Resolución nº 4/2019, de 16 de enero de 2019, de la Agencia de Acceso a la Información Pública, sobre los Criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley nº 25.326
VISTO el EX-2018-52934591-APN-AAIP, la Ley nº 25.326 de Protección de los Datos Personales, la Ley nº 27.275 , y los Decretos n° 206 del 27 de marzo de 2017 y nº 746 del 25 de septiembre de 2017, y
CONSIDERANDO:
Que la Ley n° 25.326 de Protección de Datos Personales, tiene por objeto “la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional” (artículo 1°, Ley nº 25.326).
Que mediante el Decreto n° 1558 del 29 de noviembre de 2001, reglamentario de la Ley n° 25.326, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, en la órbita de la SECRETARÍA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, como órgano de control de la mencionada Ley (Anexo I, artículo 29, Decreto n° 1558/01).
Que, por otro lado, la Ley nº 27.275 de Derecho de Acceso a la Información Pública creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP) como ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS con el objeto de “velar por el cumplimiento de los principios y procedimientos establecidos en la Ley, garantizar el efectivo ejercicio del derecho de acceso a la información pública y promover medidas de transparencia activa” (artículo 19, Ley n° 27.275).
Que el Decreto n° 746 del 25 de septiembre de 2017 sustituyó el artículo 19 de la Ley nº 27.275, atribuyendo a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA la facultad de actuar como Autoridad de Aplicación de la Ley n° 25.326 y se incorporó como inciso t) al artículo 24 de la Ley nº 27.275, la competencia de la AAIP de “fiscalizar la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre”.
Que, asimismo, el Decreto n° 899 del 3 de noviembre de 2017 sustituyó el artículo 29 del Anexo I del Decreto nº 1558/01, estableciendo que “la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, conforme los términos del artículo 19 de la Ley n° 27.275, sustituido por el artículo 11 del Decreto n° 746/17, es el órgano de control de la Ley nº 25.326” (artículo 1°, Decreto n° 899/17).
Que, entre las atribuciones asignadas a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA se encuentra la de dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por la Ley n° 25.326 (artículo 29 inciso 1, apartado b) de la Ley n° 25.326).
Que diversas entidades, tanto públicas como privadas, han solicitado a la AAIP, en carácter de autoridad de aplicación de la Ley n° 25.326, se expida sobre criterios orientadores para la correcta interpretación e implementación de la normativa en materia de protección de datos personales.
Que resulta necesario dejar establecidos estos criterios en un documento autónomo, de manera que puedan ser consultados por los responsables de bases de datos y la ciudadanía en general, dotando de mayor previsibilidad a la interpretación de la Ley n° 25.326 y fortaleciendo el ejercicio de los derechos que la ley protege.
Que la Ley n° 25.326 define el término “base de datos” en su artículo 2° como “el conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso”.
Que los registros de imágenes captados por sistemas de video vigilancia constituyen una base de datos en los términos del artículo 2° de la Ley n° 25.326.
Que los artículos 14 y 15 de la Ley n° 25.326 establecen las condiciones para ejercer el derecho de acceso y su alcance.
Que el ejercicio del derecho de acceso en relación a datos personales que han sido recolectados mediante sistemas de video vigilancia puede generar ciertas dificultades prácticas para el responsable de la base de datos, por lo que la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA considera conveniente pronunciarse respecto del alcance de ese derecho y de las condiciones para ejercerlo.
Que, a su vez, el artículo 15 de la Ley n° 25.326, en su inciso 1, dispone que al ejercer el derecho de acceso, el responsable de la base de datos debe suministrar la información de forma clara, exenta de codificaciones y, en su caso, acompañada de una explicación, en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen.
Que en atención a que los cambios tecnológicos han permitido automatizar el tratamiento de datos y que ello podría acarrear riesgos a la persona, la AAIP considera importante establecer cuál sería el alcance del derecho de acceso del titular de los datos cuando el responsable de la base de datos tome decisiones basadas únicamente en el tratamiento automatizado de datos que le produzcan al titular de los datos efectos jurídicos perniciosos o lo afecten significativamente de forma negativa.
