Datos personales y Estado: la Corte Suprema declara inconstitucional la cesión entre organismos públicos sin consentimiento
I. El caso y su relevancia
La Corte Suprema de Justicia de la Nación dictó sentencia en la causa Torres Abad, Carmen c/ EN – JGM s/ hábeas data (CAF 49482/2016) y declaró la inconstitucionalidad de los artículos 5°, punto 2, inciso b, y 11, punto 3, incisos b y c, de la Ley 25.326 de Protección de los Datos Personales. La decisión, adoptada por mayoría de los jueces, sienta un precedente que podría redefinir las condiciones bajo las cuales el Estado puede tratar y ceder datos personales de los ciudadanos.
La actora, una jubilada del sistema previsional de reparto, promovió una acción de hábeas data contra el Estado Nacional al tomar conocimiento de que la ANSeS había cedido sus datos de contacto, número de teléfono y dirección de correo electrónico, a la Secretaría de Comunicación Pública, en el marco de un convenio marco de cooperación aprobado por la Resolución JGM 166E/2016. La cesión tenía por objeto que dicho organismo pudiera comunicarse con la población para difundir acciones de gobierno e información de utilidad pública, pero la actora no había prestado consentimiento para ese uso de su información.
El caso plantea el interrogante sobre si el Estado puede organizar un flujo de datos personales entre sus propias dependencias sin el conocimiento ni el consentimiento de sus titulares, invocando el ejercicio de competencias legítimas
II. La finalidad y el consentimiento
La Corte identificó que la cuestión del caso era determinar si el ordenamiento jurídico vigente permitía que la ANSeS cediera los datos que la actora había suministrado al solo efecto de tramitar su beneficio previsional a otra dependencia estatal, sin obtener previamente su anuencia.
Este encuadre es relevante porque pone de relieve un elemento que muchas veces se pasa por alto en el intercambio de datos entre organismos públicos: el principio de finalidad. El artículo 4°, inciso 3°, de la Ley 25.326 establece que los datos personales recabados no pueden utilizarse para finalidades distintas o incompatibles con aquellas que motivaron su obtención. La actora había proporcionado su número de teléfono y correo electrónico para tramitar una prestación previsional, no para integrar una base de comunicación gubernamental.
Este principio es uno de los pilares del derecho a la protección de datos personales, y su aplicación no depende de quién sea el destinatario de la información (un actor privado o el Estado), sino del uso que se haga de ella respecto del propósito declarado al momento de la recolección.
III. El voto de la mayoría
El voto de la mayoría, antes de expedirse sobre la inconstitucionalidad, le da la razón al Estado al considerar que la Ley 25.326 autorizaba la cesión de datos cuestionada. El artículo 11, punto 3, inciso c, dispone que el consentimiento no es exigido cuando la cesión se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias.
La Corte señala que añadir requisitos adicionales -como exigir que la finalidad sea de defensa nacional, seguridad pública o represión del delito, como interpretó la Cámara en la anterior instancia- equivaldría a prescindir del texto claro de la norma, lo cual constituye una extralimitación judicial inaceptable.
Pero acto seguido, la Corte establece que aunque la ley permitía la cesión, el articulado donde está previsto esto es inconstitucional. Como fundamento sostiene que la exigencia del consentimiento del titular para el tratamiento de sus datos personales hace a la propia definición de los derechos a la privacidad y a la autodeterminación informativa, y que se trata por ende de una regla de rango constitucional.
IV. El test de constitucionalidad de las excepciones
El reconocimiento del carácter constitucional del principio de consentimiento no implica que sea absoluto. La Corte explica que puede ser objeto de excepciones, pero fija condiciones precisas para su validez: deben estar previstas en una ley formal, estar justificadas en la necesidad de resguardar otros derechos o intereses públicos legítimos, ser proporcionadas, y no alterar la sustancia del derecho fundamental que pretenden reglamentar.
Aplicando ese test a lo previsto en los artículos 5°, punto 2, inciso b, y 11, punto 3, incisos b y c, de la Ley 25.326, la Corte concluye que ninguno de esos requisitos se cumple.
