POR
RUBÉN FLORES -DAPKEVICIUS (1)
RESUMEN: el presente trabajo refiere al análisis de la reciente ley Nº 18331, de la República Oriental del Uruguay, sobre protección de datos personales y acción de “habeas data”. En el mismo se desarrolla un primer estudio sobre esta novedosa legislación que regula los diferentes institutos de referencia. Así, por ejemplo, qué se entiende por base de datos, incluidos los de informe crediticio, datos sensibles, etc.. Por último, se profundiza en la acción de protección de datos personales, y en otros aspectos relevantes de la normativa, que hacen mención a la regulación constitucional y administrativa de esta fundamental garantía de los Derechos Humanos en un Estado de Derecho Democrático.
SUMARIO: LA NUEVA LEY DE HABEAS DATA EN URUGUAY Nº 18331
1. CONCEPTO GENERAL; 2. AMBITO DE APLICACIÓN. 3. DEFINICIONES; 4. PRINCIPIOS GENERALES; 5. DERECHOS DE LOS TITULARES DE LOS DATOS. 6. DATOS ESPECIALMENTE REGULADOS. DATOS COMERCIALES. 7. BASES DE DATOS DE TITULARIDAD PRIVADA. 8. SERVICIOS DE TRATAMIENTO TERCIARIZADOS. 9. BASES DE DATOS DE TITULARIDAD PÚBLICA. 10. UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES. 11. ACCIÓN DE PROTECCIÓN DE DATOS PERSONALES
LA NUEVA LEY DE HABEAS DATA EN URUGUAY Nº 18331
1. CONCEPTO GENERAL
Actualmente, y específicamente en Uruguay, la garantía respecto de los datos personas se encuentra reglado en la ley 18331, que en su art 48, derogó la Ley Nº 17.838 de 24 de setiembre de 2004. En este numeral analizaremos la referida normativa
Según la ley 18331 el derecho a la protección de los datos personales se aplica a las personas físicas (2), y por extensión a las personas jurídicas, en cuanto corresponda. A estas últimas, por ejemplo, no se le aplica la caducidad o prescripción de los datos.
Las bases de datos no pueden tener finalidades violatorias de derechos humanos o contrarias a las leyes o a la moral pública, art. 8 de la ley.
2. AMBITO DE APLICACIÓN
La ley determina que se aplica a los datos personales registrados en cualquier soporte que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos en los ámbitos público o privado.
Sin embargo la misma norma determina su no aplicación a las siguientes bases de datos:
A) A las mantenidas por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. La exclusión es de estilo y no merece comentario especial.(3).
B) Las que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado y sus actividades en materia penal, investigación y represión del delito. Las exclusiones son de estilo y se fundamentan en la seguridad del Estado y en su poder represivo y de orden público
C) A las bases de datos creadas y reguladas por leyes especiales.
3. DEFINICIONES
Seguidamente la ley en comentario realiza una serie de definiciones aplicables a la misma
A) Base de datos es el conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso.
B) Comunicación de datos es toda revelación de datos realizada a una persona distinta del titular de los datos. Es, entonces, comunicación pura y simple y transferencia de datos
C) Consentimiento del titular es la manifestación de voluntad, libre, inequívoca, específica e informada, mediante la cual el titular consiente el tratamiento de datos personales que le concierne. Se destaca que no pueden comunicarse datos entre bases de datos, sin que medie ley o previo consentimiento informado del titular. El consentimiento se convierte por esta ley en un principio general de conformidad con lo que surge del art. 9
D) Dato personal es la información de cualquier tipo referida a personas físicas o jurídicas determinadas o determinables.
E) Datos sensibles son, para la ley, los datos personales que revelen origen racial y étnico, preferencias políticas, convicciones religiosas o morales, afiliación sindical e informaciones referentes a la salud o a la vida sexual. Ninguna persona puede ser obligada a proporcionar datos sensibles (4).
Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley, o cuando el organismo solicitante tenga mandato legal para hacerlo. También pueden ser tratados con finalidades estadísticas o científicas cuando se disocien de sus titulares.
Es un derecho del titular del dato que se le informe el carácter de sensible del mismo Ello determinará la obligatoriedad o facultad para responder al interrogatorio.
La ley prohíbe la formación de bases de datos que almacenen información que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, y como lo hace la legislación comparada , se exceptúan aquellos que posean los partidos políticos, sindicatos, iglesias, confesiones religiosas, asociaciones, fundaciones y otras entidades sin fines de lucro, cuya finalidad sea política, religiosa, filosófica, sindical, que hagan referencia al origen racial o étnico, a la salud y a la vida sexual, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio que la comunicación de dichos datos precisará siempre el previo consentimiento del titular del dato. Se destaca que la ley excepciona determinadas instituciones, por ser tales y, también, hace salvedades según la finalidad de los datos.
Los datos personales relativos a la comisión de infracciones penales, civiles o administrativas sólo pueden ser objeto de tratamiento por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas, sin perjuicio de las autorizaciones que la ley otorga u otorgare. La ley se encarga de determinar que, de acuerdo a ella, las autoridades públicas no se encuentran impedidas, por ningún motivo, de comunicar o hacer pública la identidad de las personas físicas o jurídicas que estén siendo investigadas por, o hayan cometido, infracciones a la normativa vigente, en los casos en que otras normas lo impongan o en lo que lo consideren conveniente (5). La comunicación de la identidad puede ser correcta en algunos casos, de principio, si, en el supuesto de absolución, se procede de idéntica forma, teniendo presente los posibles perjuicios ocasionados que, en un Estado de Derecho Personalista, siempre, corresponde abonar en su totalidad. Con esto no se defiende o argumenta a favor de los corruptos, a los que se condena terminantemente. Simplemente se defiende a los inocentes, que son tales hasta que se demuestre lo contrario respetando, siempre, el principio de inocencia y de no auto incriminación (6).
Respecto de los datos relativos a la salud se establece que los establecimientos sanitarios públicos o privados y los profesionales vinculados a la actividad pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo su tratamiento. En estos supuestos rige el secreto profesional, la normativa específica y lo que surge de la ley en comentario. En la comunicación de datos sanitarios no se exige el previo consentimiento si la misma resulta necesaria por razones de salud e higiene públicas, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados.
La ley observado legislación extranjera enumera una serie de datos que entiende como sensibles; pero no define el instituto (7). Es decir que no cumple con la obligación que se impone cuando dice que definirá determinadas circunstancias. Por otra parte, nos preguntamos, los datos que se mencionan como sensibles, son taxativos. Entendemos que la pregunta debe ser contestada negativamente. Por lo expuesto corresponde una rápida modificación del literal en comentario que directamente defina el instituto en una forma generalmente abierta.
La norma continúa definiendo conceptos de la siguiente manera:
F) Destinatario es la persona física o jurídica, pública o privada, que recibiere comunicación de datos, se trate o no de un tercero.
G) Disociación de datos es todo tratamiento de datos personales de manera que la información obtenida no pueda vincularse a persona determinada o determinable.
H) Encargado del tratamiento es la persona física o jurídica, pública o privada, que sola o en conjunto con otros trate datos personales por cuenta del responsable de la base de datos o del tratamiento.
I) Fuentes accesibles al público son aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación.
J) Tercero es la persona física o jurídica, pública o privada, distinta del titular del dato, del responsable de la base de datos o tratamiento, del encargado y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable o del encargado del tratamiento.
K) Responsable de la base de datos o del tratamiento es la persona física o jurídica, pública o privada, propietaria de la base de datos o que decida sobre la finalidad, contenido y uso del tratamiento.
L) Titular de los datos es la persona cuyos datos sean objeto de un tratamiento incluido dentro del ámbito de acción de la presente ley.
M) Tratamiento de datos son las operaciones y procedimientos sistemáticos, de carácter automatizado o no, que permitan el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.
N) Usuario de datos es toda persona, pública o privada, que realice a su arbitrio el tratamiento de datos, ya sea en una base de datos propia o a través de conexión con los mismos.
