Luego del Seminario Internacional e Interdisciplinario sobre la Protección de Datos Personales que tuviera como sede a la Argentina, nos acercamos hasta el Ministerio de Justicia para dialogar con algunos de los exponentes sobre el tema. Entre las figuras internacionales, estuvo presente el Presidente de la Comisión Nacional para la Informática y las Libertades de Francia (CNIL) Michel Gentot (izq.); el Subdirector General de Inspección de la Agencia de Protección de Datos de España, Jesús Rubí Navarrete (der.); y el Director Nacional de Protección de Datos de Argentina Juan Antonio Travieso (centro) quien obró como anfitrión del encuentro.
En la reunión que Diariojudicial.com tuvo con los nombrados se destacó que en la temática de la protección de datos “El individuo que está en una base de datos tiene todo el derecho de saber todo lo que le pasa”.
De inconmensurable aporte a nuestro derecho, se compartieron experiencias de los regímenes de protección de datos que existen en Francia y España. Centrados en la problemática del Registro de Bases de Datos y Ficheros, señalaron los puntos de coincidencia y similitud entre ambas experiencia que ayudará al sistema argentino a adaptarse fácilmente a las normativas internacionales tal como lo ha venido haciendo.
Además del tema del Registro de Ficheros y Bases de Datos, tema que en argentina se encuentra en franca expansión, fueron arribadas también cuestiones relativas al procedimiento de denuncias de particulares, el ejercicio del derecho de acceso a las bases que tienen todas las personas, las facultades de la autoridad de contralor y sus resoluciones al respecto, las particularidades de los ficheros policiales, etc. Reproducimos a continuación el encuentro logrado.
Diario Judicial: ¿Actualmente como se encuentra el tema del Registro de Bases de datos publicas y privadas en la Argentina?
Juan Antonio Travieso: Con respecto al Registro de Bases Públicas y Privadas, cabe destacar que se están instrumentando las comunicaciones con diversos sectores a efectos de contar con una herramienta de eficaz utilización. La normativa sobre el Registro es la que existe, esto es la propia ley nº 25.326 y su decreto reglamentario 1558/01.
(NdR: El art. 21 de la ley 25.326 dispone que “Todo archivo, registro, base o banco de datos público, y privado destinado a proporcionar informes debe inscribirse en el Registro que al efecto habilite el organismo de control.” Y el art. 21 del decreto reglamentario 1558/01 expresa que “El registro e inscripción de archivos, registros, bases o bancos de datos públicos, y privados destinados a dar información, se habilitará una vez publicada esta reglamentación en el Boletín Oficial... y Deben inscribirse los archivos, registros, bases o bancos de datos públicos y los privados a que se refiere el artículo 1º”)
DJU: En este sentido como han tomado los Bancos de datos Públicos y Privados la normativa de la protección de datos y su registración ? ¿Se encuentran adecuando sus ficheros a la normativa?
JAT: En general la recepción por parte de los entes estatales es muy buena, ya que la materia de protección de datos personales está constituyendo una asignatura vigente a nivel estatal y esta Dirección pretende generar vínculos de cooperación de carácter proactivo y sinérgico con las distintas áreas a efectos de adaptar las bases de datos a la normativa.
DJU: A fin de tomar experiencias del derecho comparado ¿Como funciona el Registro de Bases de Datos y Ficheros en España?
Jesús Rubí Nararrete: Cuando se presenta un instrumento de autorregulación, hay que evaluarlo para inscribirlo en el registro. Lo que (el Registro) certifica es que esas reglas, esas conductas, esos modelos informativos, o esos estándares que circulen sí se cumplen. Lo que decimos esos estándares son compatible con la normativa de protección de datos. Las denegaciones son excepcionales.
DJU: ¿Cómo funciona el Registro de Base de Datos y Ficheros en Francia? ¿Es similar?
Michel Gentot: En Francia se recibe la notificación (registración), y los servicios de la CNIL evalúan la solicitud, hay cosas que se pueden salvar, rectificar y en caso de que no se pueda registrar se informa.
DJU: ¿La ley consagra algún sistema de silencio positivo o negativo, respecto de la falta de declaración o subsanación por parte del Registro?
JRN: Nosotros pasado un cierto plazo se entiende inscripto.
MG: En el caso de los ficheros privados, el silencio no tiene ningún valor. Pero no tiene ningún valor porque se procesan todos los datos, no hay ningún tipo de silencio. La recibimos y se contesta falta esto o lo otro.
DJU: ¿Hacen algún tipo de inspecciones durante el trámite de las registraciones?
MG: Durante la parte de la instrucción (procesamiento) no se realizan inspecciones, se toma la inscripción en el registro que no es constitutiva (a la especie de lo que es una declaración jurada). Ahora si una vez registrada la información, luego parece que la registración puede ser de alguna manera perniciosa para el sistema se constituye (el registro) y lo manda directamente a la justicia.
JRN Cabe señalar que esto último es importante política y jurídicamente, porque si se hacen inspecciones en el momento de analizar una notificación (registración) que es puramente declarativa, de alguna manera está cambiando el régimen al de autorización y eso tiene una consecuencia jurídica inmediata, que es que se podría considerar que se están poniendo barreras una traba al mercado único y a la libre circulación de datos de la unión europea.
