Buenos Aires, 14 de octubre de 2008 Dirección General de Derechos y Garantías Prof. Julio Oscar Spina S / Ref. Ac. 5967/08 D Me dirijo a Ud. en relación a la actuación de referencia en el marco de la competencia que el Centro posee por aplicación de la disposición del artículo 23 de la Ley Nro. 1845 de Protección de Datos Personales y Decreto 725/07. En ese sentido la Ley de Protección de Datos Nro. 1845 señala en su Artículo 1° que “Objeto. La presente ley tiene por objeto regular, dentro del ámbito de la Ciudad de Buenos Aires, el tratamiento de datos personales referidos a personas físicas o de existencia ideal, asentados o destinados a ser asentados en archivos, registros, bases o bancos de datos del sector público de la Ciudad de Buenos Aires, a los fines de garantizar el derecho al honor, a la intimidad y a la autodeterminación informativa, de conformidad a lo establecido por el artículo 16 de la Constitución de la Ciudad de Buenos Aires. Cuando los datos se refieran a información pública y no a datos personales será de aplicación la Ley N° 104 de la Ciudad de Buenos Aires. En ningún caso se podrán afectar la base de datos ni las fuentes de información periodísticas.”. En efecto, la disposición garantiza los derechos previstos en los artículos 12 referido al derecho a la identidad, intimidad e información; el 13 referido a la protección de los papeles privados y comunicaciones y el 16 relativo al habeas data de la Constitución de la Ciudad. Tales previsiones se encuentran en consonancia con el sistema regional de protección de derechos y los Tratados Internacionales de Derechos Humanos vigentes por imperio del artículo 75 inciso 22 Constitución Nacional y el artículo 10 de la Constitución Local1. Que la ley, ha definido a los datos personales cómo la “información de cualquier tipo 1 En particular el Articulo 11 de la Convención Americana de Derechos Humanos referida a personas físicas o jurídicas, determinadas o determinables”, asimismo se considera que el tratamiento de datos consiste en “cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, registro, organización, elaboración, extracción, utilización, etc.”. En definitiva, la norma busca proteger el tratamiento y recolección de datos garantizando el derecho al honor, a la intimidad y a la autodeterminación informativa de las personas. En esa línea, la doctrina ha entendido que “el habeas data como garantía constitucional es una nueva forma de garantizar al ciudadano de una sociedad cada vez más informatizada el pleno ejercicio de sus derechos fundamentales. Por ello, la misma debe ser interpretada en consonancia con el tiempo y la realidad actual. En una sociedad de la información como la que vivimos debemos tomar conciencia de que el habeas data está destinado a evitar los peligros que el manejo irregular de la información puede generar”2. De conformidad con lo expuesto vale destacar que en el caso bajo estudio, dónde una repartición pretende establecer un sistema de control de presentismo sobre sus empleados basado en la toma de huellas dactilares implica el tratamiento de datos personales, por tal motivo y al encontrarse en juego el derecho a la intimidad, la autodeterminación informativa y la disposición del propio cuerpo corresponde evaluar los requisitos aplicables en la materia. Para poder analizar correctamente la cuestión vale hacer una breve referencia a las conclusiones expuestas en el documento elaborado en el año 2003 por el “Grupo de protección de las personas en lo que respecta al tratamiento de datos personales” a partir de la Directiva 95/46/CE del Parlamento Europeo3. Allí se han destacado diversas ideas centrales muy útiles para el caso en cuestión. Allí se sostuvo que: “Una utilización amplia y sin control de la biometría es preocupante desde el punto de vista de la protección de los derechos y libertades fundamentales de las personas. Este tipo de datos es de una naturaleza 2 Palazzi, Pablo “El Habeas Data y el derecho al olvido” http://www.cpsr-peru.org, citado por Andrea Fabiana Mac Donald en El habeas data y su importancia en el derecho constitucional, publicado en El Dial.com 3 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:ES:HTML especial, ya que tienen que ver con las características comportamentales y fisiológicas de una persona y pueden permitir su identificación inequívoca” y si bien se ha señalado que son procedimientos que habitualmente se utilizan, también se ha manifestado que corresponde hacer una determinación clara de los fines para los que se recogen y tratan dichos datos y en tal sentido habrá que “...evaluar el cumplimiento de la proporcionalidad y de la legitimidad, teniendo en cuenta los riesgos para la protección de los derechos y libertades fundamentales de las personas y especialmente si los fines perseguidos pueden alcanzarse o no de una manera menos intrusiva. La proporcionalidad ha sido el criterio principal en casi todas las decisiones adoptadas hasta ahora por las autoridades encargadas de la protección de datos sobre el tratamiento de datos biométricos”. En tal linea resulta de primordial aplicación el principio de la calidad de los datos. Este rasgo central, que debe cumplirse en materia de protección de datos personales, ha sido previsto en la Ley local Nro. 1845 Título III Principios Generales de la Protección de Datos Personales Artículo 6°.- Calidad de los datos. Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido. En igual dirección ello fue incorporado en la Ley Nacional Nro. 25.326 en cuanto prescribe que “Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido” (art. 4º inciso 1). A su vez, resulta propicio recordar que dichos principios se encuentran en concordancia con la Directiva 95/46 del Parlamento Europeo y del Consejo, referida a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos. Que por ello corresponde analizar, si la medida adoptada (sistema de control de presentismo a través de la toma de huellas digitales) es adecuada, proporcionada y por tanto razonable. Vale destacar que el test de adecuación que impone la norma citada encuentra su raíz en los artículos 28 y 33 de la Constitución Nacional y en el artículo 10 de la Constitución Local y es también conocido como principio de razonabilidad y pretende evaluar la congruencia con los valores constitucionales vigentes. Tal análisis permitirá merituar la adecuación entre tres elementos: los fines buscados por la Administración, la medida propuesta y la protección de los derechos de las personas (en el caso los empleados de la Ciudad). Que cómo se subrayo, el cumplimiento de la directiva de razonabilidad, proporcionalidad o adecuación constituye un componente clave para la protección de los derechos de los ciudadanos. Ello obliga a la existencia de una debida relación entre la medida adoptada y el fin buscado4 en consecuencia, tal garantía pretende que la acciones adoptadas por los gobiernos no sean excesivas, desmedidas, intrusivas y por ende inapropiadas e inconstitucionales. En el caso, la Subsecretaria propone controlar el presentismo de su personal mediante la toma de huellas digitales. En relación con ello, este Centro adelanta que el sistema propuesto no cumple con la obligación impuesta en el artículo 6 de la Ley Nro. 1845 toda vez que resulta una medida excesiva para el fin buscado y por tanto inadecuada. En efecto, no se advierte el motivo por el cuál la Administración opta por tal modalidad existiendo otras medidas menos invasivas pero igualmente idóneas que, de llevarse a cabo adecuadamente, con constancia y competencia lograrán los fines buscados (control de presentismo) poniéndole un límite al avance del “estado vigilante”. En ese sentido, se remarca que el sistema de identificación utilizado sólo busca satisfacer el estricto interés del organismo gubernamental. Es decir, en el caso no se pretende -como objetivo principal- evitar el ingreso de extraños a un lugar que requiere especial custodia, sino que simplemente se pretende el control de la asistencia del personal, en este punto vale recordar que en líneas generales se ha adoptado este método cuando se pretende la protección de objetivos de mayor importancia, como por ejemplo la identidad mediante la emisión de documentos personales (cómo pasaportes o DNI que poseen datos biométricos) o buscando la seguridad entre en las fronteras de una País y otro. Nuevamente, en supuestos como el analizado puede existir cierto riesgo de reutilización de la información recabada y con ello ser la llave para interconectar distintas bases de datos5, 4 Chede de Casteli Violeta, Empleo http://www.eldial.com.ar/publicador/03f/doctrinaRTF.asp? archivo=DCBBF.html&pie=DCBBF&direc=1#_ftnref10 5 Público. Régimen Disciplinario. “Grupo de protección de las personas en lo que respecta al tratamiento de datos personales” a partir de la Directiva 95/46/CE del Parlamento Europeo http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX: 31995L0046:ES:HTML, pag. 8. por otra parte no resulta claro sí el dispositivo utilizado por el organismo gubernamental cumplirá con las normas de seguridad técnica vigentes, poseerá la organización adecuada, permitirá que los empleados se opongan al tratamiento de sus datos bajo esta modalidad y dará cumplimiento a extremos tales cómo no memorizar rastros en el dispositivo de control de acceso o almacenarlos en una base especifica, por todo ello no hay dudas sobre que existe un potencial riesgo en el almacenamiento de datos de este tipo. En este sentido, la información puede archivarse y luego tratarse de un modo automatizado con facilidad. Así, la Comisión Nacional de Informática y Libertades6 en su informe anual del año 2007 ha advertido que “De todos los datos biométricos utilizados hoy en día, algunos presentan la particularidad de poder ser recabados y utilizados sin que el interesado se de cuenta. Es el caso de las huellas genéticas, ya que todos vamos dejando involuntariamente un rastro de nuestro cuerpo, aunque sea ínfimo, del cual se puede extraer el ADN. Lo mismo sucede con las huellas digitales, de las que también vamos dejando rastro, más o menos fácil de procesar, en nuestra vida cotidiana.”. También hay que tener presente que el método examinado también puede tener fallas, esto ocurre especialmente en personas mayores o en aquellas que realizan trabajos manuales. Por otra parte, resulta interesante reproducir la posición que otros Organismos de interpretación en materia de datos personales han adoptado en situaciones análogas. En este sentido vale citar dos dictámenes de la Agencia de Protección de Datos de la Comunidad de Madrid. Uno de ellos está referido a la solicitud de huellas dactilares por parte de una repartición pública a fin de implantar un sistema de control para un curso de formación mientras que el otro es relativo a la solicitud de datos para la identificación de vehículos autorizados para estacionar en un determinado ámbito. En el primero de los casos se concluyó que “En efecto, sería necesario que el organizador de los cursos reflexionase sobre si existe un claro beneficio para el interés general en la aplicación de un sistema que suscita dudas en cuanto al juicio de necesidad en su confrontación con el derecho fundamental a la protección de datos en la utilización del propio cuerpo de los participantes como elemento de identificación en el acceso a los cursos...” mientras que en el segundo se sostuvo que 6 Comisión Nacional de la Informática y las Libertades CNIL , www.cnil.fr “Debemos entender, en principio, que la finalidad que persigue ...y atendiendo al principio de calidad, los datos que deberían figurar en la tarjeta deberían ser: nombre, apellidos y número de matricula del coche, considerando que incluir la fotografía y el DNI no tendría encaje en la finalidad descrita”7 En conclusión y por los fundamentos expuestos este Centro considera que en el caso de llevarse a cabo el control de presentismo mediante tal procedimiento, se estaría incumpliendo el principio de calidad de los datos establecido por la normativa vigente toda vez que la medida adoptada por la Subsecretaria carece de adecuación y por ende razonabilidad, por ello se remiten las presentes a los fines que estime pertinentes. 7 Agencia de Protección de Datos de la Comunidad de Madrid, Memoria 2007, Pag. 410