protección de la privacidad y de los datos personales hábeas data

Anuncio
BANCO INTERAMERICANO DE DESARROLLO
BANCO INTERAMERICANO DE DESENVOLVIMENTO
INTER-AMERICAN DEVELOPMENT BANK
BANQUE INTERAMERICAINE DE DEVELOPPMENT
PROTECCIÓN DE LA PRIVACIDAD Y DE LOS
DATOS PERSONALES
HÁBEAS DATA
Preparado por el Grupo de Trabajo:
Dr. Miguel Álvarez
Lic. Medardo Raymundo Aragón
Dra. Sandra Casales Yauza
Dra. Graciela I. Davicce
Dra. Adriana Fá Rodríguez
Lic. Eduardo A. Ghuisolfi
Esc. Cristina Terra
Coordinador GLIN Guatemala
Técnico Jurídico. GLIN El Salvador
Analista Legal. Senado, Uruguay
Departamento de Información Legal. Analista Legal GLIN Argentina.
Biblioteca Congreso de la Nación - Argentina
Analista Legal. Senado, Uruguay
Cámara de Senadores, Uruguay
Analista Legal GLIN Uruguay - MERCOSUR. División Estudios
Legislativos, Senado, Uruguay
Buenos Aires, El Salvador, Guatemala, Montevideo, Washington DC
Noviembre 2005
Este documento tiene la finalidad de plantear los límites entre el derecho a la información, el derecho a la intimidad y la
protección de los datos personales. Considera la garantía del hábeas data y su tratamiento con referencia a la información
de los bancos de datos. El objetivo principal es proveer información y brindar las herramientas necesarias para proteger
la intimidad de las personas mientras apoyamos el desarrollo tecnológico.
Las interpretaciones, opiniones, alternativas y conclusiones expresadas en este documento son enteramente
responsabilidad de los autores y no deben ser atribuidas a las instituciones a las que éstos pertenecen, al Banco
Interamericano de Desarrollo, sus organizaciones afiliadas, miembros de su Directorio Ejecutivo o países que representan.
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Índice
TEMA
Introducción
Protección de Datos Personales y Derecho a la Intimidad
Derecho Internacional
Europa: Legislación Comunitaria
Antecedentes
Unión Europea
Alemania
España
Francia
Portugal
Suecia
Otros Países Europeos
El Derecho de Hábeas Data en América Latina
Argentina
Situación Anterior a la Reforma Constitucional de 1994
Situación Posterior a la Reforma Constitucional de 1994
Artículo 43, 3º párrafo de la Constitución Argentina
Brasil
Colombia
Ecuador
Guatemala
México
Paraguay
Perú
Uruguay
Venezuela
Derecho a la Intimidad: Concepto
Hábeas Data
Antecedentes – Evolución – Hábeas Data y Derechos Humanos - Concepto
La Garantía del Hábeas Data
Información Sensible. Su Tratamiento
Ley Nº 17.838 de la República Oriental del Uruguay. Referencia de Datos
Personales y Sensibles
Datos Financieros y Comerciales. Su Tratamiento
Conclusiones
Límites entre el Derecho a la Intimidad y la Libertad de Informar
Archivo, Registro o Base de Datos Personales. Marco Jurídico. Sanciones.
Aspectos Conceptuales de Base de Datos Vinculados al Tema Protección de Datos
Personales
Introducción
Construcción de una Base de Datos
Organización de una Base de Datos
Acceso a la Información en una Base de Datos
Acciones para Contrarrestar Actividades Ilícitas de Piratas Informáticos
Introducción
Definiciones Previas
Áreas Relevantes
Restricciones y Políticas de Acceso
Capacitación - Actualización del Personal
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
PÁGINA
4
4
5
6
6
7
9
10
10
12
12
13
14
14
14
14
15
16
17
17
18
18
18
19
20
20
20
23
23
25
28
29
31
32
33
34
36
36
36
38
39
41
41
42
42
42
43
2
Protección de la Privacidad y de los Datos Personales
Hábeas Data
TEMA
Actualización de Software
Regularización y Control de Software
Virus
Uso de Firewalls
Control de Hardware
Passwords o Claves de Acceso
Respaldos
Disposición de la “Basura” y Manejo de Archivo
Otros
Anteproyecto de Ley a la Protección de Datos Personales. Propuesto a partir del
Análisis de la Legislación existente en México, Argentina y España
Glosario
Bibliografía
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
PÁGINA
43
43
44
45
45
46
46
47
48
49
65
68
3
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Introducción
La preocupación por la protección de los datos personales no es un tema nuevo. La legislación
internacional destaca la conveniencia de consagrar el derecho a la intimidad, con el fin de evitar
que se vea afectado por los avances de la informática en materia de registro de datos.
En la Conferencia Internacional de Derechos Humanos, realizada en Teherán en 1968, con motivo
de conmemorarse el vigésimo aniversario de la Declaración Universal de Derechos Humanos de las
Naciones Unidas, los estados participantes comenzaron a esbozar su preocupación por el peligro
que implicaba el uso de la electrónica para el goce de los derechos individuales.
Actualmente existe la necesidad global de regular el uso de la informática dada las exigencias de
cooperación internacional en materia de transferencia internacional de datos y crea la necesidad
de implementar una legislación uniforme.
La protección de los datos personales es considerada uno de los temas de mayor importancia en
los tiempos que vivimos dada la transformación producida por el avance tecnológico en la
informática, su correlato en las formas de comunicación y en la utilización de la información.
Este despliegue tecnológico que nos sorprende a principios de este siglo XXI no debe cesar, pero
tampoco puede permitirse que se invada la información privada y reservada a la esfera íntima de
las personas. Es por ello, que si bien la información desempeña un lugar preponderante en la
implementación de políticas públicas, es fundamental para los ciudadanos que su privacidad
quede preservada.
Participamos de la evolución del concepto del derecho a la vida privada dado que en la
actualidad ha dejado de concebirse como la oposición o rechazo al uso de determinada
información personal, para convertirse en la libertad de supervisar su uso.
En caso de verse afectada la intimidad, la privacidad familiar, el honor, la imagen, mediante el
uso de datos personales almacenados en bases de datos o registros de datos puede hacerse uso de
la defensa que promueve la protección de datos personales o Hábeas Data.
Abordaremos en este taller el derecho a la intimidad, el instituto del hábeas data, los límites
entre la protección de la privacidad y el deber de informar y su evolución en el derecho
comparado. Nos detendremos a analizar los denominados “datos sensibles”. Estudiaremos las
distintas bases de datos y pondremos en conocimiento métodos para contrarrestar el accionar
ilícito de piratas informáticos.
Protección de Datos Personales y Derecho a la Intimidad
El derecho a controlar la información personal o “hábeas data” ha sido considerado como un
derecho humano de la tercera generación que surge en las últimas décadas ante el avance de la
sociedad de la información.
Hay quienes afirman que el derecho procede de la doctrina italiana y se relaciona también con
el derecho a la identidad personal. Este derecho ampara la cultura, política, ideología, religión,
salud, relaciones familiares y demás condiciones sociales de la persona. Protege derechos
personalísimos tales como la imagen, la verdad y la igualdad ante la sociedad.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
4
Protección de la Privacidad y de los Datos Personales
Hábeas Data
En muchos países se constituye entonces como un instituto del Derecho Procesal Constitucional,
como en el caso de Argentina, en la que se incluye en la Constitución de 1994, artículo 43.
También sería el caso de España, Brasil y Paraguay, entre otros.
En el Common Law se resalta la facultad de reserva de intromisiones en la vida privada. como
sería el caso que se protegería en Estados Unidos por la ley de privacidad “Privacy Act” y de la
ley sobre privacidad de las comunicaciones electrónicas “Electronic Communication Privacy
Act”, que respondía a las necesidades de defensa de la privacidad en las nuevas formas de
comunicación y de la ley sobre protección de la privacidad de los niños “Children´s Privacy
Protection and Parental Empowerment Act of 1999", que prohíbe la venta de datos sobre niños
sin el consentimiento de los padres, etc.
Derecho Internacional
La Declaración Universal de los Derechos Humanos en su artículo 8º dice que “toda persona
tiene derecho a un recurso efectivo, ante los tribunales nacionales, que la ampare contra actos
que violen sus derechos fundamentales reconocidos por la Constitución o la ley”. Y en su artículo
12 prescribe que “nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su
domicilio o su correspondencia ni de ataques contra su honra o su reputación”.
La Declaración Americana de los Derechos y Deberes del Hombre menciona en su artículo 5º
que “toda persona tiene derecho a la protección de la ley contra los ataques abusivos a su honra,
a su reputación y a su vida privada y familiar”.
El artículo 18 dicta que “toda persona puede recurrir a los tribunales para hacer valer sus
derechos”.
La Resolución 45/95 de la Asamblea General de las Naciones Unidas trata particularmente las
directrices sobre ficheros de datos personales tratados por ordenador.
La Organización de Cooperación y Desarrollo Económico (OCDE) alude a las directrices sobre la
protección de la intimidad y los flujos transfronterizos de datos, adoptada por su Consejo de
Ministros en forma de recomendación a los Estados miembros, con fecha 23 de septiembre de
1980. Con posterioridad a ello, en 1985, se aprobó una declaración atinente a los flujos
transfronterizos de datos no personales.
La Organización Internacional del Trabajo (OIT) cuenta con un repertorio de recomendaciones
prácticas sobre protección de los datos personales de los trabajadores, adoptado por una
Reunión de expertos sobre la protección de la vida privada de los trabajadores (realizada del 1º.
al 7 de octubre de 1996 en Ginebra, en cumplimiento de una decisión adoptada por el Consejo de
Administración de la OIT). Naturalmente, y como el mismo repertorio indica (artículo 2º.), no
tiene carácter obligatorio (lo que también se desprende del modo potencial en que se utilizan
los verbos que se emplean en la redacción de algunos de sus textos) y sólo pretende brindar
ciertas orientaciones en la materia. De acuerdo con su artículo 4º, se aplica a los sectores
privado y público y al tratamiento manual y automático de todos los datos personales de un
trabajador (artículo 4.2). Sintéticamente, establece los siguientes principios generales: artículo
5º. i) el tratamiento de datos personales de los trabajadores debería efectuarse de manera
ecuánime y lícita, y limitarse exclusivamente a asuntos directamente pertinentes para la relación
de empleo del trabajador (artículo 5.1); ii) los datos personales deberían utilizarse únicamente
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
5
Protección de la Privacidad y de los Datos Personales
Hábeas Data
con el fin para el que se recabaron (artículo 5.2); iii) cuando los datos se exploten con fines
distintos de aquéllos para los que se colectaron, el empleador debería asegurarse de que no sean
utilizados en forma incompatible con esa finalidad inicial y adoptar las medidas necesarias para
evitar toda interpretación errada por su aplicación descontextualizada (artículo 5.3); iv) las
decisiones relativas a un trabajador no deberían basarse exclusivamente en un tratamiento
informático de los datos personales a él referidos (artículo 5.5); v) los datos personales obtenidos
por medios de vigilancia electrónica no deberían ser los únicos factores de evaluación profesional
del trabajador (artículo 5.6); vi) los empleadores deberían evaluar en forma periódica sus
métodos de tratamiento de datos para reducir el tipo y volumen de la masa de información
personal acopiada, y mejorar el modo de proteger la vida privada de los trabajadores (artículo
5.7); vii) los trabajadores y sus representantes deberían ser informados de toda actividad de
acopio de datos, de las reglas que los gobiernan y de los derechos que les asisten (artículo 5.8);
viii) el tratamiento de datos personales no debería conducir a una discriminación ilícita en
materia de empleo u ocupación (artículo 5.10): ix) es irrenunciable el derecho de los
trabajadores a la protección de su vida privada (artículo 5.13).
EUROPA: Legislación Comunitaria
Antecedentes
Existe un Convenio para la protección de las personas con respecto al tratamiento
automatizado de datos de carácter personal y otros instrumentos internacionales y
comunitarios.
Este Convenio fue adoptado en Estrasburgo en 1981 por los Estados miembros del Consejo de
Europa, tal como se lee en su Preámbulo, procura "conciliar los valores fundamentales del
respeto a la vida privada y de la libre circulación de la información entre los pueblos". Entró en
vigor el 1º de octubre de 1985.
La finalidad principal es garantizar en cada Estado parte el respeto de los derechos a cualquier
persona física, sin importar su nacionalidad o residencia; el respeto de sus derechos y libertades
fundamentales (concretamente, su derecho a la vida privada) frente al tratamiento automatizado
de los datos de carácter personal correspondientes a ella (artículo 1º).
El campo de aplicación del Convenio se circunscribe a los ficheros y al tratamiento automatizado
de datos de carácter personal, en los sectores público y privado (artículo 3º).
El capítulo II, establece algunos principios básicos para la protección de datos, fijándose el
compromiso de cada Estado parte de tomar, en los respectivos derechos internos, las medidas
necesarias para la efectivización de los mismos (artículo 4º.1).
Se establece que los datos de carácter personal que sean objeto de un tratamiento automatizado
se obtendrán y tratarán leal y legítimamente; se registrarán para finalidades determinadas y
legítimas; serán adecuados, pertinentes y no excesivos en relación con los objetivos para los que
se hayan registrado; serán exactos y, si es necesario, actualizados; se conservarán durante un
período que no exceda del necesario para el cumplimiento de las finalidades tenidas en mira para
su registración (artículo 5º).
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
6
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Se establece que ciertas categorías particulares de datos no podrán tratarse automáticamente, a
menos que el derecho interno prevea garantías apropiadas (artículo 6º).
Deberán tomarse medidas de seguridad apropiadas para la protección de los datos personales
contra la destrucción accidental o no autorizada (o la pérdida accidental), así como contra el
acceso, modificación o difusión no autorizados (artículo 7º).
Asimismo, se conceden ciertas garantías complementarias para la persona concernida,
consistentes en: conocer la existencia de un fichero automatizado de datos de carácter personal
y de sus finalidades principales; obtener, en intervalos razonables y sin demoras ni gastos
excesivos, la confirmación acerca de la existencia o inexistencia del fichero y la comunicación,
en forma inteligible, de los datos que le incumban; obtener la rectificación o supresión de los
datos (artículo 8º).
Se fija también como principio general que no se admitirá excepción alguna a las disposiciones de
los artículos 5º, 6º y 8º del Convenio, salvo cuando tal excepción prevista legalmente por la
normatividad de uno de los Estados partes, constituya una medida necesaria en una sociedad
democrática para la protección de la seguridad del Estado, de la seguridad pública, para los
intereses monetarios del Estado, para la represión de infracciones penales, o bien, para la
protección de la persona concernida y de los derechos y libertades de otros individuos (artículo
9º).
Además de esta normativa internacional existen otras muchas recomendaciones, por ejemplo: del
Consejo de Europa, la Resolución [73] 22 sobre la protección de la intimidad individual frente a
los bancos de datos electrónicos en el sector privado, de 26 de septiembre de 1973; Resolución
[87] 15 sobre la utilización de datos personales por la policía, del 17 de septiembre de 1987.
De la Comunidad Europea, la Resolución del Parlamento Europeo de 1979 sobre la protección
de los derechos de la persona frente al avance de los progresos técnicos en el campo de la
informática; la Recomendación de la Comisión de 1981 relativa a la Convención del Consejo de
Europa para la protección de las personas con respecto al procesamiento automático de datos
personales.
Unión Europea
En materia de la normativa comunitaria debido a la creciente necesidad de armonización de las
legislaciones de la Unión Europea se dictó la Directiva 95/46, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación
de esos datos. Esta directiva establece el marco jurídico en la materia, proteger las libertades y
los derechos fundamentales de las personas físicas, en especial el derecho a la intimidad,
garantizando la libre circulación de los datos entre los estados miembros. Se aplica a los datos
contenidos en ficheros.
La Directiva establece asimismo que los datos deben ser de calidad, lícitos y se deben usar con
fines legítimos. Dicha norma limita el tratamiento de datos personales, ya que sólo puede
recabarse con el consentimiento del interesado, concilia el derecho a la intimidad con el de
libertad de expresión, establece el derecho de información que tiene el afectado con relación a
los datos personales que se le recaben y garantiza el derecho de rectificación, supresión o
bloqueo de los datos inexactos. Obliga a los responsables y encargados del tratamiento de datos
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
7
Protección de la Privacidad y de los Datos Personales
Hábeas Data
personales a preservar la confidencialidad de los mismos y establece medidas de seguridad en la
protección de la privacidad de los datos personales.
Expresa que los Estados miembros deberán contar con una Autoridad de Control, que supervisará
las actividades de los Responsables del tratamiento de los datos personales.
En este sentido el Reglamento 45/2001, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios,
contempla el caso de creación de un Supervisor Europeo de Protección de Datos.
A continuación se enumeran los organismos que tienen ese rol en distintos países europeos:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Comisario Federal de Protección de Datos (Alemania)
Comisión para la Protección de Datos (Austria)
Comisión de Protección de la Vida Privada (Bélgica)
Comisario para la Protección de Datos Personales (Dinamarca)
Agencia de Protección de Datos (España)
Inspección para la Protección de Datos (Estonia)
Defensor de Protección de Datos Personales (Finlandia)
CNIL (Francia)
Comisión para la Protección de Datos. (Grecia)
Comisionado de Protección de Datos. (Hungría)
Comisario de Protección de Datos. (Irlanda)
Agencia de Protección de Datos. (Islandia)
Garante para la Protección de Datos (Italia)
Comisario para la Protección de Datos (Noruega)
Cámara de Registro (Países Bajos)
Comisión Nacional de Protección de Datos (Portugal)
Comisión para la Protección de Datos. (Reino Unido)
Oficina de Datos Personales. (República Checa)
Oficina de Estadística (República Eslovaca)
Inspección de Datos (Suecia)
Comisario para la Protección de Datos (Suiza)
La Directiva antes mencionada fija las bases de las transferencias de datos personales a países
terceros y promueve la elaboración de códigos de conducta destinados a la correcta aplicación de
las disposiciones nacionales en materia de protección de datos personales.
Esta Directiva fue completada por la Directiva 97/66, relativa al tratamiento de los datos
personales y a la protección de la intimidad en el sector de las telecomunicaciones.
También la Directiva 2000/31 trata determinados aspectos jurídicos de los servicios de la
sociedad de la información, en particular el correcto funcionamiento del comercio electrónico
interior. Introduce el “Estatuto de los prestadores de servicios de la sociedad de la
información”.
Regula el “spam” (comunicación con fines comerciales) estableciendo que ésta sea identificable
como tal en el mismo momento de su recepción y que se respeten las listas de exclusión
voluntaria.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
8
Protección de la Privacidad y de los Datos Personales
Hábeas Data
El Reglamento 45/2001 del Parlamento Europeo de 18 de diciembre de 2000, trata la protección
de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las
instituciones y los organismos comunitarios y a la libre circulación de los datos.
Se estableció asimismo un nuevo marco regulador de cinco Directivas.
Entre las medidas que se prevén está la obligatoriedad de los proveedores de servicios de
comunicaciones electrónicas de adoptar las medidas técnicas necesarias para preservar la
seguridad de sus servicios y si existiera algún riesgo deberán informar a los abonados de dicho
riesgo.
También se establece que los Estados miembros deban garantizar la confidencialidad de las
comunicaciones realizadas a través de las redes públicas.
Determina que los equipos terminales de los usuarios de redes de comunicaciones electrónicas,
así como toda la información almacenada en dichos equipos, forman parte de la esfera privada de
los usuarios.
Los datos relativos a la vida privada de las personas físicas, sólo podrán ser almacenados, en la
medida que resulten necesarios para la prestación de un servicio, cualquier otro tratamiento que
el proveedor pretenda llevar a cabo con la comercialización de los datos, requerirá
consentimiento fundado y manifiesto del abonado.
Insta a la adopción de medidas por parte de fabricantes de equipos utilizados en las
comunicaciones electrónicas para que éstos incorporen dispositivos que favorezcan la
confidencialidad.
Existe una Resolución del Parlamento Europeo sobre la transmisión de datos personales por las
compañías aéreas en los vuelos transatlánticos.
Alemania
Tiene la legislación más antigua en materia de protección de datos, contando con legislación
desde 1970. Entre otras una ley federal para el establecimiento de las condiciones generales para
el funcionamiento de los servicios de información y comunicación.
