EL estado y los datos personales

La cesión de las bases de datos de la ANSES a la secretaría de comunicaciones es un nuevo ejemplo de los malos manejos que, desde hace años, el estado ha venido haciendo de los datos personales de sus ciudadanos.

La forma en que el Estado Nacional trata los datos personales de sus ciudadanos ha sido analizada por ADC en su informe “El Estado Recolector” (Setiembre de 2014), en el que pusimos en evidencia dos debilidades estructurales de la ley de protección de datos personales. Por un lado, un órgano de control débil y dependiente del poder ejecutivo y, por el otro lado, una excesiva permisibilidad hacia el Estado en relación al almacenamiento, tratamiento y cesión de los datos personales.

El pasado mes de junio, llevamos nuestra preocupación en relación al manejo que el Estado hace de los datos personales de sus ciudadanos ante la Comisión de Derechos Humanos de la Organización de las Naciones Unidas (ver aquí); e incluso hemos promovido mesas de debate para analizar estos aspectos preocupantes (ver aquí).

En un nuevo ejemplo de lo que hemos venido denunciando, la resolución dictada el pasado lunes por la Jefatura de Gabinete dispuso que la ANSES comparta sus bases de datos (nombre y apellido, DNI, CUIT o CUIL, domicilio, teléfonos, correo electrónico, fecha de nacimiento, estado civil y estudios) con la Secretaría de Comunicación Pública para ayudar a ésta última a mejorar sus estrategias de comunicación. El objetivo que fundamenta el convenio firmado señala la necesidad de “mantener informada a la población” e “identificar y analizar las problemáticas o temáticas de interés en cada localidad del país” para poder así “incorporar la diversidad federal en la comunicación pública”.

La decisión ha causado una gran polémica debido a posibles incongruencias y desajustes con la normativa vigente en nuestro país. A los fines de analizar la legalidad de la resolución, debemos repasar los estándares jurídicos aplicables a estos supuestos.
La ley de protección de datos personales ha dotado de un conjunto de derechos y garantías a los individuos para evitar manejos abusivos por parte de terceros al momento de hacer operaciones de tratamiento con sus datos personales. Este marco jurídico –derivado del art. 43 de la Constitución, que otorgó rango constitucional al derecho a la protección de datos personales- convirtió a Argentina en uno de los países con mayor nivel de protección de datos de la región. Este hecho fue reconocido por la Unión Europea que, en el año 2003, otorgó a nuestro país el estatus de “país con nivel adecuado de protección de datos personales”.
Entre los varios principios establecidos por la legislación figuran dos que son centrales para el buen ejercicio de la protección de datos de las personas: el primero es el principio del consentimiento, que establece la ilicitud de los tratamientos de datos que no cuenten con el consentimiento libre, expreso e informado de su titular (art. 5.1). Este requisito también se aplica cuando se trata de operaciones de cesión de datos (art. 11.1). Sin embargo, este conjunto de garantías adolece de una gran debilidad: su no aplicabilidad a las actividades estatales.
En efecto, entre las excepciones a la regla del consentimiento, se encuentra el supuesto de que la cesión de datos se realice entre “dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias” (art. 11.3.C). La amplitud de los términos utilizados en la redacción de la disposición ha permitido interpretaciones que otorgan un amplio margen de discreción para la adopción de medidas como la tomada por la Jefatura de Gabinete.
No obstante, un análisis que enfoque de manera integral el sistema de protección de datos personales de nuestro país y lo vincule con la defensa y resguardo de otros derechos fundamentales debe tener en cuenta la existencia de otros principios que pueden servir de límites al accionar del Estado. En este sentido, si bien el Estado está eximido de cumplir con el principio del consentimiento, todavía debe respetar el principio de finalidad, que establece que los datos recolectados “no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención” (art. 4.3).
Así, resulta de dudosa justificación utilizar datos que fueron recogidos con la finalidad de ayudar a un buen funcionamiento del sistema de seguridad social, para actividades de comunicación de todo el accionar gubernamental. Por otro lado, debe evaluarse si la cesión no puede facilitar la futura realización de conductas que puedan poner en riesgo la salvaguarda de otros derechos constitucionales (como el derecho a la privacidad o a la intimidad, entre otros).
En cualquier caso, la noticia debe servir para promover un debate sobre una reforma de la ley de protección de datos personales, que procure solucionar los defectos presentes en la actual legislación. En esa necesaria discusión, debería figurar como prioridad la creación de una autoridad de aplicación con mayores garantías de independencia funcional y autarquía financiera; la actualización del marco protectorio a la luz de los estándares internacionales de derechos humanos  y de la aparición del fenómeno digital; y el establecimiento de límites más claros y precisos para las capacidades de almacenamiento, tratamiento y cesión de datos por parte del Estado.