4. PRINCIPIOS GENERALES
La ley 18331 menciona una serie de principios aplicables en la normativa de que se trata
Los principios enumerados, como principios generales, según la le ley, son el bloque (8) esencial del instituto de protección de datos. Por ser principios generales sus excepciones deben surgir de texto expreso y son de interpretación estricta que no admite interpretaciones analógicas ni extensivas.
La formación de bases de datos será lícita cuando se encuentren debidamente inscriptas, observando en su operación los principios que establecen la ley de referencia y las reglamentaciones que se dicten en consecuencia (9). El enunciado es el principio de legalidad para el legislador nacional. La definición nada agrega y, por ello, no merece comentarios. Evidentemente es legal lo que se adecue a la ley y a los principios generales.
Para la ley el principio de veracidad recoge y cobija diferentes principios y situaciones En ese sentido los datos personales que se recogieren a los efectos de su tratamiento deberán ser veraces, adecuados, ecuánimes (10) y no excesivos en relación con la finalidad (11) para la cual se hubieren obtenido. La recolección de datos no podrá hacerse por medios desleales, fraudulentos, abusivos, extorsivos o en forma contraria a las disposiciones de la ley de referencia. Este inciso nos determina, nuevamente el principio de legalidad y agrega que la recolección debe efectuarse de buena fe. Evidentemente la mención es absolutamente innecesaria porque surge de todo el derecho (12)
Por otra parte se agrega que los datos deberán ser exactos y actualizarse en el caso en que ello fuere necesario. Si se observa la inexactitud o falsedad de los datos, el responsable del tratamiento, en cuanto tenga conocimiento de dichas circunstancias, deberá suprimirlos, sustituirlos o completarlos por datos exactos, veraces y actualizados. Asimismo, deberán ser eliminados aquellos datos que hayan caducado
Los datos personales comerciales, de personas físicas (13), sólo pueden estar registrados por un plazo de cinco años contados desde su incorporación. En caso que al vencimiento de dicho plazo la obligación permanezca incumplida, el acreedor puede solicitar al responsable de la base de datos, por única vez, su nuevo registro por otros cinco años. Este nuevo registro deberá ser solicitado en el plazo de treinta días anteriores al vencimiento original. Las obligaciones canceladas o extinguidas por cualquier medio, permanecerán registradas, con expresa mención de este hecho, por un plazo máximo de cinco años, no renovable, a contar de la fecha de la cancelación o extinción.
El art. 8 de la ley refiere al principio de finalidad. En ese sentido los datos objeto de tratamiento no podrán ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención
Por ello deben ser eliminados cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubieren sido recolectados. La norma, con una vaguedad exagerada, que puede encubrir una delegación legislativa por la importancia del tema de que se trata según los casos (14), deja a la reglamentación determinar los casos y procedimientos en los que, por excepción, y atendidos los valores históricos, estadísticos o científicos, y de acuerdo con la legislación específica, se conserven datos personales aun cuando haya perimido su necesidad o pertinencia. Si bien serían hipótesis de excepción, la disposición se entiende como posible causante de litigios jurídicos.
El art. 9 convierte el previo consentimiento informado en un principio general (15).
En ese sentido el tratamiento de datos personales es lícito cuando el titular hubiere prestado su consentimiento libre, previo, expreso e informado, el que deberá documentarse. La norma no dice cómo debe documentarse pero no puede haber duda de la necesidad de que el documento deba ser escrito, o informático, si cumple las formalidades de seguridad correspondientes.
El consentimiento concedido con otras declaraciones, debe constar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 12 que determina el principio de responsabilidad
La norma determina los supuestos donde no resulta necesario el consentimiento previo. Las hipótesis que detalla expresamente son excepciones al principio general. Por ello son de interpretación estricta y no admiten interpretaciones extensivas. El consentimiento no se requiere:
A) Si los datos provienen de fuentes públicas de información. Por ejemplo registros o publicaciones en medios masivos de comunicación. Se sobre entiende por la ley que en esos supuestos existió consentimiento previo respecto del primer colector de la información. La regulación respecto de la actividad de los medios, en esta ley sobre esta materia, es inexistente.
B) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal. Esta excepción es de estilo. Sin embargo debe interpretarse como simple excepción porque, de otra forma, la situación podría devenir en un atentado a los derechos humanos y desembocar en un Estado que no respeta el Estado de Derecho Personalista. Por ello el “concepto poderes del Estado” es un tanto confuso. Determinando la norma, luego, que la excepción se aplica a una obligación legal (competencia), “poderes del Estado” debería entenderse, de principio, como funciones jurídicas del Estado. Nada más.
C) Se trate de listados cuyos datos se limiten en el caso de personas físicas a nombres y apellidos, documento de identidad, nacionalidad, domicilio y fecha de nacimiento. En el supuesto de personas jurídicas, razón social, nombre de fantasía, registro único de contribuyentes, domicilio, teléfono e identidad de las personas a cargo de la misma. Estos datos son meramente informativos y determinantes de la persona correspondiente. Por otra parte son, de principio, de uso público. Por ello la excepción
D) Siguiendo los parámetros de la legislación comprada no resulta necesario cuando los datos surjan de una relación contractual, científica o profesional del titular de los datos, y sean necesarios para su desarrollo o cumplimiento (16).
E) Se realice por personas físicas o jurídicas, privadas o públicas, para su uso exclusivo personal o doméstico. Debe transitarse precavidamente en la excepción del uso doméstico ya que este puede devenir en otra especie según la ocasión. Sería interesante preguntarse la finalidad de la base doméstica que supo poseer el fundador del F.B.I. Por ello toda base personal doméstica debe adecuarse a la finalidad y pertinencia. No se nos escapa que lo sancionable es la utilización indebida (con fines no domésticos exclusivamente), y que es el uso público el que puede ocasionar la lesión. Sin embargo el giro “su uso exclusivo” no nos proporciona, de principio, una absoluta seguridad que amerite la aceptación de la excepción, sin mayores comentarios.
Otro principio fundamental de la ley es el de seguridad de los datos. Por el mismo el responsable o usuario de la base de datos debe adoptar las medidas que resultaren necesarias para garantizar la seguridad y confidencialidad de los datos personales. Dichas medidas tendrán por objeto evitar su adulteración, pérdida, consulta o tratamiento no autorizado, así como detectar desviaciones de información, intencionales o no, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. Se prohíbe registrar datos personales en bases de datos que no reúnan condiciones técnicas de integridad y seguridad. Por otra parte los registros deben permitir, obvia y elementalmente, el acceso de los legitimados activos.
El Artículo 11 de la ley18331 consagra el principio de reserva. Por el mismo las personas físicas o jurídicas que obtuvieren legítimamente información proveniente de una base de datos que les brinde tratamiento, deben utilizarla en forma reservada y exclusivamente para las operaciones habituales de su giro o actividad, estando prohibida toda difusión de la misma a terceros. Por su parte las personas que, por su situación laboral u otra forma de relación con el responsable de una base de datos, tuvieren acceso o intervengan en cualquier fase del tratamiento de datos personales, están obligadas a guardar estricto secreto profesional (17) sobre los mismos cuando hayan sido recogidos de fuentes no accesibles al público (18). La reserva no resulta de aplicación en los casos de orden del Poder Judicial, en lo pertinente, o si mediare consentimiento, expreso, e informado destacamos (19), del titular.
Novedosamente la ley establece como principio general la responsabilidad, artículo 12. No sabemos en qué cambia el régimen jurídico de la responsabilidad civil, penal, administrativa, política, etc., la existencia de este principio pero, sin lugar a dudas, es de suma importancia para el legislador ya que cierra el conjunto de principios generales que la ley nos aporta (20).
Por otra parte el tema puede reglarse desde dentro por los Códigos de conducta (21) que las asociaciones o entidades representativas de responsables o usuarios de bancos de datos de titularidad privada podrán elaborar.