El Tribunal Constitucional (acompañado por la doctrina) ha consagrado el derecho a la
autodeterminación informativa, derecho que subyace, también, en la Ley Alemana Federal de
Protección de Datos de 20 de diciembre de 1990. En el contexto alemán, es importante
destacar como antecedente (que deviene trascendente por sus reflejos anticipatorios en el
ámbito europeo), a la Ley del “Land de Hesse” de Protección de datos (de 7 de octubre de
1970, modificada en 1986), que propendía a la defensa del derecho de la personalidad frente a
la utilización de datos, limitando su previsión normativa a los archivos y bancos de datos
públicos; sin embargo, contrarrestó tal restricción aplicativa, con la creación de un Comisario
para la Protección de Datos, que tenía a su cargo la supervisión del cumplimiento de la ley.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
9
Protección de la Privacidad y de los Datos Personales
Hábeas Data
España
El artículo 18.4 de la Constitución de 1978 establece que “La ley limitará el uso de la
informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el
pleno ejercicio de sus derechos". Por su parte, el 105 apartado “b” dispone el acceso de los
ciudadanos a los archivos y registros administrativos, salvo en lo que afecte a la seguridad y
defensa del Estado, la averiguación de los delitos y la intimidad de las personas.
La Ley Orgánica 15/1999 recoge los fundamentos establecidos en las Directivas comunitarias
citadas. En este sentido establece que:
• Podrá restringirse la prestación de servicios de la sociedad de la información en
los casos que legalmente corresponda, respetando siempre el derecho a la intimidad
personal y familiar, la protección de los datos personales y el derecho a la libertad de
información.
• Los prestadores de servicios tienen el deber de colaborar con la Administración
Pública, con la intervención judicial.
• La necesidad de no modificar los datos almacenados.
• Se impulsa la elaboración de códigos de conducta.
• Se declara comprendida en la ley las comunicaciones electrónicas. Establece que
queda prohibido el envío de comunicaciones publicitarias por correo electrónico, que
previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de
las mismas.
El Real Decreto 428/993 aprueba el estatuto de la Agencia de Protección de Datos, establece
disposiciones generales, funciones, órganos, régimen económico, patrimonial y del personal.
El artículo único del Decreto 195/2000 establece que los sistemas de información que se
encuentran funcionando, deberán implantar las medidas de seguridad de nivel básico previstas
por dicho Reglamento. Y la disposición transitoria única, Instrucción 2/1995, regula la Agencia
de Protección de Datos.
El Real Decreto 994/1999 de 11 de junio, aprobó el Reglamento de las medidas de seguridad de
los ficheros automatizados que contengan datos de carácter personal.
Se dictó un Reglamento sobre las medidas técnicas y organizativas necesarias para garantizar la
seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales,
equipos, sistemas, programas y las personas que intervienen en el tratamiento automatizado de
los datos de carácter personal.
A nivel local cuentan, entre otras, con la Ley 8/2001 de 13 de julio, de Protección de datos de
carácter personal en la Comunidad de Madrid.
El Consejo General del poder judicial aprueba el Código de conducta para los usuarios de equipos
y sistemas informáticos de la Administración de Justicia.
Francia
La Ley 78-17 de 6 enero 1978 relativa a la informática y los ficheros, crea la Comisión Nacional
de la Informática y las libertades que tiene por finalidad registrar los bancos de datos de consulta
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
10
Protección de la Privacidad y de los Datos Personales
Hábeas Data
ciudadana. Trata: creación, principios, formalidades, recolección, registro, conservación de
informaciones personales y ejercicio del derecho de acceso.
Es importante destacar que la ley antes mencionada, denominada "Ley de Informática, Ficheros
y Libertades", constituye una referencia en la materia en toda Europa.
El artículo segundo establece que: "Ningún fallo de los Tribunales de Justicia, que implique la
apreciación de comportamientos humanos podrá tener por fundamento un tratamiento
automático de información que pretenda dar una definición del perfil de la personalidad del
interesado". Esto se completa con una proscripción casi idéntica relativa a que ninguna decisión
administrativa o privada podrá tener por único fundamento aquel tratamiento automático de
información que intente proporcionar una definición del perfil o personalidad del interesado.
Por su parte, el artículo 6º. prevé la creación de la Comisión Nacional de Informática y
Libertades que, por el artículo 8º, es concebida como una "autoridad administrativa
independiente", que tendrá a su cargo velar por el respeto de las disposiciones de la ley que
comentamos.
Otros preceptos dignos de mención son:
a) Se prohíbe la recolección de datos por cualquier medio fraudulento, ilegal o ilícito
(artículo 25).
b) Las personas a las que se refieren las informaciones nominativas deben ser informadas
acerca del carácter obligatorio o voluntario de sus respuestas, de las consecuencias de
su negativa a informar, de los destinatarios de las informaciones y de la existencia de
los derechos de acceso y rectificación (artículo 27).
c) Queda proscrito, por el artículo 31, salvo autorización expresa del interesado, grabar
o conservar en soportes informáticos datos nominativos que directa o indirectamente
se refieran a creencias políticas, filosóficas o religiosas; origen racial o filiación
sindical de las personas.
d) Se establece el derecho de toda persona de acceder, demostrando su identidad, a
consultar a los organismos encargados de la ejecución de los tratamientos
automatizados, para conocer si los mismos contienen informaciones nominativas y, en
tal caso, tomar conocimiento de éstas (artículo 34) el que deberá vehiculares en
formato fácilmente inteligible y corresponder al contenido de lo registrado (artículo
35).
e) El titular del derecho de acceso podrá exigir que las informaciones inexactas,
incompletas, equívocas, obsoletas o aquellas cuya recolección, utilización,
comunicación o conservación hubiesen sido prohibidas, sean rectificadas, completadas,
aclaradas, actualizadas o suprimidas (artículo 36).
El Decreto 78-774, de 17 Julio 1978 regula la aplicación de determinados capítulos de la Ley 7817.
Ley 94-548 regula las donaciones nominativas.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
11
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Portugal
La Constitución de 1976 en su artículo 105 inciso b) consagra el derecho al "hábeas data".
En su artículo 35 consagra una restricción al poder del Estado en la utilización de la informática y
garantiza expresamente el acceso de los ciudadanos a las informaciones que, respecto de ellos,
consten en órganos o entidades estatales o privados, pudiendo exigir la rectificación o
actualización de aquéllas. Prohíbe, además, el acceso de terceros a ficheros con datos personales
y su respectiva interconexión, así como también los flujos de datos transfronterizos, salvo en los
casos excepcionales previstos por la ley. Por último, proscribe la utilización de la informática en
el tratamiento de datos referentes a convicciones filosóficas o políticas, filiación partidaria o
sindical, fe religiosa o vida privada, excepto cuando se trate del procesamiento de datos
estadísticos no identificables individualmente.
Fue Portugal el primer país europeo que reconoció constitucionalmente la necesidad de
proteger a las personas frente a los riesgos informáticos. No obstante ello, hubo de transcurrir
un período de quince años, para que aquellas disposiciones fueran desarrolladas legislativamente.
En efecto, en abril de 1991 se dictó la Ley número 10 sobre "protección de datos personales
frente a la informática"; normativa que amplía los parámetros tuitivos de la Constitución; prevé
la creación de la autoridad de aplicación (Comisión Nacional de Protección de Datos Personales
Informatizados); que determina que ninguna decisión judicial, administrativa o disciplinaria
puede tomarse considerando como base exclusiva, el perfil de personalidad del titular del
registro (artículo 16); y, en síntesis, reproduce los principios consagrados por el "Convenio para la
protección de las personas con respecto al tratamiento automatizado de datos de carácter
personal del Consejo de Europa" (de 1981) adoptado en Estrasburgo.
La Ley 67/98 trata la protección de datos personales.
Suecia
La Constitución consagra el derecho de "hábeas data" en su artículo 6º. También existe una Ley
de 1973 sobre protección de datos.
La “Datalag”, de 11 de mayo de 1973, ha ejercido una enorme influencia en el contexto de tal
continente. Cabe recordar que fue objeto de una modificación por Ley de 1º de julio de 1982
(sobre recolección de datos).
Entre sus disposiciones, se destacan: la creación de la Inspección de Datos (para controlar la
utilización informática de la información personal); la exigencia de autorización previa para la
creación de bancos de datos y la proscripción de procesar juicios valorativos sobre las personas.
Ya en punto al marco constitucional, corresponde mencionar la inclusión expresa del resguardo a
la intimidad personal en relación con el tratamiento de datos personales en el artículo 3º de la
Constitución de dicho país.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
12
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Otros Países Europeos
A manera de ejemplo puede decirse que existen leyes protectoras de los datos personales frente
al uso de la informática, en los siguientes países: Austria (Ley 565 de 18 de octubre de 1978);
Bélgica (Ley de 8 de diciembre de 1992); Dinamarca (leyes 293 y 294), ambas de 8 de junio de
1978, sobre registros privados y registros de la administración pública, respectivamente; Gran
Bretaña (Data Protection Act, de 1984); Irlanda (Ley de 1988); Islandia (Ley Nº. 63 de 1984);
Italia (Ley Nº. 121 de 1 de abril de 1981); Luxemburgo (Leyes de 30 de marzo de 1979 y 31 de
marzo de 1979); Noruega (Ley 48 de 9 de junio de 1978); los Países Bajos (Ley sobre ficheros
de datos personales de 1989); Suiza (Directivas del Consejo Federal sobre el procesamiento
de datos por los entes federales, de 16 de marzo de 1981) y, también, Finlandia. A nivel
constitucional, y además de las reseñadas, mencionamos a la Constitución de los Países Bajos
(de 1983, artículo 10) y de Hungría (de 1989, artículo 59.1).
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
13
Protección de la Privacidad y de los Datos Personales
Hábeas Data
El Derecho de “Hábeas Data” en América Latina
La mayoría de los países de América tienen normas constitucionales sobre el derecho a la
intimidad o el derecho de habeas data. Algunos cuentan también con leyes y reglamentaciones
en materia de tratamiento de datos personales. Enumeramos algunas de las normas a vía de
ejemplo:
Argentina
Situación Anterior a la Reforma Constitucional de 1994
La protección de los datos personales estaba comprendida en el artículo 33 de la Constitución
de la Nación Argentina:
“Las declaraciones, derechos y garantías que enumera la Constitución, no serán entendidos como
negación de otros derechos y garantías no enumerados; pero que nacen del principio de
soberanía del pueblo y de la forma republicana de gobierno”.
También el derecho a la privacidad y a la intimidad se hallan jurídicamente protegidos por el
artículo 19 de la Constitución Argentina cuando habla de las acciones privadas de los hombres,
y por los Capítulos II (Violación de Domicilio) y III (Violación de Secretos) del Título V del Código
Penal.
A su vez el artículo 1071 bis del Código Civil, incorporado por Ley 21.173, se constituyó en una
norma de carácter general para determinar la responsabilidad y el cese de aquella actividad que
implique una intromisión en la vida privada.
Artículo 1071 bis Código Civil: “El que arbitrariamente se entrometiere en la vida ajena,
publicando retratos, difundiendo correspondencia, mortificando a otro en sus costumbres o
sentimientos o perturbando de cualquier modo su intimidad, y el hecho no fuere un delito penal,
será obligado a cesar en tales actividades, si antes no hubieren cesado, y a pagar una
indemnización que fijará equitativamente el juez, de acuerdo con las circunstancias; además
podrá éste a pedido del agraviado, ordenar la publicación de la sentencia en un diario o
periódico del lugar, si esta medida fuese procedente para una adecuada reparación”.
Debemos interpretar la descripción hecha en el artículo 1071 bis Código Civil como meramente
enunciativa y que mantiene plena vigencia a pesar del actual reconocimiento en la Constitución
Nacional del instituto del hábeas data.
Situación Posterior a la Reforma Constitucional de 1994
La 24.309 declaró la necesidad de la reforma de la Constitución Nacional. El artículo 7º dispuso
que no podrían introducirse modificaciones a las Declaraciones, Derechos y Garantías previstas en
el Capítulo Único de la Primera Parte de la Carta Magna. Por ello, fue necesario crear el Capítulo
Segundo denominado “Nuevos Derechos y Garantías” donde quedan amparados el mantenimiento
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
14
Protección de la Privacidad y de los Datos Personales
Hábeas Data
del orden constitucional, el funcionamiento de los partidos políticos, la participación ciudadana,
la consulta popular (artículos 36 a 40 C.N.). El derecho al goce y disfrute del medio ambiente y su
preservación (artículo 41C.N.), el derecho de los consumidores y usuarios, la defensa de la
competencia. El artículo 43 C.N. establece el reconocimiento de la acción de amparo y el hábeas
data (art. 43 3er. párrafo C.N.), la garantía del secreto de las fuentes periodísticas y el hábeas
corpus.
Implica pues la incorporación a la Constitución de la Nación Argentina de derechos y garantías
reconocidos por tratados internacionales, leyes, jurisprudencia y doctrina y que son considerados
de tercera generación.
Abordaremos la parte que hace referencia al hábeas data. Observamos que en el artículo 43 C.N.
el constituyente no utilizó la voz “hábeas data”. Consideramos que ello se debe a que la 24.309
no habla de incorporar esta garantía, sino tan solo de darle garantía constitucional al amparo y al
hábeas corpus. Al hábeas data puede considerárselo como un subtipo de amparo y no como una
acción autónoma (Cfr. Puccinelli, Oscar Raúl. Tipos y Subtipos de hábeas data en el Derecho
Constitucional Latinoamericano. Suplemento de Derecho Constitucional del 17/07/97, pág. 31).
Artículo 43, 3º párrafo de la Constitución Argentina
“...Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella
referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados
destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión,
rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las
fuentes de información periodísticas...“
El constitucionalista argentino Jorge Vanossi sostiene que “el secreto del hábeas data está
precisamente en su sencillez. Si al hábeas data se lo convierte en un mecanismo complejo
demasiado sofisticado y demasiado articulado, no va a ser captado por todos los ciudadanos”.
(Cfr. Vanossi, Jorge R.) El hábeas data no puede contraponerse a la libertad de los medios de
prensa.
Se interpone una acción de amparo expedita y rápida. La norma reglamentaria no debe ir contra
el espíritu del constituyente que persiguió la celeridad y la sencillez del proceso.
En caso de datos falsos o discriminación puede exigirse la supresión, rectificación,
confidencialidad o actualización de los datos por parte de los titulares de los bancos de datos. La
inclusión de este instituto en forma expresa implica el “reconocimiento de un estado de hecho y
de derecho que se venía ejerciendo y por el cual en la práctica existían individuos u
organizaciones que obtenían información y la manipulaban, así como personas afectadas y un
tedioso e insuficiente procedimiento para acceder y controlar los datos existentes en dichas
bases”. (Hábeas data. Derecho a la intimidad. Pierini - Lorences - Tornabene. Editorial
Universidad. Buenos Aires, Argentina).
En octubre de 1996 se logra el primer pronunciamiento legislativo con la Ley 24.745, pero por
Decreto 1616/1996 el presidente Dr. Carlos Menem dispone el veto total.
La ley 25.326 de Protección de los Datos Personales fue sancionada el 4 de octubre de 2000 y
promulgada parcialmente por Decreto 995 el 30 de octubre de 2000 (Boletín Oficial 02/11/2000).
Tuvo como inspiración la Ley de Tratamiento de Datos Española de 1982, sin las modificaciones
realizadas por la Ley Orgánica Española del 15/12/1999. La norma consta de cuarenta y ocho (48)
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
15
Protección de la Privacidad y de los Datos Personales
Hábeas Data
artículos. Fue reglamentada por el Decreto 1558/29-11-2001 que crea la Dirección Nacional de
Protección de Datos Personales.
La Disposición 1/2003 de la Dirección Nacional de Protección de Datos Personales trata la
protección de los datos personales, infracciones, clasificación, aprobación, sanciones, y su
graduación. La Disposición 2/2003 crea y habilita el Registro Nacional de Bases de Datos y
dispone la realización del primer Censo Nacional de Bases de Datos. Por Disposición 1/2004 se
implementa con carácter obligatorio el primer Censo Nacional de Archivos, Registros, Bases o
Bancos de Datos Privados. En noviembre de 2004 la Disposición 4/2004 homologa el Código de
Ética de la Asociación de Marketing Directo e Interactivo de Argentina. En el 2005, la Dirección
Nacional de Protección de Datos Personales, a través de las Disposiciones 2 y 3/2005 regula lo
referente a los Formularios de Inscripción al Registro y aprueba los formularios, instructivos y
normas de procedimiento que utilizará el citado organismo en relación con la implementación del
Registro Nacional de Bases. La reciente emisión el 1º de septiembre de 2005 de la Disposición
6/2005 aprueba el diseño del isologotipo que identificará a los responsables de bases de datos
personales inscriptos en el mencionado Registro.
Finalmente, cabe aclarar, que luego de la prorroga establecida, el Registro Nacional de Bases de
Datos debió comenzar su funcionamiento a partir del 1º de agosto de 2005. A su vez, establece
como plazo de vencimiento para la inscripción en el Registro Nacional de Bases de Datos de los
archivos, registros, bases o bancos de datos existentes con anterioridad a la implementación del
Registro, el 31 de enero de 2006 (Disposición 4/2005 Dirección Nacional de Protección de los
Datos Personales).
También el Estatuto Organizativo de la Ciudad de Buenos Aires, en el artículo 16 permite
actualizar, rectificar y requerir la confidencialidad o la supresión “cuando la información lesione
o restrinja algún derecho”.
Brasil
El derecho brasileño fue el primero en consagrar el “hábeas data” en la Constitución Federal de
1988, en el inciso LXXII del artículo 5º, lo establece como protección de los derechos del
consumidor, del derecho a la vida privada, intimidad, imagen, honor y la inviolabilidad de las
comunicaciones donde se sitúan los datos. Lo instituye como instituto de derecho procesal
constitucional, disciplina que se le atribuye a Kelsen. Se reconocen los dos aspectos. Se establece
la acción de amparo como vía expedita y rápida, siempre que no exista otro medio judicial más
idóneo. Puede ser interpuesta por cualquier persona para tomar conocimiento de los datos
referidos a ella y su finalidad, sea que éstas consten en registros públicos o privados. “Hábeas
data” significa “tiene sus datos” siendo el bien protegido “la privacidad” o “intimidad” de la
persona.
Se le concede al hábeas data una doble finalidad:
a) para asegurar el conocimiento de informaciones relativas a la persona del solicitante,
que consten en registros o bancos de datos de entidades gubernamentales o de
carácter público",
b) para la rectificación de datos, cuando no se prefiera hacerlo por proceso secreto,
judicial o administrativo"; es decir, se extrae por exclusión la forma de operativizar
procesalmente el hábeas data correctivo o rectificatorio.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
16
Protección de la Privacidad y de los Datos Personales
Hábeas Data
La Ley 9.507/97 introduce el instituto de "hábeas data" como medida puesta a disposición de las
personas para que conozcan las informaciones que constan en los registros y bancos de datos de
entidades gubernamentales o de carácter público.
El sector que tiene mejor desarrollo legislativo y tutela judicial son los datos negativos en las
relaciones de consumo. La jurisprudencia tiene como criterios interpretativos: la responsabilidad
del informante por la comunicación, la obligatoriedad de la comunicación al consumidor de la
inscripción de su nombre en un banco de datos negativos. Se considera que la comunicación no
autorizada viola el sigilo de las comunicaciones. La grabación clandestina viola, en principio, el
derecho a la intimidad. Se consideran protegidas tanto la comunicación telefónica como la
telemática.
La tendencia es que Brasil incorpore los rasgos de las legislaciones más adelantadas en este tema,
como quizás la Directiva Comunitaria 95/46.
Colombia
La Constitución en su artículo 15 reconoce el derecho de “hábeas data” como un derecho
fundamental.
Establece que todas las personas tienen derecho a su intimidad personal y familiar y a su buen
nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a
conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de
datos y en archivos de entidades públicas y privadas.
El 2º párrafo de tal norma dispone: "En la recolección, tratamiento y circulación de datos se
respetarán la libertad y demás garantías consagradas en la Constitución".
La Constitución de Colombia ofrece una protección mayor, pues no solamente se detiene en los
bancos de datos y archivos públicos, sino que también incluye en su propósito tuitivo a la
información almacenada en los archivos de las entidades privadas.
