Transferencia de datos personales entre dependencias estatales. Comentario al fallo TORRES ABAD. (Expte. Nº 49.482/2016/CA1).

Mediante la Resolución Nº 166-E/2016 de la Jefatura de Gabinete de Ministros se aprobó el Convenio Marco de Cooperación entre la Administración Nacional de Seguridad Social y la Secretaría de Comunicación Pública, con la finalidad de que ésta última cumpla con su obligación de mantener informada a la población a través de diversas modalidades, que incluyen las redes sociales, llamados telefónicos o la conversación persona a persona, de forma de lograr con los ciudadanos un contacto individual e instantáneo.

Para el cumplimiento de ese deber, se determinó a través de dicho convenio la transferencia de datos personales de ciudadanos de la base de datos de la ANSES, consistente en identificadores conocidos como Datos Nominativos (Nombre, Apellido; Fecha de Nacimiento, Estado Civil, DNI; CUIT/CUIL; Domicilio; Teléfonos) e información un poco más compleja como el correo Electrónico el N° de teléfono.

Recordemos que la Ley de Protección de Datos Personales – Art. 11° Ley N° 25.326-  permite la cesión de datos exigiendo el consentimiento previo del titular de los datos personales pero este requisito no aplica para el caso de la cesión entre dependencias de los órganos del Estado en la medida del cumplimiento de sus respectivas competencias.

El Artículo 5° .2 determina asimismo que no será necesario el consentimiento del titular para el tratamiento de datos personales cuando se recaben para el ejercicio de funciones propias de los poderes del Estado y se traten de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio.

Una ciudadana, la actora en este fallo que se comenta, se sintió agravada por la cesión de sus datos personales y decidió interponer un recurso de amparo para que se preserve la confidencialidad de la información, considerando que sus datos personales iban a ser utilizados para otras finalidades distintas a aquellas que motivaron su obtención.

En este orden de ideas, alegó que informó sus datos personales para poder recibir los beneficios previsionales pertinentes, pero no para que la Secretaria de Comunicación Pública estuviera contactándola por teléfono y por correo electrónico.

En este punto conviene detenerse ya que efectivamente, el N° de teléfono y la dirección de correo electrónico no forman parte del listado de datos del Art 5.2 inc. C  arriba comentado, y por ende no se encuentran alcanzados en la excepción de requerir consentimiento previo.

No obstante ello, según la postura de la demandada, estos datos si podrían quedar alcanzados en la excepción determinada en el inc. B del Artículo que refiere a los que “se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal;”

Entonces el punto de conflicto a resolver se encontraba en si el N° de teléfono y la dirección de correo electrónico se tratan de datos alcanzados por las excepciones al principio general que determina la necesidad de contar con el consentimiento libre, expreso e informado por parte del titular para el tratamiento de datos personales.

La Jueza interviniente en primera instancia desestimó el habeas data incoado, mientras que la Cámara de Apelaciones revirtió el fallo que aquí se comenta, en el mes de Julio del año 2018.

Resulta interesante destacar que el fallo que rechazó la demanda se fundamentó en la inexistencia de un daño concreto, y en este punto, la Alzada en su fallo declara exactamente lo contrario al afirmar no se requiere demostrar la existencia de un daño concreto para que proceda la acción de habeas data, ya que el sólo tratamiento de los datos personas sin consentimiento previo del titular, constituye un agravio en sí mismo y es justo lo que la Ley de Protección de Datos Personales quiere prevenir, ya que se busca evitar intromisiones indebidas que lesionen la autodeterminación informativa de los titulares de datos personales.

 En cuanto al análisis de aplicabilidad de las normas de excepción al requerimiento de consentimiento previo, la Alzada criticó la fórmula legal determinada en el Art 5.2 inc. 2 tildándola de amplia e imprecisa que falla en imponer límites razonables al tratamiento de datos personales.

