector público y privado a los fines de garantizar, especialmente, el derecho a  la autodeterminación informativa, a la identidad personal, a la privacidad, a la imagen y al honor.

ARTICULO 2º: A los fines de la presente ley se entienden incluidos dentro del sector público a aquellos soportes físicos, Registros o Bancos de datos  de titularidad de las reparticiones de la administración pública centralizada, entes descentralizados, autárquicos, empresas públicas, sociedades en donde la Ciudad tenga participación y organismos vecinales, e incluidos dentro del sector privado a aquellos soportes físicos, Registros o Bancos de datos destinados o no a proveer informes y cuyo titular sea una  persona física o jurídica  incluyéndose las previstas en el artículo 33 in fine del Código Civil y a los medios de comunicación periodísticos.

ARTICULO 3º: Quedan exceptuados del ámbito de aplicación de la presente ley la recolección, el almacenamiento y el tratamiento de datos de carácter personal efectuados por una persona física en el ejercicio de actividades y para uso exclusivamente privados y personales y siempre que dichas actividades no sean susceptibles de permitir el acceso o transmisión de los datos a terceros.

 

TITULO II

DEFINICIONES

ARTICULO 4º: A los fines de la presente ley se entiende por:

a)      Datos de carácter personal: Son los datos concernientes a personas físicas o jurídicas identificadas o identificables incluyéndose los relativos a domicilios, números telefónicos, casillas de correo o similares. Se considerará identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante un número de identificación o mediante uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.

b)      Datos sensibles:  son todos aquellos datos de carácter personal que revelan origen racial o étnico, convicciones religiosas y no religiosas o de cualquier tipo, hábitos y comportamientos personales, orientación y vida sexual, rasgos físicos y psíquicos,  estado de salud, opiniones políticas, afiliación sindical, procesos penales, contravencionales y administrativos.

c)       Registro o Banco de Datos:  Es  el conjunto de datos de carácter personal cualquiera fuera la modalidad o forma de su recolección, almacenamiento, organización y acceso.

d)      Tratamiento de datos: Es cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados y aplicadas a datos de carácter personal, tales como la recolección, registro, organización, conservación, elaboración o modificación, extracción,  utilización,  cotejo, bloqueo, supresión, así como las cesiones que resulten de comunicaciones, consultas, transmisión, interconexión, difusión o de  cualquier otro medio que permita el acceso a los mismos.

e)      Titular de datos:  Es la persona física o jurídica a la que se refieren los datos objeto de recolección, almacenamiento y tratamiento.

f)        Responsable del Registro o Banco de Datos: es toda persona física o jurídica, pública o privada que resulte titular del  Registro o Banco de Datos así como toda autoridad pública u órgano que ordene tratar  datos de carácter personal  y/o  datos sensibles y decida acerca de la finalidad y objetivos del tratamiento, los datos personales que deben tratarse, las operaciones que deben aplicárseles y los terceros que pueden tener acceso a dichos datos.

 

TITULO III

PRINCIPIOS GENERALES SOBRE LA PROTECCION DE DATOS SENSIBLES

ARTICULO 5º: Queda prohibido el  tratamiento de los datos personales que revelen ideologías, origen racial o étnico, convicciones religiosas y no religiosas o de cualquier tipo, hábitos y comportamientos personales, orientación y vida sexual, rasgos físicos y psíquicos, estado de salud, opiniones políticas, afiliación sindical, procesos penales, contravencionales y administrativos salvo que esta ley o cualquier otra expresamente disponga lo contrario o medie consentimiento de su titular siempre que no sea factible su identificación.

ARTICULO 6º: Solo podrán proceder a la recolección y tratamiento de los datos descriptos en el artículo anterior, con el consentimiento de su titular, y conforme a lo dispuesto en esta ley, no obstante que quedando prohibida su cesión, los Registros o Bancos de Datos del sector público con fines única y exclusivamente estadísticos o científicos y en la medida en que su tratamiento no permita la identificación del titular.

ARTICULO 7º: Podrán proceder a la recolección y tratamiento de los datos descriptos en el artículo 5º, con el consentimiento de su titular y siempre que no permita su identificación, quedando no obstante prohibida su cesión, las Iglesias, confesiones, comunidades religiosas y organizaciones políticas y sindicales.  El tratamiento efectuado en virtud de lo dispuesto en este artículo queda sujeto a las disposiciones de la presente ley.

ARTICULO 8º: Podrán recolectar y tratar datos relacionados con la salud, con el consentimiento de su titular, siempre que no permita su identificación  y conforme lo determine esta ley y la normativa vigente  y quedando prohibida su cesión, salvo que una ley determine lo contrario, los hospitales y demás instituciones sanitarias públicas o privadas y los profesionales vinculados a las ciencias médicas a quienes haya acudido el titular de los datos.

ARTICULO 9º: Los datos personales relativos a procesos penales, contravencionales y a infracciones administrativas solo pueden ser recolectados, conservados y tratados por Registros o Bancos de datos de la administración pública competente y en la modalidad y supuestos establecidos por la normativa jurídica pertinente.

 

TITULO IV

PRINCIPIOS GENERALES SOBRE LA PROTECCION DE DATOS PERSONALES

ARTICULO 10º: Justificación Social: La recolección, tratamiento y cesión de datos personales debe responder a un propósito general y usos específicos lícitos y socialmente aceptables.

ARTICULO 11º: Limitación de la recolección: Los datos personales sólo pueden ser obtenidos, tratados y cedidos con el consentimiento libre e informado de su titular y manifestado en forma inequívoca y por escrito por  el mismo.

Deberá manifestarse siempre en instrumento separado de cualquier otro que se le adjunte o complemente y redactado en términos claros e indubitables para lo cual se tendrá en cuenta el nivel cultural y social del titular de los datos.

Es nulo el instrumento e inválido el consentimiento que no reúna los requisitos establecidos en el presente artículo.

El consentimiento puede ser revocado por cualquier medio y en cualquier momento. Dicha revocación no tendrá efectos retroactivos.

ARTICULO  12º: No se requerirá el consentimiento al que se refiere el artículo precedente cuando:

a)      Una ley, expresamente, disponga lo contrario.

b)      Los datos se obtengan de una fuente accesible al público.

c)       Se reproducen  datos ya publicados en boletines, diarios o repertorios oficiales.

d)      Se trate de datos relativos a la salud y sea necesario por razones de salud pública y de emergencia, siempre que se preserve la identidad de su titular.

e)      Tratándose del supuesto de cesión o transmisión por cualquier medio, cuando el cesionario lo constituyan los magistrados del Poder Judicial, el Defensor del Pueblo o el Ministerio Público en ejercicio de sus funciones.

f)        El tratamiento y cesión tenga lugar entre Registros o Bancos de Datos del sector público que tengan la misma competencia y siempre que el cesionario respete la finalidad y destinatarios del tratamiento de los datos del cedente.