También está consagrado por la Constitución en su artículo 19 inciso 4º donde se establece la
protección a la vida privada, pública y a la honra de la persona y su familia. Existe la Ley 19.628
sobre protección de la vida privada que regula el tratamiento de los datos de carácter personal y
de los registros o bancos de datos de organismos públicos o particulares.
El Decreto 779/2000 aprueba el Reglamento del Registro del Banco de datos personales a cargo
de los organismos públicos. De acuerdo al artículo 19, numeral 12 de la Constitución política.
Ecuador
Se establece en el artículo 94 de la Constitución, que toda persona tiene derecho a acceder a los
documentos, banco de datos e informes que sobre sus bienes consten en entidades públicas o
privadas, así como a conocer el uso que se haga de ellos y de su propósito.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
17
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Guatemala
La Constitución guatemalteca, en su artículo 31, dice:
Sobre el acceso a archivos y registros estatales: “toda persona tiene el derecho de conocer lo que
de ella conste en archivos, fichas o cualquier otra forma de registros estatales y la finalidad a
que se dedica esta información, así como a su corrección, rectificación y actualización. Quedan
prohibidos los registros y archivos de filiación política, excepto los propios de las autoridades
electorales de los partidos políticos”.
Se le otorga una capa tuitiva más densa en relación a la información que es considerada de "alta
sensibilidad", dentro de la que podríamos incluir a aquellos datos nominativos referidos a la
religión, raza, preferencia sexual, filiación ideológica, etcétera.
No es casualidad que la Constitución de Guatemala se haya preocupado por deparar cobertura
tuitiva a la información personal, pues en éste como en otros aspectos, la mencionada carta
fundamental ha brindado soluciones de avanzada en el contexto del derecho iberoamericano
comparado cuando de proteger a los derechos humanos se trata. Bástenos por ahora como
muestra, con recordar la prescripción de su artículo 44, párrafo 3, que dispone: "Serán nulas ipso
iure las leyes y las disposiciones gubernativas o de cualquier otro orden que disminuyan,
restrinjan o tergiversen los derechos que la Constitución garantiza".
Su artículo 46 dice que: se establece el principio general de que en materia de derechos
humanos, los tratados y convenciones aceptados y ratificados por Guatemala tienen preeminencia
sobre el derecho interno.
México
El artículo 16 de la Constitución establece que nadie puede ser molestado en su persona,
familia, domicilio, papeles o posesiones.
La Ley Federal de Protección de datos personales determina la protección de las libertades y
los derechos fundamentales de las personas físicas individualmente consideradas, en lo que
respecta al tratamiento de los datos personales por parte de las entidades públicas y no públicas.
Dicta normas en materia de transmisión de datos personales al extranjero y a entidades
supranacionales o internacionales. Existe un delegado para la protección de datos.
Paraguay
En 1992, la Constitución, en su artículo 135, reconoce el derecho de las personas para acceder a
la información en archivos públicos y privados, para conocer la finalidad de los registros y para
corregir o destruir los mismos.
Establece que toda persona podrá acceder a la información y a los datos que sobre sí misma, o
sobre sus bienes, obren en registros oficiales o privados de carácter público, así como conocer el
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
18
Protección de la Privacidad y de los Datos Personales
Hábeas Data
uso que se haga de los mismos y su finalidad. Podrá solicitar ante el magistrado competente la
actualización, la rectificación o la destrucción de aquéllos, si fuesen erróneos o afectaran
ilegítimamente sus derechos.
Entonces, concede la moderna Constitución paraguaya del año 1992 el derecho de acceso a la
información a los efectos de conocer cuál es el uso o la finalidad para los que se acopian los datos
personales del interesado.
Una aclaración importante acerca de la normativa constitucional paraguaya: por una parte, no se
detiene sólo en la protección atinente a la información acerca de los derechos extrapatrimoniales
del individuo, sino que, también, ofrece resguardo a la conectada con sus intereses
patrimoniales. Paralelamente, ofrece cobertura a los datos contenidos en los registros oficiales y
en los privados.
La Ley 1.682 de 28 de diciembre de 2000 trata la protección de datos personales.
Perú
El artículo 2º inciso 6) de la Constitución establece la obligación de que los servicios
informáticos, computarizados o no, públicos o privados, no suministren informaciones que
afecten la intimidad personal o familiar. El artículo 200 inciso 3) establece el derecho de "hábeas
data".
En la norma básica del Perú de 1993 (artículo 200, inciso 3), puede leerse: "La acción de hábeas
data procede contra el hecho u omisión por parte de cualquier autoridad, funcionario o persona,
que vulnere o amenace los derechos consagrados en el artículo 2º, incisos 5, 6 y 7".
Obviamente, existe una protección más densa pues potencia la acción de hábeas data al
declararla articulable contra cualquier autoridad, funcionario o persona. Es decir, que no limita
la posibilidad de la "acción de garantía" contra archivos o bancos de datos públicos, sino que
también envuelve a los privados. Además, el hábeas data es procedente contra todo hecho u
omisión.
El último tramo de la norma establece como hipótesis que esa acción u omisión vulnere o
amenace los derechos consagrados en el artículo 2º, incisos 5, 6 y 7. Ilustrativamente,
recordamos que el inciso 5 establece el derecho a obtener información, en el plazo legal, de
cualquier entidad pública, con excepción de las informaciones que afectan la intimidad personal
y las expresamente excluidas por ley o por razones de seguridad nacional. El inciso 6 fija el
derecho a que los servicios informáticos, computarizados o no, públicos o privados, no
suministren informaciones que afecten la intimidad personal y familiar. Por último, el inciso 7
brinda protección jurídica al derecho al honor y a la buena reputación, a la intimidad personal y
familiar, a la voz e imagen propias y al derecho de respuesta.
Huelga poner de relieve que se ha hipertrofiado al hábeas data, incluyendo en su seno al derecho
de réplica, rectificación o respuesta. Tal exceso normativo impuso posteriormente la necesidad
de arrancar este derecho de las entrañas del hábeas data, a través de una enmienda
constitucional que se concretó recientemente y que se plasmó en la Ley 26.470.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
19
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Uruguay
La reciente Ley 17.838 de 24 de septiembre de 2004 establece la protección de datos personales
y la acción de “hábeas data”. Regula el registro, almacenamiento, distribución, transmisión,
modificación, eliminación, duración y en general el tratamiento de datos personales asentados en
archivos, registros, bases de datos u otros medios similares autorizados, sean públicos o privados.
La acción de “hábeas data” procederá cuando el titular de los datos personales quiera acceder a
los registros y dicha información no le hubiese sido entregada por el responsable de la base de
datos o cuando le haya solicitado al responsable su rectificación, actualización, eliminación o
supresión y éste no hubiese procedido a ello. Se puede entablar acciones contra todo responsable
de una base de datos sea ésta pública o privada. En su artículo 20 determina que la función de
control será ejercida por el Ministerio de Economía y Finanzas asistido por una Comisión
Consultiva integrada por siete miembros.
Venezuela
El artículo 28 de la Constitución trata el derecho de acceso a la información y a los datos sobre
las personas o sobre sus bienes que consten en registros oficiales o privados. El artículo 60
establece el derecho de toda persona a la protección de su honor, vida privada, intimidad, propia
imagen, confidencialidad y reputación. La ley especial contra los delitos informáticos, en el
Capítulo III, relativo a la privacidad de las personas y de las comunicaciones, en sus artículos 20,
21 y 22 se encuentra tipificado el delito de violación de la privacidad de los datos de carácter
personal, la violación de las comunicaciones y la revelación indebida de los datos o información
de carácter personal.
Derecho a la Intimidad: Concepto
Como sostiene Juan José Alba Contreras, el derecho a la intimidad tiene como objeto dotar a las
personas de una protección jurídica frente al peligro que supone la informatización de sus datos
personales, sin vedar toda intromisión en las esferas de la vida que el Titular se reserva para sí,
sino facultándolo para permitir o no, y controlar el uso que de esa información se haga. Es un
derecho inviolable e inalienable del cual el Tribunal Constitucional Federal Alemán sentenció en
1983 lo que configuraría el llamado “derecho a la autodeteminación informativa”. Ésta faculta al
individuo a decidir por sí mismo y establecer los límites hasta dónde procede revelar situaciones
referidas a su vida. Esto en un sentido abarcativo de la ilimitada capacidad de archivarlos,
relacionarlos y transmitirlos por medios informáticos “libertad informática”.
Veremos sí una oposición privacidad-libertad y la libertad informática. Este derecho a la
intimidad se ve amenazado en el siglo XXI, en una sociedad multinacional que se comunica por
líneas telefónicas, satélites, fibra óptica, Internet, etc. En la década del setenta se elaboraron
instrumentos legislativos en Francia, Suecia, Alemania, Austria, y otros países para proteger al
individuo del mal uso de su información con apoyos informáticos. También la Constituciones
españolas, portuguesas, colombianas y peruana, determinan que la correspondencia y demás
formas de comunicación privadas son inviolables, pudiendo sólo ser interceptadas por orden
judicial y con las formalidades establecidas por la ley.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
20
Protección de la Privacidad y de los Datos Personales
Hábeas Data
En el orden del Derecho Internacional se debe tener presente que es norma jurídica para Uruguay
el Art. 12 de la Declaración Universal de los Derechos del Hombre, el Art. 17 del Pacto
Internacional de Derechos Civiles y Políticos, el Art. 5º de la Declaración de Bogotá de 1948 y
el Art. 11 del Pacto de San José de Costa Rica. Todas estas normas consagran la protección de
la honra, reputación, y la vida privada y familiar, prohibiendo injerencias arbitrarias que bien
pueden derivar del uso de la informática y los bancos de datos en general.
En Uruguay, la Constitución vigente en su art. 7º dice: “Los habitantes de la República tienen
derecho a ser protegidos en el goce de su vida, honor, libertad, seguridad, trabajo y propiedad.
Nadie puede ser privado de estos derechos sino conforme a las leyes que se establecen por
razones de interés general”.
Intimidad es la zona espiritual e íntima reservada de una persona. Es un derecho frente a todos y
es oponible al Estado y a todos los demás actores sociales.
El art. 10 de la Constitución uruguaya expresa: “Las acciones privadas de las personas que de
ningún modo atacan el orden público ni perjudican a un tercero, están exentas de la autoridad
de los magistrados”. Esta noción, nos lleva a vincular este derecho con el derecho al respeto a la
imagen y al honor, derecho este último mencionado en 2º lugar en esta Constitución y protegido
también por normas penales que establecen los delitos de difamación e injurias en el ya
mencionado art. 7º que hace un enunciado de derechos fundamentales.
Como ya dijimos, el auge de la informática y las implicancias de la convivencia en la sociedad
contemporánea han puesto de manifiesto el mayor interés y necesidad por parte del Derecho de
protección, estableciéndose nuevas formas de garantizar los derechos que nos ocupan.
A veces se distingue entre intimidad y privacidad, entendiéndose esta última como las acciones
privadas que no vulneran a terceros aunque éstos las conozcan. Lo privado se dice que lo es por
ser personal, y al no vulnerar a terceros rige el principio de libertad (art. 10 de la Constitución
uruguaya). Actuaría el principio de legalidad: “Ningún habitante de la República será obligado a
hacer lo que no manda la ley ni privado de lo que ella no prohíbe”.
El derecho a la intimidad por otra parte protege las acciones o información que no deberían ser
conocidas por los demás (opciones religiosas, políticas filosóficas, sexuales, ni tampoco su
divulgación). Son datos sensibles y el ser humano tiene derecho a la no registración, o
divulgación de los mismos. El artículo 28 de la Constitución uruguaya reza: “Los papeles
privados los particulares y su correspondencia epistolar, telegráfica o de cualquier otra especie,
son inviolables, y nunca podrá hacerse su registro, examen o interceptación sino conforme a las
leyes que se establecieren por razones de interés general”.
Desde la década del 70, hasta nuestros días, se ha ido superando el concepto restringido e
individualista del “derecho de intimidad” aplicado a la sociedad de información, en beneficio de
un concepto dinámico y socializante de la liberación informática o autodeterminación informática
o informativa.
Algunos autores distinguen intimidad de privacidad. La privacidad refiere al ámbito de las
acciones privadas que no afecten a terceros, aunque pueden ser conocidas por éstos. Lo privado
no lo es por el conocimiento que de esas acciones tengan los demás. Es privado porque pertenece
a la esfera personal de las personas y no afectan a terceros.
Íntimo, refiere al ámbito personal que no es o no debería ser conocido por lo demás. Es la zona
espiritual e íntima, reservada de una persona. Es un derecho del individuo frente a todos y
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
21
Protección de la Privacidad y de los Datos Personales
Hábeas Data
oponible al Estado y a todos los demás actores sociales. El ser humano tiene derecho a la
intimidad, a la no registración y divulgación de sus datos sensibles.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
22
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Hábeas Data
Antecedentes – Evolución - Hábeas Data y Derechos Humanos – Concepto
El hábeas data es un instituto nuevo si lo comparamos con las demás garantías de los
Derechos Humanos. El primer texto de protección fue dictado por el Parlamento de la
República Federal Alemana en 1970 que a su vez dio origen a otra ley en 1977. El hábeas data
sería el derecho subjetivo. Observado como derecho sustantivo, hablamos de “protección de
datos personales”.
En Alemania y España se denuncia la urgencia de un derecho fundamental a la protección de
datos de carácter personal, independientemente del derecho a la intimidad. En la región,
este derecho se destaca en Argentina, que años antes de promulgada la ley 25.326 de 4 de
octubre del 2000 que consagra este derecho, ya preveía la acción de habeas data.
Los Derechos Humanos son el conjunto de derechos de los que gozan las personas por el mero
hecho de serlas y no pueden ser restringidos ni violados. En su evolución histórica se los ha
denominado “derechos individuales”, “fundamentales”,
“libertades individuales”,
refiriéndose a los derechos considerados aisladamente.
Luego, se observan los derechos del individuo en tanto sujeto social, formando grupos o
categorías y así surgen los derechos sociales. En la Asamblea Constituyente francesa de 1789,
se discuten esencialmente los derechos del individuo en su concepción clásica. Con la
revolución industrial y la Primera Guerra Mundial, y lo que ésta trae aparejado, se reconocen
ya los derechos sociales y económicos. (Constituciones de Querétaro de 1917 y Weimer de
1919).
Finalmente, luego de la Segunda Guerra Mundial, se reconocen derechos a la paz, protección
del medio ambiente, a la información, a la verdad, etc. Son los llamados derechos de la 1ra.
y 2da. y 3ra. generación. Estos últimos, son a la vez individuales y colectivos: derecho a un
ambiente saludable, derechos del consumidor, a la autodeterminación informativa, al acceso
a la rectificación, a la verdad. No son éstos derechos nuevos, pero han evolucionado en
función de los profundos cambios de la tecnología y la sociedad.
Todos estos derechos son considerados anteriores al Estado e inherentes al individuo bajo la
concepción ius-naturalista del Derecho, que es la que por otra parte, toma la Constitución
Uruguaya en su art. 72: “La enumeración de derechos, deberes y garantías hecha por la
Constitución no excluye los otros que son inherentes a la personalidad humana o se derivan
de la forma republicana de gobierno”.
Las nuevas tecnologías de información como bancos de datos electrónicos o no, video
conferencias, comunicaciones con mayor rapidez e interconexión entre los registros, han
hecho necesario que las normas relativas al manejo de documentos, puedan ser revisadas.
Los avances pueden poner en riesgo los derechos antes mencionados a la intimidad y
seguridad en la información.
Sólo se puede evitar la lectura de información en un papel o que consten electrónicamente si
se encuentran protegidos y el mensaje no se puede abrir o decodificar. Estos últimos son los
aspectos técnico-informáticos del problema.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
23
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Según María Eugenia Montero, la Carta Fundamental es la que brindará el marco normativo
sobre el que se asienten las bases de la vigencia de los derechos y garantías del Estado
democrático. En situación de emergencia institucional, las garantías podrán estar modificadas
para así asegurarlas, pero esto siempre deberá ser transitorio y nunca se deberían dejar de
lado la Constitución y las bases que ésta sienta como garante de los derechos humanos.
La Convención Interamericana de Derechos Humanos reglamenta la suspensión de garantías
en el art. 27 y establece las condiciones y limitaciones de la suspensión. Se establecen
causales y límites temporales. Respecto a los derechos del hombre, ningún Estado puede
avanzar en su contra aún en estado de emergencia. Son los llamados “núcleo duro”de los
derechos fundamentales. No se podrán suspender las garantías judiciales indispensables para
la protección de tales derechos. Esas garantías jurídicas son, según la Corte el Hábeas Corpus
y el Amparo. La suspensión de garantías en estado de emergencia no comporta suspensión
temporal del Estado de Derecho. Este debe responder según el principio de legalidad. Hábeas
Corpus y Amparo son para la Corte garantías insuspendibles (arts. 7.6 y 27.2 respectivamente)
de la Convención.
De aquí se desprende que, el Hábeas Data está comprendido dentro de las garantías no
pasibles de ser suspendidas ya que condice con la forma democrática, representativa de
gobierno y es un medio idóneo para garantizar el ejercicio de los derechos humanos.
La autora Montero define al Hábeas Data como un procedimiento judicial que habilita a los
individuos a acceder a la información de su persona y garantiza la autodeterminación
informativa. En Argentina, el magistrado Boggiano falló diciendo que el hábeas data se halla
en íntima relación con el derecho a la integridad humana, a la identidad, el honor, libertad
de conciencia, etc.
El acceso a la información es condición fundamental para la vigencia efectiva de la
democracia y también condice con el principio de publicidad de los actos de gobierno.
Se dice que la “información es poder” y es también una defensa. El acceso a datos puede
marcar la diferencia entre protección o violación de un derecho. Un Hábeas Data puede ser
un paso previo a la iniciación de un recurso de Amparo o Hábeas Corpus, con su aporte de
datos o información.
El Hábeas Data protege contra la vulneración de los secretos informáticos y los atentados
contra la intimidad: es el derecho que asiste a toda persona a solicitar la exhibición de
registros públicos o privados donde se incluyan sus datos personales para conocerlos
exactamente, rectificarlos, suspenderlos o suprimirlos, bloquearlos por obsoletos, o,
porque impliquen discriminación.
Etimológicamente, viene del latín, y significa que el sujeto puede “haber” esos datos,
acceder a los mismos. Es una garantía constitucional, para proteger al individuo contra la
invasión a su intimidad, privacidad y honor, e incluso, prohíbe la divulgación de determinados
datos especialmente sensibles, evitando calificaciones que lo puedan perjudicar, discriminar.
Así lo entiende Delpiazzo, que considera la tutela de los datos personales como una
prolongación del derecho a la intimidad.
De este razonamiento se extraen los principios de limitación en cuanto a recolección de
datos, y el plazo de almacenamiento de los mismos. Todo esto va también de la mano de la
finalidad de la recolección de éstos. Otro principio es el de la seguridad: que no se ingrese
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
24
Protección de la Privacidad y de los Datos Personales
Hábeas Data
ilegítimamente a los bancos o se efectúe sesión de datos, o se haga sin los requisitos mínimos
de garantía del Titular.
La Garantía de Hábeas Data
El ejercicio de la acción de hábeas data es un derecho personalísimo y de eminente interés
subjetivo. Surge de la necesidad de una regulación específica para prevenir a los ciudadanos ante
la posible perturbación de la intimidad a través del uso indebido de la informática.
En la Argentina la Ley 25.326 establece los principios generales a la protección de los derechos;
los derechos de los titulares de los datos; define la información sensible; establece los usuarios y
responsables de archivos; registros y bancos de datos; calidad de datos; órganos de control;
sanciones administrativas y penales, y determina la acción de protección de los datos personales
o sea la acción de hábeas data.
El Decreto 1558/29-11-2001 crea la Dirección Nacional de Protección de Datos Personales (art.
29) que se encargará de efectuar controles de oficio o a pedido de un interesado referente al
cumplimiento de los principios establecidos en esta ley y será la encargada de aplicar sanciones
al responsable en su caso.
