TRANSCRIBO:
Art. 16. Derecho de rectificación, actualización o supresión
1. Toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad los datos personales de los que sea titular, que estén incluidos en un banco de datos.
2. El responsable o usuario del banco de datos, debe proceder a la rectificación, supresión o actualización de los datos personales del afectado, realizando las operaciones necesarias a tal fin en el plazo máximo de cinco días hábiles de recibido el reclamo del titular de los datos o advertido el error o falsedad.
3. El incumplimiento de esta obligación dentro del término acordado en el inciso precedente, habilitará al interesado a promover sin más la acción de protección de los datos personales o de hábeas data prevista en la presente ley.
4. En el supuesto de cesión, o transferencia de datos, el responsable o usuario del banco de datos debe notificar la rectificación o supresión al cesionario dentro del quinto día hábil de efectuado el tratamiento del dato.
5. La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.
6. Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del banco de datos deberá o bien bloquear el archivo, o consignar al proveer información relativa al mismo la circunstancia de que se encuentra sometida a revisión.
7. Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos.
Art. 16. (Reglamentación). En las disposiciones de los arts. 16 a 22 y 38 a 43 de la ley 25326 en que se menciona a algunos de los derechos de rectificación, actualización, supresión y confidencialidad, se entiende que tales normas se refieren a todos ellos.
En el caso de los archivos o bases de datos públicas conformadas por cesión de información suministrada por entidades financieras, administradoras de fondos de jubilaciones y pensiones y entidades aseguradoras, de conformidad con el art. 5º, inc. 2º, de la ley 25326, los derechos de rectificación, actualización, supresión y confidencialidad deben ejercerse ante la entidad cedente que sea parte en la relación jurídica a que se refiere el dato impugnado. Si procediera el reclamo, la entidad respectiva debe solicitar al Banco Central de la República Argentina, a la Superintendencia de Administradoras de Fondos de Jubilaciones y Pensiones o a la Superintendencia de Seguros de la Nación, según el caso, que sean practicadas las modificaciones necesarias en sus bases de datos. Toda modificación debe ser comunicada a través de los mismos medios empleados para la divulgación de la información.
Los responsables o usuarios de archivos o bases de datos públicos de acceso público irrestricto pueden cumplir la notificación a que se refiere el art. 16, inc. 4º, de la ley 25326 mediante la modificación de los datos realizada a través de los mismos medios empleados para su divulgación.
1. El derecho de incidir sobre los datos personales archivados
El art. 16 de la LPDP regula el que denominaremos "derecho de incidir" sobre los datos personales archivados.
La norma otorga a los "titulares" de los datos el derecho a su rectificación, actualización, y en cuanto corresponda, a su supresión o sometimiento a confidencialidad, cuando esas informaciones se encuentren incluidas en bancos de datos.
Las potestades jurídicas otorgadas constituyen aspectos de la mayor relevancia del derecho a la "autodeterminación informativa" -expresión del señorío que debe ser reconocido a las personas respecto de las informaciones relativas a circunstancias o características que se refieren a ellas (252) - y conllevan el reconocimiento a los "titulares" de estas informaciones de generar operaciones de tratamiento.
La formulación legal resulta incompleta en sus previsiones, en tanto y en cuanto el elenco de potestades que reconoce, no alcanza siquiera a cubrir otras que explícita o implícitamente surgen no sólo de la naturaleza del instituto del hábeas data (acción que como habrá de verse, también se encuentra condicionada al ejercicio previo de estas potestades), sino también del mismo ordenamiento protectorio establecido por la ley 25326.
Es que solamente se ha previsto la posibilidad de ejercer los derechos de rectificación, actualización, y cuando ello resultare pertinente, de supresión y sometimiento a la confidencialidad, omitiéndose otros que igualmente se desprenden del pilar troncal que hace a la configuración del derecho a la ya referida "autodeterminación informativa".
Prescindiendo de las subespecies comprendidas en el denominado "hábeas data informativo" -relacionadas con el derecho de acceso (253) -, doctrinariamente se ha aceptado la categorización en varios tipos posibles para este instituto tales como el "aditivo" (con sus subtipos "aclaratorio", actualizador" e "inclusorio"), el "rectificador o correctivo", el "reservador", el "exclutorio o cancelatorio", el "reparador", el "impugnativo", el "bloqueador", el "disociador" y el "asegurador" (254).
