CONGRESO INTERNACIONAL
Derechos y Garantías en el Siglo XXI
Abril, 28, 29 y 30 de 1999
Comisión N* 13: Derecho y Nuevas Tecnologías
Tema 13.1. Protección de Datos Personales y Autodeterminación Informativa
Actividad: Ponencia

RESUMEN
Denominamos autodeterminación informativa a la facultad de toda persona para ejercer control sobre la información personal que le concierne, contenida en registros públicos o privados, especialmente los almacenados mediante medios informáticos.
Se trata de un derecho personalísimo que ha adquirido autonomía conceptual con relación a otros derechos de la persona como la intimidad o privacidad, la imagen, el honor o la identidad personal, y se integra en el amplio contexto de la libertad y la identidad personal.
El procesamiento de datos personales por medios electrónicos, su almacenamiento en grandes bancos de datos y su difusión telemática y por grandes redes de transmisión de datos exigen encontrar medidas que tutelen efectivamente este derecho.
Existen cada día mayores dificultades técnicas para evitar el almacenamiento y difusión de datos de carácter personal, por lo que es necesario consagrar ciertos principios que regulen su tratamiento, para proteger la información de carácter personal y, en su caso, otorgar resarcimientos adecuados ante el uso arbitrario de datos cuya divulgación es muy difícil controlar.
Se proponen como principios generales para una legislación reguladora del tratamiento de datos de carácter personal, la prohibición de utilizar información personal con una finalidad diferente a la declarada o propuesta al ser ingresados los datos al registro; su difusión con un fin distinto al propuesto, sin el expreso consentimiento del titular de los datos personales o sus sucesores, y una prohibición absoluta para la colecta de datos personales en bases de datos informatizadas, cuando estos estén referidos a los denominados "datos sensibles", especialmente los aspectos ideológicos, religiosos, orientación o conducta sexual, y aquellos temas de salud que pueden ocasionar discriminación. Especialmente debe observarse rigurosamente el tratamiento reservado, conforme al método de encriptamiento previsto en el decreto reglamentario de la Ley 23.798, para la información referida a test o exámenes de VIH
No es lícito requerir a una persona que denuncie aspectos referidos a su vida sexual para que pueda celebrar contratos de seguro.
La utilización de datos patrimoniales negativos en las etapas preparatorias de un acto negocial deben ser expresamente informadas al sujeto concernido. Debe establecerse una presunción de "uso arbitrario" de la información cuando existan informes patrimoniales negativos que no hayan sido revelados previamente al concernido.

DESARROLLO
El tratamiento de los datos de carácter personal y la necesidad de tutelar la autodeterminación informativa no es ya novedoso (1). El desarrollo informático ha permitido la estructuración de grandes bancos de datos y el entrecruzamiento de la información contenida en los mismos, adquiriendo particular gravedad la utilización de esta tecnología en el procesamiento de datos de carácter personal, los que proporciornados o recolectados con una finalidad específica, escapan luego al control del sujeto concernido.
El problema actual no afecta exclusivamente la intimidad o privacidad de las personas, y la autodeterminación informativa o tutela de los datos personales es un derecho personalísimo que ha adquirido autonomía conceptual con relación a otros derechos de la persona como la intimidad o privacidad, la imagen, el honor o la identidad personal, y se integra en un marco amplio de la libertad y la identidad personal. Implica la facultad de ejercer control sobre la información personal del concernido, contenida en un registro de cualquier tipo. Ha surgido para aplicarse a nuevas realidades jurídicas, que sólo parcialmente, pueden ser descriptas o fundamentadas a través de la noción tradicional de "intimidad", ya que es un producto de la era informática. Su fundamentación jurídica puede y debe relacionarse con el derecho a la intimidad, pero lo excede, refleja más que una protección a la intimidad, ya que puede contener también los intereses de un grupo social contra el procesamiento, almacenamiento y recolección de información, especialmente vinculado con prácticas discriminatorias(2)
Si bien la información personal forma parte de la intimidad individual, simultáneamente el control de la información personal está relacionado con el concepto de autonomía individual para decidir, hasta cierto límite, cuándo y qué información puede ser objeto de procesamiento automatizado, por lo que preferimos hablar de autodeterminación informativa, e incluso libertad informática. No es un problema limitado a las fronteras nacionales, sino que también repercute en las relaciones internacionales.
