Sanciones administrativas en materia de protección de datos personales: lecciones del caso “Open Discovery v. Estado Nacional”
El artículo aborda la problemática de la protección de la privacidad y datos personales en Argentina, con un caso práctico. Parte de la serie del libro publicado
Por Pablo A. Palazzi
1. Introducción
El 13 de abril de 2022 la Sala III de la Cámara Nacional de Apelaciones en lo Contencioso Administrativo Federal dictó sentencia en el caso “Open Discovery S.A. v. Estado Nacional”.
Se trata de la primera sentencia firme de cámara que convalida una sanción administrativa de multa y clausura de bases de datos impuesta por la agencia argentina de protección de datos personales.
En este comentario analizamos el caso no tanto por la cuestión de fondo allí resuelta, sino por el impacto que tiene en el régimen de sanciones administrativas bajo la Ley N.º 25.326 (o el proyecto de ley que la reemplace).
Argentina tiene muchos casos de éxitos para contar en materia de protección de datos personales. Por ejemplo, fue el primer país en América Latina en aprobar una ley de protección de datos personales completa en el año 2000.
También, Argentina fue el primer país de América Latina en crear, en el año 2001, una agencia reguladora de los datos personales, la Dirección Nacional de Protección de Datos Personales (DNPDP). El 30 de junio de 2003, Argentina fue el primer país de la región en lograr la adecuación de su sistema legal al régimen de la Unión Europea.
También fue el primer país de la región latinoamericana en aprobar regulaciones específicas sobre privacidad para aplicaciones móviles y para drones, como también en reglamentar el uso de normas contractuales modelo para permitir la transferencia internacional de datos personales.
Pero así como tenemos muchos éxitos en esta materia, también tenemos algunos fracasos. Este caso que anotamos demuestra el fracaso del sistema argentino de protección de datos personales en tener medios disuasivos y adecuados para hacer cumplir la Ley N.º 25.326 durante sus 23 años de vigencia. Lo explicamos en detalle en el siguiente comentario y esperamos que sirva de guía para una futura ley de reforma.
2. El caso
En el caso (“Open Discovery S.A. v. Estado Nacional”, más conocido como el caso “Globinfo”) la DNPDP sancionó, mediante la Disposición DNPDP 5/2009 de abril de 2009, a la empresa Open Discovery S.A., titular de la página www.globinfo.com.ar, con una multa de 50.001 pesos y le ordenó clausurar sus bases de datos hasta que demostrase que sus informes cumplían con los requisitos de la Ley N.º 25.326.
El caso se inició por una comunicación de la Defensora del Pueblo de la Ciudad de Buenos Aires a la DNPDP. En esa época la empresa se hizo conocida porque anunciaba prominentemente en Internet la búsqueda de datos de personas mediante publicidad en buscadores (keyword advertising) usando marcas ajenas, lo que le valió un juicio de uno de sus competidores. Fue sancionada también por infringir la Ley de Defensa del Consumidor.
Entre otras cosas, la decisión de la DNPDP establece importantes principios:
· el hecho de que la denunciada haya registrado sus bases de datos no significa que luego no pueda incurrir en conductas contrarias a la Ley de Protección de Datos Personales; dicho de otro modo, el registro y su aprobación no sanean nada y el control que en el momento del registro hace la DNPDP es meramente formal. El deber de inscripción es condición necesaria para la licitud del tratamiento de datos personales pero no condición única ya que el responsable de la base de datos debe cumplir con el resto de la normativa de la Ley N.º 25.326;
· la DNPDP cuestionó el exceso de información contenido en los informes crediticios vendidos por Globinfo. En efecto, se señaló que en los informes comerciales vendidos había datos de carácter patrimonial y otros que no compartían esa naturaleza, como datos identificatorios de vecindad y parentesco, entre otros;
· la base legal para sancionar a la empresa denunciada fue el artículo 26.1 de la Ley N.º 25.326, que dispone: “En la prestación de servicios de información crediticia sólo pueden tratarse datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por el interesado o con su consentimiento”;
· la DNPDP concluye que no corresponde admitir en los informes crediticios información que no sea patrimonial, con excepción de aquella que sea netamente identificatoria, a fin de no faltar al principio de calidad del dato (artículo 4, Ley N.º 25.326) que dispone “Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido”;
· la empresa denunciada no cumple con ese principio en tanto no distingue entre los intereses de los cesionarios y brinda la totalidad de la información recabada. A modo de ejemplo, para el caso de obtención de informes comerciales, los datos excesivos y no pertinentes son todos aquellos que exceden la situación económica y financiera de su titular, como ser los datos de parientes y vecinos.
Contra esta sanción, la empresa denunciada agotó la vía administrativa contra el Ministerio de Justicia y luego inició la revisión judicial del acto administrativo que le imponía la multa.
3. Decisión de primera instancia
La sentencia de primera instancia convalidó la sanción impuesta por la DNPDP. Para decidir así la jueza consideró que el acto administrativo atacado reunía los requisitos establecidos en el artículo 7 de la LNPA (Ley N.º 19.549), en tanto esta había sido dictada por una autoridad competente.
Puso de resalto que de las constancias administrativas surgía que:
· la DNPDP había tenido por acreditado que el informe Globinfo incorporaba una amplia cantidad de información personal que no se ajustaba a las prescripciones de la Ley N.º 25.326;
· que entre el tipo de datos que la empresa decía tratar y la forma en la que en realidad se efectuaba ese tratamiento era donde se producía la circunstancia que había dado lugar a la infracción, habiendo por lo tanto devenido ilícito el tratamiento realizado para ceder los datos en informes cuyo contenido excedía lo autorizado por la ley;
· que los informes analizados no habían cumplido con el principio de calidad del dato establecido en el artículo 4 de la Ley N.º 25.326, en tanto la empresa denunciada no distinguía entre los intereses de los cesionarios y brindaba la totalidad de la información recabada, de modo que quien adquiría un informe Globinfo con fines de localización de paraderos de personas, obtenía, además de esta información, la situación patrimonial del informado, motivo por el cual no se cumplía con el requisito del interés legítimo para la cesión de los datos, conforme el artículo 11 de la Ley N.º 25.326.
