El Poder Ejecutivo promueve nueva ley de protección de datos personales. Análisis preliminar.

En el marco del Expediente EX-2017-01309839-APN-DNPDP#MJ, el Poder Ejecutivo Nacional elevó al Congreso un proyecto de Ley tendiente a regular la protección de los datos personales.

El proyecto comentado habría nacido en el marco del Programa "Justicia 2020", creado por el Ministerio de Justicia y Derechos Humanos y expresa la necesidad de promover la modernización de la legislación nacional en la materia, de modo consistente con la evolución de la tecnología. Reconociendo los beneficios de los adelantos tecnológicos, los promotores de la norma destacan también nuevas vulneraciones al derecho a la privacidad que traerían aparejados.

Como referencia de los cambios evidenciados en el plano del derecho positivo se alude a la nueva regulación a nivel europeo, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de fecha 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de tal información. Así, se reconoce en dicho Reglamento el parámetro a considerar para evaluar la pertinencia de la legislación nacional.

La norma prevé en su artículo 1° el objeto que la motiva, la protección integral de los datos personales a fin de garantizar el ejercicio pleno de los derechos de sus titulares, en línea con el artículo 43 de la Constitución Nacional y las previsiones de los instrumentos convencionales en materia de Derechos Humanos. En definitiva, considerando estándares internacionales, la modernización instada supone la actualización de la normativa vigente con el objetivo de evitar abusos biotecnológicos y vulneraciones asociadas a la protección de los datos personales, una legislación “más acorde con el concepto correspondiente al estado de desarrollo conocido como ‘la era digital’ y con las nuevas tecnologías”.

DATOS PERSONALES Y DATOS SENSIBLES

Al igual que la Ley 25.326 -la que sería abrogada en virtud del artículo 94- la norma contiene un artículo específico de definiciones, en el que se plasman y actualizan conceptos actualmente recogidos en la legislación vigente y se introducen también algunas novedades interesantes.

De este modo, si bien de un modo tangencial, la norma proyectada atiende al fenómeno del Big Data y al tratamiento de datos sensibles a gran escala, problemática que hemos abordado en otras oportunidades y que constituyen a nuestro juicio uno de los desafíos centrales para el Derecho contemporáneo. Prueba de ello es la incorporación del concepto de “Base de datos”, presentado como “conjunto organizado de datos personales que sean objeto de tratamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso. Indistintamente se la puede denominar también archivo, registro, fichero o banco de datos”.

A su vez, manteniendo la relación género-especie de la Ley 25.326 la norma refiere en el artículo 2° al concepto de “datos personales” y de “datos sensibles”, ensanchando sus alcances en atención a la disponibilidad de datos que no habían sido oportunamente contemplados en la norma vigente.

“Datos personales: Información de cualquier tipo referida a personas humanas determinadas o determinables, inclusive los datos biométricos. Se entenderá por determinable la persona que pueda ser identificada mediante algún identificador o por uno o varios elementos característicos de la identidad física, fisiológica, genética (datos genéticos), psíquica, económica, cultural o social de dicha persona. No será considerada persona determinable cuando, para lograr su identificación, se requiera la aplicación de medidas o plazos desproporcionados o inviables. Se entenderá por datos biométricos aquellos datos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan o confirmen su identificación única. Se entenderá por datos genéticos los relativos a las características genéticas heredadas o adquiridas de una persona humana que proporcionen una información sobre su fisiología o salud, obtenidos en particular del análisis de una muestra biológica” [El subrayado nos pertenece].

“Datos sensibles: datos personales que afectan la esfera íntima de su titular con potencialidad de originar una discriminación ilícita o arbitraria, en particular, los que revelan origen racial o étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, participación o afiliación en una organización sindical o política, información referente a la salud, preferencia o vida sexual”.

Por la inclusión explícita de la realidad de la información genética y de los datos biométricos, ambas definiciones lucen superadoras de las contenidas en el artículo 2° de la Ley 25.326[1].

