La Ley N° 25.326 de Protección de los Datos Personales establece que cualquier empresa que recolecte, almacene o trate datos personales está sujeta a su cumplimiento. No obstante, la información provista por el cliente pueden ser datos “personales” o «sensibles». Esta categoría legal exige una diligencia y un cuidado extraordinariamente reforzados, incluyendo la obtención del consentimiento expreso y por escrito del titular y la implementación de medidas de seguridad rigurosas.
La principal obligación formal es la inscripción de la empresa como «responsable del tratamiento» y de cada una de sus bases de datos en el Registro Nacional de Bases de Datos Personales (RNBD), un trámite que se gestiona a través de la plataforma Trámites a Distancia (TAD) de la Agencia de Acceso a la Información Pública (AAIP). Dicho registro es de carácter obligatorio y su incumplimiento puede acarrear sanciones administrativas y responsabilidades penales.
1. Marco Legal de la Protección de Datos en Argentina: Deberes y Principios Fundamentales
La República Argentina ha establecido un robusto marco legal para la protección de los datos personales, cuyo pilar es la Ley N° 25.326, sancionada en el año 2000. Esta ley, conocida también como Ley de Hábeas Data, tiene por objeto la protección integral de la persona en relación con el tratamiento de sus datos personales en archivos, registros y bancos de datos, ya sean públicos o privados. La normativa reconoce al titular del dato el derecho a la autodeterminación informativa, otorgándole la capacidad de decidir sobre la utilización y divulgación de su información personal.
La Ley Nacional 25.326 y su Propósito
La Ley 25.326 consagra una serie de derechos fundamentales para los titulares de los datos. En primer lugar, se establece que los datos personales no pueden ser utilizados ni registrados sin el consentimiento del interesado, salvo las excepciones que la propia ley prevé. Entre los derechos más relevantes se encuentran el derecho de acceso, que permite a cualquier persona solicitar y obtener información sobre qué datos suyos están registrados y con qué fines; el derecho a la rectificación y actualización, que obliga a los responsables a corregir o actualizar la información errónea; y el derecho a la supresión o confidencialidad, que faculta al titular a solicitar que sus datos sean eliminados o mantenidos en secreto cuando corresponda.
Estos derechos son el núcleo de la protección legal y el responsable del tratamiento de los datos, en este caso la empresa, debe garantizar el pleno ejercicio de los mismos. La ley no hace distinción entre datos guardados de forma física o en medios informatizados, aplicando sus disposiciones a ambos formatos por igual.
Rol y Competencias de la Agencia de Acceso a la Información Pública (AAIP)
El organismo de control y autoridad de aplicación de la Ley N° 25.326 es la Agencia de Acceso a la Información Pública (AAIP). Este organismo, que sucede a la antigua Dirección Nacional de Protección de Datos Personales, es el principal interlocutor de las empresas y los ciudadanos en materia de protección de datos.
La AAIP tiene entre sus facultades el registro de archivos, bases y bancos de datos personales, así como el ejercicio del poder de policía y sancionador para fiscalizar el cumplimiento de la normativa. Es ante esta agencia que se deben realizar los trámites de inscripción y donde los titulares pueden presentar denuncias o reclamos en caso de incumplimiento por parte de los responsables de las bases de datos. La autoridad de la AAIP para dictar resoluciones y normativas complementarias, como se observa en la Resolución 4/2019 o la Resolución 255/2022, es fundamental para la correcta interpretación y aplicación de la ley.
Principios Generales del Tratamiento de Datos Personales
La Ley 25.326 se basa en una serie de principios que deben regir toda operación de tratamiento de datos personales:
- Principio de Licitud: La recolección de datos no puede hacerse por medios desleales, fraudulentos o de manera contraria a la ley.
- Principio de Finalidad: Los datos deben ser recolectados con fines determinados y no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención.
- Principio de Calidad del Dato: Los datos deben ser exactos, completos, y actualizados.
- Deber de Confidencialidad: El responsable y cualquier persona que intervenga en el tratamiento de los datos personales están obligados al secreto profesional. Esta obligación persiste incluso después de finalizada la relación laboral o contractual. Este deber es de vital importancia en el caso de la información sensible de los clientes.
El cumplimiento de estos principios es la base del programa de protección de datos de la empresa y debe ser la guía de todas sus políticas internas.
2. Análisis de la Base de Datos: Clasificación y Obligaciones Específicas
Para determinar las obligaciones de la empresa, es crucial clasificar los datos que gestiona de acuerdo con la Ley N° 25.326. La información proporcionada en la consulta se desglosa en tres categorías principales.
La información de Identificación y Contacto (nombre, dirección, teléfono, DNI, correo) y los datos de Facturación (económicos, financieros) se categorizan como Datos Personales ordinarios. Su tratamiento requiere el consentimiento informado del titular y la implementación de medidas de seguridad generales.
