Regimen juridico de los bancos de datos

a- En materia informática, al igual que en cualquier otra actividad, intervienen distintos entes –físicos o jurídicos- que desarrollan determinadas tareas en orden a un todo que, en el caso, será la operatoria de un banco de datos.

Los agentes participantes en tal actividad se vincularán entre sí mediante sendas relaciones jurídicas, cada una de ellas nutridas por un contenido obligacional particular signado por la naturaleza del ligamen y aun por las funciones correspondientes a las partes.

La determinación de las incumbencias que les son propias a cada una de éstas, pues, resulta trascendente en cuanto generadoras de eventuales responsabilidades en caso de incumplimiento total o parcial de las mismas.

Según cómo se haya establecido el vínculo de derecho entre reclamado y reclamante, su carga de responder por los perjuicios originados se enmarcará en el ámbito contractual o extracontractual variando –según su encuadre- la extensión del resarcimiento.

b- Como se advierte, la faz subjetiva derivada de la operatoria de un registro informatizado de datos supone distintas perspectivas de estudio.

El presente ensayo aborda la temática propuesta desde el aspecto que, consideramos, resulta basamento de todo análisis que se emprenda sobre cualquier otro de los temas involucrados en la materia –especialmente el de la responsabilidad-.

En el orden adoptado para la preanunciada investigación, se caracterizará a cada uno de los sujetos intervinientes en la actividad del banco de datos, desentrañando luego las distintas vinculaciones jurídicas posibles entre los mismos -estructuradas en “relaciones jurídicas internas” y “relaciones jurídicas externas”-, así como las obligaciones correspondientes a cada uno de ellos.

A tal fin, las formulaciones doctrinarias recogidas han sido enriquecidas con el análisis de tres normas señeras en materia de tratamiento informatizado de datos personales, cuales son la Ley Orgánica de Regulación del Tratamiento Automatizado de Datos N° 5/92 (LORTAD) -y su continuadora en el sub studio, Ley Orgánica de Protección de Datos de Carácter Personal N° 15/99 (LOPDCP)-, en tanto referentes indiscutidos de todo intento legislativo nacional sobre la materia; el Fair Credit Reporting Act (FCRA), en su carácter de saliente manifestación del derecho anglosajón en el sub examine; y la Directiva de Protección de Datos Personales de 1995 (DPDP), en virtud de haber sido la norma europea homogeneizante de los criterios nacionales sobre la materia.

II- Sujetos intervinientes en la operatoria de un banco de datos

Los sujetos directa o indirectamente intervinientes en la operatoria de un banco de datos son:

II.1- Titular, gestor o responsable del banco de datos

a- Corresponde ubicar en esta categoría a la persona física o jurídica que, frente al usuario y al titular del dato, aparece como sujeto responsable por la actividad que desarrolla el banco de datos en su conjunto, aun cuando el daño haya sido causado por alguno de los sujetos incluídos en el estamento subsiguiente por los que deba responder.

Dicha obligación reparadora le viene dada por la coordinación que ejerce sobre los distintos elementos objetivos y subjetivos convergentes en el desenvolvimiento del registro informatizado.

Es, en definitiva, aquél en quien primero se piensa como “dueño” de la base de datos de que se trate.

b- La figura sub studio merece numerosas caracterizaciones doctrinarias y legislativas, con otras tantas denominaciones.

En esta línea, suele referirse al “productor del banco de datos”[i], “creador del banco de datos”[ii], “titular del banco de datos”[iii], “responsable del fichero”[iv], “responsable del tratamiento”[v], “encargado del banco de datos”[vi], “gestor del banco de datos”[vii], etc.

Cualquiera sea la calificación atribuida, este actor descolla por detentar una relación de supremacía respecto de los demás sujetos que intervienen en las denominadas “relaciones jurídicas internas del banco de datos” (v. infra III.2).

c- La tipificación del agente en estudio resulta de considerar circunstancias inmanentes y no meramente formales, como son las funciones por él desarrolladas.

En esta tesitura, se caracteriza porque concibe el proyecto de gestión del banco de datos mediante la definición de sus objetivos y finalidad, determina la consecuente naturaleza de la información a registrar así como el tenor de las registraciones, define la unidad de registro y formato del documento, organiza y coordina la producción[viii].

En algunos casos, su actividad abarcará también la colección y evaluación de la información, elaboración de los datos –mediante el análisis, la interpretación y la indexación de los documentos primarios o bien la redacción de los abstracts- y otorgamiento del informe requerido.

En tanto verdadero pivote de toda la actividad desplegada en torno al banco de datos, su titular resulta asimilable a la figura del “principal” y –por lo mismo- adviene primer responsable contractual o extracontractual de la gestión del registro y de las consecuencias dañosas emergentes de la conducta de sus dependientes en el ejercicio de su actividad (art. 1113 Cód. Civ., primera parte)[ix].

Contra este operador, pues, se dirigirán –en principio- todos los reclamos derivados de la labor de la base informatizada y aun de los datos contenidos en la misma.

II.2- Agentes vinculados al titular, gestor o responsable del banco de datos

a- Junto al productor o gestor, intervienen otras entidades –físicas o jurídicas- que, generalmente bajo la dirección y coordinación de aquél, desempeñan un segmento específico en la cadena de actividades necesarias para el mejor desenvolvimiento del registro[x].

Dall’Aglio encuadra en esta categoría a todos aquellos sujetos que median en la puesta en marcha y en la realización técnica del sistema, quienes aparecerían como colaboradores de quien organiza y mantiene en actividad al sistema mismo, estén ellos vinculados con el último por una relación de trabajo autónomo o de trabajo subordinado[xi].

- Proveedor del dato: es aquella persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o junto con otros, pone a disposición del banco de datos la información que será contenida por sus archivos, sin perjuicio del procesamiento que sobre el material acercado se realice.

Por lo general, el proveedor del dato –o “productos de información primaria” [xii]- es, en sí mismo, un banco de datos específico, cuya información versa sobre un determinado aspecto de la realidad correspondiente al objeto de tratamiento[xiii].

Cuando así ocurre, su principal finalidad no consistirá –de ordinario- en brindar informes acerca del contenido de sus archivos –informatizados o no- los cuales son mantenidos al solo fin de la entidad, sin perjuicio de la publicidad que de los mismos desee emprender mediante una organización especialmente dedicada a ello[xiv].

Precisamente, su función de proveimiento se despliega cuando transmite el dato en cuestión a una base de datos que, integrando la información de tal modo colectada, la organiza y complementa a fin de abarcar un segmento de información mayor que el eventualmente alcanzado por los datos aisladamente transmitidos[xv].

De allí que, en sentido amplio, la noción de “proveedor de datos” pueda llegar a confundirse con la de “banco de datos” en tanto se defina al último como todo fichero documental y estructurado de datos –específicos o complejos-, accesible con arreglo a un determinado criterio lógico-formal[xvi].

Conforme a la descripción que antecede, las principales obligaciones del proveedor se concentran –en lo que al thema sub studio interesa- en los datos suministrados, los cuales deberán reunir las mismas cualidades exigibles a la información brindada por cualquier banco de datos en general.

Tal corrección representa, en verdad, una calificación unificadora y aglutinadora de múltiples cualidades que debe reunir los datos informados.

Por lo pronto, la información es correcta en cuanto no resulta errónea ni defectuosa.

“El error es producto de una equivocación o de una falsedad. Se presenta cuando no existe correspondencia entre el hecho o segmento de la realidad que debe representarse, y la información.

El defecto es la carencia o falta de cualidades propias y naturales de una cosa. Una información defectuosa es aquella que es incompleta o no es auténtica”[xvii].

La corrección de la información requiere que la misma sea adecuada, actual y completa.

La información es adecuada cuando, además de relacionarse con el requerimiento formulado por el usuario, responde a la finalidad misma y a la naturaleza del banco de datos[xviii].

La exigencia de actualidad, que supone la vigencia de la información, resulta atenuada en caso de requerirse información histórica (v.gr., con fines de investigación, estadística u otros similares)[xix].

Por su parte, la noción de completitud –de alcances relativos-, implica que el registro contiene la totalidad de la información requerida[xx].

La información correcta, finalmente, debe ser sumnistrada al usuario en tiempo útil, de manera que pueda valerse de ella cuando necesite utilizarla[xxi].

- Encargado del tratamiento: es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento[xxii].

El “tratamiento de datos personales” es tomado aquí en su más amplia concepción, abarcativa de cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicada a datos personales, como la colección, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción[xxiii].

- Servidor: su función en el desenvolvimiento del banco de datos es de estricta técnica informática, pues se trata del centro de cómputos que contiene digitalmente archivada la información tratada por el registro, permitiendo su recuperación y generación informática por los potenciales usuarios, a través de terminales remotas telemáticamente conectadas[xxiv].

Para un mejor desempeño, la persona física o jurídica, autoridad pública, servicio u otro organismo encargado de esta función, deberá desarrollar y actualizar los programas específicos de carga y recuperación de la información[xxv].

Entre sus obligaciones se incluye, asimismo, la provisión de energía informática[xxvi].

- Distribuidor: es la persona física o jurídica, autoridad pública, servicio u otro organismo encargado de comercializar el producto final a los potenciales interesados[xxvii].

Altmark y Molina Quiroga enseñan que la función en comentario importa distintas subfunciones o funciones conexas, determinantes de otras tantas obligaciones contractuales complejas con las consecuentes responsabilidades de cada una de las partes.

“a- promoción del banco de datos: comprende las distintas formas de publicidad y las demostraciones que conforme a la naturaleza del producto banco de datos, son de importancia primordial;

b- contratación y facturación: el contrato entre distribuidor y usuario constituye uno de los ámbitos contractuales emergentes de la operación de un banco de datos;

d- servicio de posventa: atención de las dificultades del usuario en la utilización y aprovechamiento de la información ofrecida;

e- intermediación entre el distribuidor y el usuario: para los casos en que el usuario no recupera en forma directa la información requerida utilizando su terminal remota (…);

f- transporte de la información: esta subfunción se refiere a las distintas vías de acceso al banco de datos por medio de terminales remotas (…).

En nuestro país (…), las posibilidades de transporte de la información pueden resumirse en las siguientes:

II.3- Usuario: es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solicita la comunicación del dato.

Si bien la consideración de este sujeto no es usual entre la doctrina consultada, resulta insoslayable analizar las implicancias de su situación jurídica toda vez que existen obligaciones específicas a su cargo en la materia, según resulta de distintos cuerpos normativos extranjeros.

En esta línea, el Fair Credit Reporting Act (FCRA)[xxix] prevé los siguientes deberes a su cargo:

1- manifestación de la finalidad a la que destinará la información recabada[xxx];

2- comunicación al registro y al concernido acerca de las consecuencias disvaliosas verificadas por la utilización de la información que el primero ha brindado[xxxi].

El art. 11, inc. 5 de la LOPDCP, por su parte, involucra más profundamente al usuario en su rol de agente ligado a la operatoria del banco de datos, en cuanto dispone: “Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley”.

II.4- Titular del dato: es la persona física o jurídica a quien se refiere el dato informáticamente tratado.

Resulta particularmente llamativa la disímil consideración de este agente por la legislación internacional confrontada.

Tanto la LORTAD como la LOPD, en cambio, lo contemplan expresamente aunque limitando su alcance a las personas físicas, lo cual se explica en razón de ser objeto de dichas normas la limitación del uso de la informática y otras técnicas y medios de tratamiento automatizado de datos de carácter personal, en aras a garantizar el honor, la intimidad personal y familiar de los entes de existencia visible y el pleno ejercicio de sus derechos.

No siendo propio del estudio aquí emprendido el coto subjetivo transcripto, consideramos admisible la extensión de esta categoría a las personas de existencia ideal.

De tal suerte, pues, una sociedad –o cualquier otra persona jurídica- podrá ser afectada si se divulga información inexacta atinente a la misma.

En todo caso, la afección no será en su intimidad sino en algún otro aspecto propio de su naturaleza, quedando igualmente legitimada para reclamar las responsabilidades que fueran procedentes.

Fuera de la relación que lo vincule a alguno de los protagonistas enumerados, la legislación española reconoce al titular del dato el derecho a no verse sometido a una decisión con efectos jurídicos –sobre ellos o que les afecte de manera significativa-, que se base únicamente en un tratamiento de datos destinado a evaluar aspectos de su personalidad (art. 13, inc. 1, LOPDCP).

De la misma manera –y siempre en el ordenamiento ibérico-, el afectado puede impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.

En tal caso, el concernido tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto (art. 13, incs. 2 y 3, LOPDCP).

Sólo si el titular del dato así lo solicita, la valoración sobre su comportamiento basada en un tratamiento de datos podrá tener valor probatorio (art. 13, inc. 4, LOPDCP)[xxxii].

Individualizados los actores intervinientes en la operatoria de una base de datos, corresponde analizar cómo se vinculan jurídicamente entre sí, delineando al mismo tiempo el contenido obligacional nutriente de los vínculos de derecho resultantes.

En punto a un mayor orden expositivo, el desarrollo del preanunciado estudio se abordará según el siguiente esquema:

III.2- Relaciones jurídicas internas

a- Esta primera categoría de estudio se refiere a los ligámenes obligaciones existentes entre el gestor del banco de datos y sus colaboradores.

