- 1 -

XXVI Congreso Latinoamericano de Derecho Bancario XXVI Congreso Latinoamericano de Derecho Bancario COLADECOLADE

3 de septiembre 20073 de septiembre 2007

por el Dr. Horacio R. Granero

Socio del Estudio Allende & Brea Director de la Carrera de Posgrado de

Abogado Especializado en Derecho de la Alta Tecnología (UCA)

El derecho a la privacidadEl derecho a la privacidadImplicancias de la Protección de Datos Implicancias de la Protección de Datos

en la información crediticiaen la información crediticia

Necesidad de una conciliación normativaNecesidad de una conciliación normativa

- 2 -

• La responsabilidad civil en la actualidad – La culpa como único factor de atribución en el

Código Civil.– El avance técnico y su influencia en la

responsabilidad civil– Teoría del riesgo y sus aplicaciones: Accidentes

de trabajo, daños aéreos Responsabilidad objetiva.

– La tecnología y la teoría de la “actividad riesgosa”

Los daños en la era tecnológica

- 3 -

• Protege el daño que se puede causar por una violación del deber de seguridad que tiene todo gestor de una base de datos personales.

• Es una obligación de resultado, consistente en garantizar que los datos personales no serán difundidos ni empleados para un fin distinto al tenido en cuenta al ser ingresados al Banco de Datos. – “Se considera que el tratamiento y /o difusión de datos de

terceros puede ser considerado una cosa riesgosa”(Alessi, Ezio v/ Organización Veraz s/ habeas data, Cciv. Rosario, 8/8/2001)

Obligación legal de Protección de Datos Personales

- 4 -

• Información de cualquier tipo referida a – personas físicas – o de existencia ideal – determinadas o determinables.

• Datos personales incluyen:– Texto, imagen ó sonido

Datos personales

- 5 -

Objeto de la Protección de Datos

Derechos en conflictoante nuevas tecnologías

Derecho a la Información(transmitir, captar, manejar,registrar, conservar, comunicardatos personales)

Derecho a la intimidad, el honor, la identidad y de todo otro interés esencial para la vida del individuo

Protección

Nuevos Derechos humanos

Control de la Información personal Autodeterminación Informativa (facultad de cada individuo de decidir cuando y como esta dispuesto a difundir su información

personal)

Reglamentación de la actividadde los Bancos de Datos

Acción de Habeas Data

Normativa de Protección de DatosArgentina: Art.43 de la Constitución Nacional Ley Nº 25.326 Decreto 1558/2001Unión Europea: Directiva 95/46

Instrumentación legal

- 6 -

ENTIDADES BANCARIAS

ANALISISCalidad, finalidad y forma

de recolectar DatosCALIDAD FORMA DE

RECOLECCIÓN

FINALIDAD

Acorde a la LeyInformada al titular

Los datos recolectados deben

ser adecuados a las finalidades.

•Consentimiento Informado Informar: finalidad, destino

posibilidad de cesión

•Consentimiento para el tratamiento de datos.

•Revisión de contratos y solicitudes y formas de

recolección de datos

Los Datos deben Ser:•Ciertos•Adecuados•Pertinentes•No Excesivos (Finalidad)

•Actualizados•Destruidos si dejaron de ser necesarios

Recolección de datos

- 7 -

Consentimiento

Principio General:El tratamiento de Datos Personales sin consentimiento es ilícito

Requisitos de licitud:

•Libre

•Expreso

•Informado

•Escrito o medio que lo equipare

•Revocable

Excepciones:

•Fuentes de acceso público irrestricto

•Funciones propias de los poderes del Estado

•Cumplimiento de una obligación legal

•Listado referidos solamente a nombre, domicilio, nº de identificación u otros datos meramente identificatorios

•Relación contractual, científica o profesional

•Operaciones de entidades financieras

- 8 -

• “Salvador, Claudio v. Citibank”, CNac.Com- Sala D, 22/11/2005)– La promesa de privacidad no observa las reglas

específicas dispuestas por la ley 25326 para el tratamiento de los datos para marketing directo…

– Para ceder los datos para otro propósito debe obtener su consentimiento porque de otro modo se transgrede el principio de finalidad. Se debe mantener la confidencialidad de los datos del actor, salvo los requeridos por el BCRA en virtud de la normativa aplicable…” (del dictamen del Fiscal de Cámara)

Consentimiento

- 9 -

Tratamiento de Datos Personales

Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y en general el procesamiento de Datos Personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.

