Tapa .:

Editorial .:

Entrevista .:

Empresas .:

Opinión .:

Dossier .:

Investigación .:

Actualidad .:

Jurisprudencia .:

Internacional .:

María Fernanda Castellano Terz
Profesora de Derecho de las Comunicaciones
en las Universidades de San Andrés y Católica Argentina

Introducción

Hace poco tiempo la Dirección Nacional de Protección de Datos Personales del Ministerio de Justicia envió una serie de notas a empresas y entidades del sector haciendo saber de la implementación del Primer Censo para Archivos, Registros, Bases o Bancos de Datos Privados (Disposición DNPDP Nº 1/04, B.O. 26-12-04).

Escritas con una encomiable sutileza, esas cartas no manifiestan concretamente que ni las entidades de tercer nivel ni sus miembros –es decir, las empresas prestadoras– tengan la obligación de inscribirse, imitándose a señalar que ésta rige a partir del 1º de marzo y hasta el 30 de abril y dónde debía realizarse la inscripción.[1]

La ley 25.326 y la obligació de inscripción

De acuerdo al art. 1 de la Ley 25.326 llamada “Ley de Protección de los datos Personales” (en adelante, LPDP), ella tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional.[2]

Más allá de otros aspectos que conviene tener en cuenta y a los que luego nos referiremos, creemos que no resulta aplicable a las compañías prestadoras de servicios de telecomunicaciones, porque los datos que éstas poseen de sus clientes, registrados en sus archivos o banco de datos, se encuentran en un registro de carácter privado no destinado a dar informes.

Si se lee detenidamente el art. 1 citado, se verá que el casus de “archivos privados” no implica sin más el sometimiento a la ley, sino que además debe tratarse de un archivo, registro o banco de datos privado “destinado a dar informes”: Las comas que dan marco al caso están antes de “o privados” y después de “dar informes”, con lo cual el requisito de configuración del tipo es que (a) sea un registro privado y (b) que esté destinado a dar informes.

Faltando alguno de ambos caracteres, no procede la aplicación de la ley, lo cual está ratificado por su art. 24, que al disponer que los particulares que formen archivos, registros o bancos de datos que no sean para un uso exclusivamente personal deberán registrarse conforme lo previsto en el artículo 21, a contrario sensu admite que los registros de las prestadoras de servicios públicos, que estas utilizan para sus fines personales de relación con sus clientes, no deben considerarse pasibles de la obligación de inscripción.

Sin perjuicio de ello y siendo las empresas de telecomunicaciones calificables aunque más no fuere por analogía [3] como “responsables” en los términos del art. 2 LPDP [4] y los clientes, como “titulares de los datos” [5] creemos conveniente que para un más acabado cumplimiento de los arts. 19 a 22 de la ley 19.798 [6], las empresas no se inscriban en el registro creado por la LPDP [7] para no sentar el precedente de su sometimiento al régimen específico que no debiera serle aplicable.

El resguardo de los datos

Aunque afirmamos que las prestadoras de servicios de telecomunicaciones no deben inscribirse en el registro recién creado, también creemos que sí conviene que cumplan con la substancia de lo normado en esa ley.

Por un lado, muchas de las normas de la LPDP son sumamente atinadas y al integrar el marco jurídico argentino, los prestadores de servicios de telecomunicaciones pueden y hasta debieran aplicar sus disposiciones por analogía y con rango de normas internas, cuando deciden las prácticas a aplicar para el tratamiento de los datos.

Al proceder de esa forma, se daría, en los hechos, el más completo cumplimiento posible a las normas de la LPDP, pero sin que ello derivase de considerar que las prestadoras están obligadas, sino por pura previsión empresaria: al cumplir la sustancia de la ley, cualquier eventual decisión judicial que considerase obligatoria aquella inscripción solo podría calificar la omisión como un incumplimiento formal pero no sustancial. Y fundamentalmente, quedaría demostrada la seriedad de las empresas de telecomunicaciones en el tratamiento de los datos de su clientela.