Sin perjuicio de recordar que las funciones desempeñadas por cualquiera de los sujetos intervinientes en la actividad del registro pueden ser asumidas directamente por el titular del mismo[xxxiii] –obviando con ello uno o varios eslabones de la cadena operativa-, la mayor profundidad del análisis emprendido requiere que se contemple aquel supuesto más complejo, en que cada agente atiende, en forma excluyente, su propia incumbencia.

b- Los criterios subsiguientemente sentados resultan de considerar la existencia de sendas relaciones contractuales entre las partes del caso, toda vez que en el esquema propuesto sólo corresponderá ubicar la hipótesis de vinculación extracontractual en el ligámen existente entre el concernido y el gestor –relación jurídica externa-.

Salvedad hecha del último supuesto, los contratos en torno a los cuales se anuden las relaciones jurídicas restantes, tendrán como contenido prestaciones de resultado -cualquiera sea la estructura jurídico formal adoptada para contenerlas[xxxiv]- circunstancia de gravitancia al momento de determinar las respectivas responsabilidades.

III.2.1- Relación jurídica entre el gestor del banco de datos y el proveedor de datos

a- Las principales obligaciones que tocan al proveedor de datos serán en torno a la información suministrada, correspondiendo aplicar en este punto lo explicitado supra II.2.

Ello, sin perjuicio de obligaciones particulares que resultarán de las características mismas de la operatoria particular emprendida.

b- La responsabilidad del gestor frente al proveedor suele generarse cuando los documentos de primer grado suministrados se incorporan con variantes no autorizadas por su autor, o bien se registran documentos cuyo tratamiento no ha sido permitido o, finalmente, se incorpora el dato en forma inexacta[xxxv].

Frente al supuesto genérico originado por la inadecuación del documento de segundo grado respecto a su par de primer grado, la responsabilidad generada resulta de haberse afectado:

1- los derechos intelectuales del autor, tanto en su faz moral como patrimonial;

2- el derecho a la identidad personal y a la veracidad, cuyos titulares son el autor del documento infielmente incorporado y los usuarios, respectivamente[xxxvi].

III.2.2- Relación jurídica entre el gestor del banco de datos y el encargado del tratamiento

a- De la misma caracterización del “encargado del tratamiento” resulta la amplitud de su actividad y, por ende, de las respectivas obligaciones que asume[xxxvii] (v. retro II.2).

Su exacto cumplimiento dependerá, sin embargo, de la estricta colaboración del productor.

b- En este orden, corresponderá al titular del registro indicar en forma puntual, expresa, clara, precisa e inteligible cuál es el fin para el que se colectan los datos, circunstancia sustancialmente aneja a la naturaleza y finalidad misma del banco de datos.

Cumplida esta obligación principalísima del responsable, el encargado del tratamiento deberá observar las siguientes cargas[xxxviii]:

1- recoger y tratar los datos de manera leal y lícita[xxxix], en forma adecuada a la naturaleza del registro y a los fines recabados, absteniéndose de emplear medios fraudulentos en uno como en otro caso[xl];

2- recogerlos con vista al fin determinado, explícito y legítimo indicado por el productor, absteniéndose de tratarlos actual o posteriormente de manera incompatible con dichos fines[xli];

4- conservarlos durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente[xlii];

5- en caso de así exigirlo la naturaleza del dato en cuestión o la legislación positiva, le competirá recabar el consentimiento[xliii] del interesado para el tratamiento del mismo absteniéndose de dar tratamiento a los datos respecto de los cuales no se brindó la anuencia exigida;

6- adoptar las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse, correspondiendo al gestor velar por su cumplimiento[xliv].

En el derecho continental europeo, la DPDP pone tanto en cabeza del gestor –“responsable del tratamiento”- como del encargado del tratamiento la obligación de observar las pautas específicamente establecidas por los Estados miembros para aquellos tratamientos que puedan suponer riesgos específicos para los derechos y libertades de los interesados.

A fin de garantizar la incolumnidad de tales prescripciones, queda a cargo de los mismos obligados notificar dicho tratamiento a la autoridad de control -creada a la luz de aquél instrumento- con carácter previo a su inicio[xlv].

7- almacenar los datos de manera tal que se permita el ejercicio del derecho de acceso por parte del afectado;

8- informar a los afectados de modo expreso, preciso e inequívoco todas aquellas circunstancias que resulten necesarias para identificar al banco de datos así como sus derechos de abstención de respuesta a los datos cuya información se solicita.

9- confidencialidad respecto de los datos recabados, obligación que deberá observar aun después de finalizar su relación con el titular del banco de datos.

Esta carga no es exclusiva del encargado del tratamiento, sino que –como se verá- resulta extensiva a todas las personas que intervengan en cualquier fase del tratamiento de los datos personales.

c- El cúmulo de obligaciones a cargo del encargado del tratamiento no se agota en la enumeración precedente.

Si bien los supuestos indicados advienen referentes cardinales en su actividad, los mismos no son de modo alguno excluyentes de cualquier otra carga que deba soportar en orden al adecuado desempeño de la misma.

La particularidad radica, sin embargo, en que la responsabilidad del encargado del tratamiento por el incumplimiento de aquellas prescripciones, sólo podrá hacerla efectiva el titular o gestor del banco de datos en la relación interna que ambos mantienen, pues siendo el primero dependiente del último –o aun cuando, sin serlo, estén vinculados sin lazos de dependencia-, los afectados por las mismas inobservancias guiarán su reclamo directamente contra éste, asimilable, al efecto, al banco de datos considerado en sí mismo (art. 1113 primera parte Cód. Civ.).

Esta obligación de garantía del titular del banco de datos ha sido expresamente contemplada por los arts. 6, apartado segundo; 17, incisos 2 y 3 y 23 de la DPDP.

En el caso de la LORTAD –igual que en la LOPDCP-, la ausencia de toda mención del encargado del tratamiento determina que las obligaciones antes enumeradas, se atribuyan directamente al “responsable del fichero” cuando no al “fichero” mismo –con lo cual resulta más clara la asimilación entre el banco de datos y su titular y, en definitiva, la responsabilidad del último por idénticas cargas (vgr., arts. 4, 5, 6, 9, 10, entre otros)-.

III.2.3- Relación jurídica entre el gestor del banco de datos y el servidor

Conforme enseña la doctrina[xlvi], el contenido del vínculo bajo examen se desenvuelve en torno a dos obligaciones específicas relativas a las siguientes cuestiones:

i) Acceso al banco de datos: entre las principales obligaciones constitutivas de la prestación del servidor, encontramos aquélla en cuya virtud debe disponer de los medios técnicos suficientes y adecuados para asegurar el efectivo acceso al banco de datos, en las condiciones contractualmente establecidas y generalmente referidas al horario de la prestación del servicio, velocidad de respuesta, atención simultánea a determinado número de usuarios, medios técnicos suficientes, etc..

Para asegurar el mejor cumplimiento de la carga antedicha, resultará necesario prever las distintas alternativas que pudieren acaecer, así como el modo de proceder para superarlas, las cuales integrarán también el contenido de la prestación[xlvii].

La inobservancia total o parcial de los indicados deberes, podrá ser denunciada por los usuarios del banco de datos –afectados como se verán-, o bien reclamado su cumplimiento directamente por el productor.

El alcance de las obligaciones correspondientes a cada una de las partes dependerá de las particularidades contractualmente contempladas (art. 1197 Cód. Civ.).

No obstante ello, la doctrina añade a los elementos ya considerados: “Otro aspecto importante que debe ser tomado en cuenta en la negociación y redacción de estos contratos, es el referido a las condiciones determinadas en las cuales el service podrá introducir modificaciones en el software de interrogación, en la medida en que tal cambio afecte la naturaleza o normal explotación del banco de datos.

a) el cambio de que se trate no deberá importar deterioro en la calidad de prestación del servicio;

b) no podrá importar cargas suplementarias a cargo del productor-distribuidor, en conceptos tales como recarga de documentos, recapacitación de usuarios”[xlviii].

ii) Proceso de captura de datos: este aspecto de las cargas obligacionales correspondientes al servidor, se halla íntimamente vinculado a la eventual existencia de un agente específico –proveedor de datos- que, en caso de existir, ejercerá una función que reviste carácter previo a la del servidor.

En este orden, y en el supuesto de integrarse la cadena operativa del banco de datos con la totalidad de los sujetos oportunamente enumerados, el contenido de la obligación del caso consistirá en asegurar los medios técnicos que permitan la constante actualización de los datos suministrados por el proveedor –sea que la nueva información a ingresar provenga del último o del mismo servidor-, así como la detección de errores y control de calidad del documento.

No existiendo proveedor de datos, sus tareas podrán ser asumidas por el servidor, de modo que su primera obligación consistirá en la provisión de los datos integrantes del registro[xlix].

III.2.4- Relación jurídica entre el gestor del banco de datos y el distribuidor

La distribución del banco de datos puede ser asumida con exclusividad, admitiéndose pacto en contrario.

Entre las principales previsiones contractuales aconsejadas por los autores[l], corresponde mencionar las referentes a los siguientes aspectos:

1- contenido de la obligación de promoción y capacitación de los usuarios, con expresa referencia a deberes de cooperación entre las partes, especialmente cuando la distribución del banco de datos no se realice con exclusividad;

2- mecanismos que aseguren la fijación de común acuerdo de las tarifas de acceso y utilización, así como el monto de la renta debida al productor y sus condiciones de pago;

3- derecho del productor a acceder a información sobre los usuarios –especialmente en lo relativo a los datos por ellos solicitados y a su forma de efectivización-.

a- Las relaciones jurídicas externas derivadas de la operatoria del banco de datos presentan mayor complejidad que las estudiadas precedentemente, ya que suponen la vinculación del banco de datos –a través de su titular- con el usuario y los concernidos.

El alcance subjetivo de esta categoría obligacional se ha limitado intencionalmente al supuesto indicado, ya que si bien resulta fácticamente posible que los agentes externos establezcan lazos contractuales directos con cualquiera de los colaboradores del gestor, resulta difícil imaginar que sea con vista a recabar informes, pues difícilmente pueda cumplirse tal cometido actuando aisladamente tales sujetos.

Por el contrario, la correcta operatoria del banco de datos requiere de la ineludible intervención de las funciones antes indicadas, sin perjuicio de que –como sobradamente se señalara- ellas puedan concentrarse –todas o algunas- en el propio gestor o en alguno de sus asistentes.

b- Las relaciones anudadas en este ámbito, podrán revestir –según el caso-, naturaleza contractual o extracontractual, determinando tal carácter la responsabilidad pertinente en cada supuesto[li].

III.3.1- Relación jurídica entre el gestor del banco de datos y el usuario

a- La contratación entre el gestor del banco de datos y el usuario requirente de información, se estructurará en base a obligaciones recíprocas de ambas partes.

Desde el productor, tales deberes se referirán a su prestación principal como también así a aquellas otras que resultan conexas de la primera.

b- Por definición, la prestación sustancial del titular de la base de datos es la de proveer el informe requerido por el usuario, observando pautas mínimas obligatorias referentes a los datos constitutivos de la información tratada.

Dado que en su relación con los usuarios el banco de datos resulta un verdadero proveedor de datos, corresponde aplicar aquí las directivas sentadas supra II.2 acerca de las características propias de la información brindada.

c- La obligación de proporcionar información correcta, actual, completa[lii] y oportuna, determina una responsabilidad objetiva a cargo del gestor basada en la obligación de resultado de tal modo asumida y en el deber de seguridad[liii] a su cargo.

Para eximirse de tal responsabilidad, no bastará con que demuestre que la base de datos estuvo a disposición del usuario, sino que deberá acreditar la culpa de un tercero por quien no debe responder, o bien el casus extraño al riesgo propio del sistema computarizado.

Este criterio sobre la materia se funda en el desequilibrio de fuerzas que supone la situación técnico-jurídica de cada una de las partes involucradas.

Al respecto, explican los autores: “…si fuera el usuario quien debiera acreditar la culpa del gestor en el incumplimiento de la obligación, sería muy difícil invocar esta responsabilidad, frente a la casi imposibilidad de determinar las causales por las cuales, por ejemplo, una investigación tiene resultados negativos.

Este resultado negativo podría imputarse a la incapacidad del usuario para efectuar la investigación misma.

Como el gestor del banco de datos está en mejores condiciones de aportar los elementos necesarios, puede demostrar que la información requerida era correcta y estaba disponible en el momento oportuno, para exonerarse de responsabilidad.

Otra causa de exoneración puede consistir en que la causa del mal funcionamiento y de los consiguientes atrasos o interrupciones en el servicio se deben, a menudo, a razones de fuerza mayor, como defectos de la red de transmisión”[liv].

En aras a reforzar el fundamento antecedente, la mayoría doctrinaria tacha de abusiva toda cláusula de exoneración de responsabilidad del gestor[lv].

d- En el régimen del FCRA se establecen responsabilidades tanto a cargo del productor como del usuario frente al concernido, variando el régimen aplicable según el grado de intencionalidad verificado en la conducta sancionada.

