#Doctrina La importancia del cumplimiento del deber de informar

Autor: Guini, Leonor

Fecha: 21-sep-2020

Cita: MJ-DOC-15545-AR | MJD15545

Sumario:

I. Cuestión de Hecho. II. Temáticas relevantes que surgen de la presente Resolución. II. A. Responsabilidad de la empresa extranjera ante la AAIP. II. B. Ejercicio del derecho de acceso como garantía de los titulares de derechos. II. C. Desconocimiento de la autoridad y competencia de la AAIP.II. D. Corresponsabilidad entre Google Argentina y Google LLC. II. E. Google Argentina representa a Google LLC en Argentina. II. F. Información Confidencial. III. Necesidad de Reformar nuestra ley 25.326. La sanción impuesta alienta al incumplimiento de la norma.

¿Aún no estás suscripto a Microjuris? Ingresá aquí.

Doctrina:

Por Leonor Guini (*)

Abstract

La importancia del ejercicio del derecho de autodeterminación informativa quedó afianzado mediante la Resolución N° AAIP2020-69-APN- de la Agencia de Acceso a la Información Pública (AAIP), la cual impuso una sanción pecuniaria a Google Argentina y a Google LLC.

I. CUESTIÓN DE HECHO

Que las actuaciones se inician por una denuncia presentada ante la Agencia de Acceso a la Información Pública (AAIP) por la Sra. M. C. G., contra la empresa Google Argentina SRL, en relación con el ejercicio de su derecho de acceso, consagrado en el artículo 14 de la Ley N° 25.326.

En su denuncia, la Sra. G. expresó que con fecha 11 de septiembre del 2019 un tercero no autorizado ingresó en su cuenta de Gmail, modificando su contraseña y eliminando el historial de acceso a todos los dispositivos que se encontraban vinculados a dicha cuenta. Como consecuencia de ello, según los relatos de la denunciante, ha perdido el acceso a un conjunto de información valiosa que obraba en el correo electrónico y en otras aplicaciones relacionadas (Google Drive, Google Fotos, YouTube).

Que con fecha 12 de septiembre del 2019, la Sra. G. se apersonó en la sede de Google Argentina SRL para solicitar el acceso a sus datos personales conforme art. 14 ley N° 25326. El personal de Google Argentina indicó a la interesada que derive su reclamo a la matriz Google LLC, sociedad responsable del funcionamiento del servicio Gmail, que se encuentra radicada en California, Estados Unidos.

Ante la respuesta negativa de Google Argentina y conforme surge de los artículos 14, inc. 2 de la Ley N° 25.326 y artículo 31, inc. 3, apartado c) del Decreto N° 1558/01 y modificatorio., la denunciante previa intimación fehaciente, procedió a efectuar la pertinente denuncia ante la AAIP.

Se deja constancia que el art. 14 del decreto N° 1558/01 establece.Vencido el plazo para contestar fijado en el artículo 14, inciso 2 de la Ley Nº 25.326, «el interesado podrá ejercer la acción de protección de los datos personales y denunciar el hecho ante la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES a los fines del control pertinente de este organismo».

La AAIP interviene en autos (1) e intima fehacientemente a Google para que conteste el requerimiento de la titular de datos en un plazo de 10 días hábiles.

La demandada contestó a través de su representante el requerimiento de la Dirección Nacional de Protección de Datos de la AAIP, manifestando que Google Argentina SRL «no administra ni tiene responsabilidades técnicas sobre el servicio de correo electrónico Gmail» y que el servicio es administrado exclusivamente por Google LLC. También sostuvo que no representa a Google LLC, que no presta servicios en Internet ni colabora con Google LLC en la administración de Gmail. Finalmente, dejó constancia de que tampoco dispone de medios técnicos para colaborar con Google LLC, aun si deseara hacerlo.

Asimismo, quien se presentó como representante de ambas empresas informó que la plataforma Google provee una herramienta online específica para recuperar el acceso a una cuenta de Gmail y sostuvo que, por fuera de ese procedimiento, Google LLC no podría dar información sobre la cuenta en cuestión de no mediar una orden judicial emanada de tribunal competente. Por lo que Google LLC invocó el artículo 33 de la Ley N° 25.326, que consagra la acción judicial de hábeas data, estableciendo que: «1.La acción de protección de los datos personales o de hábeas data procederá: a) para tomar conocimiento de los datos personales almacenados en archivos, registros o bancos de datos públicos o privados destinados a proporcionar informes, y de la finalidad de aquéllos; b) en los casos en que se presuma la falsedad, inexactitud, desactualización de la información de que se trata, o el tratamiento de datos cuyo registro se encuentra prohibido en la presente ley, para exigir su rectificación, supresión, confidencialidad o actualización».