5. DERECHOS DE LOS TITULARES DE LOS DATOS
1. DERECHO DE INFORMACIÓN. En primer lugar el titular, cuyos datos se soliciten, tiene derecho a que se le informe previamente en forma expresa, precisa e inequívoca:
A) La finalidad (22) para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios.
B) La existencia de la base de datos, electrónica o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable de conformidad con el principio establecido en el art. 12 de la ley.
C) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga La norma agrega “en especial en cuanto a los datos sensibles”. El agregado es absolutamente innecesario porque cuando se informe al titular respecto a la posibilidad de negarse a responder se observa tal situación
D) Las consecuencias jurídicas de proporcionar los datos y de la negativa a hacerlo o su inexactitud.
E) La posibilidad del titular de ejercer los derechos de acceso, rectificación y supresión de los datos.
2. DERECHO DE ACCESO. Según el artículo 14 todo titular de datos personales que previamente acredite su identificación con el documento de identidad o poder respectivo, tendrá derecho a obtener toda la información que sobre sí mismo se halle en bases de datos públicas o privadas. Este derecho de acceso sólo puede ser ejercido en forma gratuita a intervalos de seis meses, salvo que se hubiere suscitado nuevamente un interés legítimo de acuerdo con el ordenamiento jurídico. En el supuesto de personas fallecidas, el ejercicio del derecho corresponde a cualesquiera de sus sucesores universales, cuyo carácter se acreditará por la sentencia de declaratoria de herederos. Resulta gratamente novedosa la inclusión de la existencia de un nuevo interés para que el derecho de acceso sea gratuito más allá del plazo de seis meses
El solicitado debe suministrar la información dentro de los cinco días hábiles de haber sido pedida. Si se produce el vencimiento del plazo sin que el pedido sea satisfecho o si fuera denegado por razones no justificadas de acuerdo con lo que dispone la ley a estudio, queda expedita la acción de habeas data. Es por ello que el derecho de acceso, administrativo en sentido amplio como exclusivo de judicial, es previo de la acción judicial respectiva.
La información debe ser suministrada en forma clara, amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales. Por otra parte debe estar exenta de codificaciones y en su caso acompañada de una explicación, en lenguaje accesible al conocimiento medio de la población. La misma, a opción del titular, podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin.
La norma sabiamente, siguiendo lo expuesto por la doctrina y el derecho comparado, determina la protección del derecho de terceros. Por ello, en ningún caso, el informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado (23).
3. DERECHO DE INCLUSIÓN, ACTUALIZACION Y SUPRESIÓN. El titular de los datos posee, en forma gratuita, los derechos de, actualización, inclusión o supresión. De acuerdo a ellos puede solicitar tales operaciones respecto de los datos personales que le corresponda incluidos en una base de datos, al constatarse error o falsedad o exclusión en la información de la que es titular.
El responsable de la base de datos o del tratamiento debe proceder a realizar lo solicitado, según los casos, en un plazo máximo de cinco días hábiles de recibida la solicitud por el titular del dato o, en su caso, informar de las razones por las que estime no corresponde. El incumplimiento de esta obligación por parte del responsable de la base de datos o del tratamiento o el vencimiento del plazo, habilitará al titular del dato a promover la acción de habeas data como en el supuesto del derecho de acceso
La ley determina que no procede la eliminación o supresión de datos personales salvo en aquellos casos de:
A) Perjuicios a los derechos e intereses legítimos de terceros;
B) Notorio error o falsedad;
C) Contravención a lo establecido por una obligación legal.
Durante el proceso de verificación, rectificación o inclusión de datos personales, el responsable de la base de datos o tratamiento, ante el requerimiento de terceros por acceder a informes sobre los mismos, deberá dejar constancia que dicha información se encuentra sometida a revisión, sin embargo la misma no se encuentra bloqueada. Según la casuística parece preferible el bloqueo directo teniendo presente que existe este trámite previo, de principio, a una posible medida cautelar judicial en el proceso de habeas data
Se destaca que, el responsable de la base de datos o del tratamiento debe notificar la rectificación, inclusión o supresión al destinatario dentro del quinto día hábil de efectuado el tratamiento del dato, en el supuesto de comunicación o transferencia de datos
Los responsables de las bases de datos que contengan los datos a que se refieren los incisos segundo y tercero del artículo 25 de la ley en comentario (24) podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.
Los responsables de las bases de datos de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el inciso anterior cuando el mismo obstaculice las actuaciones administrativas tendientes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el titular del dato esté siendo objeto de actuaciones inspectivas.
El titular del dato al que se deniegue total o parcialmente el ejercicio de los derechos mencionados en los dos párrafos anteriores podrá ponerlo en conocimiento del Órgano de Control, quien debe asegurarse de la procedencia o improcedencia de la denegación.
4. VALORACIÓN PERSONAL. Según el artículo 16 de la ley el titular tiene derecho a que no se produzca una decisión, con efectos jurídicos que le afecte de manera significativa, cuyo fundamento sea un tratamiento automatizado o no de datos destinado a evaluar determinados aspectos de su personalidad. Los supuestos en los que podría acontecer tal situación refieren al rendimiento laboral, crediticio, fiabilidad, conducta, etc…
La inclusión del concepto determinable “significativa” no se comparte por diversas razones. En primer lugar porque exige un daño mayor. En segundo lugar porque como, concepto jurídico determinable, deja al arbitrio del aplicador, en un momento dado, la determinación del mismo.
La ley reitera el régimen jurídico de impugnación, propio del Estado de Derecho y de nuestra Constitución, de los actos administrativos o decisiones privadas, que determinen una valoración de un comportamiento, cuyo único fundamento sea un procesamiento de datos personales. La valoración de que se está hablando es aquella que pueda definir sus características o personalidad en forma esencialmente mecánica (25). De producirse este hecho el titular posee el derecho a obtener información del responsable de la base de datos, tanto sobre los criterios de valoración, como sobre el programa informático utilizado en el tratamiento que sirvió para adoptar la decisión manifestada en el acto.
5. TRASFERENCIA DE DATOS. Por último el titular tiene determinados derechos referentes a la comunicación de datos los que sólo pueden ser comunicados para el cumplimiento de los fines directamente relacionados con el interés legítimo del emisor y del destinatario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la comunicación e identificar al destinatario o los elementos que permitan hacerlo.
En este caso el previo consentimiento para la comunicación es revocable.
El mismo no resulta necesario cuando:
A) Así lo disponga una ley de interés general;
B) En los supuestos determinados al analizar supra el denominado “Principio del previo consentimiento informado”, art. 9 de la ley;
C) Se trate de datos personales relativos a la salud y sea necesario por razones de salud e higiene públicas, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados;
D) Se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos no sean identificables.
Es elemental que el destinatario de los datos se encuentra sujeto a las mismas obligaciones legales y reglamentarias del emisor y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate.
6. DATOS ESPECIALMENTE REGULADOS. DATOS COMERCIALES
1. Recordamos que, supra, observamos el régimen jurídico respecto de los datos sensibles. Este tipo de datos, que la ley no define sino que simplemente enuncia, son los sensibles al ser humano como tal (26) y fueron analizados en el comienzo de este capítulo cuando observamos el habeas data en general.
2. El Artículo 20 de la ley en comentario refiere a los datos relativos a las telecomunicaciones. En ese sentido los responsables que exploten redes públicas o que presten servicios de comunicaciones electrónicas disponibles al público deben garantizar, en el ejercicio de su actividad, la protección de los datos personales de conformidad con lo que establece la ley en comentario.
Para ello deben adoptar las medidas técnicas y de gestión adecuadas para preservar la seguridad en la explotación de su red o en la prestación de sus servicios. Ello tiene por finalidad garantizar los niveles de protección de los datos personales que sean exigidos por la normativa de la ley 18331. De existir un riesgo particular de violación de la seguridad de la red pública de comunicaciones electrónicas, el responsable debe informar a los abonados sobre dicho riesgo y sobre las medidas a adoptar (27).
