El Habeas Data a 25 años de la Reforma de la Constitución Nacional
Rodolfo D. Uicich [1]
“La correspondencia epistolar es una expresión de reflexión.
La intimidad está siendo amenazada por el Telegrama”
Pedro Salinas, 1942 en Alegato a favor de la correspondencia epistolar.
I. 25 años no son nada. ¿o sí? [arriba]
La gentil convocatoria a escribir algunas reflexiones sobre la protección de los datos personales y el habeas data a 25 años de la reforma de nuestra Constitución Nacional nos exige comenzar por preguntarnos si las leyes tienen edad y en su caso cómo se mide esta. A la primera inquietud la respuesta es casi evidente. La sociedad se modifica, por lo general evoluciona, aunque en algunas ocasiones involuciona. Los hábitos y las conductas cambian, los valores también, esta cuestión requeriría de un mayor debate. Las tecnologías de todo tipo pero sobre todo las TICs[2] son a la vez causa y efecto de los cambios en la sociedad. Las normas deben acompañar los cambios en aquella.
Es entonces que las leyes tienen la edad del proceso social al cual acompañan y cuando la sociedad se modifica y las normativas no hacen lo propio decimos vulgarmente que una ley es “vieja”. La edad de la norma no puede ser vinculada a una edad biológica. En algunas circunstancias una norma de v. gr. 5 o 10 años puede ser considerada “vieja”; en tanto que si la ley es suficientemente previsora a 100 años de su promulgación la hemos de considerar aún como “joven”.
La Constitución Nacional, como ley primera, tiene como función no solamente acompañar los cambios sino, también, sentar las bases para estos en tanto factores de progreso y bienestar. Es entonces que siguiendo la línea expuesta podemos afirmar que una Carta Magna es vieja cuando, en virtud de los cambios de la sociedad motivados por los factores mencionados y aún otros, no permite brindar a esta los pilares para su desarrollo y progreso.
II. La reforma de la Constitución Nacional y algo de su contexto histórico [arriba]
El proceso político argentino habido al comienzo de la década del ´90 concluyó que nuestra Constitución Nacional, sancionada en 1853, debía ser motivo de una reforma que propiciara su profundo aggiornamento. Es así que, con posterioridad al acuerdo político denominado por entonces “Pacto de Olivos”, el 29 de diciembre de 1993 se sancionó y promulgó al mismo tiempo la Ley N° 24.309 llamada “Ley núcleo de coincidencias básicas” esta norma convocó a la Asamblea General Constituyente que en 1994 reformó por última vez nuestra Constitución Nacional.
La ley citada en sus artículos 2 y 3 fijó la competencia de la Asamblea Constituyente marco del cual los constituyentes no debían apartarse bajo pena de nulidad[3].
En el texto de la ley de convocatoria se incorporó la problemática que la política exigía resolver v. gr. la duración del mandato presidencial, senador por la minoría, Consejo de la Magistratura, etc. Así también incorporó cuestiones sugeridas por los juristas de entonces por ejemplo consagración expresa del habeas corpus y del amparo[4].
Como resultado del desempeño de los constituyentes, como todos sabemos, surgió la reforma de la cual estamos conmemorando sus 25 años. Así es como la Ley Nº 24.430 Ordena la publicación del texto oficial de la Constitución Nacional (sancionada en 1853 con las reformas de los años 1860, 1866, 1898, 1957 y 1994)[5].
III. La convocatoria y el Habeas data. Una solución particular [arriba]
Si bien lo expuesto hasta aquí es una breve síntesis del marco histórico que rodeó a la reforma de marras de su lectura pronto se advierte que no hemos efectuado mención alguna a la protección de los datos personales ni al habeas data. Esta omisión en este artículo no es sino el reflejo de la omisión en la que incurrió la ley núcleo de coincidencias básicas. Efectivamente la norma que determina la competencia de la Asamblea y de la cual el legislador constituyente no puede apartarse bajo pena de nulidad había omitido toda referencia a la tutela de la protección de los datos personales y a la acción de habeas data. Este ha sido quizás uno de los yerros más notorios de la ley de convocatoria. Para entonces la problemática de la afectación de los datos personales era cada vez más significativa y la necesidad de una vía judicial en resguardo de los datos personales se hacía imperiosa.
