XXVI Congreso Latinoamericano de Derecho Bancario

COLADE

3 de septiembre 2007

El derecho a la privacidad
Implicancias de la Proteccin de Datos
en la informacin crediticia

Necesidad de una conciliacin normativa

por el Dr. Horacio R. Granero

Socio del Estudio Allende & Brea
Director de la Carrera de Posgrado de
Abogado Especializado en
Derecho de la Alta Tecnologa (UCA)

-1-
Los daos en la era tecnolgica

La responsabilidad civil en la actualidad

La culpa como nico factor de atribucin en el
Cdigo Civil.
El avance tcnico y su influencia en la
responsabilidad civil
Teora del riesgo y sus aplicaciones: Accidentes
de trabajo, daos areos Responsabilidad
objetiva.
La tecnologa y la teora de la actividad
riesgosa
-2-
Obligacin legal de Proteccin de
Datos Personales

Protege el dao que se puede causar por una

violacin del deber de seguridad que tiene todo
gestor de una base de datos personales.
Es una obligacin de resultado, consistente en
garantizar que los datos personales no sern
difundidos ni empleados para un fin distinto al tenido
en cuenta al ser ingresados al Banco de Datos.
Se considera que el tratamiento y /o difusin de datos de
terceros puede ser considerado una cosa riesgosa(Alessi,
Ezio v/ Organizacin Veraz s/ habeas data, Cciv. Rosario,
8/8/2001)

-3-
 Datos personales

Informacin de cualquier tipo referida a

personas fsicas
o de existencia ideal
determinadas o determinables.
Datos personales incluyen:
Texto, imagen sonido

-4-
 Objeto de la Proteccin de Datos

Derecho a la Informacin Derechos en conflicto

(transmitir, captar, manejar, ante nuevas tecnologas Derecho a la intimidad, el honor, la
registrar, conservar, comunicar identidad y de todo otro inters
datos personales) esencial para la vida del individuo

Proteccin
Nuevos Derechos humanos

Control de la Informacin personal Autodeterminacin Informativa (facultad de

cada individuo de decidir cuando y como
esta dispuesto a difundir su informacin
personal)

Reglamentacin de la actividad Instrumentacin Accin de Habeas Data

de los Bancos de Datos legal

Normativa de Proteccin de Datos

Argentina: Art.43 de la Constitucin Nacional
Ley N 25.326
Decreto 1558/2001
Unin Europea: Directiva 95/46

-5-
 Recoleccin de datos

ENTIDADES BANCARIAS

ANALISIS
CALIDAD Calidad, finalidad y forma FORMA DE
de recolectar Datos RECOLECCIN
Los Datos deben Ser:
Ciertos Consentimiento Informado
Adecuados Informar: finalidad, destino
FINALIDAD
Pertinentes posibilidad de cesin
No Excesivos
Consentimiento para el
(Finalidad) Acorde a la Ley tratamiento de datos.
Actualizados Informada al titular
Destruidos si dejaron Los datos recolectados Revisin de contratos y
de ser necesarios deben solicitudes y formas de
ser adecuados a las recoleccin de datos
finalidades.
-6-
 Consentimiento
Principio General:
El tratamiento de Datos Personales sin consentimiento es ilcito

Requisitos de licitud:
Libre
Expreso
Informado
Escrito o medio que lo equipare
Revocable

Excepciones:
Fuentes de acceso pblico irrestricto
Funciones propias de los poderes del Estado
Cumplimiento de una obligacin legal
Listado referidos solamente a nombre, domicilio, n de identificacin u otros datos meramente
identificatorios
Relacin contractual, cientfica o profesional
Operaciones de entidades financieras

-7-
 Consentimiento

Salvador, Claudio v. Citibank, CNac.Com- Sala

D, 22/11/2005)
La promesa de privacidad no observa las reglas
especficas dispuestas por la ley 25326 para el
tratamiento de los datos para marketing directo
Para ceder los datos para otro propsito debe obtener
su consentimiento porque de otro modo se transgrede
el principio de finalidad. Se debe mantener la
confidencialidad de los datos del actor, salvo los
requeridos por el BCRA en virtud de la normativa
aplicable (del dictamen del Fiscal de Cmara)

-8-
Tratamiento de Datos Personales

Operaciones y procedimientos sistemticos, electrnicos o no, que permitan la

recoleccin, conservacin, ordenacin, almacenamiento, modificacin,
relacionamiento, evaluacin, bloqueo, destruccin y en general el procesamiento
de Datos Personales, as como tambin su cesin a terceros a travs de
comunicaciones, consultas, interconexiones o transferencias.