Tratándose del incumplimiento intencional –por la “agencia de información” o por el usuario- de cualquiera de los requisitos impuestos por esta norma, el responsable verá extendida su obligación resarcitoria a los siguientes rubros: a) todo daño y perjuicio real que haya sufrido el “consumidor” –es decir, el titular del dato- como resultado del incumplimiento, b) un monto por daños punitorios que el tribunal conceda; c) en el caso de cualquier acción exitosa para ejecutar cualquier obligación conforme al presente artículo, los costos de la acción junto con los honorarios razonables del abogado según lo determine el tribunal –costos y costas- (ac. 616).

En cambio, si hubiere mediado incumplimiento negligente, la reparación comprenderá: a) todo daño y perjuicio real que haya sufrido el consumidor como resultado del incumplimiento; b) en caso de cualquier acción exitosa para ejecutar cualquier obligación conforme el presente artículo, los costos de la acción junto con los honorarios razonables del abogado según lo determine el tribunal –costos y costas- (ac. 617).

III.3.2- Relación jurídica entre el gestor del banco de datos y el concernido

a- Es “persona concernida” aquel sujeto de derecho físico o jurídico a quien corresponden los datos contenidos en la base de datos y, por lo mismo, en los informes que del último emanen.

Indudablemente, la persona concernida adquiere trascendental relevancia en el despliegue de la actividad propia del banco de datos en razón de la mayor o menor afección de sus derechos y prerrogativas mediante la divulgación de aquéllos[lvi].

En aras a tutelar el crédito y la intimidad de la persona frente a la impronta informática, la doctrina –en algunos casos con sustento en normas positivas nacionales o supranacionales[lvii]- se ha concentrado en la elaboración de principios que advienen rectores en las distintas instancias relativas al tratamiento de los datos personales

- principio de justificación legal y social de la recolección: la colección de datos debe tener un propósito general, así como usos específicos y socialmente aceptables que limiten la extracción del dato[lviii].

La ley francesa 78-17 evoca este principio con carácter pragmático e inaugural de todo el régimen al señalar: “La informática debe estar al servicio de cada ciudadano…” (art. 1)[lix].

En orden a la legalidad, habrá que tener en cuenta la prohibición –en principio- en cuanto a recoger datos de tipo sensible[lx], así como la exigencia de informar al concernido acerca del hecho de la recolección –circunstancia que supone su consentimiento- al tiempo que la finalidad para la cual se destinará tal información[lxi].

Igualmente lícitos deberán ser los medios empleados para la colección de los datos.

- principio de limitación en la recolección: en su virtud, se procurará la extracción mínima de datos: tan sólo los necesarios para cumplir el objetivo buscado, según la naturaleza y finalidad del registro particular.

En esta inteligencia, se ha entendido que la recolección de datos ampliatorios e innecesarios supondría ampliar sin motivo legítimo el perjuicio de los derechos de la personalidad[lxii].

- principio de fidelidad de la información registrada: este principio se halla estrictamente vinculado a las consideraciones vertidas sobre la corrección del dato suministrado.

Derivado de ello, resulta la obligación del titular de actualizar –por sí o a través de su correspondiente colaborador- la información personal contenida en su registro, rectificarla y cancelarla cuando así correspondiere[lxiii].

En el último sentido, bien se ha dicho que la rectificación y actualización no es sólo un derecho de los titulares de los datos, sino también una obligación de los responsables de los archivos[lxiv].

Consecuencia inmediata del aspecto referido –y siempre bajo la órbita de la directriz en examen-, el gestor de un banco de datos de carácter personal tiene la obligación de declarar cuál es el propósito o la finalidad a la cual se destinará la información registrada, debiendo abstenerse de utilizarla con un objeto o finalidad diferentes.

- principio de salvaguarda de la seguridad: el titular de un banco de datos de carácter personal tiene la obligación de adoptar las medidas de seguridad pertinentes a efectos de su protección contra posibles pérdidas, destrucciones o accesos no autorizados[lxv].

Los autores han interpretado ampliamente los alcances de esta directiva, considerando que su espectro se extiende desde las medidas que resulten necesarias para la protección del acceso a los locales donde están los equipos de tratamiento, hasta la protección lógica de los propios programas contra posibles errores de manipulación o accesos no autorizados[lxvi].

- principio de participación individual: consagra la prerrogativa de acceso a los datos concedido al individuo.

- obtener información de la entidad responsable de los datos de la existencia de datos que le conciernan;

- oponerse a cualquier dato que le concierne y a que esa oposición quede registrada;

- obtener que los datos relativos a su persona, en caso de prosperar su oposición, sean suprimidos, rectificados o completados;

- ser informado de las razones por las cuales se deniega su derecho de acceso o éste no se le concede en lugar, tiempo y forma razonables;

- principio de pertinencia: se trata de un precepto de punta, por cuyo imperio la recolección de los datos será legítima en tanto los mismos sean adecuados y no excesivos con relación a los fines para los que se recaben y traten posteriormente[lxviii].

Este principio ha merecido consagración legislativa mediante el art. 4, inc. 1º del Proyecto de Ley de Protección de Datos Personales, sanción del Senado; art. 6º, inc. c de la DPDP; art. 4º de la vetada ley 24.475.

Precisando conceptos, si el objeto del banco de datos es el de brindar información crediticia, comercial, patrimonial o de medios de pago en general, la recolección no podría abarcar más allá del campo que delimita el propio concepto[lxix].

- principio de confidencialidad: corresponde al titular del banco de datos –y, por extensión, a todos sus colaboradores-, observar estricta confidencialidad sobre toda información brindada por el usuario, en tanto revista carácter personal o contenga secretos comerciales o industriales o se trate, en suma, de cuestiones sobre las cuales el usuario haya solicitado su reserva[lxx].

Todo ello, bajo apercibimiento de tener que responder el productor por inobservancia del deber de garantía a su cargo[lxxi].

Privilegiando la prevención del daño a su resarcimiento –aunque sin olvidar esta última cuestión-, la doctrina direcciona su prédica al reconocimiento normativo de ciertos derechos[lxxii] a favor del titular de los datos, que arbitrados en su conjunto le permitan evitar el manejo indiscriminado de su información personal, especialmente cuando ésta tenga carácter nominativo[lxxiii].

1- derecho a conocer que existe un fichero o un tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

2- derecho a conocer el carácter facultativo u obligatorio de las preguntas que le sean planteadas para recabar sus datos;

3- derecho a conocer las consecuencias de la obtención de los datos o de la negativa a suministrarlos;

4- derecho de acceso a la base de datos, lo cual implica saber si ella contiene o no información referida al peticionante;

5- derecho de cancelación de aquella información que, concerniente al reclamante, se ha volcado indebidamente en el registro;

6- derecho a conocer qué tipo de información concerniente al individuo ha sido comunicada a terceros;

7- derecho a rectificar la información que le concierne y que ha sido erróneamente consignada en el registro;

8- derecho de inserción de información complementaria de la contenida en el banco de datos;

9- derecho a que la información sea conservada únicamente por el tiempo necesario para el cual fue recabada, atendiendo a la finalidad de su colección[lxxv].

c- La inobservancia de los principios enumerados –y, aun más importante, de sus derivaciones e implicancias-, genera responsabilidad extracontractual del banco de datos frente al concernido[lxxvi].

La doctrina más moderna funda la mentada carga en las directrices de la teoría del riesgo[lxxvii]: siendo que la actividad informática permite la recolección, almacenamiento y recuperación de datos personales, el riesgo que de la misma surge está dado por la potencialidad dañosa derivada del eventual uso indiscriminado de la información registrada.

Se trata, pues, de una responsabilidad objetiva a cargo del productor, que lo vinculará tanto por el hecho propio como por el de sus dependientes, y de la cual sólo se librará si demuestra la existencia de casus, o la culpa de la víctima o de un tercero por quien no debe responder[lxxviii].

En el ordenamiento local, la carencia normativa obliga a recurrir a la aplicación extensiva de normas positivas como los arts. 1068, 1071 y 1071 bis del Código Civil, en cuya virtud el damnificado por el uso arbitrario y por ende abusivo de la información relativa a su persona, podrá solicitar judicialmente medidas de carácter preventivo (vgr., secuestro del material, mandamiento de no innovar, etc.), así como el equitativo[lxxix] resarcimiento del daño causado.

En la legislación comparada, en cambio, el derecho a indemnización encuentra asidero expreso y específico.

De este modo, el art. 19 de la LOPDCP dispone: “1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.

2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones Públicas.

3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria”.

Por su parte, el art. 23 de la DPDP dispone: “1. Los Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva, tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido.

2. El responsable del tratamiento podrá ser eximido parcial o totalmente de dicha responsabilidad si demuestra que no se le puede imputar el hecho que ha provocado el daño”.

IV- Conclusiones:

a- Los distintos entes físicos o jurídicos intervinientes en el desarrollo operativo de un banco de datos se vinculan entre sí mediante distintas relaciones jurídicas, cada una de ellas nutridas por un contenido particular signado por la naturaleza del ligamen y por las funciones correspondientes a las partes.

b- Según cómo se hayan establecidos los mencionados vínculos, las responsabilidades consecuentes serán de naturaleza contractual o extracontractual.

c- Las relaciones de derecho cimentadas entre los agentes intervinientes en la operatoria de un banco de datos podrán ser internas –si se anudan entre el titular de aquél y sus colaboradores, o entre éstos últimos con exclusión del primero-, o externas –si se establecen entre el productor del registro y el usuario o el concernido-.

d- Nada obsta a que los propios colaboradores entablen relaciones jurídicas directamente entre ellos, en cuyo caso las cuestiones de responsabilidad se dirimirán en el marco del contrato celebrado, sobre la base de las obligaciones correspondientes a cada uno de ellos según sus propias funciones, y sin perjuicios de considerarse la posibilidad de que un mismo agente asuma más de una función frente a su contraparte, con la consecuente multiplicación de cargas y responsabilidades.

e- Las funciones necesarias para el adecuado funcionamiento del banco de datos pueden ser ejercidas en forma excluyente por distintos agentes –físicos o jurídicos-, o bien pueden concentrarse tales funciones en uno de ellos; cuando así ocurre, quien despliega la actividad unitiva cargará con el cúmulo de obligaciones y responsabilidades derivadas de las tareas desarrolladas.

f- En caso de cumplimiento defectuoso de las prestaciones comprometidas, la parte in bonis podrá demandar que la falla sea solucionada y se de fiel observancia a sus obligaciones contractuales, reservándose el derecho a reclamar el resarcimiento de los daños y perjuicios que dicha apatía le cause (art. 1204 CC).

Nada obsta, asimismo, a la previsión de cláusulas penales o astreintes como medio contractual para torcer la voluntad del reticente.

g- Mientras que en el ámbito de las relaciones jurídicas internas las responsabilidades son de índole esencialmente contractual, en el sector de las relaciones jurídicas externas la carga de responder será de naturaleza contractual –si el daño se inflinge al usuario- o extracontractual y fundada en la teoría del riesgo –en caso de haberse afectado ilegítimamente al concernido-.

h- Por la índole de las funciones desplegadas, el titular del banco de datos será el legitimado pasivo de las acciones de responsabilidad derivadas de la operatoria del registro.

Este podrá, luego, iniciar la correspondiente acción contra el colaborador en falta.

i- En todos los casos, las responsabilidades surgidas hallarán fundamento en el incumplimiento de las obligaciones propias de cada ligamen jurídico y de los principios específicos que lo nutren.

[i] Cfr ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: “Régimen Jurídico de los Bancos de Datos”, en “Informática y Derecho – Aportes de doctrina internacional”. Ed. Depalma (Buenos Aires – 1998), T. 6, pág. 9.

[ii] Cfr. GARCÍA AGUILAR, Nicolás: “La cuestión de la responsabilidad en el Derecho Informático”. En Revista Electrónica de Derecho Informático (REDI). http:/www.derecho.org/redi.

[iii] Ibidem.

[iv] Art. 3, inc. d, de la Ley Orgánica Regulatoria del Tratamiento Automatizado de Datos N° 5/92 (LORTAD); art. 3, inc. d, de la Ley Orgánica de Protección de Datos de Carácter Personal N° 15/99 (LOPDCP).

[v] Art. 2, inc. d de la Directiva de Protección de Datos Personales de 1995 (DPDP).

[vi] Cfr. DALL’AGLIO, Eduardo Jorge: “Aspectos de la responsabilidad civil emergente de las relaciones informáticas”. ED, 117-741.

[vii] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 50. Cfr también BAIGORRIA, Claudia Elizabeth: “Algunas precisiones sobre la procedencia del hábeas data”. LL, 1996-C-472.

[viii] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 10.

[ix] En el derecho anglosajón, en cambio, se prevé la responsabilidad específica de los colaboradores; así, el ac. 620 del FCRA preceptúa: “Cualquier funcionario o empleado de una agencia de informes sobre el consumidor que a sabiendas y deliberadamente suministre información concerniente a un individuo a partir de los archivos de la agencia a una persona no autorizada a recibir esa información será multado no más de $ 5,000 o encarcelado no más de un año, o ambas cosas”.

[x] Nada obsta a que todas o algunas de las funciones naturalmente destinadas a los colaboradores sean directamente desempeñadas por el titular del banco de datos.