Principios básicosde licitud deltratamiento

1. Inscripción en un registro de Banco de Datos2. Demás principios previstos en la ley (calidad

de los datos)3. Que su finalidad no sea contraria a la leyes y

la moral pública4. Consentimiento libre, expreso e informado5. Interés legítimo

Actividades principales de tratamiento

1. Recolección2. Cesión3. Transferencia Internacional

- 10 -

Cesión

Concepto: Toda comunicación a terceros a través de transferencias, consultas o interconexiones

Requisitos de licitud:

•Interés legítimo de cedente y cesionario

•Consentimiento previo, libre, expreso, escrito o medio que lo equipare

•Información sobre finalidad de la cesión e identificación del cesionario o elementos que permitan identificarlo

Excepciones al consentimiento:

•Dispuesta por Ley

•Casos en que el consentimiento no es exigido

•Entre dependencias de Órganos del Estado en la medida del cumplimiento de sus competencias

•Datos disociados

Régimen especial de responsabilidad:

•Responsabilidad solidaria conjunta de cedente y cesionario

- 11 -

• Dictámen DNPDP 60/04 – “El intercambio de información entre organismos

del Estado (Oficina Anticorrupción y ANSES) de datos debe realizarse en el marco de las competencias específicas de cedente y cesionario”

– “Si dichos datos son sensibles o información confidencial o reservada los organismos deberán estar autorizados legalmente”

– “Las bases de datos transmitidos deberán estar registradas”

Datos sensibles

- 12 -

Transferencia Internacional

Únicamente a países u organismos Internacionales o supranacionales con

nivel adecuado de protección

Requisitos de licitud:

•Ordenamiento jurídico en materia de protección de datos

•Cláusulas contractuales

•Sistemas de autoregulación

Equiparables a la Normativa del país que da origen a la transferencia

Excepciones:

•Colaboración judicial internacional

•Intercambio de datos de carácter médico, con motivo del tratamiento del afectado o investigación epidemiológica previa disociación

•Transferencias bancarias o bursátiles

•En el marco de tratados Internacionales

•Cooperación Internacional entre Organismos de Inteligencia (crimen organizado, terrorismo y narcotráfico)

- 13 -

• La DNDP es un “ente regulador” y su responsabilidad primordial no es registrar datos personales sino controlar archivos o bases de empresas donde estén almacenados dichos datos.

• Uno de los recaudos en los que se hace énfasis es en la seguridad de los datos (como ser la existencia de suficientes copias de resguardo, firewalls, etc.)

Registro Nacional de Protección de Datos Personales

- 14 -

• La Disposición DNPDP 7/2005 del 8 de noviembre 2005

– Deroga la Disposición DNPDP 1/2003

– Aprueba la “clasificación de las infracciones”

– Efectúa una gradación de las sanciones”

» Infracciones leves (apercibimientos y multas de $ 1000 a $ 3000

» Infracciones graves (suspensión de uno a 30 días y multa de $ 3001 a $ 50.000

» Infracciones muy graves (suspensión de 31 a 365 días, clausura o cancelación del archivo, registro o banco de datos y multa de $ 50001 a $ 300.000

– Crea el Registro de Infractores

Multas

- 15 -

– La Justicia Comercial está imponiendo indemnizaciones por daño moral

• “Prada c/ Citibank” (CNCom. Sala B, 27/08/02) -Daño material $ 744,86 y moral $ 45.000.

• “Del Giovannino, Luis c/Banco del Buen Ayres” (CNCom. Sala B, 11/01/2001) Daño material $ 6.000 y moral $ 40.000)

Daño Moral

- 16 -

ENTIDADES BANCARIAS

Esquema de Responsabilidad

RESPONSABILIDADPATRIMONIAL

RESPONSABILIDADPENAL

RESPONSABILIDAD ADMINISTRATIVA EN CASCADA

Multas de $ 1.000 a $ 300.000Cancelación o Clausura del

Banco de datos

Art. 117 bis del Código PenalInserción de Datos Falsos

Art. 157 bis del Código PenalAcceso ilegítimo a un banco

de datos y revelación de información secreta y

protegida por Ley.

Responsable solidaria e ilimitadamente por daños

derivados de actos propios o de terceros

que, gracias a el, accedan a la información

Marco de Responsabilidades de la Ley

- 17 -

SEGURIDAD DE LOS DATOS

ENTIDADES BANCARIAS

Acceso interno¿Quién tiene

acceso?

