Regimen juridico de los bancos de datos

El Programa de Actualización en Derecho Informático se desarrolla en el área de Posgrado de la Facultad de Derecho de la Universidad de Buenos Aires, bajo la dirección del Dr. Daniel Ricardo Altmark y la subdirección del suscripto.

En dicho marco se cursó en el primer cuatrimestre del corriente año el módulo sobre “Régimen Jurídico de los Bancos de Datos”, en el que fuimos docentes además de Altmark y yo, los Dres. Jorge Beckerman y Pedro Dubié.

Los trabajos que presentaron los alumnos abarcaron los distintos contenidos del curso, pero en general excedieron largamente la currícula, convirtiéndose en un importante conjunto documental, cuya divulgación en la página de la Asociación de Abogados nos pareció muy importante, sin perjuicio de su presentación en otros ámbitos, como que consta que ya ha sucedido con varios de ellos en Ecomder, por ejemplo.

Lo que hemos denominado “Régimen jurídico de los bancos de datos” no sólo está referido al más difundido de sus aspectos, es decir los problemas derivados del tratamiento automatizado de información de carácter personal, y el “hábeas data”. En nuestro programa incluimos la protección legal de los bancos de datos como propiedad intelectual, la relación entre los bancos de datos y la ley penal, y las diversas relaciones contractuales derivadas de la operatoria de un banco de datos. Todos estos temas fueron motivo de trabajos de nuestros alumnos, aunque es evidente que la problemática del tratamiento de los datos de carácter personal fue la que más entusiasmó a los cursantes.

Esta cuestión se ha vinculado en nuestro medio, casi con exclusividad, con la protección del derecho a la intimidad, o en su versión más amplia, con el derecho a la privacidad, aun cuando también se emplee el concepto de "autodeterminación informativa", sin perjuicio de destacar la preocupación de algunos autores por incorporar una nueva categoría o especie de derecho personalísimo, el derecho a los datos personales. El almacenamiento y recopilación de datos de carácter personal no es una actividad que haya surgido con la irrupción de la informática. Por el contrario, ya la existencia de los ficheros manuales con datos de carácter personal auguraba los riesgos de datos incompletos, falsos o utilizados para un propósito diferente para el cual se habían recogido, pero la preocupación ha crecido a partir del tratamiento automatizado de esta información personal.

La información es un concepto complejo, que se integra con "datos", que son el "antecedente necesario para llegar al conocimiento exacto de una cosa". La información puede definirse como el proceso de adquisición de conocimientos que permiten precisar o ampliar los que ya se tenían sobre una realidad. Cuando el segmento de la realidad que es objeto de información es una persona, estamos frente a datos de carácter personal.

La irrupción de la informática obligó a un replanteo del derecho a la intimidad, por la estructuración de grandes bancos de datos de carácter personal, y la posibilidad del entrecruzamiento de la información contenida en los mismos.

La toma de conciencia sobre esta circunstancia nos llevó a sostener, hace un tiempo, que el derecho a la intimidad no podía seguir considerándose simplemente la ausencia de información acerca de nosotros en la mente de los demás (el "déjenme solo"), sino que debía adquirir el carácter de un control sobre la información que nos concerniera, o sea la facultad del sujeto de controlar la información personal que sobre él figurara en los bancos de datos, concepto también receptado por importante jurisprudencia nacional. En rigor se denominan datos personales aquellos que permiten identificar a la persona a que pertenecen, y no se consideran tales los que se refieren a personas indeterminadas (el nombre y apellido es un dato personal (nominativo), mientras que la cantidad de personas de género femenino o masculino que concurren a un curso es un dato general).

Dentro del género "datos personales" se denominan "sensibles" los referidos a determinadas facetas o aspectos de una persona, tales como el culto que profesa, su pertenencia racial, su ideología política, y en general la información que permite determinar su fisonomía moral e ideológica. La preocupación esencial que rodea el tratamiento de estos datos, además de la tutela del derecho a la intimidad, o vida privada, es sin duda, la posibilidad de discriminación.

La categoría de "protección de datos" ha surgido para aplicarse a nuevas realidades jurídicas, que sólo parcialmente, pueden ser descriptas o fundamentadas a través de la noción tradicional de "intimidad", y pensamos que incluso el encuadre como “derecho personalísimo” genera restricciones.

El derecho a la "protección de datos" pertenece al contexto de la era informática, y cada día es más dudoso afirmar que esta compleja disciplina legal estuviera ya implícita en las referencias generales al derecho a la intimidad insertas en cuerpos normativos del ámbito nacional o internacional de la era preinformática.

El control de la información personal está relacionado con el concepto de autonomía individual para decidir, hasta cierto límite, cuándo y qué información referida a una persona, puede ser objeto de procesamiento automatizado, por lo que también se ha denominado a la protección del dato personal, autodeterminación informativa, e incluso libertad informática.

Por otro lado, la protección de los datos personales no se plantea exclusivamente a consecuencia de problemas individuales, sino que también expresa conflictos que incluyen a todos los individuos de la comunidad internacional, problema que es analizado bajo la óptica del flujo internacional de datos.

Es preciso advertir que el tratamiento automatizado de datos personales se ha convertido en un arma estratégica de manipulación de conductas individuales, y la aplicación de avanzados métodos telemáticos a la información de carácter personal ha dejado de ser la excepción para convertirse en una rutina diaria.

En el ámbito europeo la "Convención para la protección de los individuos con relación al procesamiento automático de datos personales", conocida como la Convención de Estrasburgo y suscripto por veintiún estados europeos (el 21/1/81) ha constituido el antecedente más importante en la materia.

Al compás de este movimiento los países fundamentalmente europeos sancionaron una serie de leyes desde la primera, del Land de Hesse de la ex-República Federal de Alemania (7-10-70), la ley federal alemana de 1977 (Federal Data Protection Law); la ley sueca (1973); la ley francesa sobre "Informática, ficheros y libertades" (6-1-78), la ley federal de Austria sobre Protección de Datos Informáticos de Indole personal (18-10-78); las leyes de Dinamarca, “Public Authorities Register Act” (1991) para el sector público y “Private Registers Act" (1987) para el sector privado; la legislación de Noruega (1978); Finlandia (ley 471/87) hasta las más recientes de Portugal (ley 10/91 del 9-4-91); Hungría (1992); Bélgica (8-12-92); España Ley N° 5/92 denominada "Ley Orgánica de Regulación del Tratamiento de Datos" (LORTAD), y finalmente Italia (1996) y Grecia (1997). Más recientemente, Gran Bretaña aprobó la Data Protection Act (1998). También se puede observar una normativa constitucional en Portugal, España, Brasil, Perú, Colombia, Paraguay, así como en Albania (1991), Antigua (1981), Azerbaiján (1995), Bielorrusia (1994) Bosnia-Herzegovina (1992) Botswana (1966) Bulgaria (1991) Cabo Verde (1992), Croacia (1990), Eslovaquia (1991) Eslovenia (1991), Estonia (1992), Fiji (1990), Gabón (1991), Holanda (1983) República Checa (1992), Rusia (1993), Sudáfrica (1996), etc.