Todo lo expuesto lleva a que, con fecha 19 de noviembre de 2019, la Dirección Nacional de Protección de Datos (DNPD) realice un análisis de las objeciones manifestadas por Google Argentina SRL y Google LLC, procediendo posteriormente a labrar un acta de constatación conforme lo autoriza el art. 31 anexo I del decreto 1558/01 por transgresión de los preceptos de la ley 25326 . En dicha acta se estableció la responsabilidad de ambas empresas las cuales conforme los dichos de la DNPD habían cometido UNA (1) infracción muy grave, consistente en: «realizar maniobras tendientes a sustraerse o impedir el desarrollo de la actividad de contralor de la Dirección Nacional de Protección de datos personales», conforme el Punto 3, inc. g) del Anexo I a la Disposición DNPDP N° 7/05 y modificatorias.

En su correspondiente descargo las demandadas manifestaron que: 1) reiteran su rechazo respecto a la facultad de la Dirección Nacional de Protección de datos personales dependiente de la Agencia de Acceso a la Información Pública para intimar a las referidas empresas para que entreguen información alojada en una cuenta de Gmail; 2) reiteran la posibilidad que tiene el interesado para ejercer el reclamo a través de la acción judicial de habeas data, de conformidad con el Art.33 de la Ley N° 25.326; 3) reiteran que Google LLC dispone de herramientas para que los usuarios puedan recuperar el acceso a una cuenta, lo que fue debidamente informado a la denunciante; 4) aclaran que «más allá de ese procedimiento, desconocemos si la denunciante lo ha utilizado correctamente»; 5) reiteran que «Google no puede permitir el acceso a una cuenta de Gmail sin mediar orden judicial»; 6) aclaran que, «la información alojada en la cuenta es susceptible de contener datos personales y/o sensibles de terceros»; 7) agregan que «El citado inc. t) de la Ley 27.775 (2016) añadido mediante Decreto 746 (2017) de reforma a la «Ley de ministerios», tampoco faculta a esa Dirección a violentar normas de jerarquía constitucional» y que «la pretendida interpretación que de dicha norma efectúa esa Dirección es a todas luces inconstitucional»; 8) reiteran la ajenidad de Google Argentina SRL respecto del servicio de Gmail; y, 9) niegan que Google Argentina SRL y/o Google LLC hayan desatendido la solicitud de acceso efectuada por la Sra. Giolito, así como que hayan efectuado «maniobras tendientes a sustraerse o impedir el desarrollo de la actividad de contralor» de la Agencia de Acceso a la Información Pública.

En base a lo expuesto la Agencia emite Resolución confirmando que : 1) las empresas no han colaborado de ninguna manera con la denunciante para que pueda ejercer su derecho de acceso y 2) tampoco han colaborado con la Agencia de Acceso a la Información Pública desconociendo arbitrariamente su autoridad y poder de contralor en base a lo cual establece las sanciones que se transcriben a continuación :«.ARTÍCULO 1º.- Aplicar a la empresa Google Argentina SRL (CUIT: 33-70958522-9) la sanción pecuniaria de PESOS OCHENTA MIL ($80.000,00) por la comisión de una infracción grave conforme lo previsto en el Punto 2, inc.b) del Anexo I a la Disposición DNPDP N° 7/05 y sus modificatorias; y la sanción pecuniaria de PESOS CIEN MIL ($100.000,00), por la comisión de una infracción muy grave, conforme lo previsto en el punto 3, inc. g) del Anexo I a la Disposición DNPDP N° 7/05 y sus modificatorias. ARTÍCULO 2º.- Aplicar a la empresa Google LLC la sanción pecuniaria de PESOS CIEN MIL ($100.000,00), por la comisión de una infracción muy grave, conforme lo previsto en el punto 3, inc. g) del Anexo I a la Disposición DNPDP N° 7/2005 y sus modificatorias. ARTÍCULO 3º: Notificar a Google Argentina SRL y Google LLC en el domicilio legal constituido en las presentes actuaciones, en los términos del artículo 40 y siguientes del Decreto 1759/72 (T.O. 2017)».