Medidas de seguridad de

los cesionarios

Procedimientos para archivo,

modificación o destrucción

Seguridad periférica

Medidas de Seguridad de 3ros

Procesadores

Seguridad de los Datos

- 18 -

ENTIDADES BANCARIAS

Áreas Críticas

Seguridad de los Datos

Fuentes dede los Datos

Cesión de los Datos

Datos Crediticios

Procesamiento de los datos por 3ros

Áreas Críticas

- 19 -

Seguridad de los datos

Principio General:Se deben asegurar que los datos están almacenados en forma segura

Requisitos de seguridad

Comunicación BCRA “A” 4609 :

•Requisitos Mínimos de Gestión, Implementación y Control de los Riesgos Relacionados con Tecnología Informática, Sistemas de Información y Recursos Asociados para las Entidades Financieras

•Entró en vigencia el 1º de Julio 2007

• Disposición ONTI 11. 2006

• Normas de seguridad según el tipo de establecimiento

- 20 -

• Actividades:– Recopilación domicilios, – reparto de documentos, – publicidad – venta directa – otras actividades análogas  

• Se pueden tratar datos – aptos para establecer perfiles determinados– o establecer hábitos de consumo– promocionales, – comerciales – publicitarios

Bases datos publicidad

- 21 -

• “Unión de Usuarios y Consumidores v. Citibank” CNCom. Sala E, 12/05/2006– “La transpolación de la información para ser

utilizada con fines publicitarios propios o de terceros importaría exceder la causa que ha dado motivo a que la entidad cuente con esos datos: el acuerdo celebrado con la entidad en ocasión de contratar determinado producto”

Jurisprudencia

- 22 -

• Los datos que pueden tratarse deben ser significativos para evaluar la solvencia económico-financiera de los afectados – durante los últimos 5 años– O 2 años (obligación extinguida), debiéndose hacer

constar dicho hecho

• Las entidades financieras deben hacer:– análisis adecuado situación económica y financiera

deudor – revisión periódica su situación (condiciones objetivas y

subjetivas)

“Pruebas significativas para

evaluar solvencia”

- 23 -

– “Para apreciar la solvencia económico-financiera de una persona, conforme lo establecido en el art. 26 inc. 4 ley 25326, se tendrá en cuenta toda la información disponible desde el nacimiento de cada obligación hasta su extinción. En el cómputo de cinco años, éstos se contarán a partir de la fecha de la última información adversa archivada que revele que dicha deuda era exigible... " (art. 26 ap. 3 del decreto mencionado).

“Pruebas significativas para

evaluar solvencia”

- 24 -

• En el artículo 26, apartado 4 de la ley 25.326 se prevé que– "sólo se podrán archivar, registrar o ceder los datos personales

que sean significativos para evaluar la solvencia económico financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo extinga la obligación, debiéndose hace constar dicho hecho",

• Su decreto reglamentario 1558/2001, dice: – "Sólo se podrán archivar, registrar o ceder los datos personales

que sean significativos para evaluar la solvencia económico-financiera de los afectados durante los últimos cinco años..." (art. 26 inc. 4 ley cit.)

“Pruebas significativas para

evaluar solvencia”

- 25 -

• Para parte de la doctrina jurisprudencia se ha considerado que de este modo el legislador ha consagrado el derecho al olvido de quienes registran o registraron una deuda en una base de datos, independientemente de su exigibilidad, fijando plazos diferentes para uno u otro supuesto– Conf. en este sentido, CCYCFed, Sala 3, "Napoli Carlos

Alberto c/ Citibank N.A.", 3 11 05; esta Cámara, Sala III, "Girella, Juan José c/ BCRA", 4 2 05 y "Gross, Rodolfo Remigio", 7 2 05 entre muchos).

El llamado “Derecho al olvido”

- 26 -

“Ravina, Arturo c/ Organización Veraz” (CNCiv. Sala F, 6/2/02, JA 2002-II-437) Con nota de Guillermo F. Peyrano)

“No basta que los datos hayan sido veraces, sino que también deben ser actuales. “Para ello deben ser necesariamente chequeados y verificados por Veraz… debiendo instrumentar las medidas necesarias para que la información suministrada se ajuste a la realidad, o soportar sus consecuencias, sin que sean los propios sujetos pasivos de la información los que deban aportar los datos pertinentes…”

Jurisprudencia

- 27 -

Dictámen DNPDP 61/05 23 de marzo 20051. “El plazo de caducidad se aplica al servicio de información

crediticia y no a la fuente del dato, en este caso el Banco, quien tiene la obligación de brindar la información.

