ACCESO A LA INFORMACIÓN PÚBLICA LEY Nº 25.326 Y DECRETO Nº 1172/03. Más allá del principio de jerarquía legal, es necesario aplicar un criterio de armonización entre la publicidad de los actos de gobierno y la privacidad. Y en el caso esta armonización está verificada ya que la Ley Nº 25.326 no niega el acceso a la información pretendida, sino que lo supedita a ciertos requisitos. Estos requisitos, que se reducen a la demostración del interés legítimo del cesionario y el consentimiento del titular del dato, no son restricciones al acceso de la información pública, sino garantías para afirmar otro derecho, el de la privacidad. CRITERIO SOSTENIDO EN LOS DICTAMENES DE LA DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES SOBRE SOLICITUDES VARIAS DE ACCESO A LA INFORMACIÓN PÚBLICA. I.El Decreto Nº 1172/03 aprobó, entre otros temas, un Reglamento General de Acceso a la Información Pública para el Poder Ejecutivo Nacional (Anexo VII), con el objeto de constituir una instancia de participación ciudadana por la cual una persona pueda ejercitar su derecho a requerir, consultar y recibir información de los organismos, entidades, empresas, sociedades, dependencias y todo otro ente que actúe en jurisdicción de dicho poder (artículos 2º y 3º). El artículo 6º del Decreto 1172/03 dispone que “Toda persona física o jurídica, pública o privada, tiene derecho a solicitar, acceder y recibir información, no siendo necesario acreditar derecho subjetivo, interés legítimo ni contar con patrocinio letrado”. La solicitante no necesita acreditar un interés legítimo a fin de requerir, consultar y recibir información de los organismos, entidades, empresas, sociedades, dependencias y todo otro ente que actúe en jurisdicción del Poder Ejecutivo Nacional, bastando la sola petición del solicitante para acceder a la información requerida. En el artículo 11 de la Ley Nº 25.326, es requisito para ceder información la existencia de interés legítimo tanto en cedente como en cesionario. Por su parte, el artículo 16 del citado Decreto Nº 1172/03 señala que los obligados a informar pueden exceptuarse de proveer la información requerida cuando una ley o decreto así lo establezca. Entonces, el propio artículo permite al requerido exceptuarse con fundamento en el cumplimiento de la Ley Nº 25.326. Asimismo, el citado artículo enumera casos que exceptúan al obligado del deber de informar. Entre ello, el inciso i) alude a aquellos en que se trate de “información referida a datos personales de carácter sensible –en los términos de la Ley Nº 25.326- cuya publicidad constituya una vulneración del derecho a la intimidad y al honor, salvo que se cuente con el consentimiento expreso de la persona a que se refiere la información solicitada”. Esta remisión a la Ley Nº 25.326, limitada solamente a los datos sensibles, no implica desconocer que toda otra información de carácter personal quede fuera del amparo de los principios constitucionales que la cita norma legal. La Ley Nº 25.326 de Protección de Datos Personales es una ley de orden público, que establece condiciones a la cesión de información personal a terceros, las que son ineludibles para evaluar la licitud del acto administrativo que resuelva sobre la entrega de información de las personas en poder del Estado. Por tales motivos, esta Dirección Nacional ya ha sostenido que “la libre cesión de información del Poder Ejecutivo Nacional a terceros dispuesta por el Decreto 1172/03, en lo que respecta a la información de las personas, se encuentra condicionada por las disposiciones de la Ley Nº 25.326” (conf. Dictámenes DNPDP Nos. 82 de fecha 21.4.06 y 43 del 1.3.06), norma por otra parte- de jerarquía superior a aquel En este punto, es necesario formular una aclaración: más allá del principio de jerarquía legal, debe aplicarse un criterio de armonización entre la publicidad de los actos de gobierno y la privacidad. En el caso, esta armonización está verificada ya que la Ley Nº 25.326 no niega el acceso a la información pretendida, sino que lo supedita a ciertos requisitos, los que no obstan ni son restricciones al acceso de la información pública, sino garantías para afirmar otro derecho, el de la privacidad. Como ya se indicara, acceder a lo peticionado implica una cesión de datos personales que deberá ajustarse a lo dispuesto por el artículo 11 de la Ley Nº 25.326, norma que dispone que los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo. Con