El Constituyente advirtió la falencia descripta y, aún a pesar de aquella, no quiso dejar pasar la oportunidad para incorporar a nuestra Constitución Nacional el derecho a la protección de los datos personales y su garantía. Claro está que se chocó con la valla de su competencia y de la sanción de nulidad en caso de extralimitación. La solución pasó por incorporar una “acción” para tomar conocimiento de los datos personales y que permitiera requerir en caso de falsedad o discriminación la supresión, rectificación, confidencialidad o actualización de aquellos. Ahora bien en ningún momento se menciona a esto que todos conocemos como “habeas data” por cuanto su mención expresa podría haber implicado una extralimitación y provocar su nulidad.
Si bien la omisión aparentaba quedar zanjada al no mencionar por su nombre y apellido a la acción aún quedaba pendiente resolver la ubicación que esta norma tendría. Cierto es que no existía dudas de que por su naturaleza debía incorporarse a la primera parte de nuestra Constitución Nacional pero la cuestión era donde y bajo que título incorporarlo.
Seguramente con el convencimiento de estar haciendo lo correcto más quizás no aquello que prescribía la ley de convocatoria los convencionales decidieron incorporar esta “acción sin nombre” en la Primera parte capítulo segundo Nuevos derechos y garantías. Artículo 43 Párrafo tercero quedando ubicado luego de la regulación del amparo individual y colectivo y antes del habeas corpus.
Al respecto Puccinelli nos dice: “ Puede considerarse habilitado por la Ley N° 24.309, aunque carezca de formulación expresa, pues, para muchos autores el diseño constitucional del habeas data, pese a sus finalidades específicas, sigue siendo el de un amparo, cuyo tratamiento ya estaba expresamente previsto”[6].
IV. Los primeros pasos hacia la reglamentación [arriba]
La incorporación de la acción sin nombre en el artículo que regula el amparo aplaudida por lograr el noble cometido de darle carácter constitucional a la protección de los datos personales y al habeas data generó una interesante polémica sobre la naturaleza jurídica de este Instituto. Así es que hay quienes entienden al habeas data como un amparo propiamente dicho en tanto otros lo consideran una subespecie de amparo por cuanto no se requeriría en el caso la condición de la arbitrariedad o ilegalidad manifiesta.
A pesar del indiscutido carácter operativo de la cláusula constitucional que nos permitió accionar por habeas data, aún antes de que la norma fuese reglamentada, el Congreso de la Nación entendió, hacia mediados de la década del 90, que el Instituto debía ser reglamentado. Es así que con fecha 27/11/96 se sancionó la primera ley de protección de datos personales y de habeas data no solo de la República Argentina sino de toda América Latina[7]. Su suerte fue escasa dado que fue vetada íntegramente mediante el decreto 1616/96 del Poder Ejecutivo Nacional.
V. La Ley N° 25.326 y sus antecedentes [arriba]
No obstante lo sucedido, la doctrina siguió bregando por una reglamentación que pusiese fin a algunas diferencias y generase certidumbre jurídica[8].
Por entonces internet se había liberado al uso civil de todo el planeta, comenzaban a aparecer sitios en español, la banda ancha asomaba para reemplazar al dial-up y la Word Wide Web asomaba tan imparable como potencialmente afectadora de los datos personales.
