La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

- 1 - XXVI Congreso Latinoamericano de Derecho Bancario COLADE 3 de septiembre 2007 por el Dr. Horacio R. Granero Socio del Estudio Allende & Brea Director.

Presentaciones similares


Presentación del tema: "- 1 - XXVI Congreso Latinoamericano de Derecho Bancario COLADE 3 de septiembre 2007 por el Dr. Horacio R. Granero Socio del Estudio Allende & Brea Director."— Transcripción de la presentación:

1

2 - 1 - XXVI Congreso Latinoamericano de Derecho Bancario COLADE 3 de septiembre 2007 por el Dr. Horacio R. Granero Socio del Estudio Allende & Brea Director de la Carrera de Posgrado de Abogado Especializado en Derecho de la Alta Tecnología (UCA) El derecho a la privacidad Implicancias de la Protección de Datos en la información crediticia Necesidad de una conciliación normativa

3 - 2 - La responsabilidad civil en la actualidad –La culpa como único factor de atribución en el Código Civil. –El avance técnico y su influencia en la responsabilidad civil –Teoría del riesgo y sus aplicaciones: Accidentes de trabajo, daños aéreos Responsabilidad objetiva. –La tecnología y la teoría de la actividad riesgosa Los daños en la era tecnológica

4 - 3 - Protege el daño que se puede causar por una violación del deber de seguridad que tiene todo gestor de una base de datos personales. Es una obligación de resultado, consistente en garantizar que los datos personales no serán difundidos ni empleados para un fin distinto al tenido en cuenta al ser ingresados al Banco de Datos. –Se considera que el tratamiento y /o difusión de datos de terceros puede ser considerado una cosa riesgosa(Alessi, Ezio v/ Organización Veraz s/ habeas data, Cciv. Rosario, 8/8/2001) Obligación legal de Protección de Datos Personales

5 - 4 - Información de cualquier tipo referida a –personas físicas –o de existencia ideal –determinadas o determinables. Datos personales incluyen: –Texto, imagen ó sonido Datos personales

6 - 5 - Objeto de la Protección de Datos Derechos en conflicto ante nuevas tecnologías Derecho a la Información (transmitir, captar, manejar, registrar, conservar, comunicar datos personales) Derecho a la intimidad, el honor, la identidad y de todo otro interés esencial para la vida del individuo Protección Nuevos Derechos humanos Control de la Información personalAutodeterminación Informativa (facultad de cada individuo de decidir cuando y como esta dispuesto a difundir su información personal) Reglamentación de la actividad de los Bancos de Datos Acción de Habeas Data Normativa de Protección de Datos Argentina: Art.43 de la Constitución Nacional Ley Nº Decreto 1558/2001 Unión Europea: Directiva 95/46 Instrumentación legal

7 - 6 - ENTIDADES BANCARIAS ANALISIS Calidad, finalidad y forma de recolectar Datos CALIDAD FORMA DE RECOLECCIÓN FINALIDAD Acorde a la Ley Informada al titular Los datos recolectados deben ser adecuados a las finalidades. Consentimiento Informado Informar: finalidad, destino posibilidad de cesión Consentimiento para el tratamiento de datos. Revisión de contratos y solicitudes y formas de recolección de datos Los Datos deben Ser: Ciertos Adecuados Pertinentes No Excesivos (Finalidad) Actualizados Destruidos si dejaron de ser necesarios Recolección de datos

8 - 7 - Consentimiento Principio General: El tratamiento de Datos Personales sin consentimiento es ilícito Requisitos de licitud: Libre Expreso Informado Escrito o medio que lo equipare Revocable Excepciones: Fuentes de acceso público irrestricto Funciones propias de los poderes del Estado Cumplimiento de una obligación legal Listado referidos solamente a nombre, domicilio, nº de identificación u otros datos meramente identificatorios Relación contractual, científica o profesional Operaciones de entidades financieras

9 - 8 - Salvador, Claudio v. Citibank, CNac.Com- Sala D, 22/11/2005) –La promesa de privacidad no observa las reglas específicas dispuestas por la ley para el tratamiento de los datos para marketing directo… –Para ceder los datos para otro propósito debe obtener su consentimiento porque de otro modo se transgrede el principio de finalidad. Se debe mantener la confidencialidad de los datos del actor, salvo los requeridos por el BCRA en virtud de la normativa aplicable… (del dictamen del Fiscal de Cámara) Consentimiento

