Nuevas normas sobre protección de datos personales y privacidad laboral en la Ciudad Autónoma de Buenos Aires

1.    La Ley de Datos Personales

La Ley N º 1845 de “Protección de Datos Personales” la “Ley de Datos Personales”) fue sancionada con fecha 24 de noviembre de 2005 y fue vetada parcialmente por el Poder Ejecutivo local. El veto parcial fue aceptado por la Legislatura, mediante la resolución N º 223, y finalmente esta ley se publicó en el Boletín Oficial de la Ciudad Autónoma de Buenos Aires del 3 de agosto de 2006.

a.    Objeto: el objeto de esta ley, cuyos lineamientos generales siguen los de la Ley Nacional de Protección de Datos Personales Nº 25.326, es regular, dentro del ámbito de la Ciudad Autónoma de Buenos Aires la “CABA ), el tratamiento de datos personales referidos a personas físicas o de existencia ideal, asentados o destinados a ser asentados en archivos, registros, bases o bancos de datos del sector público de la CABA, a los fines de garantizar el derecho al honor, a la intimidad y a la autodeterminación informativa.

b.    Principios generales: La Ley de Datos Personales establece los siguientes principios generales de la protección de los datos personales:

(i)    los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido; y no pueden ser utilizados para finalidades distintas de aquéllas que motivaron su obtención;

(ii)   la recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la Ley de Datos Personales;

(iii)   los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario para responder con veracidad a la situación de su titular;

(iv)   los datos personales deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados, sin necesidad de que lo requiera el titular de los mismos.

c.    Creación de bases de datos públicas: la Ley de Datos Personales dispone que la creación y mantenimiento de bases de datos debe responder a un propósito general y usos específicos lícitos y socialmente aceptados; y que las normas sobre creación, modificación o supresión de bases de datos pertenecientes a organismos públicos deberán publicarse en el Boletín Oficial de la Ciudad de Buenos Aires e indicar determinada información y características de éstas.

Por su parte, el responsable de la base de datos, el encargado del tratamiento y los usuarios de datos están obligados al secreto profesional respecto de los datos personales sujetos a tratamiento y deben aplicar las medidas de seguridad que la correspondiente normativa nacional establezca (que se encuentran en proceso de dictado).

d.    Consentimiento: la ley mantiene el principio esencial que para recoger lícitamente datos personales se debe contar con el consentimiento libre, expreso e informado de su titular, el que deberá constar por escrito, o por otro medio que permita se le equipare de acuerdo a las circunstancias. Dicho consentimiento puede ser revocado por cualquier medio y en cualquier momento, lo que no tendrá efectos retroactivos.

Sin embargo, la ley establece una serie de excepciones en las cuales no será necesario el consentimiento.

e.    Datos sensibles: la Ley de Datos Personales también regula especialmente el régimen de los datos sensibles. Éstos sólo pueden ser tratados cuando medien razones de interés general autorizadas por ley, o cuando sean tratados con finalidades estadísticas o científicas, siempre y cuando no puedan ser identificados sus titulares.

En particular, establece que ninguna persona puede ser obligada a proporcionar datos sensibles, los que no podrán solicitarse a ningún individuo como condición para su ingreso o promoción dentro del sector público de la CABA.

Asimismo, la Ley de Datos Personales prohíbe la formación de archivos, registros, bases o bancos de datos que almacenen información que directa o indirectamente revele datos sensibles, salvo que esta ley o cualquier otra expresamente disponga lo contrario o medie el consentimiento libre, previo, expreso, informado y por escrito del titular de los datos.

f.     Datos relativos a la salud: la Ley de Datos Personales permite que los establecimientos sanitarios dependientes de la Ciudad de Buenos Aires y los profesionales vinculados a las ciencias de la salud que presten servicios en los mismos recolecten y traten los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional.

g.    Cesión de datos personales: la norma, siguiendo a la Ley N º 25.326, también regula la cesión de datos personales, que sólo podrán ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.

La Ley de Datos Personales también prevé casos de excepción en los cuales no es necesario el consentimiento del titular de los datos.

Asimismo, reitera la disposición del régimen nacional en cuanto a que el cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate.

h.    Transferencia interprovincial e internacional de datos personales: la Ley de Datos Personales trae disposiciones específicas sobre transferencia interprovincial e internacional de datos personales.

En ese sentido, prohíbe la transferencia de datos personales a cualquier provincia o municipio cuya administración pública no proporcione niveles de protección adecuados a los establecidos por la Ley Nacional N ° 25.326 y la Ley de Datos Personales, así como a países u organismos internacionales o supranacionales que no aseguren niveles adecuados de acuerdo a la ley bajo comentario. Ello, sin perjuicio de las diversas excepciones legales a la prohibición, dentro de las cuales se encuentra el consentimiento del titular.

i.     Derechos de los titulares de datos personales: la Ley de Datos Personales asiste al titular de datos personales con los derechos de a) información; b) acceso, y c) rectificación, actualización o supresión.

Es importante resaltar que la ley declara nulos e inválidos los actos y decisiones administrativos que impliquen una valoración del comportamiento o de la personalidad de las personas fundada en el tratamiento de sus datos personales. 

j.     Organismo de control. Infracciones: la Ley de Datos Personales designa como organismo de control a la Defensoría del Pueblo de la Ciudad de Buenos Aires y crea dentro de su ámbito el Registro de Datos Personales, en el que deberán inscribirse todas las bases de datos que se creen en el sector público de la CABA.

Por su parte, la ley menciona una serie de infracciones por violar las disposiciones de la ley y las correspondientes sanciones por la comisión de las infracciones previstas en la Ley de Datos Personales, como en la Ley N º 25.326 y su reglamentación. 

k.    Acción de protección de datos: la ley reglamenta la acción de protección de los datos personales o de habeas data, de conformidad con las disposiciones de la Constitución de la CABA.

Esta acción procederá para que los titulares de datos personales tomen conocimiento de sus datos almacenados en bases de datos del sector público de la CABA, su fuente, origen, finalidad o uso que del mismo se haga. En los casos en que se presuma la falsedad, inexactitud, desactualización de la información de que se trata, o el tratamiento de datos en infracción de la Ley Nacional N ° 25.326 o la Ley de Datos Personales, para exigir su rectificación, supresión, confidencialidad o actualización.

l.     Privacidad laboral en el ámbito del sector público de la Ciudad de Buenos Aires: La ley trae una serie de disposiciones sobre privacidad laboral.

Así, la Ley de Datos Personales entiende por correo electrónico a toda correspondencia, mensaje, archivo, dato u otra información electrónica que se transmite a una o más personas por medio de una red de interconexión entre computadoras o dispositivos equiparables.

En particular, establece que cuando el correo electrónico sea provisto por un organismo del sector público de la CABA a sus dependientes en función de una relación laboral, se entenderá que la titularidad del mismo corresponde al empleador, independientemente del nombre y clave de acceso que sean necesarias para su uso.

El empleador se encuentra facultado para acceder y controlar toda la información que circule por dicho correo electrónico laboral, como asimismo a prohibir su uso para fines personales. El ejercicio de estas facultades por parte del empleador, así como las condiciones de uso y acceso al correo electrónico laboral, deberá ser notificado por escrito al trabajador, al momento de poner a su disposición el correo electrónico o en cualquier oportunidad posterior, como requisito previo a su ejercicio.

El empleador deberá asimismo notificar fehacientemente a sus dependientes, la política establecida respecto del acceso y uso de correo electrónico personal, así como del uso de internet en el lugar de trabajo.

Por último, el incumplimiento de las órdenes emanadas del superior con respecto a la política de uso de correo electrónico y de internet en lugar de trabajo según lo previsto en esta norma, será sancionado de conformidad con lo dispuesto en los artículos 10 y 47 de la Ley N ° 471 (Ley de Relaciones Laborales en la Administración Pública de la Ciudad Autónoma de Buenos Aires).

2.    Registro No Llame

La Ley N º 2014, publicada en el Boletín Oficial de la Ciudad Autónoma de Buenos Aires el 10 de agosto de 2006, creó en el ámbito de la CABA el "Registro No Llame", que todavía debe ser reglamentado por el Poder Ejecutivo de la ciudad

La ley dispone que puede inscribirse en el "Registro No Llame" toda persona titular de una línea telefónica que manifieste su decisión de no ser contactada telefónicamente por empresas que, haciendo uso de datos personales, utilizan el sistema de telemarketing para publicitar, ofertar, vender y/o regalar bienes y/o servicios en el ámbito de la ciudad.

La inscripción tiene una duración de dos años a partir de su incorporación al "Registro No Llame" y se renuevan automáticamente por un período igual, salvo manifestación en contrario del registrado, o pedido de cancelación o baja de su inscripción en cualquier momento.

Las mencionadas empresas no pueden dirigirse a ninguno de los inscriptos en el "Registro No Llame", para lo cual deben notificarse de las inscripciones registradas, dentro de los noventa días a partir de la promulgación de la ley, y en lo sucesivo, se deberán notificar de las altas y bajas cada noventa días.