[xi] Cfr. DALL’AGLIO, Eduardo Jorge: Op. cit., pág. 744.

[xii] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 81.

[xiii] Los principales proveedores de datos de nuestro país son el Banco Central de la República Argentina y la Cámara Nacional de Apelaciones en lo Comercial, mediante cuyos registros se delinea la situación financiera y legal del titular de los datos.

En relación al consumo de los particulares, descollan los archivos de las empresas de tarjetas de crédito.

[xiv] La realidad demuestra que los bancos de datos organizados bajo la forma de empresas comerciales destinadas a brindar informes, suelen nutrirse de los datos acercados por más de un proveedor en orden a poder armar un perfil prácticamente acabado del concernido en cuestión.

[xv] Nada obsta, sin embargo, a que la base de datos receptora transmita la información brindada por el proveedor sin entrecruzamiento con otros datos.

[xvi] La noción de “dato específico”o “dato complejo” varía según que el mismo resulte de considerar el objeto de la información desde un único enfoque –vgr., perspectiva crediticia de las personas- o bien desde varios ángulos distintos que permitan inferir un primer perfil del objeto informado –vgr., situación crediticia, legal y de consumo de las personas.

Como puede colegirse, el dato complejo suele emerger del entrecruzamiento de múltiples datos específicos.

[xvii] ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 51.

[xviii] Ibídem, pág. 52.

[xix] Ibídem.

[xx] Ibídem.

[xxi] Ibídem.

[xxii] Art. 2, inc. e, DPDP; art. 3, inc. g, LOPDCP.

[xxiii] Arts. 2, inc. b, DPDP; art. 3, inc. c, LORTAD; art. 3, inc. c, LOPDCP.

[xxiv] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., págs. 9 y 10.

[xxv] Ibídem, pág. 10.

[xxvi] Ibídem, pág. 11.

[xxvii] Ibídem, pág. 9.

[xxviii] Ibídem, pág. 11.

[xxix] Fair Credit Reporting Act: enmienda dada en 1994 a la Ley de Protección del Crédito para Consumo de los Estados Unidos de Norteamérica.

[xxx] Ac. 604 FCRA.

[xxxi] Ac. 615 FCRA

[xxxii] En similar sentido, ver art. 15 de la DPDP.

[xxxiii] Si así ocurriera, el gestor cargará no sólo con las obligaciones propias de su función sino también con aquellas que correspondan a la actividad que hubiera asumido.

La misma apreciación corresponde aplicar en caso de que un colaborador asuma más de una función.

[xxxiv] Vgr., contrato de suministro de información, contrato de locación de obra o cualquier otra categoría nominada o innominada.

[xxxv] La cuestión adquiere relevancia no sólo por la afección causada al autor del documento, sino también por el perjuicio irrogado al usuario en su legítima expectativa de acceder a información correcta.

[xxxvi] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 55.

[xxxvii] El art. 12, inc. 2 prevé este supuesto relacional y su contenido, expresando: “2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el art. 9 de esta Ley que el encargado del tratamiento está obligado a implementar

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal del tratamiento.

4. En caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”.

En idéntico sentido, ver art. 17, inc. 3º, DPDP.

[xxxviii] La extensión de sus obligaciones resultará de la mayor o menor amplitud de las funciones asumidas, conforme a la caracterización brindada.

[xxxix] La licitud en el tratamiento del dato supone observar las limitaciones impuestas por la autoridad pública para el tratamiento del mismo, cuando se hubiesen impuesto en salvaguarda de intereses públicos superiores (vgr., seguridad pública) (Cfr. Considerandos 30 y 31 del Preámbulo de la LORTAD).

[xl] Art. 6, inc. DPDP; Considerando 38 del Preámbulo de la LORTAD.

[xli] Corresponderá que, por vía normativa, se determine si el tratamiento posterior de los datos con fines históricos, estadísticos o científicos resulta incompatible o no con el objetivo propuesto al momento de decidir la selección de datos y, en el último caso, establecer las garantías oportunas (cfr. art. 2, inc. b DPDP).

[xlii] Art. 6, incs. d y e DPDP.

[xliii] En ciertas legislaciones nacionales, el principio del consentimiento previo al tratamiento de los datos de índole personal se ha convertido en regla, representando una excepción su innecesariedad (art. 6, LOPDCP).

[xliv] Al respecto, el art. 17, inc. 2º de la DPDP dispone en forma expresa que “…los Estados miembros establecerán que el responsable del tratamiento, en caso de tratamiento de por cuenta del mismo, deberá elegir un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse, y se asegure de que se cumplen dichas medidas”.

En el mismo sentido se manifiesta el Considerando 46 del Preámbulo de la LORTAD.

Por su parte, el art. 9 de la LOPDCP dispone: “1. El responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riegos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. (…)”.

[xlv] Art. 20 DPDP; cfr. también arts. 26 y sgs. LOPDCP.

[xlvi] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 15.

[xlvii] Vgr., interrupción del servicio, esperas no previstas para el acceso, detención o sobrecarga del sistema afectado a la explotación del banco de datos, etc.

[xlviii] ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., págs. 16 y 17.

[xlix] Ibídem.

[l] Ibídem.

[li] Cfr. DI FILIPPO, María Isabel: “Los contratos civiles y la responsabilidad civil frente al riesgo de los digitalización. ¿Hacia un seguro informático?”, LL 1999-D-839; GIANFELICI, Mario César: “Responsabilidad civil emergente de la informática”, LL 1987-D- 1186; BEKERMAN, Jorge M.: “Bases de datos y bancos de datos. Producto o servicio (Consideraciones sobre la responsabilidad)”, LL 1990-C-942; BUSTAMANTE ALSINA, Jorge: “La informática y la responsabilidad civil”, LL 1987-B-892; DALL’AGLIO, Edgardo Jorge: Op. cit., pág. 746; ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 20 y sgs.

[lii] La doctrina admite que, por las razones supra expresadas, el gestor pueda dejar a salvo el aspecto de completitud, manteniéndose rigurosa en cuanto a la obligación de seguridad asumida respecto al contenido, exactitud y periodicidad de la información. Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 54.

[liii] El deber de seguridad a cargo del gestor, cuya vulneración genera su consecuente responsabilidad objetiva, consiste en garantizar que los datos personales no se difundirán ni emplearán para una finalidad distinta de la tenida en cuenta al ser incorporados al banco de datos, ni serán conservados por un tiempo superior al exigido por idéntica finalidad. Cfr. ALTAMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 83.

[liv] Ibídem, pág. 53.

[lv] Ibídem, pág. 15.

[lvi] Sin perjuicio de ello, también adquiere relevancia en cuanto fuente o proveedor de los datos tratados.

[lvii] Vgr., art. 4, LOPDCP.

[lviii] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: “Hábeas data”, LL 1996-A-1554

[lix] Cfr. BAUZA REILLY, Marcelo: “La protección jurídica de los ‘datos personales’ y los servicios de información comerical y crediticia”. REDI.

[lx] Ibídem.

[lxi] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 1556.

[lxii] Cfr. BAUZA REILLY, Marcelo: Op. cit., pág. 13.

[lxiii] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 1556.

[lxiv] Ibídem.

[lxv] Cfr. ALTAMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 1557. En tal sentido, ver art. 17 de la DPDP.

[lxvi] Cfr. BAUZA REILLY, Marcelo: Op. cit., pág. 14.

[lxvii] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 1556; BAUZA REILLY, Marcelo: Op. cit., pág. 15.

[lxviii] Cfr. DUBIÉ, Pedro: “Quid del consentimiento previo de la persona en el uso por terceros de información de acceso público irrestricto”. En “Derecho y nuevas tecnologías”. Ed. Ad-Hoc (Buenos Aires – 2000). Número 1-2, pág. 295.

[lxix] Cfr. DUBIE, Pedro: “Análisis del debate parlamentario del hábeas data con relación a la información crediticia”, pág. 30.

[lxx] Especial relevancia tienen en la materia los datos sensibles.

[lxxi] Dispone el art. 10 de la LOPDCP: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto del los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

A través de un texto que consideramos incompleto y difuso, el art. 16 de la DPDP –bajo el título de “Confidencialidad del tratamiento”-, prevé: “Las personas que actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, sólo podrán tratar datos personales a los que tengan acceso, cuando se lo encargue el responsable del tratamiento o salvo en virtud de un imperativo legal”.

[lxxii] Las facultades indicadas responden a los principios enumerados.

lxxiii] Muchos de estos derechos han sido consagrados por el art. 5 de la LOPDCP y por los arts. 10, 12 y 14 de la DPDP.

[lxxiv] El cúmulo de consideraciones formuladas han sido expresamente consagradas por los arts. 13 a 19 de la LOPDCP; también han merecido recepción mediante el ac. 609 y sgs. del FCRA.

[lxxv] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 80.

[lxxvi] En el régimen de la LOPDCP, se prevén infracciones leves, graves y muy graves,variando en cada caso el monto de la multa a imponer.

Son infracciones leves (art. 44, inc. 2º) –entre otras-: a) no atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando leglamente proceda; b) proceder a la recogida de datos de carácter personal de los propios afectados sin propocionarles la información que establece la ley; c) incumplir el deber de secreto impuesto por la norma, salvo cuando ello constituya infracción grave.

Son infracciones graves (art. 44, inc. 3°) –entre otras-: a) proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que ésta sea exigible; b) tratar los datos de carácter personal o usarlos posteriormente con conculcación de principios y garantías establecidos en la misma ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya una infracción muy grave; c) el impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada; d) mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas amparadas por la norma; e) la vulneración del deber de guardar secreto sobre los datosde carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo; f) mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad reglamentariamente determinadas.

Son infracciones muy graves (art. 44, inc. 4º) –entre otras-: a) la recogida de datos en forma engañosa y fraudulenta; b) la comunicación o cesión de los datos de carácter personal, fuera de los casos permitidos por la LOPDCP; c) recabar y tratar los datos personales de carácter sensible sin que medie consentimiento expreso del interesado; d) tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales; e) no atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición; f) no atender en forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero

[lxxvii] En reseña de las distintas posturas doctrinarias sobre el punto, ALTMARK y MOLINA QUIROGA enseñan: “a) Es de atribución subjetiva, fundada en el dolo o la culpa, porque la actividad realizada con una computadora es personal, con la ayuda de una cosa. Sería una responsabilidad directa –daños causados por el hombre con una cosa- (art. 1113, 2º párrafo, 1ª parte, que establece una presunción de culpa a favor de la víctima) y la ilicitud se configura por violación del art. 1071 bis, por intromisión arbitraria en la vida ajena, es decir, violación del derecho a la intimidad (Bustamante Alsina; Trigo Represas). b) Podrá ser subjetiva (dolo o culpa) cuando el daño provenga de la culpa o dolo de quien opera la computadora u objetiva cuando por cuenta de quien realiza la operación, el daño provenga del mal funcionamiento de la máquina (riesgo o vicio) (Vázquez Ferreyra). c) Hay responsabilidad objetiva, con fundamento en el riesgo creado por el uso indiscriminado de la información personal registrada en un banco de datos informatizado (Mosset Iturraspe, Stiglitz, Bergel, Gianfelici, Lloveras de Resk). No interesa si hubo intención de agraviar a la víctima o solamente una respuesta a la curiosidad humana, si hubo intención dolosa o simplemente negligencia. Se aplican los arts. 1071 bis y el art. 1113, 2º párrafo, 2ª parte, Cód. Civ.). Adde: Conclusiones del III Congreso Internacional de Daños (AABA, Bs. As., 1993).”. (Ibídem, pág. 90).

[lxxviii] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 85. El criterio comentado ha sido consagrado por el art. 29 de la ley francesa sobre informática y libertades y por el art. 9 de la LORTAD (Ibídem).

[lxxix] La ecuanimidad de la reparación implica el resarcimiento del daño moral y patrimonial causado por el ataque a la intimidad o privacidad, así como las consecuencias negociales o económicas que de la indebida utilización de la información tratada se hubiese derivado.