Siguiendo al especialista en Derecho Procesal, Dr. Osvaldo Alfredo Gozaíni la Ley 25.326 “admite
que el derecho sobre los datos personales es un derecho fundamental nuevo, que consiste en
garantizar a las personas físicas y jurídicas el control sobre sus datos, fiscalizando el uso y
destino que de ellos hagan los archivos, registros, bases o bancos de datos con el propósito de
impedir su tráfico ilícito, lesivo para la privacidad y demás derechos afectados.” (Gozaíni,
Osvaldo Alfredo. Derecho Procesal Constitucional. Hábeas Data. Editorial Rubinzal - Culzoni).
Establece una serie de reglas y principios para los archivos públicos y privados destinados a dar
información. Crea una vía procesal como es el proceso de hábeas data que ya deja de ser un
juicio de amparo.
El objeto de la ley es la protección integral de los datos personales y el principio general es el
derecho de acceso permanente a las bases de datos. En ocasión del debate parlamentario la
entonces Diputada Nacional Dra. Elisa Carrió señalo que la ley de hábeas data se concibió con
cinco finalidades. Dijo: “La primera consiste en acceder al registro de datos; la segunda, en
actualizar aquellos datos que pudieran estar atrasados en ese registro; la tercera, en corregir la
información inexacta que pudiera surgir de la base de datos; la cuarta, en asegurar la
confidencialidad de cierta información para que no trascienda a terceros, y la quinta en cancelar
datos vinculados con la denominada información sensible”.
Uruguay, figuraba ausente en cuanto a poseer una Ley de Protección de Datos Personales. Con la
aprobación de la Ley Nº 17.838 del 28 de septiembre de 2004, publicada en el Diario Oficial el 1
de Octubre de 2004 con el Nº 26.599, se dio remedio a esta situación.
En el ámbito constitucional, no se consagraba expresamente el derecho a la protección de datos
personales, el mismo se consideraba reconocido a nivel normativo en base al Art.72 de la Carta:
“La enumeración de derechos, deberes y garantías hecha por la Constitución, no excluye los
otros que son inherentes a la personalidad humana o se derivan de la forma republicana de
gobierno”. Otro artículo constitucional que debemos citar es el Art. 7º que enumera algunos de
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
25
Protección de la Privacidad y de los Datos Personales
Hábeas Data
los derechos individuales: “Los habitantes de la República tienen derecho a ser protegidos en
el goce de su vida, honor, libertad, seguridad, trabajo y propiedad. Nadie puede ser
privado de estos derechos sino conforme a las leyes que se establecen por razones de
interés general ”
La nueva ley ubica al país en una etapa de avance del sistema jurídico en esta materia,
consagrando la acción de habeas data como mecanismo ejecutivo para hacer valer los derechos
de los titulares de los datos personales que se ven afectados por el tratamiento que, de los
mismos, es realizado por los responsables de las pertinentes bases de datos o similares.
La Ley Nº 17.838 articula su actuación en tres ámbitos fundamentales y otros tres residuales o
contenidos, que son los siguientes:
123456-
La protección de los datos personales en informes comerciales. Título I.
La acción de habeas data. Título II, Cap. y II.
El Órgano de Control. Título II, Cap. III.
Datos de carácter no comercial. Art. 2º.
Datos sensibles. Art. 2º.
Datos y actividades de los registros públicos y similares que han sido creados y regulados por
las normas legales. Art. 22.
7- Disposiciones finales y transitorias. Título III.
En lo que refiere a la Acción de Hábeas Data es un medio de garantía procesal, progresivamente
impuesto en la región a partir de la Constitución Brasileña de 1988. La nueva Ley postula por
primera vez en forma expresa este medio procesal, de características similares a la Acción de
Amparo (Ley 16.011 de 19/12/1988).
En cuanto a los Derechos sustantivos, son derechos instrumentales, que conforman un conjunto
garantista por sí mismo, destinados a defender derechos, como son la intimidad, privacidad y
dignidad de la persona. En la Ley 17.838 el ejercicio de estos derechos, está previsto para que
ocurra en tres ámbitos: A) ante el responsable del registro; B) ante el Órgano de Control y C) ante
el Poder Judicial.
En Uruguay, el Dr. Delpiazzo opina respecto a la ley 17.838 de 24 de setiembre de 2004, que
debería ser más abarcativa de todos los datos personales y no sólo de los de carácter
comercial.
Hay en la ley un doble tratamiento: en su Título I limita su objeto a datos personales
comerciales asentados en archivos, registros, bases de datos u otros medios públicos o
privados destinados a brindar información objetiva de carácter comercial.
En el Título II esta ley regula con alcance general la acción de Hábeas data reconociendo que
toda persona física o jurídica tendrá derecho a entablar una acción efectiva para tomar
conocimiento de los datos referidos a su persona, y de su finalidad y uso, que consten en
bancos de datos públicos o privados y, en caso de error, falsedad o discriminación, a exigir su
rectificación, supresión o lo que entienda corresponder.
A nivel Constitucional no hay en Uruguay consagración expresa pero Delpiazzo entiende que
debe considerarse reconocido este derecho en el art. 72 de la mencionada Carta que da
entrada a los derechos no nombrados pero que fueron concebidos con la esencia ideológica
ius-naturalista de tutela de los derechos del hombre inherentes a su personalidad. El artículo
28 ya citado antes, refiere a la protección de papeles, correspondencia, etc., y prohíbe su
interceptación y esto sería extensible a este tipo de información, así como llamadas
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
26
Protección de la Privacidad y de los Datos Personales
Hábeas Data
telefónicas o listas de ellas, protegiendo así la existencia misma de las listas y su contenido y
difusión. Sostiene el autor, la prolongación del derecho a la intimidad consagrado en el art.
10 de la Constitución uruguaya. En cuanto al derecho internacional, se debe tener presente el
Pacto Interamericano de Derechos Civiles y Políticos que habla de la no ingerencia en la vida
privada, familia o domicilio, correspondencia y ataques ilegales a la honra y reputación. El
Pacto de San José de Costa Rica, regula en el mismo sentido.
También deben tenerse en cuenta las normas sobre secreto: civil (normas sobre identificación
civil); tributario (Código Tributario) y bancario (Ley 15.322 de Intermediación financiera)
La Ley 16.616 de 20 de octubre de 1994 sobre sistema estadístico establece principios
generales respecto al tratamiento de datos. Posteriormente, la ley 16.736 reconoce la
libertad informática. Finalmente, la ley 17.893 de 7 de setiembre de 2004, Código de la Niñez
y la Adolescencia, establece la obligación de incluir datos sobre el niño o adolescente para
seguimiento de los mismos por parte del "Instituto del Niño y Adolescente del Uruguay”
(INAU), quien será custodio de la información que será reservada y perteneciente a cada niño
o adolescente en su caso, protegiendo de esta forma la privacidad de su historia personal.
Hay también en Uruguay dos decretos, uno sobre procedimientos médicos, historias clínicas y
derechos del paciente y otro del año 2003 referente a información y documentos relativos al
estado de salud.
Estamos hablando de datos sensibles que habíamos descrito como aquellos referidos al origen
racial o étnico, preferencias políticas, religiosas, afiliación sindical, información sobre salud
física o sexualidad, donde se requiere el consentimiento expreso e informado de su Titular
para ser divulgado.
La ley uruguaya da por tanto un tratamiento diferente a los datos comerciales y financieros
del que da a los demás datos personales o sensibles.
Para los datos de naturaleza no comercial, se requiere la expresa y previa conformidad de los
titulares e información de éstos respecto a la finalidad y alcance para lo que fueron
recabados: incluye la libertad de emitir opiniones, informar, datos sensibles.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
27
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Información Sensible. Su Tratamiento
Dijimos que la acción de hábeas data es el derecho que asiste a toda persona, identificada o
identificable a solicitar la exhibición de los registros públicos o privados, en los cuales están
incluidos sus datos personales o los de su grupo familiar, para tomar conocimiento de su
exactitud; a requerir la rectificación, la supresión de datos inexactos o que impliquen
discriminación. Su finalidad consiste en proteger al individuo contra la invasión de su intimidad,
ampliamente su privacidad y honor, a conocer, rectificar, suprimir y prohibir la divulgación de
determinados datos, especialmente los sensibles, evitando calificaciones discriminatorias o
erróneas que puedan perjudicar.
Los datos personales se conforman con aquella información que hace posible la identificación
particular de un individuo. Tenemos datos personales íntimos y datos personales de esfera
pública: nombre, apellidos, fecha de nacimiento, dirección y número de teléfono particulares.
Los datos sensibles, es decir, de la esfera íntima, son aquellos que permiten conocer sobre el
patrimonio económico, las enfermedades, las preferencias sexuales, las ideas religiosas, la
pertenencia racial o étnica, entre otras que pueden generar prejuicios y discriminaciones que
afecten la dignidad, la privacidad, la intimidad, la seguridad, la reputación y la imagen de la
persona.
Las diversas legislaciones dan una definición bastante amplia de dato personal. Para las leyes de
Austria, Noruega y Dinamarca, es toda información susceptible de ser puesta en relación con
personas determinadas o determinables, y se refiere tanto a la persona física como a la personal,
moral o jurídica en los dos primeros países, mientras la ley danesa se refiere sólo a los individuos.
La norma de Francia la define como toda aquella información que permite la identificación
directa o indirecta de las personas, mientras que la precursora ley española del año 1992 - Ley
Orgánica de Tratamiento Automatizado de Datos - LOARTAD - lo define como “cualquier
información concerniente a personas físicas identificadas o identificables”. Algunas legislaciones,
francesa, sueca, británica, hacen una distinción respecto de los datos que requieren especial
protección. Se consideran sensibles los antecedentes policíacos, datos de salud, información de
seguridad nacional, creencia religiosa, ideología política, comportamiento sexual e información
financiera.
En cuanto al objeto del hábeas data, es amplia, y su evolución será continúa de acuerdo a lo que
ocurra en la sociedad y en la tecnología. ¿Qué nos permite?
a- Que un individuo pueda acceder a la información que sobre él exista en un banco de
datos.
b- Que el sujeto, legitimado activo, exija que se actualicen esos datos.
c- Que se rectifiquen los que son inexactos.
d- Que se asegure la confidencialidad y no divulgación de cierta información evitando su
conocimiento por terceros.
e- Exigir la supresión de la información sensible que exista sobre sí en los bancos de datos
de que se trate.
Se distinguen diversos tipos de hábeas data de acuerdo al objetivo que se persigue:
1- Hábeas data informativo. Es el que tiene por objeto acceder a la información
que se tiene sobre sí en un determinado banco de datos.
2- Hábeas data de actualización. Es el que actualiza o agrega un dato a un banco
donde el mismo no consta.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
28
Protección de la Privacidad y de los Datos Personales
Hábeas Data
3- Hábeas data rectificador. Es el que tiene por objeto corregir una información
errónea.
4- Hábeas data asegurativo. Asegura que determinados datos no sean divulgados.
Garantiza la privacidad y reserva de datos legítimamente almacenados.
5- Hábeas data de exclusión. Es el que tiene por finalidad excluir determinados
datos sensibles de un registro.
Ley N° 17.838 de la República Oriental del Uruguay. Referencia de Datos
Personales y Sensibles
En su Artículo 2º se establece que se exceptúan de esta ley, el tratamiento de datos que no sean
de carácter comercial como por ejemplo: a) datos de carácter personal que se originen en el
ejercicio de las libertades de emitir opinión y de informar, así como relativas a encuestas
estudios de mercados o semejantes, los que se regularán por leyes especiales que les conciernan
y que al efecto se dicten; b) datos sensibles sobre la privacidad de las personas,
entendiéndose por éstos, aquellos datos referentes al origen racial y étnico de las personas, así
como a sus preferencias políticas, convicciones religiosas, filosóficas o morales, afiliación
sindical o información referente a la salud física o a su sexualidad y toda otra zona reservada de
libertad individual.
Para la obtención y tratamiento de datos que no sean de carácter comercial se requerirá
expresa y previa conformidad de los titulares, luego de informados del fin y alcance del
registro en cuestión.
Por el Artículo 8º se autoriza el tratamiento de datos personales relativos al cumplimiento o
incumplimiento de obligaciones de carácter comercial o crediticia que permitan evaluar la
concertación de negocios en general, la conducta comercial o la capacidad de pago del titular de
los datos, en aquellos casos en que los mismos sean obtenidos de fuente de acceso público o
procedentes de informaciones facilitadas por el acreedor o en las circunstancias del Artículo 4º.
El Artículo 9º, dispone que los datos personales relativos a obligaciones de carácter comercial
sólo podrán estar registrados por un plazo de cinco años contados desde su incorporación. En caso
de que al vencimiento de dicho plazo la obligación permanezca incumplida, el acreedor podrá
solicitar al titular de la base de datos, por única vez, su registro por otros cinco años. Este nuevo
registro deberá ser solicitado en el plazo de treinta días anteriores al vencimiento original. Las
obligaciones canceladas o extinguidas por cualquier medio, permanecerán registradas, con
expresa mención de este hecho, por un plazo máximo de cinco años, no renovables, a contar de
la fecha de la cancelación o extinción.
Según el Artículo 10, los responsables de la base de datos se limitarán a realizar el tratamiento
objetivo de la información registrada tal cual ésta le fuera suministrada.
El Artículo 12, establece que toda persona tendrá derecho a entablar una acción efectiva
para tomar conocimiento de los datos referidos a su persona y de finalidad y uso, que
consten en registros o bancos de datos públicos o privados y en caso, de error, falsedad y
discriminación, a exigir su rectificación, supresión o lo que entienda corresponder.
Cuando se trate de datos personales cuyo registro esté amparado por una norma legal que
consagre el secreto a su respecto, el Juez apreciará el levantamiento del mismo en atención
a las circunstancias del caso.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
29
Protección de la Privacidad y de los Datos Personales
Hábeas Data
El Artículo 13 refiere requerimiento al organismo de control de toda información relativa a la
existencia y domicilio de archivos, registros o bases de datos personales, sus finalidades y la
identificación de sus responsables. A tales efectos habrá un registro actualizado de consulta
pública y gratuita.
El Artículo 14 dispone que todo titular de datos personales que previamente acredite su
identificación con el documento de identidad respectivo, tendrá derecho a obtener toda la
información que sobre sí mismo se halle en bases de datos públicas o privadas. Este derecho de
acceso sólo podrá ser ejercido en forma gratuita a intervalos no inferiores a seis meses, salvo que
se hubiere suscitado nuevamente un interés legítimo de acuerdo con el ordenamiento jurídico.
Cuando se trate de datos de personas fallecidas, el ejercicio del derecho al cual refiere este
artículo, corresponderá a cualesquiera de sus sucesores universales, cuyo carácter se acreditará
por la sentencia de declaratoria de herederos.
La información debe ser proporcionada dentro de los veinte días hábiles de haber sido solicitada.
Vencido el plazo sin que el pedido sea satisfecho o si fuera denegado por razones no justificadas
de acuerdo con esta ley, quedará habilitada la acción de habeas data.
Artículo 15, toda persona física o jurídica tendrá derecho, en caso de corresponder, por
haberse constatado error o falsedad en la información de la que es titular, a solicitar la
rectificación, actualización y la eliminación o supresión de los datos personales que le
corresponda que estén incluidos en una base de datos o similares.
El responsable de la base de datos deberá proceder a realizar la rectificación,
actualización, eliminación o supresión, mediante las operaciones necesarias a tal fin en un
plazo máximo de veinte días hábiles de recibida la solicitud por el titular del dato o, en su
caso, informar de las razones por las que estime no corresponde.
El incumplimiento de esta obligación, por parte del responsable de la base de datos o el
vencimiento del plazo, habilitará al interesado a promover la acción de habeas data.
No procede la eliminación o supresión de datos personales salvo en aquellos casos de notorio
error o falsedad, en aquellos casos en que se pueda causar perjuicio a los derechos o intereses
legítimos de terceros o cuando contravenga lo establecido por una obligación legal.
Durante el proceso de verificación o rectificación de datos personales, el responsable de la base
datos ante el requerimiento de terceros por acceder a informes sobre los mismos, deberá dejar
constancia que dicha información se encuentra sometida a revisión.
Artículo 16, la rectificación, actualización, eliminación o supresión de datos personales cuando
corresponda, se efectuará sin cargo alguno para el interesado.
El Artículo 17 autoriza al titular de datos personales a entablar la acción de protección de datos
personales o habeas data, contra todo responsable de una base de datos pública o privada en los
siguientes casos:
1°) cuando quiera conocer sus datos personales que se encuentran registrados en una base
de datos o similar y dicha información no le hubiese sido proporcionada por el
responsable de la base de datos conforme se prevé en el artículo 9°, o
2°) cuando haya solicitado al responsable de la base de datos su rectificación,
actualización, eliminación o supresión y éste no hubiere procedido a ello o dado
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
30
Protección de la Privacidad y de los Datos Personales
Hábeas Data
razones suficientes por las que no corresponde lo solicitado, en el plazo previsto al
efecto en la ley.
De acuerdo al Artículo 19, las acciones que se promueven por violación a los derechos
contemplados en la presente ley se regirán en lo general por las normas del Código General del
Proceso y en lo particular por los artículos 6°, 7°, 10, 12 y 13 y en lo aplicable por los demás
artículos de la Ley 16.011 de 19/12/1988.
En Uruguay se han promulgado las siguientes normas, las que protegen datos personales y datos
sensibles:
12345678-
Secreto bancario. Decreto Ley 15.322
Historias Clínicas. Decreto 396/2003
Donación y Transplante de órganos. Ley 14.005 y Ley 17.668.
Procedimiento Disciplinario, Registro de Sumarios. Art.17, 40 y 42 del Decreto
258/1992.
Expediente Electrónico. Decreto 65/1998. Decreto 382/2003. Ley 17.243.
Libre flujo de información. Art.14 Decreto 500/1991
Legajo Electrónico de los Funcionarios de la Administración Central. Decreto 385/99.
Formas de almacenamiento de documentos electrónicos. Decreto 83/2001.
Si comparamos la Ley uruguaya con la legislación argentina, Ley 25.326, observamos que se
define, los datos personales y los datos sensibles, el Artículo 7º refiere a los datos sensibles
estableciendo que nadie está obligado a proporcionarlos. Sólo pueden recolectarse, y ser
tratados si media razones de interés general declarada por ley. Pueden ser obtenidos, para su
utilización estadística o científica, si no pueden identificarse los titulares. Se prohíben los
registros de datos sensibles. Sin perjuicio de ello la Iglesia Católica, asociaciones religiosas,
políticas y sindicales pueden llevar bases de sus miembros. Se regla el tratamiento de los
datos penales los que sólo pueden efectuarse por las autoridades públicas de acuerdo a la
competencia asignada por la ley y reglamentación respectiva. Respecto de los datos relativos
a la salud, pública o privada, incluidos obviamente los profesionales vinculados, se establece
que los establecimientos sanitarios pueden recolectar y tratar los datos personales relativos a
la salud física o mental, respectando los principios del secreto profesional. El responsable o
usuario del archivo debe adoptar las medidas que garanticen la seguridad y confidencialidad
de los datos. Su deber de confidencialidad subsiste después de la desvinculación con el
archivo.
Datos Financieros y Comerciales. Su Tratamiento
El derecho a informar es utilizado por empresas que han surgido por la utilidad que
representaba los datos recolectados en cuanto al giro económico y comercial. En Argentina
resulta imposible acceder a un crédito bancario o comercial sin antes obtener lo que se
puede definir como un certificado de buena conducta económica. En ese certificado se
detalla en forma pormenorizada la historia bancaria y judicial de la persona física.
Dice la Dra. María Angélica Gelli “... la información crediticia y comercial puede implicar una
sumatoria o combinatoria de datos nominales, financieros y comerciales que vulneren
derechos de los titulares de aquellos, en caso de falsedad o discriminación.” (Conc. Gelli
María Angélica, La garantía de hábeas data y los datos financieros y comerciales, Revista
Abogados del Colegio Público de Abogados de Capital Federal, Nº 48, Agosto 2001).
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
31
Protección de la Privacidad y de los Datos Personales
Hábeas Data
La Ley 25.326 en el artículo 4º, hace expresa mención a la calidad que deben revestir los
datos en general. Éstos deben ser ciertos, adecuados, pertinentes y no excesivos de acuerdo
al ámbito y finalidad para el que se los obtuvo (art. 4º, inc.1), exactos y actualizados (art. 4º,
inc. 4) y completos (art. 4º, inc. 5).
