400 likes | 608 Views
XXVI Congreso Latinoamericano de Derecho Bancario COLADE 3 de septiembre 2007. El derecho a la privacidad Implicancias de la Protección de Datos en la información crediticia Necesidad de una conciliación normativa. por el Dr. Horacio R. Granero
E N D
XXVI Congreso Latinoamericano de Derecho Bancario COLADE3 de septiembre 2007 El derecho a la privacidadImplicancias de la Protección de Datos en la información crediticiaNecesidad de una conciliación normativa por el Dr. Horacio R. Granero Socio del Estudio Allende & Brea Director de la Carrera de Posgrado de Abogado Especializado en Derecho de la Alta Tecnología (UCA)
Los daños en la era tecnológica • La responsabilidad civil en la actualidad • La culpa como único factor de atribución en el Código Civil. • El avance técnico y su influencia en la responsabilidad civil • Teoría del riesgo y sus aplicaciones: Accidentes de trabajo, daños aéreos Responsabilidad objetiva. • La tecnología y la teoría de la “actividad riesgosa”
Obligación legal de Protección de Datos Personales • Protege el daño que se puede causar por una violación del deber de seguridad que tiene todo gestor de una base de datos personales. • Es una obligación de resultado, consistente en garantizar que los datos personales no serán difundidos ni empleados para un fin distinto al tenido en cuenta al ser ingresados al Banco de Datos. • “Se considera que el tratamiento y /o difusión de datos de terceros puede ser considerado una cosa riesgosa”(Alessi, Ezio v/ Organización Veraz s/ habeas data, Cciv. Rosario, 8/8/2001)
Datos personales • Información de cualquier tipo referida a • personas físicas • o de existencia ideal • determinadas o determinables. • Datos personales incluyen: • Texto, imagen ó sonido
Objeto de la Protección de Datos Derechos en conflicto ante nuevas tecnologías Derecho a la Información (transmitir, captar, manejar, registrar, conservar, comunicar datos personales) Derecho a la intimidad, el honor, la identidad y de todo otro interés esencial para la vida del individuo Protección Nuevos Derechos humanos Control de la Información personal Autodeterminación Informativa (facultad de cada individuo de decidir cuando y como esta dispuesto a difundir su información personal) Instrumentación legal Reglamentación de la actividad de los Bancos de Datos Acción de Habeas Data Normativa de Protección de Datos Argentina: Art.43 de la Constitución Nacional Ley Nº 25.326 Decreto 1558/2001 Unión Europea: Directiva 95/46
Recolección de datos ENTIDADES BANCARIAS ANALISIS Calidad, finalidad y forma de recolectar Datos CALIDAD FORMA DE RECOLECCIÓN • Los Datos deben Ser: • Ciertos • Adecuados • Pertinentes • No Excesivos (Finalidad) • Actualizados • Destruidos si dejaron de ser necesarios • Consentimiento Informado Informar: finalidad, destino • posibilidad de cesión • Consentimiento para el tratamiento de datos. • Revisión de contratos y solicitudes y formas de recolección de datos FINALIDAD Acorde a la Ley Informada al titular Los datos recolectados deben ser adecuados a las finalidades.