En consecuencia determinó que el acto administrativo cuestionado no presentaba vicios en los elementos esenciales. Ello así, la magistrada entendió que la sanción aplicada a la firma actora era procedente, ya que mediante sus conductas esta había incurrido en infracción a lo estipulado por la Ley N.º 25.326, en concordancia con el punto 3, inciso c del Anexo I de la Disposición DNPDP 7/05, norma reglamentaria de la Ley Nacional de Protección de Datos Personales.
En cuanto al monto de la multa impuesta, puso de resalto que la graduación de la sanción es resorte primario del órgano administrativo y constituye una potestad discrecional de la autoridad de aplicación. Así las cosas, concluyó que debido a que el monto de la multa impuesta respetaba los límites legales impuestos, no podía ser considerada excesiva.
4. Fallo de la Cámara de Apelaciones
La Cámara confirmó el fallo apelado. Para así decidir, sostuvo que:
· la sentencia recurrida no era arbitraria, en tanto se encontraba fundada en la prueba y argumentos expuesto por las partes, y determinó que Open Discovery no había presentado suficiente prueba tendiente a derribar la presunción de legitimidad, más aún cuando la disposición de la Dirección cumplía con los elementos del acto administrativo;
· En esta línea, también desestimó los planteos de error en la graduación de la sanción y omisión en el análisis de la prueba posteriormente ofrecida, por considerarlos insuficientes;
· En concordancia, la Cámara también resaltó que el tipo de información ofrecida en el informe no respondía con aquello dispuesto por el artículo 26 de la Ley de Protección de Datos Personales argentina, toda vez que ofrecía, además de información patrimonial y crediticia, información personal sobre los familiares del titular del dato, cuando “solamente se encontraba habilitada a tratar datos relevantes a la situación patrimonial”.
5. Comentario
Los temas que vamos a tratar en este comentario son los siguientes: (i) plazo de revisión judicial de sanciones administrativas; (ii) efectividad de la multa patrimonial; (iii) extensión temporal de la revisión judicial del monto de la multa y deferencia al organismo de contralor técnico en el monto; y (iv) informes comerciales y datos a incluir en ellos.
5.1. Extensión temporal de la revisión judicial de sanciones administrativas
En primer lugar, cabe señalar que todo administrado tiene derecho al debido proceso legal (artículo 18, Constitución Nacional) y esto incluye la revisión del acto administrativo sancionatorio, ya sea a través de un recurso administrativo o por vía judicial, conforme lo establecido en la LNPA.
La sanción administrativa del caso que anotamos fue impuesta por la DNPDP en abril de 2009. La actora agotó la vía administrativa e inicio la revisión judicial en el año 2010. La sentencia de primera instancia fue dictada el 15 de octubre de 2020 y el fallo definitivo de cámara, el 13 de abril de 2022. Entre la sanción administrativa y la sentencia judicial firme de cámara transcurrieron aproximadamente trece (13) años.
Como primera observación, podemos señalar que el plazo que transcurre en este caso hasta que la decisión administrativa queda firme es sumamente extenso para una materia como es el Derecho de Protección de los datos personales, que está íntimamente relacionada con la regulación de la tecnología y que está sujeta a constantes cambios tecnológicos y legales. Para los especialistas en estos temas y también para las empresas reguladas, tener que esperar trece años para saber si se convalida o no un criterio del regulador provoca la falta de precedentes judiciales que confirmen o corrijan las posturas de la autoridad de contralor en materia de datos personales por un largo período de tiempo. En este mundo acelerado donde cada cierto tiempo tenemos una nueva tecnología, o nuevas funciones dentro de un producto tecnológico, no es posible esperar trece años para que se confirme una decisión administrativa sobre un tema relacionado con bases de datos y datos personales.
Por supuesto, no se nos escapa que el problema de los tribunales y sus plazos supera a este tema específico y obedece a causas que no abordaremos en esta nota. Pero a los fines exclusivos de la protección de datos, para lograr decisiones finales más cercanas en el tiempo, se podría pensar en varias cuestiones innovadoras; algunas de ellas ya se plantearon en los proyectos de reforma.
Una alternativa sería que no resulte necesario agotar la vía administrativa, es decir, que frente a una sanción de la DNPDP (ahora Agencia de Acceso a la Información Pública, AAIP) sólo quede una revisión judicial del acto sancionatorio. Esto evitaría el tiempo que implica agotar los recursos administrativos internos antes de pasar a la revisión judicial del acto administrativo. Esto ya es una realidad, ya que la AAIP actualmente entiende —interpretando el Convenio 108 original y su Protocolo— que dado su carácter de autoridad independiente no caben recursos administrativos internos contra sus actos finales (de lo contrario no sería autónoma e independiente), sino que sólo cabe la revisión judicial de sus decisiones. Es decir, la sanción de la AAIP agota la vía administrativa, y así lo informa actualmente la AAIP en los actos sancionatorios. Esto no ocurrió en el caso que comentamos porque en el año 2009 Argentina todavía no había firmado el Convenio 108 y la DNPDP (en aquel entonces, ubicada administrativamente dentro de la estructura del Ministerio de Justicia y Derechos Humanos) tenía una interpretación que permitía la apelación administrativa de sus decisiones.
Otra alternativa sería establecer que la ley permita sólo un “recurso directo” a la Cámara de Apelaciones respectiva en vez de obligar a recorrer todas las instancias judiciales. Esto tendría por efecto “saltearse” la primera instancia. No es un tema menor, dado que en el caso que anotamos la primera instancia tuvo un trámite de una década (la mayoría dedicada a prueba totalmente irrelevante, tan irrelevante que ni siquiera es mencionada en las decisiones de ambas instancias).