En primer lugar, las normas cuestionadas están redactadas de modo tan general que prácticamente toda la actividad estatal queda comprendida en ellas, por lo que el consentimiento queda eliminada en un inmenso universo de situaciones.
En segundo lugar, la Corte no logra identificar qué interés legítimo justificaría un sistema de almacenamiento y tráfico de datos personales sin el conocimiento de sus titulares, con absoluta indiferencia respecto del tipo de organismos intervinientes, la naturaleza de la información, el tipo de interés público comprometido o el grado de afectación a la privacidad. La autorización a ceder datos personales sin consentimiento no está anclada en ninguno de los criterios que la jurisprudencia ha aceptado para restringir el derecho a la privacidad -la defensa de la sociedad, la seguridad pública, las buenas costumbres o la persecución del crimen-.
V. El "derecho a ser dejado a solas"
La Corte añade, además, que el número de teléfono y la dirección de correo electrónico no son datos meramente identificatorios: son canales de acceso directo a la persona. Su cesión no consentida no solo implica una vulneración de la regla de finalidad; afecta también una dimensión específica de la privacidad que el Tribunal describe como el derecho de toda persona a disfrutar de su soledad y de su tranquilidad sin ser perturbada por intromisiones externas injustificadas, también conocido como el right to be left alone.
Este encuadre conecta la protección de datos personales con una concepción más amplia del derecho a la intimidad que no se agota en el control de la información, sino que también abarca la libertad de no ser contactado, alcanzado o importunado sin consentimiento.
VI. Declaración de inconstitucionalidad de oficio y alcance de la decisión
La Corte declara la inconstitucionalidad de los artículos 5°, punto 2, inciso b, y 11, punto 3, incisos b y c, de la Ley 25.326, de oficio y con los alcances que la propia jurisprudencia del Tribunal ha fijado para el control de constitucionalidad ex officio: la decisión se ciñe a los hechos y planteos de la causa, sin pronunciamiento general erga omnes. Sin embargo, el efecto sistémico es inevitable, ya que cualquier cesión de datos entre organismos estatales que se ampare en esas normas estaría expuesta a quedar sin base legal válida.
El resultado es que, eliminadas esas excepciones, rige plenamente la regla general del artículo 11, punto 1, de la Ley 25.326, que establece que la cesión de datos personales solo es válida con el previo consentimiento libre, expreso e informado del titular, con indicación de la finalidad de la cesión y de la identidad del cesionario. De acuerdo a la decisión a la Corte ese estándar es exigible a las transferencias entre dependencias del Estado.
VII. Implicancias para la operatividad de la Administración Pública
Bajo la lógica de la decisión de la Corte se plantea un desafío considerable para el funcionamiento de la Administración Pública.
El Estado moderno opera sobre la base del flujo continuo de información entre sus organismos. La coordinación interinstitucional -que es un requisito de eficiencia, coherencia y no duplicación de recursos- descansa en la posibilidad de que un organismo acceda a datos que ya obran en poder de otro, como por ejemplo:
- La Administración Nacional de la Seguridad Social verifica datos de identidad o domicilio con el Registro Nacional de las Personas.
- ARCA cruza información con el Ministerio de Desarrollo Social para identificar beneficiarios de programas sociales o detectar inconsistencias fiscales.
- Un organismo de salud pública accede a datos de contacto para notificar a personas expuestas a una situación sanitaria de riesgo.
- El Registro del Automotor comparte información con organismos de seguridad vial para control del parque vehicular.
- Los juzgados ejecutan interconexiones con el Registro de la Propiedad Inmueble o con la ANSES para dictar medidas cautelares o verificar condiciones de los justiciables.
En todos estos casos, requerir el consentimiento expreso, libre e informado del titular de los datos -prestado por escrito o por medio equivalente, según el artículo 5°, punto 1, de la Ley 25.326- como condición previa para cada cesión significaría paralizar operaciones que el Estado tiene la obligación jurídica de realizar, o bien "molestar" permanentemente al ciudadano para obtener una anuencia que en muchos casos es operativamente absurda.
