Durante los últimos meses de 2021, la Agencia de Acceso a la Información Pública (en adelante, «la Agencia», o AAIP, por sus siglas) ha impuesto sanciones a distintas organizaciones por infracciones a la Ley de Protección de Datos Personales Nº 25.326 (LPDP, por sus siglas). Cabe señalar que, en virtud de la normativa vigente, la Agencia puede imponer las siguientes sanciones en caso de configurarse una infracción a los términos de la normativa vigente: apercibimiento, suspensión, multa de hasta ARS 100.000 (pesos argentinos) (lo que equivale aproximadamente a USD 925, al tipo de cambio oficial de 30 de diciembre de 2021), clausura o cancelación de la base de datos por infracción.
Estos antecedentes podrían representar una tendencia orientada a una mayor rigurosidad por parte de la autoridad local en sancionar a aquellas organizaciones que no se ajustan a los postulados de la ley local. En estos más de 20 años desde la sanción de la LPDP, no se ha registrado un elevado número de sanciones impuestas por las autoridades nacionales en materia de protección de datos personales. Por ello, de cara al comienzo del 2022, quizás tengamos que esperar una mayor actividad sancionatoria.
En los siguientes párrafos sintetizamos los aspectos más relevantes de estos casos.
Asociaciones deportivas
En el marco de tres procedimientos de inspección llevados adelante por la AAIP, se requirió a determinadas instituciones deportivas que, dentro del plazo de 15 días hábiles administrativos, se expidieran sobre el cumplimiento de distintas obligaciones de la LPDP.
Como consecuencia de no recibir las respuestas pertinentes, se imputó a cada una de ellas la comisión de las siguientes infracciones:
- No acompañar en tiempo y forma la documentación requerida en el marco de un procedimiento de inspección.
- Efectuar tratamiento de datos personales sin encontrarse inscripto ante el Registro Nacional de Bases de Datos en infracción a lo dispuesto por el artículo 3º de la LPDP.
- En dos de esos casos también se imputó la infracción de obstrucción al ejercicio de la función de inspección de la Agencia.
A dos de las asociaciones se les sancionó con una multa de ARS 51.002 (aproximadamente USD 468) cada una, mientras que al restante se le multó ARS 26.001 (USD 238).
Entidad bancaria
El caso se inicia a raíz de una denuncia presentada por un cliente de una entidad bancaria que había intimado al banco para que se le permita acceder a sus datos personales en tanto aparecía en su cuenta de HomeBanking una deuda aparentemente no saldada. Como no obtuvo respuesta favorable, el reclamante presentó una denuncia ante la Agencia.
La Agencia intimó a la entidad bancaria para que informe el temperamento adoptado por la empresa ante el pedido de acceso a la información personal. Como consecuencia de ello, el banco respondió el requerimiento brindando las explicaciones del caso, las cuales fueron consideradas insuficientes por la Agencia.
De esta forma, se le imputó a la empresa una infracción que consistió en no atender en tiempo y forma la solicitud de acceso, rectificación o supresión de los datos personales objeto de tratamiento cuando legalmente proceda. La multa aplicada fue de ARS 80.000 (USD 733).
Financiera de crédito
La denunciante intimó a una sociedad financiera para que suprima sus datos personales, ya que la empresa informaba una deuda al Banco Central de la República Argentina que la reclamante desconocía. Como no obtuvo respuesta favorable, la reclamante presentó una denuncia ante la Agencia.
La Agencia imputó las siguientes infracciones a la compañía:
- No proporcionar en tiempo y forma la información que solicitó la Agencia en el ejercicio de las competencias que tiene atribuidas;
- No atender en tiempo y forma la solicitud de acceso, rectificación o supresión de los datos personales objeto de tratamiento cuando legalmente proceda; y
- No inscribir la base de datos en el registro correspondiente.
La Agencia desestimó la última imputación en tanto la empresa había registrado sus bases luego de haber sido intimada a tal efecto, pero impuso multa de ARS 30.001 (USD 275) por la configuración de los restantes incumplimientos anteriormente indicados.
Institución religiosa
La Agencia recibió una denuncia en la cual se relataba que la institución religiosa no había cumplido con un requerimiento de supresión de datos personales. El denunciante justificaba su pedido en virtud de haberse desvinculado de la Iglesia católica y abandonado la fe religiosa.
Como consecuencia de ello, la Agencia intimó a la institución para que eliminara la información o diera cuenta de las razones por las cuales se negaba a suprimir los datos. La denunciada informó que tiene la obligación de conservar los datos en cuestión en base al derecho canónico.
Por ello, la Agencia imputó a la institución la infracción de conservación de datos de carácter personal inexactos o no efectuar las rectificaciones, actualizaciones o supresiones de estos que legalmente procedan cuando resulten afectados los derechos de las personas y haya sido intimado previamente por la Agencia.
La Agencia consideró que las explicaciones brindadas por la institución no eran suficientes para justificar la vulneración del derecho a la protección de los datos personales, por lo que resolvió que correspondía aplicar una multa de ARS 80.001 (USD 733).
Es importante señalar que la autoridad entendió que el hecho de que el Estado argentino haya reconocido las normas de la Iglesia católica a través del concordato con la Santa Sede no significa automáticamente que el derecho canónico tenga una prevalencia sobre las normas de derecho civil, argumento que había sido invocado por la institución religiosa para negar el pedido de supresión. Por el contrario, para exceptuarse de cumplir con la LPDP, la Iglesia católica debió demostrar por qué la colisión de intereses y de derechos en este caso en particular debe resolverse en favor de la Iglesia.