ARTICULO 13º: Finalidad: Los datos de carácter personal deben  ser adecuados, pertinentes y limitarse al mínimo necesario para alcanzar el fin perseguido en la recolección. Asimismo, la finalidad de su tratamiento o cesión no puede ser diferente de aquella para la cual hubieren sido recogidos, salvo consentimiento previo del titular y expresado del modo preceptuado en el artículo 11º.

ARTICULO 14º: Calidad y fidelidad: Los datos personales deben conservarse exactos, completos y actualizados a los fines de que respondan a la veracidad de la situación de su titular y de un modo que no responda a criterios  discriminatorios.

ARTICULO 15º: Limitación temporal: Los datos personales no pueden ser conservados  en el Registro o Banco de datos una vez que se haya agotado la finalidad  para la que hubiesen sido recogidos, salvo que la ley estableciera otro plazo.

 

TITULO V

OBLIGACIONES Y RESPONSABILIDAD DEL BANCO DE DATOS

ARTICULO 16º: Constituyen obligaciones del responsable del Registro o Banco de datos,  las siguientes:

a)      Requerir y obtener el consentimiento del titular de los datos, previo a su  tratamiento o cesión, y conforme lo estipulado en el artículo 11º del presente cuerpo normativo, debiendo proceder de inmediato a  la supresión de los mismos cuando hubiere omitido dicho requerimiento y/u obtenido el consentimiento. Queda exceptuado de esta obligación en los supuestos en que conforme a la presente ley no se exige el consentimiento previo.

b)      Notificar e informar en forma escrita, inequívoca y precisa al titular de los datos y de un modo previo a la obtención,  tratamiento o cesión de los mismos acerca de:

1)      Identidad y domicilio del responsable del Registro o Banco de Datos.

2)      Finalidad de la recolección, del tratamiento o en su caso de la cesión de los datos

3)      Destinatarios o  categorías de destinatarios

4)      El carácter obligatorio o facultativo de la respuesta a las preguntas que le sean formuladas

5)      Las consecuencias que se deriven de la negativa a responder

6)      La facultad y modo de ejercer los derechos que se le confieren en esta ley para lo cual deberán transcribirse los textos pertinentes

7)      Nombre, apellido y domicilio del cesionario. 

8)      Detalles sobre los órganos de aplicación de la presente ley. 

La notificación que omitiera alguno de estos requisitos será nula.

c)       Almacenar y  tratar los datos sin propósitos o criterios discriminatorios o que fueran ilícitos.

d)      Proceder en forma inmediata a la supresión, rectificación o actualización de los datos personales cuando fueran total o parcialmente inexactos,  incompletos, o desactualizados, así como proceder a su supresión cuando se hubiesen tratado sin cumplimentar con las obligaciones descriptas en los incisos a) y b) del presente artículo.

e)      Suprimir los datos personales cuando la finalidad de su obtención y tratamiento fuera ilícita o socialmente inaceptable, cuando los datos  fueran inadecuados, impertinentes y excesivos con la finalidad notificada a su titular y cuando la finalidad de su tratamiento no fuera compatible con el propósito, destinatarios o categoría de destinatarios que hubiere notificado al titular.  

f)        Proceder en forma inmediata a la supresión de los datos personales cuando se hubiese agotado la finalidad para la cual fueron obtenidos.

g)      Notificar a su costo, por escrito y en forma inmediata a los terceros a quienes se les haya transmitido o cedido la información por cualquier medio, acerca de la supresión, rectificación o actualización de los datos que hayan tenido lugar.

h)      Garantizar la confidencialidad y seguridad de los datos personales debiendo adoptar todas las medidas técnicas y de organización necesarias y adecuadas que impidan la adulteración, pérdida, destrucción y el tratamiento o acceso no autorizado de los datos. Dichas medidas deberán garantizar un nivel de seguridad apropiado en relación con la tecnología aplicada y sus avances, con la naturaleza de los datos tratados y con los riesgos propios del tratamiento.

i)        Adoptar todas las medidas que resulten necesarias para asegurar el conocimiento por parte del titular de los datos y del público en general de la existencia, fines, usos y métodos de operación de su Registro o Banco de datos.

j)        Garantizar el pleno, inmediato y eficaz ejercicio de los derechos de acceso, de rectificación, de supresión y actualización que le competen al titular de los datos conforme lo establecido en la presente ley.

k)      Solicitar la autorización a la que se refiere la presente ley en caso de tratarse de un Registro o Banco de datos pertenecientes al sector privado.

l)        Presentar un informe escrito al Registro de Datos Personales que se crea por esta ley y, en forma previa a la obtención y tratamiento de los datos, el que deberá contener la información  descripta  en el artículo 38 de esta ley.

m)    Proceder a la publicación e inscripción del  Registro o Banco de datos y de los extremos exigidos de conformidad  con lo  preceptuado en la presente ley.

ARTICULO 17º:  Todas las personas que actúen, trabajen, o presten servicios de cualquier tipo en el ámbito físico en donde se encuentre el  Registro o Banco de Datos solo podrán acceder y tratar los datos personales, cuando así lo disponga el responsable del Registro o Banco de Datos o en virtud de un imperativo legal. Quedan sujetos, al igual que los usuarios y cesionarios, a las disposiciones estipuladas en la presente ley y en cuanto ellas resulten pertinentes.

ARTICULO 18º: El responsable del Registro o Banco de datos, su personal,  cesionarios y quienes intervienen en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional  respecto de los mismos y a guardar dicho secreto, obligaciones que subsisten una vez finalizadas las relaciones, funciones o actividades en virtud de las que  trataban  dichos datos.

ARTICULO 19º: Cuando en virtud del incumplimiento de las obligaciones que se imponen en la presente ley se causare un perjuicio material o un daño moral al titular de los datos o a terceros, el responsable del Registro o Banco de datos  o el cesionario en su caso, deberán reparar el daño causado sin perjuicio de las demás acciones y sanciones reconocidas en esta ley y en cualquier otra.

Si no se pudiese determinar al autor del perjuicio, responderán solidariamente el responsable del Registro o Banco de Datos y el cesionario.

Dicha responsabilidad es objetiva  admitiéndose como causal de eximición el caso fortuito o causa mayor extraña, culpa de la víctima o de un tercero por quien no debe responder. 

Frente al incumplimiento, el daño se presume no admitiéndose prueba en contrario.

A dicho fin son competentes los órganos de jurisdicción ordinaria y el procedimiento es el de juicio sumario. No obstante, y en caso de interponerse la acción de habeas data que por esta ley se reglamenta, el afectado podrá acumular en dicho procedimiento, su pretensión de la reparación del daño causado.

La responsabilidad que en virtud del presente se le atribuye al responsable del Registro o Banco de Datos y al cesionario, lo es sin perjuicio de las acciones de reintegro que pudieran corresponderles en caso de que el daño o perjuicio haya sido causado por la culpa o dolo de su personal o dependientes.