La última novedad que conocemos es la nueva Ley española de Protección de Datos Personales 15/1999, que modifica parcialmente la ya citada LORTAD.

Esta preocupación por la protección del dato personal también se encuentra en las más modernas reformas constitucionales de diversos Estados provinciales en la República Argentina, algunas de las cuales, con buen criterio incorporan expresamente, el denominado derecho de acceso, refiriéndose otras específicamente al impacto de la informática en la materia, como las de Jujuy, La Rioja, San Juan, Córdoba, San Luis, Río Negro, Tierra del Fuego, Buenos Aires, Chubut, Chaco y la Ciudad Autónoma de Buenos Aires.

La circunstancia de haber aprobado recientemente (14-9-2000) la Cámara de Diputados de la Nación un proyecto de ley venido en revisión del Senado, al que ha vuelto por haber sufrido modificaciones, otorga gran actualidad a los trabajos de nuestros alumnos que ahora prologamos.

El ya mencionado Convenio 108 de Estrasburgo estableció un conjunto de principios básicos para la protección de los datos de carácter personal, bajo el rótulo de "calidad de los datos", que son mantenidos y actualizados en la más reciente normativa europea, que es la Directiva 95/46 del Parlamento Europeo y del Consejo, relativa a la “Protección de las personas físicas en lo que respecta al Tratamiento de Datos personales y a la libre circulación de estos datos”.

En virtud de esta normativa, los estados europeos deben prever que los datos personales sean "tratados de manera leal y lícita"; y que sean "recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines", aclarando que "no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando los Estados miembros establezcan las garantías oportunas".

También se establece que los datos deben ser "adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente".

Deben ser "exactos y, cuando sea necesario, actualizados, debiendo tomarse todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados".

Asimismo los datos deben ser conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente, aunque se admite que "los Estados miembros establezcan las garantías apropiadas para los datos personales archivados por un período más largo del mencionado, con fines históricos, estadísticos o científicos".

Es importante destacar que son los responsables del tratamiento, es decir la persona física o jurídica que gestiona u opera el procesamiento de la información, quienes están encargados de garantizar el cumplimiento de estos principios de calidad.

El principio de la participación individual, consagra el derecho de acceso a los datos que debe ser proporcionado "libremente, sin restricciones y con una periodicidad razonable y sin retrasos ni gastos excesivos", implicando "la confirmación de la existencia o inexistencia del tratamiento de datos que le conciernen, que se informe por lo menos de los fines de dichos tratamientos, las categorías de datos a que se refieran y los destinatarios o las categorías de destinatarios a quienes se comuniquen dichos datos" y "la comunicación, en forma inteligible, de los datos objeto de los tratamientos, y de toda la información disponible sobre el origen de los datos", así como "el conocimiento de la lógica utilizada en los tratamientos automatizados de los datos referidos al interesado, al menos en los casos de las decisiones automatizadas".

Esto se refiere al derecho que tienen las personas a "no verse sometidas a una decisión con efectos jurídicos sobre ellas o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, etc.".

En segundo término, este derecho comprende la facultad de exigir la "rectificación, supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos".

También significa la "notificación a los terceros a quienes se hayan comunicado los datos de toda rectificación, supresión o bloqueo efectuado si no resulta imposible o supone un esfuerzo desproporcionado obtener información de la entidad responsable de los datos acerca de la existencia de datos que le conciernan"; "ser informado dentro de un tiempo razonable y de manera comprensible"; "oponerse a cualquier dato que le concierna y a que esa oposición quede registrada"; "obtener que los datos relativos a su persona, en caso de prosperar su oposición, sean suprimidos, rectificados o completados"; "ser informado de las razones por las cuales se deniega su derecho de acceso o éste no se le concede en lugar, tiempo y forma razonables; oponerse a toda negativa a darle las razones mencionadas precedentemente".

La Constitución Nacional con la reforma de 1994 ha consagrado el derecho de toda persona a ejercer una acción de amparo para conocer los datos a ella referidos, así como su finalidad, contenidos en registros públicos y privados, y en caso de ser ellos falsos o discriminatorios, exigir su supresión, rectificación, actualización y confidencialidad. Esta facultad para accionar judicialmente ha sido denominada en nuestro medio "hábeas Data", caracterizada como una subespecie de la acción de amparo o en todo caso como un amparo específico.

Hemos dicho que el hábeas data reconoce cierto paralelismo con el hábeas corpus, ya que así como a través de este medio procesal lo que se reclama es que se "traiga el cuerpo" (se lo exhiba, se lo presente), en aquél lo que se impetra es que "se traigan los datos".

El objetivo primario de la acción del hábeas data, sería entonces, garantizar que una persona pueda acceder, es decir tomar conocimiento o enterarse, de la información de carácter personal a ella referida y contenida en determinado registro. Así como en el hábeas corpus, el fin mediato de la exhibición del cuerpo, es indagar sobre los motivos de una privación de la libertad, actual e inminente, en el hábeas data, la finalidad del derecho de acceso reside en la posibilidad de verificación de la exactitud, actualidad y pertinencia de los datos personales registrados.

Ahondando el análisis del paralelismo, hemos dicho que si en el hábeas corpus, cuando se advierte la ilegalidad de la privación de la libertad, ésta debe cesar de inmediato a efectos de preservar la plena vigencia de dicho derecho fundamental, en el hábeas data, lo que debe cesar es el registro inexacto, desactualizado, o bien calificado como público cuando por su naturaleza debió ser reservado o secreto.

En nuestra opinión, no ha sido feliz la asimilación que hace el art.43 a la acción de amparo, en atención a las características particulares que a nuestro entender reviste el hábeas data.

Del propio texto del art.43, al utilizar la expresión "esta acción" (para tomar conocimiento de los datos a ella referidos... etc.) debe interpretarse que la efectivización del hábeas data incorporado a la Constitución Nacional, obligaría a su tramitación bajo los presupuestos de la acción de amparo, a que se refiere el primer párrafo del citado artículo, sin perjuicio de algún esclarecedor fallo que distingue claramente los objetivos de una y otra acción[1].

Es de lamentar que no se hayan observado en este aspecto los antecedentes del derecho comparado, tanto extranjero como público provincial[2], en los que se ha dado categoría constitucional a derechos personalísimos, tales como la intimidad, o el honor, se ha prohibido que la información se emplee con fines discriminatorios, e incluso se ha avanzado hacia la consagración del derecho de acceso, rectificación y actualización, pero dejándose abierto el camino a la estructuración de las vías procesales pertinentes por vía legislativa. Así ha ocurrido ya en Chaco, Chubut, Neuquén, Santiago del Estero,

Nosotros ha habíamos afirmado que el texto constitucional la otorga a "toda persona", por lo que dada la definición del Código Civil de que "persona es todo sujeto susceptible de adquirir derechos y contraer obligaciones", deben entenderse que comprende tanto a las personas físicas como las personas jurídicas, con el alcance del artículo 33 del Código Civil.

El pronunciamiento de la Corte Suprema de Justicia in re "Urteaga" ha ampliado notablemente el significado del texto constitucional al declarar que "Debe admitirse la legitimación invocada por quien reviste la calidad de hermano de quien se supone fallecido, toda vez que la habilitación para accionar de un familiar directo con sustento en el derecho a que se proporciones información, configura una de las alternativas de reglamentación posibles de la acción de hábeas data".