En el artículo 16 del proyecto se prohíbe el tratamiento de datos sensibles previendo algunos supuestos de excepción:

El titular de los datos haya dado su consentimiento expreso a dicho tratamiento, salvo en los casos en que por ley no sea requerido el otorgamiento de dicha autorización; Sea necesario para salvaguardar el interés vital del titular de los datos y éste se encuentre física o legalmente incapacitado para prestar el consentimiento y sus representantes legales no lo puedan realizar en tiempo oportuno; Sea efectuado por establecimientos sanitarios públicos o privados o por profesionales vinculados a la ciencia de la salud en el marco de un tratamiento médico específico de acuerdo a lo establecido por la Ley Nº 26.529 de Derechos del Paciente, Historia Clínica y Consentimiento Informado y sus modificatorias; Se realice en el marco de las actividades legítimas que realice una fundación, asociación o cualquier otro organismo sin fines de lucro, cuyo objeto principal sea una actividad política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan un contacto regular por razón de su objeto principal; Se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; Tenga una finalidad histórica, estadística o científica. En estos DOS (2) últimos casos, debe adoptarse un procedimiento de disociación de datos; Se refiera a datos personales que el interesado haya hecho manifiestamente públicos; Sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular de los datos en el ámbito del Derecho Laboral y de la Seguridad y Protección Social; Sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios; Se realice en el marco de asistencia humanitaria en casos de desastres naturales.

Más allá de la centralidad innegable de la figura del consentimiento informado, a la que luego atenderemos, que a priori luce razonable como herramienta de control individual, se advierte cierta amplitud en algunas de las situaciones previstas, como en el caso del tratamiento de datos sensibles por parte de establecimientos sanitarios o profesionales de la salud. Siendo muy probablemente el ámbito en el que mayor cantidad de datos sensibles es obtenida[2], la relación médico-paciente se encuentra cruzada hoy por una tecnología que al turno que ofrece potentes herramientas de gestión de la información, actualiza las tradicionales dificultades técnicas para garantizar la disociación de los datos, la confidencialidad y la privacidad. Al respecto hemos sostenido recientemente que “es tan vasta la cantidad de información y tan poderosos los recursos técnicos disponibles que, de hecho, la anonimización de la información resultante de la investigación clínica, oportunamente planteada como un medio para sortear tales tensiones [intereses particulares y los públicos], en la actualidad también presenta limitaciones en cuanto al resguardo de la privacidad y la confidencialidad”[3].

El reconocimiento de la potencial utilización de la información sensible para  discriminar ilícita o arbitrariamente ciertamente constituye un tópico digno de mención, ya que a la luz del creciente poder diagnóstico es imprescindible procurar reglamentaciones y medidas de control concretas tendientes a evitar que aquello sea una simple expresión de deseos sin correlato en la realidad social[4] [5].

En relación con la obtención de datos personales, el artículo 6° se presenta novedoso, por cuanto prevé que “deben ser recogidos con fines determinados, explícitos y legítimos, y no deben ser tratados de manera incompatible con dichos fines (…)”. Lo dicho, analizado a la luz de los principios imperantes en virtud de la misma norma y en concreto, del artículo 12 (consentimiento informado), supondría que no pueden obtenerse datos personales (y por lo tanto, tampoco datos sensibles) salvo que se explicitara el destino pretendido.

El artículo continúa, “No se considerarán incompatibles con los fines iniciales tanto el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos, como tampoco el tratamiento de datos con fines que pudieron ser, de acuerdo al contexto, razonablemente presumidos por el titular de los datos”.

En la medida en que para la recolección inicial de los datos se contara con un consentimiento informado que expresamente prevea la utilización posterior con los fines detallados, el tratamiento de la información obtenida encuadraría dentro de las previsiones del artículo 16, apartado a).

CONSENTIMIENTO INFORMADO

El artículo 12 regula la obtención de consentimiento, lo que puede operar expresa o tácitamente dependiendo de las circunstancias, el tipo de dato personal y las expectativas razonables del titular de los datos. El consentimiento expreso, se establece, “puede ser obtenido por escrito, verbalmente, por medios electrónicos, así como por cualquier forma similar que la tecnología permita brindar”. Para el tratamiento de datos sensibles la norma exige consentimiento expreso, salvo las excepciones establecidas por ley.

En relación con el consentimiento tácito se consigna que será admitido “cuando surja de manera manifiesta del contexto del tratamiento de datos y la conducta del titular de los datos sea suficiente para demostrar la existencia de su autorización” y que sólo será admisible “cuando los datos requeridos sean necesarios para la finalidad que motiva la recolección y se haya puesto a disposición del titular de los datos la información prevista en el artículo 15, sin que éste manifieste su oposición”.

