El Anteproyecto de ley que estamos comentando, que a nuestro juicio debería denominarse “Ley de Protección de Derechos frente al Tratamiento de Datos Personales”, sería aplicable a más situaciones que la actual Ley 19.628. ¿Por qué razón?
1. Las cosas son lo que son y no como se denominan… ¿Pero si podemos lograr que correspondan?
Bien lo saben mis alumnos –al menos, eso espero-, las leyes de protección de datos personales no se dictan para proteger datos. ¿Cómo es eso?
Estas leyes garantizan derechos, no datos. Para ello, regulan la forma en que se utilizan (tratan) los datos, porque ahí se encuentra la potencial amenaza de recibir intromisiones en nuestra vida privada, sufrir discriminaciones arbitrarias, ataques en nuestra reputación o presiones indebidas para el libre ejercicio de nuestras libertades.
Por esa razón, nos parece apropiado cambiar el nombre del proyecto y denominarlo como “Ley de Protección de Derechos frente al Tratamiento de Datos Personales”. Me parece que así realmente las cosas serían lo que son y no como ahora ocurre con la Ley 19.628, mal llamada de Protección de la Vida Privada.
2. ¿Un anteproyecto con mayor aplicación que la Ley actual?
El Anteproyecto establece:
“La presente ley se aplicará al tratamiento de los datos personales consten o no en bases de datos, independientemente del medio o soporte en que se encuentren contenidos, si son manuales o de otro tipo, o el tratamiento es realizado por los órganos del Estado, privados o personas naturales”.
Luego de una lectura rápida pareciera que el ámbito de aplicación propuesto es muy parecido al que hoy existe con la Ley 19.628. Claro, el Anteproyecto se centra en el tratamiento de los datos, siendo irrelevante el medio o soporte que los contiene. Además, ese tratamiento puede ser automatizado o manual, y puede ser realizado por un órgano del Estado o por una persona natural o jurídica particular. Es decir, igual que en la Ley 19.628.
Sin embargo, leyendo con más detención encontramos una novedad muy relevante y, a nuestro juicio, positiva, aunque, eso sí, exige un replanteamiento de otros artículos de este sistema jurídico de protección de datos.
Bajo el Anteproyecto se daría una cobertura mayor a la que hoy existe. Actualmente, el ámbito de aplicación de la Ley 19.628 se circunscribe exclusivamente al tratamiento realizado en registros o bancos de datos, sean automatizados o no. Dicho de otro modo, no regula los datos personales, sino la utilización que se haga de ellos en una base de datos.
A partir de esto, si los datos no constan en una base de datos, sino en archivos aislados, no procede aplicar la Ley 19.628. Por ejemplo, en caso de fotografías, videos, correos electrónicos u otro tipo de archivos que no formen parte de un conjunto organizado de datos.
Se podría pensar que con ello, actualmente no estaríamos protegidos si se mal utiliza esa información personal, pero que no integra una base de datos. Pero no es así. En ese caso, los derechos afectados por acciones arbitrarias o ilegales sobre esos datos que constan en documentos aislados, no se garantizan por el habeas data de la Ley 19.628, sino que se tutelan a través del recurso de protección. Por lo tanto, creemos que incluso se protegen mejor que aquellos que constan en bancos de datos garantizados por la Ley 19.628.
¿Por qué razón creo que se amplía el ámbito con el Anteproyecto?
Simple. Se indica que la ley se aplica al tratamiento de datos personales, “consten o no en bases de datos”.
Espero que no haya sido un error, sino un efecto deseado, porque esto significa que la misma regulación se aplicará al tratamiento realizado al operar una base de datos personales -cuyo potencial impacto en los derechos es enorme, gracias al cruce de datos-; como también al tratamiento de documentos con información concerniente a personas naturales, considerados de manera aislada.
Por ejemplo, podría ejercer el derecho de acceso a una fotografía que me hayan sacado o a un archivo con mis datos y que simplemente estén almacenados en la cámara fotográfica, en un computador o en un pendrive, aunque no pasen a formar parte de una base de datos.
3. Aspectos a mejorar del artículo propuesto
Más allá de la necesidad de precisar mejor la redacción, el tema de fondo es identificar y resolver en otros artículos la situación de aquellos tratamientos sobre datos personales que no consten en bases de datos, es decir, que no sean parte de un conjunto organizado de datos susceptibles de tratamiento.
En efecto, como veremos, hay varios artículos del anteproyecto que no están pensados –o al menos, redactados- para el caso en que el tratamiento se realice sobre datos que constan en documentos aislados, es decir, que no forman parte de una base de datos.
Por ejemplo, es el caso del Título sobre el Registro Nacional de Bases de Datos, por razones obvias. Además, la situación de estos tratamientos sin mediar una base de datos, debe considerarse, en principio, en el caso de comunicaciones de datos, exigencias de seguridad y en el título sobre infracciones, sanciones y procedimiento, según veré próximamente.
4. Mi propuesta
A partir de lo anterior, propongo simplificar la redacción, dándole más precisión y fuerza, con algo parecido a lo siguiente:
“La presente ley se aplicará al tratamiento de datos personales, automatizado o manual, realizado a través de bases de datos o mediante documentos aislados, por parte de órganos del Estado o particulares, sean personas naturales o jurídicas.”