Que, asimismo, el artículo 2º de la Ley nº 25.326 define la “disociación de datos” como “todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable”.
Que, para la correcta interpretación del término “disociación de datos”, corresponde a la AAIP definir qué se entiende por “persona determinable”.
Que, por otra parte, la Ley n° 25.326 define el término “datos personales” en su artículo 2° como “información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables”.
Que legislaciones más modernas han definido dentro del concepto de datos personales el término “dato biométrico” para adaptarse a las nuevas tecnologías de la era digital.
Que, en este sentido, la AAIP estima conveniente dejar sentado qué entiende por “datos biométricos” de acuerdo a la normativa aplicable en nuestro país en materia de privacidad y adaptarse de esta manera a la tendencia internacional.
Que, a su vez, la Ley n° 25.326 recepta en su artículo 5° el principio de consentimiento, que exige el consentimiento del titular de los datos como condición para que el tratamiento de sus datos personales sea lícito.
Que el artículo 5°, inciso 1 de la Ley n° 25.326 prevé que el consentimiento del titular de los datos deberá constar por escrito “o por otro medio que permita se le equipare, de acuerdo a las circunstancias”.
Que la Ley nº 25.326 prevé la posibilidad de instrumentar el consentimiento del titular de los datos por otros medios que no sean el escrito, y, por ende, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA estima necesario sentar un criterio interpretativo para la implementación de esa disposición.
Que el artículo 11 de la Ley nº 25.326 establece como principio general la obligación de requerir el consentimiento previo del titular para efectuar una cesión de datos personales.
Que a este principio se le aplican las excepciones reguladas en el inciso 3 del mismo artículo, cuyo apartado c) dispone que el consentimiento no será exigido cuando la cesión “se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias”.
Que entonces corresponde a la AAIP delimitar cuáles son las condiciones para realizar una cesión de datos personales entre organismos públicos, en los términos del artículo 11, inciso 3, apartado c).
Que la normativa internacional en materia de protección de datos personales ha adoptado previsiones específicas en relación al consentimiento que deben otorgar las niñas, niños y adolescentes para el tratamiento de sus datos.
Que el Código Civil y Comercial de la Nación ha receptado en los artículos 26 y 639 el principio de autonomía progresiva, que emerge de la Convención sobre los Derechos del Niño, el cual reconoce a los menores de edad la capacidad para ejercer por sí mismos sus derechos conforme con la evolución de sus facultades.
Que, en virtud de ello, es necesario establecer criterios orientadores para la obtención del consentimiento de los menores de edad para el tratamiento de sus datos personales.
Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que le compete.
Que la presente medida se dicta en virtud de las facultades conferidas por el artículo 29, inciso 1, aparatado b) de la Ley n° 25.326.
Por ello,
EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE:
ARTÍCULO 1°
Apruébense los criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley nº 25.326 , siendo de observancia obligatoria para todos aquellos sujetos alcanzados por la Ley nº 25.326, y que como Anexo I (IF-2019-01967621-APN-AAIP) forman parte integrante de la presente Resolución.
ARTÍCULO 2°
Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese.
Eduardo Andrés Bertoni
Anexo I.- Criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley nº 25.326
Criterio 1
Derecho de acceso a datos personales recolectados mediante sistemas de video vigilancia
Ante una solicitud del titular de los datos de acceder a sus datos personales recolectados mediante sistemas de video vigilancia (su imagen personal), se debe tener en consideración las siguientes pautas:
i) El titular de los datos debe acreditar su identidad mediante DNI, indicar fecha y hora aproximada en la que pudo haber sido captada su imagen e información necesaria para identificarla.