Sin embargo, los datos de salud y/o genéticos como la información de salud, religión, orientación sexual, etc., se encuadran en la categoría de Datos Sensibles, una categoría que goza de una mayor protección legal. Adicionalmente, la AAIP ha emitido una resolución que considera a los datos genéticos como datos sensibles, siendo esta una definición de observancia obligatoria para todos los sujetos alcanzados por la Ley.
El tratamiento de esta clase de datos sensibles impone una carga adicional de diligencia. Mientras la ley prohíbe en principio la formación de archivos que almacenen información que revele datos sensibles, esta prohibición no es absoluta. La excepción clave para una entidad privada como la empresa en cuestión reside en el consentimiento del titular.
El Imperativo Legal del Consentimiento Informado y Expreso
El consentimiento del titular es el fundamento legal para la recolección y el tratamiento de datos personales en el sector privado. Sin embargo, la Ley 25.326 es taxativa al requerir un tipo de consentimiento diferente para los datos sensibles: un consentimiento expreso. Esto significa que el acuerdo del titular no puede ser tácito, sino que debe ser inequívoco y explícito. La recolección no puede efectuarse sin este consentimiento, el cual debe ser obtenido por escrito o por otro medio equivalente que permita su comprobación posterior.
La empresa no puede basar el tratamiento de esta información en un simple «acepto los términos y condiciones» que cubra de manera genérica el uso de todos los datos. El consentimiento debe ser específico, detallando de manera clara y accesible para el conocimiento medio de la población:
- La finalidad del tratamiento de la información.
- Las consecuencias de proporcionar o negarse a proporcionar los datos.
- El destino de los datos y los destinatarios de una posible cesión.
- El nombre y los datos de contacto del responsable de la base de datos.
El consentimiento del cliente es la piedra angular y la única base legal para la lícita recolección y tratamiento de estos datos sensibles. Este punto es la clave de todo el programa de cumplimiento, ya que la validez del consentimiento es la que legitima el tratamiento de la información sensible. Cada empresa deberá estudiar si los datos que maneja son personales, sensibles o no requieren protección.
3. Inscripción Obligatoria en el Registro Nacional de Bases de Datos (RNBD)
La empresa, en su rol de «responsable del tratamiento» de los datos personales de sus clientes, tiene la obligación legal de inscribirse a sí misma y a cada una de sus bases de datos en el Registro Nacional de Bases de Datos (RNBD). Este registro, que se encuentra bajo la órbita de la AAIP, es el mecanismo mediante el cual el Estado argentino ejerce su función de control sobre la gestión de la información personal, garantizando la transparencia y permitiendo a los ciudadanos conocer la existencia de las bases de datos y a quién dirigirse para ejercer sus derechos.
¿Quiénes y Qué Bancos de Datos Deben Inscribirse?
El mandato legal de inscripción es amplio y abarca a «todos los archivos, registros y bancos de datos que contengan información de las personas». La única excepción significativa, según la AAIP, son las bases de datos de uso exclusivamente personal (ej. agendas de amigos o familiares en una computadora), una categoría que no se aplica a la empresa que gestiona información de sus clientes en el marco de una actividad comercial.
Una empresa debe inscribir a su persona jurídica como «responsable del tratamiento» y, posteriormente, registrar cada base de datos personal que posea. Por ejemplo, es posible que una misma empresa deba inscribir una base de datos de «Clientes» y otra de «Personal» o «Recursos Humanos» si la información de ambas bases se gestiona por separado. La inscripción debe ser realizada por cada base de datos, no de manera general por toda la empresa.
Es importante aclarar un punto que ha generado confusión en el pasado. La normativa ha evolucionado. La inscripción es gratuita y no tiene vencimiento. No obstante, la ausencia de un plazo de caducidad no exime a la empresa de una obligación fundamental: mantener la información del registro actualizada. Cualquier cambio significativo en la finalidad, la naturaleza de los datos o las características del banco de datos debe ser notificado a la autoridad de control. Esta obligación continua de actualización es parte de la responsabilidad proactiva que se espera del responsable del tratamiento.
Consecuencias del Incumplimiento: Sanciones y Responsabilidad
El incumplimiento de la obligación de inscribir las bases de datos en el RNBD puede acarrear sanciones para la empresa. La Ley N° 25.326 y su normativa complementaria faculta a la AAIP a imponer sanciones, que pueden incluir multas, apercibimientos y, en casos extremos, la clausura de la base de datos.