1. Inscripcin en un registro de Banco de Datos

Principios bsicos 2. Dems principios previstos en la ley (calidad
de licitud del de los datos)
tratamiento 3. Que su finalidad no sea contraria a la leyes y
la moral pblica
4. Consentimiento libre, expreso e informado
5. Inters legtimo
Actividades
1. Recoleccin
principales de
2. Cesin
tratamiento
3. Transferencia Internacional

-9-
 Cesin
Concepto:
Toda comunicacin a terceros a travs de transferencias, consultas o interconexiones

Requisitos de licitud:
Inters legtimo de cedente y cesionario
Consentimiento previo, libre, expreso, escrito o medio que lo equipare
Informacin sobre finalidad de la cesin e identificacin del cesionario o elementos que permitan
identificarlo

Excepciones al consentimiento:
Dispuesta por Ley
Casos en que el consentimiento no es exigido
Entre dependencias de rganos del Estado en la medida del cumplimiento de sus competencias
Datos disociados

Rgimen especial de responsabilidad:

Responsabilidad solidaria conjunta de cedente y cesionario

- 10 -
 Datos sensibles

Dictmen DNPDP 60/04

El intercambio de informacin entre organismos
del Estado (Oficina Anticorrupcin y ANSES) de
datos debe realizarse en el marco de las
competencias especficas de cedente y cesionario
Si dichos datos son sensibles o informacin
confidencial o reservada los organismos debern
estar autorizados legalmente
Las bases de datos transmitidos debern estar
registradas

- 11 -
 Transferencia Internacional
nicamente a pases u organismos Internacionales o supranacionales con
nivel adecuado de proteccin

Requisitos de licitud:
Ordenamiento jurdico en materia de proteccin de datos Equiparables a la Normativa del pas
que da origen a la transferencia
Clusulas contractuales
Sistemas de autoregulacin

Excepciones:
Colaboracin judicial internacional
Intercambio de datos de carcter mdico, con motivo del tratamiento del afectado o investigacin
epidemiolgica previa disociacin
Transferencias bancarias o burstiles
En el marco de tratados Internacionales
Cooperacin Internacional entre Organismos de Inteligencia (crimen organizado, terrorismo y narcotrfico)

- 12 -
Registro Nacional de Proteccin de
Datos Personales

La DNDP es un ente regulador y su

responsabilidad primordial no es registrar
datos personales sino controlar archivos o
bases de empresas donde estn
almacenados dichos datos.
Uno de los recaudos en los que se hace
nfasis es en la seguridad de los datos
(como ser la existencia de suficientes
copias de resguardo, firewalls, etc.)

- 13 -
 Multas

La Disposicin DNPDP 7/2005 del 8 de noviembre 2005

Deroga la Disposicin DNPDP 1/2003
Aprueba la clasificacin de las infracciones
Efecta una gradacin de las sanciones
Infracciones leves (apercibimientos y multas de $ 1000 a $
3000
Infracciones graves (suspensin de uno a 30 das y multa de $
3001 a $ 50.000
Infracciones muy graves (suspensin de 31 a 365 das,
clausura o cancelacin del archivo, registro o banco de datos y
multa de $ 50001 a $ 300.000
Crea el Registro de Infractores

- 14 -
 Dao Moral

La Justicia Comercial est imponiendo

indemnizaciones por dao moral

Prada c/ Citibank (CNCom. Sala B, 27/08/02) -

Dao material $ 744,86 y moral $ 45.000.
Del Giovannino, Luis c/Banco del Buen Ayres
(CNCom. Sala B, 11/01/2001) Dao material $
6.000 y moral $ 40.000)

- 15 -
Marco de Responsabilidades de la Ley

ENTIDADES BANCARIAS

Esquema de
Responsabilidad
RESPONSABILIDAD RESPONSABILIDAD
PATRIMONIAL PENAL
RESPONSABILIDAD
EN CASCADA ADMINISTRATIVA Art. 117 bis del Cdigo Penal
Insercin de Datos Falsos
Responsable solidaria e Art. 157 bis del Cdigo Penal
ilimitadamente por daos Acceso ilegtimo a un banco
derivados de actos Multas de $ 1.000 a $ 300.000 de datos y revelacin de
propios o de terceros Cancelacin o Clausura del informacin secreta y
que, gracias a el, accedan Banco de datos protegida por Ley.
a la informacin - 16 -
 Seguridad de los Datos

ENTIDADES BANCARIAS

SEGURIDAD DE
LOS DATOS
Acceso interno Medidas de
Quin tiene seguridad de
acceso? los cesionarios