Los derechos reconocidos en la norma resultan insuficientes en orden a los distintas tipologías que puede adoptar la acción de protección de datos personales y con mayor razón aún si se tiene en cuenta que el ejercicio previo de aquéllos resulta condición necesaria para la promoción de la misma.
Por tal razón deben considerarse comprendidas en las potestades reconocidas por el art. 16 de la LPDP a los "titulares" de los datos, todas aquellas que hagan al cumplimiento de las disposiciones de la ley vinculadas con la calidad, categoría, seguridad, y condiciones de obtención, tratamiento, cesión o transferencia de las informaciones, y que puedan constituirse en recaudo o condición del ejercicio de la acción de hábeas data.
No resulta satisfactoria la aclaración formulada en la reglamentación cuando dice "En las disposiciones de los arts. 16 a 22 y 38 a 43 de la ley 25326 en que se menciona a algunos de los derechos de rectificación, actualización, supresión y confidencialidad, se entiende que tales normas se refieren a todos ellos", ya que si bien subsana las omisiones en las que la ley ha incurrido tanto en el art. 16 como en otras disposiciones, no completa el elenco de derechos de posible ejercitación por los titulares de los datos con la finalidad de incidir sobre esas informaciones.
2. El derecho a exigir la rectificación de los datos
En principio, el derecho a exigir la rectificación puede ser ejercido ante la falsedad, inexactitud, imprecisión o carácter erróneo que tengan los datos.
Su reconocimiento implica el de la preservación de la veracidad de la información, condición que hace a la calidad de la misma (art. 4º, inc. 1º, LPDP), y constituye un bien integrante de la personalidad (255).
Rectificar los datos implica modificarlos para que se compadezcan de modo efectivo con la porción de la realidad que representan (256).
Cuando se requiere la rectificación de los datos se está solicitando la modificación de las registraciones que hacen a las realidades representadas por aquéllos, no comprendiendo este derecho el de réplica, basado en motivaciones y con finalidades de naturaleza diferente (257).
Su reconocimiento constituye el modo de dotar a los titulares de los datos del poder para conservar cierto grado de control sobre el tenor, contenido y calidad de las informaciones que a su respecto son objeto de tratamiento y "circulan" por los distintos medios que las novedosas tecnologías permiten utilizar a esos fines.
Como con acierto se ha expresado "el derecho de rectificación o respuesta, deviene, entonces, esencial en una sociedad democrática en la que la actividad de los medios de comunicación es intensa, porque constituye un modo parcial, limitado, en ocasiones tardío, de conservar un mínimo de control sobre aquello que se dice, informa o transmite sobre uno mismo" (258).
3. El derecho a requerir la actualización de los datos
Que los datos personales se encuentren actualizados constituye no sólo un derecho de los titulares, sino también un imperativo impuesto por la ley a los responsables de los registros (y a sus usuarios) (art. 4º, inc. 4º, LPDP).
Como ya se ha dicho "la actualización estriba en preservar la vigencia del dato, esto es, la correspondencia de la fracción de información que representa con el ámbito temporal en que es proporcionado" (259).
Reviste en muchos casos fundamental importancia, toda vez que la información que los datos proporcionan puede (y lo es) ser utilizada para establecer categorizaciones y conceptos de los titulares, los que resultarán inexactos o erróneos, de concretarse sobre la base de informaciones que han dejado de tener actualidad y que no se compadecen con la realidad.
Se ha resuelto, invocándose la necesidad de que la información proporcionada sea completa, aunque correspondiendo en realidad lo dispuesto a un supuesto de "actualización" de la información registrada, que: "Corresponde ordenar al banco de datos demandado que complemente el informe sobre un dato auténtico pero incompleto -en el caso, un juicio ejecutivo que fue desistido por pago- pues puede dar un perfil distorsionado de la persona a la que se refiere y falsear a su respecto la finalidad de la información suministrada" (260).
4. Otros derechos de los titulares: adición, disociación
Conforme se ha explicado, el espectro de la acción de protección de datos personales resulta más amplio que el de los derechos expresamente consignados en el art. 16 de la LPDP.
En ese orden de ideas deberá, como también se ha consignado, reconocerse a los titulares de los datos el derecho a ejercer frente a los responsables (o usuarios) de los bancos de datos, otras potestades jurídicas en orden a las informaciones relativas a los primeros que son objeto de archivo y operaciones de tratamiento.
Así podrán requerir se adicionen informaciones a los datos registrados, cuando se consideren incompletos de modo tal que no reflejen las realidades que representan.