Derecho Informático
.
	......	UNIVERSIDAD DE BUENOS AIRES Facultad de Derecho y Ciencias Sociales Departamento de Posgrado Programa de Actualización en Derecho Informático, Año 2000 Director: Daniel Ricardo Altmark - Subdirector: Eduardo Molina Quiroga Régimen Jurídico de los Bancos de Datos

Caracterizacion de los sujetos intervinientes en la operatoria del banco de datos. Contenido e implicancias de las posibles vinculaciones jurídicas
Martín Torres Girotti

I- Proemio a- En materia informática, al igual que en cualquier otra actividad, intervienen distintos entes –físicos o jurídicos- que desarrollan determinadas tareas en orden a un todo que, en el caso, será la operatoria de un banco de datos. Los agentes participantes en tal actividad se vincularán entre sí mediante sendas relaciones jurídicas, cada una de ellas nutridas por un contenido obligacional particular signado por la naturaleza del ligamen y aun por las funciones correspondientes a las partes. La determinación de las incumbencias que les son propias a cada una de éstas, pues, resulta trascendente en cuanto generadoras de eventuales responsabilidades en caso de incumplimiento total o parcial de las mismas. Según cómo se haya establecido el vínculo de derecho entre reclamado y reclamante, su carga de responder por los perjuicios originados se enmarcará en el ámbito contractual o extracontractual variando –según su encuadre- la extensión del resarcimiento. b- Como se advierte, la faz subjetiva derivada de la operatoria de un registro informatizado de datos supone distintas perspectivas de estudio. El presente ensayo aborda la temática propuesta desde el aspecto que, consideramos, resulta basamento de todo análisis que se emprenda sobre cualquier otro de los temas involucrados en la materia –especialmente el de la responsabilidad-. En el orden adoptado para la preanunciada investigación, se caracterizará a cada uno de los sujetos intervinientes en la actividad del banco de datos, desentrañando luego las distintas vinculaciones jurídicas posibles entre los mismos -estructuradas en “relaciones jurídicas internas” y “relaciones jurídicas externas”-, así como las obligaciones correspondientes a cada uno de ellos. A tal fin, las formulaciones doctrinarias recogidas han sido enriquecidas con el análisis de tres normas señeras en materia de tratamiento informatizado de datos personales, cuales son la Ley Orgánica de Regulación del Tratamiento Automatizado de Datos N° 5/92 (LORTAD) -y su continuadora en el sub studio, Ley Orgánica de Protección de Datos de Carácter Personal N° 15/99 (LOPDCP)-, en tanto referentes indiscutidos de todo intento legislativo nacional sobre la materia; el Fair Credit Reporting Act (FCRA), en su carácter de saliente manifestación del derecho anglosajón en el sub examine; y la Directiva de Protección de Datos Personales de 1995 (DPDP), en virtud de haber sido la norma europea homogeneizante de los criterios nacionales sobre la materia. II- Sujetos intervinientes en la operatoria de un banco de datos Los sujetos directa o indirectamente intervinientes en la operatoria de un banco de datos son: 1- titular, gestor o responsable del banco de datos; 2- agentes vinculados al titular, gestor o responsable del banco de datos; 3- usuarios; 4- titular del dato. II.1- Titular, gestor o responsable del banco de datos a- Corresponde ubicar en esta categoría a la persona física o jurídica que, frente al usuario y al titular del dato, aparece como sujeto responsable por la actividad que desarrolla el banco de datos en su conjunto, aun cuando el daño haya sido causado por alguno de los sujetos incluídos en el estamento subsiguiente por los que deba responder. Dicha obligación reparadora le viene dada por la coordinación que ejerce sobre los distintos elementos objetivos y subjetivos convergentes en el desenvolvimiento del registro informatizado. Es, en definitiva, aquél en quien primero se piensa como “dueño” de la base de datos de que se trate. b- La figura sub studio merece numerosas caracterizaciones doctrinarias y legislativas, con otras tantas denominaciones. En esta línea, suele referirse al “productor del banco de datos”[i], “creador del banco de datos”[ii], “titular del banco de datos”[iii], “responsable del fichero”[iv], “responsable del tratamiento”[v], “encargado del banco de datos”[vi], “gestor del banco de datos”[vii], etc. Cualquiera sea la calificación atribuida, este actor descolla por detentar una relación de supremacía respecto de los demás sujetos que intervienen en las denominadas “relaciones jurídicas internas del banco de datos” (v. infra III.2). c- La tipificación del agente en estudio resulta de considerar circunstancias inmanentes y no meramente formales, como son las funciones por él desarrolladas. En esta tesitura, se caracteriza porque concibe el proyecto de gestión del banco de datos mediante la definición de sus objetivos y finalidad, determina la consecuente naturaleza de la información a registrar así como el tenor de las registraciones, define la unidad de registro y formato del documento, organiza y coordina la producción[viii]. En algunos casos, su actividad abarcará también la colección y evaluación de la información, elaboración de los datos –mediante el análisis, la interpretación y la indexación de los documentos primarios o bien la redacción de los abstracts- y otorgamiento del informe requerido. En tanto verdadero pivote de toda la actividad desplegada en torno al banco de datos, su titular resulta asimilable a la figura del “principal” y –por lo mismo- adviene primer responsable contractual o extracontractual de la gestión del registro y de las consecuencias dañosas emergentes de la conducta de sus dependientes en el ejercicio de su actividad (art. 1113 Cód. Civ., primera parte)[ix]. Contra este operador, pues, se dirigirán –en principio- todos los reclamos derivados de la labor de la base informatizada y aun de los datos contenidos en la misma. II.2- Agentes vinculados al titular, gestor o responsable del banco de datos a- Junto al productor o gestor, intervienen otras entidades –físicas o jurídicas- que, generalmente bajo la dirección y coordinación de aquél, desempeñan un segmento específico en la cadena de actividades necesarias para el mejor desenvolvimiento del registro[x]. Dall’Aglio encuadra en esta categoría a todos aquellos sujetos que median en la puesta en marcha y en la realización técnica del sistema, quienes aparecerían como colaboradores de quien organiza y mantiene en actividad al sistema mismo, estén ellos vinculados con el último por una relación de trabajo autónomo o de trabajo subordinado[xi]. Corresponde referirse, pues, a los siguientes personajes: - *Proveedor del dato:* es aquella persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o junto con otros, pone a disposición del banco de datos la información que será contenida por sus archivos, sin perjuicio del procesamiento que sobre el material acercado se realice. Por lo general, el proveedor del dato –o “productos de información primaria” [xii]- es, en sí mismo, un banco de datos específico, cuya información versa sobre un determinado aspecto de la realidad correspondiente al objeto de tratamiento[xiii]. Cuando así ocurre, su principal finalidad no consistirá –de ordinario- en brindar informes acerca del contenido de sus archivos –informatizados o no- los cuales son mantenidos al solo fin de la entidad, sin perjuicio de la publicidad que de los mismos desee emprender mediante una organización especialmente dedicada a ello[xiv]. Precisamente, su función de proveimiento se despliega cuando transmite el dato en cuestión a una base de datos que, integrando la información de tal modo colectada, la organiza y complementa a fin de abarcar un segmento de información mayor que el eventualmente alcanzado por los datos aisladamente transmitidos[xv]. De allí que, en sentido amplio, la noción de “proveedor de datos” pueda llegar a confundirse con la de “banco de datos” en tanto se defina al último como todo fichero documental y estructurado de datos –específicos o complejos-, accesible con arreglo a un determinado criterio lógico-formal[xvi]. Conforme a la descripción que antecede, las principales obligaciones del proveedor se concentran –en lo que al thema sub studio interesa- en los datos suministrados, los cuales deberán reunir las mismas cualidades exigibles a la información brindada por cualquier banco de datos en general. En el último sentido, la información proveída debe ser correcta. Tal corrección representa, en verdad, una calificación unificadora y aglutinadora de múltiples cualidades que debe reunir los datos informados. Por lo pronto, la información es correcta en cuanto no resulta errónea ni defectuosa. “El error es producto de una equivocación o de una falsedad. Se presenta cuando no existe correspondencia entre el hecho o segmento de la realidad que debe representarse, y la información. Lo falso está asociado al engaño, a lo deliberadamente fingido o deformado. La equivocación, por oposición, la vinculamos a lo involuntario. El defecto es la carencia o falta de cualidades propias y naturales de una cosa. Una información defectuosa es aquella que es incompleta o no es auténtica”[xvii]. La corrección de la información requiere que la misma sea adecuada, actual y completa. La información es adecuada cuando, además de relacionarse con el requerimiento formulado por el usuario, responde a la finalidad misma y a la naturaleza del banco de datos[xviii]. La exigencia de actualidad, que supone la vigencia de la información, resulta atenuada en caso de requerirse información histórica (v.gr., con fines de investigación, estadística u otros similares)[xix]. Por su parte, la noción de completitud –de alcances relativos-, implica que el registro contiene la totalidad de la información requerida[xx]. La información correcta, finalmente, debe ser sumnistrada al usuario en tiempo útil, de manera que pueda valerse de ella cuando necesite utilizarla[xxi]. *- Encargado del tratamiento:* es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento[xxii]. El “tratamiento de datos personales” es tomado aquí en su más amplia concepción, abarcativa de cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicada a datos personales, como la colección, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción[xxiii]. *- Servidor:* su función en el desenvolvimiento del banco de datos es de estricta técnica informática, pues se trata del centro de cómputos que contiene digitalmente archivada la información tratada por el registro, permitiendo su recuperación y generación informática por los potenciales usuarios, a través de terminales remotas telemáticamente conectadas[xxiv]. Para un mejor desempeño, la persona física o jurídica, autoridad pública, servicio u otro organismo encargado de esta función, deberá desarrollar y actualizar los programas específicos de carga y recuperación de la información[xxv]. Entre sus obligaciones se incluye, asimismo, la provisión de energía informática[xxvi]. *- Distribuidor:* es la persona física o jurídica, autoridad pública, servicio u otro organismo encargado de comercializar el producto final a los potenciales interesados[xxvii]. Altmark y Molina Quiroga enseñan que la función en comentario importa distintas subfunciones o funciones conexas, determinantes de otras tantas obligaciones contractuales complejas con las consecuentes responsabilidades de cada una de las partes. Tales son: “a- promoción del banco de datos: comprende las distintas formas de publicidad y las demostraciones que conforme a la naturaleza del producto banco de datos, son de importancia primordial; b- contratación y facturación: el contrato entre distribuidor y usuario constituye uno de los ámbitos contractuales emergentes de la operación de un banco de datos; c- formación y capacitación de los usuarios; d- servicio de posventa: atención de las dificultades del usuario en la utilización y aprovechamiento de la información ofrecida; e- intermediación entre el distribuidor y el usuario: para los casos en que el usuario no recupera en forma directa la información requerida utilizando su terminal remota (…); f- transporte de la información: esta subfunción se refiere a las distintas vías de acceso al banco de datos por medio de terminales remotas (…). En nuestro país (…), las posibilidades de transporte de la información pueden resumirse en las siguientes: 1) línea telefónica normal; 2) línea punto a punto; 3) red ARPAC: red específicamente diseñada y dedicada al teleprocesamiento; 4) Internet”[xxviii]. *II.3- Usuario:* es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solicita la comunicación del dato. Si bien la consideración de este sujeto no es usual entre la doctrina consultada, resulta insoslayable analizar las implicancias de su situación jurídica toda vez que existen obligaciones específicas a su cargo en la materia, según resulta de distintos cuerpos normativos extranjeros. En esta línea, el Fair Credit Reporting Act (FCRA)[xxix] prevé los siguientes deberes a su cargo: 1- manifestación de la finalidad a la que destinará la información recabada[xxx]; 2- comunicación al registro y al concernido acerca de las consecuencias disvaliosas verificadas por la utilización de la información que el primero ha brindado[xxxi]. El art. 11, inc. 5 de la LOPDCP, por su parte, involucra más profundamente al usuario en su rol de agente ligado a la operatoria del banco de datos, en cuanto dispone: “Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley”. *II.4- Titular del dato:* es la persona física o jurídica a quien se refiere el dato informáticamente tratado. Resulta particularmente llamativa la disímil consideración de este agente por la legislación internacional confrontada. Tanto la DPDP como el FCRA omiten su caracterización. Tanto la LORTAD como la LOPD, en cambio, lo contemplan expresamente aunque limitando su alcance a las personas físicas, lo cual se explica en razón de ser objeto de dichas normas la limitación del uso de la informática y otras técnicas y medios de tratamiento automatizado de datos de carácter personal, en aras a garantizar el honor, la intimidad personal y familiar de los entes de existencia visible y el pleno ejercicio de sus derechos. No siendo propio del estudio aquí emprendido el coto subjetivo transcripto, consideramos admisible la extensión de esta categoría a las personas de existencia ideal. De tal suerte, pues, una sociedad –o cualquier otra persona jurídica- podrá ser afectada si se divulga información inexacta atinente a la misma. En todo caso, la afección no será en su intimidad sino en algún otro aspecto propio de su naturaleza, quedando igualmente legitimada para reclamar las responsabilidades que fueran procedentes. Fuera de