Siguiendo a Sagüés la jurisprudencia va reconociendo que "el hábeas data tiene cinco objetivos principales: a) que una persona pueda acceder a la información que sobre ella conste en un registro o banco de datos; b) que se actualicen los datos atrasados; c) que se rectifiquen los inexactos; d) que se asegure la confidencialidad de cierta información legalmente obtenida para evitar su conocimiento por terceros; y e) supresión del requisito de la llamada “información sensible”.

Son sujetos pasivos de esta acción tanto los registros o bancos de datos públicos como los privados "destinados a proveer informes".

En el caso de los públicos deben considerarse incluidos a todos los registros o bancos de datos pertenecientes u operados por organismos públicos, interpretación que en definitiva ha tenido la Corte Suprema de Justicia en el caso "Ganora"[3].

Finalmente agreguemos que la expansión de la actividad de suministro de informes sobre la conducta comercial o la solvencia patrimonial de las personas, tanto físicas como jurídicas, se ha convertido en fuente de numerosos conflictos, muchos de los cuales se han tratado de resolver judicialmente, por medio del hábeas data, con escaso éxito.

Ante la ausencia de una norma regulatoria es interesante mencionar el artículo 29 de la Ley 15/99 española, referido a la prestación de servicios de información sobre solvencia patrimonial y crédito. Esta disposición (que ha inspirado el texto en tratamiento en el Congreso Nacional) determina que quienes se dediquen a la prestación de estos servicios sólo podrán tratar (automatizadamente o no) datos personales obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por el interesado o con su consentimiento, y por otro lado, regula el tratamiento de datos personales relativos al cumplimiento o incumplimiento de obligaciones dinerarias señalando que podrán tratarse dichos datos siempre que sean “facilitados por el acreedor o por quien actúe por su cuenta e interés”.

Es interesante la distinción entre dos tipos de bancos de dato, que pueden coexistir en una relación bipolar, pero en cierto modo autónoma.

Hay un registro o banco de datos que es del acreedor, que se nutre de los datos personales que son consecuencia de las relaciones económicas mantenidas con el afectado, cuya única finalidad es obtener la satisfacción de la obligación dineraria. Sin duda que no son estos registros los que motivan cuestionamientos.

Pero existe otro tipo de banco de datos, común a diversas personas, que unifica los datos personales contenidos en los registros de cada acreedor y tiene por finalidad proporcionar información sobre la solvencia de una persona determinada. Estos son los registros que elaboran las empresas prestadoras de servicios de solvencia patrimonial o cumplimiento crediticio.

La Instrucción 1/1995, (1/3/95) de la Agencia española de Protección de Datos, sobre "prestación de servicios de información sobre solvencia patrimonial y crédito” resulta una útil referencia y uno de los aspectos que pretende resolver la mencionada Instrucción es que los responsables de estos bancos de datos, al no ser el acreedor, no tendrían competencia para modificar o cancelar los datos inexactos que se encuentran en aquellos. En función de ello, la Instrucción establece que "la inclusión de los datos personales en los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias debe efectuarse solamente cuando concurra la existencia previa de una deuda cierta, vencida y exigible, que haya resultado impaga y medie requerimiento previo de pago a quien corresponda, en su caso, el cumplimiento de la obligación”. Este criterio ha sido incorporado en el texto que aprobado por Diputados- ha retornado al Senado para su revisión.

La nueva ley española ha agregado al ahora inciso 4 del artículo 29 la exigencia que “sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados ... siempre que respondan con veracidad a la situación actual de aquéllos”. Es una clara ratificación del principio de “calidad de los datos”, y de la obligación del gestor de un banco de datos de verificar esta circunstancia. Esta exigencia aparece también en el proyecto de ley argentino.

Estos requisitos contrastan con la realidad argentina ya que, por ejemplo los juicios iniciados en el fuero Comercial de la Capital, con la simple asignación de juzgado, pero sin siquiera haber sido radicados efectivamente, se dan a publicidad e integran las bases de datos en función de las cuales comercios, bancos y simples particulares adoptan decisiones de incidencia económica (art. 52 RJNCom).

La reglamentación española que mencionamos también establece que no pueden incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba documental que aparentemente contradiga alguno de los requisitos anteriores y que tal circunstancia determina igualmente la desaparición cautelar del dato personal desfavorable en los supuestos en los que ya se hubiera efectuado su inclusión en el fichero.

Lo destacable es la exigencia para el acreedor, o quien actúe por su cuenta e interés, de asegurarse que concurran todos los requisitos exigidos en esta norma en el momento de notificar los datos adversos al responsable del fichero común. Se especifica que la carga de comunicar del dato inexistente o inexacto, con el fin de obtener su cancelación o modificación, debe efectuarse por el acreedor o por quien actúe por su cuenta al responsable del fichero común en el mínimo tiempo posible, y en todo caso en una semana. Este es otro de los aspectos positivos de la norma en trámite de aprobación legislativa por el Congreso.

En cuanto a la metodología para registrar una obligación incumplida indica que debe hacerse en un sólo asiento si fuese de vencimiento único, o en tantos asientos como vencimientos periódicos incumplidos existan señalando, en este caso, la fecha de cada uno de ellos. Es necesario efectuar una notificación por cada deuda concreta y determinada con independencia de que esta se tenga con el mismo o con distintos acreedores, estando a cargo del responsable del fichero adoptar las medidas organizativas y técnicas necesarias que permitan acreditar la realización material del envío de notificación y fecha de entrega o intento de entrega de la misma. La notificación se hace a la ultima dirección conocida del afectado a través de un medio fiable e independiente del responsable del fichero.

Otro aspecto digno de tener en cuenta en esta materia es el referido al tiempo de conservación de los informes, que la ley española establece en seis (6) años, frente a la opinión mayoritaria de nuestros tribunales que la estira a diez años[4], cuyo cómputo se inicia a partir de momento de la inclusión de los datos personales desfavorables en el fichero y, en todo caso, desde el cuarto mes contado a partir del vencimiento de la obligación incumplida o del plazo concreto de la misma si fuera de cumplimiento periódico. El proyecto a que hemos aludido reduce a dos años cuando la obligación se extinguido por cualquier modo y a cinco cuando es una obligación vigente, salvo que provenga de un concurso o falencia, que se mantiene durante diez años.

Por otro lado, en España, las empresas que se dedican a proveer este tipo de informes deben someterse a auditorías, que dictaminan sobre la adecuación de las medidas y controles destinados a garantizar la integridad y la confidencialidad de los datos personales almacenados o tratados, identificar sus deficiencias e insuficiencias y proponer las medidas correctoras o complementarias necesarias.

Concluyendo esta introducción, reiteramos algunas de nuestras convicciones en este tema.

Constituyen violaciones a la autodeterminación informativa (protección de datos personales) la utilización o empleo de la información personal, especialmente la inserta en los registros automatizados de un Banco de Datos, con una finalidad diferente a la declarada o propuesta al ser ingresados los datos al registro, lo que abarca desde la entrega de “mailings” para técnicas de "telemarketing", hasta actividades mucho más preocupantes, como el entrecruzamiento de información personal entre distintas oficinas estatales, o la apropiación de registros de entidades privadas por parte del Estado.