En el mundo, congruentemente con el desarrollo de las sociedades locales y su acceso a las Tics, se fue legislando en la materia. Algunas normativas fueron pilares sobre los que abrevaron otras legislaciones. Con este carácter señero encontramos a la ley francesa 17 del año 1978 cuyo mismísimo nombre ya nos da cuenta del enfoque sobre la problemática; se la llamó: “Ley para la informática, los archivos y el derecho”. Así también encontramos a la Directiva de la Comunidad Europea 46/95. Estas normativas y la Convención 108 de Estrasburgo fijaron entre otros conceptos el de los principios relativos al tratamiento de los datos personales donde se precisaron los límites para el tratamiento de aquellos intentando proteger al derecho a la intimidad sin violentar el derecho a la información. La ley orgánica para el tratamiento de los datos personales N°5 (Lortad) de 1992 dictada en España que recoge las experiencias de otras legislaciones Europeas fue a su vez inspiradora del nuevo intento de reglamentar en nuestro país el Régimen de protección de datos personales y la acción de habeas data.
En esta oportunidad la labor legislativa con el apoyo de la doctrina llegó a buen término dando origen a la Ley N° 25.326 Sancionada el 4 Octubre de 2000 y Promulgada Parcialmente el 30 de octubre del mismo año. Esta ley junto con su Decreto Reglamentario 1558/2001 reformado por el Decreto 1160/2010 y las disposiciones de la Dirección Nacional de Protección de Datos Personales[9] constituyen el plexo normativo actual de la materia en nuestro país.
VI. El Régimen de Protección de los Datos Personales y el Habeas data. La LPDP [arriba]
La Ley N° 25.326 llamada “Ley de Protección de Datos Personales” “LPDP” tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bases o bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional[10].
Sobre la base de este objeto la norma edificó la estructura de la protección de los datos personales en nuestro país. A este fin contribuyen en más o en menos los 48 artículos que integran la norma pero en atención a la limitación de este ensayo nos concentraremos en aquellos que más aportan a los fines buscados.
Así el capítulo 2[11] consagra los principios generales relativos a la protección de los datos personales. Estos son los principios de Licitud, calidad del dato, lealtad, especificación del fin, restricción del uso, limitación en el tiempo, confidencialidad y la garantía de seguridad.
La trascendencia de tal especificación encuentra su mejor explicación en el hecho de que aquellos contribuyen a dar el marco legal cognitivo para el tratamiento del dato personal de manera tal que este resulte útil al tiempo que no genere perjuicios. Son el pilar que sostiene al tratamiento del dato personal. De ellos obtenemos las respuestas a preguntas tales como ¿Es procedente que utilice tales datos? ¿Pueden los demás utilizar estos datos míos? ¿Tengo la obligación de aceptar que se traten mis datos? ¿Por cuánto tiempo puedo utilizar datos personales ajenos? ¿Con qué causa o motivo puedo recolectarlos? ¿Cómo debe ser la recolección? ¿Debo protegerlos? ¿Cómo protegerlos? ¿Algunos datos requieren más protección que otros?
Hay un principio que no hemos mencionado en la enumeración porque su importancia merece una consideración aparte. A la prohibición de tratamiento de los datos personales sensibles[12] me refiero. Efectivamente nuestra ley, entre sus más destacables méritos, luce la consagración de un régimen especial para el tratamiento de aquellos datos que por su sensibilidad pueden generar mayores daños.
En orden a, al menos mencionar, las mayores contribuciones de la ley de marras al régimen del tratamiento del dato personal y del habeas data no se debe omitir al “principio del consentimiento”[13]. La LPDP[14]fija como requisito básico para facultar el tratamiento de los datos personales que el titular de los mismos haya prestado su consentimiento de manera libre, expresa e informado. No exageramos al afirmar que el consentimiento es la llave que abre la puerta al tratamiento de los datos personales salvo en los casos de excepción también dispuestos por la ley[15].
Acto seguido en su capítulo III la LPDP consagra los derechos de los titulares de los datos. Esto es algo que también debemos destacar. De nada serviría una enunciación de principios que no estuviera vinculada a los derechos y luego a la acción para llevar a la práctica aquellos. Los derechos consagrados son el derecho a la información (artículo 13), el derecho al acceso (artículo 14) y los derechos de rectificación, actualización, supresión y confidencialidad (artículo 16).