ARTICULO 20º:  Responderá de los daños causados aquel que en forma ilegítima logre interceptar, interferir o acceder a los datos personales que se encuentran almacenados en el  Banco o Registro y/o que circulan en la red de carácter pública o privada.

A dicho efecto resulta de aplicación lo dispuesto en el artículo 19º de la presente ley. 

ARTICULO 21º: Son nulos e inválidos los actos administrativos, judiciales, decisiones privadas y toda aquella que implique una valoración del comportamiento o de la personalidad fundada en el tratamiento de datos personales. Asiste al titular de los datos y al afectado el derecho a impugnar tales actos y decisiones sin perjuicio de las demás acciones que se le reconocen por esta ley.

 

TITULO VI

DERECHOS DEL TITULAR DE DATOS

ARTICULO 22º: Asisten al titular de los datos de carácter personal, sea éste persona física o jurídica,  los siguientes derechos:

a)      Derecho de acceso: en virtud del cual puede exigir libremente, sin restricciones ni requisitos de ningún tipo y con la sola acreditación de su identidad y de su representación legal o convencional en su caso, al Registro o Banco de Datos si consta o no información sobre su persona y en caso afirmativo exigir toda la información de sus datos personales o que obren en poder del cesionario.

Asimismo, y del mismo modo, podrá exigir la información relativa a la identificación de las personas que han solicitado datos sobre su persona, de los fines del tratamiento, los destinatarios o categorías de destinatarios, toda la información relativa al origen de los datos, el conocimiento de la lógica utilizada en los tratamientos automatizados de los datos, las medidas y técnicas utilizadas para garantizar la confidencialidad y seguridad del tratamiento.

Este derecho solo puede ser ejercitado en intervalos no inferiores a tres meses, salvo que el titular acredite un interés legítimo a dicho efecto, en cuyo caso podrá ejercerlo en cualquier momento.

La información que el Registro o Banco de Datos deba brindar, podrá consistir, a requerimiento del titular, en la visualización de los Registros o Bancos de datos o en la  expedición de un escrito inteligible, exento de codificación. Debe brindarse toda la información que se encuentre almacenada en el Registro o Banco aún cuando el requerimiento del titular solo comprenda un aspecto de sus datos personales.

Dicha información deberá ser expedida por el Registro o Banco de Datos, gratuitamente y dentro de los dos días hábiles de formulado el requerimiento verbal o escrito en tal sentido. 

b)      Derecho de supresión: el titular de los datos tendrá derecho a reclamar en forma verbal o escrita sin otro requisito que el de la acreditación de su identidad y de su representación legal o convencional en caso de corresponder, la supresión del dato cuando su obtención, conservación y tratamiento estuvieran prohibidas conforme a lo establecido en la presente ley, cuando se omitió su consentimiento o cuando el instrumento que lo contiene fuera nulo, cuando el Registro o Banco no estuviese autorizado, cuando no se cumplimentó con el informe previo al que se refiere el artículo 16 inciso l) o el mismo fuera incompleto, cuando no se cumplimentó con la  publicación  e inscripción a la que se refiere  el mismo artículo en su inciso m), o cuando la misma fuera incompleta, cuando no se respetó la finalidad del tratamiento o cesión en su caso,  cuando fuera excesiva, inadecuada o cuando se cumplimentó.

c)       Derecho de rectificación: el titular de los datos podrá peticionar la rectificación de los datos total o parcialmente inexactos o incompletos. A dicho fin  le bastará al titular con la acreditación de su identidad y representación legal o convencional en su caso, debiendo correr el  Registro o Banco, con todas las diligencias que le sean necesarias para acreditar la veracidad de la petición del titular.

d)      Derecho de actualización: cuando los datos han resultado caducos o no acordes con la realidad por haberse modificado las circunstancias o en virtud del transcurso del tiempo, podrá el titular de los datos solicitar su  supresión o actualización según corresponda. A los fines del ejercicio de este derecho, resulta de aplicación lo dispuesto en el inciso anterior así como también lo que respecta a la obligación del Registro o Banco. 

ARTICULO 23º: El responsable del Banco o Registro de datos, no podrá exigir contraprestación alguna para el ejercicio de los derechos de supresión, rectificación y actualización. Debe proceder a la supresión, rectificación o actualización de los  datos dentro del plazo de los tres días hábiles de formulado el requerimiento en tal sentido, no pudiendo exigir ningún requisito adicional al establecido en  los incisos respectivos del artículo precedente.

Asimismo  y dentro del mismo plazo, deberá proceder a notificar por escrito al cesionario de los datos, si hubiese procedido a su cesión con carácter previo a la supresión, rectificación o actualización,  debiendo el cesionario tomar cuenta de ello dentro del plazo de dos días de recibida la notificación.

ARTICULO 24º: El titular de los datos podrá ejercer los derechos que se le reconocen en esta ley por sí o a través de sus representantes legales o convencionales. Se encuentran facultados del mismo modo los sucesores de las personas físicas.

 

TITULO VII

HABEAS DATA

ARTICULO 25º: Cuando el responsable del Banco o Registro y/o el cesionario no procedieran en el plazo estipulado en la presente ley al acceso, supresión, rectificación o actualización de los datos e información en los términos requeridos por el titular o procedieran a ello pero de un modo inexacto o insuficiente, el titular deberá intimar por escrito. Si transcurridos cinco (5) días desde la recepción de la notificación no se procediera al acceso, supresión, rectificación o actualización, el titular o su sucesor podrán interponer la acción de habeas data por sí o por medio de apoderado, conforme lo preceptuado en los artículos siguientes y sin perjuicio de las  demás acciones administrativas y judiciales correspondientes.

ARTICULO 26º: La acción de habeas data deberá interponerse por escrito dentro del plazo de 90 días de transcurrido el plazo de cinco (5) días estipulado en el artículo precedente. Serán competentes los jueces ordinarios del domicilio del titular o los del domicilio del Banco de Datos o Registro de que se trate a elección del primero. El procedimiento es gratuito.

ARTICULO 27º: En la demanda deberá  individualizarse con la mayor precisión posible los datos referentes al Registro o Banco de datos de que se trate, su domicilio, titular o encargado.

El accionante deberá alegar las razones que fundamentan su derecho y acompañar la prueba documental correspondiente, o bien individualizarla, de no encontrarse en su poder, y ofrecer la restante.

El juez evaluará la razonabilidad de la petición con criterio amplio y salvo manifiesta y notoria improcedencia formal, declarará la admisibilidad de la acción al solo efecto de requerir la información al Registro o Banco de datos correspondiente, quien deberá cumplimentar dicho requerimiento dentro del plazo de tres (3) días sin excepción alguna. Asimismo, dentro del mismo plazo deberá fundamentar, acompañar la documental y  ofrecer la  restante prueba respaldatoria de la información que suministra.