Como dijimos, además de esa seriedad espontánea y derivada de los deberes de diligencia y lealtad, vale acotar que ante la ausencia de normas específicas, la guarda de los datos de la clientela de telecomunicaciones puede considerarse regida por analogía por la LPDP y de allí la conveniencia de cumplirla.

Por ello creemos que deben tomarse las medidas razonablemente suficientes para que:

1. Los datos personales recolectados sean, en lo que competa al prestador, ciertos, adecuados, pertinentes y no excesivos con relación al ámbito y finalidad para los que se hubieren obtenido. (art. 4.1, LPDP). Además, deben actualizarse en el caso de que ello fuere necesario (art. 4.4, LPDP). Por ende, conviene requerir a cada cliente que declare esa veracidad, agregando una cláusula al contrato o solicitud de servicio, si no la tuviere.

1.1. Vale aclarar que los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y sustituidos, o en su caso completados, cuando se tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate, sin perjuicio de los derechos del titular establecidos en el artículo 16 de la LPDP. (art. 4.5, LPDP)

2. La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la LPDP. (art. 4.2, LPDP) [8] ni puede versar (como para las telecomunicaciones es redundante señalar) sobre los denominados “datos sensibles”[9].

3. Los datos deben utilizarse para finalidades distintas o incompatibles con las que motivaron su obtención. (art. 4.3, LPDP)

4. Naturalmente, los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular (art. 4.6, LPDP) y deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados y haya pasado el plazo previsto por la reglamentación [10]. (art. 4.7, LPDP)

5. Aunque por el art. 5.2.c) y d)[11] de la LPDP no creemos que sea necesaria la conformidad del cliente a la que se refiere el art. 5.1.[12], convendría –para evitar potenciales discusiones– agregar a los nuevos contratos o solicitudes de servicio una autorización en tal sentido, con los recaudos del art. 6 LPDP [13].

6. Deben adoptarse las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado [14].

7. Debe mantenerse secreto sobre los datos archivados, tanto por lo dispuesto en los arts. 19 a 21 de la Ley de telecomunicaciones, como porque así se cumplirá de hecho con lo ordenado por el art. 10 LPDP, según el cual (1) el responsable y las personas que intervengan en cualquier fase del tratamiento de datos personales están obligados al secreto profesional respecto de los mismos. Tal obligación subsistirá aun después de finalizada su relación con el titular del archivo de datos y (2) el obligado podrá ser relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública.

La cuestión de las cesiones

La comercialización de los datos de la clientela, vía su cesión total o parcial, por ejemplo a empresas de marketing directo, puede ser considerada como violatoria del deber de confidencialidad previsto en los arts. 19 a 21 de la Ley de Telecomunicaciones y también el art. 11 LPDP aplicable por analogía.

Según esa norma, los datos personales objeto de tratamiento por cada empresa sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del ceden te y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.

Ese consentimiento –revocable por antonomasia– no es exigido por la ley cuando así lo disponga alguna norma legal y en los supuestos previstos en el artículo 5 inciso 2 de la LPDP [15].

Tampoco es necesario el consentimiento cuando el uso de la información se concrete entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias.

De igual forma, están exentos del requisito del consentimiento los datos personales relativos a la salud, cuando por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, es necesario hacer uso de ellos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados.

Y en general, no se requiere consentimiento del titular cuando se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables.

Vale acotar que el cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate.

Cabe añadir que según el art. 12 LPDP está prohibida la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados.

Esa prohibición anterior no rige en caso de colaboración judicial internacional, o para el intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica, en tanto se realice en los términos del inciso e) del artículo 11 LPDP [16] o en las transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable, ni cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte o cuando esa transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.

El acceso del interesado a sus propios datos

Otra de las obligaciones que debe toda empresa de telecomunicaciones, aunque no se considere obligada a la registración de la LPDP, es dar al titular [17] información de sus respectivos datos personales [18]. La información debe dársele dentro de los 10 días [19] y puede ser un servicio oneroso, salvo que el cliente lo ejerza sólamente una vez cada 6 meses [20].