En similar sentido, también podrán exigir la disociación de datos cuyas calidades o características sólo permitan su tratamiento sin posibilidad de establecer asociaciones o vinculaciones con los titulares de los datos.
5. Los derechos a la supresión y sometimiento a la confidencialidad
Especial tratamiento merecen los derechos a supresión y sometimiento a confidencialidad reconocidos a los titulares de los datos, ya que conforme lo preceptúa expresamente la norma ese reconocimiento se efectúa siempre que corresponda.
En realidad la redacción del precepto bajo análisis no ha resultado feliz, dado que todos los derechos estatuidos en el art. 16, inc. 1º de la LPDP tienen como presupuesto común que las pretensiones cuenten con los correspondientes fundamentos fácticos y legales.
Así, la rectificación, la actualización, la supresión, el sometimiento a confidencialidad de informaciones personales, eventualmente pretendidas por sus titulares, sólo generarán la obligación de ser acogidos, si ello correspondiese.
Así, verbigracia, la pretensión de rectificación de un dato cierto, completo y exacto, empero ser impetrada al responsable de un archivo, no producirá la obligación de ser aceptada, ni de modificarse en consecuencia el registro impugnado.
Por el contrario, y tomando como hipótesis un supuesto en el que se pretendiera la actualización de una información, para el caso de resultar realmente la registración obrante en el archivo de carácter obsoleto o desactualizado, tal pretensión sí habrá de generar la obligación prevista en el inc. 2º del art. 16 de la LPDP.
O sea que en definitiva, todos los derechos reconocidos en el artículo en cuestión operarán como disparadores de las obligaciones previstas en la misma norma, en la medida en que las pretensiones que encierran se encuentren fundadas (261).
Formulada esta aclaración corresponde centrarnos en el contenido de estos derechos.
La "supresión" de un dato implica su eliminación definitiva del archivo o registro, esto es su completa desaparición, sin que puedan -bajo ningún aspecto- quedar constancias de su anterior registración.
Cualquier constancia en el banco o base de datos, por mínima que fuere, que permitiera deducir la existencia previa de un registro suprimido, aun sin identificárselo o sin darse referencias sobre aspectos de su contenido, implicará el incumplimiento de la obligación prescripta en el art. 16, inc. 2º de la LPDP.
Es más, sólo se deberá considerar cumplida esta obligación, cuando se eliminen los datos no sólo de los soportes utilizados para la comunicación o transferencia de la información, sino también de todos aquellos que por razones operativas o de seguridad llevare o utilizare el responsable de la base de datos (o, eventualmente, los usuarios de la misma).
La supresión procede en distintos supuestos que cuentan con fundamento en las disposiciones de la LPDP (262), así cuando se trate de datos que han dejado de ser necesarios en orden a la finalidad que justificó su recolección, o cuando contengan información de carácter sensible, o cuando se hubieran obtenido por medios desleales, o sin el consentimiento del titular, etc. (263).
Molina Quiroga señalaba antes de la entrada en vigencia de la ley 25326, que: "aun cuando una información o dato personal sea exacto o correcto, si ha sido recolectado con una finalidad y luego se emplea con otro fin, o directamente es recolectado con una finalidad ilícita, o socialmente reprochable, debe ser suprimida porque afecta la esfera de reserva del individuo, sin perjuicio de su potencialidad discriminatoria o dañosa" (264).
Actualmente, encontrándose vigente la LPDP, las hipótesis en que procede la supresión de los datos cuentan con fundamento en las previsiones de la ley.
Un supuesto específico de derecho a exigir la supresión de datos se encuentra previsto en el art. 27 de la LPDP que regula los archivos, registros o bancos de datos con fines de publicidad.
En los casos de datos recopilados con las finalidades previstas en esa norma, el inc. 3º de la misma otorga a los titulares el derecho de solicitar en cualquier momento el retiro o bloqueo de su nombre de los bancos de datos a que refiere el artículo.
Ese "retiro" constituye una forma de supresión del dato. El "bloqueo" del nombre previsto, en tanto, se trata de una modalidad del sometimiento a confidencialidad, a la que se hará referencia a continuación.
El "sometimiento a confidencialidad" de los datos constituye un derecho de gravitante trascendencia, íntimamente relacionado con el contenido de las informaciones, o con las relaciones que -operaciones de tratamiento mediante- se puedan realizar respecto de las mismas.
A diferencia de la "supresión" de los registros, este proceso implica el mantenimiento de las informaciones en los archivos, bancos o bases de datos, pero de modo tal que el acceso por parte de "usuarios" o de simples terceros que no realicen a su arbitrio operaciones de tratamiento sobre tales datos, se encuentre restringido.