Más allá de las sanciones administrativas, la falta de cumplimiento en la protección de los datos personales, en particular la información sensible, puede dar lugar a responsabilidades civiles y, en los casos más severos, a responsabilidades penales. El Código Penal argentino, en sus artículos 117 bis y 157 bis, establece penas de prisión para quienes inserten datos falsos, proporcionen información falsa o accedan de forma ilegítima a un banco de datos personales, especialmente si esto se realiza con violación de los sistemas de confidencialidad y seguridad. El tratamiento de datos de salud y genéticos, dado su potencial discriminatorio, eleva el nivel de riesgo de estas infracciones.
4. Medidas de Seguridad y Confidencialidad Reforzadas para Datos Sensibles
El cumplimiento de la normativa de protección de datos no termina con la inscripción en el registro. La Ley N° 25.326 impone una obligación continua de proteger la información. En este sentido, el artículo 9° prohíbe el registro de datos personales en archivos o bancos que no reúnan «condiciones técnicas de integridad y seguridad». Para los datos sensibles, la ley exige un «mayor cuidado de seguridad, confidencialidad, restricciones de acceso, uso y circulación».
Obligaciones Técnicas y Organizativas para la Protección de Datos de Salud y Genéticos
La empresa debe implementar un conjunto de medidas de seguridad que garanticen la protección de la información a lo largo de todo su ciclo de vida. Estas medidas deben ser adecuadas a la naturaleza de los datos y a los riesgos inherentes a su tratamiento.
- Medidas Técnicas: Incluyen el cifrado de datos tanto en reposo como en tránsito, la implementación de controles de acceso robustos (ej. autenticación multifactor, limitación de acceso por perfiles de usuario), la realización de copias de seguridad de forma regular y la adopción de tecnologías de seguridad de la información como firewalls y sistemas de detección de intrusiones.
- Medidas Organizativas: Son igualmente importantes e incluyen la elaboración de políticas de seguridad de la información, la asignación de roles y responsabilidades claras, la capacitación constante del personal en materia de protección de datos y el monitoreo de los sistemas para detectar y mitigar vulnerabilidades.
El Deber de Confidencialidad es un pilar fundamental en este contexto. El personal de la empresa que tenga acceso a la información de los clientes, en particular la de naturaleza sensible, está obligado a guardar secreto profesional sobre dicha información, incluso después de haber cesado su relación laboral.
Plan de Prevención, Detección y Respuesta a Incidentes de Seguridad
La AAIP, enfatiza el concepto de Responsabilidad Proactiva y Demostrada. Esto significa que no solo se espera que la empresa cumpla con la ley, sino que también sea capaz de demostrar su cumplimiento a la autoridad de control en todo momento. Para lograrlo, es indispensable contar con un plan de acción formal en caso de un incidente de seguridad (ej. una filtración de datos).
Este plan debe contemplar los pasos a seguir ante una brecha de seguridad, desde la detección hasta la notificación. La AAIP recomienda que el responsable del tratamiento notifique un incidente a la Agencia en un plazo de setenta y dos (72) horas después de haber tomado conocimiento del mismo, así como informar a los titulares de los datos afectados. La implementación de un Delegado de Protección de Datos (DPO) o una figura similar, con funciones claras y autonomía para actuar, es una medida recomendada que fortalece la diligencia de la empresa y su capacidad de demostrar la responsabilidad proactiva.
5. Mantenimiento del Cumplimiento y Obligaciones Recurrentes
El cumplimiento de la normativa no es un evento único, sino un proceso continuo que exige la atención constante por parte de la empresa. La inscripción en el RNBD es el inicio de una serie de responsabilidades que deben ser atendidas de manera recurrente.
- Actualización de la Información en el RNBD: Como se mencionó, aunque la inscripción no caduque, cualquier modificación en los datos declarados, como la finalidad del banco de datos, la naturaleza de la información o la dirección física, debe ser notificada a través del trámite «Modificar información en bases de datos personales privadas» en TAD. Mantener la información actualizada es una obligación esencial para garantizar la transparencia y la legalidad del tratamiento de los datos.
- Atención y Respuesta a los Derechos de los Titulares (ARCO): La empresa debe establecer un procedimiento interno eficiente para gestionar las solicitudes de acceso, rectificación, supresión o confidencialidad que realicen sus clientes. La ley establece plazos perentorios para la respuesta: un máximo de diez (10) días corridos para las solicitudes de acceso y un máximo de cinco (5) días hábiles para las solicitudes de rectificación, actualización o supresión. El incumplimiento de estos plazos habilita al titular a iniciar la acción de hábeas data judicialmente. Destrucción Segura de los Datos al Finalizar su Utilidad: La Ley N° 25.326 y la AAIP enfatizan la importancia de la conservación limitada de los datos. La información personal debe ser destruida de manera segura cuando haya dejado de ser necesaria o pertinente para los fines que motivaron su recolección. Esto cierra el ciclo de vida de los datos y previene su uso indebido, garantizando la privacidad de los clientes a largo plazo.