La resolución judicial que declara inadmisible la acción es apelable mientras que la que intima al  requerimiento de la información al Banco de datos o Registro es inapelable.

ARTICULO 28º: Cuando se hubiese ofrecido prueba, el juez deberá fijar una audiencia debiendo ser ésta producida dentro  de los diez (10) días siguientes al vencimiento del plazo fijado en el artículo anterior.  El juez deberá dictar sentencia dentro de los tres (3) días de realizada la audiencia o de transcurrido el plazo de los tres (3) días de formulado el requerimiento al Banco de datos o Registro cuando no se hubiese ofrecido prueba o  cuando hubiese éste omitido cumplimentar el requerimiento, desestimando la acción u ordenando el acceso, rectificación, supresión, actualización según corresponda, así como la indemnización del daño causado si el afectado lo hubiese pretendido conforme lo estipulado en el artículo 19º fijando asimismo un plazo breve para su cumplimiento el que no podrá exceder de los seis (6) días.

ARTICULO 29º: Procede la ejecución forzada frente al incumplimiento de la sentencia en el plazo por ella estipulado. Sin perjuicio de ello, el juez podrá imponer la pena de multa o astreintes. Tratándose de un Registro o Banco de Datos Público la multa se aplica sobre la remuneración del responsable del organismo del cual depende el Registro o Banco de datos. 

Asimismo, podrá ordenar la clausura del Registro o Banco de datos y adoptar todas las medidas preventivas que estime pertinentes durante la tramitación del procedimiento.

ARTICULO 30º:  La sentencia definitiva será apelable con efecto devolutivo.

ARTICULO 31º: Los plazos a que se refiere la presente ley, se computan en días hábiles. Es de aplicación supletoria en el procedimiento del Habeas Data, las normas sobre acción de amparo que en lo sucesivo lo modifiquen o reemplacen y las disposiciones del Código Procesal Civil y Comercial relativas al procedimiento sumarísimo.

 

TITULO VIII

REGISTRO DE DATOS PERSONALES

ARTICULO 32º: Registro de Datos Personales: Créase en el ámbito de la Defensoría del Pueblo de la Ciudad de Buenos Aires el Registro de Datos Personales que tendrá las siguientes funciones:

a)      Autorizar y habilitar la creación, explotación y funcionamiento de los Registros  y Bancos de datos personales  privados de conformidad con lo preceptuado en la presente ley.

b)      Llevar un Registro de los  Bancos y  Registros de datos personales públicos y privados.

c)       Registrar los datos establecidos en el  artículo 16 inciso l) y aquellos otros que considere necesarios.

d)      Garantizar el acceso gratuito al público de toda la información contenida en su Registro.

e)      Velar por el cumplimiento de las disposiciones de la presente ley y por el respeto de los derechos a la privacidad, imagen, autodeterminación informativa, honor y demás derechos de que son titulares las  personas físicas y/o jurídicas.

f)        De oficio o a pedido del afectado o de terceros, podrá apercibir, multar, suspender o cancelar la autorización y habilitación del funcionamiento de los Registros o Bancos de datos personales que cometan las infracciones descriptas en el Título IX. El importe que ingrese por las multas aplicadas se destinará al ejercicio de las funciones que por esta ley se atribuyen al Registro.

g)      Recibir denuncias.

h)      Formular denuncias y reclamos judiciales por sí, cuando tuviere conocimiento de manifiestos incumplimientos de lo estipulado en la presente ley por parte de Registros o Bancos de Datos del sector público y del privado.

i)        Representar a las personas titulares de los datos, cuando éstos se lo requiriesen, a fin de hacer efectivo el derecho de acceso, rectificación, supresión y actualización, cuando correspondiere, por ante el Registro o Banco de datos.

j)        Asistir al titular de los datos, cuando éste se lo requiera, en los juicios que, en virtud de lo establecido en la presente ley, entable por ante los tribunales de la Ciudad.

ARTICULO 33º: El Defensor del Pueblo establecerá el procedimiento de habilitación e inscripción de los Registros y Bancos de Datos, el contenido de la inscripción, su modificación, cancelación, reclamaciones. Asimismo, y a los fines de garantizar el cumplimiento de lo estipulado en la presente ley, así como de sus fines y objetivos, establecerá los requisitos y procedimientos que deberán cumplimentar los Registros y Bancos de Datos relativos al proceso de recolección de datos, diseño general del sistema, incluyendo los mecanismos de seguridad y control necesarios, equipamiento técnico, mecanismos adoptados para garantizar los derechos de acceso, supresión, rectificación y actualización así como demás extremos pertinentes.

ARTICULO 34º:  Cualquier persona podrá conocer la existencia de Registros o Bancos de datos personales, su finalidad, la identidad y domicilio del responsable, destinatarios y categorías de destinatarios, condiciones de organización, funcionamiento, procedimientos aplicables, normas de seguridad, garantías para el ejercicio de los derechos del titular de los datos así como toda otra información registrada.

Esta información deberá ser suministrada por el Registro de Datos Personales que será de consulta pública pudiendo el peticionante recurrir a la acción de habeas data estipulada en la presente ley en caso de desconocimiento de dicho derecho.

 

TITULO IX

INFRACCIONES

ARTICULO 35º: Se consideran infracciones las siguientes:

a)      Realizar el tratamiento de datos desconociendo los principios establecidos en los Títulos III y IV del presente cuerpo normativo.

b)      Incumplir las obligaciones descriptas en el Título V.

c)       No proceder de oficio, o a solicitud del titular de los datos, o del Registro de Datos Personales a la supresión, rectificación y actualización de los datos personales en los supuestos, tiempo y forma establecidos en esta ley.

d)      Obstaculizar o impedir el derecho de acceso reconocido en esta ley al titular o al Registro de Datos Personales en los supuestos, tiempo y forma que la misma estipula.

e)      Efectuar la cesión de datos personales desconociendo los extremos y requisitos que se establecen en la presente.

f)        Proceder a la creación de Bancos o Registros de datos, ponerlos en funcionamiento,  iniciar el tratamiento de datos personales sin el cumplimiento de los requisitos establecidos en esta ley.

g)      No cumplimentar los demás extremos o requisitos que esta ley establece, así como aquellos que la Defensoría del Pueblo en ejercicio de su competencia establezca.

h)      Obstruir  las funciones que por esta ley se le reconocen al Registro de Datos Personales.

i)        Tratar los datos de carácter personal de un modo que lesione, violente o desconozca los derechos a la privacidad, autodeterminación informativa, imagen, identidad, honor así como cualquier otro derecho de que sea titular la persona física y/o jurídica.

A los fines de aplicar las sanciones descriptas en el artículo 32 inciso f), el Registro de Datos Personales deberá tener en cuenta la naturaleza de los derechos afectados o lesionados, los beneficios obtenidos, el grado de intencionalidad o negligencia y la reincidencia.

 

TITULO X

CREACION. MODIFICACION Y ELIMINACION DE REGISTROS Y BANCOS DE DATOS.