ii) El responsable de la base de datos debe proporcionar los datos personales en forma clara, acompañados de una explicación del tiempo en que se registró al titular de los datos, lugar en el que el sistema de video vigilancia lo registrara, finalidad, eventuales cesiones y/o destino de los datos, indicando si el banco de datos se encuentra inscripto en el Registro Nacional de Bases de Datos de la Dirección Nacional de Protección de Datos Personales, dependiente de la Agencia de Acceso a la Información Pública.
iii) Excepcionalmente el responsable de la base de datos debe proporcionar la imagen (impresión o archivo en formato digital) en caso que el titular de los datos funde debidamente el motivo de obtenerla en dicha modalidad y cancele el costo que irrogue el trámite. En caso que la imagen brindada permita identificar a algún tercero, el responsable de la base de datos deberá aplicar alguna técnica de disociación de forma tal que solo pueda ser identificado el titular de los datos.
iv) El responsable de la base de datos debe informar en forma expresa y clara al titular de los datos que, en caso de disconformidad con la respuesta brindada, podrá presentar su reclamo ante la Dirección Nacional de Protección de Datos Personales en los términos del artículo 31, inciso 3 del Decreto nº 1558/01, sin perjuicio de tener disponible la acción de habeas data.
Criterio 2
Tratamiento automatizado de datos
En caso que el responsable de la base de datos tome decisiones basadas únicamente en el tratamiento automatizado de datos que le produzcan al titular de los datos efectos jurídicos perniciosos o lo afecten significativamente de forma negativa, el titular de los datos tendrá derecho a solicitar al responsable de la base de datos una explicación sobre la lógica aplicada en aquella decisión, de conformidad con el artículo 15, inciso 1 de la Ley nº 25.326.
Criterio 3
Disociación de datos
No será considerada persona determinable, en los términos del artículo 2 de la Ley nº 25.326, cuando el procedimiento que deba aplicarse para lograr su identificación requiera la aplicación de medidas o plazos desproporcionados o inviables.
Criterio 4
Datos biométricos
Los datos biométricos son aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan o confirmen su identificación única.
Los datos biométricos que identifican a una persona se considerarán datos sensibles (conforme el artículo 2°, Ley n° 25.326) únicamente cuando puedan revelar datos adicionales cuyo uso pueda resultar potencialmente discriminatorio para su titular (v.g. datos que revelen origen étnico o información referente a la salud).
Criterio 5
Consentimiento
Cualquiera sea la modalidad del consentimiento que se adopte, conforme el artículo 5, inciso 1 de la Ley nº 25.326, el responsable de la base de datos debe acreditar que quien haya prestado tal consentimiento sea efectivamente el titular de los datos requeridos y no otra persona, esto es, que cuente con mecanismos de validación de identidad eficaces.
En relación a la cesión de datos personales entre organismos públicos, no se requiere el consentimiento del titular de los datos y se cumple con las condiciones de licitud, en la medida en que
(i) el cedente haya obtenido los datos en ejercicio de sus funciones,
(ii) el cesionario utilice los datos pretendidos para una finalidad que se encuentre dentro del marco de su competencia y, por último,
(iii) los datos involucrados sean adecuados y no excedan el límite de lo necesario en relación a esta última finalidad.
En caso de tratamiento de datos personales de niñas, niños y adolescentes, se debe tener en cuenta lo siguiente:
i) De conformidad con el principio de autonomía progresiva receptado en los artículos 26 y 639 del Código Civil y Comercial, el menor de edad podrá prestar consentimiento informado en relación al tratamiento de sus datos personales teniendo en consideración sus características psicofísicas, aptitudes y desarrollo.
ii) Si el menor de edad no posee la capacidad suficiente para prestar el consentimiento informado, el titular de la responsabilidad parental o tutela sobre la niña, niño o adolescente, deberá prestar el consentimiento para el tratamiento de sus datos personales. En tal caso, el responsable de la base de datos deberá realizar esfuerzos razonables para verificar que el consentimiento haya sido efectivamente otorgado por el titular de la responsabilidad parental o tutela sobre el menor de edad, teniendo en cuenta sus posibilidades para hacerlo.