En la misma línea debemos incluir la difusión de estos datos con un fin distinto al propuesto, sin el expreso consentimiento del titular de los datos personales o sus sucesores.

Por ello es que venimos proponiendo que debe establecerse una prohibición absoluta para la colecta de datos personales en bases de datos informatizadas, cuando estos estén referidos a los denominados “datos sensibles”, tales como raza, religión, ideología, conducta sexual.

Los datos personales referidos a enfermedades deben ser registrados con severas restricciones de acceso por parte de terceros, y en particular aquellas que como el SIDA, o la convivencia con VIH tienen grave potencialidad discriminatoria, sólo podrían registrase con métodos de codificación o encriptamiento, que restrinjan el máximo posible su acceso por personas que no sean el concernido y quienes este autorice expresamente por escrito.

Cuando estas conductas se presenten, el daño es objetivo. Esto implica afirmar que las responsabilidades generadas por la violación del derecho a la protección de datos tienen un factor de atribución objetivo.

En materia contractual el fundamento de esta responsabilidad reside en que el daño es causado por una violación del deber de seguridad que tiene todo gestor de una base de datos personales. Este tiene una obligación de resultado, consistente en garantizar que los datos personales no serán difundidos ni empleados para un fin distinto al tenido en cuenta al ser ingresados al Banco de Datos.

En materia extracontractual, el fundamento de la responsabilidad reside en la circunstancia de considerar a la actividad informática destinada a la recolección, almacenamiento y recuperación de datos personales como una actividad peligrosa en sí misma, por el riesgo creado, consistente en el potencial uso indiscriminado de la información personal registrada en un banco de datos informatizado.

Para hacer efectiva esta protección es necesario que toda persona pueda acceder, mediante un mecanismo eficaz y gratuito a los datos personales que le conciernan, para que no termine desnaturalizándose la garantía constitucional al imponerse exigencias que obstaculicen o neutralicen el derecho de acceso oportuno a los datos personales. Por ello creemos que los jueces deben ser muy restrictivos para rechazar in límine una acción de amparo, hábeas data, o similar, dirigida a conocer datos de carácter personal cuando los requiera el afectado. El derecho de acceso, implica necesariamente la facultad de solicitar la corrección de esos archivos de datos personales, frente a las inexactitudes que pudieran contener los respectivos registros, ya sea porque el dato fue mal informado o erróneamente ingresado al sistema. El mismo derecho asiste en caso de ser necesaria la actualización de los datos personales, especialmente los contenidos en ficheros informáticos y también integra el derecho a la autodeterminación informativa la facultad de eliminar los registros de datos personales que han caducado, o prescripto, no debiendo conservarse por ningún medio.

Sin perjuicio de estas consideraciones que ya hemos formulado en otras ocasiones, lo que ahora queremos proponer es que se considere como un uso arbitrario, abusivo, no razonable de la información, generador de derecho al resarcimiento toda decisión con efectos jurídicos sobre una persona o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta. Creemos que para ello es menester establecer que, cuando existan informes comerciales o patrimoniales negativos, que no estén respaldados por la existencia de una deuda vencida y exigible, que haya resultado impaga y medie requerimiento previo de pago al deudor, o cuando exista un documento que contradiga la existencia de esta obligación, y se adopte una decisión que perjudique a la persona referida en los informes (rechazo de una solicitud crediticia, de una oferta contractual, etc.) debe presumirse que se ha obrado en forma arbitraria.

En tal sentido, en la XIII Conferencia Nacional de Abogados, celebrada en Jujuy en abril de este año, la Comisión 2 sobre Persona, recomendó:

En resumen, los excelentes trabajos que he pretendido prologar con estas apresuradas reflexiones constituyen una importante y pocas veces reunida información sobre el conjunto de problemas y desafíos que nos plantean los datos, su reunión y explotación en grandes bases, los contratos que se vinculan con ellos, así como las soluciones y dificultades que plantea una adecuada protección legal del trabajo intelectual, incluidos los aspectos penales del tema.

Mi agradecimiento a los autores que autorizaron su difusión en este sitio, y a su responsable el Dr. Carlos A. Acquistapace, infatigable artesano de esta maravillosa realidad que es “aaba.org.ar”.

[1] SC Mendoza, 17/11/1997, "Costa Esquivel, Oscar A. c. CO.DE.ME.", LA LEY 1999-B,588.

[2] Jujuy (art.23); San Juan (art.26); Córdoba (art.50); San Luis (art.21); Río Negro (art.20); Tierra del Fuego (art.45), Chaco (art.19) y Chubut (art.56).

[3] Cf. Fallo citado (LA LEY 2000-B,79); ver Sumario SAIJ Nº A0054150: "En principio, la obtención de información sobre datos personales obrantes en los organismos y fuerzas de seguridad halla adecuación legal en la acción de habeas data, sin perjuicio de que el suministro de esa información pueda, eventualmente, afectar la seguridad, la defensa nacional, las relaciones exteriores o una investigación criminal, cuestión que en cada caso deberá ser invocada por el titular de la respectiva institución."; Sumario SAIJ Nº A0054151: "Rechazar la acción de habeas data por considerar que los particulares no pueden tener acceso a la información obrante en las fuerzas armadas y organismos de seguridad del Estado "por obvias razones de seguridad pública", constituye una afirmación dogmática carente de razonabilidad, pues al no haberse librado los oficios requeridos, no existe la respuesta pertinente del titular de la institución que haga saber si obra la información requerida y si existen razones que, en definitiva, pudieron impedir al legitimado acceder a ella."

[4]CNCiv., Sala A, 8-9-97, "Pochini, Oscar y otro c. Organización Veraz S. A.", LA LEY 1998B, 3, entre otros.

Derecho Informático
.
	......	UNIVERSIDAD DE BUENOS AIRES Facultad de Derecho y Ciencias Sociales Departamento de Posgrado Programa de Actualización en Derecho Informático, Año 2000 Director: Daniel Ricardo Altmark - Subdirector: Eduardo Molina Quiroga Régimen Jurídico de los Bancos de Datos