ARTICULO 36º: Registro y Bancos de datos del sector público: la creación, modificación y eliminación de los Registros y Bancos de datos del sector público solo podrá realizarse por la Legislatura y deberá  publicarse en el Boletín Oficial de la Ciudad de Buenos Aires e inscripto y registrado, con carácter previo a su funcionamiento, en el Registro de Datos Personales.

ARTICULO 37º: Los Registros o Bancos de Datos del sector privado que contengan datos de carácter personal quedan sometidos al régimen de la presente ley. Su creación, modificación y eliminación deberá ser publicada en el Boletín Oficial de la Ciudad de Buenos Aires e inscripto y registrado, con carácter previo a su funcionamiento, en el Registro de Datos Personales.

ARTICULO 38º: A los fines de obtener la habilitación respectiva, el Registro o Banco de datos del sector privado deberá presentar un informe escrito detallando:

a)      El nombre y la dirección del responsable del Registro o Banco de Datos.

b)      La finalidad del tratamiento.

c)       Los destinatarios o categorías de destinatarios

d)      Una descripción general que permita evaluar de modo preliminar si las medidas adoptadas resultan adecuadas para garantizar la confidencialidad y seguridad del tratamiento así como los derechos de sus titulares.

e)      Condiciones de organización, funcionamiento y procedimientos aplicables.

f)        La información objeto de tratamiento, fuente y destino.

g)      Cualquier otra información que le sea exigida por el Registro de Datos Personales en ejercicio de sus facultades.

El mismo informe deberá ser presentado ante el Registro de Datos Personales por el Registro o Banco de Datos del sector público que fuera creado por la Legislatura, y en forma previa a la recolección y tratamiento de los datos.

ARTICULO 39º: Una vez otorgada la autorización para el funcionamiento por el Registro de Datos Personales si se tratare de un Registro o Banco de Datos privado, o una vez creado por la Legislatura el Registro o Banco de Datos perteneciente al sector público, deberán publicarse como mínimo a costo del Banco o Registro respectivo, y con carácter previo al tratamiento de los datos, los siguientes extremos:

a)      Domicilio del Registro o Banco de datos.

b)      La finalidad del Registro o Banco de datos y los usos previstos para los mismos.

c)       Las personas sobre las que se pretenda obtener datos personales.

d)      La finalidad y el procedimiento del tratamiento de los datos.

e)      La descripción de los datos personales que se pretendan obtener y tratar.

f)        La estructura básica del Registro o Banco de datos.

g)      Las cesiones que, en su caso, se prevean.

h)      Nombre y apellido de los  responsables del Registro o Banco de datos.

i)        Lugar y horario en el que pueden ejercitarse los derechos de acceso, rectificación, actualización y  supresión personales.

 

TITULO XI

TRATAMIENTO INTERNACIONAL DE DATOS

ARTICULO 40º: Queda prohibida la cesión o transmisión de datos a personas físicas o jurídicas de otros estados o a organismos internacionales o supranacionales que no aseguren una protección equivalente de los datos de carácter  personal.

 

TITULO XII

DISPOSICIONES PARTICULARES.

ARTICULO 41º: Prestación de servicios sobre solvencia patrimonial y de crédito. Quienes se dediquen a la prestación de servicios de información sobre solvencia patrimonial y de crédito quedan sujetos al régimen de la presente ley y  solo podrán tratar datos personales obtenidos de fuentes accesibles al público, del propio titular o del acreedor. Deberán proceder a la supresión de los datos personales que tengan una antigüedad superior a los cinco años.

ARTICULO 42º: Registros o Bancos de datos de Seguridad: Los Registros o Bancos de datos de organismos de Seguridad e Inteligencia que almacenen datos de carácter personal, quedan sujetos al régimen de la presente ley y podrán denegar en forma fundada el derecho de acceso a la información  que contengan cuando exista un peligro real y objetivo que amenace los derechos de terceros o la eficacia de las investigaciones que se estén realizando.

Si la denegación fuese arbitraria, asiste al titular o afectado los derechos que por esta ley se le reconocen.

ARTICULO 43: De forma.

CLAUSULAS TRANSITORIAS:

PRIMERA: En un plazo de treinta (30) días a contar desde la vigencia de la presente ley, la Defensoría del Pueblo deberá proceder a la reglamentación de lo estipulado en el artículo  31º, 32º y 33º a los fines de poner en funcionamiento el Registro de Datos Personales que por esta ley se crea. 

SEGUNDA: En un plazo de sesenta (60) días a contar desde la reglamentación efectuada por la Defensoría del Pueblo conforme lo estipulado en la cláusula anterior, las personas físicas y jurídicas que realicen las actividades que por esta ley se regulan, deberán proceder a  obtener la respectiva habilitación y a su consecuente inscripción.

FUNDAMENTOS

Señor Presidente:

La Constitución de la Ciudad de Buenos Aires, siguiendo los lineamientos de la Constitución de la Nación reformada en 1994, incorporó en el Título de "Derechos y Garantías",  artículo 16º el derecho de toda persona de acceder libremente a todo registro, archivo o banco de datos que conste en organismos públicos, y en los privados destinados a proveer informes, a fin de conocer cualquier asiento sobre su persona, su fuente, origen, finalidad o uso que del mismo se haga.

Asimismo, se le reconoce el derecho a requerir la actualización, rectificación, confidencialidad o supresión, cuando dicha información lesione o restrinja algún derecho, dejándose a salvo que el ejercicio de estos derechos no afectará el secreto de la fuente de información.

El tratamiento de la información y especialmente, de los datos de carácter personal, es una actividad que ha sido realizada en todas las épocas, tanto en el ámbito privado como en el público, sin generar preocupación alguna.

No obstante, la relativamente reciente aparición y difusión de la informática en todos los aspectos de la vida social, si bien ha dado nacimiento a nuevas posibilidades, a nuevos intereses, asimismo y como contrapartida, ha generado una serie de "nuevos peligros y riesgos" hasta dicho entonces desconocidos. 

Relacionando lo expuesto, con lo que a nuestra función  compete,  debemos manifestar que la  preocupación actual que nos inquieta, consistente en regular y normatizar en forma urgente la gestión de los bancos y registros de datos personales, resulta ser entonces contemporánea con el avance de la tecnología informática que ha hecho posible compilar información de datos personales en cantidad antes no imaginable, procesarla en forma mucho más completa y sistemática y difundirla en contados segundos a un ámbito infinito.

En efecto, la realidad tecnológica que hoy nos toca ha generado un peligro potencial de daño antes desconocido derivado de la eventualidad de obtener información confidencial así como de difundir a terceros datos personales inexactos, incompletos, desactualizados y de un modo que ni siquiera nuestra lógica es capaz de comprender a veces.