Consentimiento Principio General:El tratamiento de Datos Personales sin consentimiento es ilícito • Requisitos de licitud: • Libre • Expreso • Informado • Escrito o medio que lo equipare • Revocable • Excepciones: • Fuentes de acceso público irrestricto • Funciones propias de los poderes del Estado • Cumplimiento de una obligación legal • Listado referidos solamente a nombre, domicilio, nº de identificación u otros datos meramente identificatorios • Relación contractual, científica o profesional • Operaciones de entidades financieras
Consentimiento • “Salvador, Claudio v. Citibank”, CNac.Com- Sala D, 22/11/2005) • La promesa de privacidad no observa las reglas específicas dispuestas por la ley 25326 para el tratamiento de los datos para marketing directo… • Para ceder los datos para otro propósito debe obtener su consentimiento porque de otro modo se transgrede el principio de finalidad. Se debe mantener la confidencialidad de los datos del actor, salvo los requeridos por el BCRA en virtud de la normativa aplicable…” (del dictamen del Fiscal de Cámara)
Tratamiento de Datos Personales Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y en general el procesamiento de Datos Personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias. • Inscripción en un registro de Banco de Datos • Demás principios previstos en la ley (calidad de los datos) • Que su finalidad no sea contraria a la leyes y la moral pública • Consentimiento libre, expreso e informado • Interés legítimo Principios básicos de licitud del tratamiento Actividades principales de tratamiento • Recolección • Cesión • Transferencia Internacional
Cesión Concepto: Toda comunicación a terceros a través de transferencias, consultas o interconexiones • Requisitos de licitud: • Interés legítimo de cedente y cesionario • Consentimiento previo, libre, expreso, escrito o medio que lo equipare • Información sobre finalidad de la cesión e identificación del cesionario o elementos que permitan identificarlo • Excepciones al consentimiento: • Dispuesta por Ley • Casos en que el consentimiento no es exigido • Entre dependencias de Órganos del Estado en la medida del cumplimiento de sus competencias • Datos disociados • Régimen especial de responsabilidad: • Responsabilidad solidaria conjunta de cedente y cesionario
Datos sensibles • Dictámen DNPDP 60/04 • “El intercambio de información entre organismos del Estado (Oficina Anticorrupción y ANSES) de datos debe realizarse en el marco de las competencias específicas de cedente y cesionario” • “Si dichos datos son sensibles o información confidencial o reservada los organismos deberán estar autorizados legalmente” • “Las bases de datos transmitidos deberán estar registradas”
Transferencia Internacional Únicamente a países u organismos Internacionales o supranacionales con nivel adecuado de protección • Requisitos de licitud: • Ordenamiento jurídico en materia de protección de datos • Cláusulas contractuales • Sistemas de autoregulación Equiparables a la Normativa del país que da origen a la transferencia • Excepciones: • Colaboración judicial internacional • Intercambio de datos de carácter médico, con motivo del tratamiento del afectado o investigación epidemiológica previa disociación • Transferencias bancarias o bursátiles • En el marco de tratados Internacionales • Cooperación Internacional entre Organismos de Inteligencia (crimen organizado, terrorismo y narcotráfico)
Registro Nacional de Protección de Datos Personales • La DNDP es un “ente regulador” y su responsabilidad primordial no es registrar datos personales sino controlar archivos o bases de empresas donde estén almacenados dichos datos. • Uno de los recaudos en los que se hace énfasis es en la seguridad de los datos (como ser la existencia de suficientes copias de resguardo, firewalls, etc.)
Multas • La Disposición DNPDP 7/2005 del 8 de noviembre 2005 • Deroga la Disposición DNPDP 1/2003 • Aprueba la “clasificación de las infracciones” • Efectúa una gradación de las sanciones” • Infracciones leves (apercibimientos y multas de $ 1000 a $ 3000 • Infracciones graves (suspensión de uno a 30 días y multa de $ 3001 a $ 50.000 • Infracciones muy graves (suspensión de 31 a 365 días, clausura o cancelación del archivo, registro o banco de datos y multa de $ 50001 a $ 300.000 • Crea el Registro de Infractores