2. El plazo de 5 años de información archivada por la empresa de riesgo crediticio se computará a partir de la última información difundida por fuente legítima (titular del dato, acreedor, fuentes de acceso público, etc.) que revele que la deuda es exigible.

3. Para la reducción del plazo a 2 años el deudor debe acreditar ante la empresa de riego crediticio que ha cancelado la deuda, sin perjuicio que la empresa de riesgo deba suprimir el dato cuando por otros medios tome conocimiento o tenga obligación de conocer sobre la cancelación de la deuda” (idem Dictámen 241/05 del 16/11/2005)

Jurisprudencia

- 28 -

• “Organización Veraz v. E.N. PEN s/amparo” CSJN, 06/03/07– “Se rechaza la inconstitucionalidad del art. 53

de la ley 25065 que prohíbe a las entidades emisoras de tarjetas de crédito, bancarias o crediticias a las bases de datos de antecedentes financieros personales… cuando el titular no haya cancelado sus obligaciones…sin perjuicio de informar al BCRA”

– “Tal prohibición no fue dejada sin efecto en forma implícita por la ley 25326..”

Jurisprudencia

- 29 -

• El Procurador del Tesoro ha dictaminado que – “La interpretación que cabe asignar al artículo 26 de la Ley

N° 25.326 no requiere, en modo alguno, la previa indagación acerca de la exigibilidad de la deuda de que se trate.

– “En este sentido, el inciso 4° de dicho artículo establece un plazo de cinco años para el archivo, el registro o la cesión de los datos personales que sean significativos para evaluar la solvencia económico financiera de los afectados –y de dos años para el supuesto de haber sido cancelada la deuda sin requerir, a tales fines, una evaluación previa acerca de la exigibilidad o no del crédito en cuestión”

Jurisprudencia

- 30 -

• “En consecuencia, a efectos de establecer si un dato debe ser informado por una entidad bancaria a la Central de Deudores del Sistema Financiero, administrada por el Banco Central de la República Argentina, sólo corresponde atender a la fecha en que la deuda se tornó exigible y, a partir de allí, computar los cinco o dos años que establece el artículo 26, inciso 4°, de la Ley N° 25.326, según corresponda”

– (Dictamen Nº 338/06, 20 de noviembre de 2006. Expte. Nº 144.241/04. Ministerio de Justicia y Derechos Humanos. (Dictámenes 259:197)

Jurisprudencia

- 31 -

– La Cámara Federal Contencioso Administrativo ha dado una nueva interpretación al modo de contar los cinco años de caducidad de la información, resolviendo que :

• "Si bien los afectados tienen derecho a que se suprima por caducidad la vieja información asentada en la base de datos en su oportunidad por los acreedores interesados, ese derecho no puede pretenderse cuando los acreedores han mantenido actualizados los datos de sus créditos, la actualización de los datos da lugar a un nuevo asiento y por lo tanto a un nuevo plazo de caducidad; de otra manera no se cumpliría con la previsión del decreto 1558/2001, en el sentido de que se debe incluir en los registros o bases de datos toda información relevante para evaluar la solvencia patrimonial del titular de los datos...”

Aplicación razonable del Derecho al olvido

- 32 -

– “. podría decirse que tal interpretación restringe en cierto modo el "derecho al olvido“ … “pues lo hace depender de la diligencia del acreedor en mantener la información permanentemente actualizada, lo cierto es que lo que la norma legal dispone no resulta una reglamentación irrazonable, ya que si bien se intenta proteger el derecho las personas, ello debe ser compatibilizado con el derecho de los acreedores o potenciales acreedores de tener acceso a aquellos datos que permitan evaluar la solvencia económica de las personas.