Hasta el presente las fronteras de la privacidad estaban defendidas y protegidas por el tiempo y el espacio, pero resulta que uno y otro, en tanto límites, han desaparecido, puesto que las modernas técnicas de comunicación han permitido salvar sin dificultades el espacio, así como almacenar todos lo datos que se obtienen a través de dichas comunicaciones y acceder a ellos en apenas segundos por distante que fuera el lugar donde transcurrieron los hechos o por más remotos que éstos fueran. 

La grave consecuencia de todo lo expuesto puede apreciarse en el  hecho de que los más diversos datos son factibles de ser compilados permitiendo a quien los dispusiera acceder a un conocimiento cabal de actitudes, hechos, o pautas de comportamientos que, sin duda pertenecen a la vida privada de las personas. Pero resulta que no constituye ella la única grave consecuencia, puesto que  el conocimiento ordenado de estos datos puede dibujar un perfil de la persona o configurar una determinada reputación posteriormente valorada en forma favorable o desfavorable para las más diversas actividades.

Por todo lo recientemente expuesto es que nos resulta imperioso no solo reglamentar la acción del habeas data reconocida en la Constitución de la Ciudad de Buenos Aires, sino que, y no bastando con ello, entendemos que resulta imprescindible regular y delimitar el tratamiento de datos de carácter personal estableciendo las obligaciones y responsabilidades de los Registros y Bancos de datos  a la vez que otorgando garantías y derechos a los afectados frente a las eventuales violaciones  o desconocimiento de su  privacidad. 

A dicho fin hemos consultado la "Directiva sobre Protección de Datos Personales de la Comunidad Europea  (95/46/EC)" de octubre de 1995, el "Convenio para la Protección de las Personas con respecto al Tratamiento automatizado de Datos de Carácter Personal" firmado el 28 de enero de 1981 en Estrasburgo por el Consejo de Europa, su Memoria explicativa, la Resolución 73 adoptada por el Comité de Ministros el 26 de septiembre de 1973 durante la 224º reunión de los Delegados de los Ministros del Consejo de Europa y la resolución  74 adoptada  el 20 de septiembre de 1974 durante la 236º reunión, la Propuesta modificada de la Directiva 92/C 211/04 del Consejo de Europa relativa a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la libre circulación de esos datos, la ley Francesa 78-17 del 6 de enero de 1978 relativa a la Informática, ficheros y libertades y su decreto reglamentario 78-774, la ley Orgánica 5/1992 de España de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD), la ley 26.301 referida a la aplicación de la Acción Constitucional de Habeas Data de Perú, la ley  de Protección de datos de 1.987 de Gran Bretaña, la ley de Protección de Datos alemana de 1991, la ley Argentina Nacional sobre habeas data y protección de Datos personales 24.745 vetada por el Poder Ejecutivo Nacional así como  la ley 4360 sobre Habeas Data del Chaco, Argentina.

Asimismo, se han considerado las exposiciones efectuadas en el VI Congreso Iberoamericano de Derecho e Informática celebrado en Uruguay (1998) por el Dr. Gonzalo Secco de Uruguay titulada "Bases de Datos y Protección a la Privacidad", por el Dr. español Juan José Iturmendi titulada "Tratamiento informático de los datos de carácter personal. Automatización y Seguridad. Personas físicas y jurídicas. Intimidad versus libertad de información", por los Dres Humberto F. Ruani, Paulina G. Albrecht, Luis M. Gaibrois de Argentina "Los Piratas del soft en las sentencias argentinas", por el Dr. venezolano Héctor Ramón Peñaranda Quintero "Regulación Jurídica del Bien Informacional" y la exposición del Dr. Pablo Andrés Palazzi de Argentina titulado "Limitación Temporal al almacenamiento de información personal de bancos de Datos".

Por último hemos contemplado también la opinión doctrinaria predominante en la Argentina a cuyo fin se han leído los artículos escritos por Bazan, Víctor "El Habeas Data después de la reforma Constitucional" ED T-163-824, Bazan Lazcano, Marcelo "Las dos especies del amparo y el habeas data" ED T167-923, Bianchi, Alberto "Habeas Data y derecho a la privacidad" ED T-161-866, Ekmekdjian, Miguel Angel "El Habeas Data en la reforma constitucional" LL 1995-E-946, Puccinelli, Oscar R. "Habeas Data: aportes para una eventual reglamentación" ED T 161-913, Vanossi, Jorge R "El Habeas Data, no puede ni debe contraponerse a la libertad de los medios de prensa" ED T 159-949, Cifuentes, Santos " Derecho Personalísimo a los datos personales" LL t-1997-E-1323. También se ha utilizado como fuente de este proyecto el volumen 6 de  "Informática y Derecho, Aportes de Doctrina Internacional",  titulado "Régimen Jurídico de los Bancos de Datos" por Daniel R. Altmark y Eduardo Molina Quiroga, Ediciones De Palma, Bs. As 1998.                

En nuestra tarea de regulación el primer escollo que hemos debido soslayar en el proyecto de ley que proponemos, ha sido decidir sobre las jerarquías de los derechos que entendemos se encuentran en este ámbito enfrentados. A saber, se opone a la tan mentada "libertad informática" que pregonan los operadores de los Bancos y Registros de datos, un derecho a la autodeterminación informativa que tiene como objeto garantizar la facultad de la persona para conocer y acceder a las informaciones que le conciernen y que se encuentran archivadas en dichos bancos o registros de datos, controlar su calidad, lo cual implica la posibilidad de corregir o cancelar los datos inexactos o indebidamente procesados, así como disponer sobre su transmisión.

Este conflicto de derechos, los problemas y dificultades que el mismo ha acarreado, ha sido resuelto en nuestro proyecto reconociendo la preeminencia del derecho a la privacidad y sus conexos por sobre el del registrador. En efecto, constituyendo los primeros derechos personalísimos, no podía resultar de otro modo. No obstante, en la regulación normativa que proponemos se ha cuidado muy especialmente que el ejercicio del derecho a la privacidad no neutralice el derecho del registrador, salvo cuando éste sea ejercido ilegítimamente.

Adentrándonos ahora en el análisis del contenido de nuestra propuesta normativa, debemos aclarar en primer término que hemos entendido imprescindible  reconocer y por ende regular una tutela preventiva de los derechos personalísimos  reconociendo consecuentemente una serie de derechos al titular de los datos, a los fines de que su efectividad constituya una verdadera valla al manejo indiscriminado de información personal.

En virtud de ello, es que hemos regulado los derechos de acceso, rectificación, supresión y actualización así como regulado asimismo el mecanismo y procedimiento para su ejercicio. Ello complementado con un derecho de información por ante el Registro de Datos Personales, consistente en acceder al conocimiento sobre el número y titularidad del total de los Registros y Bancos de datos existentes en la Ciudad, derecho éste que tiene la virtualidad a su vez de garantizar y hacer factible el ejercicio de los mencionados en primer término.