Daño Moral • La Justicia Comercial está imponiendo indemnizaciones por daño moral • “Prada c/ Citibank” (CNCom. Sala B, 27/08/02) -Daño material $ 744,86 y moral $ 45.000. • “Del Giovannino, Luis c/Banco del Buen Ayres” (CNCom. Sala B, 11/01/2001) Daño material $ 6.000 y moral $ 40.000)
Marco de Responsabilidades de la Ley ENTIDADES BANCARIAS Esquema de Responsabilidad RESPONSABILIDAD PATRIMONIAL RESPONSABILIDAD PENAL RESPONSABILIDAD ADMINISTRATIVA EN CASCADA Art. 117 bis del Código Penal Inserción de Datos Falsos Art. 157 bis del Código Penal Acceso ilegítimo a un banco de datos y revelación de información secreta y protegida por Ley. Responsable solidaria e ilimitadamente por daños derivados de actos propios o de terceros que, gracias a el, accedan a la información Multas de $ 1.000 a $ 300.000 Cancelación o Clausura del Banco de datos
Seguridad de los Datos Medidas de seguridad de los cesionarios Acceso interno ¿Quién tiene acceso? Procedimientos para archivo, modificación o destrucción Medidas de Seguridad de 3ros Procesadores Seguridad periférica ENTIDADES BANCARIAS SEGURIDAD DE LOS DATOS
Áreas Críticas Seguridad de los Datos Cesión de los Datos Procesamiento de los datos por 3ros Fuentes de de los Datos Datos Crediticios ENTIDADES BANCARIAS Áreas Críticas
Seguridad de los datos Principio General:Se deben asegurar que los datos están almacenados en forma segura Requisitos de seguridad • Comunicación BCRA “A” 4609 : • Requisitos Mínimos de Gestión, Implementación y Control de los Riesgos Relacionados con Tecnología Informática, Sistemas de Información y Recursos Asociados para las Entidades Financieras • Entró en vigencia el 1º de Julio 2007 • Disposición ONTI 11. 2006 • Normas de seguridad según el tipo de establecimiento
Bases datos publicidad • Actividades: • Recopilación domicilios, • reparto de documentos, • publicidad • venta directa • otras actividades análogas • Se pueden tratar datos • aptos para establecer perfiles determinados • o establecer hábitos de consumo • promocionales, • comerciales • publicitarios
Jurisprudencia • “Unión de Usuarios y Consumidores v. Citibank”CNCom. Sala E, 12/05/2006 • “La transpolación de la información para ser utilizada con fines publicitarios propios o de terceros importaría exceder la causa que ha dado motivo a que la entidad cuente con esos datos: el acuerdo celebrado con la entidad en ocasión de contratar determinado producto”
“Pruebas significativas para evaluar solvencia” • Los datos que pueden tratarse deben ser significativos para evaluar la solvencia económico-financiera de los afectados • durante los últimos 5 años • O 2 años (obligación extinguida), debiéndose hacer constar dicho hecho • Las entidades financieras deben hacer: • análisis adecuado situación económica y financiera deudor • revisión periódica su situación (condiciones objetivas y subjetivas)
“Pruebas significativas para evaluar solvencia” • “Para apreciar la solvencia económico-financiera de una persona, conforme lo establecido en el art. 26 inc. 4 ley 25326, se tendrá en cuenta toda la información disponible desde el nacimiento de cada obligación hasta su extinción. En el cómputo de cinco años, éstos se contarán a partir de la fecha de la última información adversa archivada que revele que dicha deuda era exigible... " (art. 26 ap. 3 del decreto mencionado).
“Pruebas significativas para evaluar solvencia” • En el artículo 26, apartado 4 de la ley 25.326 se prevé que • "sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo extinga la obligación, debiéndose hace constar dicho hecho", • Su decreto reglamentario 1558/2001, dice: • "Sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico-financiera de los afectados durante los últimos cinco años..." (art. 26 inc. 4 ley cit.)
El llamado “Derecho al olvido” • Para parte de la doctrina jurisprudencia se ha considerado que de este modo el legislador ha consagrado el derecho al olvido de quienes registran o registraron una deuda en una base de datos, independientemente de su exigibilidad, fijando plazos diferentes para uno u otro supuesto • Conf. en este sentido, CCYCFed, Sala 3, "Napoli Carlos Alberto c/ Citibank N.A.", 3 11 05; esta Cámara, Sala III, "Girella, Juan José c/ BCRA", 4 2 05 y "Gross, Rodolfo Remigio", 7 2 05 entre muchos).