En miras a continuar con esta brevísima mención a los hitos de la LPDP no se debe soslayar lo que en la ley y en la doctrina llamamos “impugnación de las valoraciones personales”. Esto no es ni más ni menos que la toma de conciencia del legislador del daño que ocasionan los “perfiles” informáticos en tanto que constituyen una información estática por lo general del pasado de una persona que, al mismo tiempo, implica la negación del “derecho a cambiar” y en muchas ocasiones una discriminación. El artículo 20 de la LPDP impide bajo sanción de nulidad que las decisiones judiciales o los actos administrativos que impliquen apreciación o valoración de conductas humanas, se basen exclusivamente en el resultado del tratamiento informatizado de datos personales. La sutileza de esta norma nos dice demasiado.
Por último cabe destacar que la Ley N° 25.326 no solamente consagra el régimen para la protección de los datos personales sino que estableciendo normas procesales a las que algunas provincias adhirieron para su régimen adjetivo local y que se aplican en el ámbito federal genera la “acción de habeas data” sobre la base del tercer párrafo del artículo 43 y el artículo 19 de nuestra Carta Magna.
Del análisis del marco normativo podemos afirmar sin hesitación que este ha dado respuesta a la pretensión de reconocimiento y respeto del Derecho a la Intimidad, ha consagrado los derechos del titular del dato personal y ha clarificado la acción judicial para su ejercicio. Al mismo tiempo con esto ha hecho una contribución para evitar los perjuicios que genera el tratamiento indebido de los datos personales al disponer un régimen de sanciones administrativas sin perjuicio de la acción de daños y perjuicios y de las conductas penales tipificadas estas luego sustituidas por la Ley N° 26.388.
La Ley N° 25.326 o LPDP nos permitió hacer punta en América Latina distinguiendo a la República Argentina entre aquellos Estados que consagran a la protección de los datos personales y al habeas data tanto en su Constitución Nacional como en su legislación civil. Generó la autoridad de contralor a la sazón la Dirección Nacional de Protección de Datos Personales primer órgano de contralor en América Latina. Permitió que el Grupo de Trabajo del llamado del artículo 3 de la comunidad Europea califique a la Argentina, a comienzos de la década del 2000 como uno de los únicos 5 países “Aptos para la transferencia internacional de datos”[16] lo que generó la radicación de empresas y la creación de decenas de miles de puestos de trabajo.
Pero, seguramente el logro mayor de la LPDP es haber contribuido a la difusión de la problemática del tratamiento de los datos personales y de los derechos de los titulares de los mismos. Con el decir de la doctrina, y la aplicación de la Ley N° 25.326 se dieron los primeros pasos en la concientización del riesgo que implica para el titular de un dato personal su tratamiento apartado de los principios generales de la ley. Hombres y mujeres tomaron conocimiento de los daños y perjuicios que pueden sufrir a raíz del uso indebido de sus datos personales por terceras personas. No sólo la intimidad puede verse afectada. También corre riesgos la integridad física, el acceso al mercado laboral, el goce de servicios de salud, el acceso al crédito, el buen nombre y honor y aún otros valores.
VII. Las nuevas tecnologías y una vieja Ley [arriba]
Como hemos visto los primeros pasos han sido dado aunque el rápido progreso de las tecnologías nos pone en la obligación de repensar la temática y buscar soluciones a la nueva problemática.
Es entonces que podemos afirmar que la Ley que reglamentó aquel tercer párrafo del artículo 43 de la Constitución Nacional, incorporado en la reforma que estamos conmemorando, ha brindado a la comunidad loables servicios.
Ahora bien al comenzar este artículo nos referimos a la “edad” de las leyes y precisamente afirmamos que para no envejecer estas deben responder a los cambios en la sociedad. Toda cuestión vinculada a las Tics ha tenido en los últimos 25 años un desarrollo exponencial, a manera de ejemplo advirtamos que al momento de la promulgación de la ley de marras no existían la mayoría de las redes sociales hoy habituales como tampoco el whatsapp y el acceso a estas tecnologías se facilitó y amplió reduciéndose costos e instalándose una cultura digital. La razonable imposibilidad de prever el desarrollo de las Tics hace que las leyes relativas a estas tecnologías queden rápidamente desactualizadas. La Ley N° 25.326 no es una excepción. Si bien debemos agradecerle sus servicios los muchos y grandes cambios deben ser receptados en una nueva normativa.