Bajo el sistema vigente de la Ley N.º 25.326 no es posible evitar la primera instancia, dado que la única forma de revisar los actos administrativos de la AAIP es mediante la revisión judicial del mismo que comienza en la instancia de grado porque la Ley N.º 25.326 no establece “recursos directos” como sí lo hacen otras leyes.
Cabe recordar que el anteproyecto de ley de 2018 elaborado por la DNPDP ya proponía esta alternativa al establecer en el artículo 76 de la citada propuesta un recurso directo con efecto devolutivo. Pero este proyecto caducó por no tener tratamiento legislativo.
El anteproyecto de la AAIP elaborado en 2022 (en su versión de febrero de 2023) propuso el siguiente texto:
Artículo 59. Recursos. Contra las resoluciones de la Autoridad de aplicación los Responsables o Encargados pueden interponer ante ella y dentro de los 15 (quince) días hábiles de notificados, el recurso de reconsideración. No procede el recurso de alzada. Las resoluciones de la Autoridad de aplicación agotan la vía administrativa a los efectos de lo previsto en la Ley Nacional de Procedimientos Administrativos N.º 19.549 y sus modificatorias. Podrán ser impugnadas ante la Justicia Federal en lo Contencioso Administrativo.
En su versión final presentada ante el Congreso (Mensaje 87/2023 el PEN) la misma norma dice así:
Recursos. Contra las resoluciones emitidas por la Autoridad de Aplicación en los procedimientos contemplados en el artículo 55 de esta Ley puede interponerse el recurso de reconsideración previsto en el artículo 84 del Reglamento de Procedimientos Administrativos aprobado por Decreto N.º 1759/72 y sus modificatorios. No procede el recurso de alzada. Las resoluciones de la Autoridad de Aplicación agotan la vía administrativa a los efectos de lo previsto en la Ley Nacional de Procedimientos Administrativos N.º 19.549 y sus modificatorias, y pueden ser impugnadas ante el fuero en lo Contencioso Administrativo Federal.
Es decir, el proyecto más reciente de la AAIP (i) excluye la vía administrativa pero (ii) propone una revisión en primera instancia, sin establecer un recurso directo ante la cámara.
Cabe recordar que en el sistema jurídico argentino existen numerosos “recursos directos” establecidos contra resoluciones de entes y agencias administrativas tanto centralizadas como descentralizadas (tal es el caso de INPI, ENRE, ENARGAS, Migraciones, agencias de consumo, etcétera), y la práctica demuestra que todas estas revisiones judiciales implican un extenso período de tiempo. Está claro entonces que este “recurso directo” a cámara salteándose la primera instancia, tal como se propuso en algún proyecto de reforma, no es una “bala de plata” ni resuelve la cuestión de la demora en la revisión judicial de los actos sancionatorios. Por otra parte, los “recursos directos” no dejan de ser una revisión judicial más, equivalente a una demanda de novo contra la administración, sujeta a los plazos procesales existentes.
Otra alternativa sería crear un tribunal judicial de alzada especializado para estos temas, o una sala dentro del tribunal ya existente. Lo primero ocurre por ejemplo en el Reino Unido, donde está previsto un tribunal (General Regulatory Chamber) que recibe apelaciones de las decisiones adoptadas por diversos organismos, entre otros por la Information Comissioner Office (ICO) en materia de datos personales y acceso a la información (y también de otras áreas reguladas). La ventaja de un tribunal especializado es que sólo está dedicado a estos temas y no tiene la carga de otras causas que actualmente tienen los tribunales comunes que entienden en recursos directos de numerosos organismos administrativos y en demandas de la más diversa índole.
Algunas de estas propuestas deberían contemplarse en la reforma de la Ley N.º 25.326 para resolver los problemas que expusimos del atraso de la revisión judicial.
5.2. Monto de la multas por infracción a la Ley de Protección de Datos Personales
a) Régimen legal de sanciones administrativas. El talón de Aquiles de la ley argentina fue siempre el monto de las multas. En el año 2000 (vigente la convertibilidad que establecía la paridad del peso y el dólar) se aprobó la Ley N.º 25.326 de Protección de Datos Personales cuyo artículo 31 estableció varias sanciones administrativas, incluyendo una multa de mil pesos ($ 1.000) a cien mil pesos ($ 100.000). Es decir que vigente la entonces Ley de Convertibilidad, la multa máxima en Argentina era de 100.000 pesos o 100.000 dólares.
A su vez, el artículo 31.2 de la ley dispuso que “la reglamentación determinará las condiciones y procedimientos para la aplicación de las sanciones previstas, las que deberán graduarse en relación a la gravedad y extensión de la violación y de los perjuicios derivados de la infracción, garantizando el principio del debido proceso”. El decreto reglamentario 1558/2001 dispuso en el artículo 31 una serie de cuestiones importantes para el procedimiento sancionatorio, entre otras, como mensurar las penas.
No vamos a entrar acá en un debate ajeno a esta nota, pero dejamos sentada nuestra posición de que la facultad de la DNPDP o de la AAIP de “crear” diferentes infracciones o “tipos penales administrativos” según su discrecional interpretación es claramente violatoria del principio de legalidad en materia penal.
A poco de aprobado el decreto reglamentario acaeció la crisis de 2001 y se suspendió la convertibilidad.
En el año 2003 la DNPDP dictó la Disposición 1/2003, mediante la cual la DNPDP clasificó las infracciones. Esta norma tuvo corta vida porque fue abrogada por la Disposición 7/2005. La citada Disposición 7/2005 de la DNPDP procedió a clasificar y graduar las sanciones de la siguiente forma: (i) infracciones leves: multa de $ 1.000 a $ 25.000, (ii) infracciones graves: multa de $ 25.001 a $ 80.000, e (iii) infracciones muy graves: multa de $ 80.001 a $ 100.000. En el caso que anotamos, la DNPDP impuso a la empresa apelante una multa de $ 50.001 en abril de 2009.
No podemos desconocer como hecho notorio que en Argentina existe inflación, y que una multa en pesos establecida en el año 2000 y luego aplicada en 2009 no tiene el mismo efecto en años posteriores. El problema es que el monto máximo de la multa no puede incrementarse sin modificar la Ley N.º 25.326. Esto es así por el principio de legalidad en materia penal. Entendemos que las multas de la Ley N.º 25.326 “son sanciones penales administrativas que impone la Administración de verificarse una infracción a las normas de policía general o sectorial, y que forman parte del ius puniendi único del Estado y no presentan diferencias sustanciales con las penas previstas en el Código Penal y sus normas complementarias”. Estas sanciones no pueden ser actualizadas, enmendadas o modificadas por la AAIP a piacere porque están fijadas en el texto de la ley y están sujetas al principio de legalidad en materia sancionatoria, que requiere una ley para fijar la pena incluso en casos de multas. Es decir, sólo es posible modificarlas por ley formal del Congreso.
b) Sanciones administrativas y efecto de la inflación. Entre 2000 y 2022 pasaron veintidós años y el índice inflacionario acumulado fue incrementándose. Desde 2009 hasta la fecha del fallo de cámara, el peso se devaluó un 3.000%. Todo esto resulta más evidente cuando analizamos la multa impuesta por la DNPDP a la empresa frente a los números concretos porque la realidad demuestra que la matemática no miente:
· cuando se aprobó la ley en el año 2000, los 50.000 pesos equivalían a 50.000 dólares por la Ley de Convertibilidad;
· los 50.000 pesos impuestos como sanción por la DNPDP y confirmados por la Cámara de Apelaciones en abril de 2022 (en fecha 18/4/2022) equivalían a cuatrocientos veinte dólares (USD 420), al tipo de cambio dólar oficial (118,88). Si se usa el cambio no oficial, el valor real sería la mitad, es decir, 210 dólares;
· los 50.000 pesos impuestos como multa en el año 2009, fecha en la cual la DNPDP impuso la multa, equivalían a USD 13.350 (tomando un tipo de cambio dólar oficial promedio durante 2009 de 3,75);
· los 50.000 pesos en 2005 (fecha de la Disposición 7/2005 de la DNPDP donde se graduó la multa en forma general) equivalían a USD 17.000 (tipo de cambio dólar oficial promedio durante 2005 de 2,95);
· si la empresa sancionada hubiera tenido que pagar la multa en abril de 2022 cuando esta fue confirmada por la Cámara de Apelaciones, podríamos concluir que con todo el trámite de apelación y la desvalorización monetaria del peso argentino, la sancionada se ahorró la suma de USD 12.900 (lo que a abril de 2022 equivalía a 1.500.000 pesos, ajustado por devaluación del 3000% diciembre de 2009 – abril de 2022);
· pero la ejecución de la multa siempre lleva un tiempo adicional, con lo cual los montos finales son mucho menores.
c) Sanciones administrativas en el Convenio 108 modernizado. Frente a este escaso “poder de fuego” con que cuenta la agencia argentina de datos personales, nos preguntamos si Argentina cumple con el artículo 12 del Convenio 108 modernizado (aprobado por la Ley N.º 27.699).
Bajo el título de “sanciones y soluciones jurídicas” el artículo 12 del citado tratado internacional establece que “cada parte asume la obligación de establecer sanciones y soluciones jurídicas apropiadas, judiciales y extrajudiciales, para el caso de violaciones a las disposiciones del presente Convenio”.
El Informe Explicativo del Convenio 108 modernizado, en los párrafos 99 y 100, explica lo siguiente:
99. In order for the Convention to guarantee an effective level of data protection, the duties of the controller and processor and the rights of data subjects should be reflected in the Parties’ legislation with corresponding sanctions and remedies.
100. It is left to each Party to determine the nature (civil, administrative, criminal) of these judicial as well as non-judicial sanctions. These sanctions have to be effective, proportionate and dissuasive. The same goes for remedies […].
Entendemos que, para ser efectivas, las sanciones deben lograr el resultado deseado; para que sean proporcionadas, las sanciones deben reflejar adecuadamente la gravedad, la naturaleza y el alcance del daño provocado; y para ser disuasorias, las sanciones deben disuadir futuros actos similares del infractor.
La falta de efectividad y de efecto disuasorio de las sanciones podría influir en las conclusiones de un futuro informe sobre Argentina como país adecuado frente a la Unión Europea pues este es un elemento de importancia para medir la efectividad del sistema analizado. Al mismo tiempo ponen en evidencia que el país no cumple con un aspecto importante del Convenio 108 modernizado.
A nuestro modo de ver, está claro que las sanciones tan ínfimas no son “sanciones jurídicas apropiadas”, como manda el Convenio 108 modernizado, o sanciones “efectivas y disuasivas”, como aclara el informe explicativo Convenio 108 modernizado. Cabe recordar que el informe explicativo es una fuente interpretativa de tratados internacionales como indica la Convención de Viena sobre el Derecho de los Tratados.
d) Sanciones por la ley del Registro “No Llame”. La agencia tenía, y aún tiene a su cargo, implementar el Registro “No Llame” creado en 2014 por la Ley N.º 26.951. Esta norma remite a la Ley N.º 25.326 a los fines de las sanciones por su incumplimiento, con lo cual el problema que tenía la Ley N.º 25.326 volvió a repetirse con la ley del Registro “No Llame”, con el agravante de que los casos del Registro “No Llame” planteaban muchos hechos similares y repetitivos. Era totalmente ineficiente para la DNPDP abrir 50 o 100 expedientes por 50 o 100 llamados molestos. La DNPDP comenzó a “acumular” las denuncias en un solo expediente y a imponer sanciones acorde con la cantidad de denuncias y hechos similares.
e) Disposición DNPDP E 71/2016. Esta “devaluación” del poder sancionatorio de la agencia de protección de datos que hemos comentado en los puntos anteriores no pasó inadvertida para la DNPDP. Seis años después de esta sanción impuesta por la DNPDP a Globinfo, la misma agencia argentina de datos personales cambió la forma de mensurar las sanciones mediante la Disposición DNPDP E 71/2016, generada por la corta experiencia en el tema del Registro “No Llame”.
La Disposición DNPDP E 71/2016 resultaba necesaria porque el monto de las sanciones había quedado muy bajo. Esta nueva normativa se desarrolló. Como ya señalamos, teniendo en cuenta la experiencia del Registro “No Llame” donde en cada caso donde se denunciaba a una empresa por llamados “molestos” existía un gran número de denuncias y afectados. Por eso la DNPDP decidió tomar en cuenta la “cantidad de hechos” o “cantidad de afectados” por la infracción para decidir el monto de la multa a imponer. El artículo 1 de la citada disposición hacía referencia a esto cuando claramente disponía que “cuando un acto administrativo condenatorio incluya más de una sanción pecuniaria por idéntica conducta sancionable”.
Pero al calcular las multas en función de la cantidad de titulares afectados o distintos hechos similares (la norma dice “idéntica conducta sancionable”), el monto final de la multa podría ser muy alto. Entonces, para dar seguridad y previsibilidad al sistema sancionatorio, la agencia fijó en la Resolución 71/2016 un techo máximo de cinco millones de pesos.
La imposición de un techo hace que la sanción sea constitucional. Los considerandos de la norma explican que “a los fines de determinar el tope máximo de multa a aplicar se ha tomado como referencia el monto máximo de las multas establecidas en el artículo 47 de la Ley 24.240, sobre Protección y Defensa de los Consumidores, que regula las sanciones que puede aplicar la Autoridad de Aplicación de la mencionada ley”. La norma se basa claramente en el sistema de la LDC al expresar: “Que a los fines de determinar el tope máximo de multa a aplicar se ha tomado como referencia el monto máximo de las multas establecidas en el artículo 47 de la Ley N.º 24.240, sobre Protección y Defensa de los Consumidores, que regula las sanciones que puede aplicar la Autoridad de Aplicación de la mencionada ley y prevé multas de […] $ 5.000.000”.
La AAIP aplicó esta norma en numerosos casos relacionados con el Registro “No Llame”, pero de la norma no surge que esté limitada a este tipo de casos pudiéndose aplicar a otros supuestos de infracciones relacionadas con la Ley N.º 25.325.
f) Resolución AAIP N.º 240 del 1.º de diciembre de 2022. En 2022 se reformó nuevamente el sistema sancionatorio, régimen que carece de efectos retroactivos a casos anteriores. A tal fin, en diciembre de 2022 se dictaron dos normas. En primer lugar, la Resolución AAIP N.º 240, del 1.º de diciembre de 2022, estableció una nueva graduación de sanciones. Comentar estos cambios escapa al motivo de este artículo, pero era una norma necesaria de dictar para mejorar la lógica interna del sistema sancionatorio de la AAIP. En segundo lugar, la Resolución 244/2022 de la AAIP vuelve a repetir el esquema de la resolución 71/2016, pero con referencia a la Resolución 240. La Resolución 244/2022 de la AAIP establece que “cuando un acto administrativo condenatorio incluya más de una sanción pecuniaria por idéntica conducta sancionable dentro de cada uno de los niveles de “Graduación de las Sanciones” previsto por la Resolución AAIP N.º 240 del 1.º de diciembre de 2022”, deberán aplicarse los siguientes topes máximos: (a) para las infracciones leves: 3.000.000, (b) para las infracciones graves: $ 10.000.000 y (c) para las infracciones muy graves: $ 15.000.000.
Recurriendo a esta “nueva forma” de graduar las sanciones, y mediante una mera resolución administrativa, la AAIP logró elevar el monto máximo original previsto en la Ley N.º 25.326 de sólo cien mil pesos ($ 100.000) a quince millones de pesos ($ 15.000.000). El único fundamento lo encontramos en los considerandos de la Resolución 244, que dice “[…] las multas como sanción tienen una doble finalidad: por un lado, disciplinar las acciones violatorias a la norma y por otro, disuadir y desalentar conductas similares en el futuro. Cuando la multa no cumple este doble propósito, queda desvirtuada y pierde su razón de ser”.
La Ley N.º 25.326 no establece una autorización o “delegación” a la AAIP para modificar el monto de las multas fijado en su norma. Por más loable que sea esta fin, y con el objeto de solucionar los problemas generados por la inflación ya mencionados, cabe preguntarse si es posible constitucional y convencionalmente modificar la pena prevista en una ley formal del Congreso por una resolución administrativa de la AAIP. Ello además tiene un agravante: que la AAIP en este caso sería legislador y juez en la determinación del monto de la multa.
La respuesta obvia de la AAIP es que esto no implicaría un cambio porque tiene en cuenta la cantidad de hechos o sujetos. Pero la realidad es que sin esta reforma de las dos resoluciones que fijaron un tope, la multa máxima que la DNDP y luego la AAIP podían aplicar era de 100.000 pesos. Luego de estas normas la multa máxima fue establecida en 15 millones de pesos sin reforma legal de la Ley N.º 25.326. Una solución más constitucional sería establecer una referencia de valor en vez de utilizar el peso, que está constantemente sujeto a pérdida de valor por la inflación. Esto fue lo que propusieron los dos proyectos de reforma de la Ley N.º 25.326 que tuvimos en los últimos años y que comentaremos en el punto siguiente.
g) Proyectos de reforma de 2018 y de 2023. La exposición de motivos del proyecto de reforma del año 2018 explica lo siguiente: “En relación con las sanciones, el Proyecto innova respecto de la regulación actual al cuantificar las multas en base a una referencia de valor (el Salario Mínimo Vital y Móvil vigente al momento de su imposición) que permite superar las dificultades que surgen de la insuficiencia de los montos contenidos en la legislación vigente, en atención a que los daños que se pueden ocasionar por infracción a la Ley configuran lesiones a derechos fundamentales, como la privacidad o la intimidad”.
En tal sentido, el artículo 77 del proyecto de 2018 disponía que “La autoridad de control podrá imponer a los responsables y encargados del tratamiento las siguientes sanciones: […] b. Multa de hasta el equivalente a quinientos (500) Salarios Mínimos Vitales y Móviles vigentes al momento de la imposición de la sanción”.
El proyecto de 2023 (Mensaje 87/2023) también propone una solución similar. El artículo 62 dedicado a la “determinación de la unidad móvil” establece: “La Autoridad de Aplicación podrá establecer multas sobre la base de la unidad de cuenta definida en la presente Ley. El valor inicial de la unidad móvil se establece en pesos diez mil ($ 10.000), y debe ser actualizado anualmente conforme a la variación del Índice de Precios al Consumidor (IPC) que publica el Instituto Nacional de Estadística y Censos (INDEC) o el indicador oficial que lo pudiera reemplazar en el futuro. La Autoridad de Aplicación realizará la actualización de la unidad móvil el último día hábil de cada año, entrando en vigencia el valor actualizado desde el momento de su publicación en el Boletín Oficial”.
Por su parte el artículo 63 del proyecto de 2023 propone: “Las multas se pueden establecer desde las cinco (5) unidades móviles, hasta un millón (1.000.000) de unidades móviles; o desde el dos por ciento (2 %), hasta el cuatro por ciento (4 %) de la facturación total anual global del infractor en el ejercicio financiero anterior a la aplicación de la sanción. La Reglamentación determinará, garantizando el principio del debido proceso en el marco de la tutela administrativa efectiva, las condiciones y procedimientos para la aplicación de las sanciones previstas. La Autoridad de Aplicación se encuentra facultada para dictar las normas complementarias y/o aclaratorias a tales fines. También determinará las infracciones que serán consideradas leves, graves y gravísimas, y los topes de las multas aplicables en cada caso”.
La exposición de motivos del Mensaje presidencial 87/2023 explicaba: “[…] En relación con las multas, el proyecto incorpora una unidad móvil sujeta a la variación del Índice de Precios al Consumidor y eleva los montos sustantivamente. En este sentido, es importante resaltar que la Ley N.º 25.326, sancionada en el año 2000, en su artículo 31 contiene multas de mil pesos ($1000) a cien mil pesos ($100.000), montos que no se han actualizado a pesar de que han transcurrido más de veinte (20) años”.
Otro recurso para evitar el efecto inflacionario sobre la multa durante la revisión judicial podría ser requerir el pago previo de la multa como recaudo formal para su impugnación. Desde nuestro modo de ver, esta alternativa es inconstitucional porque viola la presunción de inocencia ya que obliga a cumplir la pena (el pago de la multa) antes de que esta quede firme durante la revisión judicial. Pero la Corte Suprema de Justicia de la Nación desde antaño ha convalidado, en forma sistemática, el pago previo como requisito para la impugnación judicial de multas impuestas en sede administrativa, sin efectuar consideración alguna en sus pronunciamientos sobre la compatibilidad de dicho requerimiento con el principio de presunción de inocencia. Que se tenga que pagar la multa antes de recurrirla requiere una norma expresa, o que el recurso directo tenga efecto devolutivo. Esta regla podría servir para neutralizar las apelaciones planteadas con el solo fin de dilatar el pago de la multa.
h) Reforma de la Ley del Presupuesto del año 2024. En noviembre de 2023 se conoció que el Proyecto de Ley del Presupuesto General de la Administración Nacional para el Ejercicio Fiscal del año 2024 propuso modificar el monto de las sanciones administrativas de la Ley Argentina de Protección de Datos Personales.
El artículo 77 del Proyecto de Ley de Presupuesto General de la Administración Nacional plantea una reforma en el artículo 31 de la Ley N.º 25.326, el cual regula las sanciones administrativas en el ámbito de la protección de datos personales en Argentina. La modificación propone que las multas se establecerán sobre la base de una unidad móvil, cuyo valor se fija en diez mil pesos ($10.000). A su vez, la reforma propone la actualización anual de las multas, que oscilarán entre un mínimo de cinco (5) unidades móviles y un máximo de un millón (1.000.000) de unidades móviles, permitiendo sanciones proporcionales a la gravedad de las infracciones.
El objetivo de la reforma es adaptar las sanciones a la inflación y garantizar su aplicación, pero al incluirse en una ley del Congreso se salvan las objeciones constitucionales que podrían tener las interpretaciones que realiza la AAIP mediante sucesivas disposiciones.
Si se calcula al dólar valor oficial a la fecha de la propuesta del proyecto de ley, la sanción máxima arroja un total de USD 28.500.000 (veintiocho millones quinientos mil dólares). No sería la primera vez que el Estado utiliza la ley de presupuesto anual para incrementar multas: ya en 2022, mediante la Ley de Presupuesto para 2023, se modificó e incrementó la multa civil de la Ley de Consumidor (artículo 119 de la Ley N.º 27.701).
El proyecto de ley de presupuesto fue aprobado el [xxxxxxx] mediante ley [xxxx] (BO xxxxxxx).
5.3. Estándar legal de revisión judicial de la multa
El caso “Globinfo” no ingresa a analizar el monto de la multa. Por el contrario, considera que corresponde al organismo especializado su imposición y mensuración. Entendemos sin embargo que la mensuración de la sanción está sujeta a revisión judicial en caso de ilegalidad, arbitrariedad o desproporción.
En primera instancia se puso de resalto que la graduación de la sanción es resorte primario del órgano administrativo y constituye una potestad discrecional de la autoridad de aplicación. Así las cosas, concluyó que debido a que el monto de la multa impuesta respetaba los límites legales impuestos, no podía ser considerada excesiva. La Sala III de la cámara llegó a las mismas conclusiones sin dar mucho fundamento de sus razonamientos.
Hoy en día esto no es un problema porque en Argentina los montos de las multas, como vimos en los puntos anteriores, son irrisorios. Pero la tendencia actual en la leyes de protección de datos personales modernas es a establecer montos de sanciones importantes. Tal el caso de la Unión Europea, como también en la región de Brasil, Colombia y Ecuador, por citar algunos ejemplos.
Frente a posibles multas tan altas, ¿cómo se controla su razonabilidad? Las empresa sancionada puede recurrir la multa excesiva atacando el acto administrativo por irrazonable (artículo 28, Constitución Nacional).
La Corte Suprema ha dicho que el hecho de que una autoridad administrativa cuente con facultades discrecionales para imponer sanciones no implica que las pueda ejercer en forma arbitraria. Entendemos que “la facultad de graduación de una multa entre el mínimo y el máximo previsto por ley no escapa al control de razonabilidad que corresponde al Poder Judicial respecto de la administración pública, incluso cuando se trata de facultades discrecionales. Ello, pues la discrecionalidad no implica en modo alguno una libertad de apreciación extralegal, que obste una revisión judicial de la proporción o ajuste de la alternativa punitiva elegida por la autoridad, respecto de las circunstancias comprobadas, de acuerdo a la finalidad de la ley”.
La doctrina ha sostenido que “[…] el vicio de un acto afectado por exceso de punición es determinante de su irrazonabilidad, y que esta se concreta en la falta de concordancia o proporción entre la pena aplicada y el comportamiento que motivó su aplicación. En otros términos, que la razonabilidad implica congruencia, adecuación de relación de medio a fin; el exceso identifica lo irrazonable e implica una violación del principio recogido en el artículo 7, inciso f, primer párrafo, in fine, de la LNPA, que expresamente establece que las medidas que el acto involucre deben ser proporcionalmente adecuadas a las finalidades que resulten de las normas que asignan las facultades pertinentes al órgano emisor del acto”.
Como dijimos más arriba, las nuevas normativas de datos personales establecen montos máximos muy altos, por ejemplo, el RGPD europeo tiene un tope de 20 millones de euros o un porcentaje de hasta 4% del producto de la empresa.
Los sistemas con montos tan altos a veces son cuestionados en su constitucionalidad. Sin embargo quienes estudiaron esta cuestión concluyeron que el sistema de imponer multas en proporción al ingreso del sancionado tiene validez legal si existe un techo, es decir un límite monetario máximo.
El monto máximo es un presupuesto para la validez de la pena. Imagine el lector una sanción de multa o incluso de pena de prisión que no tenga máximo alguno y quede sujeta a la entera discrecionalidad del juzgador. Al dotarla de un máximo, se limita la discrecionalidad y el infractor sabe a qué atenerse al momento de realizar el acto sancionado. Sirven de ejemplo los límites que tuvo que autoimponerse el regulador argentino (nos remitimos a lo explicado en los puntos anteriores) cuando comenzó a medir las infracciones en función de la cantidad de titulares afectados en hechos similares bajo la Ley N.º 25.326. En igual sentido, el daño punitivo en la LDC tiene límites legales impuestos expresamente por ley y los estándares iberoamericanos de protección de datos personales de la Red Iberoamericana de Protección de Datos (RIPD) claramente requieren un límite máximo a las sanciones administrativas.
Por otra parte, al ser montos tan altos, resulta necesario reglar detenidamente el proceso de imposición de la multa para no incurrir en arbitrariedades. Así, las agencias de datos personales han elaborado reglamentos que hacen alusión a la cantidad de los afectados, la severidad de la infracción, el tipo de datos, el beneficio económico para la empresa imputada, etcétera. Las ventajas de las multas pecuniarias basadas en el ingreso del sancionado es que parecen ser más eficaces para conminar el cumplimiento de la norma. A modo de ejemplo, en daños punitivos, cuya naturaleza punitiva es indiscutible, el elemento relativo a los ingresos del sancionado es siempre un factor a tener en cuenta.
Por otra parte, puede criticarse el hecho de que en casos idénticos, por la misma infracción, dos empresas de diferente tamaño pueden ser multadas con montos distintos sólo porque una gana más que la otra, aunque el daño ocasionado por ambas es igual. Podría criticarse también que el monto del ingreso total de una empresa no está relacionado con el producto que generó la infracción, sino con otra área del negocio que sí cumple con la Ley de Datos Personales. Esto llevó a que las agencias de protección de datos tuvieran que elaborar criterios previos para mensurar la sanción, como el caso de Alemania y de Francia.
El elevado monto de las multas en Europa ha llevado a varias agencias a dictar reglamentos para determinar cómo se impone la multa. Así lo han hecho, entre otros, Alemania, Países Bajos y Letonia. A partir de estas reglamentaciones, el organismo administrativo se sujeta a un sistema reglado de imposición de multas que les resta cierta discrecionalidad y da más certidumbre a los regulados.
Algunos fallos judiciales en la Unión Europa han revocado o anulado multas impuestas por agencias europeas en base a cuestiones procesales o de debido proceso legal. Sin embargo, un reciente estudio realizado por Future of Privacy Forum demuestra que las conclusiones de cada agencia son divergentes, lo cual impide un enforcement coherente dentro de la Union Europea, que es justamente uno de los objetivos del RGPD.
Es por esta razón que, en mayo de 2022, el Comité Europeo de Protección de Datos (European Data Protection Board, EDPB) presentó un borrador de nuevas directrices sobre el cálculo de multas administrativas, con el fin de armonizar la metodología utilizada por las autoridades de protección de datos ya elaboradas. Las directrices también incluyen “puntos de partida” armonizados para el cálculo de una multa. De este modo, se consideran tres elementos: la categorización de las infracciones por naturaleza, la gravedad de la infracción y el volumen de negocios de una empresa. El documento presentado por el EDPB tiene como objetivo un enfoque armonizado que refleje la gravedad de una infracción. Para que el lector tenga una idea de la complejidad del tema, las directrices tienen cuarenta páginas con explicaciones acerca de cómo fundar una multa en la UE. Analizar todos estos elementos escapa al objetivo de esta nota. A modo de resumen, explicamos que se planea adoptar un enfoque de cinco pasos para calcular una multa:
· establecer si hay una o varias infracciones;
· utilizar el método aprobado por el EDPB para evaluar un punto de partida para un cálculo posterior que refleje la gravedad de la infracción;
· considerar los factores agravantes o atenuantes que pueden aumentar o disminuir el monto de la multa, para lo cual el EDPB brinda una interpretación consistente.
· determinar cuál podría ser la multa máxima considerando los límites establecidos en el RGPD;
· analizar si el monto final calculado cumple con los requisitos de eficacia, disuasión y proporcionalidad, o si es necesario realizar ajustes adicionales al monto.
El EDPB considera que es justo tener en cuenta el tamaño de la empresa y su volumen de negocios para asegurarse de que la multa sea proporcionada. Los factores atenuantes incluyen, por ejemplo, el cumplimiento de los códigos de conducta o la buena cooperación con el regulador. En cuanto a las agravantes, se tendría en cuenta el beneficio económico de la infracción o de infracciones anteriores.
Siguiendo estas pautas internacionales, el proyecto de ley de reforma argentina de 2023 establece en su artículo 65:
Graduación. Las sanciones a las que se refiere el artículo 61 de la presente Ley deben ser graduadas, respetando el debido proceso legal y según las peculiaridades del caso específico, con atención a los siguientes criterios:
a. La naturaleza y dimensión del daño o peligro a los intereses jurídicos tutelados por la presente Ley;
b. El beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción;
c. La reincidencia en la comisión de la infracción;
d. La resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la Autoridad de Aplicación;
e. El incumplimiento de los requerimientos u órdenes impartidas por la Autoridad de Aplicación;
f. El reconocimiento o aceptación expresa que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar;
g. La condición económica del infractor;
h. La adopción demostrada de medidas correctivas y mecanismos y procedimientos internos tendientes al tratamiento seguro y adecuado de los datos y capaces de minimizar el daño;
i. La adopción de mecanismos de regulación vinculantes;
j. La proporcionalidad entre la gravedad de la falta y de la sanción;
k. La designación voluntaria de un Delegado de Protección de Datos;
l. La notificación oportuna de incidentes de seguridad;
ll. Otros que pueda considerar la Autoridad de Aplicación, según la naturaleza del caso.
En igual sentido, el proyecto de reforma de 2023 se alinea con esta tendencia al proponer en el artículo 79 in fine del proyecto lo siguiente:
Las multas se pueden establecer desde las cinco (5) unidades móviles, hasta un millón (1.000.000) de unidades móviles; o desde el dos por ciento (2 %), hasta el cuatro por ciento (4 %) de la facturación total anual global del infractor en el ejercicio financiero anterior a la aplicación de la sanción.
El hecho de tomar como pauta la “facturación total anual global del infractor” plantea un problema para las empresas argentinas con sucursales en el resto de América Latina. Podría darse el caso de una empresa argentina multada por cometer una infracción en Argentina, donde sus ingresos son bajos, pero que esta multa sea elevada porque se le suman los ingresos de Brasil, México y Colombia, que son parte de los ingresos globales pero que no tienen relación alguna con lo ocurrido en Argentina. En fin, la multa basada en el producto global de la empresa sancionada requiere “hilar fino” en los criterios a aplicar para las sanciones a los fines de evitar violaciones al derecho de propiedad y al debido proceso.
6. Conclusiones
El caso “Open Discovery” es la primera confirmación de una sanción impuesta por la agencia argentina de protección de datos personales. El caso demuestra que nos falta mucho camino por recorrer para mejorar el sistema de protección de datos personales de Argentina y hacerlo más eficiente en cuanto al efecto disuasorio que deben tener las sanciones.
Más allá de la consabida actualización al régimen a un estándar internacional como lo es el Reglamento Europeo de Protección de Datos Personales, hay cuestiones básicas, como tener un sistema con sanciones actualizadas, un sistema de revisión judicial acorde y mayor claridad en el régimen reglamentario de los informes comerciales.
El autor es abogado. Fuente: Protección de datos. Doctrina y jurisprudencia tomos 3 y 4, editada por Pablo A. Palazzi (2023). Protección de datos personales de salud (CDYT)
Reunión Informativa – Diplomatura Internacional en Protección de Datos Personales
03/26/2024 18:30
UdeSA Online
Organized by Centro de Estudios en Tecnología y Sociedad (CETyS)
Reunión Informativa – Diplomatura Internacional en Protección de Datos Personales
03/26/2024 18:30
UDESA ONLINE
Organized by Centro de Estudios en Tecnología y Sociedad (CETyS)
- Introducción de la protección de datos personales
- Derecho comparado: Convenio 108+ / GDPR / LGPD
- Institutos del régimen de datos personales
- Derechos de los interesados
- Protección de datos por industria
- Videovigilancia / IOT / IA & machine learning
- Estrategia e implementación de programas de privacidad
- Rol del DPO en la empresa
- Auditorías, monitoreo y métricas
- Gestión de incidentes.
La DPD es uno más de los programas de posgrado que dicta el Centro de Estudios en Tecnología y Sociedad (CETyS) de la Universidad de San Andrés, espacio académico interdisciplinario de investigación, formación y divulgación sobre las dinámicas y políticas centradas en internet y el ecosistema digital de América Latina.
Algunos de los profesores que serán parte del prgrama en su 2da.edición: Pablo Segura, María Pou, Paula Vargas, Ignacio Salguero, Marina Bericua y Lucas Tamagno, entre otros.
Además nos acompañarán profesores internacionales: Jonathan Mendoza Iserte, Jose Alejandro Bermudez, María Verónica Pérez Asinari, Miriam Wimmer, Nelson Remolina y Renato Gigena Leiva.
Invitamos a la próxima reunión informativa.
Fecha: martes 26 de marzo
Horario: 18:30 a 19:30
Modalidad: online
Los comentarios están cerrados, pero trackbacks Y pingbacks están abiertos.