El art. 16 lo regula en su etapa extrajudicial, y el art. 33, inc. b), en su faz judicial.
Respecto de su concreción por vía judicial, ha sido calificado como "hábeas data reservador", y se ha expresado que: "tiende a asegurar que un dato correcta y legítimamente registrado sea proporcionado sólo a quienes y en los casos en que se encuentran legalmente autorizados para ello, y en general -pero no exclusivamente- se vincula a los casos de datos sensibles" (265).
Se observa de lo expresado que el sometimiento a confidencialidad tiende a sustraer determinados datos registrados del acceso a su conocimiento general, limitándolo sólo a ciertos y determinados supuestos.
Este derecho por otra parte, cuenta con rango constitucional, como que se encuentra expresamente reconocido en el art. 43 de la CN, y presenta interesantes aristas para su consideración.
En primer lugar, cabe referirse al carácter y calidad de los datos que pueden ser objeto de esta pretensión. Debe ponerse de resalto que no resulta posible enunciar un elenco completo de aquellos que puedan ser objeto del requerimiento de ser sometidos a confidencialidad.
Liminarmente apuntamos, en el mismo sentido que lo hace Puccinelli, que el carácter de "sensibles" de los datos no guarda estricto correlato con el derecho a requerir la "reserva" de esas informaciones. En realidad, los "datos sensibles" cuentan con un tratamiento diferencial establecido en la misma ley.
Así, el art. 2º de la LPDP los define y el art. 7º de la ley expresa que: "1. Ninguna persona puede ser obligada a proporcionar datos sensibles. 2. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley. También podrán ser tratados con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares. 3. Queda prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles...".
Se descarta, en primer término, la pretensión de sometimiento a confidencialidad de datos sensibles o de información que directa o indirectamente los revele, si los mismos se encuentran registrados en un archivo llevado con la exclusiva finalidad de almacenar este tipo de informaciones, ya que lo que corresponde es peticionar la eliminación o destrucción de todo el archivo, por tratarse de una base de datos de formación prohibida por la ley.
Los datos sensibles que han sido objeto de procedimientos de "disociación", ya se lo ha explicado, han dejado de tener el carácter de datos personales, y también quedarían excluidos de una pretensión de reserva, la que por otra parte carecería en absoluto de sentido.
Quedan entonces como objeto posible de la pretensión bajo comentario, dentro del alcance que da el texto del art. 2º de la LPDP los datos sensibles que hayan sido proporcionados con el consentimiento expreso de sus titulares y los recolectados cuando median razones de interés general autorizadas por ley.
Los "datos sensibles" que han podido ser colectados y tratados en razón de las apuntadas excepciones, y no obstante los efectos liberatorios para su tratamiento, pueden ser "sustraídos" de la esfera que permite operar con los mismos, ejercitando sus titulares el derecho reconocido por el art. 16 de la ley, esto es requiriendo sean sometidos a confidencialidad.
Pero donde este derecho cobra mayor dinamismo e importancia no es en el campo de la "información sensible", sino en el de todos aquellos datos personales respecto de los que los responsables o usuarios pueden efectuar operaciones de tratamiento, sin las restricciones propias de la referida "información sensible".
Datos de libre tratamiento (por haber sido, v.gr., obtenidos de fuentes de acceso público irrestricto), y datos proporcionados con el consentimiento informado de sus titulares, pueden también ser objeto de la pretensión de reserva.
El sometimiento a la confidencialidad procederá "cuando corresponda", es decir, cuando existan razones fácticas o jurídicas que ameriten que los datos en cuestión dejen de ser utilizados y de circular entre bases, archivos o registros, y de ser conocidos por los usuarios o por simples terceros, sin restricciones.
El número de abonado telefónico constituye una información a la que en principio se accede libremente, y puede ser cedida, transferida y objeto de distintas operaciones de tratamiento, sin que pueda considerársela como información sensible (266). No obstante ello, si, por ejemplo, por razones de seguridad un abonado deseara que ese dato sea sometido a confidencialidad y que no fuera revelado a terceros sin su autorización, podrá exigirlo.
En similar sentido, en ocasiones, un dato como el domicilio de una persona -que como ya hemos visto al comentar otras disposiciones de la ley puede transformarse en una información de carácter discriminatorio-, también puede llegar a ser objeto de la pretensión de reserva.