La Ley 25.326 estableció el principio de la licitud del tratamiento de datos personales cuando
el titular de los mismos hubiere prestado su consentimiento libre, expreso, informado y
comprobable (art. 5º, inc. 1). El consentimiento no es necesario cuando la información se
obtenga de fuentes de acceso público irrestricto (art. 5º, inc. 2, a) y art. 11. inc. 3, b) Ley
25.326). Por lo tanto, si el acceso público es irrestricto, el banco o archivo no hace más que
hacer más accesible o simple la tarea de búsqueda de la información. (art. 4º, inc.1). La
citada ley en el artículo 26 establece los requisitos y condiciones que deben cumplir los
servicios de información financiera. La información que suministren debe ser acotada a lo
referido al patrimonio y a la solvencia económica, bancaria y crediticia, sobre la base de
fuentes públicas accesibles o información dada por el interesado o con su consentimiento.
En caso de información incorrecta, distorsionada o falaz será administrativa, civil y
penalmente responsable el responsable del banco de datos.
El Banco Central de la República Argentina posee un banco de datos denominado “Central de
Riesgo Crediticio”, que se constituye en una central de deudores. Esta información es
utilizada en el mercado financiero. El resto de los bancos públicos y privados de Argentina
tienen sus bases de datos pero las usan para su propio funcionamiento y brindan los informes
exclusivamente al Banco Central, que actúa como organismo regulador. La acción de hábeas
data faculta a tomar conocimiento de los datos que consten en esas bases públicas o privadas
destinadas a proveer informes y en caso de falsedad o discriminación exigir la supresión,
rectificación, confidencialidad o actualización de aquellos.
El artículo 26, inciso 4 determina que “... sólo podrán archivar, registrar o ceder los datos
personales que sean significativos para evaluar la solvencia económica financiera de los
afectados durante los últimos cinco años. Dicho plazo se reducirá a dos cuando el deudor
cancele o extinga la obligación, debiéndose hacer constar dicho hecho”.
Con respecto a datos comerciales, la nueva ley uruguaya 17.838 de 24 de setiembre de 2004
en su Título I, mantiene la limitación de la protección a datos personales asentados en
archivos, registros, bases de datos u otros medios de tratamiento de los mismos, sean éstos
públicos o privados con la finalidad de brindar informes objetivos de tipo comercial. Se crea
un organismo de control administrativo en el ámbito del Ministerio de Economía y Finanzas y
una Comisión Consultiva integrada por siete miembros y se establecen medidas sancionatorias
de apercibimiento, multa, y clausura del archivo, registro o base de datos, por mandato
judicial, en caso de violación del régimen establecido en la propia norma. Son responsables o
sujetos pasivos, los administradores de esos bancos de datos. En materia tributaria, se debe
tener presente el secreto establecido en el Código Tributario aprobado por ley 14.506 de 29
de noviembre de 1974. Asimismo, la ley de Intermediación financiera 15.322 de 17 de
setiembre de 1982 que ampara el secreto bancario, según se mencionó con anterioridad.
Conclusiones
1-
La privacidad refiere al ámbito de las acciones privadas que no afectan a terceros, aunque
puedan ser conocidas por éstos. La intimidad refiere al ámbito personal que no es o no
debería ser conocida por los demás, por ejemplo, opciones sexuales, divulgación de
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
32
Protección de la Privacidad y de los Datos Personales
Hábeas Data
23-
fotografías sin autorización, interceptación o violación de la correspondencia epistolar,
electrónica, telefónica, etc.
Datos personales son la información de cualquier tipo referida a personas físicas o de
existencia ideal determinadas o determinables.
Datos sensibles refieren a los datos personales que revelan origen racial y opiniones
políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información
referente a la vida sexual.
Límites entre el Derecho a la Intimidad y la Libertad de Informar
La libertad de informar se encuentra reconocida en la Constitución de la Nación Argentina
(Artículos 14, 75 inc.19). Otorga la posibilidad de expresar por cualquier medio o forma las ideas.
Puede ser a través de la prensa escrita, oral o audiovisual, libros o conferencias.
La libertad de informar encuentra, entre sus límites naturales, el derecho a la privacidad. Cuando
una situación es de interés público, el derecho a la privacidad cede a favor del derecho a la
información. Se debe tratar de lograr una relación de equilibrio entre el derecho a la información
por una parte y el derecho a la intimidad por otra, no interesa si un dato personal pertenece o no
a la esfera privada de una persona, lo que importa son las posibilidades de relacionarlo con otros
datos informáticamente y la finalidad de ese proceso. No es el conocimiento de determinados
datos personales lo que pone en peligro la libertad de las personas, sino el uso que se haga de las
informaciones.
El derecho a informar, como todo otro derecho constitucional no es absoluto. En su uso lícito
deben ser respetados otros derechos. Deben convivir con otros derechos constitucionales de
idéntico rango. A su vez el informador deberá actuar con probidad, buena fe y lealtad. Deberá
obtener la información por métodos legales, esto implica un uso legítimo de la información
obtenida. Por ello, se reconoce la existencia de dos derechos, el “derecho de informar” y el de la
“privacidad”. No existe justificación legal que de preeminencia a uno sobre otro. Esto indica que
el derecho a informar debe existir y deberá ejercerse de modo legal y responsable; y donde se
encuentra afectada la privacidad deberá ejercerse en forma expedita la acción de hábeas data.
(Cfr. Pierini – Torences – Lorences. Editorial Universidad. Argentina. Segunda Ed. Actualizada).
En la actualidad existen empresas que comercializan y difunden sus bases de datos amparadas en
la libertad y derecho a informar. Con la Acción de Hábeas Data, se está dando respuesta a uno de
los grandes problemas de la actualidad vinculados a los derechos humanos, el de protegerlos.
Archivos, Registros o Base de Datos Personales. Marco Jurídico. Sanciones
La Comunidad Europea en 1981 dispuso por primera vez en el Convenio para la protección de las
personas con respecto al tratamiento automatizado de datos de carácter personal, los
principios rectores en la gestión de los bancos de datos de carácter personal y determinó la
importancia de estructurar organismos específicos de aplicación y introdujo la tipificación de las
conductas de gestores de bancos de datos de carácter personal que violen en su gestión los
principios establecidos por las normas.
En la Argentina, con la sanción de la Ley 25.326, se obliga a todas las entidades públicas y
privadas, de cualquier tipo que manipulen información, a adecuar el funcionamiento de esas
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
33
Protección de la Privacidad y de los Datos Personales
Hábeas Data
bases de datos a la legislación vigente. Al imponerse nuevas responsabilidades y obligaciones a las
empresas y organismos públicos que gestionen bancos de datos personales, acarrea un riesgo
empresarial u organizacional que debe ser evaluado y gerenciado por las empresas y organismos
públicos.(Cfr. Altmark, Ricardo. Adecuación de las bases de datos personales a la nueva
normativa).
La citada ley argentina de protección de datos personales en su artículo 21 determina la
obligatoriedad de la registración de todo archivo, registro, base o banco de datos públicos, y
privado destinado a dar informes y del tratamiento lícito de los datos por parte de las empresas
responsables. El organismo de control tiene la misión de controlar los registros destinados a
proporcionar informes de datos personales, las empresas que se creen y los organismos privados
que se ocupen de ofrecer información personal con el fin de que no violen los principios
establecidos por la legislación y no afecten el honor y la intimidad de las personas.
Establece que las normas referentes a la creación, modificación o supresión de archivos, registros
o bancos de datos pertenecientes a organismos públicos deberán hacerse por disposición general
en el Boletín Oficial. (Cfr. Artículo 22 – Ley 25.326 – Argentina).
Los archivos, registros o bases de datos públicos deberán indicar las características y finalidad del
archivo; las personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u
obligatorio de su suministro; el procedimiento de obtención y actualización de los datos;
estructura básica del archivo, informatizado o no y la descripción de los datos personales que
contendrán; las cesiones, transferencias e interconexiones previstas; órganos responsables del
archivo y oficinas ante las que pudiesen efectuar las reclamaciones en ejercicio de los derechos
de acceso, rectificación, o supresión.(Cfr. Artículo 22 - Ley 25.326 - Argentina).
La mencionada ley en su Capítulo VI, artículo 31, prevé distintos tipos de sanciones para quienes
infrinjan algunas de las prescripciones legales. Determina como sujeto de sanción al “responsable
de archivo” y al “usuario”. Al primero lo define como la “... persona física o de existencia ideal
pública o privada que es titular de un archivo, registro, base o banco de datos ...” y al usuario
como “... toda persona, pública o privada que realice a su arbitrio el tratamiento de datos, ya
sea en bancos propios o a través de conexión con los mismos” (Cfr. Artículo 2º. Ley 25.326 –
Argentina).
Las sanciones pueden ser administrativas, civiles y penales. No toda acción por grave que sea el
perjuicio que ocasione encuadra en los tipos legales existentes. Las sanciones administrativas van
desde el apercibimiento, suspensión, multa, hasta la clausura y cancelación del archivo. Las
sanciones deberán fijarse con carácter retributivo y proporcional a la infracción.
La Ley 25.326 (Argentina) en su artículo 32 establece sanciones penales y para ello incorpora al
Código Penal (Argentina) los artículos 117 bis y 157 bis.
Artículo 117 bis del Código Penal (Argentina):
1º) Será reprimido con la pena de prisión de un mes a dos años el que insertare o hiciere
insertar a sabiendas datos falsos en un archivo de datos personales.
2º) La pena será de seis meses a tres años, al que proporcionara a un tercero a sabiendas
información falsa contenida en un archivo de datos personales.
3º) La escala penal aumentará en la mitad del mínimo y del máximo, cuando del hecho se
derive perjuicio a alguna persona.
4º) Cuando el autor o responsable del ilícito fuere funcionario público en ejercicio de sus
funciones, se le aplicará la accesoria de inhabilitación para el desempeño de cargos
públicos por el doble del tiempo que el de la condena.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
34
Protección de la Privacidad y de los Datos Personales
Hábeas Data
El inciso 1º incorpora un nuevo ilícito que forma parte del Título II del Código Penal referente a
los Delitos contra el Honor. El tipo penal requiere que los autores sepan, conozcan y estén en
conocimiento de la falsedad de los datos que incorporan al banco de datos. El elemento objetivo
es conocer la falsedad de la información y, el elemento subjetivo, lo constituye el incorporarla a
la base de datos.
Se entenderá por falso: engaño, falaz, fingido, falto de ley, de realidad de verdad; incierto y
opuesto a la verdad. (Diccionario de Ciencias Jurídicas, Políticas Sociales y de Economía. Dirigido
por Víctor Santo)
Estamos frente a un dolo de pura actividad, quien inserta un dato falso a sabiendas incurre en la
figura típica, aunque no acarree ningún perjuicio.
Artículo 157 bis del Código Penal (Argentina):
Será reprimido con la pena de prisión de un mes a dos años el que:
1º) A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de
datos, accediere de cualquier forma, a un banco de datos personales.
2º) Revelare a otro información registrada en un banco de datos personales cuyo secreto
estuviere obligado a preservar por disposición de una ley.
Cuando el autor sea funcionario público sufrirá, además, pena de inhabilitación
especial de uno a cuatro años.
Se refiere al acceso indebido a un banco de datos personales, cualquiera fuera el soporte, sea
transfiriéndolo o consultándolo en el lugar en que se encuentre y la acción delictiva es revelar a
otro. Para que se configure el ilícito debe ser una información secreta.
En ambos artículos se menciona la situación del funcionario público que debe cumplir con el
principio de fidelidad. La violación de secretos es considerado uno de los incumplimientos más
graves en los deberes de funcionarios públicos.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
35
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Aspectos Conceptuales de Base de Datos Vinculados al Tema Protección de
Datos Personales y Privacidad
El objetivo de este documento, es definir y delimitar algunos conceptos “informáticos”
vinculados al tema base de datos, cuando se habla de protección de datos personales, privacidad
y bases de datos, intimidad y habeas data.
Introducción
En líneas generales, todos tenemos una noción intuitiva de lo que es un banco de datos
electrónico o una base de datos y lo asimilamos a un conjunto de datos vinculados a un cierto
tema o tópico, disponible a través de medios informáticos; así se hablan de bases de datos
legales o bases de datos meteorológicas, para englobar un conjunto de información con cierto
nivel de afinidad.
Ahora, ¿cómo se construye una base de datos? ¿Cómo se organiza? ¿Cómo se accede a la
información? Estos y otros interrogantes, pretendemos aclarar a continuación, teniendo en cuenta
que existen una gran variedad de teorías sobre las bases de datos, pero a todos los efectos de
este trabajo, se utilizará como marco teórico de referencia el de las bases de datos relacionales,
pensando que el tipo de público al que está orientado este trabajo, está compuesto
mayoritariamente por profesionales no-informáticos.
Construcción de una Base de Datos
El término base de datos engloba en realidad dos cosas: la base de datos propiamente dicha,
esto es, los datos objeto de mi interés y un conjunto de programas o software que me permiten
almacenar, recuperar, modificar, etc. la información que la base de datos contiene. Ejemplos de
software de base de datos son: Oracle, MySQL, DB2, etc. y que se los conoce como Sistemas de
Gestión de Bases de Datos (SGBD).
La base de datos propiamente dicha, está conformada por dos elementos básicos: entidades y
relaciones.
Desde nuestro punto de vista, una entidad es todo aquello de lo que deseo almacenar
información en mi base de datos, por ejemplo: las personas y las profesiones podríamos decir que
son entidades.
Las entidades están representadas mediante registros en donde cada registro, almacena ciertos
atributos que describen a una entidad específica dentro del conjunto, por ejemplo: su nombre,
su fecha de nacimiento, etc.; y dentro de los atributos, podemos distinguir uno o varios, que
diferencian a una entidad dada del resto de las del conjunto y que llamaremos claves, por
ejemplo: el documento de identidad o el número de pasaporte.
En nuestra base de datos, las entidades existen por si mismas y no con relación a otras entidades,
mientras que las relaciones existen solamente si están vinculadas a dos o más entidades, por
ejemplo: “ejerce” es una relación entre la entidad “personas” y la entidad “profesiones”,
“practica” será una relación entre la entidad “personas” y una entidad “deportes”.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
36
Protección de la Privacidad y de los Datos Personales
Hábeas Data
La idea de las relaciones, no solamente nos permite almacenar información relevante, como por
ejemplo desde qué fecha ejerce la profesión o dónde obtuvo el título, sino que además, nos
permite introducir restricciones a la información que se pueda almacenar en nuestra base de
datos, ya que – por ejemplo - nadie va a poder ejercer una profesión inexistente y es
precisamente aquí, donde el software de base de datos empieza a facilitarme el trabajo,
encargándose él de establecer, sobre la base de mi modelo de base de datos, cuáles serán las
restricciones que debe imponer para que no se introduzcan inconsistencias en la base.
Genéricamente, a las estructuras que almacena los datos de las entidades y de las relaciones se
las llama tablas porque fácilmente se pueden representar mediante tablas en donde cada fila es
un registro y cada columna un atributo, por ejemplo:
atributo
registro
Documento de
Nombre
identidad
1.234.567
Juana Pérez
2.345.678
Juan López
3.444.555
Ana García
REPRESENTACIÓN TABULAR
DE LA ENTIDAD “PERSONAS”
Teléfono
834 8489
344 8347
824 4819
Fecha de
nacimiento
13/04/1976
24/02/1975
21/07/1977
REPRESENTACIÓN TABULAR
DE LA ENTIDAD
“PROFESIONES”
Código
25
72
73
Denominación
Ingeniero Civil
Escribano Público
Doctor en Leyes
Duración
6
5
6
Esta representación de entidades, es la misma que utilizamos para relaciones, por
ejemplo:
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
37
Protección de la Privacidad y de los Datos Personales
Hábeas Data
REPRESENTACIÓN TABULAR
DE LA RELACIÓN “EJERCE”
Cédula de
identidad:
1.234.567
2.345.678
2.345.678
3.444.555
Carrera
realizada:
25
72
73
25
Comenzó a
ejercer:
01/03/1999
10/03/1998
15/03/2001
07/03/2000
Está
colegiado:
NO
SI
SI
NO
Como se puede ver, existen atributos propios de las entidades y atributos propios de las
relaciones, como es el caso – en el ejemplo - de “Comenzó a ejercer:” y “Está colegiado”. Ahora,
¿por qué no aparecen los datos de las personas o de las carreras en las relaciones? Porque se
pueden averiguar fácilmente teniendo el número de cédula de identidad o el código de carrera.
Esto además, me permite eliminar – entre otras cosas - redundancia o datos redundantes, ya
que si yo no hubiera construido este modelo, tendría que poner siempre los nombres completos
de las personas, sus fechas de nacimiento, denominaciones de carrera, etc. etc., multiplicándose
la cantidad de espacio necesario para guardar la información, generándose la posibilidad de
introducir inconsistencias al actualizar una denominación, fecha o dato en un lugar pero no en
otro. Claramente se puede ver que las entidades participan en las relaciones a través de sus
claves, ya que mediante éstas se pueden conseguir todos los datos necesarios de cada entidad.
Hasta aquí hemos visto cómo construir una base de datos, introduciendo una serie de conceptos
vitales:
‰ Atributos
‰ Claves
‰ Entidad
‰ Inconsistencias
‰ Modelo
‰ Redundancia o Datos redundantes
‰ Registro
‰ Relaciones
‰ Restricciones
‰ Sistemas de Gestión de Bases de Datos (SGBD)
‰ Tablas
Organización de una Base de Datos
Actualmente, la gran mayoría de los aspectos vinculados a la organización de una base de datos
son transparentes para todos los usuarios y sólo los administradores de las bases se ocupan de su
organización; hay casos, incluso, en que no se requiere de grandes tareas de administración
sistemática, sino que alcanza con un trabajo de setup o instalación inicial, para que todo
marche bien por mucho tiempo. No obstante, existen una gran variedad de factores que pueden
incidir en la necesidad de administración: cantidad de información almacenada, tamaño de la
empresa o distribución geográfica, volatilidad de la información (cantidad de altas y bajas de
registros por segundo o minuto), etc.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
38
Protección de la Privacidad y de los Datos Personales
Hábeas Data
La administración entonces, puede pasar por resolver aspectos de distribución de la base, en
donde lo que haremos es distribuir la información de acuerdo con las necesidades del caso y así,
por ejemplo, tendremos que en cada sucursal de un banco, residirán los registros de los clientes
cuyas cuentas residen en ella, en cuyo caso hablaremos de distribución horizontal. Si
distribuimos teniendo en cuenta los atributos, de forma que, por ejemplo, el área de producción
posea los datos vinculados a la fabricación de un producto y el área contable los de
comercialización, hablamos de distribución vertical de la información. Por diversos motivos:
velocidad de acceso a la información, seguridad, disponibilidad, etc.; se suelen hacer réplicas o
espejos de la base de datos (incluyendo al SGBD).
Si bien todas estas posibilidades de organización – y muchas más - existen actualmente en la
mayoría de los SGBD, es importante destacar que todo esto es transparente para el usuario final:
si los datos están en Buenos Aires, Montevideo o Washington, o si además de lo que él ve, hay
algo más, él no se entera; a lo sumo, “sentirá” que a algunos datos puede acceder más despacio
o más rápido o que otras sucursales o áreas de la empresa, manejan datos que él no ve. Alta de
un registro en una réplica situada en un país y su actualización automática a todas las réplicas
existentes en otros países, son tareas que los usuarios ni siquiera saben que existen.
El tema de la organización es – definitivamente - un tema de los administradores de las bases de
datos, aunque no obstante esto, es importante tener claros algunos de los conceptos que en él se
manejan:
‰
‰
‰
‰
Distribución horizontal
Distribución vertical
Réplicas o Espejos
Volatilidad
Acceso a la Información en una Base de Datos
Si bien a las bases de datos se las puede catalogar como públicas y privadas, entendiendo que a
las primeras puede acceder cualquier usuario y a las segundas sólo un conjunto específico, en
todos los casos se pasa por un “filtro” de seguridad para acceder a la información contenida en
ellas, de forma de que no cualquiera puede hacer cualquier cosa, sino que dependiendo de sus
necesidades, perfil, etc. tendrá restricciones de acceso, siendo ejemplo de éstas:
‰
‰
‰
Horario: permitir el acceso a la base, en horarios específicos; por ejemplo: en el horario
de funcionamiento de la empresa, fuera del horario de funcionamiento de la empresa, en
la mañana, etc.