Existe un importante cuerpo de leyes, especialmente en Europa, así como se está desarrollando tanto en América como en el derecho constitucional provincial argentino, que establecen, con diferente extensión, la tutela a la autodeterminación informativa (3).
Tradicionalmente se han enunciado como principios fundamentales para la regulación de los bancos de datos de carácter personal los siguientes: Adecuada justificación social de la recolección; limitación de la recolección; información al individuo del hecho de la recolección, así como la especificación del propósito o la finalidad para la cual será utilizada la información recogida; consentimiento del sujeto a la incorporación de datos sobre su persona a un determinado banco de datos; fidelidad de la información registrada (actualización, rectificación y cancelación), lo que implica que los datos personales registrados deben ser exactos, completos y actuales. La salvaguarda de la seguridad la obligación de adoptar las medidas correspondientes para prevenir y evitar posibles pérdidas, destrucciones o accesos no autorizados. La limitación temporal de la conservación de los datos registrados, admitiéndose que esta debe durar un tiempo razonable al sólo efecto de permitir el alcance de los fines u objetivos para los cuales fueron recolectados. Establecer un adecuado sistema de control, que garantice la efectiva aplicación del conjunto de los principios mencionados.
El principio de la participación individual, consagra el derecho de acceso a los datos concedido al individuo, que comprende el derecho a: a) obtener información de la entidad responsable de los datos acerca de la existencia de datos que le conciernan; b) ser informado dentro de un tiempo razonable y de manera comprensible; c) oponerse a cualquier dato que le concierna y a que esa oposición quede registrada; d) obtener que los datos relativos a su persona, en caso de prosperar su oposición, sean suprimidos, rectificados o completados; e) ser informado de las razones por las cuales se deniega su derecho de acceso o éste no se le concede en lugar, tiempo y forma razonables; f) oponerse a toda negativa a darle las razones mencionadas precedentemente.
La reforma constitucional de 1994 ha consagrado el derecho de toda persona a ejercer una acción de amparo para conocer los datos a ella referidos, así como su finalidad, contenidos en registros públicos y privados, y en caso de ser ellos falsos o discriminatorios, exigir su supresión, rectificación, actualización y confidencialidad (art.43 CN). Hemos analizado esta norma en otros aportes reiterando que al asimilarlo a la acción de amparo, se corre el serio riesgo de desvirtuar la finalidad del instituto. La norma constitucional debió habilitar a toda persona a "tomar conocimiento de los datos a ella referidos y de su finalidad", y como consecuencia de este derecho establecer la vía procesal para hacerlo efectivo. Resulta paradójico que deba acreditarse la existencia de "ilegalidad o arbitrariedad manifiesta" por parte del titular u operador del banco de datos para que se pueda ejercer los derechos de acceso a los datos de carácter personal. Por registros o bancos de datos públicos debemos entender los existentes en los organismos del Estado, de cualquier naturaleza, ya que la ley no establece excepciones, lo que incluye no sólo a las reparticiones de la Administración Pública nacional centralizada, sino también a los entes descentralizados, autárquicos, empresas públicas y sociedades estatales, así como dependencias provinciales y municipales. Nuestra opinión, en este sentido, es que el derecho de acceso no puede ser retaceado.(4).También han sido incorporados como sujetos pasivos de esta acción, los registros o bancos de datos privados "destinados a proveer informes", que serían las empresas o personas individuales dedicadas a recolectar información personal para suministrarla a sus clientes, como las empresas de informes comerciales o financieros, que proveen a bancos, financieras, comercios y a quienes conceden crédito en general, información sobre situación patrimonial, reclamos pecuniarios judiciales o extrajudiciales. También se incluyen en esta categoría otras entidades, tales como los colegios profesionales, establecimientos educativos, clubes deportivos. En cuanto a la legitimación activa, deben entenderse que comprende tanto a las personas físicas como las personas jurídicas (art.33 del Código Civil).