DJU: Una vez Registrados los Bancos de Datos o Ficheros ante la autoridad competente, llámese Dirección de Protección de Datos, Agencia o CNIL, como procede ésta ante un ciudadano que acude por mala información. ¿Que se le informa?
JRN: La practica indica que lo mas frecuente sucede cuando la persona viene y dice que se le informo que aparece en un registro de dato por ej. en un banco aparece como moroso y no sabe en cual fichero o banco de datos está. Ahora bien, lo que esta registrado es el fichero pero no el contenido.
Lo mas habitual verdaderamente, se le informa del derecho de acceso que posee. Normalmente se acierta con la información que dio el ciudadano y se ubica el fichero. Y ahora estaríamos en la tutela de ese derecho de acceso que posee el ciudadano
MG: El individuo que está en una base de datos tiene todo el derecho de saber todo lo que le pasa.
DJU: ¿Y que ocurre si no aparece ningún registro?
JRN: Frente a esto pueden ocurrir dos cosas. Que se amplíe la vista, u otra dirigirse directamente la autoridad al banco y averiguar que es lo que ha pasado. Los bancos responden. Tiene la obligación de responder. La agencia tiene la posibilidad solicitar datos de registros públicos y privados.
MG: En Francia los bancos, son reticentes a contestar esta pregunta. Tienen la obligación por la ley de protección de datos pero a su vez están protegidos por las leyes de secreto bancario.
DJU: En una materia tan novedosa como lo es la Protección de Datos Personales ¿la gente va adquiriendo nociones de la normativa que tutela sus datos personales o es una tarea que requiere de mucha información y educación para el ejercicio de los mismos?
JRN: Crecientemente vamos teniendo mas reclamaciones relacionadas con el derecho de acceso. En las leyes administrativas, tenemos el derecho de acceso a los registro públicos y en la ley de protección de datos tenemos tutelado también el derecho de acceso.
En nuestra opinión son dos derechos distintos. el derecho de acceso permite obtener una cierta información. Ahora bien el derecho de acceso a los registros públicos permite obtener información de un expediente administrativo y no encaja exactamente con el derecho de acceso a los registros públicos que contempla la ley de protección de datos personales por la información, finalidad.
Y nos encontramos con reclamaciones, ejercicios de derechos, de querer conocer las informaciones de un expediente administrativo por medio del ejercicio del derecho de acceso de las leyes de protección de datos, particularmente de los ficheros de la administración tributaria.
Inclusive, un ejercicio de derecho de rectificación por un ciudadano que planteo un recurso por la cuota liquida de su impuesto que estaba incorrecto en los ficheros de la administración tributaria, y acudió a la agencia de protección de datos para rectificar ese dato incorrecto.
Hemos tratado de tener mucho rigor, en el sentido de decir que este derecho de acceso es distinto al derecho de acceso de la ley de protección de datos. Existen reclamos previstos por la ley para rectificarlos y no es competencia de la agencia calcular las bases tributarias.
DJU: Cambiando de tema ¿Que sucede en el caso de los ficheros policiales, como se ejercería este derecho de acceso.?
MG: En el caso de los ficheros policiales, es muy simple para los ciudadanos pero difícil para la CNIL por el procesamiento de la información. Para el ciudadano es muy común por los formularios estándar que existen. Hay miembros de la comisión que son ex miembros del superior tribunal de casación y son ellos los que ejercen este acceso indirecto a los ficheros policiales. No cualquiera tiene acceso a los mismos.
JRN: Las reclamaciones en su mayor parte se desestiman pero no por nada, sino porque las actuaciones son normalmente correctas. Otro matiz importante, es la distinción de ficheros administrativos (de extranjería, residencia) y ficheros de investigaciones criminales, en donde puede haber reglamentaciones especiales. En este caso no hay un aviso o notificación al afectado, ni se necesita su consentimiento, de que va a ser ingresado en una investigación.
Pero tienen un régimen de garantías mas estricta, porque la información puede estar vinculada a una causa de investigación concreta o a una causa general abierta .
No tiene consentimiento, ni información. Pero tiene que estar con una regla de proporcionalidad relacionada con una investigación criminal concreta. Que cuando termina y pasan las actuaciones al juez puede conservarse un cierto tiempo porque puede haber requerimientos, pero no puede estar 25 años la información ahí.
DJU: Centrándonos en el procedimiento de la denuncia de un particular por una supuesta violación a la normativa de protección de datos, ¿cómo es el procedimiento de la denuncia? ¿Pueden ser ingresadas vía internet?
MG: Por el momento no hay un sistema confiable de firma electrónica, de certificación telemática con lo cual las denuncias no pueden hacerse por este medio. Los recibimos en papel y firmado. No se puede activar todo un sistema por que si. Si nos vamos a poner a trabajar que sea en serio pues en la cadena está el particular, la base de datos y el Estado. Muchas veces, llegan a nuestros colaboradores muchas consultas y preguntas que son respuestas, y puede que muchas de estas no deriven en quejas. Puede suceder también que lleguen las consultas vía e-mail y en ese caso se les requerirá que se identifiquen.