10 - 9 - Tratamiento de Datos Personales Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y en general el procesamiento de Datos Personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias. Principios básicos de licitud del tratamiento 1.Inscripción en un registro de Banco de Datos 2.Demás principios previstos en la ley (calidad de los datos) 3.Que su finalidad no sea contraria a la leyes y la moral pública 4.Consentimiento libre, expreso e informado 5.Interés legítimo Actividades principales de tratamiento 1.Recolección 2.Cesión 3.Transferencia Internacional

11 Cesión Concepto: Toda comunicación a terceros a través de transferencias, consultas o interconexiones Requisitos de licitud: Interés legítimo de cedente y cesionario Consentimiento previo, libre, expreso, escrito o medio que lo equipare Información sobre finalidad de la cesión e identificación del cesionario o elementos que permitan identificarlo Excepciones al consentimiento: Dispuesta por Ley Casos en que el consentimiento no es exigido Entre dependencias de Órganos del Estado en la medida del cumplimiento de sus competencias Datos disociados Régimen especial de responsabilidad: Responsabilidad solidaria conjunta de cedente y cesionario

12 Dictámen DNPDP 60/04 –El intercambio de información entre organismos del Estado (Oficina Anticorrupción y ANSES) de datos debe realizarse en el marco de las competencias específicas de cedente y cesionario –Si dichos datos son sensibles o información confidencial o reservada los organismos deberán estar autorizados legalmente –Las bases de datos transmitidos deberán estar registradas Datos sensibles

13 Transferencia Internacional Únicamente a países u organismos Internacionales o supranacionales con nivel adecuado de protección Requisitos de licitud: Ordenamiento jurídico en materia de protección de datos Cláusulas contractuales Sistemas de autoregulación Equiparables a la Normativa del país que da origen a la transferencia Excepciones: Colaboración judicial internacional Intercambio de datos de carácter médico, con motivo del tratamiento del afectado o investigación epidemiológica previa disociación Transferencias bancarias o bursátiles En el marco de tratados Internacionales Cooperación Internacional entre Organismos de Inteligencia (crimen organizado, terrorismo y narcotráfico)

14 La DNDP es un ente regulador y su responsabilidad primordial no es registrar datos personales sino controlar archivos o bases de empresas donde estén almacenados dichos datos. Uno de los recaudos en los que se hace énfasis es en la seguridad de los datos (como ser la existencia de suficientes copias de resguardo, firewalls, etc.) Registro Nacional de Protección de Datos Personales

15 La Disposición DNPDP 7/2005 del 8 de noviembre 2005 –Deroga la Disposición DNPDP 1/2003 –Aprueba la clasificación de las infracciones –Efectúa una gradación de las sanciones »Infracciones leves (apercibimientos y multas de $ 1000 a $ 3000 »Infracciones graves (suspensión de uno a 30 días y multa de $ 3001 a $ »Infracciones muy graves (suspensión de 31 a 365 días, clausura o cancelación del archivo, registro o banco de datos y multa de $ a $ –Crea el Registro de Infractores Multas

16 –La Justicia Comercial está imponiendo indemnizaciones por daño moral Prada c/ Citibank (CNCom. Sala B, 27/08/02) - Daño material $ 744,86 y moral $ Del Giovannino, Luis c/Banco del Buen Ayres (CNCom. Sala B, 11/01/2001) Daño material $ y moral $ ) Daño Moral

17 ENTIDADES BANCARIAS Esquema de Responsabilidad RESPONSABILIDAD PATRIMONIAL RESPONSABILIDAD PENAL RESPONSABILIDAD ADMINISTRATIVA EN CASCADA Multas de $ a $ Cancelación o Clausura del Banco de datos Art. 117 bis del Código Penal Inserción de Datos Falsos Art. 157 bis del Código Penal Acceso ilegítimo a un banco de datos y revelación de información secreta y protegida por Ley. Responsable solidaria e ilimitadamente por daños derivados de actos propios o de terceros que, gracias a el, accedan a la información Marco de Responsabilidades de la Ley