relación al interés legítimo del cedente y del cesionario, si bien como ya señaláramos el Decreto Nº 1172/03 no exige que el peticionante acredite interés legítimo para obtener la información, sí lo requiere la Ley Nº 25.326 cuando se trata de la cesión de datos personales y esta es una norma que por su jerarquía debe prevalecer sobre aquel. La determinación de cuales pueden ser “intereses legítimos” y cuales no, resulta una tarea que quedará, en definitiva, a las resultas del caso concreto y al juego armónico del ordenamiento jurídico con los principios generales del derecho. Ahora bien, respecto de la aplicación de este instituto del interés legítimo a la protección de datos personales, entiende esta Dirección Nacional que debe realizarse de manera restrictiva, motivo por el cual el interés legítimo válido se configurará cuando exista un interés personal y directo que acredite la necesidad de acceder a dichos datos para ejercer un derecho por parte del solicitante de la información; y siempre y cuando: a) el acceso a dicha información por terceros no implique para el titular del dato un daño injustificado y/o desproporcionado en relación al derecho que el solicitante pretende ejercer; y/o b) existan garantías adecuadas de cumplimiento de la ley, de manera que el titular del dato vea garantizados sus derechos e intereses legítimos (conf. Dictamen DNPDP Nº 43 de fecha 1º de marzo de 2006). En consecuencia, previo a ceder los datos personales en su poder, el organismo público deberá verificar el cumplimiento por parte del peticionante del requisito de “interés legítimo”, y que el mismo sea suficiente para acceder a la información pretendida, de manera restrictiva si los datos revelan información íntima de las personas. II.No debe confundirse el derecho de acceso consagrado en el artículo 14 de la Ley Nº 25.326 con el derecho de acceso a la información pública contenido en el Decreto Nº 1172/03, cuyo objeto es constituir una instancia de participación ciudadana por la cual una persona pueda ejercitar su derecho a requerir, consultar y recibir información de los organismos, entidades, empresas, sociedades, dependencias y todo otro ente que actúe en jurisdicción de dicho poder, relacionado ello con el contenido de las decisiones que éstos adoptan. El artículo 14 de la Ley Nº 25.326 dispone que el titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales incluidos en los bancos de datos públicos, o privados destinados a proveer informes, debiendo el responsable o usuario proporcionar la información solicitada dentro de los diez días corridos de haber sido intimado fehacientemente. Este artículo es claro al establecer la posibilidad del titular de los datos de solicitar la información personal propia asentada en una base de datos pública o privada destinada a proveer informes y la obligación del responsable o usuario de proporcionar la información solicitada dentro de los diez días corridos. III.Alcance de la ley de protección de datos personales a las personas de existencia ideal. Preliminarmente, debe tenerse presente que el objeto de la Ley Nº 25.326 es la protección integral de los datos personales. Esta protección legal específica es de orden público y es reglamentaria de derechos constitucionales (art. 43 de la Constitución Nacional). Frente a la Ley Nº 25.326, la categoría de información de que se trate le es indistinta, pues lo relevante es si el dato es del tipo personal, o sea, si es información referida a las personas. Si es un dato personal, SIEMPRE estará protegido. Por tales motivos, la declaración de publicidad de la información que surja de una norma de rango inferior a la Ley Nº 25.326, como lo es el Decreto 1172/2003, en modo alguno puede alterar dicha protección legal. En tal sentido, el principio de publicidad que pueda pretender oponérsele a la Ley Nº 25.326 no alterará el carácter de dato personal y, consecuentemente, la protección que dicha normativa le otorga. Como ya ha señalado esta Dirección Nacional en el Dictamen DNPDP Nº 09/04: ... “no pertenece a la intimidad lo que legítimamente se contiene en archivos y registros públicos puesto que de hecho ya ha trascendido y su incorporación a los registros públicos se da en función de un cierto interés colectivo. Sin embargo, el hecho de que la legislación de diversos países … establezca límites al acceso … y a la difusión de los datos obtenidos en ellos … implica reconocer que no