La responsabilidad civil del responsable de tratamiento ante incidentes de seguridad de datos personales

Por Juan Agustín Otero

Fuente: https://dpicuantico.com/area_diario/doctrina-en-dos-paginas-diario-civil-y-obligaciones-nro-215-09-03-2020/

La ubicuidad de los datos personales en las actividades diarias de las personas hace cada vez más frecuentes, graves y notorios los incidentes de seguridad y las filtraciones de información privada. Cientos de aplicaciones móviles y plataformas web requieren acceso a nuestras imágenes, preferencias, geolocalización, contactos, intereses y otras categorías de información –sin dejar en claro, en muchas ocasiones, qué medidas de confidencialidad y seguridad se están implementando, ni quién es exactamente el o los sujetos responsables del servicio que está siendo prestado.

A pesar de la urgencia y la necesidad de regulación específica, ni el Código Civil y Comercial de la Nación (en adelante, “CCCN”) ni la Ley N° 25.326 de Protección de Datos Personales (en adelante, “LPDP”) precisan con exactitud qué régimen de responsabilidad civil resulta aplicable cuando nuestra información es divulgada, accedida o compartida indebidamente a partir de un incidente de seguridad. Tampoco la jurisprudencia local ha subsanado o siquiera discutido, por el momento, esta cuestión, hasta donde llega nuestra investigación. Es así que esta nota se propone explorar el derecho vigente para, en último término, mostrar la laguna legal y hacer una modesta propuesta de policy.

Para empezar, resulta necesario determinar qué es un incidente de seguridad en materia de datos personales. Este término no está definido en la legislación argentina ni tampoco en el Reglamento Europeo de Protección de Datos, que entró en vigor en el año 2018, respecto de la Unión Europea. Sin embargo, las normas ISO/IEC 27040 establecen que un incidente de seguridad de datos es “una vulneración de la seguridad que conduce a la destrucción, alteración, divulgación o acceso accidentales o ilegales de información confidencial que ha sido transmitida, almacenada o de cualquier otro modo procesada” (Definición 3.7)[1]. En materia de datos personales, debe precisarse que el incidente de seguridad no afecta cualquier tipo de información confidencial, sino más concretamente a aquella información confidencial “referida a personas físicas o de existencia ideal determinadas o determinables” (Artículo 2 de la LPDP). En consecuencia, resulta comprometida la privacidad de las personas humanas y jurídicas, con previsibles y no tan previsibles perjuicios para la reputación, el desarrollo profesional o giro de los negocios, la vida familiar e incluso la salud psicofísica.

Ahora bien, frente a un incidente de seguridad, el damnificado es capaz de reclamar el pago de los daños a personas distintas: por un lado, a la persona o grupo de personas que accedieron, adulteraron, destruyeron o bien divulgaron la información privada; por otro, a la persona o grupo de personas que trataban esa información y estaban encargadas de custodiarla. Esta nota explora el segundo caso y excluye el primero. 

La pregunta aquí es si el responsable de tratamiento puede liberarse de responsabilidad si acredita haber tomado recaudos suficientes para proteger los datos personales (responsabilidad subjetiva) o si, por el contrario, la acreditación de tales recaudos es completamente irrelevante y solo puede liberarse probando el caso fortuito (responsabilidad objetiva).

A este respecto, el Artículo 9 de la LPDP establece que “[e]l responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado”. El Artículo 10 de la LPDP agrega que “[e]l responsable y las personas que intervengan en cualquier fase del tratamiento de datos personales están obligados al secreto profesional respecto de los mismos. Tal obligación subsistirá aun después de finalizada su relación con el titular del archivo de datos”. Sin embargo, las normas citadas no aclaran si el estándar de responsabilidad civil es objetivo o bien subjetivo.

Por su parte, el Artículo 1770 del CCCN, intitulado “Protección de la vida privada”, sostiene que “[e]l que arbitrariamente se entromete en la vida ajena y publica retratos, difunde correspondencia, mortifica a otros en sus costumbres o sentimientos, o perturba de cualquier modo su intimidad, debe ser obligado a cesar en tales actividades, si antes no cesaron, y a pagar una indemnización que debe fijar el juez, de acuerdo con las circunstancias”. No obstante, este artículo no hace referencia alguna a la responsabilidad de la persona encargada de custodiar la información que fue filtrada.

Es así que nos encontramos, en principio, ante una laguna e insistimos en el fraseo “en principio” porque en muchos casos puede mediar entre el custodio de la información y el titular de los datos un contrato que establezca, por vía convencional, cuál es el régimen de responsabilidad aplicable. No obstante, dado que en muchos casos tal contrato no fijará reglas al respecto o bien dichas reglas podrán ser consideradas leoninas en el marco de un contrato de consumo, el problema jurídico planteado persiste.