Como es obvio, la información debe ser suministrada en forma clara, exenta de codificaciones y en su caso acompañada de una explicación de los términos que se utilicen en lenguaje accesible al conocimiento medio de la población (art. 15.1 LPDP).

También debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso el informe puede revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado [21]. Es importante –por motivos prácticos– remarcar que la información, a opción del titular, puede suministrarse por escrito, por medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin [22].

Acotamos que deben rectificarse o actualizarse [23] gratuitamente [24] los datos personales del afectado en el plazo máximo de 5 días hábiles de recibido el reclamo del titular de los datos o advertido el error o falsedad [25] y en caso de cesión de datos, debe notificarse la rectificación o supresión al cesionario dentro del quinto día hábil de efectuado el tratamiento del dato [26].

La solicitud de información hecha por el cliente no requiere de formalidades específicas, siempre que garantice la identificación del titular: se puede efectuar de manera directa, por presentación personal del interesado ante el responsable o usuario del archivo, registro, base o banco de datos, o de manera indirecta, a través de la intimación fehaciente por medio escrito que deje constancia de recepción. También pueden ser utilizados otros servicios de acceso directo o semidirecto como los medios electrónicos, las líneas telefónicas, la recepción del reclamo en pantalla u otro medio idóneo a tal fin. En cada supuesto, se pueden ofrecer preferencias de medios para conocer la respuesta requerida [27].

El derecho de acceso debe permitir: a) conocer si el titular de los datos se encuentra o no en el archivo, registro, base o banco de datos; b) conocer todos los datos relativos a su persona que constan en el archivo; c) solicitar información sobre las fuentes y los medios a través de los cuales se obtuvieron sus datos; d) solicitar las finalidades para las que se recabaron; e) conocer el destino previsto para los datos personales; f) saber si el archivo está registrado conforme a LPDP.

La reglamentación establece que el responsable del archivo, registro, base o banco de datos debe contestar la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado, debiendo para ello valerse de cualquiera de los medios autorizados por el citado art. 15.3 LPDP, a opción del titular de los datos, o las preferencias que el interesado hubiere expresamente manifestado al interponer el derecho de acceso.

Agrega que la Dirección Nacional de Protección de Datos Personales debe elaborar un formulario modelo que facilite el derecho de acceso de los interesados, pudiendo ofrecerse como medios alternativos para responder el requerimiento, los siguientes: a) visualización en pantalla; b) informe escrito entregado en el domicilio del requerido; c) informe escrito remitido al domicilio denunciado por el requirente; d) transmisión electrónica de la respuesta, siempre que esté garantizada la identidad del interesado y la confidencialidad, integridad y recepción de la información; e) cualquier otro procedimiento que sea adecuado a la configuración e implantación material del archivo, registro, base o banco de datos, ofrecido por el responsable o usuario del mismo (Dec. 1558/01).

Negativa al acceso del titular

En ciertos casos, la prestadora puede negarse al acceso requerido por el titular de los datos: para que esta negativa no sea cuestionable ni causal de sanción, debe adoptarse una decisión fundada por la que se deniegue el acceso, rectificación o la supresión. Ese fundamento solo puede consistir en la protección de la defensa de la Nación, del orden y la seguridad públicos, o de la protección de los derechos e intereses de terceros [28].

La ley prevé, como posibilidad para los responsables de bancos de datos públicos, denegar el acceso cuando con él se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas, siempre previa resolución fundada y notificada al afectado (art. 17.2, LPDP). Creemos que por analogía, las prestadoras privadas también pueden ampararse en estas causales para denegar tal acceso, aunque claro está, estos casos deben juzgarse con criterio restrictivo [29].

Resta agregar que puede generar conflictos lo previsto por el art. 71.3, LPDP, según el cual “Sin perjuicio de lo establecido en los incisos anteriores, se deberá brindar acceso a los registros en cuestión en la oportunidad en que el afectado tenga que ejercer su derecho de defensa” porque será sumamente difícil saber en qué casos esto es efectivamente así, debiendo analizarse la situación en cada oportunidad.