todo lo contenido en archivos públicos es difundible, por más que tampoco sea íntimo. Ello porque parte de esa información se refiere a ámbitos que pueden todavía considerarse vida privada de las personas, habida cuenta que su conocimiento no resulta de interés público, sino sólo bajo cierto aspecto, en determinadas circunstancias y para ciertas personas, que a su vez pueden ser únicamente funcionarios del Estado” (Pedro SERNA y Fernando TOLLER. “La interpretación constitucional de los Derechos Fundamentales” – Una Alternativa a los Conflictos de Derecho -. Buenos Aires, Argentina. La Ley S.A. 2000, (pág. 120 y ss.), y “la regla general debe ser que el gobernado tiene derecho a informarse … el principio de publicidad y la necesidad de una discusión abierta no excluye la necesidad estatal de proteger -estableciendo, entre otras cosas, el secreto interno y la confidencialidad- de informaciones delicadas …… o que afecten otros intereses públicos de naturaleza análoga (Ibidem, pág. 143).En tal sentido, la protección de datos personales es un salto cualitativo aún más alto en la protección de las personas y sus derechos fundamentales. Ya no es cuestión de datos íntimos o no, públicos o no públicos, sino de datos personales. Efectivamente, la protección de datos personales es un derecho relativamente nuevo, nacido de la mano de las nuevas tecnologías informáticas y comunicacionales, que otorga a las personas el derecho a la disposición de sus propios datos. Esta disposición se refleja en el principio del consentimiento previo como requisito de licitud de todo tratamiento. Ya no se pueden tratar ni ceder datos personales lícitamente sin el consentimiento de su titular (art. 11 de la Ley Nº 25.326). Tampoco pueden cederse sin un justificativo suficiente, o sea, sin interés legítimo. Ya nadie puede tratar nuestros datos personales sin razón lícita. Tampoco puede variarse la finalidad del tratamiento para la que fueron obtenidos dichos datos (art. 4 de la Ley Nº 25.326). Toda cesión de datos personales, en tanto implique atribuir a personas físicas o jurídicas determinadas cierta clase de información, puede afectar sus derechos. Uno de los principios básicos de nuestro derecho es el de no dañar (art. 1.109 Cod. Civil), de especial aplicación a esta actividad, donde el acceso a información personal pone en riesgo los derechos e intereses de las personas, en especial su intimidad y honor. La Ley Nº 25.326 quiere proteger dichos derechos, y a tales fines ha establecido los principios y requisitos generales de licitud de tratamiento (art. 4 de la Ley Nº 25.326). En cuanto al alcance de dicha protección, o sea a quienes protege, cabe señalar que aún cuando la información se refiera a personas jurídicas, cabe aplicar la Ley Nº 25.326 de conformidad con lo dispuesto en el artículo 1°, segundo párrafo, de dicha norma. La Ley Nº 25.326 destaca entre los bienes tutelados la protección del honor y la intimidad de las personas, derechos que también resultan aplicables a las personas jurídicas (ver Ferreira Rubio, Delia Matilde, El derecho a la intimidad, Ed. Universidad, Bs. As, 1982, pág. 156). Asimismo, la doctrina especializada ha señalado que resulta indiscutible que valores como la confidencialidad, la reputación, la imagen comercial, la veracidad de los datos, alcanzan sin duda a las personas jurídicas o de existencia ideal. En consecuencia, no sería acertado excluirlas de la protección legal y en tal sentido se ha inclinado nuestra legislación (Guillermo F. PEYRANO, Régimen Legal de los Datos Personales y Hábeas Data, Ed. Depalma, 2002, pág. 26). Por lo tanto, la cesión de datos personales de personas jurídicas por parte del Estado al sector privado se regirá por lo dispuesto en el art. 11 de la Ley Nº 25.326. Al respecto, cabe reiterar que la Ley Nº 25.326 tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos u otros medios técnicos de tratamiento de datos, sean estos públicos o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, tercer párrafo, de la Constitución Nacional, según lo establece su artículo primero. En el presente caso, la administración pública tiene un régimen específico para este tratamiento de datos que surgen de la norma y de la naturaleza propia del Órgano Público, que implica subsumir los requisitos del consentimiento previo, interés legítimo y finalidad de tratamiento que dispone la Ley Nº 25.326 para la licitud del tratamiento, en la competencia