II. TEMÁTICAS RELEVANTES QUE SURGEN DE LA PRESENTE RESOLUCIÓN

A. RESPONSABILIDAD DE LA EMPRESA EXTRANJERA ANTE LA AAIP

Google LLC es responsable ante la Agencia de Acceso a la Información Pública conforme art. 44 de la Ley N° 25.326, que establece que las normas de la citada ley contenidas en los Capítulos I, II, III y IV, y artículo 32 son de orden público y de aplicación en lo pertinente en todo el territorio nacional, como así también que la jurisdicción federal regirá respecto de los registros, archivos, bases o bancos de datos interconectados en redes de alcance interjurisdiccional, nacional o internacional.

La autoridad de protección de datos federal (AAIP) de la que depende la Dirección Nacional de Protección de Datos Personales-, así como los juzgados federales, tienen competencia en todo el país sobre aquellos responsables de bases de datos interconectadas que tengan alcance interjurisdiccional, nacional o internacional.Ello así, en la medida en que se traten datos de titulares argentinos o que, de algún otro modo, el tratamiento de datos se conecte con, o produzca efectos en, nuestro territorio.

Lo que significa que por más que el tratamiento de datos se celebre en el extranjero o bien que el establecimiento principal se encuentre en el extranjero, si los efectos de dicho tratamiento se producen en argentina interviene la Agencia como Autoridad de Aplicación y se fija la competencia de la Justicia Federal de nuestro territorio.

B. EJERCICIO DEL DERECHO DE ACCESO COMO GARANTÍA DE LOS TITULARES DE DERECHOS

El derecho de acceso se define como el derecho que tienen los ciudadanos a que los responsables del tratamiento de datos le informen si están tratando información personal que le concierne y, en caso de respuesta afirmativa, cuáles son esos datos y de qué manera se están tratando.

Que, teniendo en consideración que el artículo 4, inc. 6 , de la Ley N° 25.326 prescribe que «los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular», resulta inadmisible que Google Argentina SRL dé traslado de los reclamos de acceso a su matriz, Google LLC, radicada en California, Estados Unidos, y se desentienda completamente. Asimismo, resulta inadmisible que Google LLC no contemple mecanismos alternativos para la recuperación de cuenta o de información al mecanismo estándar que se encuentra disponible en su sitio web.

Que, ante el planteo de la denunciante de haber sufrido inconvenientes con la autenticación para la recuperación de su cuenta, tanto Google argentina SRL como Google LLC estaban en condiciones de haberle facilitado asistencia técnica complementaria ya sea en sus oficinas de la Ciudad Autónoma de Buenos Aires o a través de algún mecanismo de telecomunicación.

II. C.DESCONOCIMIENTO DE LA AUTORIDAD Y COMPETENCIA DE LA AAIP

En las presentes actuaciones Google LLC no rehúsa la jurisdicción de los juzgados federales argentinos, ni la aplicación obligatoria de la Ley N° 25.326, sino que desconoce la competencia y la autoridad de la AAIP.

La normativa (art. 14 inc.2 del Decreto Reglamentario de la ley 25.326) establece la posibilidad de ejercer la acción de habeas data y de llevar a cabo una denuncia ante la AA en caso de insuficiencia o falta de contestación por parte del responsable de tratamiento de datos. Ambas acciones no son excluyentes. Una vez que se da intervención a la autoridad administrativa de aplicación ésta debe intervenir a los fines de investigar los hechos y aplicar las sanciones correspondientes, independientemente del inicio o no de la acción judicial de habeas data.

Google LLC en su carácter de responsable dio a entender que sólo los tribunales judiciales son competentes para dar trámite a la acción de protección de datos. Ello así de conformidad con el artículo 36 de la Ley N° 25.326, que prevé que «será competente para entender en esta acción el juez del domicilio del actor; el del domicilio del demandado; el del lugar en el que el hecho o acto se exteriorice o pudiera tener efecto, a elección del actor». Desconociendo la autoridad y competencia de la Autoridad de Control sobre los reclamos de los titulares de datos.

La competencia de la Autoridad de Control surge del artículo 24, inc.t) de la Ley N° 27.275, la Agencia de acceso a la información Pública, bajo cuya órbita se encuentra la Dirección Nacional de protección de datos personales, tiene como misión «fiscalizar la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre». Asimismo, el artículo 14 del Decreto N° 1558/01 y modificatorios, que reglamenta la Ley N° 25.326, indica que «vencido el plazo para contestar el derecho de acceso de acceso a los datos personales, el interesado podrá ejercer la acción de protección de los datos personales y denunciar el hecho ante la AAIP a los fines del control pertinente de este organismo».