La perspectiva de la protección de los datos personales en el mundo se fue modificando sobre todo a partir del llamado “9-11” es decir los incalificables atentados contra las torres gemelas en Nueva York de 2001.
La balanza que en uno de sus platillos pesa el derecho a la intimidad se volcó más hacia el platillo que pesa el derecho a la información. Leyes como la patriot act[17] limitaron el derecho a la privacidad. Algunos otros Estados adoptaron medidas restrictivas. Las tecnologías de la información en su convergencia con las tecnologías de las comunicaciones gozaron o sufrieron de un desarrollo exponencial que amplió la posibilidad de afectación a la actividad y ,obviamente, a los datos personales como una faceta de aquella. Este nuevo panorama generó la necesidad de reformas en la legislación de la materia. Nuevos enfoques, nuevas tecnologías y los nuevos sucesos son los motores del cambio.
VIII. Otro paso hacia adelante [arriba]
La Comunidad Europea, asumiendo el mensaje de los cambios, dictó el Reglamento General de Protección de Datos Personales[18]. A este reglamento deben sujetarse aquellas empresas que tengan negocios en la Unión Europea que manejen información personal de cualquier tipo. Es decir que la transferencia internacional de datos personales hacia o desde la Comunidad Europea en la actualidad se sostiene en un nuevo régimen. La naturaleza del Dato personal torna coherente la exigencia, por parte de aquellos Estados que protegen sus datos personales, del requisito de la protección de los datos personales para comerciar con ellos en los Estados que Pretendan ese comercio.
La Ley N° 25.326 nos permitió como hemos dicho obtener la calificación, en su momento, de país apto para la transferencia internacional de datos nuestra ley compartía los principios y pilares de la directiva CE 46/95. Esta directiva fue reemplazada por el Reglamento General mencionado. Este es un motivo por el cual nuestra primer LPDP debería aggiornarse.
Al mismo tiempo en el año en curso la República Argentina ha aprobado al Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal conocido como convenio 108 de Estrasburgo[19] y al consecuente “Protocolo Adicional al Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal”. Si bien el convenio ya es parte de nuestro derecho positivo su incorporación nos pone también en el deber de repensar la Ley N° 25.326.
IX. Un proyecto de Reforma a la Ley N° 25.326 [arriba]
Un proyecto de ley para una nueva ley de protección de datos personales y de habeas data fue presentado en el año en curso por el Poder Ejecutivo Nacional tomando el desafío de incorporar modificaciones actualizando la normativa.
Este proyecto, si bien perfectible, contempla algunas modificaciones que ya lucen como razonables y otras que, en caso de convertirse en ley veremos su resultado con el andar. Así, a manera de una más que escueta síntesis destaquemos que el proyecto clarifica el objeto de la ley poniendo fin en el derecho positivo a la controversia sobre el alcance de la misma[20]. Al mismo tiempo continua con el régimen de los principios relativos al tratamiento de los datos personales, al tiempo que recoge casi la totalidad de los de la ley que pretende modificar, a algunos le cambia su denominación e incorpora el principio de responsabilidad proactiva. Hace también del consentimiento el principio básico sobre el que se maneja el régimen de protección de los datos personales. Consagra al consentimiento tácito a la vez que acepta al consentimiento verbal. Ambos conceptos traerán debate.
En cuanto al reconocimiento de los derechos del titular de los datos el proyecto mantiene los derechos de acceso, rectificación, supresión y confidencialidad. Amplía la gama al incorporar el derecho a la oposición y el de portabilidad de los datos personales. No hace mención alguna al derecho de información[21], eliminación esta que parece razonable.
Entre lo más novedoso del proyecto se encuentra la “Evaluación de impacto” ante la probabilidad de que el tratamiento del dato pueda implicar un alto riesgo de afectación de los derechos fundamentales de los titulares y la obligatoriedad de la designación de un delegado de protección de datos con la finalidad de contribuir a el correcto tratamiento.