El derecho de acceso es concedido como un presupuesto de los derechos de rectificación, actualización, cancelación y confidencialidad. De acuerdo al texto constitucional su ejercicio sólo procedería cuando exista "falsedad" o "discriminación". La solución es desacertada, ya que aún cuando una información o dato personal sea exacta o correcta, si ha sido recolectada con una finalidad y luego se emplea con otro fin, o directamente es recolectada con una finalidad ilícita, o socialmente reprochable, debe ser suprimida porque afecta la esfera de reserva del individuo, sin perjuicio de su potencialidad discriminatoria o dañosa.
De igual manera, toda la información de carácter personal que se recolecte debe ser puesta en conocimiento del sujeto concernido, y debe ser el resultado del empleo de medios lícitos, ya sea mediante el consentimiento del sujeto o por autorización legal. Aún si la información así obtenida fuera correcta, debe eliminarse la obtenida por medios ilícitos. Tampoco se ha contemplado la circunstancia de la información conservada innecesariamente, o en exceso en relación a la finalidad que le dio origen. Esta limitación puede tener graves consecuencias en relación al tratamiento de los denominados datos "sensibles". Es cierto que en la mayoría de estos casos podría invocarse una lesión o amenaza de "discriminación", pero nos parece que con esta redacción se invierte la carga de la prueba. Lo correcto hubiera sido como principio general la prohibición de recolectar esta clase de información(5) y excepcionalmente admitirla pero sin permitir la individualización, evitando colocar en cabeza del afectado la demostración de que determinada información tiene aptitud discriminatoria, propósito que puede resultar de difícil logro.
Aunque exista coincidencia en que constituyen violaciones de la autodeterminación informativa (protección de datos personales): la utilización o empleo de la información personal, especialmente la inserta en los registros automatizados de un Banco de Datos, con una finalidad diferente a la declarada o propuesta al ser ingresados los datos al registro; la difusión de estos datos con un fin distinto al propuesto, sin el expreso consentimiento del titular de los datos personales o sus sucesores, el desarrollo de la jurisprudencia en los fueros civil y comercial de la Capital, nos preocupa ya que las condiciones para ejercer el derecho de acceso y en su caso, rectificar o cancelar información personal se ha tornado restrictivo.
Debería establecerse una prohibición absoluta para la colecta de datos personales en bases de datos informatizadas, cuando estos estén referidos a los denominados "datos sensibles" (convicciones políticas o religiosas, orientación o conducta sexual, determinadas enfermedades). Los datos personales referidos a enfermedades deben ser registrados con severas restricciones de acceso, en particular aquellas que como el SIDA, o la convivencia con VIH tienen grave potencialidad discriminatoria. Ello debería extenderse a las exigencias de proporcionar información sobre conducta u orientación sexual en los contratos de seguro de vida, o exámenes preocupacionales, o para riesgos de trabajo...
Desde el punto de vista procesal es imperioso implementar una vía agil, eficaz y gratuita para que toda persona tenga derecho para acceder a los datos personales que le conciernan, sin judicializar necesariamente el remedio. Nos preocupa que el Hábeas Data se desnaturalice al imponerse exigencias que obstaculicen o neutralicen el derecho de acceso oportuno a los datos personales. Debe actuarse con mucha prudencia frente a una pretensión dirigida a conocer datos de carácter personal cuando lo requiera el afectado. El derecho de acceso, implica necesariamente la facultad de solicitar la corrección de esos archivos de datos personales, frente a las inexactitudes que pudieran contener los respectivos registros, ya sea porque el dato fue mal informado o erróneamente ingresado al sistema. El mismo derecho asiste en caso de ser necesaria la actualización de los datos personales, especialmente los contenidos en ficheros informáticos;
Integra el derecho a la autodeterminación informativa la facultad de eliminar los registros de datos personales que han caducado, o prescripto, no debiendo conservarse por ningún medio, y en tal sentido, nos parece que el criterio de vigencia durante diez años de datos patrimoniales resulta abusivo y antifuncional.
Es fundamental que se establezcan presunciones de uso arbitrario de la información, que invirtiendo la carga probatoria, faciliten una eficaz tutela de la autodeterminación informativa.

NOTAS