En línea con la interpretación realizada en el apartado anterior, se prevé en el artículo 12 que el tratamiento posterior de los datos obtenidos debe ser compatible con el contexto que originó su recolección. Al respecto es menester traer a colación lo dispuesto en el artículo 15, en el que se prevé que “el responsable del tratamiento debe brindar al titular de los datos, antes de la recolección, al menos, la siguiente información: a. Las finalidades del tratamiento de datos a las que se destinarán los datos personales recolectados; b. La identidad y los datos de contacto del responsable del tratamiento; c. Los medios para ejercer los derechos previstos en esta Ley; d. En su caso, las cesiones o transferencias internacionales de datos que se efectúen o se prevea efectuar; e. El carácter obligatorio o facultativo de proporcionar los datos personales y las consecuencias de proporcionarlos, o de la negativa a hacerlo, o de hacerlo en forma incompleta o defectuosa; f. El derecho del titular de los datos a revocar el consentimiento; g. El derecho a presentar una denuncia, a iniciar el trámite de protección de datos personales ante la autoridad de control, o a ejercer la acción de habeas data en caso de que el responsable o el encargado del tratamiento incumpla con la presente Ley”.

La información dispuesta para la obtención del consentimiento, a su vez, “debe ser suministrada en forma clara, exenta de codificaciones y, en su caso, acompañada de una explicación de los términos que se utilicen, en lenguaje accesible al conocimiento medio de la población (…)” (art. 28)[6].

La oportuna obtención del consentimiento informado del titular de la información debe ser probada, en cada caso, por el responsable de su tratamiento[7]. En el artículo 13, luego, se expresa que  el consentimiento puede ser revocado en cualquier momento y que dicha revocación no tiene efectos retroactivos.

Por último, el artículo 14 prevé que “no es necesario el consentimiento para el tratamiento de datos cuando se trate de listados cuyos datos se limiten a nombre y apellido, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento, domicilio y correo electrónico, ni para el tratamiento de la información crediticia en los términos del Capítulo 6”.

DATOS RELATIVOS  LA SALUD

El artículo 68 regula específicamente la cuestión, indicando:

“Los datos referentes a la salud sólo pueden ser tratados, a fin de realizar ofertas de bienes y servicios, cuando hubieran sido obtenidos de acuerdo con la presente Ley y siempre que no causen discriminación, en el contexto de una relación entre el consumidor o usuario y los proveedores de servicios o tratamientos médicos y entidades sin fines de lucro. Estos datos no pueden cederse a terceros sin el consentimiento previo, expreso e informado del titular de los datos. A dicho fin, éste debe recibir información clara y suficiente respecto del carácter sensible de los datos que proporciona y de que no está obligado a suministrarlos, junto con la información prevista en el artículo 15 y la mención de su derecho a oponerse al tratamiento de sus datos”.

Se advierte que el artículo citado recepta los principios de no discriminación y de consentimiento informado, dos valores centrales en la legislación sanitaria. A la luz de la realidad biotecnológica contemporánea, la que de algún modo motiva el proyecto bajo análisis, cabe plantear dudas respecto de la eficacia de la norma, la que en su formulación concreta parece expresar un objetivo elogiable pero ciertamente abstracto, en la medida en que no ofrece pautas específicas para la consecución de sus fines. ¿De qué modo se garantizará la obtención de “información clara y suficiente” en el marco de la actual relación médico-paciente? ¿Y en las complejas relaciones de consumo que actualmente se evidencian en el plano del acceso a prácticas médicas/ diagnósticas? ¿Incluirán los consentimientos informados instados precisiones respecto de todas las posibles utilizaciones de los datos relativos a la salud disponibles?

OTRAS NOVEDADES DEL PROYECTO

-      Datos de niñas, niños y adolescentes

En el artículo 18 se establece que en el tratamiento de datos personales de una niña, niño o adolescente se debe privilegiar la protección de su interés superior, lo que luce compatible con los principios imperantes en la materia en virtud de las normas internas y convencionales vigentes en el país.