18 SEGURIDAD DE LOS DATOS ENTIDADES BANCARIAS Acceso interno ¿Quién tiene acceso? Medidas de seguridad de los cesionarios Procedimientos para archivo, modificación o destrucción Seguridad periférica Medidas de Seguridad de 3ros Procesadores Seguridad de los Datos

19 ENTIDADES BANCARIAS Áreas Críticas Seguridad de los Datos Fuentes de de los Datos Cesión de los Datos Datos Crediticios Procesamiento de los datos por 3ros Áreas Críticas

20 Seguridad de los datos Principio General: Se deben asegurar que los datos están almacenados en forma segura Requisitos de seguridad Comunicación BCRA A 4609 : Requisitos Mínimos de Gestión, Implementación y Control de los Riesgos Relacionados con Tecnología Informática, Sistemas de Información y Recursos Asociados para las Entidades Financieras Entró en vigencia el 1º de Julio 2007 Disposición ONTI Normas de seguridad según el tipo de establecimiento

21 Actividades: –Recopilación domicilios, –reparto de documentos, –publicidad –venta directa –otras actividades análogas Se pueden tratar datos –aptos para establecer perfiles determinados –o establecer hábitos de consumo –promocionales, –comerciales –publicitarios Bases datos publicidad

22 Unión de Usuarios y Consumidores v. Citibank CNCom. Sala E, 12/05/2006 –La transpolación de la información para ser utilizada con fines publicitarios propios o de terceros importaría exceder la causa que ha dado motivo a que la entidad cuente con esos datos: el acuerdo celebrado con la entidad en ocasión de contratar determinado producto Jurisprudencia

23 Los datos que pueden tratarse deben ser significativos para evaluar la solvencia económico- financiera de los afectados –durante los últimos 5 años –O 2 años (obligación extinguida), debiéndose hacer constar dicho hecho Las entidades financieras deben hacer: –análisis adecuado situación económica y financiera deudor –revisión periódica su situación (condiciones objetivas y subjetivas) Pruebas significativas para evaluar solvencia

24 –Para apreciar la solvencia económico-financiera de una persona, conforme lo establecido en el art. 26 inc. 4 ley 25326, se tendrá en cuenta toda la información disponible desde el nacimiento de cada obligación hasta su extinción. En el cómputo de cinco años, éstos se contarán a partir de la fecha de la última información adversa archivada que revele que dicha deuda era exigible... " (art. 26 ap. 3 del decreto mencionado). Pruebas significativas para evaluar solvencia

25 En el artículo 26, apartado 4 de la ley se prevé que –"sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo extinga la obligación, debiéndose hace constar dicho hecho", Su decreto reglamentario 1558/2001, dice: –"Sólo se podrán archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico- financiera de los afectados durante los últimos cinco años..." (art. 26 inc. 4 ley cit.) Pruebas significativas para evaluar solvencia

26 Para parte de la doctrina jurisprudencia se ha considerado que de este modo el legislador ha consagrado el derecho al olvido de quienes registran o registraron una deuda en una base de datos, independientemente de su exigibilidad, fijando plazos diferentes para uno u otro supuesto –Conf. en este sentido, CCYCFed, Sala 3, "Napoli Carlos Alberto c/ Citibank N.A.", ; esta Cámara, Sala III, "Girella, Juan José c/ BCRA", y "Gross, Rodolfo Remigio", entre muchos). El llamado Derecho al olvido

27 Ravina, Arturo c/ Organización Veraz (CNCiv. Sala F, 6/2/02, JA 2002-II-437) Con nota de Guillermo F. Peyrano) No basta que los datos hayan sido veraces, sino que también deben ser actuales. Para ello deben ser necesariamente chequeados y verificados por Veraz… debiendo instrumentar las medidas necesarias para que la información suministrada se ajuste a la realidad, o soportar sus consecuencias, sin que sean los propios sujetos pasivos de la información los que deban aportar los datos pertinentes… Jurisprudencia