En suma, exigir que se confidencialice o se reserve un dato puede obedecer a múltiples circunstancias y la procedencia de este requerimiento sólo puede ponderarse en cada caso particular.
Por tanto este derecho, tanto en su etapa extrajudicial (prevista en el art. 16 ), como en una eventual y posterior de carácter judicial, no podrá considerarse sólo reservado para su aplicación a la información sensible, sino también a toda otra que amerite su sustracción de las vías de acceso y difusión a que se encontraba destinada.
A diferencia de la supresión, el sometimiento a la confidencialidad permite que los datos sobre los que recae este derecho prosigan registrados en los archivos. Quedando restringidos sólo su proporcionamiento, conocimiento, transferencia, cesión o comunicación.
Otra problemática que se suscita es la del alcance de la "reserva", y si la misma debe obedecer a factores objetivos, o debe ser dimensionada por la voluntad del titular de los datos.
Expresar como se ha dicho, que la pretensión de confidencialidad implica que los datos objeto de la misma sean proporcionados "sólo a quienes y en los casos en que se encuentran legalmente autorizados para ello" (267), describe los efectos de este derecho, pero mantiene el interrogante acerca del alcance con que puede ser ejercido.
En este aspecto debe entenderse que "someter a confidencialidad" implica que la información afectada sólo puede ser conocida -a partir del ejercicio de ese derecho- por su titular y por quienes la posean ya registrada en bases, bancos o archivos, sean éstos responsables o usuarios.
Las operaciones de tratamiento de que puedan ser objeto los datos personales afectados, excluirán su comunicación, cesión, transferencia, o cualquier otro método que conlleve ampliar la esfera de posibles personas que accedan al conocimiento de los mismos.
Sólo mediando autorización judicial debidamente fundada, que implique el levantamiento o suspensión de la reserva, podrán ser comunicados los datos en cuestión, y en la medida y bajo las condiciones fijadas judicialmente.
El derecho a la "autodeterminación informativa" justifica, cuando las circunstancias así lo ameriten, que los titulares de las informaciones limiten su difusión (268).
El derecho al "sometimiento a la confidencialidad" constituye uno de los aspectos del ejercicio de este derecho.
6. Proceso de rectificación, actualización o supresión de datos
Conforme el art. 16, inc. 2º de la LPDP, una vez ejercidos los derechos reconocidos a los titulares de los datos, de rectificación, actualización o supresión, los responsables o usuarios deben proceder a realizar las operaciones necesarias para satisfacer la pretensión formulada dentro de un plazo máximo de cinco días hábiles.
Este plazo comienza a computarse desde la recepción del reclamo efectuado por el titular, o desde que es advertido el error o falsedad.
Aunque no lo expresa la norma, idéntica obligación tienen los responsables o usuarios en el supuesto de requerirse el sometimiento a confidencialidad, y su cumplimiento debe materializarse en igual término (269).
La incógnita que suscita la norma finca en determinar si resulta necesario que esa advertencia sea formulada por el titular de las informaciones, o si puede ser efectuada por un tercero, o incluso resultar de comprobaciones realizadas por los mismos responsables o usuarios.
No caben dudas, de acuerdo con lo preceptuado por el art. 4º, inc. 5º de la LPDP, de que la obligación de rectificar, completar, etc., datos inexactos o incompletos, constituye un deber independiente del ejercicio del derecho reconocido en el art. 16.
En similar sentido, la advertencia formulada por un tercero se enmarcará en la obligación del referido art. 4º, inc. 5º, toda vez que habrá de ser esta circunstancia, una de las posibles vías por las que quienes someten a operaciones de tratamiento datos personales, toman conocimiento de la eventual inexactitud de sus registros.
La prescripción del art. 16 aparece reservada a los titulares de los datos, y no significa otra cosa que la pretensión de rectificación, etc., puede ser concretada no sólo de modo expreso, exigiéndose esas operaciones, sino también mediante el simple expediente de hacer conocer la inexactitud o falsedad de los datos.
En el supuesto de no cumplirse con esta obligación dentro del plazo de cinco días hábiles establecido, quedará expedita la acción de hábeas data, encontrándose habilitados los titulares para su promoción (conforme el art. 16, inc. 4º) (270).
Si los datos cuya rectificación o supresión se pretende, hubieren sido cedidos o transferidos con anterioridad al ejercicio de los derechos previstos en el artículo, los cesionarios de las informaciones -es decir todos aquellos a quienes los datos hubieren sido ya comunicados- deberán ser notificados dentro del quinto día hábil, del tratamiento efectuado a las informaciones.
