28 de March de 2025
Edición 7181
Próxima Actualización: 31/03/2025
Con motivo del incidente de seguridad que había trascendido en octubre de 2021 y que habría afectado a los sistemas del RENAPER, Pablo Palazzi, uno de los referentes argentinos en materia de privacidad, promovió un habeas data contra el Registro Nacional de las Personas solicitando que se le brinde acceso a los datos personales que en relación a su persona estaban en la base de datos del organismo,
Según informó en su presentación, en diferentes sitios de internet y redes sociales se comentaba de la existencia de hackers que ofrecían a la venta la información de millones de argentinos, proveniente de esa base de datos vulnerada, lo que implicaría una afectación de los arts. 9 y 10 de la Ley 25.326, en cuanto a las obligaciones de seguridad informática y confidencialidad de Estado Nacional, manifestó su preocupación en torno al uso que podría darse a esos datos para actividades ilegales como estafas, extorsiones o robo de identidad.
Por lo cual, tras requerir al RENAPER una serie de informes fundado en los arts. 18, 19 y 43 CN, Ley 25.326 y el Convenio N° 108 aprobado por Ley 27.483 (Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de datos de carácter personal) sin obtener respuestas es que decidió accionar judicialmente.
“La información relativa a la finalidad y seguridad de los datos y al deber de confidencialidad, pueden ser calificadas como datos personales en los términos del artículo 43 de la Constitución Nacional”, ya que “la concepción restrictiva para la procedencia de la acción de habeas data, fue abandonada por la jurisprudencia en favor de una tutela considerablemente más amplia”
Así se dio apertura al expediente “Palazzi, Pablo c/ En-Registro Nacional De Las Personas s/ Habeas Data”, donde la demandada contestó el informe de ley y pidió el rechazo de la acción, explicando que el incidente se generó cuando un usuario de la red social Twitter (hoy X), publicó capturas de pantalla de 44 individuos entre los que no estaba el actor y que tras una investigación se identificó que no hubo hackeo sino que correspondió al uso indebido de la base de datos por parte de un usuario autorizado para su ingreso a través de un certificado habilitado del Ministerio de Salud de la Nación, lo que derivó en una denuncia penal.
A su vez, acompañó los datos del actor y aseguró que se habían adoptado “todas las medidas de seguridad y confidencialidad que exige la Ley” y no siendo el actor uno de los afectados, peticionaban se declare abstracta la cuestión.
En primer término, el Juzgado Contencioso Administrativo Federal N° 4 rechazó la acción porque los datos personales requeridos mediante la acción de habeas datas fueron acompañados y lo referente a la gestión de datos, medidas de seguridad, cesión a terceros, medidas de seguridad para paliar los efectos de ataques cibernéticos, posibles incidentes y sus consecuencias excedían el marco de conocimiento de la acción, por lo cual incluso le impuso costas.
Resaltaron los magistrados que en el precedente 321:2767, el juez Petracchi se refirió al concepto de “autodeterminación informativa”, reconocido actualmente como “el bien jurídico tutelado por medio de la acción de habeas data” y que eran los ciudadanos los que “deben decidir sobre la cesión y uso de los datos personales”
La decisión fue apelada por el letrado, que llevó el caso a la Sala V de la Cámara Contencioso Administrativo Federal donde se agravió de que la información brindada sobre sus datos (media página) era parcial e insuficiente, incumpliéndose con el art. 15 de la Ley 25.326.
También cuestionó que no se diera respuesta sobre “qué medidas de seguridad había adoptado el RENAPER para proteger los datos personales del actor que obraban en las bases de dicho organismo”, lo cual no era ajeno a la acción, ya que se vinculaba a sus datos y al cumplimiento de los objetivos de la Ley 25.326.
Finalmente, también se quejó de que no se resuelva lo solicitado en la ampliación de la demanda, dado que la repuesta de la demandada daba cuenta de un incumplimiento del art. 9 de la Ley 25.326 “según el cual quedaba prohibido registrar datos personales en archivos, registros o bancos que no reunieran condiciones técnicas de integridad y seguridad”.
El actor inlcuso señaló con posterioridad que se hablaba de una nueva filtración de datos en las bases del RENAPER, tras lo cual el Ministerio del Interior aclaró que se trataba de la misma del año 2021, por lo cual se reconocía la existencia del incidente y que se adoptaron nuevas medidas sobre los datos resguardados que no le habían sido informadas.
… “Se trata de un derecho autónomo que sirve, a su vez, de garantía de otros derechos, como los concernientes a la privacidad, a la honra, a la salvaguarda de la reputación y en general, a la dignidad de la persona”, incorporando “dentro de su contenido esencial, el derecho a acceder y controlar los datos de carácter personal en poder de todo órgano público o bases de datos a cargo de particulares”
Para los camaristas Jorge Alemany, Guillermo Fabio Treacy y Pablo Gallegos Fedriani, “la información relativa a la finalidad y seguridad de los datos y al deber de confidencialidad, pueden ser calificadas como datos personales en los términos del artículo 43 de la Constitución Nacional”, ya que “la concepción restrictiva para la procedencia de la acción de habeas data, fue abandonada por la jurisprudencia en favor de una tutela considerablemente más amplia”, por lo cual los agravios eran admisibles.
En este sentido, decidieron hacer lugar parcialmente al recurso de apelación interpuesto por el actor y revocar la sentencia de primera instancia, ordenando al RENAPER a que en un plazo de 15 días conteste lo requerido por la actora y le impuso las costas de ambas instancias.
Los jueces invocaron al fallo “Urteaga” de la Corte Suprema de Justicia, donde el juez Petracchi se refirió al concepto de “autodeterminación informativa”, reconocido actualmente como “el bien jurídico tutelado por medio de la acción de habeas data” y que eran los ciudadanos los que “deben decidir sobre la cesión y uso de los datos personales”, ya que si no tuviera la información sobre que datos de él se han obtenido y como, “ya no podrá participar en la vida pública sin miedo”.
“La Corte Interamericana de Derechos Humanos indicó que el derecho a la “autodeterminación informativa” encuentra acogido en el contenido tutelar de la Convención Americana sobre Derechos Humanos, en particular a partir de los derechos a la protección de la honra y de acceso a la información que reconocen, respectivamente, los artículos 11 y 13 y en la dimensión de su protección jurisdiccional, en el derecho que garantiza el artículo 25”, agregaron los camaristas.
Sobre este último punto, expresaron que “se trata de un derecho autónomo que sirve, a su vez, de garantía de otros derechos, como los concernientes a la privacidad, a la honra, a la salvaguarda de la reputación y en general, a la dignidad de la persona”, incorporando “dentro de su contenido esencial, el derecho a acceder y controlar los datos de carácter personal en poder de todo órgano público o bases de datos a cargo de particulares” como surgía del caso “Miembros de la Corporación Colectivo de Abogados José Alvear Restrepo vs. Colombia”.