28 Dictámen DNPDP 61/05 23 de marzo El plazo de caducidad se aplica al servicio de información crediticia y no a la fuente del dato, en este caso el Banco, quien tiene la obligación de brindar la información. 2.El plazo de 5 años de información archivada por la empresa de riesgo crediticio se computará a partir de la última información difundida por fuente legítima (titular del dato, acreedor, fuentes de acceso público, etc.) que revele que la deuda es exigible. 3.Para la reducción del plazo a 2 años el deudor debe acreditar ante la empresa de riego crediticio que ha cancelado la deuda, sin perjuicio que la empresa de riesgo deba suprimir el dato cuando por otros medios tome conocimiento o tenga obligación de conocer sobre la cancelación de la deuda (idem Dictámen 241/05 del 16/11/2005) Jurisprudencia

29 Organización Veraz v. E.N. PEN s/amparo CSJN, 06/03/07 –Se rechaza la inconstitucionalidad del art. 53 de la ley que prohíbe a las entidades emisoras de tarjetas de crédito, bancarias o crediticias a las bases de datos de antecedentes financieros personales… cuando el titular no haya cancelado sus obligaciones…sin perjuicio de informar al BCRA –Tal prohibición no fue dejada sin efecto en forma implícita por la ley Jurisprudencia

30 El Procurador del Tesoro ha dictaminado que –La interpretación que cabe asignar al artículo 26 de la Ley N° no requiere, en modo alguno, la previa indagación acerca de la exigibilidad de la deuda de que se trate. –En este sentido, el inciso 4° de dicho artículo establece un plazo de cinco años para el archivo, el registro o la cesión de los datos personales que sean significativos para evaluar la solvencia económico financiera de los afectados –y de dos años para el supuesto de haber sido cancelada la deuda sin requerir, a tales fines, una evaluación previa acerca de la exigibilidad o no del crédito en cuestión Jurisprudencia

31 En consecuencia, a efectos de establecer si un dato debe ser informado por una entidad bancaria a la Central de Deudores del Sistema Financiero, administrada por el Banco Central de la República Argentina, sólo corresponde atender a la fecha en que la deuda se tornó exigible y, a partir de allí, computar los cinco o dos años que establece el artículo 26, inciso 4°, de la Ley N° , según corresponda –(Dictamen Nº 338/06, 20 de noviembre de Expte. Nº /04. Ministerio de Justicia y Derechos Humanos. (Dictámenes 259:197) Jurisprudencia

32 –La Cámara Federal Contencioso Administrativo ha dado una nueva interpretación al modo de contar los cinco años de caducidad de la información, resolviendo que : "Si bien los afectados tienen derecho a que se suprima por caducidad la vieja información asentada en la base de datos en su oportunidad por los acreedores interesados, ese derecho no puede pretenderse cuando los acreedores han mantenido actualizados los datos de sus créditos, la actualización de los datos da lugar a un nuevo asiento y por lo tanto a un nuevo plazo de caducidad; de otra manera no se cumpliría con la previsión del decreto 1558/2001, en el sentido de que se debe incluir en los registros o bases de datos toda información relevante para evaluar la solvencia patrimonial del titular de los datos... Aplicación razonable del Derecho al olvido

33 –. podría decirse que tal interpretación restringe en cierto modo el "derecho al olvido … pues lo hace depender de la diligencia del acreedor en mantener la información permanentemente actualizada, lo cierto es que lo que la norma legal dispone no resulta una reglamentación irrazonable, ya que si bien se intenta proteger el derecho las personas, ello debe ser compatibilizado con el derecho de los acreedores o potenciales acreedores de tener acceso a aquellos datos que permitan evaluar la solvencia económica de las personas. Aplicación razonable del Derecho al olvido

34 –Además, no se está condenando a los deudores a que sus datos permanezcan a perpetuidad en diferentes registros, pues cuando las deudas dejen de ser exigibles (por prescripción o cualquier otro modo de extinción) comenzará a regir el plazo de dos años (que se computa desde el momento preciso en que se extingue la obligación); mientras ello no ocurra, si el acreedor mantiene actualizados los datos, el plazo de caducidad no operará (C. Nac. Cont. Adm. Fed., sala 5ª 3/02/2007, Benvenuto, Julio J. v. Banco Central de la República Argentina /Base de datos BBVA Banco Francés S.A. Lexis Nº ) (C. Nac. Cont. Adm. Fed., Sala 4ª Causa N° 9.175/2005. Diez, María c/ BCRA Base de Datos (Citibank) s/ habeas data) Aplicación razonable del Derecho al olvido