Jurisprudencia “Ravina, Arturo c/ Organización Veraz” (CNCiv. Sala F, 6/2/02, JA 2002-II-437)Con nota de Guillermo F. Peyrano) “No basta que los datos hayan sido veraces, sino que también deben ser actuales. “Para ello deben ser necesariamente chequeados y verificados por Veraz… debiendo instrumentar las medidas necesarias para que la información suministrada se ajuste a la realidad, o soportar sus consecuencias, sin que sean los propios sujetos pasivos de la información los que deban aportar los datos pertinentes…”
Jurisprudencia Dictámen DNPDP 61/05 23 de marzo 2005 • “El plazo de caducidad se aplica al servicio de información crediticia y no a la fuente del dato, en este caso el Banco, quien tiene la obligación de brindar la información. • El plazo de 5 años de información archivada por la empresa de riesgo crediticio se computará a partir de la última información difundida por fuente legítima (titular del dato, acreedor, fuentes de acceso público, etc.) que revele que la deuda es exigible. • Para la reducción del plazo a 2 años el deudor debe acreditar ante la empresa de riego crediticio que ha cancelado la deuda, sin perjuicio que la empresa de riesgo deba suprimir el dato cuando por otros medios tome conocimiento o tenga obligación de conocer sobre la cancelación de la deuda” (idem Dictámen 241/05 del 16/11/2005)
Jurisprudencia • “Organización Veraz v. E.N. PEN s/amparo”CSJN, 06/03/07 • “Se rechaza la inconstitucionalidad del art. 53 de la ley 25065 que prohíbe a las entidades emisoras de tarjetas de crédito, bancarias o crediticias a las bases de datos de antecedentes financieros personales… cuando el titular no haya cancelado sus obligaciones…sin perjuicio de informar al BCRA” • “Tal prohibición no fue dejada sin efecto en forma implícita por la ley 25326..”
Jurisprudencia • El Procurador del Tesoro ha dictaminado que • “La interpretación que cabe asignar al artículo 26 de la Ley N° 25.326 no requiere, en modo alguno, la previa indagación acerca de la exigibilidad de la deuda de que se trate. • “En este sentido, el inciso 4° de dicho artículo establece un plazo de cinco años para el archivo, el registro o la cesión de los datos personales que sean significativos para evaluar la solvencia económico financiera de los afectados –y de dos años para el supuesto de haber sido cancelada la deuda sin requerir, a tales fines, una evaluación previa acerca de la exigibilidad o no del crédito en cuestión”
Jurisprudencia • “En consecuencia, a efectos de establecer si un dato debe ser informado por una entidad bancaria a la Central de Deudores del Sistema Financiero, administrada por el Banco Central de la República Argentina, sólo corresponde atender a la fecha en que la deuda se tornó exigible y, a partir de allí, computar los cinco o dos años que establece el artículo 26, inciso 4°, de la Ley N° 25.326, según corresponda” • (Dictamen Nº 338/06, 20 de noviembre de 2006. Expte. Nº 144.241/04. Ministerio de Justicia y Derechos Humanos. (Dictámenes 259:197)
Aplicación razonable del Derecho al olvido • La Cámara Federal Contencioso Administrativo ha dado una nueva interpretación al modo de contar los cinco años de caducidad de la información, resolviendo que : • "Si bien los afectados tienen derecho a que se suprima por caducidad la vieja información asentada en la base de datos en su oportunidad por los acreedores interesados, ese derecho no puede pretenderse cuando los acreedores han mantenido actualizados los datos de sus créditos, la actualización de los datos da lugar a un nuevo asiento y por lo tanto a un nuevo plazo de caducidad; de otra manera no se cumpliría con la previsión del decreto 1558/2001, en el sentido de que se debe incluir en los registros o bases de datos toda información relevante para evaluar la solvencia patrimonial del titular de los datos...”
Aplicación razonable del Derecho al olvido • “. podría decirse que tal interpretación restringe en cierto modo el "derecho al olvido“ … “pues lo hace depender de la diligencia del acreedor en mantener la información permanentemente actualizada, lo cierto es que lo que la norma legal dispone no resulta una reglamentación irrazonable, ya que si bien se intenta proteger el derecho las personas, ello debe ser compatibilizado con el derecho de los acreedores o potenciales acreedores de tener acceso a aquellos datos que permitan evaluar la solvencia económica de las personas.
Aplicación razonable del Derecho al olvido • “Además, no se está condenando a los deudores a que sus datos permanezcan a perpetuidad en diferentes registros, pues cuando las deudas dejen de ser exigibles (por prescripción o cualquier otro modo de extinción) comenzará a regir el plazo de dos años (que se computa desde el momento preciso en que se extingue la obligación); mientras ello no ocurra, si el acreedor mantiene actualizados los datos, el plazo de caducidad no operará ” • (C. Nac. Cont. Adm. Fed., sala 5ª 3/02/2007, “Benvenuto, Julio J. v. Banco Central de la República Argentina /Base de datos BBVA Banco Francés S.A”. Lexis Nº 35010316) • (C. Nac. Cont. Adm. Fed., Sala 4ª Causa N° 9.175/2005. “Diez, María c/ BCRA Base de Datos (Citibank) s/ habeas data”)
Aplicación razonable del Derecho al olvido • La Corte ha resuelto recientemente en un caso en el que una parte solicitaba que se aclare que el dato denunciado por el Banco se refería a un caso de litigio donde la actora cuestiona penalmente la existencia del crédito que motiva la anotación • “el dato incompleto o inexacto que ha dado lugar a estas actuaciones ha sido proporcionado por tal entidad bancaria y se refiere a una supuesta deuda originada en una operación crediticia que ha sido cuestionada por la actora. Es verdad, como ya se señaló, que no corresponde dilucidar en estas actuaciones si ella reviste, efectivamente, la calidad de deudora o si se perpetró una estafa en su perjuicio.
Aplicación razonable del Derecho al olvido • Pero es evidente que la ampliación en los datos referentes a la actora -para reflejar el estado de litigiosidad del crédito- necesariamente deben hacer referencia a su situación con ese banco, en la medida en que éste es el supuesto acreedor y ha sido su relación comercial con la actora la que dio lugar al registro de la información.” (CSJN Di Nunzio, Daniel F. c/ The First National Bank of Boston y otros s/ hábeas data 21-11-2006
Aplicación razonable del Derecho al olvido • “Es regla vigente que, cuando la anotación de un dato cierto pero parcial pueda causar, de modo previsible, una falsa representación, la misma debe ser evitada incluyendo hechos relevantes directamente relacionados”… • “Mayor información significa mayor transparencia y menos conflictos, lo cual en el caso es particularmente claro” (CSJN, Di Nunzio, voto del Dr. Ricardo Luis Lorenzetti)
Aplicación razonable del Derecho al olvido • Conclusión: • Existen no sólo los datos “verdaderos” o “falsos” –más allá de que estén caducos o no- sino también los “datos controvertidos” cuando hay un reclamo judicial en el medio. • “Omitir una parte de la información equivale a suministrar información inexacta, vulnerando el valor verdad que es el objeto de tutela de la acción de habeas data” (del dictámen del Fiscal de Cámara en autos Di Nunzio) • Así como existiría un “derecho a aclarar el dato personal controvertido” (Palazzi) y hasta se habla de un habeas data aditivo, no parece justa la aplicación sin más de la letra del art. 26 LPDP “olvidando” por ejemplo, a los deudores consuetudinarios lo que genera una distorsión de la realidad crediticia.
Aplicación razonable del Derecho al olvido • Conclusión: • Preocupa la eventualidad de que acabemos comprometiendo la existencia de un sistema de información indispensable para discriminar entre buenos y malos pagadores, o poniendo a una persona modesta, con un ingreso mínimo pero con una muy buena trayectoria en el pago de sus obligaciones, en las mismas condiciones que a alguien de mayores ingresos pero un mal deudor reiterado. • Se debe diferenciar entre la función docente de la ley de resguardar la intimidad y no informar como deuda lo que en el plazo indicado no se acredita como pagado y la función saneante que debería contemplar el caso de los que no figuren – o por haber caducado la información o porque han abonado con mora una y otra vez-
Aplicación razonable del Derecho al olvido • Conclusión: • A tal fin corresponde analizar la forma de la implementación más correcta como podría ser la creación de una base de datos nueva – con los debidos resguardos - donde se “almacenen” y “acumulen” los incumplimientos y se active su consulta bajo ciertos parámetros que la reglamentación indicará. • No informar los datos por considerarse caducos no implica por ello que deban ser olvidados y mucho menos no tenidos en cuenta para que la información que se cuente sea completa. • Como dijo el Dr. Lorenzetti en el fallo Di Nunzio “mayor información significa mayor transparencia y menos conflictos”.
Muchas Gracias Horacio R. Granerohrg@allendebrea.com.ar