Por lo que la solicitud de derecho de acceso debe ser respondida no solo ante los estrados judiciales, sino ante la Autoridad Administrativa.

II. D. CORRESPONSABILIDAD ENTRE GOOGLE ARGENTINA Y GOOGLE LLC

En el presente caso queda establecido el principio de corresponsabilidad entre ambas empresas, de tal forma que Google LLC debe responder no solo ante los estrados judiciales por las razones expuestas sino también ante la autoridad administrativa, determinándose que Google Argentina SRL es corresponsable ante la AAIP por la administración del servicio Gmail que presta su matriz Google LLC, en virtud de la interdependencia económica que existe entre las empresas mencionadas.La promoción de servicios publicitarios de Google Argentina SRL guarda estricta relación con los servicios primarios prestados por Google LLC, entre los cuales se encuentran Google Search, Gmail y Google Ads.

Que, en efecto, los servicios publicitarios que ofrece Google Argentina SRL -en tanto agente comercial de Google LLC- dependen de la existencia y disponibilidad de los productos de Google LLC, que o bien funcionan como plataformas de avisos o bien como herramientas para extraer datos personales de los usuarios que facilitan el microtargeting publicitario. (2)

II. E. GOOGLE ARGENTINA REPRESENTA A GOOGLE LLC EN ARGENTINA

La AAIP determina que Google Argentina SRL representa a Google LLC en la REPÚBLICA ARGENTINA a los fines de su notificación y emplazamiento, porque así lo determina el art. 122 de la Ley N° 19.550 el cual establece: «El emplazamiento a una sociedad constituida en el extranjero puede cumplirse en la República: a) Originándose en un acto aislado, en la persona del apoderado que intervino en el acto o contrato que motive el litigio; b) Si existiere sucursal, asiento o cualquier otra especie de representación, en la persona del representante».

Por lo que en virtud del principio de celeridad procesal contenido en el artículo 1, inc. c))ref:LEG793.1) de la Ley N° 19.549, se consideró a los efectos del presente procedimiento que Google Argentina SRL -que opera como agente comercial de la matriz- es una representación de Google LLC para todas las notificaciones y comunicaciones que fueran necesarias.

II. F. INFORMACIÓN CONFIDENCIAL

Google LLC se ha opuesto al requerimiento emanado de la autoridad de contralor, arguyendo que «no podría dar información sobre la cuenta en cuestión de no mediar una orden judicial, de tribunal competente (art. 33, Ley 25.326) que la releve . de su deber de confidencialidad sobre los datos en cuestión.

Corresponde establecer que el art.33 de la ley 25326 exceptúa a la requerida de entregar información de terceros relacionados con la interesada ante un requerimiento formal de la autoridad de control.

Por otro lado el hecho de que «la información alojada en la cuenta de la peticionante sea susceptible de contener datos personales y/o sensibles de terceros», resulta desacertado, pues la propia Ley N° 25.326 en su artículo 15, inc. 2 tiene dicho que «en ningún caso el informe que dé respuesta a un derecho de acceso podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado».

III. NECESIDAD DE REFORMAR NUESTRA LEY 25.326

LA SANCIÓN IMPUESTA ALIENTA AL INCUMPLIMIENTO DE LA NORMA

El fundamento de nuestra norma es la protección de los derechos de los titulares de datos. Sin embargo la sanción impuesta no alienta al cumplimiento de la normativa sino a su infracción. Entendemos que es necesario urgentemente modificar la ley N° 25326 ya que de lo contrario situaciones como estas se van a volver a repetir. Está claro que no existe una conciencia de obligatoriedad de la norma dado que infringir la ley es mucho más conveniente para una empresa como Google que cumplirla.

Las autoridades de protección de datos de los países europeos, a raíz de su robusta legislación, son muy severos en sancionar conductas que infrinjan los derechos de protección de datos personales de sus ciudadanos. En los casos más graves con topes de ?20.0000.000 o de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, en el caso de empresas, el que sea mayor.Por ejemplo, Google INC fue sancionada por la autoridad Francesa por la suma de 50 Millones de Euros el pasado 21/01/2019.

Otro ejemplo de severidad de multas puede ser la recibida por la cadena Hotelera Marriot propuesta por la autoridad de aplicación del Reino Unido (ICO) por un total de 110 Millones de Euros.

En relación a las sanciones administrativas, cabe destacar que la AAIP se encuentra facultada a aplicar multas de hasta 5 millones de pesos, dependiendo de la recurrencia y gravedad de la conducta penada. Según el padrón público de infractores las últimas multas que ha impuesto la AAIP se ubican en un promedio de 3 millones de pesos.