La paradoja no es menor, ya que en muchos de estos casos, el ciudadano no solo no objeta el intercambio de información entre organismos públicos, sino que lo necesita para que sus propios trámites prosperen. Exigirle que brinde consentimiento expreso puede suponer, en la práctica, una carga adicional sobre quien ya debe interactuar con una burocracia compleja. La protección del derecho a la autodeterminación informativa no debería derivar en un requisito formal que burocratice aún más la relación entre el ciudadano y el Estado.
Hay además otra cuestión. El artículo 11, punto 3, inciso a, de la Ley 25.326 -que no fue declarado inconstitucional- prevé que el consentimiento no es exigido cuando "así lo disponga una ley", esto significa que el legislador podría resolver el problema mediante leyes sectoriales que, con la debida justificación constitucional, autoricen cesiones específicas. Pero esa vía, si se recorre caso por caso y sector por sector, es fragmentaria y potencialmente caótica.
VIII. Una ley especial para el tratamiento de datos por el Estado
El fallo Torres Abad pone en evidencia una cuestión a analizar: es necesaria una regulación específica y sistemática del tratamiento de datos personales por parte del Estado. La Ley 25.326, sancionada en el año 2000 con una lógica fundamentalmente orientada a la protección frente a actores privados (empresas de información crediticia, bases de datos comerciales), proyectó sus disposiciones sobre el Estado casi por extensión, sin articular un régimen diferenciado.
Esa omisión merece ser revisada, una ley especial para el tratamiento de datos personales por organismos estatales debería, como mínimo:
1. Establecer una taxonomía de finalidades legítimas. No toda actividad estatal justifica el tratamiento y cesión de datos sin consentimiento. La ley debería identificar, con precisión suficiente, las finalidades que constituyen base legal para el tratamiento: ejercicio de funciones jurisdiccionales, administración de prestaciones de la seguridad social, control fiscal, aplicación de la ley penal, gestión de emergencias sanitarias, entre otras. La taxatividad es la condición de razonabilidad constitucional que el fallo exige.
2. Fijar condiciones de proporcionalidad y minimización. Aun cuando exista una finalidad legítima, el tratamiento debe ser adecuado, pertinente y no excesivo en relación con esa finalidad. Los datos de contacto cedidos para comunicación gubernamental genérica no cumplen ese estándar; los cedidos para notificar a un beneficiario sobre el estado de su prestación, sí.
3. Prever mecanismos de transparencia y rendición de cuentas. El ciudadano debería tener acceso a un registro actualizado de los organismos que poseen sus datos y los propósitos declarados. La trazabilidad del flujo de datos dentro del Estado es condición necesaria para que el derecho de acceso, rectificación y supresión sea ejercitable en forma efectiva.
4. Regular la interoperabilidad interinstitucional con salvaguardas. El intercambio de datos entre organismos del Estado puede ser necesario y hasta conveniente para el ciudadano, pero debe estar regido por protocolos técnicos y jurídicos claros, con identificación de responsables, plazos de conservación y restricciones de uso secundario.
5. Consagrar expresamente excepciones constitucionales al consentimiento. Con base en los criterios fijados por la Corte en Torres Abad -ley formal, interés público legítimo específico, proporcionalidad, no alteración de la sustancia del derecho-, la ley debería enunciar los supuestos en que el Estado puede operar sin consentimiento, con el grado de precisión que el test constitucional exige.
IX. Conclusión
Torres Abad es un fallo que tiene implicancias en varios planos. En el plano técnico-jurídico, consolida el carácter constitucional del principio de consentimiento y fija estándares precisos para evaluar la validez de sus excepciones. En el plano de la protección de derechos, tutela el right to be left alone frente a un uso instrumental de los datos personales por parte del Estado. Y en el plano institucional, deja al descubierto una regulación insuficiente y obliga al legislador a construir un marco normativo más sofisticado.
La solución no pasa por ignorar la necesidad de coordinación interestatal ni por absolutizar el consentimiento hasta paralizar la Administración. Pasa por diseñar una ley que equilibre la protección efectiva de la autodeterminación informativa con el ejercicio legítimo y eficiente de las funciones del Estado.
No hay comentarios:
Publicar un comentario