JRN: Es importantísimo esto para las autoridades y para los responsables de los ficheros porque es un derecho fundamental y además es un derecho personalismo. Y si no se establece un sistema de identificaciones inequívoco, el responsable del fichero puede estar cometiendo una vulneración del deber de secreto porque está facilitando información. O nosotros podemos estar iniciando un procedimiento con alguien que no es tal.
DJU: ¿Cómo funciona en España, como certifican la legalidad ?
JRN: Somos país que tiene documento nacional de identidad. Presentando el documento y copia del mismo basta.
DJU: En las denuncias podría decirse que prima el informalismo. Ahora ¿se necesita alguna tipo de asistencia letrada para iniciar el trámite?
MG: A veces se reciben papeles ilegibles como consecuencia de esta forma de introducirla tan libre, sin asesoramiento. Tenga en cuenta que son temas que requieren una rápida resolución, y se inician a veces con una simple carta pequeña.
JRN: Hay personas que sí van con asistencia letrada. Pero vale una aclaración. Para lo que son el ejercicio de los derechos, la inmensa mayoría de las personas no necesitan ni estar asesoradas ni es exigible. Además el ejercicio de los derechos es gratuito, tanto por parte de la autoridad de control como por los responsables de las bases de datos. Pero el ejercicio de derechos es muy sencillo porque estas personas de atención al ciudadano, lo que tienen que hacer es pedir la identificación, y hay un modelo standard, que no es oficial, para introducir la denuncia con todos los requisitos e indicando la copia de lo que se necesita.
Hemos tenido una situación curiosa en España. El responsable de una base de datos o ficheros puede facilitar el ejercicio de acceso, dar apartado de correos, teléfonos pero no puede imponer una modalidad del ejercicio de acceso al ciudadano. El ciudadano se planta en una compañía y tiene que brindárselo.
Nos hemos encontrado así con un fenómeno muy curioso de empresas que habían designado como sistemas para ejercer el derecho de acceso, teléfonos 906 que es un sistema pago adicionales (similar a lo que es en Argentina una línea 0600).
DJU: Luego de la denuncia, una vez comenzado el procedimiento en la autoridad de contralor de la normativa de Protección de Datos, ¿como continua y cuál es la decisión final?
JRN: Hay un procedimiento administrativo de tutela, tenemos una persona, tenemos la queja, y se inicia un procedimiento administrativo de oficio con una fase de contradicción. Si es necesario se puede hacer una investigación puntual, pero normalmente no hace falta ya que con la documentación y las informaciones que se suministran se puede resolver; y luego hay una resolución del director de la agencia que dice esta tutela de derecho hay que activarla o desestimarla. Hay un acto administrativo que pone fin a la vía administrativa y se notifica al responsable del fichero, notificación que consta de una parte dispositiva que contiene los hechos, los fundamentos jurídicos y si se estima la tutela se requiere la facilitación, rectificación o cancelación de la información, solicitando que informe qué actuaciones y mecanismos utilizará bajo apercibimiento de una sanción.
DJU: Finalizado el seminario internacional ¿que conclusiones extrae del mismo? ¿Hay experiencias que la Argentina puede tener en cuenta en el futuro?
JAT: Es evidente que en materia de protección de datos personales la experiencia internacional es de vital importancia para el desarrollo de iniciativas. Por otro lado, la comunidad internacional ha reaccionado muy favorablemente a la creación de la Dirección, tal como lo muestra el seminario realizado.
El apoyo inestimable de las autoridades de este Ministerio de Justicia, Seguridad y Derechos Humanos, tanto del Sr. Ministro, Dr. Gustavo Béliz, como del Sr. Secretario de Política Judicial y Asuntos Legislativos, Dr. Abel Fleitas Ortiz de Rozas también es una muestra cabal del interés que existe desde la máxima autoridad política en desarrollar esta materia.
DJU:¿Cuales serían las próximas acciones a desarrollar por parte de la Dirección de protección de datos?
JAT: La Dirección tiene en marcha herramientas de difusión, de fácil lectura y comprensión a nivel popular, la preparación de manuales de protección de datos por sector y el desarrollo de la cooperación a nivel nacional e internacional. Estamos trabajando en una doble vía: construimos la red Argentina de protección de datos personales y elaboramos la red iberoamericana con el mismo fin.
DJU: A propósito de la cooperación internacional, recientemente la Unión Europea calificó a la Argentina como "país apto para el tráfico de datos" ¿Que beneficios y significancia tiene para nosotros?
JAT: No cabe duda que el reconocimiento europeo constituye un beneficio de importancia dado que son pocos los países que han logrado esta calidad. Creo que los beneficios se verán también cuando la difusión de las ventajas de la protección adecuada de los datos personales crezca en nuestro país, y las empresas y particulares sepan que cuentan con esta herramienta. Estamos construyendo junto con la Unión Europea una autopista de protección de datos en beneficio de las personas.