Medidas de Procedimientos
Seguridad de 3ros para archivo,
Procesadores modificacin o
destruccin
Seguridad perifrica

- 17 -
 reas Crticas

ENTIDADES BANCARIAS

reas Crticas

Seguridad Cesin de los

de los Datos Datos

Fuentes de Procesamiento de
de los Datos los datos por 3ros
Datos
Crediticios
- 18 -
 Seguridad de los datos
Principio General:
Se deben asegurar que los datos estn almacenados en forma segura

Requisitos de seguridad

Comunicacin BCRA A 4609 :

Requisitos Mnimos de Gestin, Implementacin y Control de los
Riesgos Relacionados con Tecnologa Informtica, Sistemas de
Informacin y Recursos Asociados para las Entidades Financieras
Entr en vigencia el 1 de Julio 2007

Disposicin ONTI 11. 2006

Normas de seguridad segn el tipo de establecimiento

- 19 -
 Bases datos publicidad

Actividades:
Recopilacin domicilios,
reparto de documentos,
publicidad
venta directa
otras actividades anlogas
Se pueden tratar datos
aptos para establecer perfiles determinados
o establecer hbitos de consumo
promocionales,
comerciales
publicitarios

- 20 -
 Jurisprudencia

Unin de Usuarios y Consumidores v. Citibank

CNCom. Sala E, 12/05/2006
La transpolacin de la informacin para ser
utilizada con fines publicitarios propios o de
terceros importara exceder la causa que ha
dado motivo a que la entidad cuente con esos
datos: el acuerdo celebrado con la entidad en
ocasin de contratar determinado producto

- 21 -
Pruebas significativas para
evaluar solvencia

Los datos que pueden tratarse deben ser

significativos para evaluar la solvencia econmico-
financiera de los afectados
durante los ltimos 5 aos
O 2 aos (obligacin extinguida), debindose hacer
constar dicho hecho
Las entidades financieras deben hacer:
anlisis adecuado situacin econmica y financiera
deudor
revisin peridica su situacin (condiciones objetivas y
subjetivas)
- 22 -
Pruebas significativas para
evaluar solvencia

Para apreciar la solvencia econmico-financiera

de una persona, conforme lo establecido en el art.
26 inc. 4 ley 25326, se tendr en cuenta toda la
informacin disponible desde el nacimiento de cada
obligacin hasta su extincin. En el cmputo de
cinco aos, stos se contarn a partir de la fecha de
la ltima informacin adversa archivada que revele
que dicha deuda era exigible... " (art. 26 ap. 3 del
decreto mencionado).

- 23 -
 Pruebas significativas para
evaluar solvencia
En el artculo 26, apartado 4 de la ley 25.326 se prev que
"slo se podrn archivar, registrar o ceder los datos personales
que sean significativos para evaluar la solvencia econmico
financiera de los afectados durante los ltimos cinco aos.
Dicho plazo se reducir a dos aos cuando el deudor cancele o
de otro modo extinga la obligacin, debindose hace constar
dicho hecho",
Su decreto reglamentario 1558/2001, dice:
"Slo se podrn archivar, registrar o ceder los datos personales
que sean significativos para evaluar la solvencia econmico-
financiera de los afectados durante los ltimos cinco aos..."
(art. 26 inc. 4 ley cit.)

- 24 -
 El llamado Derecho al olvido

Para parte de la doctrina jurisprudencia se ha

considerado que de este modo el legislador ha
consagrado el derecho al olvido de quienes registran o
registraron una deuda en una base de datos,
independientemente de su exigibilidad, fijando plazos
diferentes para uno u otro supuesto
Conf. en este sentido, CCYCFed, Sala 3, "Napoli Carlos
Alberto c/ Citibank N.A.", 3 11 05; esta Cmara, Sala III,
"Girella, Juan Jos c/ BCRA", 4 2 05 y "Gross, Rodolfo
Remigio", 7 2 05 entre muchos).

- 25 -
 Jurisprudencia

Ravina, Arturo c/ Organizacin Veraz (CNCiv. Sala

F, 6/2/02, JA 2002-II-437) Con nota de Guillermo F.
Peyrano)
No basta que los datos hayan sido veraces, sino que tambin
deben ser actuales. Para ello deben ser necesariamente
chequeados y verificados por Veraz debiendo
instrumentar las medidas necesarias para que la informacin
suministrada se ajuste a la realidad, o soportar sus
consecuencias, sin que sean los propios sujetos pasivos de la
informacin los que deban aportar los datos pertinentes

- 26 -
 Jurisprudencia

Dictmen DNPDP 61/05 23 de marzo 2005

1. El plazo de caducidad se aplica al servicio de informacin
crediticia y no a la fuente del dato, en este caso el Banco, quien
tiene la obligacin de brindar la informacin.
2. El plazo de 5 aos de informacin archivada por la empresa de
riesgo crediticio se computar a partir de la ltima informacin
difundida por fuente legtima (titular del dato, acreedor, fuentes de
acceso pblico, etc.) que revele que la deuda es exigible.
3. Para la reduccin del plazo a 2 aos el deudor debe acreditar ante
la empresa de riego crediticio que ha cancelado la deuda, sin
perjuicio que la empresa de riesgo deba suprimir el dato cuando
por otros medios tome conocimiento o tenga obligacin de conocer
sobre la cancelacin de la deuda (idem Dictmen 241/05 del
16/11/2005)
- 27 -
 Jurisprudencia

Organizacin Veraz v. E.N. PEN s/amparo

CSJN, 06/03/07
Se rechaza la inconstitucionalidad del art. 53
de la ley 25065 que prohbe a las entidades
emisoras de tarjetas de crdito, bancarias o
crediticias a las bases de datos de antecedentes
financieros personales cuando el titular no
haya cancelado sus obligacionessin perjuicio
de informar al BCRA
Tal prohibicin no fue dejada sin efecto en
forma implcita por la ley 25326..

- 28 -
 Jurisprudencia

El Procurador del Tesoro ha dictaminado que

La interpretacin que cabe asignar al artculo 26 de la Ley
N 25.326 no requiere, en modo alguno, la previa
indagacin acerca de la exigibilidad de la deuda de que se
trate.
En este sentido, el inciso 4 de dicho artculo establece un
plazo de cinco aos para el archivo, el registro o la cesin de
los datos personales que sean significativos para evaluar la
solvencia econmico financiera de los afectados y de dos
aos para el supuesto de haber sido cancelada la deuda sin
requerir, a tales fines, una evaluacin previa acerca de la
exigibilidad o no del crdito en cuestin

- 29 -
 Jurisprudencia

En consecuencia, a efectos de establecer si un dato debe

ser informado por una entidad bancaria a la Central de
Deudores del Sistema Financiero, administrada por el
Banco Central de la Repblica Argentina, slo corresponde
atender a la fecha en que la deuda se torn exigible y, a
partir de all, computar los cinco o dos aos que establece
el artculo 26, inciso 4, de la Ley N 25.326, segn
corresponda
(Dictamen N 338/06, 20 de noviembre de 2006. Expte.
N 144.241/04. Ministerio de Justicia y Derechos
Humanos. (Dictmenes 259:197)

- 30 -
Aplicacin razonable del Derecho
al olvido
La Cmara Federal Contencioso Administrativo ha dado una
nueva interpretacin al modo de contar los cinco aos de
caducidad de la informacin, resolviendo que :
"Si bien los afectados tienen derecho a que se suprima por
caducidad la vieja informacin asentada en la base de datos
en su oportunidad por los acreedores interesados, ese
derecho no puede pretenderse cuando los acreedores han
mantenido actualizados los datos de sus crditos, la
actualizacin de los datos da lugar a un nuevo asiento y por
lo tanto a un nuevo plazo de caducidad; de otra manera no se
cumplira con la previsin del decreto 1558/2001, en el
sentido de que se debe incluir en los registros o bases de
datos toda informacin relevante para evaluar la solvencia
patrimonial del titular de los datos...
- 31 -
Aplicacin razonable del Derecho
al olvido

. podra decirse que tal interpretacin restringe en

cierto modo el "derecho al olvido pues lo hace
depender de la diligencia del acreedor en mantener la
informacin permanentemente actualizada, lo cierto es
que lo que la norma legal dispone no resulta una
reglamentacin irrazonable, ya que si bien se intenta
proteger el derecho las personas, ello debe ser
compatibilizado con el derecho de los acreedores o
potenciales acreedores de tener acceso a aquellos datos
que permitan evaluar la solvencia econmica de las
personas.