INTRODUCCION REGIMEN JURIDICO DE LOS BANCOS DE DATOS por Eduardo Molina Quiroga El Programa de Actualización en Derecho Informático se desarrolla en el área de Posgrado de la Facultad de Derecho de la Universidad de Buenos Aires, bajo la dirección del Dr. Daniel Ricardo Altmark y la subdirección del suscripto. En dicho marco se cursó en el primer cuatrimestre del corriente año el módulo sobre “Régimen Jurídico de los Bancos de Datos”, en el que fuimos docentes además de Altmark y yo, los Dres. Jorge Beckerman y Pedro Dubié. Los trabajos que presentaron los alumnos abarcaron los distintos contenidos del curso, pero en general excedieron largamente la currícula, convirtiéndose en un importante conjunto documental, cuya divulgación en la página de la Asociación de Abogados nos pareció muy importante, sin perjuicio de su presentación en otros ámbitos, como que consta que ya ha sucedido con varios de ellos en Ecomder, por ejemplo. Lo que hemos denominado “Régimen jurídico de los bancos de datos” no sólo está referido al más difundido de sus aspectos, es decir los problemas derivados del tratamiento automatizado de información de carácter personal, y el “hábeas data”. En nuestro programa incluimos la protección legal de los bancos de datos como propiedad intelectual, la relación entre los bancos de datos y la ley penal, y las diversas relaciones contractuales derivadas de la operatoria de un banco de datos. Todos estos temas fueron motivo de trabajos de nuestros alumnos, aunque es evidente que la problemática del tratamiento de los datos de carácter personal fue la que más entusiasmó a los cursantes. Esta cuestión se ha vinculado en nuestro medio, casi con exclusividad, con la protección del derecho a la intimidad, o en su versión más amplia, con el derecho a la privacidad, aun cuando también se emplee el concepto de "autodeterminación informativa", sin perjuicio de destacar la preocupación de algunos autores por incorporar una nueva categoría o especie de derecho personalísimo, el derecho a los datos personales. El almacenamiento y recopilación de datos de carácter personal no es una actividad que haya surgido con la irrupción de la informática. Por el contrario, ya la existencia de los ficheros manuales con datos de carácter personal auguraba los riesgos de datos incompletos, falsos o utilizados para un propósito diferente para el cual se habían recogido, pero la preocupación ha crecido a partir del tratamiento automatizado de esta información personal. La información es un concepto complejo, que se integra con "datos", que son el "antecedente necesario para llegar al conocimiento exacto de una cosa". La información puede definirse como el proceso de adquisición de conocimientos que permiten precisar o ampliar los que ya se tenían sobre una realidad. Cuando el segmento de la realidad que es objeto de información es una persona, estamos frente a datos de carácter personal. La irrupción de la informática obligó a un replanteo del derecho a la intimidad, por la estructuración de grandes bancos de datos de carácter personal, y la posibilidad del entrecruzamiento de la información contenida en los mismos. La toma de conciencia sobre esta circunstancia nos llevó a sostener, hace un tiempo, que el derecho a la intimidad no podía seguir considerándose simplemente la ausencia de información acerca de nosotros en la mente de los demás (el "déjenme solo"), sino que debía adquirir el carácter de un control sobre la información que nos concerniera, o sea la facultad del sujeto de controlar la información personal que sobre él figurara en los bancos de datos, concepto también receptado por importante jurisprudencia nacional. En rigor se denominan datos personales aquellos que permiten identificar a la persona a que pertenecen, y no se consideran tales los que se refieren a personas indeterminadas (el nombre y apellido es un dato personal (nominativo), mientras que la cantidad de personas de género femenino o masculino que concurren a un curso es un dato general). Dentro del género "datos personales" se denominan "sensibles" los referidos a determinadas facetas o aspectos de una persona, tales como el culto que profesa, su pertenencia racial, su ideología política, y en general la información que permite determinar su fisonomía moral e ideológica. La preocupación esencial que rodea el tratamiento de estos datos, además de la tutela del derecho a la intimidad, o vida privada, es sin duda, la posibilidad de discriminación. La categoría de "protección de datos" ha surgido para aplicarse a nuevas realidades jurídicas, que sólo parcialmente, pueden ser descriptas o fundamentadas a través de la noción tradicional de "intimidad", y pensamos que incluso el encuadre como “derecho personalísimo” genera restricciones. El derecho a la "protección de datos" pertenece al contexto de la era informática, y cada día es más dudoso afirmar que esta compleja disciplina legal estuviera ya implícita en las referencias generales al derecho a la intimidad insertas en cuerpos normativos del ámbito nacional o internacional de la era preinformática. El control de la información personal está relacionado con el concepto de autonomía individual para decidir, hasta cierto límite, cuándo y qué información referida a una persona, puede ser objeto de procesamiento automatizado, por lo que también se ha denominado a la protección del dato personal, autodeterminación informativa, e incluso libertad informática. Por otro lado, la protección de los datos personales no se plantea exclusivamente a consecuencia de problemas individuales, sino que también expresa conflictos que incluyen a todos los individuos de la comunidad internacional, problema que es analizado bajo la óptica del flujo internacional de datos. Es preciso advertir que el tratamiento automatizado de datos personales se ha convertido en un arma estratégica de manipulación de conductas individuales, y la aplicación de avanzados métodos telemáticos a la información de carácter personal ha dejado de ser la excepción para convertirse en una rutina diaria. En el ámbito europeo la "Convención para la protección de los individuos con relación al procesamiento automático de datos personales", conocida como la Convención de Estrasburgo y suscripto por veintiún estados europeos (el 21/1/81) ha constituido el antecedente más importante en la materia. Al compás de este movimiento los países fundamentalmente europeos sancionaron una serie de leyes desde la primera, del Land de Hesse de la ex-República Federal de Alemania (7-10-70), la ley federal alemana de 1977 (Federal Data Protection Law); la ley sueca (1973); la ley francesa sobre "Informática, ficheros y libertades" (6-1-78), la ley federal de Austria sobre Protección de Datos Informáticos de Indole personal (18-10-78); las leyes de Dinamarca, “Public Authorities Register Act” (1991) para el sector público y “Private Registers Act" (1987) para el sector privado; la legislación de Noruega (1978); Finlandia (ley 471/87) hasta las más recientes de Portugal (ley 10/91 del 9-4-91); Hungría (1992); Bélgica (8-12-92); España Ley N° 5/92 denominada "Ley Orgánica de Regulación del Tratamiento de Datos" (LORTAD), y finalmente Italia (1996) y Grecia (1997). Más recientemente, Gran Bretaña aprobó la Data Protection Act (1998). También se puede observar una normativa constitucional en Portugal, España, Brasil, Perú, Colombia, Paraguay, así como en Albania (1991), Antigua (1981), Azerbaiján (1995), Bielorrusia (1994) Bosnia-Herzegovina (1992) Botswana (1966) Bulgaria (1991) Cabo Verde (1992), Croacia (1990), Eslovaquia (1991) Eslovenia (1991), Estonia (1992), Fiji (1990), Gabón (1991), Holanda (1983) República Checa (1992), Rusia (1993), Sudáfrica (1996), etc. La última novedad que conocemos es la nueva Ley española de Protección de Datos Personales 15/1999, que modifica parcialmente la ya citada LORTAD. Esta preocupación por la protección del dato personal también se encuentra en las más modernas reformas constitucionales de diversos Estados provinciales en la República Argentina, algunas de las cuales, con buen criterio incorporan expresamente, el denominado derecho de acceso, refiriéndose otras específicamente al impacto de la informática