3. Respecto de los datos relativos a bases creadas con fines de publicidad, ventas, etc. , se podrán tratar datos que sean aptos para establecer perfiles determinados con fines promocionales, comerciales o publicitarios; o permitan establecer hábitos de consumo, cuando éstos figuren en documentos accesibles al público o hayan sido facilitados por los propios titulares u obtenidos con su consentimiento (28). Estos casos son visibles todos los días y suceden cuando se solicitan datos, por ejemplo mediante vía telefónica, mediante promesa de obsequios o participación en sorteos “promociónales” (29). No olvidemos el valor que tiene el conocimiento como fuente de poder (30). Se destaca que el titular podrá en cualquier momento solicitar el retiro o bloqueo (31) de sus datos de los bancos de datos correspondientes. La norma reitera que el titular de los datos podrá ejercer el derecho de acceso sin cargo alguno.
4. Respecto de los datos relativos a la actividad comercial o crediticia el art. 22 de la ley autoriza expresamente el tratamiento de datos personales destinados a brindar informes objetivos (32) de carácter comercial. Se incluyen aquellos relativos al cumplimiento o incumplimiento de obligaciones de carácter comercial o crediticia que permitan evaluar la concertación de negocios en general, la conducta comercial o la capacidad de pago del titular de los datos, en aquellos casos en que los mismos sean obtenidos de fuentes de acceso público o procedentes de informaciones facilitadas por el acreedor o en las circunstancias previstas en la ley 18331. Para el caso de las personas jurídicas, además de las circunstancias previstas en la ley comentada, se permite el tratamiento de toda información autorizada por la normativa vigente.
Los datos personales de que se trata, de personas físicas, sólo pueden estar registrados por un plazo de cinco años contados desde su incorporación. En caso que al vencimiento de dicho plazo la obligación permanezca incumplida, el acreedor puede solicitar al responsable de la base de datos, por única vez, su nuevo registro por otros cinco años. Este nuevo registro deberá ser solicitado en el plazo de treinta días anteriores al vencimiento original. Las obligaciones canceladas o extinguidas por cualquier medio, permanecerán registradas, con expresa mención de este hecho, por un plazo máximo de cinco años, no renovable, a contar de la fecha de la cancelación o extinción. Se trata de la prescripción o caducidad del dato. Tal prescripción es demasiado extensa teniendo presente que las anotaciones pueden resultar por créditos no pagos de montos irrisorios productos de un momentáneo quebranto económico. Ello debe entenderse, especialmente, en el supuesto de cancelación y mantenimiento del asiento (33).
Los responsables de las bases de datos sólo puede realizar el procesamiento objetivo de la información registrada tal cual ésta le fuera suministrada. Por ello no pueden realizar valoraciones subjetivas sobre la misma.
Si existe efectiva cancelación de cualquier obligación incumplida registrada en una base de datos, el acreedor deberá en un plazo máximo de cinco días hábiles de acontecido el hecho, comunicarlo al responsable de la base de datos o tratamiento correspondiente. Una vez recibida la comunicación por el responsable de la base de datos o tratamiento, éste dispondrá de un plazo máximo de tres días hábiles para proceder a la actualización del dato, asentando su nueva situación. La norma en comentario nuevamente no decide en forma expresa sobre anotaciones de créditos usurarios, o irrisorios, circunstancia que dio efectuar (34).
5. Respecto de los datos de cualquier tipo que puedan ser transferidos internacionalmente se prohíbe si los países u organismos internacionales respectivos no proporcionan niveles de protección adecuados de acuerdo a los estándares del Derecho Internacional o Regional en la materia. Sin perjuicio de lo expuesto la Unidad Reguladora y de Control de Protección de Datos Personales podrá autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel adecuado de protección, cuando el responsable del tratamiento ofrezca garantías suficientes respecto a la protección de la vida privada (35), de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos. La referidas garantías podrán derivarse de cláusulas contractuales apropiadas. La excepción parece demasiado amplia y, por ello, puede ser peligrosa.
La prohibición comentada tampoco rige cuando se trate de:
1) Cooperación judicial internacional, de acuerdo al respectivo instrumento internacional, ya sea Tratado o Convención, atendidas las circunstancias del caso.
2) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado por razones de salud o higiene públicas.
3) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable.
4) Acuerdos en el marco de tratados internacionales en los cuales la República Oriental del Uruguay sea parte.
5) Cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.
Se autoriza, también la transferencia internacional de datos cuando:
A) El interesado haya dado su consentimiento inequívocamente a la transferencia prevista.
B) La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado.
C) La transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el responsable del tratamiento y un tercero.
D) La transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante (36), o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.
E) La transferencia sea necesaria para la salvaguardia del interés vital del interesado.
F) La transferencia tenga lugar desde un registro que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones que establece la ley para su consulta.
7. BASES DE DATOS DE TITULARIDAD PRIVADA
Deben registrarse, en el Registro que al efecto habilite el Órgano de Control, las personas físicas o jurídicas privadas que creen, modifiquen o supriman bases de datos de carácter personal, que no sean para un uso exclusivamente individual o doméstico
Se deja al reglamento la regulación detallada de los distintos extremos que deberá contener la inscripción, entre los cuales deben constar, necesariamente, los siguientes:
A) Identificación de la base de datos y el responsable de la misma.
B) Naturaleza de los datos personales que contiene, teniendo presente que ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro.
C) Los procedimientos de obtención y tratamiento de los datos.
D) Las medidas de seguridad y descripción técnica de la base de datos.
E) La protección de datos personales y ejercicio de derechos.
F) Destino de los datos y personas físicas o jurídicas a las que pueden ser transmitidos.
G) Tiempo de conservación de los datos.
H) La forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos.
I) La cantidad de acreedores personas físicas que hayan cumplido los 5 años previstos en el artículo 22 de la ley que se comenta.
J) La cantidad de cancelaciones por incumplimiento de la obligación de pago si correspondiera, de acuerdo a lo previsto en el artículo 22 de la ley en comentario.
Se destaca que el incumplimiento de estos requisitos dará lugar a las sanciones administrativas previstas en la ley.
Respecto a las bases de datos de carácter comercial ya inscriptos en el Órgano Regulador, se estará a lo previsto en la ley 18331 respecto del plazo de adecuación.
8. SERVICIOS DE TRATAMIENTO TERCERIZADOS
Por otra parte, según el art. 30 de la ley, cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación.
Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años.
9. BASES DE DATOS DE TITULARIDAD PÚBLICA
La creación, modificación o supresión de bases de datos pertenecientes a organismos públicos (37) deberán registrarse conforme lo previsto respecto de las bases privadas
Se encuentran sujetos al régimen de la ley 18331 los datos personales que por haberse almacenado para fines administrativos, deban ser objeto de registro permanente en las bases de datos de las fuerzas armadas, organismos policiales o de inteligencia; y aquellos sobre antecedentes personales que proporcionen dichas bases de datos a las autoridades administrativas o judiciales que los requieran en virtud de disposiciones legales.
El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, organismos policiales o inteligencia, sin previo consentimiento de los titulares, queda limitado a aquellos supuestos y categoría de datos que resulten necesarios para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la represión de los delitos. Las bases de datos, en tales casos, deberán ser específicas y establecidas al efecto, debiendo clasificarse por categorías, en función de su grado de fiabilidad (38).
Por su parte los datos personales almacenados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.
Se destaca que los responsables de las bases de datos que contengan los datos a que refieren los incisos segundo y tercero del artículo 25 de la ley en comentario podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.
Los responsables de las bases de datos de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el párrafo anterior cuando el mismo obstaculice las actuaciones administrativas tendientes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el titular del dato esté siendo objeto de actuaciones inspectivas.