La tercerización de la administración de datos

Si se terceriza la administración de los datos de la clientela, conviene tener en cuenta que por el art. 25 LPDP, esas compañías que prestan servicios de tratamiento de datos personales, no pueden utilizarlos con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación, todo lo cual conviene que sea consignado en el respectivo contrato [30].

Incluso conviene establecer –de consuno con el inc. 2 de ese art. 25 LPDP- que una vez cumplida la prestación contractual los datos personales tratados deben ser devueltos a la empresa contratante y cualquier copia, destruida, salvo que medie vuestra autorización expresa cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años.

El suministro de datos a empresas de información crediticia

Por el art. 26 LPDP, estas compañías de información crediticia tienen una serie de restricciones que, indirectamente, pesan también sobre las empresas que les suministren datos.

Dice esa norma que en la prestación de servicios de información crediticia sólo pueden tratarse datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por el interesado o con su consentimiento (inc. 1) agregan-do que pueden tratarse igualmente datos personales relativos al cumplimiento o incumplimiento de obligaciones de contenido patrimonial, facilitados por el acreedor o por quien actúe por su cuenta o interés [31].

A solicitud del titular de los datos, el responsable o usuario del banco de datos, le debe informar las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y domicilio del cesionario en el supuesto de tratarse de datos obtenidos por cesión [32].

Como es sabido, sólo se pueden archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económicofinanciera de los afectados durante los últimos cinco años, plazo que se reduce a dos años cuando el deudor cancela o extingue la obligación, debiéndose hace constar dicho hecho [33].

Cabe aclarar que la prestación de servicios de información crediticia no requiere el previo consentimiento del titular de los datos a los efectos de su cesión, ni la ulterior comunicación de ésta, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios [34].

Por todo ello y dado el carácter confidencial de los datos de la clientela de los prestadores de servicios de telecomunicaciones, solo pueden darse datos a estas empresas mediando consentimiento expreso del cliente. Decimos esto porque muy probablemente las prestadoras de servicios de telecomunicaciones reciban pedidos de información sobre los niveles de cumplimiento de algunos clientes [35].

Párrafo aparte merece el art. 27 de la ley, según el cual en la recopilación de domicilios, reparto de documentos, publicidad o venta directa y otras actividades similares, se pueden tratar datos que sean aptos para establecer perfiles determinados con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo, pero solo cuando éstos figuren en documentos accesibles al público o hayan sido facilitados por los propios titulares u obtenidos con su consentimiento.

En esos casos, el titular de los datos podrá ejercer el derecho de acceso sin cargo alguno y además, siempre y en cualquier momento podrá solicitar el retiro o bloqueo de su nombre de los bancos de datos a los que se refiere la norma comentada.

Pese a estas disposiciones, creemos que los consumos y demás datos de cada cliente de servicios de telecomunicaciones son confidenciales por imperio de la Ley 19.798, y no pueden ser cedidos de ninguna forma, en ningún caso, salvo autorización del titular.

El art. 19 de la LT dispone, con un rigor indiscutible, que la inviolabilidad de la correspondencia de telecomunicaciones importa la prohibición de abrir, sustraer, interceptar, interferir, cambiar su texto, desviar su curso, publicar, usar, tratar de conocer o facilitar que otra persona que no sea su destinatario conozca la existencia o el contenido de cualquier comunicación confiada a los prestadores del servicio y la de dar ocasión de cometer tales actos, agregando el art. 20 que las personas afectadas a los servicios de telecomunicaciones están obligadas a guardar secreto respecto de la existencia y contenido de la correspondencia de que tengan conocimiento en razón de su cargo y el 21 que quienes de cualquier manera tengan conocimiento de la existencia o contenido de la correspondencia de telecomunicaciones, está obligados a guardar secreto sobre la misma con las excepciones que esa ley.