en la materia, como las de Jujuy, La Rioja, San Juan, Córdoba, San Luis, Río Negro, Tierra del Fuego, Buenos Aires, Chubut, Chaco y la Ciudad Autónoma de Buenos Aires. La circunstancia de haber aprobado recientemente (14-9-2000) la Cámara de Diputados de la Nación un proyecto de ley venido en revisión del Senado, al que ha vuelto por haber sufrido modificaciones, otorga gran actualidad a los trabajos de nuestros alumnos que ahora prologamos. El ya mencionado Convenio 108 de Estrasburgo estableció un conjunto de principios básicos para la protección de los datos de carácter personal, bajo el rótulo de "calidad de los datos", que son mantenidos y actualizados en la más reciente normativa europea, que es la Directiva 95/46 del Parlamento Europeo y del Consejo, relativa a la “Protección de las personas físicas en lo que respecta al Tratamiento de Datos personales y a la libre circulación de estos datos”. En virtud de esta normativa, los estados europeos deben prever que los datos personales sean "tratados de manera leal y lícita"; y que sean "recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines", aclarando que "no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando los Estados miembros establezcan las garantías oportunas". También se establece que los datos deben ser "adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente". Deben ser "exactos y, cuando sea necesario, actualizados, debiendo tomarse todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados". Asimismo los datos deben ser conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente, aunque se admite que "los Estados miembros establezcan las garantías apropiadas para los datos personales archivados por un período más largo del mencionado, con fines históricos, estadísticos o científicos". Es importante destacar que son los responsables del tratamiento, es decir la persona física o jurídica que gestiona u opera el procesamiento de la información, quienes están encargados de garantizar el cumplimiento de estos principios de calidad. El principio de la participación individual, consagra el derecho de acceso a los datos que debe ser proporcionado "libremente, sin restricciones y con una periodicidad razonable y sin retrasos ni gastos excesivos", implicando "la confirmación de la existencia o inexistencia del tratamiento de datos que le conciernen, que se informe por lo menos de los fines de dichos tratamientos, las categorías de datos a que se refieran y los destinatarios o las categorías de destinatarios a quienes se comuniquen dichos datos" y "la comunicación, en forma inteligible, de los datos objeto de los tratamientos, y de toda la información disponible sobre el origen de los datos", así como "el conocimiento de la lógica utilizada en los tratamientos automatizados de los datos referidos al interesado, al menos en los casos de las decisiones automatizadas". Esto se refiere al derecho que tienen las personas a "no verse sometidas a una decisión con efectos jurídicos sobre ellas o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, etc.". En segundo término, este derecho comprende la facultad de exigir la "rectificación, supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos". También significa la "notificación a los terceros a quienes se hayan comunicado los datos de toda rectificación, supresión o bloqueo efectuado si no resulta imposible o supone un esfuerzo desproporcionado obtener información de la entidad responsable de los datos acerca de la existencia de datos que le conciernan"; "ser informado dentro de un tiempo razonable y de manera comprensible"; "oponerse a cualquier dato que le concierna y a que esa oposición quede registrada"; "obtener que los datos relativos a su persona, en caso de prosperar su oposición, sean suprimidos, rectificados o completados"; "ser informado de las razones por las cuales se deniega su derecho de acceso o éste no se le concede en lugar, tiempo y forma razonables; oponerse a toda negativa a darle las razones mencionadas precedentemente". La Constitución Nacional con la reforma de 1994 ha consagrado el derecho de toda persona a ejercer una acción de amparo para conocer los datos a ella referidos, así como su finalidad, contenidos en registros públicos y privados, y en caso de ser ellos falsos o discriminatorios, exigir su supresión, rectificación, actualización y confidencialidad. Esta facultad para accionar judicialmente ha sido denominada en nuestro medio "hábeas Data", caracterizada como una subespecie de la acción de amparo o en todo caso como un amparo específico. Hemos dicho que el hábeas data reconoce cierto paralelismo con el hábeas corpus, ya que así como a través de este medio procesal lo que se reclama es que se "traiga el cuerpo" (se lo exhiba, se lo presente), en aquél lo que se impetra es que "se traigan los datos". El objetivo primario de la acción del hábeas data, sería entonces, garantizar que una persona pueda acceder, es decir tomar conocimiento o enterarse, de la información de carácter personal a ella referida y contenida en determinado registro. Así como en el hábeas corpus, el fin mediato de la exhibición del cuerpo, es indagar sobre los motivos de una privación de la libertad, actual e inminente, en el hábeas data, la finalidad del derecho de acceso reside en la posibilidad de verificación de la exactitud, actualidad y pertinencia de los datos personales registrados. Ahondando el análisis del paralelismo, hemos dicho que si en el hábeas corpus, cuando se advierte la ilegalidad de la privación de la libertad, ésta debe cesar de inmediato a efectos de preservar la plena vigencia de dicho derecho fundamental, en el hábeas data, lo que debe cesar es el registro inexacto, desactualizado, o bien calificado como público cuando por su naturaleza debió ser reservado o secreto. En nuestra opinión, no ha sido feliz la asimilación que hace el art.43 a la acción de amparo, en atención a las características particulares que a nuestro entender reviste el hábeas data. Del propio texto del art.43, al utilizar la expresión "esta acción" (para tomar conocimiento de los datos a ella referidos... etc.) debe interpretarse que la efectivización del hábeas data incorporado a la Constitución Nacional, obligaría a su tramitación bajo los presupuestos de la acción de amparo, a que se refiere el primer párrafo del citado artículo, sin perjuicio de algún esclarecedor fallo que distingue claramente los objetivos de una y otra acción[1]. Es de lamentar que no se hayan observado en este aspecto los antecedentes del derecho comparado, tanto extranjero como público provincial[2], en los que se ha dado categoría constitucional a derechos personalísimos, tales como la intimidad, o el honor, se ha prohibido que la información se emplee con fines discriminatorios, e incluso se ha avanzado hacia la consagración del derecho de acceso, rectificación y actualización, pero dejándose abierto el camino a la estructuración de las vías procesales pertinentes por vía legislativa. Así ha ocurrido ya en Chaco, Chubut, Neuquén, Santiago del Estero, Nosotros ha habíamos afirmado que el texto constitucional la otorga a "toda persona", por lo que dada la definición del Código Civil de que "persona es todo sujeto susceptible de adquirir derechos y contraer obligaciones", deben entenderse que comprende tanto a las personas físicas como las personas jurídicas, con el alcance del artículo 33 del Código Civil. El pronunciamiento de la Corte Suprema de Justicia in re "Urteaga" ha ampliado notablemente el significado del texto constitucional al declarar que "Debe admitirse la legitimación invocada por quien reviste la calidad de hermano de quien se supone fallecido, toda vez que la habilitación para accionar de un familiar directo con sustento en el derecho a que se proporciones información, configura una de las alternativas de reglamentación posibles de la acción de hábeas data". Siguiendo a Sagüés la jurisprudencia va reconociendo que "el hábeas data tiene cinco objetivos principales: a) que una persona pueda acceder a la información que sobre ella conste en un registro o banco de datos; b) que se actualicen los datos atrasados; c) que se rectifiquen los inexactos; d) que se asegure la