ESCUCHAR
I. Introducción
En la República Argentina, los datos personales tienen una protección especial dada por la Constitución Nacional (CN) [1] y la ley Nº 25326 de Protección de Datos Personales y Hábeas Data (LPDP) [2], que establece una serie de conceptos -presupuesto básico para que opere este marco de protección- y un conjunto de reglas y principios que procura que los individuos tengan control sobre sus datos personales.
Ante el incumplimiento de dichas reglas y principios, el órgano de control tiene la atribución de imponer sanciones administrativas [3].
Recientemente, la Agencia de Acceso a la Información Pública (AAIP) -en su carácter de órgano de control de la LPDP mediante la Dirección Nacional de Protección de Datos Personales- dictó dos resoluciones que actualizan los criterios de gradualidad para imponer sanciones en caso de comprobarse infracciones a la mencionada ley. Estoy refiriéndome a (i) la resolución N° 240/2022 [4], que clasificó las infracciones en leves, graves y muy graves y estableció un procedimiento de graduación de sanciones; y (ii) a la resolución N° 244/2022 [5], que modificó los topes máximos de las multas por infracciones a la LPDP cuando un acto administrativo condenatorio incluya más de una sanción pecuniaria por idéntica conducta sancionable dentro de cada uno de los niveles de graduación de las sanciones.
II. Clasificación de las infracciones por violación de la LPDP. Sanciones y topes máximos
Mediante el dictado de la resolución 240/22, la AAIP clasificó las infracciones a la LPDP en leves, graves y muy graves [6], conforme se describe a continuación:
II. 1. Infracciones leves
Serán así consideradas las siguientes conductas:
a) efectuar tratamiento de datos personales sin encontrarse inscripto ante el Registro Nacional de Bases Datos [7];
b) no informar en tiempo y forma modificaciones, actualizaciones o bajas de las bases de datos registradas ante el Registro Nacional de Bases de Datos;
c) No proporcionar en tiempo y forma la información que solicite la AAIP;
d) no acompañar en tiempo y forma la documentación requerida en el marco de un procedimiento de inspección;
e) no respetar el principio de gratuidad [8] para el ejercicio del titular de los datos personales de su derecho de rectificación, actualización o supresión de datos personales inexactos o incompletos que obren en registros públicos o privados;
Ante la comisión de una infracción considerada leve, la AAIP podrá aplicar hasta 2 (dos) apercibimientos y/o una multa [9] de $1.000 (mil pesos) a $80.000 (ochenta mil pesos) [10]. Sin perjuicio de ello, la AAIP podrá imponer a la sancionada una obligación de hacer con el objeto de que cese en el incumplimiento que dio origen a la sanción y la capacitación obligatoria en materia de protección de datos personales para evitar que la conducta que generó la infracción se produzca nuevamente.
II. 2. Infracciones graves
Por su parte, así serán consideradas las siguientes acciones:
a) no inscribir la base de datos en el Registro Nacional de Bases de Datos cuando ello haya sido requerido por la AAIP;
b) declarar datos falsos o inexactos en las inscripciones ante el Registro Nacional de Bases de Datos [11];
c) tratar datos personales sin contar con una base de legitimación adecuada [12];
d) recolectar datos personales sin informar a los titulares de ellos [13]: (i) la finalidad para que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios; (ii) la existencia de la base de datos y la identidad y domicilio de su responsable; (iii) el carácter obligatorio o facultativo de brindar los datos personales solicitados; (iv) las consecuencias de proporcionar dichos datos o de la negativa a hacerlo o de la inexactitud de ellos; y (v) la posibilidad del titular de los datos de ejercer los derechos de acceso, rectificación y supresión de los datos.