del organismo (tratamiento de datos en cumplimiento de sus funciones, conforme las excepciones de los arts. 5º y 11 de la Ley Nº 25.326). Ahora bien, respecto del sector privado, le resultan plenamente exigibles la totalidad de dichos requisitos de licitud, por lo que el cesionario de información personal debe poseer interés legítimo y no puede pretender variar la finalidad del tratamiento con la que fue recolectado. En razón de ello corresponde analizar la cesión pretendida a la luz de las normas contenidas en el citado artículo 11 de la Ley Nº 25.326, que dispone que los datos personales, sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario, previo consentimiento del titular de los datos. Concluyendo, para determinar la licitud de la cesión pretendida corresponde analizar los requisitos que impone la Ley Nº 25.326. Conforme a lo dictaminado reiteradamente por esta Dirección Nacional, el artículo 5º y 11 de la Ley Nº 25.326 requieren que previo a toda cesión los Organismos Públicos responsables de la información en su poder, verifiquen el cumplimiento de los siguientes requisitos: 1. Competencia del organismo cedente: La facultad del Estado para ceder datos personales sin necesidad de consentimiento del titular debe ejercerse dentro del marco de la competencia del organismo cedente, condición de licitud del actuar de la administración pública, y que debe ser considerado de manera especial antes de la cesión a terceros. Al respecto, la doctrina señala que las reglas de proporcionalidad, calidad de los datos y finalidad, observadas en el acto de recolección, también deben ser estrictamente respetadas al transferirlos, de modo que sólo se comunicarán aquellos que sean necesarios, adecuados y pertinentes para cumplir la función pública asignada al organismo receptor y sólo en esa medida. Por ello, la cesión por parte de los Organismos Públicos a terceros no requerirá el consentimiento, siempre y cuando la cesión sea realizada dentro del ejercicio de las funciones propias, o sea, dentro del ejercicio de su competencia. En tal sentido, el Organismo cedente tiene a su cargo verificar en su normativa aplicable si la cesión requerida se enmarca dentro del ejercicio de las funciones propias, o sea, dentro del ejercicio de su competencia y que no exceda la finalidad del dato y sus atribuciones como organismo. Téngase en cuenta, como principio general, que ningún organismo tiene competencia para otorgarle a los datos en su poder otra finalidad que la que por ley se le ha otorgado para su tratamiento. 2. Requisito de interés legítimo: Como concepto general, se entiende por interés legítimo el “interés personal y directo” que tiene un individuo para peticionar ante las autoridades1. El interés legítimo tiene como característica determinante el hecho de que pertenezca a una categoría definida y limitada de individuos (no puede pertenecer a un interés general de los habitantes o colectividad nacional). En tal sentido, las circunstancias que rodean al acto objeto de dicho interés, deben trazar un círculo de interés definido y delimitado con precisión suficiente, aunque no siempre permitirá soluciones precisas y seguras, pero sin llegar a una interpretación excesivamente estricta, como lo sería el derecho subjetivo individual. Igualmente, la determinación de cuales pueden ser “intereses legítimos” y cuales no, resulta una tarea conceptual que quedará, en definitiva, a las resultas del caso concreto y el juego del ordenamiento jurídico con los principios generales del derecho. Ahora bien, para la aplicación de este instituto del interés legítimo a la protección de datos personales entiende esta Dirección Nacional que debe realizarse de manera restrictiva, motivo por el cual el interés legítimo válido se configurará cuando exista un interés personal y directo que acredite la necesidad de acceder a dichos datos para ejercer un derecho por parte del cesionario; y siempre y cuando: a) el acceso a dicha información por terceros no implique para el titular del dato un daño injustificado y/o desproporcionado en relación al derecho que el cesionario pretenda ejercer; y/o b) existan garantías adecuadas de cumplimiento de la ley, de manera que el titular del dato vea garantizados sus derechos. Los datos personales no podrían cederse ante la ausencia de dicho interés legítimo, dado que la cesión de datos sólo puede hacerse “para el cumplimiento de los fines relacionados con los intereses legítimos del cedente y el cesionario” (art. 11 de la Ley Nº 25.326). Estos criterios de aplicación del interés legítimo y competencia del organismo cesionario para el acceso a la información personal, será responsabilidad del órgano competente su adecuada aplicación, teniendo en cuenta la existencia de responsabilidad solidaria entre cedente y cesionario (art. 11 Ley Nº 25.326). En consecuencia, previo a ceder los datos personales en su poder, el Organismo a cargo deberá verificar la existencia del requisito de “interés legítimo”, y que el mismo sea suficiente para acceder a la información pretendida. 