Aplicación razonable del Derecho al olvido

- 33 -

– “Además, no se está condenando a los deudores a que sus datos permanezcan a perpetuidad en diferentes registros, pues cuando las deudas dejen de ser exigibles (por prescripción o cualquier otro modo de extinción) comenzará a regir el plazo de dos años (que se computa desde el momento preciso en que se extingue la obligación); mientras ello no ocurra, si el acreedor mantiene actualizados los datos, el plazo de caducidad no operará ”

• (C. Nac. Cont. Adm. Fed.,  sala 5ª 3/02/2007, “Benvenuto, Julio J. v. Banco Central de la República Argentina /Base de datos BBVA Banco Francés S.A”. Lexis Nº 35010316)

• (C. Nac. Cont. Adm. Fed., Sala 4ª Causa N° 9.175/2005. “Diez, María c/ BCRA Base de Datos (Citibank) s/ habeas data”)

Aplicación razonable del Derecho al olvido

- 34 -

– La Corte ha resuelto recientemente en un caso en el que una parte solicitaba que se aclare que el dato denunciado por el Banco se refería a un caso de litigio donde la actora cuestiona penalmente la existencia del crédito que motiva la anotación

• “el dato incompleto o inexacto que ha dado lugar a estas actuaciones ha sido proporcionado por tal entidad bancaria y se refiere a una supuesta deuda originada en una operación crediticia que ha sido cuestionada por la actora. Es verdad, como ya se señaló, que no corresponde dilucidar en estas actuaciones si ella reviste, efectivamente, la calidad de deudora o si se perpetró una estafa en su perjuicio.

Aplicación razonable del Derecho al olvido

- 35 -

• Pero es evidente que la ampliación en los datos referentes a la actora -para reflejar el estado de litigiosidad del crédito- necesariamente deben hacer referencia a su situación con ese banco, en la medida en que éste es el supuesto acreedor y ha sido su relación comercial con la actora la que dio lugar al registro de la información.” (CSJN Di Nunzio, Daniel F. c/ The First National Bank of Boston y otros s/ hábeas data 21-11-2006

Aplicación razonable del Derecho al olvido

- 36 -

– “Es regla vigente que, cuando la anotación de un dato cierto pero parcial pueda causar, de modo previsible, una falsa representación, la misma debe ser evitada incluyendo hechos relevantes directamente relacionados”…

– “Mayor información significa mayor transparencia y menos conflictos, lo cual en el caso es particularmente claro” (CSJN, Di Nunzio, voto del Dr. Ricardo Luis Lorenzetti)

Aplicación razonable del Derecho al olvido

- 37 -

– Conclusión:• Existen no sólo los datos “verdaderos” o “falsos” –más allá de

que estén caducos o no- sino también los “datos controvertidos” cuando hay un reclamo judicial en el medio.

• “Omitir una parte de la información equivale a suministrar información inexacta, vulnerando el valor verdad que es el objeto de tutela de la acción de habeas data” (del dictámen del Fiscal de Cámara en autos Di Nunzio)

• Así como existiría un “derecho a aclarar el dato personal controvertido” (Palazzi) y hasta se habla de un habeas data aditivo, no parece justa la aplicación sin más de la letra del art. 26 LPDP “olvidando” por ejemplo, a los deudores consuetudinarios lo que genera una distorsión de la realidad crediticia.

Aplicación razonable del Derecho al olvido

- 38 -

– Conclusión:• Preocupa la eventualidad de que acabemos comprometiendo

la existencia de un sistema de información indispensable para discriminar entre buenos y malos pagadores, o poniendo a una persona modesta, con un ingreso mínimo pero con una muy buena trayectoria en el pago de sus obligaciones, en las mismas condiciones que a alguien de mayores ingresos pero un mal deudor reiterado.

• Se debe diferenciar entre la función docente de la ley de resguardar la intimidad y no informar como deuda lo que en el plazo indicado no se acredita como pagado y la función saneante que debería contemplar el caso de los que no figuren – o por haber caducado la información o porque han abonado con mora una y otra vez-

Aplicación razonable del Derecho al olvido

- 39 -

– Conclusión:• A tal fin corresponde analizar la forma de la

implementación más correcta como podría ser la creación de una base de datos nueva – con los debidos resguardos - donde se “almacenen” y “acumulen” los incumplimientos y se active su consulta bajo ciertos parámetros que la reglamentación indicará.

• No informar los datos por considerarse caducos no implica por ello que deban ser olvidados y mucho menos no tenidos en cuenta para que la información que se cuente sea completa.

• Como dijo el Dr. Lorenzetti en el fallo Di Nunzio “mayor información significa mayor transparencia y menos conflictos”.

Aplicación razonable del Derecho al olvido

- 40 -

Horacio R. Granero

hrg@allendebrea.com.ar

Muchas Gracias