Recientemente, la Agencia de Acceso a la Información Pública, autoridad de aplicación de la Ley de Protección de Datos Personales Nº 25.326 (en adelante, la LPDP) en Argentina, sancionó a Rappi Arg S.A.S. (Rappi) por no dar respuesta a un pedido de supresión de datos personales en legal tiempo y forma. En esta nota desarrollamos los aspectos más relevantes del caso.
¿Cómo se origina el caso?
El caso nace a raíz de una denuncia presentada ante la Agencia de Acceso a la Información Pública (AAIP, por sus siglas) por parte de un usuario de Rappi que se había registrado como repartidor. Rappi es una plataforma online de cadetería (mensajería) o delivery—entrega o envío a domicilio de productos que intermedia entre los repartidores y los consumidores. El denunciante señala que había presentado varios reclamos previos a la empresa solicitando la supresión de sus datos sin recibir una respuesta favorable. Asimismo, y pese a estos pedidos, continuaba recibiendo mensajes publicitarios. La Dirección Nacional de Protección de Datos Personales, dependiente de la Agencia, recibió la denuncia y solicitó a la empresa que brindara las explicaciones del caso.
¿Qué establece la LPDP en cuanto al derecho a la supresión de los datos personales?
El artículo 16 de la LPDP reconoce expresamente el derecho a la supresión de los datos personales. En particular, la norma dispone que "toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad los datos personales de los que sea titular, que estén incluidos en un banco de datos.
[…] El responsable o usuario del banco de datos, debe proceder a la rectificación, supresión o actualización de los datos personales del afectado, realizando las operaciones necesarias a tal fin en el plazo máximo de cinco días hábiles de recibido el reclamo del titular de los datos o advertido el error o falsedad.
[…] El incumplimiento de esta obligación dentro del término acordado en el inciso precedente, habilitará al interesado a promover sin más la acción de protección de los datos personales o de hábeas data prevista en la presente ley […].
La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.
[…] Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos."
¿Qué contestó la empresa?
En lo sustancial la empresa manifestó lo siguiente:
- El denunciante poseía dos relaciones contractuales distintas, como consumidor y como repartidor y, por ende, estaba registrado en dos bases de datos distintas con procesos de baja independientes y solo se había solicitado la remoción como repartidor, no como consumidor.
- La base legal que justificaría la conservación de datos se relaciona con las «distintas obligaciones en el marco del derecho aplicable» y la salvaguarda de los intereses de todos los sujetos intervinientes en la plataforma, así como potenciales disputas o reclamos que la empresa podría recibir, o bien por cuestiones de seguridad.
- Como regla general se conservan los datos para el cumplimiento de las distintas obligaciones legales.
- La política de privacidad de la plataforma que el usuario acepta al registrarse indica que la compañía se reserva la facultad de conservar los datos personales por 10 años, plazo que surge del Código Civil y Comercial.
¿Qué resolvió la Agencia?
En su resolución de fecha 31 de marzo de 2021, la Agencia consideró que la empresa había infringido las disposiciones de la LPDP dado que no se había suprimido la información cuando había dejado de ser pertinente para los fines que motivaron su recolección y, por su parte, no se atendió adecuadamente el pedido de supresión de los datos personales. Merecen destacarse las siguientes consideraciones vertidas por la autoridad:
- Los responsables de bases de datos deben facilitar a los interesados el ejercicio de sus derechos, habilitando procedimientos y formas visibles, accesibles y sencillas de conformidad con el principio de información (artículo 6 de la LPDP), aspecto que no habría sido debidamente atendido por la empresa.
- Los responsables de las bases de datos deben observar los principios de proporcionalidad, finalidad, calidad y retención de datos reconocidos en el artículo 4 de la LPDP a la hora de determinar la pertinencia en la recolección y conservación de los datos personales.
- Con el fin de determinar la validez en la conservación de los datos, por un lado, se debe ponderar el derecho a la privacidad—en cabeza del titular del dato—y, por otro lado, el deber de cumplir una obligación legal a cargo del responsable del tratamiento. Este último debe demostrar exhaustivamente que dicha obligación legal permite que almacene los datos por el tiempo consignado.
- El plazo de 10 años que invocó la empresa en base al artículo 328 del Código Civil y Comercial hace sólo referencia a libros y registros contables. Por ende, Rappi no lograría justificar la conservación en tanto no resulta razonable derivar de tal norma una obligación de mantener los datos personales recabados.
- La mera referencia a la existencia de una obligación legal de retención de los datos basada en poder dar respuesta a eventuales reclamos o requerimientos o contestar respuestas de organismos competentes es insuficiente. No se habría explicado si la empresa es un sujeto obligado. Tampoco se habría explicado los plazos específicos de conservación que surgirían por ley para estas obligaciones, ni las categorías de datos necesarias para cumplir tales exigencias.
- La mera enumeración de normas y regulaciones resulta insuficiente para justificar que la empresa deba conservar las categorías de datos que procesa.
- La invocación de una obligación legal en los términos formulados por la empresa resulta vaga y ambigua.
- Tal como fuera reconocido por la propia empresa, la conservación de los datos ha resultado excesiva, en tanto no se poseía una base jurídica sólida para demostrar que las operaciones de tratamiento eran lícitas.
- Rappi no contestó el reclamo de supresión en el plazo legal ni realizó las operaciones de actualización de sus bases o las necesarias en atención al pedido recibido. Por el contrario, la empresa continuó enviando notificaciones, haciendo caso omiso a la solicitud de supresión y baja.
¿Qué sanción aplicó la Agencia?
La Agencia aplicó a Rappi una multa de ARS 80.000 (equivalentes a USD 812 al tipo de cambio de la fecha de redacción de este artículo) por considerar que había cometido una infracción grave consistente en «no atender en tiempo y forma la solicitud de acceso, rectificación o supresión de los datos personales—objeto de tratamiento—cuando legalmente proceda», de conformidad al régimen sancionatorio (Disposición DNPDP Nº 7/2005 y modificatorias). Según las disposiciones vigentes, en caso de incumplimientos a la LPDP, la autoridad puede imponer las siguientes sanciones: apercibimiento, suspensión, multa de ARS 1.000 a 100.000 (equivalentes a USD 10 a USD 1.015), clausura o cancelación de la base de datos.
La resolución aún no se encuentra firme ya que puede ser recurrida.
Algunas consideraciones finales
La Agencia sancionó a la empresa por no haber atendido el pedido de eliminación de los datos personales. Es importante destacar que la normativa vigente reconoce el derecho a la supresión, el cual, en principio, debe proceder en todos los casos salvo en los supuestos indicados por la propia norma a saber cuándo la eliminación pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.
En la resolución comentada la Agencia puntualiza que el derecho a la eliminación tampoco es absoluto por lo que el resultado de una solicitud de supresión puede ser diferente según el caso particular. Las evaluaciones deben realizarse caso por caso.
Por último, es importante recordar que la LPDP dispone plazos muy breves para la atención y respuesta de los requerimientos que realicen los titulares de datos en ejercicio de sus derechos, inclusive menores a los establecidos en leyes de otros países. A modo de ejemplo, el Reglamento General de Protección de Datos Personales de la Unión Europea contempla un plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso de ser necesario, teniendo en cuenta la complejidad y el número de solicitudes.
En Argentina, el plazo para responder un pedido de acceso es de 10 días corridos mientras que, en el caso de las solicitudes de actualización, modificación, supresión y trato de confidencial es de 5 días hábiles. Por ende, es primordial que las empresas tengan políticas, procesos y mecanismos preestablecidos para dar respuesta rápida y eficiente a los requerimientos de los titulares de datos.