A su vez, se indica que el consentimiento de una niña, niño o adolescente será válido cuando se aplique al tratamiento de datos vinculados a la utilización de servicios de la sociedad de la información específicamente diseñados o aptos. Para los menores de trece años se exige que el consentimiento sea otorgado por quien ejerce la responsabilidad parental o tutela.

-       Delegado de protección de datos

El proyecto innova a nivel nacional con la incorporación de un funcionario especializado con funciones expresamente previstas (informar y asesorar a los responsables del tratamiento, promover y participar en el diseño y aplicación de una política de protección de datos, supervisar el cumplimiento de la normativa vigente y cooperar y actuar como referente ante la autoridad de control –art. 44–). Cuando los responsables y encargados del tratamiento de la información revistan el carácter de autoridades u organismos públicos, cuando el tratamiento de datos sensibles se realice como parte de la actividad principal del responsable o encargado del tratamiento, o se realice tratamiento de datos a gran escala, deberán designar a un Delegado de Protección de Datos (art. 43).

Se señala en la motivación que la figura del delegado habría sido recogida de la experiencia internacional en materia de protección de datos a nivel internacional.

CONCLUSIONES

El proyecto representa para el Poder Legislativo la posibilidad de avanzar  en la regulación de las tensiones entre tecnología y el respecto por la privacidad y la confidencialidad. Dichas tensiones ocupan a una creciente porción de la doctrina nacional e internacional y ponen de manifiesto la relevancia de la problemática y la imperiosa necesidad de acortar la distancia entre el Derecho y realidades tales como Big Data, las novedosas herramientas genéticas,  las mutaciones del ámbito de la salud y el impacto de las redes sociales en el efectivo goce de derechos subjetivos.

En lo sucesivo deberá darse tratamiento al proyecto comentado, esperamos que de la labor parlamentaria surja un trabajo sólido en términos jurídicos y técnicos, de modo que impacte en una regulación moderna, equilibrada y justa.

Informe de Leonardo Pucheta

 

[1] Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables. 

Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

[2] Considérese que la relación médico-paciente se encuentra no sólo alcanzada por profundas modificaciones asociadas a la utilización de la tecnología, sino también de la lógica de consumo. Ambos aspectos que favorecen incluso, a nuestro criterio, una mutación de los alcances mismos de la medicina y de las disciplinas asociadas.

[3] Leonardo Pucheta. Big Data y su impacto en el ámbito de la salud. Reporte del Comité Internacional de Bioética (UNESCO). Disponible en línea en: http://centrodebioetica.org/2017/11/big-data-y-su-impacto-en-el-ambito-de-la-salud-reporte-del-comite-internacional-de-bioetica-unesco/ [Último acceso el 25/09/2018].

[4] Desde el Centro de Bioética, Persona y Familia hemos abordado esta problemática al tratar, por ejemplo, el impacto de las herramientas diagnósticas disponibles para el acceso al empleo o para la cobertura del seguro de riesgos derivados del trabajo.

[5] Al respecto vale remitir al artículo 19 del proyecto, el que establece el “Principio de seguridad de los datos personales”.

[6] En virtud de lo establecido en el artículo 28, la información debe contener: “a. Las finalidades del tratamiento de datos; b. Las categorías de datos personales de que se trate; c. Los destinatarios o las categorías de destinatarios a los que se cedieron o se prevean ceder los datos personales, en particular cuando se trate de una transferencia internacional; d. El plazo previsto de conservación de los datos personales o, de no ser ello posible, los criterios utilizados para determinar este plazo; e. La existencia del derecho a solicitar del responsable del tratamiento la rectificación, supresión de datos personales o a oponerse a dicho tratamiento; f. El derecho a iniciar un trámite de protección de datos personales ante la autoridad de control; g. Cuando los datos personales no se hayan obtenido del titular de los datos, cualquier información disponible sobre su origen; h. La existencia de decisiones automatizadas, incluida la elaboración de perfiles a que se refiere el artículo 32 y, al menos en tales casos, información significativa sobre la lógica aplicada, sin que ello afecte derechos intelectuales del responsable del tratamiento”.

[7] El artículo 2° del proyecto define al responsable del tratamiento como “persona humana o jurídica, pública o privada, titular de la base de datos, que decide sobre el tratamiento de datos, sus finalidades y medios”.