Sobre el Acuerdo ANSES: una interpretación de la 25.326 distinta a la utilizada

Sobre el Acuerdo ANSES: una interpretación de la 25.326 distinta a la utilizada Por Paula Vargas Mucho se ha debatido en estos días sobre la legalidad del Convenio Marco N37 celebrado entre la ANSES y la Secretaría de Comunicación por…
Leer más

Sobre el Acuerdo ANSES: una interpretación de la 25.326 distinta a la utilizada

Por Paula Vargas

Mucho se ha debatido en estos días sobre la legalidad del Convenio Marco N37 celebrado entre la ANSES y la Secretaría de Comunicación por medio del cual la primera repartición le cedería a la segunda datos personales de los ciudadanos, recolectados en el ejercicio de sus funciones.

Por supuesto, la ley de Protección de Datos Personales es el instrumento que guía la interpretación sobre esta cesión, pero tratándose del Estado, cobran especial relevancia las normas de Derecho Administrativo que determinan el esquema de competencias dentro del Poder Ejecutivo, tal como lo menciona el Dictamen DNPDP 5/2016

En este caso, el debate giró mayormente en torno a si la excepción al consentimiento del titular del dato prevista en el art. 11.3.c para la cesión entre órganos del Estado debe ser interpretada como un fundamento legal suficiente para que los datos cedidos puedan ser “utilizados” en el ámbito de la competencia del cesionario.

Desde ya adelanto mi opinión sobre que, de conformidad al art. 4 inc. 3 la “utilización” de un dato objeto de tratamiento (es decir objeto de cesión en este caso) requiere acreditar una finalidad, sino igual, al menos compatible que la que origino la recolección.

El artículo 11.3.c podrá eximir del consentimiento para la cesión en el marco de las “respectivas competencias” del cedente y cesionario, pero no exime de la utilización para una finalidad compatible. En este sentido, ¿puede asimilarse competencia de un órgano público con “finalidad compatible”? Mi respuesta es negativa, por los motivos que expondré a continuación.

Mi aporte con esta opinión tiene la intención de impulsar la interpretación de ley que ha sido poco aplicada e interpretada, tanto en la justicia, como en la academia y por la propia DNPDP, pero que dada la acumulación masiva de datos que ocurre desde los últimos años cobra un nuevo sentido. Se trata aquí de pensar y debatir profundamente y de contar con más especialistas que puedan dar estos debates.

La ley de Protección de Datos Personales funciona como un Sistema, casi mecánico diría. En particular, los Principios deben cumplirse todos, y las excepciones a alguno de los requisitos de legalidad del tratamiento no excluyen el cumplimiento de los otros.

Por supuesto, siempre existen en materia legal las interpretaciones amplias y las restrictivas, es decir que una interpretación amplia favorecería la cesión y una restrictiva la desmotivaría. En materia de privacidad, la interpretación suele ser restrictiva; en caso de duda, se opta por la que otorga mayor garantía de privacidad, considerando que se trata de un Derecho Fundamental

El concepto de finalidad compatible y la vinculación entre “finalidad compatible” y “competencia

¿Como se satisfice este requisito exigido en el artículo 4.b, que es distinto al consentimiento previsto en el artículo 5 y al deber de información previsto en el artículo 6?

Como se dijo antes, el artículo 4.b. prohíbe la utilización de un dato personal para una finalidad distinta o incompatible para aquella para la que fue recolectado.

La reglamentación es aun mas categórica en cuanto al significado de este requisito ya que establece criterios para determinar la ”lealtad y buena fe” no solo en la obtención sino en el “destino” del dato. Especifica que ello también dependerá de la información respecto de ese “destino” que se haya dado al titular de conformidad con el art. 6.

Ni el art. 5.2 ni el 11.3.c son excepciones al cumplimiento del artículo 4.b ni a ningún otro de la ley.

El art. 5.2. exime del consentimiento para recolectar y el 11.3.c para ceder. Pero ni el 5.2. exime de que la recolección se realice con una finalidad determinada ni el 11.3.c exime de que la utilización o cualquier otro acto posterior de tratamiento del dato cedido se realice con una finalidad compatible.