la relación que lo vincule a alguno de los protagonistas enumerados, la legislación española reconoce al titular del dato el derecho a no verse sometido a una decisión con efectos jurídicos –sobre ellos o que les afecte de manera significativa-, que se base únicamente en un tratamiento de datos destinado a evaluar aspectos de su personalidad (art. 13, inc. 1, LOPDCP). De la misma manera –y siempre en el ordenamiento ibérico-, el afectado puede impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad. En tal caso, el concernido tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto (art. 13, incs. 2 y 3, LOPDCP). Sólo si el titular del dato así lo solicita, la valoración sobre su comportamiento basada en un tratamiento de datos podrá tener valor probatorio (art. 13, inc. 4, LOPDCP)[xxxii]. *III- Posibles vinculaciones jurídicas. Contenido de cada una de ellas* *III.1- Preliminar* Individualizados los actores intervinientes en la operatoria de una base de datos, corresponde analizar cómo se vinculan jurídicamente entre sí, delineando al mismo tiempo el contenido obligacional nutriente de los vínculos de derecho resultantes. En punto a un mayor orden expositivo, el desarrollo del preanunciado estudio se abordará según el siguiente esquema: - Relaciones jurídicas internas; - Relaciones jurídicas externas. III.2- Relaciones jurídicas internas a- Esta primera categoría de estudio se refiere a los ligámenes obligaciones existentes entre el gestor del banco de datos y sus colaboradores. Sin perjuicio de recordar que las funciones desempeñadas por cualquiera de los sujetos intervinientes en la actividad del registro pueden ser asumidas directamente por el titular del mismo[xxxiii] –obviando con ello uno o varios eslabones de la cadena operativa-, la mayor profundidad del análisis emprendido requiere que se contemple aquel supuesto más complejo, en que cada agente atiende, en forma excluyente, su propia incumbencia. b- Los criterios subsiguientemente sentados resultan de considerar la existencia de sendas relaciones contractuales entre las partes del caso, toda vez que en el esquema propuesto sólo corresponderá ubicar la hipótesis de vinculación extracontractual en el ligámen existente entre el concernido y el gestor –relación jurídica externa-. Salvedad hecha del último supuesto, los contratos en torno a los cuales se anuden las relaciones jurídicas restantes, tendrán como contenido prestaciones de resultado -cualquiera sea la estructura jurídico formal adoptada para contenerlas[xxxiv]- circunstancia de gravitancia al momento de determinar las respectivas responsabilidades. *III.2.1- Relación jurídica entre el gestor del banco de datos y el proveedor de datos* a- Las principales obligaciones que tocan al proveedor de datos serán en torno a la información suministrada, correspondiendo aplicar en este punto lo explicitado supra II.2. Ello, sin perjuicio de obligaciones particulares que resultarán de las características mismas de la operatoria particular emprendida. b- La responsabilidad del gestor frente al proveedor suele generarse cuando los documentos de primer grado suministrados se incorporan con variantes no autorizadas por su autor, o bien se registran documentos cuyo tratamiento no ha sido permitido o, finalmente, se incorpora el dato en forma inexacta[xxxv]. Frente al supuesto genérico originado por la inadecuación del documento de segundo grado respecto a su par de primer grado, la responsabilidad generada resulta de haberse afectado: 1- los derechos intelectuales del autor, tanto en su faz moral como patrimonial; 2- el derecho a la identidad personal y a la veracidad, cuyos titulares son el autor del documento infielmente incorporado y los usuarios, respectivamente[xxxvi]. *III.2.2- Relación jurídica entre el gestor del banco de datos y el encargado del tratamiento* a- De la misma caracterización del “encargado del tratamiento” resulta la amplitud de su actividad y, por ende, de las respectivas obligaciones que asume[xxxvii] (v. retro II.2). Su exacto cumplimiento dependerá, sin embargo, de la estricta colaboración del productor. b- En este orden, corresponderá al titular del registro indicar en forma puntual, expresa, clara, precisa e inteligible cuál es el fin para el que se colectan los datos, circunstancia sustancialmente aneja a la naturaleza y finalidad misma del banco de datos. Cumplida esta obligación principalísima del responsable, el encargado del tratamiento deberá observar las siguientes cargas[xxxviii]: 1- recoger y tratar los datos de manera leal y lícita[xxxix], en forma adecuada a la naturaleza del registro y a los fines recabados, absteniéndose de emplear medios fraudulentos en uno como en otro caso[xl]; 2- recogerlos con vista al fin determinado, explícito y legítimo indicado por el productor, absteniéndose de tratarlos actual o posteriormente de manera incompatible con dichos fines[xli]; 3- actualizar los datos tratados; 4- conservarlos durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente[xlii]; 5- en caso de así exigirlo la naturaleza del dato en cuestión o la legislación positiva, le competirá recabar el consentimiento[xliii] del interesado para el tratamiento del mismo absteniéndose de dar tratamiento a los datos respecto de los cuales no se brindó la anuencia exigida; 6- adoptar las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse, correspondiendo al gestor velar por su cumplimiento[xliv]. En el derecho continental europeo, la DPDP pone tanto en cabeza del gestor –“responsable del tratamiento”- como del encargado del tratamiento la obligación de observar las pautas específicamente establecidas por los Estados miembros para aquellos tratamientos que puedan suponer riesgos específicos para los derechos y libertades de los interesados. A fin de garantizar la incolumnidad de tales prescripciones, queda a cargo de los mismos obligados notificar dicho tratamiento a la autoridad de control -creada a la luz de aquél instrumento- con carácter previo a su inicio[xlv]. 7- almacenar los datos de manera tal que se permita el ejercicio del derecho de acceso por parte del afectado; 8- informar a los afectados de modo expreso, preciso e inequívoco todas aquellas circunstancias que resulten necesarias para identificar al banco de datos así como sus derechos de abstención de respuesta a los datos cuya información se solicita. 9- confidencialidad respecto de los datos recabados, obligación que deberá observar aun después de finalizar su relación con el titular del banco de datos. Esta carga no es exclusiva del encargado del tratamiento, sino que –como se verá- resulta extensiva a todas las personas que intervengan en cualquier fase del tratamiento de los datos personales. c- El cúmulo de obligaciones a cargo del encargado del tratamiento no se agota en la enumeración precedente. Si bien los supuestos indicados advienen referentes cardinales en su actividad, los mismos no son de modo alguno excluyentes de cualquier otra carga que deba soportar en orden al adecuado desempeño de la misma. La particularidad radica, sin embargo, en que la responsabilidad del encargado del tratamiento por el incumplimiento de aquellas prescripciones, sólo podrá hacerla efectiva el titular o gestor del banco de datos en la relación interna que ambos mantienen, pues siendo el primero dependiente del último –o aun cuando, sin serlo, estén vinculados sin lazos de dependencia-, los afectados por las mismas inobservancias guiarán su reclamo directamente contra éste, asimilable, al efecto, al banco de datos considerado en sí mismo (art. 1113 primera parte Cód. Civ.). Esta obligación de garantía del titular del banco de datos ha sido expresamente contemplada por los arts. 6, apartado segundo; 17, incisos 2 y 3 y 23 de la DPDP. En el caso de la LORTAD –igual que en la LOPDCP-, la ausencia de toda mención del encargado del tratamiento determina que las obligaciones antes enumeradas, se atribuyan directamente al “responsable del fichero” cuando no al “fichero” mismo –con lo cual resulta más clara la asimilación entre el banco de datos y su titular y, en definitiva, la responsabilidad del último por idénticas cargas (vgr., arts. 4, 5, 6, 9, 10, entre otros)-. *III.2.3- Relación jurídica entre el gestor del banco de datos y el servidor* Conforme enseña la doctrina[xlvi], el contenido del vínculo bajo examen se desenvuelve en torno a dos obligaciones específicas relativas a las siguientes cuestiones: i) acceso al banco de datos; ii) proceso de captura de datos. i) Acceso al banco de datos: entre las principales obligaciones constitutivas de la prestación del servidor, encontramos aquélla en cuya virtud debe disponer de los medios técnicos suficientes y adecuados para asegurar el efectivo acceso al banco de datos, en las condiciones contractualmente establecidas y generalmente referidas al horario de la prestación del servicio, velocidad de respuesta, atención simultánea a determinado número de usuarios, medios técnicos suficientes, etc.. Para asegurar el mejor cumplimiento de la carga antedicha, resultará necesario prever las distintas alternativas que pudieren acaecer, así como el modo de proceder para superarlas, las cuales integrarán también el contenido de la prestación[xlvii]. La inobservancia total o parcial de los indicados deberes, podrá ser denunciada por los usuarios del banco de datos –afectados como se verán-, o bien reclamado su cumplimiento directamente por el productor. El alcance de las obligaciones correspondientes a cada una de las partes dependerá de las particularidades contractualmente contempladas (art. 1197 Cód. Civ.). No obstante ello, la doctrina añade a los elementos ya considerados: “Otro aspecto importante que debe ser tomado en cuenta en la negociación y redacción de estos contratos, es el referido a las condiciones determinadas en las cuales el service podrá introducir modificaciones en el software de interrogación, en la medida en que tal cambio afecte la naturaleza o normal explotación del banco de datos. En este supuesto, habrá que tener en cuenta los siguientes principios: a) el cambio de que se trate no deberá importar deterioro en la calidad de prestación del servicio; b) no podrá importar cargas suplementarias a cargo del productor-distribuidor, en conceptos tales como recarga de documentos, recapacitación de usuarios”[xlviii]. ii) Proceso de captura de datos: este aspecto de las cargas obligacionales correspondientes al servidor, se halla íntimamente vinculado a la eventual existencia de un agente específico –proveedor de datos- que, en caso de existir, ejercerá una función que reviste carácter previo a la del servidor. En este orden, y en el supuesto de integrarse la cadena operativa del banco de datos con la totalidad de los sujetos oportunamente enumerados, el contenido de la obligación del caso consistirá en asegurar los medios técnicos que permitan la constante actualización de los datos suministrados por el proveedor –sea que la nueva información a ingresar provenga del último o del mismo servidor-, así como la detección de errores y control de calidad del documento. No existiendo proveedor de datos, sus tareas podrán ser asumidas por el servidor, de modo que su primera obligación consistirá en la provisión de los datos integrantes del registro[xlix]. *III.2.4- Relación jurídica entre el gestor del banco de datos y el distribuidor* La distribución del banco de datos puede ser asumida con exclusividad, admitiéndose pacto en contrario. Entre las principales previsiones contractuales aconsejadas por los autores[l], corresponde mencionar las referentes a los siguientes aspectos: 1- contenido de la obligación de promoción y capacitación de los usuarios, con expresa referencia a deberes de cooperación entre las partes, especialmente cuando la distribución del banco de datos no se realice con exclusividad; 2- mecanismos que aseguren la fijación de común acuerdo de las tarifas de acceso y utilización, así como el monto de la renta debida al productor y sus condiciones de pago; 3- derecho del productor a acceder a información sobre los usuarios –especialmente en lo relativo a los datos por ellos solicitados y a su forma de efectivización-. *III.3- Relaciones jurídicas externas* a- Las relaciones jurídicas externas derivadas de la operatoria del banco de datos presentan mayor complejidad que las estudiadas precedentemente, ya que suponen la vinculación del banco de datos –a través de su titular- con el usuario y los concernidos. El alcance subjetivo de esta categoría obligacional se ha limitado intencionalmente al supuesto indicado, ya que si bien resulta fácticamente posible que los agentes externos establezcan lazos contractuales directos con cualquiera de los colaboradores del gestor, resulta difícil imaginar que sea con vista a recabar informes, pues difícilmente pueda cumplirse tal cometido actuando aisladamente tales sujetos. Por el contrario, la correcta operatoria del banco de datos requiere de la ineludible intervención de las funciones antes indicadas, sin perjuicio de que –como sobradamente se señalara- ellas puedan concentrarse –todas o algunas- en el propio gestor o en alguno de sus asistentes. b- Las relaciones anudadas en este ámbito, podrán revestir –según el caso-, naturaleza contractual o extracontractual, determinando tal carácter la responsabilidad pertinente en cada supuesto[li]. Se estudian, a continuación, cada uno de los probables supuestos. *III.3.1- Relación jurídica entre el gestor del banco de datos y el usuario* a- La contratación entre el gestor del banco de datos y el usuario requirente de información, se estructurará en base a obligaciones recíprocas de ambas partes. Desde el productor, tales deberes se referirán a su prestación principal como también así a aquellas otras que resultan conexas de la primera. b- Por definición, la prestación sustancial del titular de la base de datos es la de proveer el informe requerido por el usuario, observando pautas mínimas obligatorias referentes a los datos constitutivos de la información tratada. Dado que en su relación con los usuarios el banco de datos resulta un verdadero proveedor de datos, corresponde aplicar aquí las directivas sentadas supra II.2 acerca de las características propias de la información brindada. c- La obligación de proporcionar información correcta, actual, completa[lii] y oportuna, determina una responsabilidad objetiva a cargo del gestor basada en la obligación de resultado de tal modo asumida y en el deber de seguridad[liii] a su cargo. Para eximirse de tal responsabilidad, no bastará con que demuestre que la base de datos estuvo a disposición del usuario, sino que deberá acreditar la culpa de un tercero por quien no debe responder, o bien el casus extraño al riesgo propio del sistema computarizado. Este