- 32 -
Aplicacin razonable del Derecho
al olvido

Adems, no se est condenando a los deudores a que

sus datos permanezcan a perpetuidad en diferentes
registros, pues cuando las deudas dejen de ser exigibles
(por prescripcin o cualquier otro modo de extincin)
comenzar a regir el plazo de dos aos (que se computa
desde el momento preciso en que se extingue la
obligacin); mientras ello no ocurra, si el acreedor
mantiene actualizados los datos, el plazo de caducidad
no operar
(C. Nac. Cont. Adm. Fed., sala 5 3/02/2007, Benvenuto, Julio
J. v. Banco Central de la Repblica Argentina /Base de datos
BBVA Banco Francs S.A. Lexis N 35010316)
(C. Nac. Cont. Adm. Fed., Sala 4 Causa N 9.175/2005. Diez,
Mara c/ BCRA Base de Datos (Citibank) s/ habeas data)

- 33 -
Aplicacin razonable del Derecho
al olvido

La Corte ha resuelto recientemente en un caso en el que una

parte solicitaba que se aclare que el dato denunciado por el
Banco se refera a un caso de litigio donde la actora cuestiona
penalmente la existencia del crdito que motiva la anotacin
el dato incompleto o inexacto que ha dado lugar a estas
actuaciones ha sido proporcionado por tal entidad
bancaria y se refiere a una supuesta deuda originada en
una operacin crediticia que ha sido cuestionada por la
actora. Es verdad, como ya se seal, que no corresponde
dilucidar en estas actuaciones si ella reviste,
efectivamente, la calidad de deudora o si se perpetr una
estafa en su perjuicio.

- 34 -
Aplicacin razonable del Derecho
al olvido

Pero es evidente que la ampliacin en los datos

referentes a la actora -para reflejar el estado de
litigiosidad del crdito- necesariamente deben
hacer referencia a su situacin con ese banco, en
la medida en que ste es el supuesto acreedor y ha
sido su relacin comercial con la actora la que dio
lugar al registro de la informacin. (CSJN Di
Nunzio, Daniel F. c/ The First National Bank of
Boston y otros s/ hbeas data 21-11-2006

- 35 -
Aplicacin razonable del Derecho
al olvido

Es regla vigente que, cuando la anotacin de un dato

cierto pero parcial pueda causar, de modo previsible,
una falsa representacin, la misma debe ser evitada
incluyendo hechos relevantes directamente
relacionados
Mayor informacin significa mayor transparencia y
menos conflictos, lo cual en el caso es particularmente
claro (CSJN, Di Nunzio, voto del Dr. Ricardo Luis
Lorenzetti)

- 36 -
Aplicacin razonable del Derecho
al olvido
Conclusin:
Existen no slo los datos verdaderos o falsos ms all de
que estn caducos o no- sino tambin los datos controvertidos
cuando hay un reclamo judicial en el medio.
Omitir una parte de la informacin equivale a suministrar
informacin inexacta, vulnerando el valor verdad que es el
objeto de tutela de la accin de habeas data (del dictmen del
Fiscal de Cmara en autos Di Nunzio)
As como existira un derecho a aclarar el dato personal
controvertido (Palazzi) y hasta se habla de un habeas data
aditivo, no parece justa la aplicacin sin ms de la letra del art.
26 LPDP olvidando por ejemplo, a los deudores
consuetudinarios lo que genera una distorsin de la realidad
crediticia.

- 37 -
Aplicacin razonable del Derecho
al olvido
Conclusin:
Preocupa la eventualidad de que acabemos comprometiendo
la existencia de un sistema de informacin indispensable
para discriminar entre buenos y malos pagadores, o poniendo
a una persona modesta, con un ingreso mnimo pero con una
muy buena trayectoria en el pago de sus obligaciones, en las
mismas condiciones que a alguien de mayores ingresos pero
un mal deudor reiterado.
Se debe diferenciar entre la funcin docente de la ley de
resguardar la intimidad y no informar como deuda lo que en
el plazo indicado no se acredita como pagado y la funcin
saneante que debera contemplar el caso de los que no
figuren o por haber caducado la informacin o porque han
abonado con mora una y otra vez-

- 38 -
Aplicacin razonable del Derecho
al olvido
Conclusin:
A tal fin corresponde analizar la forma de la
implementacin ms correcta como podra ser la
creacin de una base de datos nueva con los debidos
resguardos - donde se almacenen y acumulen los
incumplimientos y se active su consulta bajo ciertos
parmetros que la reglamentacin indicar.
No informar los datos por considerarse caducos no
implica por ello que deban ser olvidados y mucho
menos no tenidos en cuenta para que la informacin
que se cuente sea completa.
Como dijo el Dr. Lorenzetti en el fallo Di Nunzio
mayor informacin significa mayor transparencia y
menos conflictos.
- 39 -
 Muchas Gracias

Horacio R. Granero
hrg@allendebrea.com.ar

- 40 -