Perfil: cada usuario tendrá un perfil que le permitirá acceder a cierta parte de la
información; por ejemplo: los funcionarios de una sucursal de un banco, solamente
podrán mirar los datos individuales de los clientes que pertenecen a esa sucursal; los
funcionarios de una empresa en general, podrán ver sus propios sueldos, pero no el del
resto de la empresa, mientras que los del área contable podrán ver los de todos; los
vendedores de una empresa, podrán ver las ventas categorizadas por producto,
departamento o rubro, pero no por vendedor, etc.
Individual: independientemente del perfil al que pueda pertenecer un funcionario, puede
tener derechos especiales para acceder o no acceder a cierto tipo de información; por
ejemplo, puede que no se desee permitir que un funcionario del área contable, que aún
no ha cumplido tres meses de trabajo, acceda a los datos de ventas y sueldos de la
empresa.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
39
Protección de la Privacidad y de los Datos Personales
Hábeas Data
‰
‰
‰
‰
Estadístico: puede restringirse el acceso a datos agregados que involucren a menos de
una cierta cantidad de datos en el total o permitir que se realicen cierto tipo de
consultas, pero no las contrarias, de forma que no se pueda obtener un dato prohibido
por diferencia; por ejemplo: el sueldo de un gerente, las comisiones cobradas por un
vendedor o las ventas realizadas a una empresa en particular.
Verticales: nadie puede acceder a ciertos atributos de registros; por ejemplo, se puede
ver todos los datos de los usuarios, pero no sus códigos o passwords de acceso y sus
direcciones personales; se pueden modificar individualmente todos los datos de un
cliente, excepto su saldo.
Horizontales: se puede o no se puede acceder a ciertos grupos de registros; por ejemplo:
por motivos estratégicos o contractuales, se puede inhibir el acceso a las ventas que se le
hacen a ciertos clientes o las compras que se le hacen a ciertos proveedores.
De lectura, escritura o modificación: se inhibe la realización de estas operaciones a
ciertos usuarios o en ciertas tablas o parte de éstas (vertical u horizontalmente).
Éstas son solamente algunas de las restricciones que se pueden aplicar a la información existente
en una base de datos. Ahora bien, ¿quién se encarga de definir estas restricciones? La definición
de políticas de acceso debe ser realizada por funcionarios de alta jerarquía de las
organizaciones, pero no por los administradores de la base de datos; estos pueden asesorar en
cuanto a la posibilidad, imposibilidad o complejidad de realizar cierto tipo de controles o de
aplicar ciertos filtros, pero no son los que se deben encargar de definir las políticas de acceso,
sino de traducirlas en restricciones y aplicarlas.
Muchas de las restricciones mencionadas, pueden ser puestas en funcionamiento mediante
mecanismos previstos dentro del SGBD, otras pueden ser incluidas dentro del modelo de datos y
otras requerirán de un esfuerzo de programación adicional al que necesita el sistema del cliente,
para desempeñarse adecuadamente y de acuerdo con los objetivos para el que fue creado.
Volviendo a la definición de bases de datos públicas y privadas, la distinción que hacíamos al
comienzo, se ve reflejada en el hecho de que la mayoría de las bases de datos, tratan a los que
acceden desde el exterior en forma anónima o sea, sin un nombre y clave de usuario registrado
dentro de la base, como a un mismo usuario, permitiéndole acceder a todos ellos, a exactamente
la misma información.
El hecho de que un usuario en forma no-intencional (perteneciente o no a la organización, o sea:
nominado o anónimo) acceda o modifique información que no debería - “viole” de alguna manera
la base de datos - puede estar provocado por uno o varios de los siguientes motivos:
‰
‰
‰
Incorrecta definición de las políticas de acceso o ausencia de éstas: en este caso, el
usuario tenía derecho a acceder a la información y desde un punto de vista estrictamente
informático, él no “violó” la base de datos; la responsabilidad del incidente es de quienes
definieron las políticas de acceso (o no lo hicieron) y la solución al problema está en
revisar estas políticas, estableciendo nuevas restricciones o cambiando las existentes.
Incorrecta aplicación de las políticas de acceso: este caso es muy similar al anterior en
cuanto a que el usuario no “violó” la base de datos; la diferencia radica en que la
responsabilidad del incidente es de quienes aplicaron las políticas: los administradores de
la base de datos al configurarla, los que diseñaron la base o el sistema de aplicación o los
que elaboraron los programas que lo componen; el problema se resuelve delimitando con
exactitud donde está el problema: administración, análisis y diseño o programación, y
realizando los cambios necesarios para que se apliquen las políticas definidas.
Mal funcionamiento del software del SGBD o del sistema operativo donde reside: este es
uno de los casos más difíciles de resolver, ya que es muy difícil delimitar la
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
40
Protección de la Privacidad y de los Datos Personales
Hábeas Data
‰
responsabilidad y trasladarle el problema al fabricante del software, para que resuelva el
problema dentro de plazos razonables para la organización.
Errores, omisiones o desconocimiento del personal técnico: existen una gran variedad de
consideraciones que se deben realizar a la hora de proteger la información residente en
una base de datos que están exclusivamente en la esfera conceptual de los funcionarios
del área informática de la organización y es por este motivo que son su responsabilidad,
tanto en términos de prevención como de resolución, entre ellos se puede mencionar: las
passwords (características, periodicidad en los cambios, etc.), encriptación de
información en diversas instancias (almacenamiento, transmisión, etc.), respaldo de los
datos de la base, controles periódicos de integridad, actualización del software del SGBD,
procedimientos, etc. En este caso la responsabilidad del incidente es del personal
técnico y la forma de resolver el problema – si se puede resolver - dependerá mucho del
problema en sí mismo.
Si bien la clasificación anterior nos permite cubrir la inmensa mayoría de los casos de acceso nointencional, cuando existe una intención concreta del usuario de acceder, modificar o eliminar
información de una base de datos, a pesar de no tener los derechos (informáticamente hablando)
para hacerlo, la cantidad de posibilidades se dispara enormemente, ya que sumadas a las ya
enumeradas existen tantas otras como se puedan imaginar; a modo de ejemplo, van algunas:
obtención de usuarios y claves ajenas, aprovechamiento de descuidos al utilizar estaciones de
trabajo con sesiones abiertas, abuso de confianza, aprovechamiento de debilidades del software,
uso de software espía, revisión de logs, etc.
Acciones para Contrarrestar Actividades Ilícitas de Piratas Informáticos
El objetivo de este trabajo es establecer acciones para contrarrestar actividades ilícitas de
piratas informáticos, entendiendo como “contrarrestar” - en este caso -, el evitar que las
acciones lleguen a realizarse y no como mitigar o paliar el daño realizado.
Introducción
La Constitución uruguaya dice en su artículo 10: “Ningún habitante de la República será obligado
a hacer lo que no manda la ley, ni privado de lo que ella no prohíbe.”
Nunca se ha aplicado en forma más “al pie de la letra” este principio, que en el ámbito
informático y eso se debe a que las computadoras no tienen “sentido común”, para ellas no hay
“hechos evidentes” o “notorios” y a falta de reglas de seguridad expresas, ellas evitarán
intervenir; o sea, aplicarán al pie de la letra el artículo mencionado, no siendo aplicables (en la
inmensa mayoría de los casos) las “reglas de experiencia” o presunciones.
Por estos motivos, es que la principal acción para contrarrestar a los piratas informáticos, será la
prevención en cada una de las áreas relevantes, tratando de incorporar a la organización la
cultura del riesgo de forma que el control, la seguridad, las restricciones, etc., sea algo natural
en los procesos operacionales y no un proceso aparte, visto muchas veces como un mal necesario.
Con este enfoque es que se trabajará en el resto del documento.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
41
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Definiciones Previas
Así como para los especialistas en informática es difícil establecer la diferencia o alcance exacto
de los términos robo, hurto y rapiña, conviene definir desde un punto de vista informático, que
son los piratas, hackers y otros términos utilizados comúnmente:
‰
‰
‰
Hacker: se utiliza este término para identificar a todas aquellas personas con
conocimientos computacionales suficientes como para realizar operaciones y
atravesar barreras generalmente prohibidas, pero sin un fin delictivo o dañino;
entiéndase que el “fin último” puede no ser delictivo, aunque la conducta o
medios utilizados sí pueden serlos. Así por ejemplo, se denomina hackear a la
acción de ingresar a un sitio restringido, con el sólo fin de haber entrado.
Cracker: las actividades desarrolladas y las conductas de éstos, son muy similares
a las de los hackers, la diferencia radica en que estos tienen generalmente malas
intenciones y el “fin último” de su actividad – generalmente - es el sabotaje o
daño. Así por ejemplo, se le llama crackear a la acción de dejar fuera de servicio
un equipo o base de datos, o desproteger un sistema operativo (Windows XP, por
ejemplo) para su instalación.
Pirata: se utiliza esta denominación para identificar a aquellas personas que se
dedican a copiar ilegalmente software, sea para distribuirlo o para su propio uso.
Se utiliza también para denominar a aquellas personas que utilizan los recursos
informáticos (propios o ajenos) para obtener un beneficio pecuniario, mediante
acciones delictivas.
A medida que la tecnología va avanzando y junto con ella las prestaciones y posibilidades de
Internet, nuevas formas delictivas van surgiendo y recibiendo nuevos nombres, por ejemplo, se
denomina phishing a la acción de adquirir en forma fraudulenta claves, números de tarjeta de
crédito, información personal, etc. mediante el envío de e-mails supuestamente de personas o
instituciones confiables; por esto no se hará un análisis o enumeración exhaustiva, sino que en
este trabajo se utilizará el término delincuente informático para identificar a todos aquellos
que cometan delitos informáticos en la acepción dada por la Dra. María de la Luz Lima: “el
delito Informático es cualquier acto ilícito penal en el que las computadoras, sus técnicas y
funciones desempeñan un papel ya sea como método, medio o fin”.
Áreas Relevantes
Existen muchas áreas relevantes, especialmente sensibles al accionar de los delincuentes
informáticos; a continuación se enunciarán algunas, describiendo medidas a tomar para evitar
estas acciones.
Restricciones y Políticas de Acceso
Como se comentó en el informe anterior, es imprescindible definir políticas de acceso a la
información que reflejen cabalmente las ordenanzas y pautas existentes en la organización, con
total independencia de las alternativas de software, configuración o prestaciones elegidas, ya
que si estos elementos no son capaces de reflejar las restricciones o políticas definidas, deben
ser sustituidos.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
42
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Capacitación - Actualización del Personal
Es una frase bastante repetida ya, pero la tecnología sigue avanzando a una velocidad que nos
resulta increíble hasta a aquellos que estamos trabajando en forma cotidiana en el área
informática, y es por eso que se deben implementar planes de capacitación permanentes, tanto
para los funcionarios técnico-informáticos como para los que son solamente usuarios.
La capacitación tiene múltiples ventajas, que van mucho más allá de los aspectos concretos de la
seguridad; no obstante y a modo de ejemplo, vale la pena decir que la frecuencia en los cambios
del software, hace que sea prácticamente imposible, asignarle tiempo a la tarea de auto
capacitación ya que, en líneas generales, ésta consume mucho tiempo en los ciclos
“ensayo/error/revisión” y no garantiza el máximo aprovechamiento del software de la
organización.
La falta de experiencia en problemas concretos, nos hace tener - en algunos casos - una visión
inadecuada, en la que se tiende a subestimar o minimizar las posibilidades de un problema de
seguridad y sus consecuencias.
Actualización de Software
Las actualizaciones de software son de dos tipos:
‰
Perfectivas: incorporan nuevas prestaciones o mejoran las existentes.
‰
Correctivas: modifican los programas para que realicen las operaciones que estaba
previsto hicieran, en forma adecuada y eficiente.
Cualquiera sea el caso, la organización deberá realizar todas las actualizaciones tan pronto como
sea posible, ya que de éstas dependerá la seguridad y estabilidad de los sistemas; un sistema
inseguro o inestable es un blanco fácil para delincuentes informáticos.
Regularización y Control de Software
Utilizar software sin haberlo adquirido por medios legales es un delito y eso trasciende todo
aspecto de seguridad; no obstante, vale la pena destacar que muchas veces, las actualizaciones
de software están disponibles para los usuarios registrados, o sea, los que han adquirido el
software de un modo legal, en los lugares adecuados (en especial en aquellos casos que sean
“shareware”1 o “freeware” 2 ). Esto quiere decir que si el software que se utiliza está en
1
Se entiende por “shareware” aquel software distribuido bajo un esquema de respeto en el que el
usuario se compromete a utilizarlo libre de costo en las condiciones que se establecen o pagándolo
en caso contrario; muchos programas shareware se pueden utilizar libremente por un período,
luego del cual se debe pagar para que siga funcionando; el objetivo de esto es que el potencial
cliente pueda probar el producto antes de comprarlo.
2
Se entiende por “freeware” aquel software que si bien tiene un copyright, el dueño de éste,
autoriza el uso libre y prohíbe su venta.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
43
Protección de la Privacidad y de los Datos Personales
Hábeas Data
condiciones irregulares, seguramente no se podrá actualizar generando inestabilidad e
inseguridad en el sistema.
Existen casos especiales en los que versiones “pirata” de software han sido modificadas para
generar una brecha en la seguridad, transmitir virus (pueden estar simplemente infectados) o
incluso, pueden no ser el software que pretenden ser (pueden ser “caballos de Troya”) pudiendo
realizar operaciones insospechadas al ser instalados.
Mucho más inofensivos en apariencia, pueden ser programas que no representen riesgo legal, que
realicen exactamente lo que dicen, pero que no sean adecuados para la organización; por
ejemplo: que transmitan los datos de la organización sin encriptar.
Virus
Los virus informáticos, han ido evolucionando a lo largo del tiempo, pareciéndose cada vez más a
lo que es un virus biológico y, por eso, su definición es prácticamente la misma: un virus es un
programa potencialmente dañino (o patógeno3) capaz de auto replicarse utilizando la
infraestructura del anfitrión.
La variedad de virus informáticos que existen en la actualidad es tan grande, que ya no se pueden
definir por enumeración o ejemplificar fácilmente como antes, ya que desde los virus que son –
prácticamente - inofensivos a los diseñados para generar “ataques” sincronizados desde
computadoras infectadas, a un equipo o red en particular “inundándolas” de datos, pasando por
los que solamente afectan al huésped, existen una enorme variedad de alternativas. Para tener
una idea de la cantidad4 de virus diferentes que existen, alcanza con ver la página de – por
ejemplo - la empresa F-SECURE5 en donde según los nombres y bajo las letras A, B y C (hay hasta
la Z, hay que empiezan con números y hay “otros”), se pueden encontrar 945 virus diferentes,
mientras que según Symantec6, la versión del 3 de agosto de 2005, es capaz de detectar 70.412
amenazas diferentes.
Existen múltiples clasificaciones de virus, que dependen de básicamente tres aspectos:
‰
‰
‰
Formato de almacenamiento del virus.
Método de propagación o “infección”.
Efecto o tipo de daño causado.
Independientemente de las clasificaciones, definiciones o características intrínsecas de cada
virus, lo que está claro es que no hay virus buenos ya que todos consumen recursos y todos
provocan daños7.
Es por este motivo que es imprescindible tener antivirus, ya no solamente en las grandes
organizaciones sino en todas las computadoras; dependiendo de cada caso las alternativas
disponibles en el mercado serán distintas, pero existe una gran variedad de programas antivirus:
3
En nuestro caso, las enfermedades o patologías que puede provocar son informáticas
Téngase en cuenta que estas cifras aumentan día a día.
5
http://www.f-secure.com/v-descs/
6
http://securityresponse.symantec.com/avcenter/defs.added.html
7
La cantidad de virus que no provocan daños (aunque si consumen recursos) no es significativa y
sería una irresponsabilidad asumir a priori que un virus puede llegar a ser “inofensivo”.
4
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
44
Protección de la Privacidad y de los Datos Personales
Hábeas Data
‰
‰
‰
‰
Para computadoras aisladas
Para servidores de correo
Para servidores de archivos
Etc.
Uso de Firewalls
Un “Firewall” es un equipo o grupo de estos, que conforman un sistema de seguridad de acceso a
Internet; esquemáticamente se vería de esta forma:
ORGANIZACION
FIREWALL
...
INTERNET
De esta forma, todo el tráfico de información de la organización, pasa por el firewall, que
decidirá cuales serán los servicios de red que podrán utilizar quienes intenten acceder desde
Internet. No se debe perder de vista que un firewall no es capaz de ayudar a resolver los
problemas de seguridad, una vez que la “amenaza” está dentro de la organización; por eso, si un
usuario posee un módem telefónico y un ISP, entonces podrá conectarse a través de este
dispositivo exponiendo a la organización a que se produzcan accesos no permitidos desde
Internet.
Conceptualmente, un firewall solamente podrá autorizar o prohibir tráfico de información; no
obstante en la actualidad y dependiendo del proveedor o fabricante, los firewalls son capaces de
hacer bastante más que esto, siempre controlando el tráfico de información y con el objetivo de
proteger a la organización.
Control de Hardware
El equipamiento existente o el acceso a éste, puede representar un peligro potencial ya que –
como se mencionó en el tema Firewalls - puede permitir que los usuarios realicen operaciones
que pongan, o puedan poner en riesgo a la organización; ejemplos interesantes son:
‰
Los puertos de los PCs, en particular los módems, proveen una puerta al exterior de la
organización, salteando, en la mayoría de los casos, todo o parte del esquema de
seguridad.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
45
Protección de la Privacidad y de los Datos Personales
Hábeas Data
‰
‰
‰
‰
Las unidades de acceso a fuentes de almacenamiento removible como disquetes o CDS
que permiten ingresar a equipos de la red, archivos potencialmente problemáticos.
Las tarjetas de comunicación8 que permitan “escuchar” el tráfico de toda la red.
Los dispositivos de conexión en red, tales como hubs o switches (comunes o
inalámbricos), que puedan permitir la conexión de equipos no autorizados como
notebooks.
Los servidores ubicados en lugares públicos o de fácil acceso.
Passwords o Claves de Acceso
Las reglas de creación de claves abundan. Generalmente son tan efectivas como engorrosas y
terminan obligándonos a inventar claves que difícilmente recordamos y por eso autorizamos al
sistema operativo a que las recuerde por nosotros, las anotamos en un papel (a veces en un
“post-it” pegado en el frente de la computadora o el monitor”) o las guardamos en un archivo de
texto simple, que generalmente se llama “claves”, “passwords” o algo así.
Otras personas acostumbran darle sus claves a compañeros de trabajo para que la puedan utilizar
en su ausencia, tienen la misma clave desde que empezaron a trabajar con computadoras (hace
10 años o más), dejan la clave que les dio el proveedor, administrador del sistema sin cambiar
por las dudas o eligen cosas tan obvias como el nombre de su pareja, sus hijos, sus mascotas o el
cantante de moda.
Es de imaginar que en los contextos descritos anteriormente, las claves de acceso se transforman
en una mera formalidad o un estorbo menor, pero que no brindan la seguridad que de ellas se
espera, por eso, se recomienda contemplar al menos estas pautas:
‰
‰
‰
‰
Cambie su clave tan a menudo como sea posible, pero tenga en cuenta que una vez al
año, no es a menudo.
Evite utilizar claves obvias o combinaciones de estas y si su clave no existe en ningún
diccionario, mejor.
Se supone que todas sus claves deberían ser diferentes, ya que de no ser así y si
descubren alguna, es muy factible que tenga serios problemas; si entiende que esto es
una “exageración”, por lo menos, tenga en cuenta que: las claves para uso personal
deben ser distintas de las de uso profesional y si tiene más de un trabajo, las claves de
cada uno deben ser diferentes.
No utilice claves cortas, de 4 o 5 caracteres; trate de que siempre tengan al menos 8 y
contengan letras y números (si tiene algún símbolo: #, @, &, etc.; mejor) ya que con
suficiente tiempo y posibilidades de intentar, cualquier password puede ser encontrada.
Respaldos
Si bien la realización de respaldos es algo que va mas allá de los ataques informáticos, ya que es
prevención contra todo tipo de “eventualidades”: incendios, robos, inundaciones, rotura de
equipos, etc.; cuide los respaldos de forma que no sean de fácil acceso; no pocas organizaciones
No toda las tarjetas permiten escuchar todo el tráfico de red, las que lo permiten se dice que
son “promiscuas” o que pueden ser utilizadas en “modo promiscuo”.