criterio sobre la materia se funda en el desequilibrio de fuerzas que supone la situación técnico-jurídica de cada una de las partes involucradas. Al respecto, explican los autores: “…si fuera el usuario quien debiera acreditar la culpa del gestor en el incumplimiento de la obligación, sería muy difícil invocar esta responsabilidad, frente a la casi imposibilidad de determinar las causales por las cuales, por ejemplo, una investigación tiene resultados negativos. Este resultado negativo podría imputarse a la incapacidad del usuario para efectuar la investigación misma. Como el gestor del banco de datos está en mejores condiciones de aportar los elementos necesarios, puede demostrar que la información requerida era correcta y estaba disponible en el momento oportuno, para exonerarse de responsabilidad. Otra causa de exoneración puede consistir en que la causa del mal funcionamiento y de los consiguientes atrasos o interrupciones en el servicio se deben, a menudo, a razones de fuerza mayor, como defectos de la red de transmisión”[liv]. En aras a reforzar el fundamento antecedente, la mayoría doctrinaria tacha de abusiva toda cláusula de exoneración de responsabilidad del gestor[lv]. d- En el régimen del FCRA se establecen responsabilidades tanto a cargo del productor como del usuario frente al concernido, variando el régimen aplicable según el grado de intencionalidad verificado en la conducta sancionada. Tratándose del incumplimiento intencional –por la “agencia de información” o por el usuario- de cualquiera de los requisitos impuestos por esta norma, el responsable verá extendida su obligación resarcitoria a los siguientes rubros: a) todo daño y perjuicio real que haya sufrido el “consumidor” –es decir, el titular del dato- como resultado del incumplimiento, b) un monto por daños punitorios que el tribunal conceda; c) en el caso de cualquier acción exitosa para ejecutar cualquier obligación conforme al presente artículo, los costos de la acción junto con los honorarios razonables del abogado según lo determine el tribunal –costos y costas- (ac. 616). En cambio, si hubiere mediado incumplimiento negligente, la reparación comprenderá: a) todo daño y perjuicio real que haya sufrido el consumidor como resultado del incumplimiento; b) en caso de cualquier acción exitosa para ejecutar cualquier obligación conforme el presente artículo, los costos de la acción junto con los honorarios razonables del abogado según lo determine el tribunal –costos y costas- (ac. 617). *III.3.2-* *Relación jurídica entre el gestor del banco de datos y el concernido* a- Es “persona concernida” aquel sujeto de derecho físico o jurídico a quien corresponden los datos contenidos en la base de datos y, por lo mismo, en los informes que del último emanen. Indudablemente, la persona concernida adquiere trascendental relevancia en el despliegue de la actividad propia del banco de datos en razón de la mayor o menor afección de sus derechos y prerrogativas mediante la divulgación de aquéllos[lvi]. En aras a tutelar el crédito y la intimidad de la persona frente a la impronta informática, la doctrina –en algunos casos con sustento en normas positivas nacionales o supranacionales[lvii]- se ha concentrado en la elaboración de principios que advienen rectores en las distintas instancias relativas al tratamiento de los datos personales Tales son: - principio de justificación legal y social de la recolección: la colección de datos debe tener un propósito general, así como usos específicos y socialmente aceptables que limiten la extracción del dato[lviii]. La ley francesa 78-17 evoca este principio con carácter pragmático e inaugural de todo el régimen al señalar: “La informática debe estar al servicio de cada ciudadano…” (art. 1)[lix]. En orden a la legalidad, habrá que tener en cuenta la prohibición –en principio- en cuanto a recoger datos de tipo sensible[lx], así como la exigencia de informar al concernido acerca del hecho de la recolección –circunstancia que supone su consentimiento- al tiempo que la finalidad para la cual se destinará tal información[lxi]. Igualmente lícitos deberán ser los medios empleados para la colección de los datos. *- principio de limitación en la recolección:* en su virtud, se procurará la extracción mínima de datos: tan sólo los necesarios para cumplir el objetivo buscado, según la naturaleza y finalidad del registro particular. En esta inteligencia, se ha entendido que la recolección de datos ampliatorios e innecesarios supondría ampliar sin motivo legítimo el perjuicio de los derechos de la personalidad[lxii]. *- principio de fidelidad de la información registrada:* este principio se halla estrictamente vinculado a las consideraciones vertidas sobre la corrección del dato suministrado. Derivado de ello, resulta la obligación del titular de actualizar –por sí o a través de su correspondiente colaborador- la información personal contenida en su registro, rectificarla y cancelarla cuando así correspondiere[lxiii]. En el último sentido, bien se ha dicho que la rectificación y actualización no es sólo un derecho de los titulares de los datos, sino también una obligación de los responsables de los archivos[lxiv]. Consecuencia inmediata del aspecto referido –y siempre bajo la órbita de la directriz en examen-, el gestor de un banco de datos de carácter personal tiene la obligación de declarar cuál es el propósito o la finalidad a la cual se destinará la información registrada, debiendo abstenerse de utilizarla con un objeto o finalidad diferentes. *- principio de salvaguarda de la seguridad:* el titular de un banco de datos de carácter personal tiene la obligación de adoptar las medidas de seguridad pertinentes a efectos de su protección contra posibles pérdidas, destrucciones o accesos no autorizados[lxv]. Los autores han interpretado ampliamente los alcances de esta directiva, considerando que su espectro se extiende desde las medidas que resulten necesarias para la protección del acceso a los locales donde están los equipos de tratamiento, hasta la protección lógica de los propios programas contra posibles errores de manipulación o accesos no autorizados[lxvi]. *- principio de participación individual:* consagra la prerrogativa de acceso a los datos concedido al individuo. Esta facultad comprende las siguientes posibilidades[lxvii]: - obtener información de la entidad responsable de los datos de la existencia de datos que le conciernan; - ser informado dentro de un tiempo razonable y de manera comprensible; - oponerse a cualquier dato que le concierne y a que esa oposición quede registrada; - obtener que los datos relativos a su persona, en caso de prosperar su oposición, sean suprimidos, rectificados o completados; - ser informado de las razones por las cuales se deniega su derecho de acceso o éste no se le concede en lugar, tiempo y forma razonables; - oponerse a toda negativa a darle las mencionadas razones *- principio de pertinencia:* se trata de un precepto de punta, por cuyo imperio la recolección de los datos será legítima en tanto los mismos sean adecuados y no excesivos con relación a los fines para los que se recaben y traten posteriormente[lxviii]. Este principio ha merecido consagración legislativa mediante el art. 4, inc. 1º del Proyecto de Ley de Protección de Datos Personales, sanción del Senado; art. 6º, inc. c de la DPDP; art. 4º de la vetada ley 24.475. Precisando conceptos, si el objeto del banco de datos es el de brindar información crediticia, comercial, patrimonial o de medios de pago en general, la recolección no podría abarcar más allá del campo que delimita el propio concepto[lxix]. *- principio de confidencialidad:* corresponde al titular del banco de datos –y, por extensión, a todos sus colaboradores-, observar estricta confidencialidad sobre toda información brindada por el usuario, en tanto revista carácter personal o contenga secretos comerciales o industriales o se trate, en suma, de cuestiones sobre las cuales el usuario haya solicitado su reserva[lxx]. Todo ello, bajo apercibimiento de tener que responder el productor por inobservancia del deber de garantía a su cargo[lxxi]. Privilegiando la prevención del daño a su resarcimiento –aunque sin olvidar esta última cuestión-, la doctrina direcciona su prédica al reconocimiento normativo de ciertos derechos[lxxii] a favor del titular de los datos, que arbitrados en su conjunto le permitan evitar el manejo indiscriminado de su información personal, especialmente cuando ésta tenga carácter nominativo[lxxiii]. Tales prerrogativas implicarán[lxxiv]: 1- derecho a conocer que existe un fichero o un tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. 2- derecho a conocer el carácter facultativo u obligatorio de las preguntas que le sean planteadas para recabar sus datos; 3- derecho a conocer las consecuencias de la obtención de los datos o de la negativa a suministrarlos; 4- derecho de acceso a la base de datos, lo cual implica saber si ella contiene o no información referida al peticionante; 5- derecho de cancelación de aquella información que, concerniente al reclamante, se ha volcado indebidamente en el registro; 6- derecho a conocer qué tipo de información concerniente al individuo ha sido comunicada a terceros; 7- derecho a rectificar la información que le concierne y que ha sido erróneamente consignada en el registro; 8- derecho de inserción de información complementaria de la contenida en el banco de datos; 9- derecho a que la información sea conservada únicamente por el tiempo necesario para el cual fue recabada, atendiendo a la finalidad de su colección[lxxv]. c- La inobservancia de los principios enumerados –y, aun más importante, de sus derivaciones e implicancias-, genera responsabilidad extracontractual del banco de datos frente al concernido[lxxvi]. La doctrina más moderna funda la mentada carga en las directrices de la teoría del riesgo[lxxvii]: siendo que la actividad informática permite la recolección, almacenamiento y recuperación de datos personales, el riesgo que de la misma surge está dado por la potencialidad dañosa derivada del eventual uso indiscriminado de la información registrada. Se trata, pues, de una responsabilidad objetiva a cargo del productor, que lo vinculará tanto por el hecho propio como por el de sus dependientes, y de la cual sólo se librará si demuestra la existencia de casus, o la culpa de la víctima o de un tercero por quien no debe responder[lxxviii]. En el ordenamiento local, la carencia normativa obliga a recurrir a la aplicación extensiva de normas positivas como los arts. 1068, 1071 y 1071 bis del Código Civil, en cuya virtud el damnificado por el uso arbitrario y por ende abusivo de la información relativa a su persona, podrá solicitar judicialmente medidas de carácter preventivo (vgr., secuestro del material, mandamiento de no innovar, etc.), así como el equitativo[lxxix] resarcimiento del daño causado. En la legislación comparada, en cambio, el derecho a indemnización encuentra asidero expreso y específico. De este modo, el art. 19 de la LOPDCP dispone: “1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados. 2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones Públicas. 3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria”. Por su parte, el art. 23 de la DPDP dispone: “1. Los Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva, tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido. 2. El responsable del tratamiento podrá ser eximido parcial o totalmente de dicha responsabilidad si demuestra que no se le puede imputar el hecho que ha provocado el daño”. IV- Conclusiones: a- Los distintos entes físicos o jurídicos intervinientes en el desarrollo operativo de un banco de datos se vinculan entre sí mediante distintas relaciones jurídicas, cada una de ellas nutridas por un contenido particular signado por la naturaleza del ligamen y por las funciones correspondientes a las partes. b- Según cómo se hayan establecidos los mencionados vínculos, las responsabilidades consecuentes serán de naturaleza contractual o extracontractual. c- Las relaciones de derecho cimentadas entre los agentes intervinientes en la operatoria de un banco de datos podrán ser internas –si se anudan entre el titular de aquél y sus colaboradores, o entre éstos últimos con exclusión del primero-, o externas –si se establecen entre el productor del registro y el usuario o el concernido-. d- Nada obsta a que los propios colaboradores entablen relaciones jurídicas directamente entre ellos, en cuyo caso las cuestiones de responsabilidad se dirimirán en el marco del contrato celebrado, sobre la base de las obligaciones correspondientes a cada uno de ellos según sus propias funciones, y sin perjuicios de considerarse la posibilidad de que un mismo agente asuma más de una función frente a su contraparte, con la consecuente multiplicación de cargas y responsabilidades. e- Las funciones necesarias para el adecuado funcionamiento del banco de datos pueden ser ejercidas en forma excluyente por distintos agentes –físicos o jurídicos-, o bien pueden concentrarse tales funciones en uno de ellos; cuando así ocurre, quien despliega la actividad unitiva cargará con el cúmulo de obligaciones y responsabilidades derivadas de las tareas desarrolladas. f- En caso de cumplimiento defectuoso de las prestaciones comprometidas, la parte in bonis podrá demandar que la falla sea solucionada y se de fiel observancia a sus obligaciones contractuales, reservándose el derecho a reclamar el resarcimiento de los daños y perjuicios que dicha apatía le cause (art. 1204 CC). Nada obsta, asimismo, a la previsión de cláusulas penales o astreintes como medio contractual para torcer la voluntad del reticente. g- Mientras que en el ámbito de las relaciones jurídicas internas las responsabilidades son de índole esencialmente contractual, en el sector de las relaciones jurídicas externas la carga de responder será de naturaleza contractual –si el daño se inflinge al usuario- o extracontractual y fundada en la teoría del riesgo –en caso de haberse afectado ilegítimamente al concernido-. h- Por la índole de las funciones desplegadas, el titular del banco de datos será el legitimado pasivo de las acciones de responsabilidad derivadas de la operatoria del registro. Este podrá, luego, iniciar la correspondiente acción contra el colaborador en falta. i- En todos los casos, las responsabilidades surgidas hallarán fundamento en el incumplimiento de las obligaciones propias de cada ligamen jurídico y de los principios específicos que lo nutren. NOTAS [i] Cfr ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: “Régimen Jurídico de los Bancos de Datos”, en “Informática y Derecho – Aportes de doctrina internacional”. Ed. Depalma (Buenos Aires – 1998), T. 6, pág. 9. [ii] Cfr. GARCÍA