Hemos decidido otorgarle un tratamiento especial a los denominados "Datos Sensibles", denominación ésta atribuida por la legislación comparada y doctrina mayoritaria a ciertos datos personales. En efecto, y siguiendo muy especialmente el convenio sancionado por el Consejo de Europa en 1981, hemos enunciado cuales son aquellos datos que por su importancia y relevancia en el desarrollo de una persona se acuerdan en llamar "sensibles" y cuyo manipuleo o manejo es susceptible de ocasionar la "muerte civil de la persona", "de su prestigio". Por lo expuesto, es que respecto de ellos hemos entendido absolutamente necesario establecer como principio general la prohibición de su recolección y tratamiento, admitiéndose  solo excepcionalmente siempre y cuando no sea factible en su virtud la individualización de su titular.

Asimismo, y a los fines de reforzar y constituir una efectiva garantía de pleno respeto a los derechos personalísimos del titular de los datos, hemos entendido  indispensable consagrar legalmente los principios rectores de la disciplina de la protección y tratamiento de datos, principios que han sido extraídos del estudio de la legislación comparada vigente así como de las Directivas sobre protección de Datos Personales de la Comunidad Europea incorporadas por la normativa de los países que la conforman.

Dentro del marco de referencia de los principios a que hemos aludido precedentemente, es que hemos estipulado y descripto asimismo las obligaciones a las que entendemos debe sujetarse el responsable del Banco o Registro así como el usuario y cesionario de los datos personales.  Reiteramos,   a los fines de garantizar los derechos personalísimos de todo ser humano, resulta indispensable regular y delimitar la gestión del tratamiento de datos para lo cual resulta imprescindible establecer cuales serán las obligaciones del titular del Banco o Registro, del usuario y del cesionario y cuales sus respectivas  responsabilidades. 

Por lo expuesto, es que hemos decidido regular un sistema de responsabilidades civiles  para el registrador o usuario de datos personales. La necesidad de legislar sobre el régimen de responsabilidades deviene del hecho de que la acción de habeas data reconocida en nuestra Constitución, no debe ser confundida con las demás herramientas que las distintas ramas del derecho ha regulado con fines ciertamente análogos o conexos. O dicho de otro modo, el instituto del habeas data no garantiza ni implica, la responsabilidad penal que pueda esgrimirse frente a los delitos que puedan cometer las autoridades o particulares con el manejo de la información, como así tampoco la responsabilidad civil derivada del daño cometido. La acción penal tiende a aplicar una sanción penal, la acción civil a  reparar el daño causado.  Respecto de la primera, ninguna regulación hemos establecido dado la falta de competencia de esta Legislatura para legislar sobre dicho aspecto. 

Por lo que, y sin perjuicio de dejar sentada nuestra posición en cuanto a que entendemos que urge al Congreso Nacional la sanción de una ley de responsabilidad penal, hemos  establecido sanciones civiles para aquellos que violen los preceptos establecidos en la normativa.

Al respecto, hemos propuesto, en concordancia con la doctrina predominante, que el accionante no se encuentre forzado a demostrar el daño causado como resultado del accionar ilegítimo del sujeto pasivo, puesto que en materia de derecho a la privacidad la capacidad dañosa de la intrusión se presume juris et de jure. Solo será necesario probar el quantum.

Asimismo, y compartiendo el criterio de la doctrina predominante, así como el de los sistemas jurídicos contemporáneos (a modo de ejemplo: el artículo 29 de la Ley Francesa sobre Informática y Libertades, el Artículo 9º de la LORTAD)  proponemos una responsabilidad objetiva, residiendo su fundamento en la circunstancia de considerar a la actividad destinada al tratamiento de datos como una actividad  peligrosa en sí misma por el riesgo que crea, consistente en el potencial uso indiscriminado de la información personal registrada en el Banco o Registro de datos. La responsabilidad existe tanto cuando el daño tiene origen en el hecho propio del responsable como en el de sus dependientes o personal. 

Reiteramos, el volumen de información que contienen los Bancos y Registros de datos, la velocidad con que pueden ser examinados los convierten en un peligro para la privacidad. Por ello es que, insistimos, debemos establecer un régimen de responsabilidad objetivo como el que hemos propuesto en nuestro proyecto.

Sin perjuicio de las responsabilidades civil  que  proponemos, para una adecuada estructuración del régimen regulatorio que pretendemos imponer,  entendemos que resulta necesario establecer una serie de sanciones del tipo administrativas las que recaerán sobre  el responsable del Banco o Registro de datos cuando viole los principios rectores de la protección de los derechos humanos y a los que hemos hecho referencia más arriba.  Se intenta de este modo imponer un régimen de sanciones administrativas, de modo que puedan aplicarse aún de oficio por la autoridad de control que proponemos y a la que aludiremos en los párrafos siguientes, sin necesidad de acudir a la vía judicial, y aún en aquellos supuestos en los que no se configura un supuesto de responsabilidad penal o civil. O dicho de otro modo, se intenta establecer un régimen regulatorio que impida dejar impune la mínima  acción que desconozca los derechos del ser humano.

En lo que hace a los sujetos pasivos de los derechos que proponemos garantizar mediante este proyecto de ley, hemos entendido, conforme surge del texto constitucional, que en la expresión "Registros o Bancos públicos" quedan incluidos todos los existentes en los organismos del estado, cualquiera fuese su naturaleza puesto que la Constitución no establece excepción alguna.

Asimismo y en lo que respecta a las entidades privadas, pensamos que se encuentran también incluidas en el concepto "sujeto pasivo", las entidades que posean Bancos o Registros de datos  aunque no estén destinados a suministrar informes a terceros. Puesto que si bien la Carta Magna se refiere al requisito de "proveer informes", lo cierto es que no pudo haber estado en su espíritu desconocer los derechos personalísimos  cuando el que  requiera su ejercicio acredite tener un interés legítimo para hacerlo.  La Constitución no pudo haber desconocido estos derechos naturales.

Cabe hacer una breve alusión a los Bancos o Registros que quedan excluidos, a nuestro entender, del ámbito de aplicación de nuestro proyecto, y ellos son los que están destinados al uso exclusivo del registrador.

La razón de la excepción antedicha radica en el hecho de que un Registro  o Banco de datos utilizable o utilizado solo por un individuo, atañe a su privacidad, siempre y cuando, obviamente, se trate de una acción privada en sentido estricto, es decir, sobre la cual nadie puede interferir, puesto que ese derecho se relaciona con la intimidad de cada registrador y está captado por el concepto de" papeles privados".

En lo que respecta a los Bancos o Registros del estado relacionados con la seguridad,  hemos entendido que no se puede imaginar un estado que no sea capaz de guardar y proteger ciertos datos secretos. No obstante, no dejamos de desconocer que cuanto más amplia es la zona de secreto, tanto más reducida es la zona de transparencia ligada a la construcción de la democracia de la sociedad.