8
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
46
Protección de la Privacidad y de los Datos Personales
Hábeas Data
tienen implementadas excelentes políticas de acceso, pero guardan los respaldos en un estante,
en un corredor o una oficina atestada de funcionarios.
Una anécdota interesante: los tres bancos estatales más importantes de un país latinoamericano –
del que por motivos obvios, no mencionaremos el nombre - decidieron, intercambiar
periódicamente copias de sus respaldos, guardándolas en sus bóvedas de seguridad. Todos
aplaudieron esta sabia y previsora decisión que permitía tener la información a buen recaudo y
protegida de desastres naturales, robos, incendios, etc., utilizando como se recomienda, un lugar
relativamente apartado y seguro; no obstante, las copias eran llevadas por cadetes en ómnibus o
a pie.
Disposición de la “Basura” y Manejo de Archivo
En la vida cotidiana, los papeles que echamos en la basura, poseen datos que pueden ser
utilizados por terceros y que en ese caso, pueden ocasionarnos desde un dolor de cabeza o
molestias, a serios problemas. Así por ejemplo: estados bancarios, resúmenes de tarjeta de
crédito, notificaciones de depósitos, facturas de objetos valiosos, etc., representan peligros
potenciales si caen en manos inescrupulosas.
Algo similar pasa con los archivos que eliminamos si el sistema operativo los deja en la “Papelera
de reciclaje” o con los que - como no vamos a volver a utilizar - olvidamos en directorios públicos
o de acceso no restringido, ya que al igual que en la vida cotidiana, manos inescrupulosas pueden
tornarlos peligrosos.
Veamos algunas recomendaciones básicas para evitar estos peligros potenciales y manejar
archivos en general:
‰
‰
‰
‰
‰
Cuando eliminamos un archivo, debemos cerciorarnos de que fue efectivamente
eliminado y de que no está en papeleras de reciclaje o directorios intermedios.
Para almacenar archivos en general, debemos tratar de utilizar directorios con acceso
restringido o controlado, de forma de que solamente los que estén autorizados puedan
acceder a él.
Cuando no necesitemos más un archivo, es conveniente moverlo a un directorio especial,
en donde almacenemos la información estática.
Es recomendable conocer y utilizar los atributos de archivos que permite manejar nuestro
sistema operativo, de forma de restringir las operaciones que sobre ellos se pueden
realizar; por ejemplo: todos los sistemas permiten marcar los archivos como de solo
lectura, esto evitará que Ud. o alguien borre o modifique un archivo sin darse cuenta;
otros permiten inhibir la copia, la ejecución o simplemente el borrado, pero permitiendo
la modificación.
Tenga copias de sus archivos de uso privado ya que si el acceso a ellos es restringido,
seguramente los procesos de respaldo generales no los copien y ante una eventualidad,
desaparecerán para siempre.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
47
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Otros
Las áreas enunciadas son – de alguna manera - las diez más relevantes, no obstante existen otros
elementos que se deberán tener en cuenta a la hora de planificar la implementación de un
sistema de seguridad riguroso, entre los que se pueden mencionar:
‰
‰
‰
‰
‰
Protección de “logs” o bitácoras de operaciones realizadas, sitios visitados, datos
transmitidos, etc.
Control del “Spyware”.
Implementación de planes de respuesta ante contingencias.
Renovación del equipamiento.
Descarte de equipos o partes defectuosas.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
48
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Anteproyecto de Ley a la Protección de Datos Personales
Propuesto a partir del análisis de la Legislación existente en México,
Argentina y España
TITULO I
Disposiciones Generales
Objeto de la Ley
Artículo 1º.- La presente ley tiene por objeto garantizar y proteger de manera integral el
tratamiento de datos personales asentados en archivos, registros, bancos o base de datos, u otros
medios técnicos de tratamiento de datos públicos o privados, destinados a proporcionar
información, a fin de garantizar los derechos fundamentales de las personas naturales, al honor,
integridad e intimidad personal y familiar; así mismo garantizar el acceso a la información que
sobre los mismos se registre.
La presente ley también se aplicará a los datos de las personas jurídicas.
Ámbito de aplicación
Artículo 2º.- La presente ley será aplicable a los datos de carácter personal asentados en
archivos, registros, bancos o bases de datos de personas naturales o jurídicas, públicas o privadas
que sean susceptibles de tratamiento; así como también a toda forma de uso posterior de dichos
datos sean estos de uso público o privado.
Esta ley también será aplicable a todo tratamiento de datos de carácter personal:
a) Cuando el tratamiento sea ejecutado dentro del territorio nacional en el desarrollo de las
actividades de un establecimiento del responsable del tratamiento.
b) Cuando el responsable del tratamiento no esté establecido dentro del territorio nacional
y utilice en el tratamiento de datos, medios establecidos en territorio nacional, salvo que
tales medios se utilicen con fines de tránsito.
Las disposiciones relativas a la protección de datos de carácter personal que la presente ley
establece no serán de aplicación:
a) A los ficheros de uso exclusivo de personas naturales en el ejercicio de sus actividades
meramente personales o domésticas.
b) A los ficheros establecidos para la investigación de actividades de terrorismo y de la
delincuencia organizada. No obstante, en estos supuestos el responsable del fichero
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
49
Protección de la Privacidad y de los Datos Personales
Hábeas Data
comunicará de la existencia del mismo, sus características generales y su finalidad a la
autoridad respectiva.
Los ficheros, registros, bancos o bases de datos de tratamiento del tribunal electoral, los que
tengan fines estadísticos, los de tratamiento de personal de las fuerzas armadas, los derivados
del registro civil, régimen carcelario, los de tratamiento estrictamente policial y de los regímenes
de salud, serán regulados por leyes especiales de la materia de que se trate.
Definiciones
Artículo 3º.- Para los efectos de la presente ley se entenderá por:
a) Datos de carácter personales: Toda información de cualquier tipo referida a personas
naturales o jurídicas determinadas o determinables.
b) Fichero, archivo, registro, base o banco de datos. Indistintamente, designan al conjunto
organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico
o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o
acceso.
c) Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no,
que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y
cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas,
interconexiones y transferencias.
d) Responsable del fichero o tratamiento: Persona natural o jurídica, de naturaleza pública o
privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del
tratamiento.
e) Afectado o interesado: Persona natural titular de los datos que sean objeto del tratamiento a
que se refiere el literal c) del presente artículo.
f) Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica
e informada, mediante la que el interesado consienta el tratamiento de datos personales que
le conciernen.
g) Responsable de archivo, registro, base o banco de datos. Persona física o de existencia ideal
pública o privada, que es titular de un archivo, registro, base o banco de datos.
h) Titular de datos. Toda persona física o persona de existencia ideal con domicilio legal o
delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se refiere
la presente ley.
i) Usuario de datos. Toda persona, pública o privada, que realice a su arbitrio el tratamiento de
datos, ya sea en archivos, registros, o bancos de datos propios o a través de conexión con los
mismos.
j) Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del
interesado.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
50
Protección de la Privacidad y de los Datos Personales
Hábeas Data
k) Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por
cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso,
el abono de una contraprestación. Tienen la consideración de fuentes de acceso público,
exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos
por su normativa específica y las listas de personas pertenecientes a grupos de profesionales
que contengan únicamente los datos de nombre, título, profesión, actividad, grado
académico, dirección e indicación de su pertenencia al grupo.
l) Datos informatizados. Los datos personales sometidos al tratamiento o procesamiento
electrónico o automatizado.
TITULO II
Principios generales para la protección de datos
Calidad de los datos
Artículo 4º.- Los datos personales que se recojan a los efectos de su tratamiento deben ser
ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se
hubieren obtenido.
La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma
contraria a las disposiciones de la presente ley.
Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o
incompatibles con aquellas que motivaron su obtención.
Los datos deben ser exactos y actualizarse en el caso que ello fuere necesario.
Los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y
sustituidos, o en su caso completados por el responsable del archivo o base de datos, cuando se
tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate,
sin perjuicio de los derechos del titular establecidos en el artículo 16 de la presente Ley.
Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su
titular.
Los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines
para los cuales hubiesen sido recolectados.
Derecho de información del afectado en el tratamiento de datos personales
Artículo 5º.- Cuando se recaben datos de carácter personal para su tratamiento, los afectados
deberán ser informados en forma expresa e inequívoca de:
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
51
Protección de la Privacidad y de los Datos Personales
Hábeas Data
a)
b)
c)
d)
d)
La finalidad para la que serán tratados y los destinatarios de la información;
La existencia del fichero y la identidad y domicilio de su responsable y encargado;
El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga;
De las consecuencias de la captura de los datos o de la negativa a suministrarlos;
De la legitimidad del titular a ejercer los derechos de acceso, rectificación, cancelación u
oposición.
En el texto de los cuestionarios o impresos que se utilicen, se consignarán los derechos a que se
refiere la fracción anterior.
Cuando los datos de carácter personal no hayan sido recabados directamente del titular, éste
deberá ser informado por el responsable o encargado del fichero dentro de los treinta (30) días
siguientes al momento del registro de los datos.
No se aplicará lo dispuesto en la fracción anterior, cuando expresamente una ley así lo disponga o
cuando el tratamiento tenga una finalidad exclusivamente histórica, estadística o científica; o
cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de
publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al
interesado se le informará del origen de los datos y de la identidad del responsable del
tratamiento, así como de los derechos que le asisten.
Consentimiento del afectado
Artículo 6º.- El tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado el que deberá constar por escrito, salvo que la ley disponga lo contrario.
No será necesario el consentimiento del interesado cuando los datos se recaben para el ejercicio
de funciones propias de los poderes del Estado o en virtud de una obligación legal; cuando los
datos se obtengan exclusivamente de fuentes de acceso público; cuando los datos deriven de una
relación contractual, científica o profesional del titular de los datos, y resulten necesarios para
su desarrollo o cumplimiento; cuando se trate de listados cuyos datos se limiten a nombre,
documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de
nacimiento y domicilio, o se trate y deriven de operaciones que realicen entidades financieras y
de las informaciones que reciban directamente de sus clientes.
El consentimiento del afectado podrá ser revocado en cualquier momento cuando exista causa
fundada para ello. Si el afectado fuere menor, podrán revocar el consentimiento los padres,
representante o tutor.
Datos relativos a la salud
Artículo 7º.- Las instituciones y los centros sanitarios públicos y privados y los profesionales
correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la
salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo
dispuesto en la legislación de la materia, respetando los principios del secreto profesional.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
52
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Medidas de seguridad de los datos de carácter personal objeto de tratamiento
Artículo 8º.- El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y
organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos
personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado y
que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos
provengan de la acción humana o del medio técnico utilizado.
Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan
condiciones técnicas de integridad y seguridad.
Deber de confidencialidad
Artículo 9º.- El responsable del fichero y quienes intervengan en cualquier fase del tratamiento
de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y
al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el
titular. El responsable podrá ser relevado del deber de confidencialidad por resolución judicial o
cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud
pública.
Cesión de datos
Artículo 10.- Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados
a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas
del cedente y del cesionario con el previo consentimiento del interesado.
El consentimiento exigido en el párrafo anterior no será necesario:
a) Cuando la cesión está expresamente autorizada en una ley.
b) Cuando se trate de datos obtenidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica de la
que sea parte el titular, cuyo desarrollo, cumplimiento y control implique necesariamente la
conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo
será legítima en cuanto se limite a la finalidad de la relación contractual.
d) Cuando la comunicación sea requerida por una autoridad judicial.
e) Cuando la cesión se produzca entre entidades de la Administraciones Pública Federal y tenga
por objeto el tratamiento posterior de los datos con fines puramente históricos, estadísticos o
científicos.
f) Si la comunicación se efectúa previo procedimiento de disociación.
g) Cuando la comunicación de datos de carácter personal relativos a la salud sea necesaria para
solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios
epidemiológicos en los términos establecidos en la legislación de la materia.
Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero,
cuando la información que se facilite no satisfaga la finalidad que motivo la autorización.
Es revocable el consentimiento para la comunicación de los datos de carácter personal a un
tercero.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
53
Protección de la Privacidad y de los Datos Personales
Hábeas Data
El tercero cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del
cedente y responderá solidaria y conjuntamente por la observancia de las mismas ante el titular
de los datos de que se trate.
No se considerará comunicación de datos el acceso de un tercero a la información cuando dicho
acceso sea necesario para la prestación de un servicio al responsable del tratamiento necesario al
mantenimiento o funcionamiento del fichero.
La realización de tratamientos por cuenta de terceros deberá regularse mediante contrato, en el
que se estipulará:
a) Que el tercero encargado del tratamiento únicamente tratará los datos conforme a las
instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto
al que figure en dicho contrato, ni los comunicará a otras personas.
b) Que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser
destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o
documentos en que conste algún dato de carácter personal objeto del tratamiento.
c) Que en el caso de que el tercero encargado del tratamiento destine los datos a otra finalidad,
los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado
también responsable del tratamiento, respondiendo de las infracciones en que hubiera
incurrido.
Acceso a los datos por cuenta de terceros
Artículo 11.- No se considerará comunicación de datos el acceso de un tercero a los datos cuando
dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que
deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y
contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará
los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o
utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su
conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 8º
de esta ley que el encargado del tratamiento está obligado a implementar.
Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos
o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que
conste algún dato de carácter personal objeto del tratamiento.
En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique
o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable
del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
54
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Transferencia internacional de datos de carácter personal objeto de tratamiento
Artículo 12.- Esta prohibida la transferencia de datos personales de cualquier tipo con países u
organismos internacionales o supranacionales, que no proporcionen niveles de protección
adecuados.
La prohibición no será aplicable en los siguientes supuestos:
a) Colaboración judicial internacional;
b) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o
una investigación epidemiológica, en tanto se realice en los términos del inciso e) del artículo
10;
c) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme
la legislación que les resulte aplicables;
d) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los
cuales la República Argentina sea parte;
e) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de
inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.
TÍTULO III
Derechos de los Titulares de datos
Derecho de consulta a los registros de protección de datos
Artículo 13.- Toda persona tiene derecho a solicitar de los Registros Generales y especiales de
Protección de Datos información relativa a la existencia de ficheros, archivos, registros, bases o
bancos de datos personales, sus finalidades y la identidad de sus responsables o encargados. El
Registro será de consulta pública y gratuita.
Derecho de acceso a bases o bancos de datos por el titular de los datos
Artículo 14.- El titular de los datos, previa identidad, tiene derecho a solicitar y obtener
información de sus datos personales incluidos en ficheros, bases o bancos de datos públicos o
privados destinados a proveer informes.
Los padres pueden prohibir el uso de la información de sus hijos.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
55
Protección de la Privacidad y de los Datos Personales
Hábeas Data
El responsable o encargado de los ficheros, bases o bancos de datos debe proporcionar la
información solicitada dentro de los cinco (5) días hábiles siguientes a la fecha de presentación
de la solicitud. Vencido el plazo sin que se satisfaga la petición, o si evacuado el informe, éste se
estimare insuficiente, quedará expedita la acción de protección de los datos personales o de
hábeas data prevista en esta ley.
El derecho de acceso a que se refiere este artículo sólo puede ser ejercido en forma gratuita a un
intervalo no menor de seis meses, salvo que el interesado acredite un interés legítimo al efecto,
en cuyo caso podrá ejercitarlo antes de este plazo.
En caso de fallecimiento del titular de los datos personales, el ejercicio de este derecho
corresponderá a sus sucesores universales.
Contenido de la información que se proporcione al titular de los datos
Artículo 15.- La información que solicite el titular de los datos debe ser suministrada en forma
clara, exenta de codificaciones y, en su caso, acompañada de una explicación en lenguaje
accesible al conocimiento medio de la población, de los términos que se utilicen.
La información debe ser amplia y versar sobre la totalidad del registro perteneciente al titular,
aun cuando el requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso
el informe podrá revelar datos pertenecientes a terceros, aun cuando sean vinculantes con el
interesado.
A petición del titular, la información podrá suministrarse por escrito, por medios electrónicos,
telefónicos, fax, de imagen, u otro medio idóneo conocido a tal fin.
Impugnación de valoraciones de datos personales
Artículo 16.- Las decisiones judiciales o los actos administrativos que impliquen apreciación o
valoración de conductas humanas, no podrán tener como único fundamento los elementos
derivados del tratamiento de datos personales que suministren una definición del perfil o
personalidad del afectado.
Las resoluciones y los actos que sean violatorios al párrafo precedente serán nulos de pleno
derecho.
El afectado podrá impugnar las resoluciones y los actos administrativos que impliquen una
valoración de su comportamiento y tengan como único fundamento un tratamiento de datos de
carácter personal que ofrezca una definición de sus características o personalidad.
Derechos de rectificación, actualización y cancelación de datos de carácter personal
Artículo 17.- El afectado tiene derecho a que sean rectificados, actualizados y, cuando
corresponda, cancelados o sometidos a confidencialidad los datos personales de los que sea
titular en un fichero, bases o bancos de datos.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
56
Protección de la Privacidad y de los Datos Personales
Hábeas Data
El responsable o usuario de un banco de datos debe proceder a la rectificación, supresión o
actualización de los datos personales del afectado, realizando las operaciones necesarias a tal fin
en el plazo máximo de cinco (5) días hábiles a la fecha de recepción de la reclamación o de
advertido el error o falsedad.
El incumplimiento de la obligación por parte del responsable del fichero, base o banco de datos,
legitimará al afectado para ejercer la acción de protección de los datos personales o de hábeas
data prevista en la presente ley.
En el supuesto que existiere cesión o transferencia de datos, el responsable o usuario del fichero,
base o banco de datos de que se trate, debe notificar la rectificación o cancelación al cesionario
dentro de los diez (10) días hábiles siguientes de efectuado el tratamiento del dato.
La cancelación no procede cuando cause perjuicios a derechos o intereses legítimos de terceros,
o cuando existiere una obligación legal de conservar los datos.
Durante el proceso de verificación y rectificación del error o falsedad de la información de que se
trate, el responsable o usuario del fichero, base o banco de datos deberá o bien bloquear el
archivo, o consignar al proveer información relativa al mismo la circunstancia de que se
encuentra sometida a revisión.
Los datos personales deben ser conservados durante los plazos previstos en las disposiciones
aplicables o, en su caso, en las cláusulas contractuales entre el responsable o usuario del banco
de datos y el titular de los datos.
En forma fundada, los responsables o usuarios de ficheros deberán denegar el acceso,
rectificación o la cancelación de datos:
a) Cuando así lo exija el interés público, por razones de seguridad nacional, seguridad pública o
para proteger derechos legítimos de terceros.
b) Cuando de alguna manera se pudieran obstaculizar actuaciones judiciales o administrativas en
curso.
Gratuidad en la rectificación, actualización y cancelación de datos de carácter
personal
Artículo 18.- La rectificación, actualización o supresión de datos personales inexactos o
incompletos que obren en ficheros, base o banco de datos públicos o privados se efectuará de
forma gratuita para el interesado.
Derecho a indemnización
Artículo 19.- Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la
presente ley por el responsable o el encargado del tratamiento, sufran daños, perjuicios o lesión
en sus bienes o derechos tendrán derecho a ser indemnizados.
Cuando se trate de ficheros de titularidad pública, la acción de reparación del daño se promoverá
ante el juez de lo civil del orden común del domicilio del afectado, sin perjuicio de aplicar el
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
57
Protección de la Privacidad y de los Datos Personales
Hábeas Data
régimen de sanciones y responsabilidades establecido en la Ley de Responsabilidades de los
Servidores Públicos.
En el caso de los ficheros de titularidad privada, la acción se ejercerá ante el juez de lo civil del
orden común del domicilio del afectado.
TÍTULO IV
Del Registro Nacional de Protección de Datos
Registro Nacional de Protección de Datos
Artículo 20.- Créase el Registro Nacional de Protección de Datos como un ente integrado al
Instituto Nacional de Estadística.
Serán objeto de inscripción en el Registro Nacional de Protección de Datos:
a)
b)
c)
d)
Los ficheros de que sean titulares las entidades de los Poderes del Estado.
Los ficheros de titularidad privada.
Las autorizaciones a que se refiere la presente ley.
Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de
información, acceso, rectificación, cancelación y oposición.