Por último, resulta pertinente resaltar algunos puntos de la «Planificación 2020» aprobada a través de la Resolución 78/2020 de la AAIP. Entre otros objetivos, la AAIP se propone para este año: 1) instar el proceso iniciado respecto a la modificación de la LPDP; 2) revisar, relevar y actualizar la normativa de protección de datos personales conforme los estándares internacionales actuales y las nuevas tecnologías; 3) reemplazar las Disposiciones emitidas por la entonces Dirección Nacional de Protección de Datos Personales referidas a la clasificación y graduación de las sanciones; 4) adecuar la Resolución 47/2018 de Guía de Medidas de Seguridad Recomendadas en Medios Informatizados a la Guía de Evaluación de Impacto en la Protección de los Datos Personales; y 5) realizar investigaciones de oficio a empresas u organismos públicos por presuntas vulneraciones a la LPDP. En esta misma línea, el director de la AAIP públicamente ha manifestado la necesidad de actualizar las sanciones previstas por la normativa vigente lo que indica la prioridad que tendrá este punto durante este año.

———-

(1) ARTICULO 14 del Decreto 1558/01.- La solicitud a que se refiere el artículo 14, inciso 1, de la Ley Nº 25.326, no requiere de fórmulas específicas, siempre que garantice la identificación del titular.Se puede efectuar de manera directa, presentándose el interesado ante el responsable o usuario del archivo, registro, base o banco de datos, o de manera indirecta, a través de la intimación fehaciente por medio escrito que deje constancia de recepción. También pueden ser utilizados otros servicios de acceso directo o semidirecto como los medios electrónicos, las líneas telefónicas, la recepción del reclamo en pantalla u otro medio idóneo a tal fin. En cada supuesto, se podrán ofrecer preferencias de medios para conocer la respuesta requerida.

Si se tratara de archivos o bancos de datos públicos dependientes de un organismo oficial destinad os a la difusión al público en general, las condiciones para el ejercicio del derecho de acceso podrán ser propuestas por el organismo y aprobadas por la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, la cual deberá asegurar que los procedimientos sugeridos no vulneren ni restrinjan en modo alguno las garantías propias de ese derecho.

El derecho de acceso permitirá:

a) conocer si el titular de los datos se encuentra o no en el archivo, registro, base o banco de datos;

b) conocer todos los datos relativos a su persona que constan en el archivo;

c) solicitar información sobre las fuentes y los medios a través de los cuales se obtuvieron sus datos;

d) solicitar las finalidades para las que se recabaron;

e) conocer el destino previsto para los datos personales;

f) saber si el archivo está registrado conforme a las exigencias de la Ley Nº 25.326.

Vencido el plazo para contestar fijado en el artículo 14, inciso 2 de la Ley Nº 25.326, el interesado podrá ejercer la acción de protección de los datos personales y denunciar el hecho ante la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES a los fines del control pertinente de este organismo.

ARTICULO 15.- El responsable o usuario del archivo, registro, base o banco de datos deberá contestar la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado, debiendopara ello valerse de cualquiera de los medios autorizados en el artículo 15, inciso 3, de la Ley Nº 25.326, a opción del titular de los datos, o las preferencias que el interesado hubiere expresamente manifestado al interponer el derecho de acceso.

(2) En sentido similar «P. A. E. c/ Facebook Argentina S.R.L. s/ medida autosatisfactiva» (2019)

Google Spain SL, Google Inc. v Agencia Española de Protección de Datos» (2014)

Que, en este mismo orden de ideas, la DIRECCIÓN destacó que la INFORMATION COMMISSIONER’S OFFICE del REINO UNIDO DE GRAN BRETAÑA E IRLANDA DEL NORTE, autoridad de protección de datos de ese país, estableció en octubre del año 2018 una sanción al Grupo Facebook -que incluía tanto a FACEBOOK IRELAND LIMITED como a FACEBOOK UK LIMITED- en el marco de la investigación suscitada por el escándalo de CAMBRIDGE ANALYTICA. La extensión de responsabilidad a FACEBOOK UK LIMITED, cuyo objeto es la promoción de servicios publicitarios, fue decidida bajo el mismo criterio sentado en el caso «Google Spain SL, Google Inc. v Agencia Española de Protección de Datos» (2014), que fuera citado en los parágrafos anteriores.

(*) Especialista en Derecho Informático y Delegada de Protección de datos.

A %d blogueros les gusta esto: