La
cesión de los datos personales de la Administración Nacional de Seguridad
Social a propósito del dictado de la Resolución 166/2016 y sus anexos
Introducción.
La Jefatura de Gabinete
de Ministros ha dictado la Resolución 166/2016[2], por
la cual se aprueba el Convenio Marco de Cooperación entre la Administración Nacional
de Seguridad Social (ANSES) y la Secretaría de Comunicación Pública dependiente
de la Jefatura de Gabinete, con la
finalidad de realizar el intercambio electrónico de información contenida en
las bases de datos de ambos Organismos. A tales efectos la ANSES remitirá
periódicamente la siguiente información de toda la base de datos de sus empadronados:
nombre y apellido; DNI; CUIT/CUIL; domicilio; teléfonos; correo electrónico;
fecha de nacimiento; estado civil; estudios. El objeto sería utilizar dicha
información para mantener informada a la población, identificar y analizar las
problemáticas o temáticas de interés en cada lugar del país y comunicar las
acciones de gobierno relacionadas tomando contacto con la población a través de
diversas modalidades que incluyen redes sociales, otros medios de comunicación
electrónicos, llamados telefónicos o conversación personal.
Esta resolución ha sido
altamente cuestionada por los distintos sectores de la población, en relación a
su legalidad y la hipotética violación a la ley 25.326[3] de
Protección de los Datos Personales y su Decreto Reglamentario 1558/2001[4] y
a ello hemos de referirnos en este espacio.
Análisis
de la normativa vigente en materia de protección de datos personales en
Argentina
En primer lugar debemos
aludir a las principales normas de la ley citada relacionadas con el tema en
cuestión. Así comenzaremos por los principios de calidad de los datos del art.
4° y principalmente al inciso 1) en cuanto establece que “Los datos
personales que se recojan a los efectos de su tratamiento deben ser ciertos,
adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para
los que se hubieran obtenido” y el inc. 3) que expresa “Los datos objeto de
tratamiento no pueden ser utilizados para finalidades distintas o incompatibles
con aquellas que motivaron su obtención”. Adecuación, pertinencia y no
excesividad se han considerado como el “principio de proporcionalidad”, pero
además los datos no podrán ser tratados
para finalidades distintas o incompatibles para la cual fueron recabados. El
art. 11 de la misma ley reglamenta la cesión de los datos estableciendo en su
inc. 1) que “Los datos personales objeto de tratamiento sólo pueden ser cedidos
para el cumplimiento de los fines directamente relacionados con el interés
legítimo del cedente y del cesionario y con el previo consentimiento del
titular de los datos, al que se debe informar sobre la finalidad de la cesión e
identificar al cesionario o los elementos que permitan hacerlo”. El mismo
artículo trata las excepciones a la prestación del consentimiento por parte de
los titulares de los datos. Así el inc. 3) c) y en relación al tema en análisis
expresa que el consentimiento no será exigido cuando: “se realice entre
dependencias de los órganos del Estado en forma directa, en la medida del
cumplimiento de sus respectivas competencias”. Aquí debemos recordar que
nuestra ley 25.326 es una adaptación de la LORTAD (Ley Orgánica de Tratamiento
Automatizados de Datos de Carácter Personal) española. Esta ley contenía en su
art. 19 inc. 1)[5] una norma de similares características a las del art. 11.3.c) de nuestra LPDP, la
que fue muy cuestionada en España por abusiva. Consecuentemente en la Ley
Orgánica 15/1999 de carácter Personal española que suplanta a la LORTAD, en su
art. 21 trata la cesión de datos entre Administraciones Públicas que podrán
realizarse sin consentimiento del titular de los datos (21.4. LOPD)
estableciendo lo siguiente (21.1 LOPD) “Los datos de carácter personal
recogidos por las Administraciones públicas para el desempeño de sus
atribuciones no serán comunicados a otras Administraciones públicas para el
ejercicio de competencias diferentes o de competencias que versen sobre
materias distintas…”[6]
Fernández Salmeron,[7]
interpretando a contrario sensu, explica
que esta norma dispone dos supuestos: el primero cuando se trate del ejercicio
de las mismas competencias y el segundo cuando se trate de competencias
distintas que versen sobre la misma materia. Ejemplos del primer supuesto sería
la cesión de datos entre universidades públicas para traslados de expedientes,
cesiones de datos de los ficheros municipales tales como “multas de tráfico”,
“precios públicos”, “recibos/liquidaciones”, “contribuyentes” etc, siempre que
se trate de la misma competencia en todos los casos: gestión recaudatoria de
deudas de derecho público. Ejemplo del segundo supuesto serían las cesiones
operadas por un Ayuntamiento a favor de diversos órganos y entes de la
Comunidad Autónoma (Dirección General e Inspección de Consumo; Junta Arbitral
de Consumo; Servicios de salud, etc.) de los datos integrados en ficheros
relativos a reclamaciones, quejas y denuncias de consumo, en la medida en que
la legislación en esta materia articula de este modo las competencias. Es
importante destacar que el Tribunal Constitucional Español por Sentencia
292/2000 declaró la inconstitucionalidad y nulidad del párrafo del art. 21.1
que preveía la comunicación sin consentimiento del titular de los datos cuando
dicha comunicación hubiera sido prevista por disposiciones de rango inferior a
la ley por entender que la previsión de una norma reglamentaria no constituía
garantía suficiente para el derecho a la protección de los datos personales.
Acerca del ejercicio de
la cesión de los datos sin consentimiento de sus titulares entre órganos del
Estado del art. 11.3.c) de la ley
25.326, Peyrano ha expresado que debe ser interpretado de modo restrictivo
atendiendo a lo sucedido en España con una norma similar.[8]
A
modo de conclusión
Las autoridades de
gobierno han fundamentado el dictado de la resolución cuestionada (cesión de
datos personales de la base de datos de la ANSES a la Secretaría de
Comunicación Pública) en la norma del art. 11.3.c) de la ley 25.326. Como
podemos observar no han tenido en cuenta para ello, los valiosos antecedentes y
experiencia surgidos como consecuencia de la aplicación de la ley española seguida
del pronunciamiento de la Sentencia del Tribunal Constitucional de España en
relación al tema controvertido. Sería deseable que la norma del art. 11 en la
parte referida sea modificado en una posible reforma de la LPDP, la que
actualmente se está llevando a cabo a instancia de la Dirección Nacional de
Protección de Datos Personales, a través del Plan “justicia 2020” (plan de
gobierno para la reforma judicial) por el que se convoca a todos los
interesados a la participación para tal cometido. Pero aún más importante sería
que el tema sea del interés de los legisladores del Congreso de la Nación
cuando el proyecto de reforma de ley llegue al recinto para su tratamiento y
sanción, dándole al artículo un alcance preciso y claro en pos de la protección
de los datos personales de los administrados. No obstante ello, cuando los
titulares de los datos personales consideren que se han violado sus derechos
como consecuencia de la aplicación de ésta norma podrán ejercer el derecho de
supresión de los datos establecido por la ley 25.326 de Protección de los Datos
Personales.
[1] Matilde S.
Martínez. Abogada (UBA). Especialista Universitario de Protección de Datos y Privacidad,
Universidad de Murcia, España. Miembro del Instituto de Derecho
Informático y del Instituto de Derecho Bancario del CPACF. Estudios de
posgrado: Derecho Constitucional y Procesal Profundizado; Derecho Bancario;
Mediadora prejudicial. Ex asesora legal
de Citibank N.A. Auditora de la
Auditoria General de la Nación. Autora de publicaciones en revistas jurídicas:
El Derecho, Microjuris, otras y del libro Hábeas Data Financiero. Integrante y coautora del equipo coordinado
por Daniel López Carballo del "Estudio sobre las garantías en materia de
protección de datos y hábeas data: una visión desde Iberoamérica" que
obtuvo el Accésit Premio Nacional de Investigación de la Agencia Española de
Protección de Datos, 2015. Profesora de
posgrado del Módulo de Informes Crediticios
y del Módulo Protección de Datos Personales -Derecho al olvido- en la Especialización de Derecho Informático de la UBA. Site: http://www.habeasdatafinanciero.com,
e-mail: mmartinez@habeasdatafinanciero.com
[5] Peyrano
Guillermo F. Régimen Legal de los Datos Personales y Hábeas Data. LexisNexis. Depalma. 2002. P.136
[6] El art. 21.1
LOPD continúa …”salvo cuando la comunicación hubiere sido prevista por las
disposiciones de creación del fichero o por disposición de superior rango que
regule su uso..” Este párrafo fue declarado inconstitucional y nulo por
Sentencia del Tribunal Constitucional 292/2000, 30 noviembre (B.O.E. 4 enero
2001)
[7] Fernández
Salmeron, Manuel. Ficheros de
titularidad pública. Material del curso Especialista Universitario de
Protección de Datos Personales y Privacidad, Facultad de Derecho, Universidad
de Murcia. 2012
[8] Peyrano G. F.
Op. Cit. P. 137
Publicado en Diario DPI Suplemento Derecho y Tecnología N° 26. 12.10.2016
No hay comentarios:
Publicar un comentario