e) no atender en tiempo y forma la solicitud de los titulares de los datos personales de los derechos de acceso, rectificación o supresión cuando legalmente proceda [14];
f) Proceder al tratamiento de datos de carácter personal que no reúnan las calidades de ciertos, adecuados, pertinentes y no excesivos con relación al ámbito y finalidad para los que se hubiesen obtenido [15];
g) incumplir el deber de confidencialidad y seguridad sobre los datos personales incorporados en una base de datos [16];
h) mantener bases de datos locales, programas o equipos que contengan datos personales sin las debidas condiciones de seguridad que la normativa determina;
i) mantener por más tiempo que el establecido legalmente el registro, archivo o cesión de los datos significativos para evaluar la solvencia económico-financiera de los titulares de los datos [17];
j) tratar, dentro de la prestación de servicios de información crediticia, datos personales patrimoniales que excedan la información relativa a la solvencia económica y al crédito del titular de tales datos;
k) no retirar o bloquear el nombre y dirección de correo electrónico de las bases de datos con finalidad de publicidad, cuando así lo solicite el titular de los datos [18];
l) usar ilegítimamente el isologo que identifica a los responsables inscriptos en el Registro Nacional de Bases de Datos [19];
m) contactar con el objeto de publicidad, oferta, venta o regalo de bienes o servicios utilizando los servicios de telefonía en cualquiera de sus modalidades a quienes se encuentren debidamente inscriptos ante el Registro Nacional “No Llame”, creado por la ley N° 26951;
n) utilizar los servicios de telefonía en cualquiera de sus modalidades para publicitar, ofertar, vender o regalar bienes o servicios sin haber obtenido de la AAIP la habilitación de usuario autorizado para la descarga de la lista de inscriptos ante el Registro Nacional “No Llame”;
o) no adoptar las medidas que garanticen el cumplimiento de la ley N° 26951 en campañas en las que se contraten empresas tanto en el país como en el exterior que utilicen los servicios de telefonía en cualquiera de sus modalidades para publicitar, ofertar, vender o regalar bienes o servicios;
p) obstruir el ejercicio de la función de inspección y fiscalización a cargo de la Dirección Nacional de Protección de Datos Personales; y
q) no dar respuesta a los requerimientos cursados por la AAIP en el ejercicio de las competencias que tiene atribuidas.
En el caso de las infracciones graves, la sanción a aplicar será de hasta 4 (cuatro) apercibimientos y/o suspensión de 1 (uno) a 30 (treinta) días y/o multas [20] que van de $80.001 (ochenta mil un pesos) a $90.000 (noventa mil pesos) [21]. Al igual que para el caso de las infracciones leves, la AAIP podrá, además, imponer a la sancionada una obligación de hacer con el objeto de que cese en el incumplimiento que dio origen a la sanción y la capacitación obligatoria en materia de protección de datos personales para evitar que la conducta que generó la infracción se produzca nuevamente.
II. 3. Infracciones muy graves
Finalmente, así serán consideradas las acciones que se describen a continuación:
a) omitir denunciar, con motivo del tratamiento de datos personales en Internet, el domicilio legal y demás datos identificativos del responsable, sea ante el Registro Nacional de Bases de Datos así como en su política de privacidad, de modo tal que mediante dicha conducta afecte el ejercicio de los derechos del titular del dato y la actividad de contralor de la AAIP;
b) formar una base de datos con una finalidad contraria a las leyes o a la moral pública [22];
c) recolectar datos personales mediante ardid, engaño o fraude a la ley [23].
d) tratar los datos personales en forma ilegítima o con menosprecio de los principios y garantías establecidos en LPDP;
e) realizar acciones concretas tendientes a impedir u obstaculizar el ejercicio por parte del titular de los datos de los derechos reconocidos en la LPDP [24];
f) mantener datos personales inexactos o no efectuar sus rectificaciones, actualizaciones o supresiones cuando legalmente proceda y previamente hubiera sido intimado por la AAIP;
g) transferir datos personales a países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados [25];
h) ceder ilegítimamente los datos personales [26];
i) recolectar y tratar datos sensibles sin que medie el consentimiento del titular de ellos, razones de interés general autorizadas por ley o sean tratados con finalidades estadísticas/ científicas sin la debida anonimización;
j) formar bases de datos que directa o indirectamente revelen datos sensibles, salvo en los casos expresamente previstos en el art. 7, inc. 3, de la LPDP [27];
k) incumplir el deber de confidencialidad y seguridad respecto de los datos sensibles, así como de los que hayan sido recabados y tratados para fines penales y contravencionales;
l) no cesar en el uso y tratamiento ilegítimo de datos personales cuando sea requerido por el titular y/o por la AAIP; y
m) realizar maniobras tendientes a sustraerse o impedir el desarrollo de la actividad de contralor de la AAIP.
Para las infracciones muy graves, la AAIP podrá aplicar hasta 6 (seis) apercibimientos [28] y/o suspensión de 31 (treinta y uno) a 365 (trescientos sesenta y cinco) días y/o clausura o cancelación de la base de datos y/o multa [29] de $90.001 (noventa mil un peso) a $100.000 (cien mil pesos) [30]. En este caso, la AAIP también podrá imponer a la sancionada una obligación de hacer con el objeto de que cese en el incumplimiento que dio origen a la sanción y la capacitación obligatoria en materia de protección de datos personales para evitar que la conducta que generó la infracción se produzca nuevamente.
II. 4. Gradualidad de las sanciones. Topes máximos
En el punto 6 del anexo II de la resolución 240/22 se establece que la aplicación y cuantía de las sanciones se graduará atendiendo a: (a) la naturaleza y dimensión del daño o peligro de los derechos personales afectados; (b) el beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción; (c) la reincidencia en la comisión de la infracción; (d) la resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la AAIP; (e) el incumplimiento de los requerimientos u órdenes impartidas por la AAIP; (f) el reconocimiento o aceptación expresa que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar; (g) la condición económica del infractor; (h) la adopción demostrada de medidas correctivas y mecanismos y procedimientos internos capaces de minimizar el daño, tendientes al tratamiento seguro y adecuado de los datos; (i) la proporcionalidad entre la gravedad de la falta y de la sanción; (j) si se han afectado datos personales de niños, niñas y adolescentes; (k) el volumen de los datos tratados; (l) la categoría de datos personales afectados, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas; y (m) la naturaleza del caso.
Asimismo, indica que, ante incidentes de seguridad, se considerará atenuante la colaboración con la AAIP y la implementación demostrada de medidas correctivas, mecanismos y procedimientos internos capaces de minimizar el daño por parte del responsable o encargado de tratamiento.
Por su parte, en el punto 7 del anexo II de la resolución 240/22 se indica que cada infracción deberá ser sancionada en forma independiente, debiendo acumularse cuando varias conductas sancionables ocurran en las mismas actuaciones. En los casos en los que haya pluralidad de sujetos afectados y el acto administrativo condenatorio incluya más de una sanción pecuniaria por idéntica conducta sancionable, resultan aplicables los topes máximos previstos en la normativa vigente.
En este contexto, se dictó la resolución 244/22 que modificó [31] los topes máximos de las multas por infracciones a la LPDP. Según dicha norma, cuando un acto administrativo condenatorio incluya más de una sanción pecuniaria por idéntica conducta sancionable, se considerarán los siguientes topes máximos: (a) para las infracciones leves: $3.000.000; (b) para las infracciones graves: $10.000.000; y (c) para las infracciones muy graves, $15.000.000.
Al tener en cuenta los avances tecnológicos y el nuevo paradigma del mercado, es importante que la AAIP haya actualizado la clasificación de las infracciones por incumplimiento a la LPDP -haciendo mención específica de infracciones por el tratamiento de datos en Internet- así como la actualización de los montos de las multas. Las sanciones que la AAIP aplique deben, por un lado, sancionar las acciones violatorias a la LPDP, y por otro, disuadir y desalentar conductas similares en el futuro.
Por otra parte, también es importante que dentro de los criterios que se tomarán en consideración para la graduación de las sanciones se consideren las medidas adoptadas por el infractor y los mecanismos de corrección y/o prevención que pueda acreditar haber realizado. Esto es, en definitiva, comenzar a transitar el camino de la responsabilidad proactiva adoptada por el Reglamento Europeo de Protección de Datos Personales.
* AVOA ABOGADOS. www.abogados.com.ar
[1] Con la reforma constitucional del año 1994 se incorporó en el artículo 43 de la CN la acción de habeas data como una acción de amparo con la finalidad de que todas las personas puedan tomar conocimiento de los datos que sobre ella tengan y de su finalidad, siempre que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos.
[2] Sancionada en el año 2000 y reglamentada por el decreto 1558/2001 de la Dirección Nacional de Protección de Datos Personales. Actualmente hay un proyecto de reforma y actualización de la LPDP presentado por la AAIP.
[3] Conforme art. 29, inc. f, de la LPDP.
[4] Publicada en el Boletín Oficial el 5/12/2022.
[5] Publicada en el Boletín Oficial el 7/12/2022.
[6] La resolución 240/22 derogó las disposiciones de la Dirección Nacional de Protección de Datos Personales Nos. 9/2015 y 13/2015 y sustituyó los anexos I y II de la disposición de la Dirección Nacional de Datos Personales N°7/2005.
[7] La obligación de inscripción de las bases de datos con datos personales ante el Registro Nacional de Bases de Datos surge del art. 3 de la LPDP.
[8] Conforme art. 19 de la LPDP.
[9] Las multas deberán ser abonadas dentro de los 10 (diez) días hábiles administrativos desde su notificación. La falta de pago hará exigible su cobro por ejecución fiscal, constituyendo suficiente título ejecutivo el testimonio autenticado de la resolución condenatoria firme.
[10] En el punto 5 del anexo II de la resolución 240/22 se indica que las sanciones serán aplicadas a los responsables o usuarios de bases de datos públicos y privados destinados a dar informes, se hubieren inscripto o no en el Registro Nacional de Bases de Datos, ello sin perjuicio de las responsabilidades administrativas que pudieren corresponder a los responsables o usuarios de bases de datos públicos; de la responsabilidad por daños y perjuicios derivados de la inobservancia de la presente ley y de las sanciones penales que correspondan.
[11] Es importante destacar que esta conducta podría ser, además, encuadrada en el delito del art. 157 bis del Código Penal.
[12] El art. 5 de la LPDP establece que el tratamiento de datos personales es lícito cuando se obtienen con su consentimiento libre, expreso e informado. No obstante, en el mismo artículo se describe una serie de excepciones en las que puede ampararse el responsable del tratamiento para tratar datos personales sin el consentimiento de su titular. Adicionalmente, la resolución AAIP 4/2019 incorporó el requisito de validación de identidad. En consecuencia, el responsable de la base de datos deberá acreditar que quien prestó el consentimiento sea el titular de los datos requeridos y no otra persona.
[13] Conforme surge del art. 6 de la LPDP.
[14] Conforme arts. 14 y 16 de la LPDP.
[15] Conforme art. 4 de la LPDP.
[16] Conforme arts. 9 y 11 de la LPDP.
[17] Conforme art. 26 de la LPDP.
[18] Conforme art. 27, inc. 3, de la LPDP y la disposición DNPDP N° 4/2009.
[19] El isologo fue aprobado por la resolución AAIP N° 12/2018 y todos los responsables que tengan bases de datos registradas en el Registro Nacional de Bases de Datos pueden utilizarlo en sus sitios web como constancia de cumplimiento de la obligación de inscripción de las bases de datos.
[20] Me remito al comentario de la nota N° 9.
[21] Me remito al comentario de la nota N° 10.
[22] El art. 3 de la LPDP indica que “(…) Los archivos de datos no pueden tener finalidades contrarias a las leyes o a la moral pública”.
[23] El art. 4, inc. 2, de la LPDP establece: “La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la presente ley”.
[24] Todos los titulares de datos personales tienen los derechos de información, acceso, rectificación, actualización y supresión. Ello se encuentra regulado en los art. 13 a 20 de la LPDP. Adicionalmente, existen algunas limitaciones para el tratamiento automatizado de datos personales. En este sentido, con relación al ámbito público, la LPDP específicamente indica en el art. 20: “Las decisiones judiciales o los actos administrativos que impliquen apreciación o valoración de conductas humanas no podrán tener como único fundamento el resultado del tratamiento informatizado de datos personales que suministren una definición del perfil o personalidad del interesado. Los actos que resulten contrarios a la disposición precedente serán insanablemente nulos”. Si bien no existe una una previsión similar para el tratamiento automatizado en el ámbito privado, mediante la resolución AAIP 4/2019 se previó que cuando se adopte una decisión basada en el tratamiento informatizado de datos personales que resulte perjudicial para su titular, éste podrá requerir una explicación sobre la lógica aplicada para adoptar dicha decisión. Si bien la resolución 240/22 no indica expresamente si este último supuesto estaría incluido, una interpretación armónica del marco regulatorio en su conjunto permitiría sostener que una infracción a dicho supuesto también debería ser considerada infracción muy grave.
[25] La disposición 60/2016 enumera como países con legislación adecuada: “Estados miembros de la Unión Europea y miembros del espacio económico europeo (EEE), Reino Unido de Gran Bretaña e Irlanda del Norte, Confederación Suiza, Guernsey, Jersey, Isla de Man, Isla Feroe, Canadá sólo respecto de su sector privado, Principado de Andorra, Nueva Zelanda, República Oriental del Uruguay y Estado de Israel sólo respecto de los datos que reciban un tratamiento automatizado”. Asimismo, dispone un contrato modelo para celebrar en aquellos casos en los que la transferencia se realice a países no adecuados. De este modo, se equipara contractualmente la falta de legislación adecuada.
[26] El articulo 11, inc. 1, de la LPDP establece: “Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo”.
[27] Es importante destacar que el inc. 3 del art. 7 de la LPDP indica: “Queda prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la Iglesia católica, las asociaciones religiosas y las organizaciones políticas y sindicales podrán llevar un registro de sus miembros”.
[28] La resolución 240/22 indica que superados los 6 apercibimientos no podrá aplicarse nuevamente esta sanción.
[29] Me remito al comentario de la nota N° 9.
[30] Me remito al comentario de la nota N° 10.
[31] También derogó la disposición DNPDP N° 71/2016.