35 –La Corte ha resuelto recientemente en un caso en el que una parte solicitaba que se aclare que el dato denunciado por el Banco se refería a un caso de litigio donde la actora cuestiona penalmente la existencia del crédito que motiva la anotación el dato incompleto o inexacto que ha dado lugar a estas actuaciones ha sido proporcionado por tal entidad bancaria y se refiere a una supuesta deuda originada en una operación crediticia que ha sido cuestionada por la actora. Es verdad, como ya se señaló, que no corresponde dilucidar en estas actuaciones si ella reviste, efectivamente, la calidad de deudora o si se perpetró una estafa en su perjuicio. Aplicación razonable del Derecho al olvido

36 Pero es evidente que la ampliación en los datos referentes a la actora -para reflejar el estado de litigiosidad del crédito- necesariamente deben hacer referencia a su situación con ese banco, en la medida en que éste es el supuesto acreedor y ha sido su relación comercial con la actora la que dio lugar al registro de la información. (CSJN Di Nunzio, Daniel F. c/ The First National Bank of Boston y otros s/ hábeas data Aplicación razonable del Derecho al olvido

37 –Es regla vigente que, cuando la anotación de un dato cierto pero parcial pueda causar, de modo previsible, una falsa representación, la misma debe ser evitada incluyendo hechos relevantes directamente relacionados… –Mayor información significa mayor transparencia y menos conflictos, lo cual en el caso es particularmente claro (CSJN, Di Nunzio, voto del Dr. Ricardo Luis Lorenzetti) Aplicación razonable del Derecho al olvido

38 –Conclusión: Existen no sólo los datos verdaderos o falsos –más allá de que estén caducos o no- sino también los datos controvertidos cuando hay un reclamo judicial en el medio. Omitir una parte de la información equivale a suministrar información inexacta, vulnerando el valor verdad que es el objeto de tutela de la acción de habeas data (del dictámen del Fiscal de Cámara en autos Di Nunzio) Así como existiría un derecho a aclarar el dato personal controvertido (Palazzi) y hasta se habla de un habeas data aditivo, no parece justa la aplicación sin más de la letra del art. 26 LPDP olvidando por ejemplo, a los deudores consuetudinarios lo que genera una distorsión de la realidad crediticia. Aplicación razonable del Derecho al olvido

39 –Conclusión: Preocupa la eventualidad de que acabemos comprometiendo la existencia de un sistema de información indispensable para discriminar entre buenos y malos pagadores, o poniendo a una persona modesta, con un ingreso mínimo pero con una muy buena trayectoria en el pago de sus obligaciones, en las mismas condiciones que a alguien de mayores ingresos pero un mal deudor reiterado. Se debe diferenciar entre la función docente de la ley de resguardar la intimidad y no informar como deuda lo que en el plazo indicado no se acredita como pagado y la función saneante que debería contemplar el caso de los que no figuren – o por haber caducado la información o porque han abonado con mora una y otra vez- Aplicación razonable del Derecho al olvido

40 –Conclusión: A tal fin corresponde analizar la forma de la implementación más correcta como podría ser la creación de una base de datos nueva – con los debidos resguardos - donde se almacenen y acumulen los incumplimientos y se active su consulta bajo ciertos parámetros que la reglamentación indicará. No informar los datos por considerarse caducos no implica por ello que deban ser olvidados y mucho menos no tenidos en cuenta para que la información que se cuente sea completa. Como dijo el Dr. Lorenzetti en el fallo Di Nunzio mayor información significa mayor transparencia y menos conflictos. Aplicación razonable del Derecho al olvido

41 Horacio R. Granero Muchas Gracias


Descargar ppt "- 1 - XXVI Congreso Latinoamericano de Derecho Bancario COLADE 3 de septiembre 2007 por el Dr. Horacio R. Granero Socio del Estudio Allende & Brea Director."

Presentaciones similares


Anuncios Google