Funciones del Registro Nacional de Protección de Datos
Artículo 21.- Asistir y asesorar a las personas que lo requieran acerca de los alcances de la
presente ley y de los medios legales de que disponen para la defensa de los derechos que ésta
garantiza.
Dictar circulares que se deben observar en el desarrollo de las actividades comprendidas por esta
ley.
Realizar un censo de archivos, registros o bancos de datos regulados por la ley y mantener el
registro permanente y actualizado de los mismos.
Controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los
archivos, registros o bancos de datos. A tal efecto, podrá solicitar autorización judicial para
acceder a locales, equipos o programas de tratamiento de datos a fin de verificar infracciones al
cumplimiento de la presente Ley.
Solicitar información a las entidades públicas y privadas, las que deberán proporcionar los
antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos
personales que se le requieran.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
58
Protección de la Privacidad y de los Datos Personales
Hábeas Data
TÍTULO V
De los responsables, encargados y usuarios de ficheros
Registro e inscripción de datos
Artículo 22.- Todo fichero, base o banco de datos públicos o privado destinado a proporcionar
informes debe inscribirse en el Registro Nacional de Protección de Datos.
El registro de archivos de datos debe comprender como mínimo la siguiente información:
a)
b)
c)
d)
e)
f)
g)
Nombre y domicilio del responsable y encargado;
Características y finalidad del fichero;
Naturaleza de los datos personales contenidos en cada archivo;
Forma de recolección y actualización de datos;
Destino de los datos y personas físicas o morales a las que pueden ser transmitidos;
Modo de interrelacionar la información registrada;
Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de
personas con acceso al tratamiento de la información;
h) Tiempo de conservación de los datos;
i) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los
procedimientos a realizar para la rectificación o actualización de los datos.
Ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en
el registro.
Ficheros de titularidad pública
Artículo 23.- Las disposiciones sobre creación, modificación o supresión de archivos, registros o
bancos de datos pertenecientes a organismos públicos deben publicarse en el Diario Oficial de la
Nación.
Las disposiciones respectivas, deben precisar:
a) Características y finalidad del fichero;
b) Personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u
obligatorio de su suministro por parte de aquéllas;
c) Procedimiento de obtención y actualización de los datos;
d) Estructura básica del archivo, informatizado o no, y la descripción de la naturaleza de los
datos personales que contendrán;
e) Las cesiones, transferencias o interconexiones previstas;
f) Órganos responsables del archivo, precisando dependencia jerárquica en su caso;
g) Las oficinas ante las que se pudiesen efectuar las reclamaciones en ejercicio de los derechos
de acceso, rectificación o supresión.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
59
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Supuestos especiales
Artículo 24.- Quedarán sujetos al régimen de la presente ley, los datos personales que por
haberse almacenado para fines administrativos, deban ser objeto de registro permanente en los
bancos de datos de las fuerzas armadas, fuerzas de seguridad, organismos policiales o de
inteligencia; y aquéllos sobre antecedentes personales que proporcionen dichos bancos de datos a
las autoridades administrativas o judiciales que los requieran en virtud de disposiciones legales.
El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de
las fuerzas armadas, fuerzas de seguridad, organismos policiales o inteligencia, sin
consentimiento de los afectados, queda limitado a aquellos supuestos y categoría de datos que
resulten necesarios para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos
para la defensa nacional, la seguridad pública o para la investigación o persecución de los delitos.
Los archivos, en tales casos, deberán ser específicos y establecidos al efecto, debiendo
clasificarse por categorías, en función de su grado de fiabilidad.
Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios
para las averiguaciones que motivaron su almacenamiento.
Archivos, registros o bancos de datos privados
Artículo 25.- Los particulares que formen ficheros, registros o bancos de datos que no sean para
un uso exclusivamente personal deberán registrarse en el Registro Nacional de Protección de
Datos.
Prestación de servicios informatizados de datos personales
Artículo 26.- Cuando por cuenta de terceros se presten servicios de tratamiento de datos
personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato
de servicios, ni cederlos a otras personas.
Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos,
salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios o
cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá
almacenar con las debidas condiciones de seguridad por un período de hasta dos (2) años.
Prestación de servicios de información crediticia
Artículo 27.- En la prestación de servicios de información crediticia sólo pueden tratarse datos
personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de
fuentes accesibles al público o procedentes de informaciones facilitadas por el interesado o con
su consentimiento.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
60
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Pueden tratarse igualmente datos personales relativos al cumplimiento o incumplimiento de
obligaciones de contenido patrimonial, facilitados por el acreedor o por quien actúe por su
cuenta o interés.
A solicitud del titular de los datos, el responsable o usuario del banco de datos, le comunicará las
informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante
los últimos seis (6) meses y el nombre y domicilio del cesionario en el supuesto de tratarse de
datos obtenidos por cesión.
Sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para
evaluar la solvencia económico-financiera de los afectados durante los últimos cinco (5) años.
Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo extinga la
obligación, debiéndose hacer constar dicho hecho.
La prestación de servicios de información crediticia no requerirá el previo consentimiento del
titular de los datos ni la ulterior comunicación de ésta, cuando estén relacionados con el giro de
las actividades comerciales o crediticias de los cesionarios.
Archivos, registros o bancos de datos con fines de publicidad
Artículo 28.- En la recopilación de domicilios, reparto de documentos, publicidad o venta directa
y otras actividades análogas, se podrán tratar datos que sean aptos para establecer perfiles
determinados con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos
de consumo, cuando éstos figuren en documentos accesibles al público o hayan sido facilitados
por los propios titulares u obtenidos con su consentimiento.
En los supuestos contemplados en el presente artículo, el titular de los datos podrá ejercer el
derecho de acceso sin cargo alguno.
El titular podrá en cualquier momento solicitar el retiro o bloqueo de su nombre de los bancos de
datos a los que se refiere el presente artículo.
Archivos, registros o bancos de datos relativos a encuestas
Artículo 29.- Las normas de la presente ley no se aplicarán a las encuestas de opinión,
mediciones y estadísticas relevadas conforme a la Ley 17.622, trabajos de prospección de
mercados, investigaciones científicas o médicas y actividades análogas, en la medida que los
datos recogidos no puedan atribuirse a una persona determinada o determinable.
Si en el proceso de recolección de datos no resultara posible mantener el anonimato, se deberá
utilizar una técnica de disociación, de modo que no permita identificar a persona alguna.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
61
Protección de la Privacidad y de los Datos Personales
Hábeas Data
TÍTULO VI
Acción de protección de los datos personales o de hábeas data
Procedencia y objeto de la acción
Artículo 30.- La acción de protección de los datos personales o de hábeas data procederá:
a) Para tomar conocimiento de los datos personales almacenados en archivos, registros o
bancos de datos públicos o privados destinados a proporcionar informes, y de la finalidad
de aquéllos.
b) En los casos en que se presuma la falsedad, inexactitud, desactualización de la
información de que se trata, o el tratamiento de datos cuyo registro se encuentra
prohibido en la presente ley, para exigir su rectificación, cancelación, confidencialidad o
actualización.
Legitimación activa
Artículo 31.- La acción de protección de los datos personales o de hábeas data podrá ser ejercida
por el afectado, tutores o curadores y los sucesores de las personas físicas, sean en línea directa
o colateral hasta el segundo grado, por sí o por intermedio de apoderado.
Cuando la acción sea ejercida por personas jurídicas, deberá ser interpuesta por sus
representantes legales o apoderados que éstas designen al efecto.
En el proceso podrá intervenir en forma coadyuvante el defensor público.
Legitimación pasiva
Artículo 32.- La acción procederá respecto de los responsables y usuarios de bancos de datos
públicos, y de los privados destinados a proveer informes.
De la competencia para el ejercicio de la acción
Artículo 33.- Es competente el juez de lo civil del orden común del domicilio del actor; el del
domicilio del demandado; el del lugar en el que el hecho o acto se exteriorice o pudiera tener
efecto, a elección del actor.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
62
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Procedimiento aplicable
Artículo 34.- La acción de protección de los datos personales o de hábeas data se tramitará
según las disposiciones de la presente ley y por el procedimiento que corresponde a la acción de
amparo común y supletoriamente por las normas del Código Procesal Civil, en lo atinente al juicio
sumario.
Requisitos de la demanda y medidas preventivas
Artículo 35.- La demanda deberá interponerse por escrito, individualizando con la mayor
precisión posible el nombre y domicilio del archivo, registro o banco de datos y, en su caso, el
nombre del responsable o usuario del mismo. En el caso de los archivos, registros o bancos
públicos, se procurará establecer el organismo estatal del cual dependen.
El actor deberá exponer los motivos por los cuales entiende que en el archivo, registro o banco
de datos individualizado obra información referida a su persona; los motivos por los cuales
considera que la información que le atañe resulta discriminatoria, falsa o inexacta.
Desde la presentación de la demanda el afectado podrá solicitar que mientras dure el
procedimiento, el registro o banco de datos asiente que la información cuestionada está sometida
a un proceso judicial.
El juez podrá disponer el bloqueo provisional del archivo en lo referente al dato personal motivo
del juicio cuando sea manifiesto el carácter discriminatorio, falso o inexacto de la información de
que se trate.
A los efectos de requerir información al archivo, registro o banco de datos involucrado, el criterio
judicial de apreciación de las circunstancias requeridas en los Títulos I y II debe ser amplio.
Procedimiento y trámite
Artículo 36.- Admitida la acción el juez requerirá al responsable del fichero, registro o banco de
datos la remisión de la información concerniente al actor. Podrá asimismo solicitar informes
sobre el soporte técnico de datos, documentación de base relativa a la recolección y cualquier
otro aspecto que resulte conducente a la resolución de la causa que estime procedente.
El plazo para contestar el informe no podrá ser mayor de cinco (5) días hábiles, el que podrá ser
ampliado a criterio del juez.
Contestación del informe
Artículo 37.- Al contestar el informe, el responsable del fichero, registro o banco de datos
deberá expresar las razones por las cuales incluyó la información cuestionada y aquellas por las
que no evacuó en términos de esta ley el pedido efectuado por el afectado.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
63
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Ampliación de la demanda
Artículo 38.- Contestado el informe, el actor podrá, en el término de tres (3) días, ampliar el
objeto de la demanda solicitando la cancelación, rectificación, confidencialidad o actualización
de sus datos personales, en los casos que resulte procedente conforme a la presente ley. De la
ampliación de la demanda se dará traslado al demandado por el término de tres (3) días.
TÍTULO VII
De los delitos
Artículo 39.- Se impondrá sanción de uno a tres años de prisión:
1º) el que insertare o hiciere insertar a sabiendas datos falsos en un archivo de datos
personales.
2º) el que proporcionara a un tercero a sabiendas información falsa contenida en un
archivo de datos personales.
3º) La escala penal aumentará en la mitad del mínimo y del máximo, cuando del hecho se
derive perjuicio a alguna persona.
4º) Cuando el autor o responsable del ilícito fuere funcionario público en ejercicio de sus
funciones, se le aplicará la accesoria de inhabilitación para el desempeño de cargos
públicos por el doble del tiempo que el de la condena.
Artículo 40.- Se impondrá sanción de dos (2) a cinco (5) años de prisión al que realice un mal uso
de los datos almacenados cuando se tratare de personas menores de 18 años, especialmente si se
lesionan sus derechos.
Artículo 41.- Se impondrá sanción de dos (2) a cinco (5) años de prisión al que:
1º) A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de
datos, accediere de cualquier forma, a un banco de datos personales.
2º) Revelare a otro información registrada en un banco de datos personales cuyo secreto
estuviere obligado a preservar por disposición de una ley.
Cuando el autor sea funcionario público sufrirá, además, pena de inhabilitación
especial de uno a cuatro años.
Transitorio
Primero.- La presente Ley entrará en vigencia (según el procedimiento constitucional) ocho días
después de su publicación en el Diario Oficial.
Dado en el Palacio Legislativo, --- a los --- de --- del dos mil cinco.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
64
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Glosario
Acción de hábeas data: tomar conocimiento de los datos a ella referidos y de su finalidad, que
consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y
en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o
actualización.
Archivo, registro, banco o base de datos: designan al conjunto organizado de datos
personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que
fuere la modalidad de su formación, almacenamiento, organización o acceso. (Art. 2º, Ley
25.326). Pueden dividirse en públicas y privadas. Las bases de datos están conformadas por dos
elementos básicos: entidades y relaciones. (Cfr. E. Ghuisolfi).
Base de datos públicas: son las que desarrolla el Estado para ejercer su poder de policía.
Pueden contener datos públicos (a disposición de terceros) o privados (porque son
confidenciales). (Cfr. Dra. Alejandra M. Gils Carbó).
Base de datos privadas: archivan datos personales, están destinados a dar informes y exceden
el uso personal. Deben destacarse las que recopilan datos sobre solvencia y riesgo crediticio.
Cookies: espías que guardan información acerca de nuestro comportamiento en Internet.
Cracker: las actividades desarrolladas y las conductas de éstos, son muy similares a las de los
hackers, la diferencia radica en que éstos tienen generalmente malas intenciones y el “fin
último” de su actividad –generalmente - es el sabotaje o daño. (Cfr. E Ghuisolfi).
Datos personales: información de cualquier tipo referida a personas físicas o de existencia
ideal determinadas o determinables.
Datos informatizados: datos personales sometidos al tratamiento o procesamiento electrónico
o automatizado. (Art. 2º Ley 25.326).
Delitos informáticos: cualquier acto ilícito penal en el que las computadoras, sus técnicas y
funciones desempeñan un papel ya sea como método, medio o fin. (Dra. María de la Luz Lima).
Derecho a la intimidad: Derecho a estar solo, derecho a que las personas no conozcan lo que
nosotros no queremos que trascienda. La doctrina extranjera le asigna otras denominaciones
como derecho a la libertad informática, derecho a la identidad, derecho a la información verídica
o derecho a la autodeterminación.
“Derechos que tienen los individuos, los grupos y las instituciones, de determinar por su cuenta
cómo y en qué medida las informaciones que les atañen pueden ser comunicadas a otras
personas”. (Miguel Padilla. Revista Jurídica La Ley. 05-07-2002. pág. 2).
Derecho a informar: es un derecho independiente y con reconocimiento constitucional en el
artículo 14 de la Constitución de la Nación Argentina. No existe relación de subordinación entre
este derecho y el hábeas data.
Disociación de datos: todo tratamiento de datos personales de manera que la información
obtenida no pueda asociarse a persona determinada o determinable. (Art. 2º Ley 25.326).
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
65
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Entidad: es todo aquello de lo que deseo almacenar información en mi base de datos. Están
representadas mediante registros en donde cada registro almacena ciertos atributos... Las
entidades existen por si mismas. Las claves diferencian a una entidad dada del resto de las del
conjunto. (Cfr. E. Ghuisolfi).
Firewall: es un equipo o grupo de éstos, que conforman un sistema de seguridad de acceso a
Internet. Todo el tráfico de información de la organización, pasa por el firewall. Controla el
tráfico de información con el objetivo de proteger a la organización. (Cfr. E Ghuisolfi).
Fuentes informativas o periodísticas: toda noticia, informe, comentario, y actuación de
informantes voluntarios o involuntarios que sirva para la obtención de información.
Hackear: es la acción de ingresar a un sitio restringido, con el sólo fin de haber entrado. (Cfr. E.
Ghuisolfi).
Hacker: son aquellas personas con conocimientos informáticos suficientes como para realizar
operaciones y atravesar barreras generalmente prohibidas. (Cfr. E. Ghuisolfi).
Información sensible - Datos sensibles: datos personales que revelan el origen racial y
étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e
información referente a la salud o a la vida sexual. (Art. 2º Ley 25.326).
Isotipo: es un dibujo, icono o pictograma utilizado generalmente para identificar a una empresa,
organización, marca, etc. Un ejemplo de isotipo, es la manzana mordida de la marca de
computadoras Apple. (Cfr. E Ghuisolfi).
Isologotipo: es un identificador de marca, organización, producto, etc., que combina un
logotipo y un isotipo. (Cfr. E Ghuisolfi).
Logotipo: según la Real Academia es "Distintivo formado por letras, abreviaturas, etc., peculiar
de una empresa, conmemoración, marca o producto". Un ejemplo de esto, es el distintivo de
Coca-Cola con sus letras tan particulares. (Cfr. E Ghuisolfi).
Phishing: acción de adquirir en forma fraudulenta claves, números de tarjeta de crédito,
información personal, etc. mediante el envío de e-mails supuestamente de personas o
instituciones confiables. (Cfr. E Ghuisolfi).
Pirata: se utiliza esta denominación para identificar a aquellas personas que se dedican a copiar
ilegalmente software, sea para distribuirlo o para su propio uso. (Cfr. E Ghuisolfi).
Poder Informático: posibilidad – derecho de recabar información y acceder a toda la
información existente, salvo que su conocimiento se encuentre legalmente prohibido.
Protección de la Intimidad en Internet: organismos públicos y privados a nivel internacional
se encuentran en la búsqueda para lograr la protección de la intimidad.
Relaciones: existen solamente si están vinculadas a dos o más entidades. las relaciones, nos
permite almacenar información relevante, como por ejemplo desde qué fecha ejerce la profesión
o dónde obtuvo el título, sino que además, nos permite introducir restricciones a la información
que se pueda almacenar en nuestra base de datos. (Cfr. E. Ghuisolfi).
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
66
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Responsable de archivo, registro o base de datos: persona física o de existencia ideal
pública o privada, que es titular de un archivo, registro, base o banco de datos. (Art. 2º Ley
25.326).
Telemática: desarrollo y uso combinado de la informática y las telecomunicaciones.
Tratamiento de datos: operaciones y procedimientos sistemáticos, electrónicos o no, que
permitan la recolección conservación, ordenación, almacenamiento, modificación,
relacionamiento, evaluación, bloqueo, destrucción y, en general, el procesamiento de datos
personales, así como también su cesión a terceros a través de comunicaciones, consultas,
interconexiones o transferencias. (Art. 2º Ley 25.326).
Transmisión de datos: movimiento de información codificado, de un punto a uno o más puntos,
mediante señales eléctricas, ópticas, electrópticas o electromagnéticas.
Usuario de datos: Toda persona pública o privada que realice a su arbitrio el tratamiento de
datos, ya sea en archivos, registros o bancos propios o a través de conexión con los mismos. (Art.
2º Ley 25.326)
Virus informático: es un programa potencialmente dañino capaz de auto replicarse utilizando
la infraestructura del anfitrión. (Cfr. E. Ghuisolfi).
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
67
Protección de la Privacidad y de los Datos Personales
Hábeas Data
Bibliografía
•
Altmark, Daniel Ricardo. Adecuación de las bases de datos a la nueva normativa. Revista
Abogados del Colegio Público de Abogados de la Capital Federal. Nº 48, Agosto 2001, pág. 44.
Argentina.
•
Bauzá Reilly, Marcelo Dr. La protección jurídica de los datos personales en Uruguay. Uruguay.
•
Dapkevicius, Ruben Flores Dr. El Hábeas Data en Uruguay y Argentina.
•
Derecho Informático. Instituto Derecho Informático. Año 2004. Tomo V. Uruguay. Dorangélica
de la Rocha. Protección datos personales. México.
•
Gelli, María Angélica . La garantía del hábeas data y los datos financieros y comerciales.
Revista Abogados del Colegio Público de Abogados de la Capital Federal. Nº 48, Agosto 2001,
pág. 38. Argentina.
•
Gils Carbo, Alejandra M. Régimen Legal de las Bases de Datos y Hábeas Data.
•
Gozaíni, Osvaldo Alfredo. Derecho Procesal Constitucional. Hábeas Data. Editorial Rubinzal –
Culzoni.
•
Palazzi, Pablo A. Protección de Datos Personales, Privacidad y Habeas Data en América
Latina.
•
Pierini - Lorences - Tornabene . Hábeas data. Derecho a la intimidad. Editorial Universidad.
Buenos Aires, Argentina.
•
Puccinelli, Oscar Raúl. Tipos y Subtipos de Hábeas data en el Derecho Constitucional
Latinoamericano. Argentina.
•
Safardi Márquez, Carlos Prof. Hábeas Data: Una cuestión inconclusa. Universidad San
Salvador.
Documento del Grupo de Trabajo de la iniciativa GLIN Américas del BID
68
Descargar