El dictamen de la DNPDP que habilita el Convenio Marco N 37, realiza una interpretación diferente. Asimila “competencia” con “finalidad” (no menciona compatible). Es decir, considera que si la cesión se realiza en el marco de las “respectivas competencias” del cedente y el cesionario, el requisito de “finalidad compatible” queda satisfecho.

Sin embargo, considero que existe una confusión en esta interpretación. ¿Todas las actividades que son parte de la competencia de un organismo son “finalidades compatibles” con aquella para la que se recolectó el dato como lo exige el artículo 4.3 a los efectos de la utilización de los datos cedidos?. El Dictamen asume que sí, que la cesión del dato para ser utilizado de acuerdo a la competencia del órgano cesionario convierte cualquier tipo de utilización en compatible con la finalidad de recolección. Se justificaría ello en que el estado es un solo, y cuando recolecta, lo hace para cualquier fin.

Muchos son los supuestos que llevan a pensar en que “competencia” no es un término equivalente, en el contexto de la ley 25.326, a finalidad compatible, considerando que la ley regula la preservación de la privacidad de los titulares de datos en el tratamiento de sus datos personales. Si la privacidad fue o no afectada depende de la finalidad en su utilización.

La interpretación de la DNPDP contraría el texto literal del art. 5.2.b que menciona las “funciones de los poderes del Estado”, es decir delimita la recolección a “funciones”. Los órganos recolectan en el ámbito de su competencia, y esta es la interpretación compatible con “no excesivos en relación al ámbito y la finalidad para la que se hubieran obtenido”. “Ámbito y finalidad”, dos requisitos distintos. Si el estado recolectara como siendo un único ente, no habría forma de medir la proporcionalidad.

Por otro lado, el Decreto Reglamentario, en el artículo 4 establece que la DNPDP deberá investigar de oficio “cada una de las siguientes etapas del uso y aprovechamiento de datos personales: c) legalidad en la cesión propiamente dicha;”. Este artículo remite la cesión al uso, y la utilización depende de la existencia de finalidades compatibles.

Por su parte, el artículo 11,en su primer párrafo exige dos requisitos para la cesión: 1) “fines directamente relacionados con el interés legítimo”; y 2) consentimiento. El inc. 3 sólo exceptúa el consentimiento en la medida de la competencia, pero no exceptúa la referencia a los “fines”, que son la medida del interés legítimo. Es claro que puede existir competencia y aún así el “fin” de la cesión puede no satisfacer un “interés legítimo”, por ejemplo, cuando ese fin no es compatible con la finalidad para la que el dato fue recolectado.

Asimismo, siguiendo el razonamiento del Dictamen, deberíamos entender que el requisito de Información del art. 6 se da por cumplido con la información que provee el organismo recolector, ya que el “estado es un solo”. Sin embargo, el inc. a) exige identificar “finalidades y quienes pueden ser sus destinatarios”.

En definitiva, un órgano puede estar eximido del consentimiento para la cesión (que es un acto individual de tratamiento) pero siempre se requiere para la utilización o cualquier otro acto de tratamiento un análisis de la finalidad del cesionario y de su compatibilidad con la finalidad de recolección que tuvo el cedente. En este caso concreto, la cesión no requería consentimiento para que la Secretaría de Comunicación efectúe Comunicación (porque es materia de su competencia), pero cabe preguntarse si su interés legítimo no se limita a comunicar actos de ANSES. Desconozco si “identificar problemáticas locales” es parte de la competencia de la Secretaría de Comunicación (análisis que no se hizo), pero en todo caso debería determinarse si es una actividad compatible con aquella para la que se recolectó el dato; tal vez lo sea, pero son análisis que deberían ser parte de los actos administrativos que dieron origen a la cesión.

A todo evento, cabe recordar que el Decreto Reglamentario, en el art. 4 (calidad del dato, “finalidades compatibles”) establece que “La DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES efectuará controles de oficio sobre el cumplimiento de este principio legal, y aplicará las sanciones pertinentes al responsable o usuario en los casos que correspondiere.

Finalmente, es oportuno el proceso de reforma iniciado por la DNPDP no sólo para discutir estos temas sino también para discutirlos en un contexto de Acceso a la Información y reutilización de los datos.

Dejo para una próxima opinión, determinar el alcance de la diferencia entre el 11.3.b y el 11.3.c, tal vez alguien tome la posta y realice algún aporte.