Sin perjuicio de lo anterior, algunas voces de la doctrina han opinado que, por tratarse de una actividad riesgosa, la gestión de una base de datos se encuentra sujeta a un régimen de responsabilidad objetiva (Artículo 1757 del CCCN). Así lo sostuvo, por ejemplo, Mosset Iturraspe cuando sostuvo que “[d]ebe calificarse como riesgosa o peligrosa la actividad de registración de informaciones nominativas relativas a los orígenes raciales, opiniones políticas, filosóficas o religiosas, o relacionadas con la intimidad de las personas”.[2] De manera concordante, se pronunció Orzabal, sosteniendo que “[l]a manipulación de datos sensibles o nominativos que puede tener lugar en la base de datos, donde éstos se analizan, se combinan, se reagrupan, y se pueden distorsionar […] determina que esta actividad se deba catalogar como riesgosa”[3]. Pero ambas opiniones son previas a la LPDP y al actual CCCN.

Por otra parte, la Corte Suprema de Justicia de la Nación, en los casos «Rodriguez, Maria Belén c/ Google Inc. s/ daños y perjuicios» (2014)[4] y “Gimbutas, Carolina Valeria el Google Inc. s/ daños y perjuicios” (2017)[5] ha asignado a los motores de búsqueda –que son una especie particular de bases de datos– un régimen de responsabilidad subjetiva. Esto así a pesar de que resulta indubitable que la gestión de motores de búsqueda, por su funcionamiento automatizado, entraña un riesgo per se para los datos personales. Razón por la cual no es claro que, respecto del conjunto total de las bases de datos, si debe aplicarse un régimen de responsabilidad objetiva o subjetiva.

Por último, debe señalarse que en la actualidad hay dos normas de carácter general que podrían entrar en conflicto dentro del propio CCCN e inspirar interpretaciones contrapuestas sobre cuál es el régimen de responsabilidad ante un incidente de seguridad en materia de datos personales. 

Por un lado, el Artículo 1721 prescribe que “[e]n ausencia de normativa, el factor de atribución es la culpa”. Por otro, el Artículo 1723 establece que “[c]uando de las circunstancias de la obligación, o de lo convenido por las partes, surge que el deudor debe obtener un resultado determinado, su responsabilidad es objetiva”. Si bien nosotros consideramos que la obligación de seguridad no puede constituir, por defecto, una obligación de resultado, pues el resultado comprometido –proteger los datos personales de cualquier tipo de amenaza– puede ser, en ocasiones, de cumplimiento harto dificultoso o imposible, lo cierto es que el CCCN ofrece un margen discrecional a los jueces para decidir en una o en otra dirección. En tal sentido, opinamos que sería más adecuado que la ley indicase una única solución específica (de carácter supletorio).[6]

Así pues, analizados los antecedentes de derecho sobre el tema aquí discutido y teniendo en cuenta la posibilidad de que se modifique la LPDP, es que resulta pertinente formular una modesta recomendación de policy. Si bien el asunto es complejo y merecería un mayor análisis, a modo propedéutico, consideramos que, en materia de incidentes de seguridad, sería adecuado establecer un régimen de responsabilidad subjetiva, fundado en estándares preventivos mínimos, detallados y actualizables, semejantes a los plasmados en la actual Resolución AAIP N° 47/2018[7], e integrando la herramienta de la evaluación de impacto en datos personales[8]. Ello así no solo porque un régimen de responsabilidad objetiva podría, eventualmente, producir incentivos adversos o porque consideremos que la obligación comprometida es de medios y no de resultado, sino también porque estimamos conveniente especificar, en la medida de lo posible, qué es exactamente lo que un responsable de tratamiento debe hacer para cumplir y a qué estándares de diligencia debe atenerse.[9]

En futuros trabajos, esperamos poder expandir el asunto planteado aquí sintéticamente.

 

 

 

 

 

 

 

[1] Normas estandarizadas en materia de tecnología de la información y técnicas de seguridad, desarrolladas por la Organización Internacional de Normalización. La traducción es nuestra.

[2] Véase MOSSET ITURRASPE, J. y OTROS, Daños. Buenos Aires, Depalma, 1991. p. 66.

[3] Véase ORZABAL, J.C.,” Bases de datos, privacidad y responsabilidad civil”, en Revista iberoamericana de derecho informático (pp. 137-144), p. 141.

[4] Véanse Fallos: 337:1174.

[5] Véanse Fallos: 340:1236.

[6] Agradecemos a Federico Carestia, quien leyó un primer borrador del artículo e indicó el posible conflicto entre las normas citadas del CCCN.

[7] Véanse los Anexos I y II de la mentada Resolución que contienen medidas de seguridad recomendadas para el tratamiento y conservación de los datos personales en medios informatizados y no informatizados.

[8] Actualmente, no existe una norma local que establezca la obligación específica de realizar una evaluación de impacto en de datos personales, aunque las autoridades de protección de datos argentina y uruguaya han publicado, conjuntamente, una Guía de Evaluación de Impacto en la Protección de Datos en enero del 2020. Una evaluación de impacto en esta materia, cabe aclarar, es un procedimiento preventivo que tiene como finalidad mitigar y gestionar los riegos de que los datos tratados sean de algún modo lesionados, afectando derechos subjetivos de sus titulares.

[9] A diferencia de la obligación de custodiar un bien físico, no es evidente qué es lo que un responsable de tratamiento debe hacer materialmente para cuidar los datos personales de terceros. Esa inseguridad jurídica podría resultar perniciosa para todas las partes involucradas.