El titular del dato al que se deniegue total o parcialmente el ejercicio de los derechos mencionados en los incisos anteriores podrá ponerlo en conocimiento del Órgano de Control, quien debe asegurarse de la procedencia o improcedencia de la denegación.
10. UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES.
El artículo 31 de la ley crea el Órgano de Control (39) , como desconcentrado de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC), dotado de la más amplia autonomía técnica (40).
El referido órgano se encuentra dirigido por un Consejo integrado por tres miembros. Estos son el Director Ejecutivo de la AGESIC y dos miembros designados por el Poder Ejecutivo. Estas dos personas, que duran cuatro años en el cargo (41), debieran ser designadas por sus antecedentes personales, profesionales y de conocimiento en la materia que aseguren independencia de criterio, eficiencia, objetividad e imparcialidad en el desempeño de sus cargos.
Desde el punto de vista presupuestal la Unidad Reguladora y de Control de Datos Personales formular su propuesta de presupuesto de acuerdo a lo previsto en el artículo 214 de la Constitución de la República.
Por su parte la ley crea un Consejo Ejecutivo de la Unidad Reguladora y de Control de Datos Personales que se integra con cinco miembros: En primer lugar tres representan al Ministerio Público, al Poder Judicial y al área académica. El cuarto miembro del consejo deberá poseer reconocida trayectoria en la promoción y defensa de los derechos humanos. Es designado por el Poder Legislativo, entre sujetos que no pueden ser un Legislador en actividad. Por último existirá un representante del sector privado, que se elegirá en la forma que determine el reglamento (42).
El Consejo sesionará presidido por el Presidente de la Unidad Reguladora y de Control de protección de Datos Personales.
El órgano puede ser consultado por el Consejo Ejecutivo sobre cualquier aspecto de su competencia y deberá ser consultado por éste cuando ejerza potestades de reglamentación.
De acuerdo con la ley el órgano de control deberá realizar todas las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de la ley que se comenta. A tales efectos tendrá las siguientes funciones y atribuciones:
A) Asesorar y asistir a las personas que lo requieran acerca de los alcances de la ley 18331 y de los medios legales de que disponen para la defensa de los derechos que la misma protege
B) Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley.
C) Realizar un censo de las bases de datos alcanzados por la ley y mantener el registro permanente de los mismos.
D) Controlar la observancia de las normas sobre integridad, veracidad y seguridad de datos por parte de los responsables de las bases de datos, pudiendo a tales efectos realizar las actuaciones de inspección pertinentes.
E) Solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que se le requieran (43).
F) Emitir opinión toda vez que le sea requerida por las autoridades competentes, incluyendo solicitudes relacionadas con el dictado de sanciones administrativas que correspondan por la violación a las disposiciones de la ley, de los reglamentos o de las resoluciones que regulan el tratamiento de datos personales comprendidos en ésta.
G) Asesorar en forma necesaria al Poder Ejecutivo en la consideración de los proyectos de ley que refieran total o parcialmente a protección de datos personales (44).
H) Informar a cualquier persona sobre la existencia de bases de datos personales, sus finalidades y la identidad de sus responsables, en forma gratuita (45).
A lo efectos de cumplir sus cometido el órgano de control podrá aplicar las siguientes medidas sancionatorias a los responsables de las bases de datos o encargados del tratamiento de datos personales en caso que se violen las normas de la ley objeto de este análisis:
1) Apercibimiento.
2) Multa de hasta quinientas mil unidades indexadas.
3) Suspensión de la base de datos respectiva.
Para ello se concede competencia a la AGESIC para promover ante los órganos jurisdiccionales competentes, la suspensión de las bases de datos, hasta por un lapso de seis días hábiles, respecto de los cuales se comprobare que infringieren o transgredieren la ley 18331.
Los hechos constitutivos de una infracción deben documentarse de acuerdo a las formalidades legales y la suspensión deberá decretarse dentro de los tres días siguientes a aquel en que la hubiere solicitado la AGESIC, la cual quedará habilitada a disponer por sí la suspensión si el Juez no se pronunciare dentro de dicho término. Si el Juez denegare posteriormente la suspensión impuesta por la Administración, ésta deberá levantarse de inmediato por la AGESIC (46). Esta potestad sancionatoria por la Administración, aún con posible ratificación posterior por el Poder Judicial, en nuestro país, es novedosa y peligrosa. Existe una especie de seguimiento que puede dar lugar a detrimentos en los derechos de las bases de datos que tienen, también como cualquier persona, el derecho a ganarse dignamente la vida (47). Ello es así porque se determina, con certeza y énfasis que los recursos judiciales que se interpongan contra la resolución judicial que hiciere lugar a la suspensión, en contra del registro de datos, no tendrán efecto suspensivo Por otra parte se concede a la AGESIC la posibilidad de requerir el auxilio de la fuerza pública a los efectos de hacer cumplir la suspensión.
11. ACCIÓN DE PROTECCIÓN DE DATOS PERSONALES
El Artículo 37 de la ley 18331 establece la acción de Habeas data diciendo que “Toda persona tendrá derecho a entablar una acción judicial efectiva para tomar conocimiento de los datos referidos a su persona y de su finalidad y uso, que consten en bases de datos públicos o privados; y, en caso de error, falsedad, prohibición de tratamiento, discriminación o desactualización, a exigir su rectificación, inclusión, supresión o lo que entienda corresponder”. Es decir que la norma establece cada uno de los subtipos de habeas data analizados supra y oportunamente (48).
Desde ya debemos subrayar que la ley 18331 establece, tratando de ignorar la acción de amparo, que el habeas data se rige por las normas procesales de la ley misma que, lamentablemente, para el que la redactó, no pudo más que copiar (49). Entonces, cuando observemos la ley que se comenta no olvidemos que es una parcial copia del derecho extranjero y de la ley 16011(50).
A continuación observemos las principales características, elementos y secuencias de la acción de habeas data.
A. ELEMENTOS OBJETIVOS
Se reglan en la ley 18331, art. 38, y son los siguientes ya que la acción procede cuando el titular de datos personales desee:
A) Conocer sus datos personales que se encuentren registrados en una base de datos o similar y dicha información le haya sido denegada, o no le hubiese sido proporcionada por el responsable de la base de datos, en las oportunidades y plazos establecidos en los arts. 13 y siguientes de la ley 18331. Nos encontramos con el derecho a saber qué datos se tiene sobre una persona.
B) Cuando haya solicitado al responsable de la base de datos o tratamiento su rectificación, actualización, eliminación, inclusión o supresión y éste no hubiese procedido a ello o dado razones suficientes por las que no corresponde lo solicitado, en el plazo previsto al efecto en la ley. En este supuesto la ley nos aporta los elementos objetivos que permiten la rectificación, actualización y supresión de datos.
B. ELEMENTOS SUBJETIVOS.
Los elementos subjetivos son:
1) La competencia;
2.) Legitimación de las partes (51).
Los estudiaremos en ese orden
Son competentes para procesar la acción de habeas data:
1) En la capital, los Juzgados Letrados de Primera Instancia en lo Contencioso Administrativo, cuando la acción se dirija contra una persona pública estatal, y los Juzgados Letrados de Primera Instancia en lo Civil en los restantes casos.
2) Fuera de la Capital los Juzgados Letrados de Primera Instancia del Interior a quienes se haya asignado competencia en dichas materias.
Los sujetos legitimados activos en la acción son el titular de los datos, aún fallecido y sus representantes. El legitimado pasivo lo será el responsable de la base de datos, más allá de los eventuales citados en garantía y otros posibles responsables como los cesionarios y encargados de datos, etc.
C. EL PROCESO
El juicio de habeas data es un proceso contencioso y sumario ya que su objeto es la defensa de derechos que pueden ser destruidos en cuestión de horas. Por ello se estructuró un juicio brevísimo donde se dilucide con la mayor profundidad posible el derecho cuestionado. Así los plazos entre los diferentes etapas son extremadamente limitados
Comenzando el análisis de la aparente novedosa normativa que nos aporta la ley que se comenta observamos la referencia expresa a los arts. 14 y 15 del Código General del Proceso. (CGP) (52) . El artículo 14 dispone que para interpretar la norma procesal, el tribunal deberá tener en cuenta que el fin del proceso es la efectividad de los derechos sustanciales.