AGUILAR, Nicolás: “La cuestión de la responsabilidad en el Derecho Informático”. En Revista Electrónica de Derecho Informático (REDI). http:/www.derecho.org/redi. [iii] Ibidem. [iv] Art. 3, inc. d, de la Ley Orgánica Regulatoria del Tratamiento Automatizado de Datos N° 5/92 (LORTAD); art. 3, inc. d, de la Ley Orgánica de Protección de Datos de Carácter Personal N° 15/99 (LOPDCP). [v] Art. 2, inc. d de la Directiva de Protección de Datos Personales de 1995 (DPDP). [vi] Cfr. DALL’AGLIO, Eduardo Jorge: “Aspectos de la responsabilidad civil emergente de las relaciones informáticas”. ED, 117-741. [vii] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 50. Cfr también BAIGORRIA, Claudia Elizabeth: “Algunas precisiones sobre la procedencia del hábeas data”. LL, 1996-C-472. [viii] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 10. [ix] En el derecho anglosajón, en cambio, se prevé la responsabilidad específica de los colaboradores; así, el ac. 620 del FCRA preceptúa: “Cualquier funcionario o empleado de una agencia de informes sobre el consumidor que a sabiendas y deliberadamente suministre información concerniente a un individuo a partir de los archivos de la agencia a una persona no autorizada a recibir esa información será multado no más de $ 5,000 o encarcelado no más de un año, o ambas cosas”. [x] Nada obsta a que todas o algunas de las funciones naturalmente destinadas a los colaboradores sean directamente desempeñadas por el titular del banco de datos. [xi] Cfr. DALL’AGLIO, Eduardo Jorge: Op. cit., pág. 744. [xii] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 81. [xiii] Los principales proveedores de datos de nuestro país son el Banco Central de la República Argentina y la Cámara Nacional de Apelaciones en lo Comercial, mediante cuyos registros se delinea la situación financiera y legal del titular de los datos. En relación al consumo de los particulares, descollan los archivos de las empresas de tarjetas de crédito. [xiv] La realidad demuestra que los bancos de datos organizados bajo la forma de empresas comerciales destinadas a brindar informes, suelen nutrirse de los datos acercados por más de un proveedor en orden a poder armar un perfil prácticamente acabado del concernido en cuestión. [xv] Nada obsta, sin embargo, a que la base de datos receptora transmita la información brindada por el proveedor sin entrecruzamiento con otros datos. [xvi] La noción de “dato específico”o “dato complejo” varía según que el mismo resulte de considerar el objeto de la información desde un único enfoque –vgr., perspectiva crediticia de las personas- o bien desde varios ángulos distintos que permitan inferir un primer perfil del objeto informado –vgr., situación crediticia, legal y de consumo de las personas. Como puede colegirse, el dato complejo suele emerger del entrecruzamiento de múltiples datos específicos. [xvii] ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 51. [xviii] Ibídem, pág. 52. [xix] Ibídem. [xx] Ibídem. [xxi] Ibídem. [xxii] Art. 2, inc. e, DPDP; art. 3, inc. g, LOPDCP. [xxiii] Arts. 2, inc. b, DPDP; art. 3, inc. c, LORTAD; art. 3, inc. c, LOPDCP. [xxiv] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., págs. 9 y 10. [xxv] Ibídem, pág. 10. [xxvi] Ibídem, pág. 11. [xxvii] Ibídem, pág. 9. [xxviii] Ibídem, pág. 11. [xxix] Fair Credit Reporting Act: enmienda dada en 1994 a la Ley de Protección del Crédito para Consumo de los Estados Unidos de Norteamérica. [xxx] Ac. 604 FCRA. [xxxi] Ac. 615 FCRA [xxxii] En similar sentido, ver art. 15 de la DPDP. [xxxiii] Si así ocurriera, el gestor cargará no sólo con las obligaciones propias de su función sino también con aquellas que correspondan a la actividad que hubiera asumido. La misma apreciación corresponde aplicar en caso de que un colaborador asuma más de una función. [xxxiv] Vgr., contrato de suministro de información, contrato de locación de obra o cualquier otra categoría nominada o innominada. [xxxv] La cuestión adquiere relevancia no sólo por la afección causada al autor del documento, sino también por el perjuicio irrogado al usuario en su legítima expectativa de acceder a información correcta. [xxxvi] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 55. [xxxvii] El art. 12, inc. 2 prevé este supuesto relacional y su contenido, expresando: “2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el art. 9 de esta Ley que el encargado del tratamiento está obligado a implementar 3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal del tratamiento. 4. En caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”. En idéntico sentido, ver art. 17, inc. 3º, DPDP. [xxxviii] La extensión de sus obligaciones resultará de la mayor o menor amplitud de las funciones asumidas, conforme a la caracterización brindada. [xxxix] La licitud en el tratamiento del dato supone observar las limitaciones impuestas por la autoridad pública para el tratamiento del mismo, cuando se hubiesen impuesto en salvaguarda de intereses públicos superiores (vgr., seguridad pública) (Cfr. Considerandos 30 y 31 del Preámbulo de la LORTAD). [xl] Art. 6, inc. DPDP; Considerando 38 del Preámbulo de la LORTAD. [xli] Corresponderá que, por vía normativa, se determine si el tratamiento posterior de los datos con fines históricos, estadísticos o científicos resulta incompatible o no con el objetivo propuesto al momento de decidir la selección de datos y, en el último caso, establecer las garantías oportunas (cfr. art. 2, inc. b DPDP). [xlii] Art. 6, incs. d y e DPDP. [xliii] En ciertas legislaciones nacionales, el principio del consentimiento previo al tratamiento de los datos de índole personal se ha convertido en regla, representando una excepción su innecesariedad (art. 6, LOPDCP). [xliv] Al respecto, el art. 17, inc. 2º de la DPDP dispone en forma expresa que “…los Estados miembros establecerán que el responsable del tratamiento, en caso de tratamiento de por cuenta del mismo, deberá elegir un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse, y se asegure de que se cumplen dichas medidas”. En el mismo sentido se manifiesta el Considerando 46 del Preámbulo de la LORTAD. Por su parte, el art. 9 de la LOPDCP dispone: “1. El responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riegos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. (…)”. [xlv] Art. 20 DPDP; cfr. también arts. 26 y sgs. LOPDCP. [xlvi] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 15. [xlvii] Vgr., interrupción del servicio, esperas no previstas para el acceso, detención o sobrecarga del sistema afectado a la explotación del banco de datos, etc. [xlviii] ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., págs. 16 y 17. [xlix] Ibídem. [l] Ibídem. [li] Cfr. DI FILIPPO, María Isabel: “Los contratos civiles y la responsabilidad civil frente al riesgo de los digitalización. ¿Hacia un seguro informático?”, LL 1999-D-839; GIANFELICI, Mario César: “Responsabilidad civil emergente de la informática”, LL 1987-D- 1186; BEKERMAN, Jorge M.: “Bases de datos y bancos de datos. Producto o servicio (Consideraciones sobre la responsabilidad)”, LL 1990-C-942; BUSTAMANTE ALSINA, Jorge: “La informática y la responsabilidad civil”, LL 1987-B-892; DALL’AGLIO, Edgardo Jorge: Op. cit., pág. 746; ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 20 y sgs. [lii] La doctrina admite que, por las razones supra expresadas, el gestor pueda dejar a salvo el aspecto de completitud, manteniéndose rigurosa en cuanto a la obligación de seguridad asumida respecto al contenido, exactitud y periodicidad de la información. Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 54. [liii] El deber de seguridad a cargo del gestor, cuya vulneración genera su consecuente responsabilidad objetiva, consiste en garantizar que los datos personales no se difundirán ni emplearán para una finalidad distinta de la tenida en cuenta al ser incorporados al banco de datos, ni serán conservados por un tiempo superior al exigido por idéntica finalidad. Cfr. ALTAMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 83. [liv] Ibídem, pág. 53. [lv] Ibídem, pág. 15. [lvi] Sin perjuicio de ello, también adquiere relevancia en cuanto fuente o proveedor de los datos tratados. [lvii] Vgr., art. 4, LOPDCP. [lviii] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: “Hábeas data”, LL 1996-A-1554 [lix] Cfr. BAUZA REILLY, Marcelo: “La protección jurídica de los ‘datos personales’ y los servicios de información comerical y crediticia”. REDI. [lx] Ibídem. [lxi] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 1556. [lxii] Cfr. BAUZA REILLY, Marcelo: Op. cit., pág. 13. [lxiii] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 1556. [lxiv] Ibídem. [lxv] Cfr. ALTAMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 1557. En tal sentido, ver art. 17 de la DPDP. [lxvi] Cfr. BAUZA REILLY, Marcelo: Op. cit., pág. 14. [lxvii] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 1556; BAUZA REILLY, Marcelo: Op. cit., pág. 15. [lxviii] Cfr. DUBIÉ, Pedro: “Quid del consentimiento previo de la persona en el uso por terceros de información de acceso público irrestricto”. En “Derecho y nuevas tecnologías”. Ed. Ad-Hoc (Buenos Aires – 2000). Número 1-2, pág. 295. [lxix] Cfr. DUBIE, Pedro: “Análisis del debate parlamentario del hábeas data con relación a la información crediticia”, pág. 30. [lxx] Especial relevancia tienen en la materia los datos sensibles. [lxxi] Dispone el art. 10 de la LOPDCP: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto del los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. A través de un texto que consideramos incompleto y difuso, el art. 16 de la DPDP –bajo el título de “Confidencialidad del tratamiento”-, prevé: “Las personas que actúen bajo la autoridad del responsable o del encargado del tratamiento, incluido este último, sólo podrán tratar datos personales a los que tengan acceso, cuando se lo encargue el responsable del tratamiento o salvo en virtud de un imperativo legal”. [lxxii] Las facultades indicadas responden a los principios enumerados. lxxiii] Muchos de estos derechos han sido consagrados por el art. 5 de la LOPDCP y por los arts. 10, 12 y 14 de la DPDP. [lxxiv] El cúmulo de consideraciones formuladas han sido expresamente consagradas por los arts. 13 a 19 de la LOPDCP; también han merecido recepción mediante el ac. 609 y sgs. del FCRA. [lxxv] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 80. [lxxvi] En el régimen de la LOPDCP, se prevén infracciones leves, graves y muy graves,variando en cada caso el monto de la multa a imponer. Son infracciones leves (art. 44, inc. 2º) –entre otras-: a) no atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando leglamente proceda; b) proceder a la recogida de datos de carácter personal de los propios afectados sin propocionarles la información que establece la ley; c) incumplir el deber de secreto impuesto por la norma, salvo cuando ello constituya infracción grave. Son infracciones graves (art. 44, inc. 3°) –entre otras-: a) proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que ésta sea exigible; b) tratar los datos de carácter personal o usarlos posteriormente con conculcación de principios y garantías establecidos en la misma ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya una infracción muy grave; c) el impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada; d) mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas amparadas por la norma; e) la vulneración del deber de guardar secreto sobre los datosde carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo; f) mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad reglamentariamente determinadas. Son infracciones muy graves (art. 44, inc. 4º) –entre otras-: a) la recogida de datos en forma engañosa y fraudulenta; b) la comunicación o cesión de los datos de carácter personal, fuera de los casos permitidos por la LOPDCP; c) recabar y tratar los datos personales de carácter sensible sin que medie consentimiento expreso del interesado; d) tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales; e) no atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición; f) no atender en forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero [lxxvii] En reseña de las distintas posturas doctrinarias sobre el punto, ALTMARK y MOLINA QUIROGA enseñan: “a) Es de atribución subjetiva, fundada en el dolo o la culpa, porque la actividad realizada con una computadora es personal, con la ayuda de una cosa. Sería una responsabilidad directa –daños causados por el hombre con una cosa- (art. 1113, 2º párrafo, 1ª parte, que establece una presunción de culpa a favor de la víctima) y la ilicitud se configura por violación del art. 1071 bis, por intromisión arbitraria en la vida ajena, es decir, violación del derecho a la intimidad (Bustamante Alsina; Trigo Represas). b) Podrá ser subjetiva (dolo o culpa) cuando el daño provenga de la culpa o dolo de quien opera la computadora u objetiva cuando por cuenta de quien realiza la operación, el daño provenga del mal funcionamiento de la máquina (riesgo o vicio) (Vázquez Ferreyra). c) Hay responsabilidad objetiva, con fundamento en el riesgo creado por el uso indiscriminado de la información personal registrada en un banco de datos informatizado (Mosset Iturraspe, Stiglitz, Bergel, Gianfelici, Lloveras de Resk). No interesa si hubo intención de agraviar a la víctima o solamente una respuesta a la curiosidad humana, si hubo intención dolosa o simplemente negligencia. Se aplican los arts. 1071 bis y el art. 1113, 2º párrafo, 2ª parte, Cód. Civ.). Adde: Conclusiones del III Congreso Internacional de Daños (AABA, Bs. As., 1993).”. (Ibídem, pág. 90). [lxxviii] Cfr. ALTMARK, Daniel R. – MOLINA QUIROGA, Eduardo: Op. cit., pág. 85. El criterio comentado ha sido consagrado por el art. 29 de la ley francesa sobre informática y libertades y por el art. 9 de la LORTAD (Ibídem). [lxxix] La ecuanimidad de la reparación implica el resarcimiento del daño moral y patrimonial causado por el ataque a la intimidad o privacidad, así como las consecuencias negociales o económicas que de la indebida utilización de la información tratada se hubiese derivado.
. AABA Home Page .........AABA E-Mail: Ultima revisión y actualización de esta página: 05/10/2000 10:09:18 (c) Asociación de Abogados de Buenos Aires, 1998/2000

	ASOCIACION DE ABOGADOS DE BUENOS AIRES
	Uruguay 485, piso 3* - (CP 1015) Buenos Aires - Argentina Teléfono: + (54 11) 4 371 8869 - Fax:+ (54 11) 4 375 4042 Web: http://www.aaba.org.ar - Mail: aabacoin@pccp.com.ar

I- Proemio

II- Sujetos intervinientes en la operatoria de un banco de datos

II.1- Titular, gestor o responsable del banco de datos

II.2- Agentes vinculados al titular, gestor o responsable del banco de datos

III.2- Relaciones jurídicas internas

IV- Conclusiones: