Protección de datos personales, ¿Es legal pedir selfie y DNI?

Los autores, abogados, analizan la razonabilidad de los pedidos de algunas empresas para enviar foto de DNI y selfie

Por Mariano Peruzzotti  y Belén Sorrentino

La protección de los datos personales se rige en Argentina por el artículo 43 de la Constitución Argentina y la Ley de Protección de Datos Personales N° 25.326 (“LPDP”), que a su vez se encuentra reglamentada por el Decreto N° 1558/2001 (“Decreto Reglamentario”).

La Agencia Argentina de Acceso a la Información Pública (“Agencia”), autoridad de control de la LPDP, ha emitido varias regulaciones que complementan la LPDP. Argentina adhirió al Convenio 108 para la Protección de las Personas con respecto al Tratamiento Automático de Datos Personales del Consejo de Europa.

La LPDP contempla una definición muy amplia del término dato personal al disponer que comprende la “información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.”

La LPDP establece distintas obligaciones en cabeza de los responsables del tratamiento de datos personales dentro de los cuales se encuentran los principios de calidad de los datos que deben ser tenidos en cuenta a la hora de tratar y procesar datos personales.

El principio de proporcionalidad que rige en la LPDP consiste en que los datos personales deben ser adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido. Debe mediar una nítida conexión entre la información personal que se recaba y el legítimo objetivo para el que se solicita. El artículo 4° de la LPDP hace referencia al principio mencionado en los siguientes términos:

“Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.”

En el presente caso y acorde al mencionado principio, podría cuestionarse la razonabilidad y proporcionalidad del dato que solicita la empresa de telefonía sobre el Usuario.

La obtención de esta información podría resultar excesiva con relación a la finalidad para la cual se lo solicita, en particular si la comprobación de la identidad para concluir la operación en cuestión puede ser realizada mediante algún medio que implique recolectar una menor cantidad de información personal.

A tal efecto, siempre es conveniente realizar una evaluación sobre la pertinencia del método utilizado y su impacto bajo las normas de protección de datos personales. De existir un medio menos intrusivo, debe optarse por aquel.

El incumplimiento de las disposiciones de la LPDP puede dar lugar a sanciones de la Agencia, como ser (i) apercibimientos; (ii) suspensión de la base de datos de 1 a 365 días; (iii) cancelación de la base de datos; y/o (iv) multas de hasta Pesos 100.000, así como acciones judiciales que incluyen reclamos por derechos de protección de datos o por daños y perjuicios.

 

Los comentarios están cerrados, pero trackbacks Y pingbacks están abiertos.