En caso de duda se deberá recurrir a las normas generales teniendo presente los principios generales de derecho y especiales del proceso y la necesidad de preservar las garantías constitucionales del debido proceso y de la defensa en el mismo.
Por su parte el artículo 15 del CGP dice que : ” En caso de vacío legal, se deberá recurrir a los fundamentos de las leyes que rigen situaciones análogas (en este caso la acción de amparo) y a los principios constitucionales y generales de derecho y especiales del proceso y a las doctrinas más recibidas, atendidas las circunstancias del caso” (53).
El procedimiento para tramitar la acción de habas data es absolutamente similar a la de la acción de amparo Por ello remitimos al análisis correspondiente en el capítulo dedicado al proceso de amparo en Uruguay (54). Sin perjuicio de ello analizaremos lo novedoso y diferente que nos aporta la presente ley.
1. CONCILIACION
En primer lugar corresponde decir que de acuerdo al art. 1 de la ley 16995 y 17930 no es necesaria la conciliación previa, si el que actúa es el Estado, de conformidad con las normas citadas (55). En lo demás casos debe procederse afirmativamente.
2. DEMANDA
El acto de proposición es la demanda que se presentará con las formalidades contenidas en los arts. 117 y siguientes del Código General del Proceso Uruguayo (C.G.P) que estable su forma y contenido diciendo que, salvo disposición expresa en contrario, la demanda deberá presentarse por escrito y contendrá los recaudos e informaciones de estilo. Por ejemplo la solicitud denegada de actualización de un dato efectuada por el responsable correspondiente.
3. RECHAZO DE LA DEMANDA O FIJACION DE AUDIENCIA
Propuesta la demanda el juez debe verificar su procedencia. Para ello realiza una valoración intelectual que, prima facie, hará lugar a la acción o la rechazará por manifiestamente improcedente. Lo expuesto surge de lo dispuesto por el inciso primero del art. 41 de la ley en comentario
La disposición debe generar, como en la garantía de principio, una corriente que consagre el principio general que establece que, ante la más mínima duda, debe estarse en favor de la acción.
De acuerdo al art. 44 de la ley es apelable la sentencia que no sustancie la demanda.
Si el decisor entiende que la garantía procede convoca a las partes a una audiencia pública dentro del plazo de tres días de la fecha de la presentación de la demanda.
Consideramos que es en este auto donde el juez debe fijar las medidas cautelares establecidas en el art. 42, salvo que en el proceso se dé su necesidad, hipótesis menos probable si no existe suspensión de la audiencia.
4) LA AUDIENCIA
La audiencia debe ser presidida, so pena de nulidad, por el juez competente que goza de los más amplios poderes de policía y de dirección de la misma (56). En ella :
a) Se oirá al demandado.
b) Se recibirán las pruebas teniendo presente que el juez puede rechazar las pruebas manifiestamente impertinentes o innecesarias. Puede, también, interrogar a los testigos y a las partes, sin perjuicio de que aquéllos sean, a su vez, repreguntados por los abogados. En cualquier momento el juez puede ordenar diligencias para mejor proveer.
c) Se producirán los alegatos.
d) Como en el amparo se autoriza en casos excepcionales, la prórroga de la audiencia hasta por tres días, art. 41 de la ley 18331 y 6 de la ley 16011.
e) La sentencia se dictará en la audiencia o a más tardar, dentro de las veinticuatro horas de su celebración. El plazo se puede extender por tres días por la prórroga señalada en el literal que precede.
f. Las notificaciones podrán realizarse por intermedio de
la autoridad policial. A los efectos del cómputo de los plazos de cumplimiento de lo ordenado por la sentencia, se dejará constancia de la hora en que se efectuó la notificación.
5) MEDIDAS PROVISORIAS
Si bien el proceso de habeas data es sumarísimo, admite medidas cautelares en su desarrollo, para evitar posibles daños superiores.
Si de la demanda o en cualquier otro momento del proceso resultare, a juicio del tribunal, la necesidad de su inmediata actuación, éste dispondrá, con carácter provisional, las medidas que correspondieren en amparo (57) del derecho o libertad presuntamente violados, art. 42 de la ley 18331, idéntico al art. 7 de la ley 16011.
6) INTERPOSICION DE CUESTIONES PREVIAS Y DEL RECURSO DE INCONSTITUCIONALIDAD
En los procesos de habeas data no podrán deducirse cuestiones previas, reconvenciones ni incidentes. El tribunal, a petición de parte o de oficio, subsanará los vicios de procedimiento, asegurando, dentro de la naturaleza sumaria del proceso, la vigencia del principio de contradictorio.
Cuando se planteare la inconstitucionalidad por vía de excepción o de oficio (artículos 509 numeral 2 y 510 numeral 2 del Código General del Proceso) se procederá a la suspensión del procedimiento sólo después que el juez actuante haya dispuesto la adopción de las medidas provisorias referidas en la ley que se comenta o, en su caso, dejando constancia circunstanciada de las razones de considerarlas innecesarias, art. 45 de la ley 18331, idéntica al art. 12 de la ley de amparo. Se hace la salvedad del trabajo realizado que permitió alguna modificación de redacción que no cambia el régimen jurídico.
Por lo expuesto, en beneficio del lector, se remite al análisis de las cuestiones previas y recurso de inconstitucionalidad que se realiza infra cuando se estudia la garantía de principio de los derechos humanos. Se subraya, como mera introducción, que la norma tiene por finalidad que los que buscan entorpecer el proceso, o ganar tiempo, no logren su objetivo.
Asimismo , como en el amparo, resulta trascendente destacar que la ley ordena al juez que suspende el procedimiento, la adopción de las medidas provisorias referidas en la ley de protección de datos o, en su caso, dejando constancia circunstanciada de las razones de considerarlas innecesarias,
7) LA SENTENCIA
No presenta particularidades dignas de destaque. Deberá contener:
A) La identificación concreta de la autoridad o el particular a quien se dirija y contra cuya acción, hecho u omisión se conceda el habeas data.
B) La determinación precisa de lo que deba o no deba hacerse y el plazo por el cual dicha resolución regirá, si es que corresponde fijarlo.
C) El plazo para el cumplimiento de lo dispuesto, que será fijado por el tribunal conforme las circunstancias de cada caso, y no será mayor de quince días corridos e ininterrumpidos, computados a partir de la notificación.
D) Cuando se trate de datos personales cuyo registro esté amparado por una norma legal que consagre el secreto a su respecto, el Juez apreciará el levantamiento del mismo en atención a las circunstancias del caso
8) RECURSOS
En el proceso de habeas data sólo serán apelables la sentencia definitiva y la que rechaza la acción por ser manifiestamente improcedente.
El recurso de apelación deberá interponerse en escrito fundado, dentro del plazo perentorio de tres días.
El tribunal elevará sin más trámite los autos al superior cuando hubiere desestimado la acción por improcedencia manifiesta, y lo sustanciará con un traslado a la contraparte, por tres días perentorios, cuando la sentencia apelada fuese la definitiva.
El tribunal de alzada resolverá en acuerdo, dentro de los cuatro días siguientes a la recepción de los autos. La interposición del recurso no suspenderá las medidas de amparo (58) decretadas, las cuales serán cumplidas inmediatamente después de notificada la sentencia, sin necesidad de tener que esperar el transcurso del plazo para su impugnación, art. 44 de la ley en comentario, idéntica al art. 10 de la ley 16011 (59).
Resulta fundamental tener presente que las medidas dispuestas en la sentencia son de ejecución inmediata después de notificada. Por lo expuesto, no es necesario que la providencia adquiera la calidad de cosa juzgada. Asimismo, la interposición del recurso de apelación contra la sentencia definitiva, tampoco suspende las medidas adoptadas en la primera instancia (60).
BIBLIOGRAFÍA
AZPILCUETA, HERMILIO,: “Derecho Informático”, Abeledo Perrot, 1987.
BADENI, GREGORIO: Reforma Constitucional e Instituciones Políticas, Ad Hoc, Bs. As. 1994
BARBAGELATA, ANIBAL: Derechos fundamentales, F.C.U. Mdeo
BENDA, ERNESTO; y otros Manual de Derecho Constitucional, Marcial Pons Ediciones, España 2001. Traducción Antonio López Pina
BISCARETTI DI RUFIA, PAOLO: Derecho Constitucional, Techos, Madrid 1973
BUERGENTHAL, THOMAS y otros La protección de los Derechos Humanos en las Américas, pag. 41, Civitas, Madrid 1990.-
CABALLERO SIERRA, ANZOLA GIL: Teoría Constitucional, Temis, Colombia 1995
CESARIO, ROBERTO: Habeas Data, Editorial Universidad, Bs. As. 2001
CORREA, CARLOS; BATTO, HILDA; CZAR , SUSANA Y NAZAR, FELIX: Derecho Informático, Depalma, Bs. As. 1987
CUMPLIDO FRANCISCO Y NOGUEIRA HUMBERTO. Teoría de la Constitución. Editorial Universidad Nacional Andrés Bello. Santiago de Chile, 1994.
DAVARA, MIGUEL: De las autopistas de la información a la sociedad virtual, Aranzadi, Navarra,1996
DE ESTEBAN, JORGE: Tratado de Derecho Constitucional, Servicios publicaciones facultad de Derecho de la Universidad Complutense de Madrid, España 1998
DIEZ PICAZO, LUIS: Sistema de derechos fundamentales, Civitas, Estaña 2003
DROMI, ROBERTO: El Derecho Público en la Hipermodernidad, Hispania Libros, Buenos Aires 2005
EDMEKDJIAN MIGUEL y otro , Habeas Data, Depalma, Bs. As. 1998
FERRER MAC-GREGOR, EDUARDO (coord.), Derecho Procesal constitucional, México, Porrúa. 2003.
FIX ZAMUDIO, HECTOR: Juicio de amparo, Parrúa, México 1964
FLORES DAPKEVICIUS, RUBEN: La acción de Amparo, Nueva Jurídica, Mdeo. 1999
FLORES – DAPKEVICIUS, RUBÉN: Manual de Derecho Público, tomo II, administrativo, Euros B de F editores, Buenos Aires 2007
FLORES – DAPKEVICIUS, RUBÉN: Manual de Derecho Público, tomo I, constitucional, Euros B de F editores, Buenos Aires 2007
FLORES – DAPKEVICIUS, RUBÉN: Derecho Penal Administrativo, el procedimiento disciplinario, Amalio Fernández, Mdeo. 2004, 2da. edición actualizada y ampliada
FLORES – DAPKEVICIUS, RUBÉN: Constitución de la República Oriental del Uruguay, anotada y concordada, Amalio Fernández, Mdeo. 2004
FLORES – DAPKEVICIUS, RUBÉN: Amparo, Hábeas Corpus y Habeas Data, B de F, Buenos Aires, 2004
FOLADORI, GUILLERMO; MELAZZI, GUSTAVO. Economía de la Sociedad Capitalista, Ediciones de la Banda Oriental, Mdeo. 1987
FRAGA PITTALUGA, LUIS: La incompetencia en el Derecho Administrativo, Ed. Torino, Caracas 2000
FROSSINI, VITTORIO: La protección de la intimidad, Derecho y Tecnología informática, Bogotá 1990
FROSINI, VITTORIO, “Informática y Derecho”, Themis, 1988.
GIMENO SENDRA, VICENTE Y GARBERI LLOBREGAT, JOSE: Los procesos de amparo, Colex, Madrid 1994
GUIBORG, RICARDO, “Manual de Informática Jurídica”, Astrea, 1996.
HAURIOU, MAURICE: Derecho Público Constitucional, Editorial Reus, España 1927
HAURIOU, MAURICE: Précis de Droit Administratif, et de Droit Public, Recueil Sirey Francia 1921
HELLER, HERMANN: Teoría del Estado. México, 1947.
LOSANO, MARIO: “Curso de Informática Jurídica”, Tecnos, 1987.
MAYO, MARIE: Informática jurídica, Editorial Jurídica, Chile 1991
NINO, CARLOS: Fundamentos de Derecho Constitucional, Astrea, Bs. As. 1992
NÚÑEZ PONCE, JULIO: Derecho Informático, Marsol, Perú 1996
OTERO, JORGE: Aspectos procesales del recurso de protección. Ed. Jurídica de Chile, Santiago de Chile, 1989
PUCCINELLI, OSCAR. El Hábeas Data en Indoiberoamérica. Themis: Sta Fe de Bogotá, 1999.
QUIROGA LAVIE, HUMBERTO: Constitución de la Nación Argentina comentada, Zavalía, Buenos Aires, 1996.
QUIROGA LAVIE, HUMBERTO: Manual de Derecho Constitucional, Bs. As. 1996.
RIVAS ADOLFO: El amparo, La Rocca, Bs. As. 1990
RODRÍGUEZ DE MIRANDA, ROSANGELO: La Protección constitucional de la vida privada, Editora de Direito, San Pablo, 1996
ROPO, ENZO: Informática, tutela della privacy e diritti della libertá, Giuffré, Milán 1985
SAGUES, NESTOR PEDRO: Acción de Amparo, Astrea Bs. As. 1995
SÁNCHEZ VIAMONTE CARLOS: Manual de Derecho Constitucional. Kapelusz, Buenos Aires 1946.
SAYAGUÉS LASO, ENRIQUE: La Licitación Pública, obra actualizada por los Profs. RUBÉN FLORES DAPKEVICIUS y DANIEL H MARTINS , B de F. Bs. As. 2005
TAVOLARI OLIVEROS, RAÚL: Eliminación de la Acción de Amparo en Chile, La Semana Jurídica, LexisNexis Chile, Doctrina, Internet
TENA RAMÍREZ, FELIPE Y GUERRERO LÓPEZ, EUQUERIO, El amparo mexicano y los Derechos Humanos México, Suprema Corte de Justicia de la Nación, 1975
VANOSI, JORGE, Teoría Constitucional, Depalma, Bs. As
VEGA, PEDRO DE: La reforma constitucional y la problemática del poder constituyente, Tecnos, Madrid 1999
VELÁZQUEZ, RAFAEL: Protección jurídica de los datos personales automatizados, Colex, Madrid 1993
VILLANUEVA, ERNESTO, Derecho de Acceso a la Información Pública en Latinoamérica, México, UNAM, 2003.
Correos del autor
PUNTA DEL ESTE, NOVIEMBRE DE 2008
————————————————————————————————————
(1) Doctor en derecho y ciencias sociales por la Universidad mayor de la República. Profesor de Derecho Administrativo y de Derecho Constitucional de la Universidad mayor de la República. Ex Asesor Letrado del Servicio Civil de la Presidencia de la República Oriental del Uruguay
(2) Porque el derecho surge de lo dispuesto por el art. 72 de la Constitución de la República, en tanto es inherente al ser humano
(3) Flores Dapkevicius, Rubén: Manual de Derecho Público, tomo I, constitucional, Euros Editores, Buenos Aires 2007
(4) Por otra parte los datos de que se trata sólo pueden ser objeto de tratamiento, excepcional, con el consentimiento expreso y escrito del titular.
(5) La opción de conveniencia es discutible.