Así, si de las operaciones de tratamiento realizadas a consecuencia del ejercicio del derecho previsto en el art. 16 de la LPDP resultare la rectificación de los datos afectados, tal rectificación debe ser notificada a todos a quienes los datos originales hubieren sido ya comunicados con anterioridad.
A su vez éstos, en la medida de ser responsables o usuarios de datos, deben como consecuencia de la obligación prevista en el art. 4º, inc. 5º de la ley, proceder a la rectificación de sus propios archivos.
La reglamentación aprobada por dec. 1558/2001 ha establecido un privilegio para los responsables o usuarios de archivos o bases de datos públicos de acceso irrestricto, al permitirles cumplir con la notificación prevista en el art. 16, inc. 4º de la LPDP, sin tener que recurrir a notificaciones expresas a sus cesionarios.
El precepto reglamentario en tal sentido expresa que tal notificación se considera cumplida para esos registros "mediante la modificación de los datos realizadas a través de los mismos medios empleados para su divulgación", con lo que directamente se los está eximiendo de efectuar la comunicación prevista en la ley.
Especiales características asume para el texto de la ley comentado la "supresión" de datos, en tanto y en cuanto la pretensión de la misma puede ser repelida si se dan los requeridos invocados en el inc. 5º de la norma, disposición que prescribe que la supresión "no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos".
En realidad no sólo la supresión, sino también la rectificación, adición, actualización, etc., podrán ser denegadas y "no procederán" en consecuencia cuando las mismas no correspondan, por resultar verbigracia, los archivos cuestionados exactos, completos, actualizados, etc.
La LPDP ha establecido, además, en este caso, supuestos específicos de improcedencia de la supresión, cuales son el de la afectación de derechos o intereses legítimos de terceros y el de la conservación de los datos por imperativo legal.
El primero ha sido redactado en términos imprecisos toda vez que no se han identificado los derechos o intereses legítimos de terceros merecedores de prevalecer sobre el derecho de supresión ejercido por el titular de los datos, dejándose además al arbitrio de los requeridos su ponderación (271).
El texto de la Ley Orgánica 15/1999 española da lugar a menos interrogantes atento a que dispone en su art. 16, inc. 2º que: "serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajusta a lo dispuesto en la presente Ley, y en particular, cuando resulten inexactos o incompletos", sin entrar en el resbaladizo terreno de las supremacías entre distintos derechos tutelables.
El inc. 6º del art. 16 de la LPDP dispone un adecuado mecanismo de naturaleza cautelar como consecuencia del ejercicio de los derechos reconocidos por la misma norma.
Una vez puesto en marcha el proceso de verificación y rectificación del error o falsedad de la información de que se trate el responsable o usuario del banco de datos deberá o bien bloquear el archivo, o bien consignar al proveer información relativa al mismo la circunstancia de que se encuentra sometida a revisión.
Este mecanismo encierra una garantía de seguridad para los titulares de los datos, como contrapartida de la obligación que se les impone de ocurrir a la reclamación previa a la acción judicial.
El procedimiento establecido deberá aplicarse no sólo en el caso de pretensiones de rectificación de los registros, sino también cuando se requiera su actualización, supresión, sometimiento a confidencialidad, etc.
Es más, cuando se trata de la reserva de los datos, no se deberá proveer informaciones afectadas con la simple constancia de que éstas se encuentran sujetas a revisión, ya que en ese supuesto se halla sólo en juego la ponderación de la procedencia de sustraer los mismos de sus canales normales de comunicación.
La única manera eficaz de concretar esta garantía cautelar establecida por la ley será bloqueando esos datos hasta tanto se dirima si corresponde o no reservarlos.
La violación por los responsables o usuarios de su obligación de bloquear los registros, o -cuando ello resultare pertinente y no afectare legítimos derechos de los titulares- de consignar en los reportes o comunicaciones que los datos en cuestión se encuentran sujetos a procesos de revisión, habrá de generar no sólo su responsabilidad ante los titulares de los datos, sino también la aplicación de las sanciones que al respecto deberán encontrarse previstas por la reglamentación de la ley a dictarse.
Ejercitadas las pretensiones de rectificación, supresión, adición, actualización, etc., o advertido el banco de datos de la ilicitud, improcedencia, inexactitud, carácter incompleto o desactualizado de sus registros, no sólo se ponen en funcionamiento los mecanismos previstos en el art. 16 de la LPDP, sino también se genera respecto de los requeridos el deber de proceder con presteza y prontitud (272) para evitar a los titulares de las informaciones cuestionadas la generación de perjuicios con origen en las mismas (273).
Este deber implica el puntual cumplimiento de las obligaciones prescriptas en la norma, y su infracción, además de habilitar -como se ha visto- la acción de protección de datos personales, constituirá en sí mismo un supuesto de atribución de responsabilidad civil a los requeridos (274), sin perjuicio de las eventuales sanciones administrativas que a este respecto resultaren aplicables conforme la reglamentación pendiente de concreción.
7. Proceso de rectificación, supresión, actualización o sometimiento a confidencialidad de datos en el caso de archivos de datos públicos conformados por cesión de información
La reglamentación aprobada por dec. 1558/2001 ha introducido una importante modificación al proceso de rectificación, supresión, actualización o sometimiento a confidencialidad de datos, cuando se trate de archivos o bancos de datos públicos conformados por cesión de información de determinadas entidades.
Expresa el art. 16 de esa reglamentación que: "En el caso de los archivos o bases de datos públicas conformadas por cesión de información suministrada por entidades financieras, administradoras de fondos de jubilaciones y pensiones y entidades aseguradoras, de conformidad con el art. 5º, inc. 2º, de la ley 25326, los derechos de rectificación, actualización, supresión y confidencialidad deben ejercerse ante la entidad cedente que sea parte en la relación jurídica a que se refiere el dato impugnado. Si procediera el reclamo, la entidad respectiva debe solicitar al Banco Central de la República Argentina, a la Superintendencia de Administradoras de Fondos de Jubilaciones y Pensiones o a la Superintendencia de Seguros de la Nación, según el caso, que sean practicadas las modificaciones necesarias en sus bases de datos. Toda modificación debe ser comunicada a través de los mismos medios empleados para la divulgación de la información".
La norma reglamentaria, entonces, ha diseñado un sistema que implica restringir el derecho de incidir sobre los datos, respecto de los archivos y bases de datos que expresa, limitándolo en lo relativo al sujeto pasivo del requerimiento, al establecer que los derechos que expresa "deben ejercerse ante la entidad cedente que sea parte en la relación jurídica a que se refiere el dato impugnado".
Es decir que obliga a ejercitar esos derechos respecto de las entidades que operan como "fuente" de los datos archivados en los registros públicos que indica.
Si se tiene en cuenta que el ejercicio previo de este derecho, constituye "recaudo de admisibilidad" de la acción de hábeas data (arts. 16, inc. 3º y 38, inc. 2º, LPDP), se habrá de advertir que reglamentariamente -y en los supuestos expresados-, se ha impuesto una cortapisa a la promoción de dicha acción -respecto de las entidades alcanzadas por la disposición reglamentaria- que no se encuentra prevista ni en el art. 43 de la CN ni en la ley 25326.
En la práctica, la reglamentación bajo comentario operará para impedir, no sólo las reclamaciones directas contra esas entidades, sino también para que las mismas no puedan ser demandadas en acciones de hábeas data, empero tener registrados en sus archivos y someter a operaciones de tratamiento, datos eventualmente falsos, desactualizados, inexactos o confidenciales.
Todo ello sin contar con la problemática que implica la masa de informaciones que poseen los archivos de esos organismos, originadas en entidades que ya no existen, y respecto de las cuales directamente resultará imposible para los afectados cumplir con lo dispuesto en el precepto reglamentario.
De ningún modo se puede validar semejante bill de indemnidad, y menos aún cuando la ley reglamentada, no prevé tan tamaño y desatinado privilegio para estos archivos.
Se propicia en tal sentido la tacha de inconstitucionalidad de esta disposición, tanto por constituir una extralimitación reglamentaria de las prescripciones de la ley y la Constitución, como por introducir un injustificado y discriminatorio privilegio a favor de estos archivos o bancos de datos públicos, del que no gozan los registros de carácter privado.
La norma cuestionada, al expresar que "Si procediera el reclamo, la entidad respectiva debe solicitar al Banco Central de la República Argentina, a la Superintendencia de Administradoras de Fondos de Jubilaciones y Pensiones o a la Superintendencia de Seguros de la Nación, según el caso, que sean practicadas las modificaciones necesarias en sus bases de datos. Toda modificación debe ser comunicada a través de los mismos medios empleados para la divulgación de la información", estatuye un sistema de actualización de las informaciones obrantes en las bases de datos de esas entidades que prácticamente las disculpa del cumplimiento de las obligaciones relativas a la "calidad" de los datos impuestas por la ley.