confidencialidad de cierta información legalmente obtenida para evitar su conocimiento por terceros; y e) supresión del requisito de la llamada “información sensible”. Son sujetos pasivos de esta acción tanto los registros o bancos de datos públicos como los privados "destinados a proveer informes". En el caso de los públicos deben considerarse incluidos a todos los registros o bancos de datos pertenecientes u operados por organismos públicos, interpretación que en definitiva ha tenido la Corte Suprema de Justicia en el caso "Ganora"[3]. Finalmente agreguemos que la expansión de la actividad de suministro de informes sobre la conducta comercial o la solvencia patrimonial de las personas, tanto físicas como jurídicas, se ha convertido en fuente de numerosos conflictos, muchos de los cuales se han tratado de resolver judicialmente, por medio del hábeas data, con escaso éxito. Ante la ausencia de una norma regulatoria es interesante mencionar el artículo 29 de la Ley 15/99 española, referido a la prestación de servicios de información sobre solvencia patrimonial y crédito. Esta disposición (que ha inspirado el texto en tratamiento en el Congreso Nacional) determina que quienes se dediquen a la prestación de estos servicios sólo podrán tratar (automatizadamente o no) datos personales obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por el interesado o con su consentimiento, y por otro lado, regula el tratamiento de datos personales relativos al cumplimiento o incumplimiento de obligaciones dinerarias señalando que podrán tratarse dichos datos siempre que sean “facilitados por el acreedor o por quien actúe por su cuenta e interés”. Es interesante la distinción entre dos tipos de bancos de dato, que pueden coexistir en una relación bipolar, pero en cierto modo autónoma. Hay un registro o banco de datos que es del acreedor, que se nutre de los datos personales que son consecuencia de las relaciones económicas mantenidas con el afectado, cuya única finalidad es obtener la satisfacción de la obligación dineraria. Sin duda que no son estos registros los que motivan cuestionamientos. Pero existe otro tipo de banco de datos, común a diversas personas, que unifica los datos personales contenidos en los registros de cada acreedor y tiene por finalidad proporcionar información sobre la solvencia de una persona determinada. Estos son los registros que elaboran las empresas prestadoras de servicios de solvencia patrimonial o cumplimiento crediticio. La Instrucción 1/1995, (1/3/95) de la Agencia española de Protección de Datos, sobre "prestación de servicios de información sobre solvencia patrimonial y crédito” resulta una útil referencia y uno de los aspectos que pretende resolver la mencionada Instrucción es que los responsables de estos bancos de datos, al no ser el acreedor, no tendrían competencia para modificar o cancelar los datos inexactos que se encuentran en aquellos. En función de ello, la Instrucción establece que "la inclusión de los datos personales en los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias debe efectuarse solamente cuando concurra la existencia previa de una deuda cierta, vencida y exigible, que haya resultado impaga y medie requerimiento previo de pago a quien corresponda, en su caso, el cumplimiento de la obligación”. Este criterio ha sido incorporado en el texto que aprobado por Diputados- ha retornado al Senado para su revisión. La nueva ley española ha agregado al ahora inciso 4 del artículo 29 la exigencia que “sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados ... *siempre que respondan con veracidad a la situación actual de aquéllos”.* Es una clara ratificación del principio de “calidad de los datos”, y de la obligación del gestor de un banco de datos de verificar esta circunstancia. Esta exigencia aparece también en el proyecto de ley argentino. Estos requisitos contrastan con la realidad argentina ya que, por ejemplo los juicios iniciados en el fuero Comercial de la Capital, con la simple asignación de juzgado, pero sin siquiera haber sido radicados efectivamente, se dan a publicidad e integran las bases de datos en función de las cuales comercios, bancos y simples particulares adoptan decisiones de incidencia económica (art. 52 RJNCom). La reglamentación española que mencionamos también establece que no pueden incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba documental que aparentemente contradiga alguno de los requisitos anteriores y que tal circunstancia determina igualmente la desaparición cautelar del dato personal desfavorable en los supuestos en los que ya se hubiera efectuado su inclusión en el fichero. Lo destacable es la exigencia para el acreedor, o quien actúe por su cuenta e interés, de asegurarse que concurran todos los requisitos exigidos en esta norma en el momento de notificar los datos adversos al responsable del fichero común. Se especifica que la carga de comunicar del dato inexistente o inexacto, con el fin de obtener su cancelación o modificación, debe efectuarse por el acreedor o por quien actúe por su cuenta al responsable del fichero común en el mínimo tiempo posible, y en todo caso en una semana. Este es otro de los aspectos positivos de la norma en trámite de aprobación legislativa por el Congreso. En cuanto a la metodología para registrar una obligación incumplida indica que debe hacerse en un sólo asiento si fuese de vencimiento único, o en tantos asientos como vencimientos periódicos incumplidos existan señalando, en este caso, la fecha de cada uno de ellos. Es necesario efectuar una notificación por cada deuda concreta y determinada con independencia de que esta se tenga con el mismo o con distintos acreedores, estando a cargo del responsable del fichero adoptar las medidas organizativas y técnicas necesarias que permitan acreditar la realización material del envío de notificación y fecha de entrega o intento de entrega de la misma. La notificación se hace a la ultima dirección conocida del afectado a través de un medio fiable e independiente del responsable del fichero. Otro aspecto digno de tener en cuenta en esta materia es el referido al tiempo de conservación de los informes, que la ley española establece en seis (6) años, frente a la opinión mayoritaria de nuestros tribunales que la estira a diez años[4], cuyo cómputo se inicia a partir de momento de la inclusión de los datos personales desfavorables en el fichero y, en todo caso, desde el cuarto mes contado a partir del vencimiento de la obligación incumplida o del plazo concreto de la misma si fuera de cumplimiento periódico. El proyecto a que hemos aludido reduce a dos años cuando la obligación se extinguido por cualquier modo y a cinco cuando es una obligación vigente, salvo que provenga de un concurso o falencia, que se mantiene durante diez años. Por otro lado, en España, las empresas que se dedican a proveer este tipo de informes deben someterse a auditorías, que dictaminan sobre la adecuación de las medidas y controles destinados a garantizar la integridad y la confidencialidad de los datos personales almacenados o tratados, identificar sus deficiencias e insuficiencias y proponer las medidas correctoras o complementarias necesarias. Concluyendo esta introducción, reiteramos algunas de nuestras convicciones en este tema. Constituyen violaciones a la autodeterminación informativa (protección de datos personales) la utilización o empleo de la información personal, especialmente la inserta en los registros automatizados de un Banco de Datos, con una finalidad diferente a la declarada o propuesta al ser ingresados los datos al registro, lo que abarca desde la entrega de “mailings” para técnicas de "telemarketing", hasta actividades mucho más preocupantes, como el entrecruzamiento de información personal entre distintas oficinas estatales, o la apropiación de registros de entidades privadas por parte del Estado. En la misma línea debemos incluir la difusión de estos datos con un fin distinto al propuesto, sin el expreso consentimiento del titular de los datos personales o sus sucesores. Por ello es que venimos proponiendo que debe establecerse una prohibición absoluta para la colecta de datos personales en bases de datos informatizadas, cuando estos estén referidos a los denominados “datos sensibles”, tales como raza, religión, ideología, conducta sexual. Los datos personales referidos a enfermedades deben ser registrados con severas restricciones de acceso por parte de terceros, y en particular aquellas que como el SIDA, o la convivencia con VIH tienen grave potencialidad discriminatoria, sólo podrían registrase con métodos de codificación o encriptamiento, que restrinjan el máximo posible su acceso por personas que no sean el concernido y quienes este autorice expresamente por escrito. Cuando estas conductas se presenten, el daño es objetivo. Esto implica afirmar que las responsabilidades generadas por la violación del derecho a la protección de datos tienen un factor de atribución objetivo. En materia contractual el fundamento de esta responsabilidad reside en que el daño es causado por una violación del deber de seguridad que tiene todo gestor de una base de datos personales. Este tiene una obligación de resultado, consistente en garantizar que los datos personales no serán difundidos ni empleados para un fin distinto al tenido en cuenta al ser ingresados al Banco de Datos. En materia extracontractual, el fundamento de la responsabilidad reside en la circunstancia de considerar a la actividad informática destinada a la recolección, almacenamiento y recuperación de datos personales como una actividad peligrosa en sí misma, por el riesgo creado, consistente en el potencial uso indiscriminado de la información personal registrada en un banco de datos informatizado. Para hacer efectiva esta protección es necesario que toda persona pueda acceder, mediante un mecanismo eficaz y gratuito a los datos personales que le conciernan, para que no termine desnaturalizándose la garantía constitucional al imponerse exigencias que obstaculicen o neutralicen el derecho de acceso oportuno a los datos personales. Por ello creemos que los jueces deben ser muy restrictivos para rechazar in límine una acción de amparo, hábeas data, o similar, dirigida a conocer datos de carácter personal cuando los requiera el afectado. El derecho de acceso, implica necesariamente la facultad de solicitar la corrección de esos archivos de datos personales, frente a las inexactitudes que pudieran contener los respectivos registros, ya sea porque el dato fue mal informado o erróneamente ingresado al sistema. El mismo derecho asiste en caso de ser necesaria la actualización de los datos personales, especialmente los contenidos en ficheros informáticos y también integra el derecho a la autodeterminación informativa la facultad de eliminar los registros de datos personales que han caducado, o prescripto, no debiendo conservarse por ningún medio. Sin perjuicio de estas consideraciones que ya hemos formulado en otras ocasiones, lo que ahora queremos proponer es que se considere como un uso arbitrario, abusivo, no razonable de la información, generador de derecho al resarcimiento toda decisión con efectos jurídicos sobre una persona o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta. Creemos que para ello es menester establecer que, cuando existan informes comerciales o patrimoniales negativos, que no estén respaldados por la existencia de una deuda vencida y exigible, que haya resultado impaga y medie requerimiento previo de pago al deudor, o cuando exista un documento que contradiga la existencia de esta obligación, y se adopte una decisión que perjudique a la persona referida en los informes (rechazo de una solicitud crediticia, de una oferta contractual, etc.) debe presumirse que se ha obrado en forma arbitraria. En tal sentido, en la XIII Conferencia Nacional de Abogados, celebrada en Jujuy en abril de este año, la Comisión 2 sobre Persona, recomendó: “Constituyen violaciones a la autodeterminación informativa (protección de datos personales) la utilización o empleo de la información personal, especialmente la inserta en los registros automatizados de un Banco de Datos, con una finalidad diferente a la declarada o propuesta al ser ingresados los datos al registro”. “Debe establecerse una prohibición absoluta para la colecta de datos personales informatizados referidos a los “datos sensibles” (por ej. raza, religión, ideología, conducta sexual). Los datos personales referidos a enfermedades deben ser registrados con severas restricciones de acceso por parte de terceros, y en particular los de SIDA, o la convivencia con VIH”. “Debe establecerse que toda persona pueda acceder, mediante un mecanismo eficaz, rápido y gratuito a los datos personales que le conciernan”. “El derecho de acceso, implica necesariamente la facultad de solicitar la corrección de esos archivos de datos personales, frente a las inexactitudes que pudieran contener los respectivos registros, ya sea porque el dato fue mal informado o erróneamente ingresado al sistema. El mismo derecho asiste en caso de ser necesaria la actualización de los datos personales, especialmente los contenidos en ficheros informáticos y también integra el derecho a la autodeterminación informativa la facultad de eliminar los registros de datos personales que han perdido vigencia, no debiendo conservarse por ningún medio”. “Debe considerarse un uso arbitrario o no razonable de la información, generador de derecho al resarcimiento toda decisión con efectos jurídicos sobre una persona o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad (rendimiento laboral, crédito, fiabilidad, conducta, etc.)” “Cuando existan informes patrimoniales negativos, que no estén respaldados y se adopte una decisión que perjudique a la persona referida en los informes debe presumirse que se ha obrado en forma arbitraria, siendo aplicable el instituto del abuso del derecho”. En resumen, los excelentes trabajos que he pretendido prologar con estas apresuradas reflexiones constituyen una importante y pocas veces reunida información sobre el conjunto de problemas y desafíos que nos plantean los datos, su reunión y explotación en grandes bases, los contratos que se vinculan con ellos, así como las soluciones y dificultades que plantea una adecuada protección legal del trabajo intelectual, incluidos los aspectos penales del tema. Mi agradecimiento a los autores que autorizaron su difusión en este sitio, y a su responsable el Dr. Carlos A. Acquistapace, infatigable artesano de esta maravillosa realidad que es “aaba.org.ar”. Eduardo Molina Quiroga 30 de setiembre de 2000 [1] SC Mendoza, 17/11/1997, "Costa Esquivel, Oscar A. c. CO.DE.ME.", LA LEY 1999-B,588. [2] Jujuy (art.23); San Juan (art.26); Córdoba (art.50); San Luis (art.21); Río Negro (art.20); Tierra del Fuego (art.45), Chaco (art.19) y Chubut (art.56). [3] Cf. Fallo citado (LA LEY 2000-B,79); ver Sumario SAIJ Nº A0054150: "En principio, la obtención de información sobre datos personales obrantes en los organismos y fuerzas de seguridad halla adecuación legal en la acción de habeas data, sin perjuicio de que el suministro de esa información pueda, eventualmente, afectar la seguridad, la defensa nacional, las relaciones exteriores o una investigación criminal, cuestión que en cada caso deberá ser invocada por el titular de la respectiva institución."; Sumario SAIJ Nº A0054151: "Rechazar la acción de habeas data por considerar que los particulares no pueden tener acceso a la información obrante en las fuerzas armadas y organismos de seguridad del Estado "por obvias razones de seguridad pública", constituye una afirmación dogmática carente de razonabilidad, pues al no haberse librado los oficios requeridos, no existe la respuesta pertinente del titular de la institución que haga saber si obra la información requerida y si existen razones que, en definitiva, pudieron impedir al legitimado acceder a ella." [4]CNCiv., Sala A, 8-9-97, "Pochini, Oscar y otro c. Organización Veraz S. A.", LA LEY 1998B, 3, entre otros.
. AABA Home Page .........AABA E-Mail: Ultima revisión y actualización de esta página: 01/10/2000 19:47:46 (c) Asociación de Abogados de Buenos Aires, 1998/2000

	ASOCIACION DE ABOGADOS DE BUENOS AIRES
	Uruguay 485, piso 3* - (CP 1015) Buenos Aires - Argentina Teléfono: + (54 11) 4 371 8869 - Fax:+ (54 11) 4 375 4042 Web: http://www.aaba.org.ar - Mail: aabacoin@pccp.com.ar