3. Principios de licitud de tratamiento Asimismo, a los fines de la licitud de una eventual cesión también debe verificarse que los datos a ceder cumplan con la totalidad de los principios de tratamiento de datos -en lo que resulte aplicable-, como ser: a) Datos ciertos, adecuados pertinentes y no excesivos en relación al ámbito y finalidad; b) Datos exactos y actualizados, y en caso de ser inexactos prever su corrección o supresión; c) Almacenados de modo que permitan el ejercicio del derecho de acceso del titular; d) Los datos sean utilizados exclusivamente a la finalidad para la que fueron obtenidos o compatible con la misma; Agustín Gordillo. “Tratado de Derecho Administrativo”. Buenos Aires, Argentina. Fundación de derechos Administrativo. Edición Electrónica. Capítulo IV: “El Interés Legítimo”. (pág. IV1/ 20).1 e) Los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los que fueron recolectados; f) Respeto de los derechos del titular del dato (acceso, rectificación y supresión); g) Seguridad y confidencialidad del Banco de Datos; h) Inscripción del Banco de Datos en el Registro de Bancos de Datos del órgano de control de la Ley Nº 25.326. 4. No afectación de derechos del titular del dato o terceros. Uno de los principios básicos de nuestro derecho es el de no dañar (art. 1.109 Cod. Civil), de especial aplicación a esta actividad, donde el acceso a información personal pone en riesgo los derechos e intereses de las personas, en especial su intimidad. También corresponde tener presente otros artículos del Código Civil que hacen a nuestra legislación de fondo en esta temática: 1071 y 1071 bis. El ejercicio del “derecho a la información” no es ilimitado, en especial ante el derecho a la protección de datos, la intimidad y el honor de las personas. En tal sentido, el abuso de derecho está condenado en nuestro Código Civil, art. 1071: “El ejercicio regular de un derecho propio o el cumplimiento de una obligación legal no puede constituir como ilícito ningún acto. La ley no ampara el ejercicio abusivo de los derechos. Se considerará tal al que contraríe los fines que aquella tuvo en mira al reconocerlos o al que exceda los límites impuestos por la buena fe, la moral y las buenas costumbres”. Con respecto a la intimidad corresponde tener presente lo dispuesto por nuestro Código Civil: “Art. 1071 bis: El que arbitrariamente se entrometiere en la vida ajena, publicando retratos, difundiendo correspondencia, mortificando a otro en sus costumbres o sentimientos, o perturbando de cualquier modo su intimidad, y el hecho no fuere un delito penal, será obligado a cesar en tales actividades, si antes no hubieran cesado, y a pagar una indemnización que fijará equitativamente el juez, de acuerdo con las circunstancias; además, podrá este, a pedido del agraviado, ordenar la publicación de la sentencia en un diario o periódico del lugar, si esta medida fuese procedente para una adecuada reparación”. Asimismo, cabe considerar la aplicación a esta información de la tutela que se deriva del art. 11 inc. 1º y 2º de la Convención Americana de Derecho Humanos y el art. 17 del Pacto Internacional de Derechos Civiles y Políticos. El Organismo Público debe velar que mediante la cesión requerida por un particular no afecte la intimidad de los titulares del dato mediante un acceso indebido a la información personal. Por los motivos expuestos, estará en poder del Organismo Público la facultad interpretativa de determinar si se reúnen o no los requisitos para la legitimidad de la cesión pretendida a las personas que pretende ceder dichos datos; pesando sobre el Estado la carga de ser su razonable distribuidor conforme a los principios administrativos, el secreto legal, los principios dispuestos por la Ley Nº 25.326, y el respeto a los derechos de los particulares.