8. Plazo de conservación de los datos
El art. 16 finaliza disponiendo en su inc. 7º que "los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos".
Ya con anterioridad a la entrada en vigencia de la LPDP se sostenía la necesidad de establecer límites temporales a la permanencia en los registros o archivos de los datos almacenados.
Como no existía ningún tipo de previsión legal, la cuestión se prestaba a dudas e interpretaciones divergentes.
Uno de los criterios elegidos fue, ante la ausencia de una normativa específica, el de aplicar a los datos el mismo plazo de conservación que el prescripto por la legislación mercantil para los libros y papeles de comercio.
Así se expresó que: "Dado que no se acreditó, ni se invocó que la información brindada por la demandada sea falsa o errónea, y que aún no ha transcurrido el plazo de diez años desde el vencimiento de la inhabilitación que pesaba sobre los actores, no es arbitraria o producto de un excesivo rigor informático la conservación de ese dato en los archivos de la demandada, y su información a quienes se encontraren legitimados para ello, en concordancia con la obligación mercantil del art. 67 del CCom., según la cual ese es el período de conservación de los libros y documentación, a su vez exigida por el art. 44 de ese cuerpo legal" (275).
Otro de los criterios recepcionados jurisprudencialmente fue el de vincular la permanencia de los datos en los registros a las normas de la legislación de fondo que justificaron su registración.
En ese sentido se resolvió que: "Cumplidos los plazos previstos por el art. 51, CPen., el organismo que impuso la sanción por infracción de naturaleza penal se encuentra obligado a dejar sin efecto en sus registros el dato referente a la condena cuyo registro caducara, y a informar tal circunstancia a las dependencias que cuentan con aquel dato, y su omisión puede configurar el delito del art. 157, CPen." (276).
En doctrina se adelantó la necesidad del reconocimiento del denominado "derecho al olvido", conforme al cual los titulares de los datos pueden exigir su supresión o cancelación cuando los mismos resultaren vetustos en orden a la finalidad de su almacenamiento, o bien si su permanencia excesiva en los registros ocasionare perjuicios injustificados a las personas vinculadas a estas informaciones (277).
"Esto sucede habitualmente con el tratamiento de datos que realizan las empresas de informes comerciales, y es objeto de numerosos litigios por ante los estrados judiciales. No obstante, el manejo irresponsable de información desactualizada no se limita a este ámbito y suele provocar serios perjuicios en otras áreas sensibles como la laboral, profesional, comercial, familiar, relaciones personales, etc." (278).
Se expresó en tal sentido la conveniencia de que por vía reglamentaria se contemplara ese derecho (279), inquietud que fue recepcionada por la ley 25326 en varias disposiciones que restringen la conservación en el tiempo de informaciones, entre ellas la del artículo bajo comentario.
Anotamos entre esas disposiciones los arts. 4º, inc. 7º y 16, inc. 1º, y el 26, inc. 4º de la LPDP.
Con el arribo de la normativa reguladora de las informaciones personales los datos sólo podrán ser mantenidos en los archivos por los plazos que la misma ley u otras disposiciones establezcan de acuerdo con su naturaleza y características, o en la medida en que se encontrare expresamente convenido por el titular de los datos y el responsable o usuario del archivo, por el acordado por ellos en cada caso.
En supuestos como el de los "datos personales que sean significativos para evaluar la solvencia económico-financiera" en principio -por cuanto ya se ha visto que incluso en este caso pueden existir márgenes para la disputa sobre la expiración del término de conservación (280) -, la cuestión aparecería resuelta con límites temporales legalmente determinados.
Por el contrario, la obligación de destruir los datos "cuando hayan dejado ser necesarios o pertinentes a los fines para los cuales han sido recolectados", que conlleva la expiración del plazo de conservación de esas informaciones, constituye un supuesto indeterminado potencialmente generador de discusiones entre titulares y responsables o usuarios de los bancos de datos (281).
Maguer las apuntadas imprecisiones, lo concreto es que una vez vencidos los plazos de conservación explícita o implícitamente dispuestos por las disposiciones legales aplicables o por las contractuales pactadas, los datos almacenados ya no podrán ser conservados, debiendo los responsables o usuarios proceder a la destrucción de esos registros.
[img]https://giphy.com/gifs/dTrk9lECEp6ms/html5[/img]
Buscar