De tal forma no parece posible admitir el suministro de datos a terceros, en la medida en que esos datos de consumo y de pagos implica “... usar... (y) ... facilitar que otra persona que no sea su destinatario conozca la existencia ... de cualquier comunicación confiada a los prestadores del servicio y la de dar ocasión de cometer tales actos.” Lo cual está vedado a las empresas prestadoras por los mencionados arts. 20 y 21 de la ley de telecomunicaciones. ©

[1] Cabe acotar que según la Disposición Nº 1/2003 de la DPDP, la falta de inscripción en los términos dispuestos podrá ser considerada por la DPDP como una «falta leve», pasible de multa de $ 1.000 hasta $ 3.000.

[2] Según el Dec. 1558/01, “A los efectos de esta reglamentación, quedan comprendidos en el concepto de archivos, registros, bases o bancos de datos privados destinados a dar informes, aquellos que exceden el uso exclusivamente personal y los que tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a título oneroso o gratuito.”

[3] Arts. 15 y 16 del Código Civil.

[4] Art.2: A los fines de la presente ley se entiende por: ...Responsable de archivo, registro, base o banco de datos: Persona física o de existencia ideal pública o privada, que es titular de un archivo, registro, base o banco de datos.

[5] Art.2: A los fines de la presente ley se entiende por: ...Titulares de los datos: Toda persona física o persona de existencia ideal con domicilio legal o delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se refiere la presente ley.

[6] Art. 19. “La inviolabilidad de la correspondencia de telecomunicaciones importa la prohibición de abrir, sustraer, interceptar, interferir, cambiar su texto, desviar su curso, publicar, usar, tratar de conocer o facilitar que otra persona que no sea su destinatario conozca la existencia o el contenido de cualquier comunicación confiada a los prestadores del servicio y la de dar ocasión de cometer tales actos. Art. 20. Las personas afectadas a los servicios de telecomunicaciones están obligadas a guardar secreto respecto de la existencia y contenido de la correspondencia de que tengan conocimiento en razón de su cargo. Art. 21. Toda persona que de cualquier manera tenga conocimiento de la existencia o contenido de la correspondencia de telecomunicaciones está obligada a guardar secreto sobre la misma con las excepciones que fija la presente ley. Art. 22. Los prestadores de los servicios de telecomunicaciones deberán contar con los medios más adecuados y poner la debida diligencia para asegurar el eficaz cumplimiento de los servicios que realizan.”

[7] Dice además el art. 21 LPDP: 1. Todo archivo, registro, base o banco de datos público, y privado destinado a proporcionar informes debe inscribirse en el Registro que al efecto habilite el organismo de control; 2. El registro de archivos de datos debe comprender como mínimo la siguiente información: a) Nombre y domicilio del responsable; b) Características y finalidad del archivo; c) Naturaleza de los datos personales contenidos en cada archivo; d) Forma de recolección y actualización de datos; e) Destino de los datos y personas físicas o de existencia ideal a las que pueden ser transmitidos; f) Modo de interrelacionar la información registrada; g) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información; h) Tiempo de conservación de los datos; i) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos. 3) Ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro.

El incumplimiento de estos requisitos dará lugar a las sanciones administrativas previstas en el capítulo VI de la presente ley.