(6) Flores Dapkevicius, Rubén: Manual de Derecho Público, tomo II, administrativo , Euros Editores, Buenos Aires 2007
(7) Flores Dapkevicius, Rubén: Manual de Derecho Público, tomo I, constitucional, Euros Editores, Buenos Aires 2007
(8) La expresión es textual de la ley. Debe entenderse como cimiento, estructura
(9) Flores Dapkevicius, Rubén: Amparo, Habeas Corpus y Habeas data, Euros editores, Buenos Aires 2004
(10) Esto es imparciales, equitativos, justos
(11) Se menciona el principio de finalidad de la recolección, esto es, el para qué de la misma, que se define en el artículo de la ley que sigue
(12) Flores Dapkevicius, Rubén: Manual de Derecho Público, tomo I, constitucional, Euros Editores, Buenos Aires 2007
(13) Al no mencionarse, se excluye la prescripción respecto de las personas jurídicas
(14) La regulación de los derechos humanos necesita ley formal., arts. 7 y 10 de la Carta.
(15) Interesante innovación que deja la trascripción de normas internacionales un tanto de lado
(16) Flores Dapkevicius, Rubén: Manual de Derecho Público, tomo I, constitucional, Euros Editores, Buenos Aires 2007
(17) Esta obligación subsistirá aun después de finalizada la relación con el responsable de la base de datos
(18) Artículo 302 del Código Penal
(19) Flores Dapkevicius, Rubén: Amparo, Habeas Corpus y Habeas data, Euros editores, Buenos Aires 2004
(20) La norma dice que “El responsable de la base de datos es responsable de la violación de las disposiciones de la presente ley”; es decir que el responsable es responsable. La disposición podría haber agregado que el cesionario, el encargado, el que efectuada el tratamiento como tercerista encargado, también, son responsables. Sin embargo, se sabe que, aún sin norma, por las disposiciones generales (art. 24 y 312 de la Carta, Código Civil y Penal, etc…) son, asimismo, responsables.
(21) Dichos códigos deben ser inscriptos en el registro que al efecto lleve el organismo de control. El referido organismo puede denegar la inscripción cuando considere que no se ajustan a las disposiciones legales y reglamentarias sobre la materia. Ello dará lugar a los recursos correspondientes.
(22) Esto es para qué serán tratados
(23) Flores Dapkevicius, Rubén: Amparo, Habeas Corpus y Habeas data, Euros editores, Buenos Aires 2004
(24) Estos son datos personales con fines de defensa nacional o seguridad pública
(25) La valoración sobre el comportamiento de las personas, basada en un tratamiento de datos, únicamente puede tener valor probatorio a petición del afectado.
(26) Flores Dapkevicius, Rubén: Manual de Derecho Público, tomo I, constitucional, Euros Editores, Buenos Aires 2007
(27) La regulación contenida en la ley que se comenta se entiende sin perjuicio de lo previsto en la normativa específica sobre telecomunicaciones relacionadas con la seguridad pública y la defensa nacional, cometidos esenciales al Estado.
(28) Por ejemplo qué se consume en la “noche de la nostalgia” o en Navidad, dónde, cómo, con quién, etc.
(29) Flores Dapkevicius, Rubén: Manual de Derecho Público, tomo I, constitucional, Euros Editores, Buenos Aires 2007
(30) Toffler, Alvin: El cambio del Poder, pag. 545 , Plaza &Janes 1994
(31) Aquí se habla de bloqueo. Ello hace presumir que cuando el legislador ignora el instituto no lo hace por desconocer el tema
(32) Se destaca el carácter objetivo aunque los informes no podrían ser de otra forma
(33) Flores Dapkevicius, Rubén: Manual de Derecho Público, tomo I, constitucional, Euros Editores, Buenos Aires 2007
(34) Flores Dapkevicius, Rubén: Amparo, Habeas Corpus y Habeas data, Euros editores, Buenos Aires 2004
(35) La ley debió decir “íntima”
(36) El concepto jurídico determinable “importante” debe destacarse. Su juzgamiento lo dejamos para el lector
(37) La ley considera, de acuerdo a expuesto oportunamente por este autor, que son públicas las bases administradas por los organismos de derecho público.
(38) Flores Dapkevicius, Rubén: Amparo, Habeas Corpus y Habeas data, Euros editores, Buenos Aires 2004
(39) Denominado Unidad Reguladora y de Control de Datos Personales.
(40) Como profesionales de Derecho Constitucional y Administrativo desconocemos la existencia de una autonomía técnica amplia y otra restringida
(41) Pueden cesar por la expiración de su mandato y designación de sus sucesores, o por su remoción dispuesta por el Poder Ejecutivo en los casos de ineptitud, omisión o delito, conforme a las garantías del debido proceso.
(42) Los integrantes del Consejo permanecerán cuatro años en sus cargos y sesionarán a convocatoria del Presidente de la Unidad Reguladora y de Control de Datos Personales o de la mayoría de sus miembros.
(43) En estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados.
(44) Se trata de un dictamen preceptivo no obligatorio
(45) Flores Dapkevicius, Rubén: Manual de Derecho Público, tomo I, constitucional, Euros Editores, Buenos Aires 2007
(46) La competencia de los Tribunales actuantes se determinará por las normas de la Ley Orgánica de la Judicatura, Nº 15.750, de 24 de junio de 1985, sus modificativas y concordantes.
(47) Por otra parte deben ser protegidas en su derechos ante organismos con poderes, tal vez, excesivos
(48) Flores Dapkevicius, Rubén: Amparo, Habeas Corpus y Habeas data, Euros editores, Buenos Aires 2004
(49) La ley anterior de habeas data Nº 17.838, art. 19, remitía directamente a la ley de amparo. El cambio de parecer del legislador debió proceder de algún ciudadano que quiso el tema para sí y desconoce la existencia del derecho procesal constitucional de las garantías.
(50) Ello es así porque el amparo es la garantía de principio de los derechos humanos ya que procede, siempre, salvo, que exista texto expreso excluyente indubitable y de interpretación estricta. Lo expuesto debe entenderse sin perjuicio de las particularidades del objeto de cada garantía. El derecho comparado es claro en el sentido que se expone.
(51) Flores Dapkevicius, Rubén: Amparo, Habeas Corpus y Habeas data, Euros editores, Buenos Aires 2004
(52) No se vislumbra motivo alguno para la remisión expresa. Sin embargo el legislador olvido determinar, expresa y contundentemente el posible bloqueo de datos durante el proceso, sin perjuicio del art. 42 de la ley que se comenta que es igual al art. 7 de la ley de amparo. Tampoco determinó montos mínimos, reajustables, para realizar inscripciones de créditos no pagos. Otras circunstancias que se pasaron por alto, en esta ley, fueron la inscripción de créditos usurarios y, nada menos, la imposibilidad que las empresas del Estado nieguen conceder sus servicios públicos (por ejemplo agua potable), si un deudor inscripto como moroso en una base de datos , solicita esos servicios esenciales para la vida
(53) Sin embargo, se reitera, después de estos principios, se transcribe casi literalmente la ley de amparo.
(54) Ello es así porque confrontando el texto de la ley 18331 se observan tan amplias similitudes con la ley 16011 que, si el legislador hubiese rendido un examen sobre la materia, en esta prueba, la hubiese reprobado por haber copiado manifiestamente.
(55) Flores Dapkevicius, Rubén: Manual de Derecho Público, tomo II, administrativo , Euros Editores, Buenos Aires 2007
(56) Circunstancia idéntica al amparo
(57) El legislador se olvido quitar la palabra amparo.
(58) Nuevamente el legislador hace referencia al amparo. Si su intención hubiese sido otra pudo decir : “La interposición del recurso no suspenderá las medidas (…) decretadas”
(59) Flores Dapkevicius, Rubén: Amparo, Habeas Corpus y Habeas data, Euros editores, Buenos Aires 2004
(60) Hasta altura del análisis nos preguntamos por qué se excluyó la reglamentación de principio por la ley de amparo para, luego paradójicamente, incluirla textualmente en la reglamentación más importante. El hecho es que, de todos modos, el legislador respeto la Constitución y la garantía de principio que surge del Derecho Procesal Constitucional garantista