En razón de lo expuesto es que hemos decidido acotar el  secreto de estado admitiendo el derecho de acceso y sus conexos también sobre los Bancos o Registros de Seguridad e Inteligencia. Y a su vez, si bien hemos establecido una causal de excepción al ejercicio de dichos derechos,  hemos exigido razonabilidad en la denegación del Registro o Banco otorgando por ende, y en cuanto fuera ésta infundada o arbitraria, un derecho del ciudadano  de acudir por ante el juez  competente para que decida al respecto.

Dependerá por ende de la valoración que haga la autoridad jurisdiccional, de acuerdo a las circunstancias del caso y del momento histórico, para brindar un mayor o menor radio de acción a la garantía de acceso. Por ello, si bien no dejamos al estado sin una herramienta decisiva, tampoco permitimos que el ciudadano quede indefenso frente a los secretos del estado.

Por último, y concluyendo con la categoría de sujetos pasivos, en lo que hace a  los Registros o Bases de datos periodísticos hemos entendido que nuestra Constitución no inhibe el ejercicio de los derechos de acceso y conexos con relación a la información de carácter personal contenido en dichos registros,  puesto que lo que se protege es la fuente, es decir, el origen o el proveedor de la información pero no se veda el derecho de la persona a acceder a sus datos así como de ejercer el resto de los derechos conexos.

Los problemas nuevos requieren soluciones nuevas. Por ello, es que nuestra Constitución haciéndose eco de los problemas creados por el avance informático, ha contemplado el instituto del habeas data.

En nuestro proyecto hemos decidido reglamentar el ejercicio de esta acción. Para ello, hemos tenido presente que este  instituto es relativamente novedoso, está  moldeándose. Lo cual permite, conformarlo a la medida de las necesidades y darle realmente el contorno que resulte más apropiado para satisfacer las necesidades que el tiempo exige.

En virtud de lo expuesto es que hemos advertido que   la regulación del habeas data debe ser genérica no excesivamente detallada, puesto que en caso  contrario correríamos el riesgo de encorsetar el instituto que tiene que desenvolverse y adquirir su fisonomía a tenor de las necesidades.

Esgrimidos los antedichos fundamentos, hemos decidido que la acción de habeas data se desarrolle en dos etapas: una prejudicial, en donde la persona debe notificar en forma fehaciente su pretensión al registrador, y otra judicial que tendría virtualidad  frente al desconocimiento del derecho del titular por parte del Banco o Registro de datos. La razón de lo expuesto está dada en que resulta imprescindible que para que la vía judicial sea procedente,  haya ocurrido una intimación fehaciente al incumplidor. Puesto que solo de este modo se lo constituye en mora al  registrador.

Creemos que, hasta tanto se sancione la ley sobre amparo, el procedimiento para hacer lugar a la acción de habeas data tiene que ser algo sencillo, muy simple e informal para que cualquiera que se sienta afectado, pueda remover ese obstáculo tendiendo fundamentalmente a dos cosas, al derecho al acceso  y el derecho a la rectificación, actualización  o supresión de aquellos asientos que resulten lesivos.

En virtud de las razones expuestas precedentemente es que hemos regulado un procedimiento escueto y sumario. Escueto en el sentido de que se encuentra ausente de intrincados trámites y sumario en cuanto a la celeridad y a la rapidez con que el remedio debe surtir efectos antes de que el daño pueda ser irreparable. Por ello hemos elegido plazos cortos aplicándose supletoriamente las normas del procedimiento sumarísimo del Código Procesal Civil y Comercial puesto que es el de más fácil sustanciación y el de más inmediata respuesta por parte de la instancia jurisdiccional.

El objetivo primordial del procedimiento del habeas data es que el titular  tenga siempre garantizado el derecho de acceso a la información para poder verificarla, puesto que es en su virtud que entendemos podrá el juez apreciar si  corresponde otorgar los derechos a la rectificación, actualización o supresión peticionadas por el ciudadano. Por lo expuesto es que, salvo defecto formal notorio, el juez debe admitir siempre la petición de acceso a los fines de tomar conocimiento de los datos a ella referidos y de su finalidad. Solo de este modo podrá acreditarse si corresponde hacer lugar a los derechos de rectificación, supresión o actualización.

De este modo entendemos reafirmar los lineamientos de las conclusiones de la Comisión II arribada en el IV Congreso Internacional de Daños, Asociación de Abogados de Buenos Aires, Facultad de Derecho UBA, abril de 1995 en virtud de las que se sostuvo que el derecho de acceso se constituye en un derecho autónomo que puede ser ejercido con independencia de eventuales ataques a otros derechos de la personalidad.  El derecho de acceso es un derecho autónomo que debemos garantizar en forma incondicional en virtud del habeas data.  Distinta suerte corren los derechos conexos puesto que una vez otorgado el acceso, a posteriori, el juez apreciará en virtud de la prueba aportada, si corresponde su procedencia.

A los fines de contar con un instrumento más para  garantizar la tutela de los derechos de la personalidad, hemos previsto sanciones pecuniarias a que se hará pasible la persona reticente a obedecer la orden judicial emanada como corolario de la procedencia del habeas data, dejando a salvo la vigencia coetánea de otras sanciones como las que hemos aludido.

Por último, siguiendo asimismo los lineamientos de la legislación comparada quien ha decidido crear un organismo de contralor y protección de los datos personales, hemos sostenido también que a los fines de garantizar y fortalecer los derechos que en esta ley se protegen, resulta necesario crear un organismo que funcione como la autoridad de control atribuyéndole legitimación procesal.

A dicho fin hemos creado el Registro de Datos Personales que actuará bajo amparo de las facultades que le hemos atribuido a los fines de garantizar, mediante su accionar, una adecuada garantía de plena vigencia del derecho a  la autodeterminación informativa y a la privacidad.

A los fines de evitar la superpoblación de organismos, hemos creído conveniente ampliar, en virtud de este proyecto de ley, las facultades ya otorgadas al Defensor del Pueblo  y otorgar consecuentemente las funciones  así como el manejo del Registro de Datos Personales  a la Defensoría del Pueblo de la Ciudad de Buenos Aires.

Asimismo para afinar el funcionamiento de la institución hemos creído necesario establecer una regulación expresa que fije claramente las preceptivas para la creación de los Registros o Bancos de datos, supervisándose asimismo, por parte del Registro de Datos Personales, su funcionamiento y cumplimiento de la ley, ello a su vez en procura de sistematizar un control estadístico de los mismos y un efectivo esquema institucional y organizativo a su respecto.  De ahí que le hemos asimismo impuesto al Registro mencionado la función de registrar los Bancos y Registros que se creen.

Por último también le hemos  atribuido asimismo al Registro facultad sancionatoria y legitimación procesal para iniciar por sí los reclamos judiciales pertinentes cuando se estima que los bancos no cumplen con la reglamentación de la ley reconociendo de este modo una tutela a los intereses difusos o simples.

Roque Bellomo. Diputado.