Se determina en el fallo que el consentimiento otorgado voluntariamente en forma expresa, libre e informada para el tratamiento de datos para una finalidad determinada e informada por la Anses, no puede utilizarse para autorizar un tratamiento de datos distinto, a realizar por otra dependencia gubernamental, con miras al cumplimiento de una finalidad distinta a la originalmente informada al titular.

Esta característica del consentimiento en el tratamiento de datos personales resulta común en todas las legislaciones que protegen a los datos personales de abusos por parte de registros públicos y privados. La finalidad de recolección y tratamiento de datos debe ser informada en lenguaje claro y directo, para que el titular tenga la posibilidad real de brindar un consentimiento en las condiciones que engloban su legitimidad, esto es: ser expreso, otorgarse en forma previa, ser informado y libre.

Respecto a esa finalidad última, objeto de la cesión de datos impugnada por la parte actora, la Sala interviniente advirtió que la fórmula legal que autoriza la excepción a requerir consentimiento para el ejercicio de funciones propias de los poderes del estado, no se configura en este caso, ya que la doctrina la ha restringido a la finalidad de defensa nacional, seguridad pública o represión de delitos.

Siendo que la Secretaria de Comunicación sólo buscaba “mantener informada a la población” o “la identificación, evaluación y análisis de problemáticas o temáticas de interés en cada localidad del país”, se concluye que dichas finalidades no hacen encuadrar el caso en la normativa de excepción.

Tampoco puede esgrimirse la defensa que la misma norma determina in fine, en cuanto autoriza la excepción al consentimiento “en virtud de una obligación legal”, toda vez que una finalidad determinada en una resolución administrativa no resulta ser una excepción a la Ley Nacional de Protección de Datos Personales que exige el consentimiento expreso del interesado a fin de proteger su derecho a la autodeterminación informativa, que pose jerarquía superior a la invocación genérica de fines estatales.

Toda intrusión en la esfera de datos de una persona debe estar rigurosamente justificada con base legal, sin que proceda la invocación de excepciones genéricas que desnaturalicen ese derecho.

Comentario aparte merece la Resolución 4/2019 dictada por la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA el día 13/01/2019, por la que dictó los “Criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley Nº 25.326”.

El Criterio N°5 se refiere al Consentimiento y respecto a la Cesión de datos personales entre organismos públicos, la autoridad de control de la Ley de Protección de Datos Personales, que es la que debe velar por su cumplimiento, determinó que “no se requiere el consentimiento del titular de los datos y se cumple con las condiciones de licitud, en la medida en que (i) el cedente haya obtenido los datos en ejercicio de sus funciones, (ii) el cesionario utilice los datos pretendidos para una finalidad que se encuentre dentro del marco de su competencia y, por último, (iii) los datos involucrados sean adecuados y no excedan el límite de lo necesario en relación a esta última finalidad.”

Esta nueva resolución fue dictada a fin de aclarar el alcance de los Artículos 11 y 5.2 en lo que se refiere a la cesión de datos personales entre dependencias del Estado.

Los puntos i) y ii) no representan mayor novedades, pero el punto iii) recepta de alguna manera el principio de minimización de datos que surge del Reglamento de Protección de Datos Personales de la Unión Europea (GDPR).

Mediante este principio, se buscó limitar el tratamiento de datos personales a una finalidad específica y claramente informada al titular, para evitar la captación de datos personales en masa que no tengan relación a un fin particular.

Por lo tanto, según la Agencia gubernamental encargada de velar por la protección de datos personales, considera que una cesión de datos entre dependencias del estado debe estar fundamentada en una finalidad particular y que los datos en cuestión sean los adecuados para cumplir esa misión, sin excesos innecesarios y por ende, ilegales.

La sentencia del caso comentado fue recurrida por el Estado Nacional y actualmente la causa se encuentra en análisis por la Corte Suprema de Justicia de la Nación, por lo que en poco tiempo podremos observar el criterio que reinará en el tema.

Deja un comentario

Tu dirección de correo electrónico no será publicada.