[8] Para determinar la lealtad y buena fe en la obtención de los datos personales, así como el destino que a ellos se asigne, se deberá analizar el procedimiento efectuado para la recolección y, en particular, la información que se haya proporcionado al titular de los datos de acuerdo con el artículo 6 de la Ley N 25.326. Cuando la obtención o recolección de los datos personales fuese lograda por interconexión o tratamiento de archivos, registros, bases o bancos de datos, se deberá analizar la fuente de información y el destino previsto por el responsable o usuario para los datos personales obtenidos. El dato que hubiera perdido vigencia respecto de los fines para los que se hubiese obtenido o recolectado debe ser suprimido por el responsable o usuario sin necesidad de que lo requiera el titular de los datos. La Dirección Nacional de Protección de Datos Personales efectuará controles de oficio sobre el cumplimiento de este principio legal, y aplicará las sanciones pertinentes al responsable o usuario en los casos que correspondiere. La Dirección Nacional de Protección de Datos Personales procederá, ante el pedido de un interesado o de oficio ante la sospecha de una ilegalidad, a verificar el cumplimiento de las disposiciones legales y reglamentarias en orden a cada una de las siguientes etapas del uso y aprovechamiento de datos personales: a) legalidad de la recolección o toma de información personal; b) legalidad en el intercambio de datos y en la transmisión a terceros o en la interrelación entre ellos; c) legalidad en la cesión propiamente dicha; d) legalidad de los mecanismos de control interno y externo del archivo, registro, base o banco de datos (Dec. 1558/01).

[9] Art. 2: “...Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual...”

[10] Art. 4.7. LPDP. Ver también art. 16.7. LPDP: “Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos.”

[11] Art. 5: ...2. No será necesario el consentimiento cuando: ... (c) Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio; (d) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento;...”

[12] Art. 5: 1. El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias. El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 6 de la LPDP. Agrega la reglamentación que art. 5: El consentimiento informado es el que está precedido de una explicación, al titular de los datos, en forma adecuada a su nivel social y cultural, de la información a que se refiere el artículo 6 de la Ley N 25.326. La Dirección Nacional de Protección de Datos Personales establecerá los requisitos para que el consentimiento pueda ser prestado por un medio distinto a la forma escrita, el cual deberá asegurar la autoría e integridad de la declaración. El consentimiento dado para el tratamiento de datos personales puede ser revocado en cualquier tiempo. La revocación no tiene efectos retroactivos. A los efectos del artículo 5, inciso 2 e), de la Ley N 25.326 el concepto de entidad financiera comprende a las personas alcanzadas por la Ley N 21.526 y a las empresas emisoras de tarjetas de crédito, los fideicomisos financieros, las ex entidades financieras liquidadas por el Banco Central de la República Argentina y los sujetos que expresamente incluya la Autoridad de Aplicación de la mencionada Ley. No es necesario el consentimiento para la información que se describe en los incisos a), b), c) y d) del artículo 39 de la Ley N 21.526. En ningún caso se afectará el secreto bancario, quedando prohibida la divulgación de datos relativos a operaciones pasivas que realicen las entidades financieras con sus clientes, de conformidad con lo dispuesto en los artículos 39 y 40 de la Ley N 21.526 (Dec. 1558/01).

[13] Art. 6. “Cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa y clara: a) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios; b) La existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable; c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos referidos en el artículo siguiente; d) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos; e) La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos.”

[14] Así se cumpliría de hecho tanto con la Ley 19.798 citada como con el art. 9 LPDP, según el cual “1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. 2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.”

[15] 2. No será necesario el consentimiento cuando: a) Los datos se obtengan de fuentes de acceso público irrestricto; b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; c) Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio; d) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento; e) Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley 21.526.

[16] “...e) Se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables.”

[17] Previa acreditación de su identidad. En el caso de datos de personas fallecidas, a sus sucesores universales (art. 14.4, LPDP).

[18] Art. 14.1, LPDP

[19] El responsable o usuario debe proporcionar la información solicitada dentro de los diez días corridos de haber sido intimado fehacientemente . Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, éste se estimara insuficiente, quedará expedita la acción de protección de los datos personales o de hábeas data prevista en esta ley (art. 14.2, LPDP).

[20] El derecho de acceso a que se refiere este artículo sólo puede ser ejercido en forma gratuita a intervalos no inferiores a seis meses, salvo que se acredite un interés legítimo al efecto (art. 14.3, LPDP).

[21] Art. 15.2, LPDP

[22] Art. 15.3, LPDP

[23] La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos (art. 16.5, LPDP).

[24] Art. 19, LPDP “La rectificación, actualización o supresión de datos personales inexactos o incompletos que obren en registros públicos o privados se efectuará sin cargo alguno para el interesado.”