Con la calificación de novedoso del proyecto podemos rescatar, también, que reduce a un año el periodo por el cual se podrá mantener en una base de datos de informes crediticios el dato negativo una vez cancelada o extinguida la obligación. En la actualidad ese plazo es de dos años[22].
Impone, también, la obligación de notificar al titular de los datos, cuando de incumplimiento de obligaciones patrimoniales se trate, de manera fehaciente y previo a ser cedidos a los servicios de información crediticia. Algo similar dio causa al veto total a la Ley N° 24.745 que como hemos visto fuera el primer intento de legislar en la materia.
En el mismo sentido de las notificaciones previas, el proyecto en su artículo 59. 8 dispone la obligatoriedad de las entidades financieras que cedan datos al Banco Central de informarle previamente al titular la calificación de incumplimiento y sus cesionarios.
Por último, el capítulo IX del proyecto se refiere a la “Acción de Habeas data” limitando la competencia de ésta, como no podía ser de otra manera, a las acciones dirigidas contra Bancos de datos de la Administración Pública Nacional o contra Bancos de Datos obrantes en redes interjurisdiccionales, nacionales o internacionales.
X. Conclusiones [arriba]
Hemos intentado en esta prieta síntesis pintar un panorama de esa notable y apasionante convergencia entre las Tics y las leyes tomando como base aquel puntapié inicial dado por la reforma de nuestra Constitución Nacional.
Aquella reforma en lo que a la protección de los datos personales y al habeas data se refiere nos abrió las puertas a una legislación protectoria. El avance de las tecnologías, así como la dinámica de la sociedad requieren cambios en aquella legislación. Un proyecto está en marcha. Debe ser intensamente estudiado y más que seguramente modificado, pero ya tenemos una base legislativa, doctrinaria y jurisprudencial todo gracias a aquella reforma de nuestra Constitución Nacional. Un brindis por sus ya muchos 25 años.
Notas [arriba]
[1] Abogado. Prof. Titular de Habeas Data en la especialización en derecho procesal, Facultad de Ciencias Jurídicas. USAL. Ex Subdirector de la Dirección Nacional de Protección de datos Personales. Autor de varias obras y publicaciones en la materia. Consultor del BID.
[2] Tecnologías de la Información y de las Comunicaciones.
[3] ARTICULO 6º- “Serán nulas de nulidad absoluta todas las modificaciones, derogaciones y agregados que realice la Convención Constituyente apartándose de la competencia establecida en los artículos 2º y 3º de la presente ley de declaración”.
[4] Ley N° 24.309 art 3 inc. “N”.
[5] Ley N° 24.430 Sancionada: Diciembre 15 de 1994. Promulgada: Enero 3 de 1995.
[6] Puccinelli Oscar Protección de datos de carácter personal, Editorial Astrea, Buenos Aires, 2004, pág. 43.
[7] Ley vetada por el Poder Ejecutivo Nacional N° 24.745
[8] Al respecto ver Uicich Rodolfo D., Los bancos de datos y el Derecho a la intimidad, Ad-Hoc, Buenos Aires, 1999.
[9] Organismo de contralor instituido por la Ley N° 25.326.
[10] Art 1 Ley N° 25.326.
[11] Arts 3 a 12.
[12] Art 7 Ley N° 25.326 me refiero.
[13] Art 5.1 Ley N° 25.326.
[14] Ley de Protección de Datos Personales.
[15] Art 5.2 Ley N° 25.326.
[16] Único en América Latina.
[17] Ley Federal USA año 2001.
[18] El Reglamento General de Protección de Datos (RGPD) es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. Entró en vigor el 25 de mayo de 2016 y fue de aplicación el 25 de mayo de 2018.
[19] Adhesión por Ley N° 27.483 02/01/2019.
[20] Proyecto de reforma Art 1.
[21] Actualmente contemplado en el artículo 13. Ley N° 25.326.
[22] Art 26.4 Ley N° 25.326.
|