[25] Arts. 16.1 y 2, LPDP. El incumplimiento de esta obligación dentro del término acordado en el inciso precedente, habilitará al interesado a promover sin más la acción de protección de los datos personales o de hábeas data prevista en la presente ley (art. 16.3, LPDP). Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del banco de datos deberá o bien bloquear el archivo, o consignar al proveer información relativa al mismo la circunstancia de que se encuentra sometida a revisión (art. 16.1, LPDP).

[26] Art. 16.4, LPDP.

[27] Ver Dec. 1558/01.

[28] Art. 17.1, LPDP.

[29] Conviene tener presente que por el art. 18, LPDP, las Comisiones de Defensa Nacional y la Comisión Bicameral de Fiscalización de los Organos y Actividades de Seguridad Interior e Inteligencia del Congreso de la Nación y la Comisión de Seguridad Interior de la Cámara de Diputados de la Nación, o las que las sustituyan, tienen acceso a estos datos, siempre que invoquen razones fundadas y cuando se trate de aspectos que constituyan materia de competencia de tales Comisiones.

[30] Según el Dec. 1558/01, los contratos de prestación de servicios de tratamiento de datos personales deberán contener los niveles de seguridad previstos en la Ley N 25.326, esta reglamentación y las normas complementarias que dicte la Dirección Nacional de Protección de Datos Personales, como así también las obligaciones que surgen para los locatarios en orden a la confidencialidad y reserva que deben mantener sobre la información obtenida. La realización de tratamientos por encargo deberá estar regulada por un contrato que vincule al encargado del tratamiento con el responsable o usuario del tratamiento y que disponga, en particular: a) que el encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento; b) que las obligaciones del artículo 9 de la Ley N 25.326 incumben también al encargado del tratamiento.

[31] Art. 26.2, LPDP.

[32] Art. 26.3, LPDP.

[33] Art. 26.4, LPDP.

[34] Art. 26.5, LPDP.

[35] A los efectos del articulo 26, inciso 2, de la Ley N25.326, se consideran datos relativos al cumplimiento o incumplimiento de obligaciones los referentes a los contratos de mutuo, cuenta corriente, tarjetas de crédito, fideicomiso, leasing, de créditos en general y toda otra obligación de contenido patrimonial, así como aquellos que permitan conocer el nivel de cumplimiento y la calificación a fin de precisar, de manera indubitable, el contenido de la información emitida. En el caso de archivos o bases de datos públicos dependientes de un organismo oficial destinadas a la difusión al público en general, se tendrán por cumplidas las obligaciones que surgen del artículo 26, inciso 3, de la Ley N 25.326 en tanto el responsable de la base de datos le comunique al titular de los datos las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido difundidas durante los últimos SEIS (6) meses. Para apreciar la solvencia económico financiera de una persona, conforme lo establecido en el artículo 26, inciso 4, de la Ley N 25.326, se tendrá en cuenta toda la información disponible desde el nacimiento de cada obligación hasta su extinción. En el cómputo de CINCO (5) años, éstos se contarán a partir de la fecha de la última información adversa archivada que revele que dicha deuda era exigible. Si el deudor acredita que la última información disponible coincide con la extinción de la deuda, el plazo se reducirá a DOS (2) años. Para los datos de cumplimiento sin mora no operará plazo alguno para la eliminación. A los efectos del cálculo del plazo de DOS (2) años para conservación de los datos cuando el deudor hubiere cancelado o extinguido la obligación, se tendrá en cuenta la fecha precisa en que se extingue la deuda. A los efectos de dar cumplimiento a lo dispuesto por el artículo 26, inciso 5, de la Ley N 25.326, el Banco Central de la República Argentina deberá restringir el acceso a sus bases de datos disponibles en Internet, para el caso de información sobre personas físicas, exigiendo el ingreso del número de documento nacional de identidad o código único de identificación tributaria o laboral del titular de los datos, obtenidos por el cesionario a través de una relación contractual o comercial previa (Dec. 1558/01).