Autor: Monzón, José M.
Fecha: 01-06-2026
Colección: Doctrina
Cita: MJ-DOC-18823-AR||MJD18823
Voces: HABEAS DATA – CONSTITUCIÓN NACIONAL – INCONSTITUCIONALIDAD – LEY DE PROTECCIÓN DE DATOS PERSONALES – BASES DE DATOS PERSONALES – ANSES
Sumario:
I. Las consecuencias del salto tecnológico. II. Garantizando ¿sólo? la intimidad en el contexto tecnológico actual. III. Libertad informática y derecho de oposición al uso no consentido de los datos personales y sensibles. IV. A vueltas con la Ley 25.326 de Protección de los Datos Personales.
Doctrina:
Por José M. Monzón (*)
Nota al fallo «Torres Abad, Carmen c/EN – JGM s/hábeas data» del 30/4/2026.
Resumen: La cuestión si los datos personales aportados a la ANSeS pueden ser compartidos por otros organismos estatales sin consentimiento de los interesados es una controversia de trascendencia constitucional, pues la interpretación que hace la administración pública extendiendo el uso de las excepciones previstas en la ley -como dice la Corte- hace que la libertad informática de los usuarios quede vulnerada. Por eso, si se aceptase esa conducta de los entes estatales éstos estarían exentos, virtualmente en todos los casos, de cumplir con la exigencia del consentimiento, finaliza la Corte. De ahí la necesidad de sostener -considerando las cuestiones constitucionales implicadas- el derecho a la libertad informática.
I. LAS CONSECUENCIAS DEL SALTO TECNOLÓGICO
En un libro escrito hace cuarenta años ROSZAK expuso una consideración que, a la luz, de lo sustentado por la Corte conviene repasar porque contextualiza la decisión judicial. Allí ROSZAK escribió que «la necesidad de datos es inherente actividades tales como la banca, los seguros, el corretaje y la administración pública» siendo el gobierno «con mucho, el cliente más rico y mejor dispuesto de la industria de la información, toda vez que sigue siendo el que retiene el mayor número de datos». Pero el problema o conjunto de problemas que se pueden generar derivan de la relación que se establece entre sus organismos, la posibilidad de conexiones múltiples, y la creación de redes que «permiten, incluso fomentan, la utilización de ‘programas parejos’» capaces de relacionar información. Sin quitar el hecho de que junto con la expansión de las redes y las conexiones múltiples crece la vulnerabilidad, lo que afecta a la guarda de los datos personales provistos por los usuarios, especialmente, a aquellos que inciden en su derecho a la intimidad, y con ella, a su libertad.
Como opinará posteriormente CASTELLS:«Internet es ya y será aún más el medio de comunicación y de relación esencial sobre el que se basa una nueva forma de sociedad que ya vivimos, que es lo que yo llamo la sociedad red», un ecosistema que se encuentra en un terreno donde proliferan amenazas e inseguridades propiciado por la digitalización de toda, o una parte importante de las interacciones sociales. La conectividad a la red global de los servicios abre una ventana para que diversos actores, con diferentes niveles y capacidades de acceso, vulneren, exploten o expongan los sistemas, las herramientas y las aplicaciones informáticas de los servicios, afectando los principios que se establecen y las condiciones que permiten una buena gobernanza.
Un hecho clave porque cuando el Estado solicita datos a los ciudadanos para una mejor gobernanza éstos deben preguntarse -o al menos dudar- si aquél puede asegurar que los datos no puedan ser vulnerados, explotados o expuestos a actores diferentes a los organismos estatales o a otros organismos dentro de la propia administración pública, que es, lo que cabe tener en cuenta, cuando, como en este caso, se proporcionaron datos a la ANSeS, pues como sostiene el Tribunal Constitucional español en Sentencia 292/2000, de 30/11/2000 en II.4.
Sin necesidad de exponer con detalle las amplias posibilidades que la informática ofrece tanto para recoger como para comunicar datos personales ni los indudables riesgos que ello puede entrañar, dado que una persona puede ignorar no sólo cuáles son los datos que le conciernen que se hallan recogidos en un fichero sino también si han sido trasladados a otro y con qué finalidad, es suficiente indicar ambos extremos para comprender que el derecho fundamental a la intimidad (art. 18.1 C.E.) no aporte por sí sólo una protección suficiente frente a esta nueva realidad derivada del progreso tecnológico.Entonces tenemos que los datos personales que solicita el Estado, en principio, deben ser necesarios, porque, desde una perspectiva positiva, «La digitalización de portales para la solicitud de información pública, como también la digitalización de los datos que los gobiernos recopilan, favorecen la variable de gobernanza de transparencia, y con eso la rendición de cuentas»; aunque también corresponde advertir que, desde un punto de vista negativo, la información provista aunque debe ser cuidadosamente resguardada, la realidad muestra que ello no siempre es posible.
Si bien, la digitalización de procesos administrativos ayuda al desempeño de las tareas propias de la burocracia estatal, también genera mayores problemas de seguridad, que los habituales por el nivel de hiperconectividad existente, lo que aumentan los riesgos y las amenazas para los particulares y las organizaciones en el ecosistema, ejemplo de lo cual son los casos de ransomware que, por citar un caso, en México afectó desde la interrupción de servicios críticos hasta la pérdida de datos sensibles pasando por la extorsión financiera con resultados que pueden ser desastrosos y de largo alcance. Si esto sucede es porque el usuario crea un perfil y con éste un mapa de las interacciones en las cuales se inserta voluntaria u obligatoriamente, sin notar los peligros que conlleva el uso imprudente de las redes.
En consecuencia, considerada esta problemática, nota ARELLANO LÓPEZ, se promulgaron «las primeras leyes de protección de datos personales», porque cobra vital importancia el fenómeno del tratamiento de Datos Personales, sobre todo a través del Big Data, que supone la gestión y tratamiento de inmensas cantidades de datos personales que, si bien es cierto, puede brindar grandes ventajas y beneficios a las organizaciones públicas, las privadas y a la sociedad en general, también puede conllevar ciertos riesgos en materia de privacidad.
Es lo señala la Corte (ROSATTI, LORENZETTI, BEJAS -conjuez-) en el Consid.6 diciendo que el núcleo de la controversia consiste en dilucidar si el ordenamiento jurídico vigente permitía que la ANSeS cediera a otra dependencia estatal los datos que la actora le había proporcionado al solo efecto de tramitar su beneficio previsional -número de teléfono y dirección de correo electrónico-, sin obtener previamente su anuencia.
A tales efectos, resulta imprescindible interpretar el alcance de las normas constitucionales y legales que garantizan el derecho a la privacidad y a la protección de los datos personales. Entre ellas, corresponde específicamente examinar la ley 25.326 que, según la recurrente, la dispensaba de recabar el consentimiento de la actora cuando la cesión se produjera entre organismos estatales en ejercicio de sus respectivas competencias.
Por consiguiente, queda claro que el litigio pasa por esclarecer si la ANSeS puede ceder a otra dependencia estatal los datos que la actora proporcionó con la finalidad de tramitar su beneficio previsional (número de teléfono y correo electrónico) sin obtener previamente su consentimiento, lo que también implica -de acuerdo a la Corte- un examen de cómo se redactó la Ley 25.326 de Protección de los Datos Personales, sobre todo, considerando las condiciones dinámicas en las cuales se desenvuelve el almacenamiento de datos nivel, su uso y su cesión en determinados casos, aparte de la hiperconectividad existente, y las amenazas que pesan en el ciberespacio.
II. GARANTIZANDO ¿SÓLO? LA INTIMIDAD EN EL CONTEXTO TECNOLÓGICO ACTUAL
Una cuestión clave con relación a este punto es lo que la Corte sostiene en el Consid. 8 cuando escribe que:«Según surge de los debates de la Convención Constituyente (.) la acción conocida como habeas data» tiene «como objetivo garantizar la intimidad de las personas frente al avance de la tecnología en materia de recopilación, almacenamiento y procesamiento de datos», agregando que su fundamento reside en el reconocimiento del derecho conocido como de «autodeterminación informativa» o «libertad informática», según el cual toda persona tiene la potestad de disponer sobre los datos que a ella se refieran, decidir con quién y con qué alcance quiere compartirlos y, en su caso, controlar el uso que los terceros hagan de ellos.
De la cita es posible extraer dos cuestiones jurídicas relevantes: por un lado, el derecho a la autodeterminación informativa o libertad informática, por otro, el derecho de toda persona a disponer de los datos que a ella se refieran. En este acápite trataremos primeramente el derecho a la autodeterminación informativa, para seguidamente examinar el derecho a disponer de los datos personales.
En primer lugar, con relación a la autodeterminación informativa cabe decir que ésta es «un derecho fundamental cuyo contenido jurídico está formado por los diferentes instrumentos que integran la protección de los datos personales y que posee un núcleo o reducto indisponible incluso para el legislador, como sucede con todos los derechos fundamentales». Entre sus elementos figura «ante todo (.) la exigencia del consentimiento informado del afectado como regla que ha de observarse antes de proceder a un tratamiento de este tipo de datos.Consentimiento que solamente puede ser obviado cuando la ley así lo permita», al que se añaden «los correlativos deberes de quienes los acopian, tratan, transmiten, conservan o utilizan de cualquier manera», en particular, los «datos que por su naturaleza particularmente sensible reciben una protección especial». Esto nos lleva a referirnos al tema de los datos sensibles -tales como la salud, la afiliación política o las creencias- ya que los datos -tanto sensibles como personales- al adquirir valor económico o para la formulación de políticas públicas existe el riesgo de que, a partir de ese cúmulo informativo, se elaboren o construyan perfiles de nuestra personalidad en función de los cuales se tomen decisiones sobre nuestros derechos y expectativas, por ejemplo, a la hora de conseguir una vivienda en alquiler, obtener un crédito bancario o una simple tarjeta de crédito o a spirar a un puesto de trabajo.
De ahí que corresponda advertir que la preservación de datos es una tarea compleja por cuanto si bien el Estado cuenta con mayores herramientas de protección que las que tiene un particular, eso no impide la intrusión de terceros, como se observó con el ejemplo de México. Pero además importa tener en cuenta que «la intimidad como una disciplina jurídica ha perdido su carácter exclusivo individual y privado, para asumir progresivamente una significación pública y colectiva, consecuencia del cauce tecnológico». Esto lleva a que el Tribunal Constitucional español sostenga que «la singularidad del derecho a la protección de datos» sea más amplio que el del derecho a la intimidad, ya que el derecho fundamental a la protección de datos extiende su garantía no sólo a la intimidad en su dimensión constitucionalmente protegida por el art.18.1 C.E., sino a lo que en ocasiones este Tribunal ha definido en términos más amplios como esfera de los bienes de la personalidad que pertenecen al ámbito de la vida privada, inextricablemente unidos al respeto de la dignidad personal (II.6).
En tal sentido, la Corte en el Consid. 9 destaca la importancia de la libertad informática como una regla indispensable para que el titular de los datos pueda realizar un verdadero control, efectivo y significativo, del uso que los terceros hagan de ellos. Si se autorizara a organizar un tráfico de datos personales sin el conocimiento y consentimiento de los interesados, el ejercicio del derecho se transformaría en una ardua tarea, muchas veces imposible. Es que los titulares de los datos se verían obligados a rastrear en los innumerables archivos y bancos de datos si existe información registrada sobre su persona, quién la posee, qué uso se le dio y con quiénes fue compartida.Sin embargo, en un contexto más amplio conviene notar que la libertad informática quedó vulnerada con el manejo del Covid-19 ya que al haberse digitalizado un gran número de servicios, donde obligó a un gran sector de la población que no tenía como práctica utilizar los servicios online a adaptarse a una nueva realidad con todas las consecuencias que ello conlleva, así como también con los amplios beneficios para quienes recaban datos personales de la navegación y consumo en Internet, lo que ha permitido la proliferación de perfilación de usuarios, robos y tráfico de bases de datos, entre otro tipo de conductas que deberán ser atendidas a la mayor brevedad (.).
Este hecho muestra las dificultades que existen para preservar la información que se brinda -sea voluntaria u obligatoriamente- al Estado o a organizaciones privadas en el ciberespacio.
Segundo, con relación al derecho a disponer de los datos personales importa subrayar un elemento de análisis que sobresale por sobre otros.
El nivel de desconfianza que aplicamos en el conjunto de nuestras acciones profesionales y relaciones personales en el mundo físico disminuye considerablemente cuando estas tienen lugar en el ciberespacio o Internet. La falsa sensación de seguridad que podemos tener cuando estamos sentados en nuestra casa o en nuestro puesto de trabajo es un factor clave a la hora de bajar ese nivel de alerta y desconfianza cuando estamos conectados en el ciberespacio.
Lo expuesto expone un hecho significativo: la combinación que se manifiesta entre la falsa seguridad que asumen las personas y las dificultades que tiene el Estado para preservar los datos que solicita y almacena, sobre todo, cuando esos datos se deben compartir en función de la gobernanza.Por eso, la Corte recuerda que la ley 25.326 habilitaba a la ANSeS a ceder el número de teléfono y la dirección de correo electrónico de la actora, sin su conocimiento (.) Ello se debe a que los datos fueron recabados por el organismo previsional para el ejercicio de funciones propias del Estado; la transferencia fue realizada en forma directa entre dos entes estatales; y ambos organismos actuaron dentro del ámbito de sus respectivas competencias.
Empero, la Corte observa en el Consid. 14 que las excepciones previstas en los preceptos en los que pretende ampararse la conducta de la recurrente resultan inconstitucionales, por limitar excesiva e injustificadamente los derechos a la privacidad y a la autodeterminación informativa, garantizados en los artículos 19 y 43, párrafo tercero, de la Carta Magna.
Agregando seguidamente en el Consid. 15 que el tipo de datos sobre los cuales se generó esta controversia -número de teléfono y dirección de correo electrónico- conllevan un riesgo adicional, que tiene que ver con una dimensión de la privacidad que también está incluida dentro de la protección constitucional: el derecho de toda persona a disfrutar de su soledad y de su tranquilidad, sin ser perturbada por intromisiones externas injustificadas, también conocido como el «derecho a ser dejado a solas» -«the right to be left alone»- (confr. voto del juez Petracchi en la causa «Ponzetti de Balbín», o derecho «a ser dejado en paz»).
De modo similar el Tribunal Constitucional en el fallo ya citado dice en II.6 que el derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos. Esta garantía impone a los poderes públicos la prohibición de que se conviertan en fuentes de esa información sin las debidas garantías; y también el deber de prevenir los riesgos que puedan derivarse del acceso o divulgación indebidas de dicha información.Pero ese poder de disposición sobre los propios datos personales nada vale si el afectado desconoce qué datos son los que se poseen por terceros, quiénes los poseen, y con qué fin.
Esto nos lleva a distinguir un punto que la Corte resalta: el consentimiento. Porque del texto legal surge que los entes estatales estarían exentos, virtualmente en todos los casos, de cumplir con la exigencia del consentimiento. Aunque la norma parece delimitar la dispensa con la condición de que los órganos deben actuar en ejercicio de funciones propias del Estado y «en la medida del cumplimiento de sus respectivas competencias», simplemente no es posible imaginar en qué casos no lo harían; puesto que es sabido que la competencia opera como presupuesto y recaudo de validez de la actuación de los órganos administrativos, que solo tienen autorización para obrar en un determinado ámbito, que debe surgir de una norma en forma expresa o razonablemente implícita (Fallos: 254:56; 307:198; 328:651, voto del juez Belluscio; 331:1382).
Empero, en el marco actual tecnológico -como ya observamos precedentemente- es un hecho que las personas se han acostumbrado a dar su consentimiento por medio de un clic, sin, muchas veces, medir las consecuencias jurídicas de su decisión. En este sentido, se observa que «como norma general, los individuos no están dispuestos a dedicar su tiempo a leer con atención cada aviso relativo a la protección de datos y suelen aceptar las condiciones de acceso». Con base en esto, podemos preguntarnos si la Ley 25.326 de Protección de los Datos Personales es una norma jurídica adecuada a las necesidades actuales del desarrollo tecnológico, y a la conducta usual de los usuarios.
III.LIBERTAD INFORMÁTICA Y DERECHO DE OPOSICIÓN AL USO NO CONSENTIDO DE LOS DATOS PERSONALES Y SENSIBLES
A fin de comenzar este tema conviene repasar un tema expuesto por VILLALBA FIALLOS el análisis jurídico correcto para determinar la violación del derecho a la intimidad a nivel general, tanto dentro del ámbito público como privado, subyace en la determinación de aquella ausencia de un consentimiento válido para acceder a la información o del consentimiento para utilizarla de manera específica, en tanto y en cuanto la acción relevante será la forma de obtención de dicha información, debiendo determinar si esta fue entregada de forma legítima (autorización) y sin embargo fue utilizada para un fin distinto para el que fue otorgada, o no; o si simplemente la ausencia de la respectiva autorización es latente, partiendo de esta base podemos enfocarnos en la existencia de la posible lesión del derecho a la intimidad.
Aquí nos encontramos con dos cuestiones que se encuentran relacionadas: por un lado, el problema de la ausencia de un consentimiento válido para acceder y compartir la información y el de su uso para un fin diferente al previsto en la ley. Esto muestra que estamos ante dos problemas acerca de los cuales cabe preguntarse si la ley los contempla. Con referencia a esto conviene repasar lo que la Corte opina en el Consid. 9 tal como surge de los considerandos precedentes, la regla que exige el consentimiento del afectado para acceder a cualquier aspecto de su esfera íntima tiene rango constitucional, pues surge de la propia definición de los derechos garantizados por los artículos 19 y 43, tercer párrafo, de la Ley Fundamental.
En lo específicamente relacionado con la libertad informática, dicha regla resulta, además, indispensable para que el titular de los datos pueda realizar un verdadero control, efectivo y significativo, del uso que los terceros hagan de ellos.Si se autorizara a organizar un tráfico de datos personales sin el conocimiento y consentimiento de los interesados, el ejercicio del derecho se transformaría en una ardua tarea, muchas veces imposible (.) sin la regla del consentimiento del afectado para el tratamiento de datos personales, la protección constitucional se vería seriamente mermada, con el riesgo de convertirse en una mera declamación de derechos imposible de hacer valer.
Y prosigue diciendo en el Consid. 10 que esta regla del consentimiento puede tener excepciones, que es el problema central del litigio, por cuanto se discute la constitucionalidad de la reglamentación legislativa. Con base en esta apreciación es necesario preguntarse si el consentimiento otorgado ¿es general o cualificado? La respuesta que se brinde nos dirá si la usuaria autorizó o no el flujo de datos, una cuestión que no se trata, y es elemento de análisis importante.
Ahora bien, acerca de este punto interesa indagar en cómo actúa realmente la administración pública, es decir, conocer cuáles son sus prácticas cotidianas de trabajo. Es lo que la Corte en el Consid. 14, de alguna manera, atiende al sostener que debido a la amplitud con que la ley 25.326 diseñó las excepciones bajo examen, los entes estatales estarían exentos, virtualmente en todos los casos, de cumplir con la exigencia del consentimiento. Aunque la norma parece delimitar la dispensa con la condición de que los órganos deben actuar en ejercicio de funciones propias del Estado y «en la medida del cumplimiento de sus respectivas competencias», simplemente no es posible imaginar en qué casos no lo harían; puesto que es sabido que la competencia opera como presupuesto y recaudo de validez de la actuación de los órganos administrativos, que solo tienen autorización para obrar en un determinado ámbito, que debe surgir de una norma en forma expresa o razonablemente implícita (Fallos: 254:56; 307:198; 328:651, voto del juez Belluscio; 331:1382).
Pero si queremos comprender la relevancia del conflicto conviene referirse a un asunto que no aparece en la sentencia:el denominado derecho de oposición al uso desviado de los datos de carácter personal. Al respecto se sostiene que existe «una progresiva e instaurada regla general sobre el uso de sistemas automatizados de toma de decisiones que pueden afectar de manera radical la vida de las personas». Esto se aclara cuando se distingue entre los sistemas de tomas de decisiones automatizados en los cuales la decisión final la tiene una persona, de aquellos en los cuales las decisiones se toman sin intervención de personas, «en el primer caso, también llamado ‘semiautomatizado’, existe una tendencia comprobada: las personas confían más en el juicio de un algoritmo que en el propio cuando estos juicios están en contradicción». Esto permite destacar un asunto conexo de no menor importancia respecto de sistemas de IA utilizados en políticas públicas, la transparencia desde el punto de vista social se traduce en parte en contar además de información técnica, con información política y social sobre los diseñadores y tomadores de decisiones, sobre la elección de determinados datos, características, modelos, qué tipo de patrones busca, por qué a unas personas sí y otras no, o por qué se dirige a determinado grupo o ámbito geográfico, etc.
En consecuencia, como se deduce de estas citas, si, por un lado, las obligaciones del Estado respecto de los datos almacenados son mayores a los que la legislación prevé; por otro, la actuación estatal sigue trabajando sobre la base de un consentimiento extenso y supuesto, violando la confianza que aún tienen las personas en aquélla, por cuanto, el Estado se olvida que «debe cohonestarse especialmente el principio de licitud con el principio de lealtad. Y el órgano administrativo debe estar facultado expresamente para el desarrollo de dicho tratamiento», una cuestión que no escapa a la Corte al señalar en el Consid.12 que de una interpretación literal de dichos preceptos surge que el único requisito que se exige para autorizar una cesión de datos entre organismos estatales -sin el consentimiento de su titular- es que ambos actúen dentro del ejercicio de su competencia legal. Nada hay en el texto de esos preceptos ni en el resto de los artículos de la ley que permita leer las excepciones de un modo más restrictivo. Añadir un nuevo recaudo (.) equivaldría a prescindir abiertamente de su texto, lo que implicaría una ilegítima extralimitación en el ejercicio de la función judicial.
Y seguidamente expone un hecho que merece atención en el Consid. 14 al sostener que, en definitiva, dada la generalidad con la que han sido establecidas tales excepciones, toda la actividad estatal resulta incluida en ellas, lo que implica eliminar la regla del consentimiento en un inmenso universo de situaciones; mermando seriamente, de ese modo, el alcance de la protección constitucional.
Sin perjuicio de que lo expuesto bastaría para concluir en que el legislador se ha excedido en su potestad reglamentaria, cabe agregar que los preceptos en examen tampoco cumplen con el requisito de ser razonables.
En tal sentido recuerda que ha precisado que la razonabilidad exige que la reglamentación esté «justificada por los hechos y las circunstancias que le han dado origen y por la necesidad de salvaguardar el interés público comprometido y proporcionado a los fines que se procura alcanzar, de tal modo de coordinar el interés privado con el público y los derechos individuales con el de la sociedad» (Fallos: 312:496, considerando 7° y sus citas).
Por eso, hay que estar prevenidos frente al uso de grandes bases de datos.De ahí la necesidad de hacer prevalecer el principio de lealtad ya que exige que la administración tenga garantías adecuadas para aplicar los principios de limitación de la finalidad y de conservación de los datos, de exactitud y de transparencia en sus distintas vertientes (deber de informar, derecho de acceso, registro de actividades del tratamiento, etc.).
Una cuestión que quedó resaltada en el Tribunal de Distrito de La Haya -Equipo comercial- C/09/550982/HAZA 18-388, Sentencia de 5/2/2020, en el cual éste dice, citando el Reglamento General de Protección de Datos de la Unión Europea cuyos principios son: transparencia, limitación de la finalidad, minimización de datos, exactitud, integridad y confidencialidad, y responsabilidad.
6.31. El principio de transparencia exige información accesible y comprensible, comunicación en lenguaje sencillo y la información proporcionada a los interesados sobre la identidad del responsable del tratamiento y las finalidades del mismo. Además, este principio exige que se facilite activamente información adicional para garantizar un tratamiento de datos justo y transparente, y que las personas físicas conozcan los riesgos, las normas, las garantías y los derechos relacionados con el tratamiento de datos personales, así como la forma de ejercerlos.
6.32.El principio de limitación de la finalidad significa que los datos personales deben recopilarse para fines específicos, definidos explícitamente y legítimos, y que posteriormente no pueden ser tratados de una manera incompatible con dichos fines.
En igual sentido, el Tribunal Constitucional español en II.7 habla de un derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos.
En consecuencia, el cuidado debe ser mayor cuando se comparten los datos de los usuarios como sucede entre organismos estatales, en especial, cuando la ley está redactada de manera defectuosa, quizás para ampliar los poderes del Estado más allá de lo prudencial con fines distintos a los previstos en la ley. Por consiguiente, como la Corte anota en el Consid. 10 con particular referencia al derecho garantizado por el artículo 19 de la Constitución, esta Corte sostuvo que podía ser objeto de restricciones, siempre y cuando fueran dispuestas por una ley formal y estuvieran fundadas en la necesidad de proteger «un interés superior en resguardo de la libertad de los otros, la defensa de la sociedad, las buenas costumbres o la persecución del crimen» (Fallos: 306:1892; 329:5266; 335:799, voto de los jueces Highton de Nolasco y Maqueda; 335:888 y 343:2211).
Sin embargo, también corresponde mencionar un dato de no menor importancia:el funcionamiento cotidiano de las administraciones públicas modernas, si bien la regulación que se efectúe del uso de sistemas de inteligencia artificial en la adopción de decisiones que afectan a derechos e intereses de los ciudadanos debe realizarse con las precauciones debidas, prohibir de forma generalizada su empleo por el mero hecho de tratarse de una decisión discrecional podría conllevar la pérdida de las ventajas que ofrece esta tecnología y que podría servir a objetivos de eficiencia y objetividad en la toma de decisiones jurídico-administrativas por parte de los poderes públicos.
Y es con base en esto que cabe hablar del derecho «a ser informado de quién posee sus datos personales y con qué fin, y el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos», sostiene el Tribunal Constitucional español. Así lo entiende la Corte al decir en el Consid. 16 que, como corolario de los argumentos desarrollados en los considerandos precedentes, la declaración de inconstitucionalidad de los artículos 5°, punto 2, inciso b, y 11, punto 3, incisos b y c, de la ley 25.326 deviene ineludible, pues constituye el único medio posible para salvaguardar la vigencia de la Constitución Nacional (arg. Fallos: 316:779, considerandos 7° y 11). Ello es así, incluso cuando las partes no han realizado un pedido en tal sentido, pues la actual jurisprudencia de la Corte prescribe que el control de constitucionalidad de las normas debe realizarse de oficio, siempre y cuando se respete el principio de congruencia, es decir, que los jueces ciñan su decisión a los hechos y planteos definidos al trabarse la litis (Fallos: 335:2333; 337:179; 337:1403; 341:1924 y 343:345).
Empero, con relación a los problemas que genera el uso con consentido de datos personales, también hay que anotar que la gobernanza actualmente no es posible sin bases de datos.Un tema que nos permite notar que, por esta razón, a veces es necesario limitar este derecho, ya que como el Tribunal Constitucional español destaca (y vale para nuestro país) la Constitución ha querido que la Ley, y sólo la Ley, pueda fijar los límites a un derecho fundamental. Los derechos fundamentales pueden ceder, desde luego, ante bienes, e incluso intereses constitucionalmente relevantes, sie mpre que el recorte que experimenten sea necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho fundamental restringido (II.11).
Por consiguiente, resulta indispensable alentar y preconizar un cambio en la conducta habitual en la administración pública. Una tarea, por cierto, nada sencilla.
IV. A VUELTAS CON LA LEY 25.326 DE PROTECCIÓN DE LOS DATOS PERSONALES
De acuerdo con lo comentado tanto la ley como la decisión judicial merecen algunos reparos. Con respecto a lo asentado por la Corte -no cabe duda- ella acierta en poner el foco en la defectuosa redacción de la ley. Pero lo que también queda claro es que tal conducta no es extraña en la sociedad moderna, en la cual, la debilidad del sistema constitucional está aumentando, sea por la acción del poder legislativo o del ejecutivo, o de ambos.
Por eso, importa lo que la Corte advierte acerca del comportamiento de la administración pública. Y con relación a esto, conviene señalar además que esta situación se encuentra favorecida, por un lado, por la excesiva confianza que aún tienen los ciudadanos respecto de la conducta de la administración pública, y por otro, por la creencia que sostienen del valor que tiene el consentimiento informado, situaciones ambas que se contradicen con la realidad.
Luego, si queremos que esto se resuelva, al menos en parte, y en función real de la protección de los datos personales aportados al Estado, importa subrayar que a éste le corresponde actuar con transparencia y lealtad, lo mismo que éste requiere de los ciudadanos.Por eso, es necesario defender el derecho a la libertad informática y de oposición al uso no consentido de los datos de carácter personal, por cuanto está en juego la libertad de los ciudadanos y su poder de decisión respecto de los datos personales que se le requieran por parte del Estado, así como las cuestiones de la legalidad con que -presumiblemente- éste actúa.
————
(1) ROSZAK, Theodore, El culto a la información, Barcelona, Crítica, 1988, pp. 220-221; «Actualmente, los cargos y empleados públicos (.) utilizan los algoritmos para analizar datos necesarios para adoptar decisiones o para automatizar algunas fases del proceso de toma de decisiones de manera que se aumenten las capacidades de los empleados públicos sin sustituir por completo su implicación o participación sino complementándola o aumentándola.» En CERRILLO-I-MARTÍNEZ, Agustí. «¿Son fiables las decisiones de las Administraciones públicas adoptadas por algoritmos?» European Review of Digital Administration & Law, 2020, p. 18.
(2) «Todas las tecnologías, ya estén formadas por software (SW), hardware (HW) o una combinación de ambas, pueden contener errores en su diseño o incluirlos en el proceso de su desarrollo. Estas vulnerabilidades una vez que han sido descubiertas pueden ser explotadas para la realización de acciones no autorizadas, como pueden ser entre otras el robo de información o la disrupción del sistema.» En MORENO, Alberto Hernández. «Ciberseguridad y confianza en el ámbito digital.» ICE, Revista de Economía, 897, 2017, p. 57.
(3) ROSZAK, ob. cit., p. 254.
(4) CASTELLS, Manuel. «Internet y la sociedad red.» La factoría, 14.15, 2001, p. 1.
(5) TELLECHEA, Pia Martabit. «Gobernanza digital y ciberseguridad: Un análisis conceptual y relacional.» Cuaderno de trabajo, 3, 2023, p. 1.
(6) Disponible en https://www.boe.es/buscar/doc.php?id=BOE-T-2001-332
(7) TELLECHEA, ob. cit., p. 9.
(8) «Las TIC no son cajas negras impenetrables, sino que un mal uso o abuso afectan la gobernanza y la seguridad.El ‘interior’ de estas TICs pueden ser manipulados por terceros maliciosos, presentar vulnerabilidades ‘de fábrica’, no tener la adecuada mantención u otros problemas que resultan en una falla de los sistemas y, por ende, en la paralización o afectación de los servicios públicos.» En TELLECHEA, ob. cit., p. 13.
(9) TELLECHEA, ob. cit. 2.
(10) ORTIZ-CRUZ, Levi Jacob, y Mónica GARCÍA MUNGUÍA. «Ataques de Ransomware en México, la amenaza cibernética más temida de los últimos años.» Boletín Científico INVESTIGIUM de la Escuela Superior de Tizayuca, 10, 2024, p. 40.
(11) «De forma general, el éxito de los ciberataques a nivel de ciudadano y empresa tiene más que ver con el bajo conocimiento y concienciación de estos en materia de ciberseguridad que con la sofisticación de los mismos.» En MORENO, ob. cit., p. 62.
(12) ARELLANO LÓPEZ, Christian Alberto. «El derecho de protección de datos personales.» Biolex 12.23, 2020, p. 166.
(13) ARELLANO LÓPEZ, ob. cit., pp. 169-170; «a mayor cantidad de datos que recopila el Estado para mejorar la gobernanza y a mayor digitalización de sus plataformas, más es la exposición de que estas se vean vulneradas y explotados por agentes de amenazas.» En TELLECHEA, ob. cit., p. 13; «(.) debe tenerse en cuenta que el big data se erige como fuente de alimentación de los sistemas de inteligencia artificial, por lo que la disponibilidad de datos masivos en los sistemas de inteligencia artificial es un aspecto fundamental, ya que los algoritmos en que basan su funcionamiento interno se nutren de los mismos para su ejecución.» En PRIETO, Antonio David Berning. «El uso de sistemas basados en inteligencia artificial por las Administraciones públicas: estado actual de la cuestión y algunas propuestas ad futurum para un uso responsable.» Revista de Estudios de la Administración Local y Autonómica, 20, 2023, p. 170.
(14) LUCAS MURILLO DE LA CUEVA, Pablo, «La construcción del derecho a la autodeterminación informativa.», 1999, p.39, disponible en
https://helvia.uco.es/bitstream/handle/10396/2238/REPNE_104_037.pdf?seq
(15) LUCAS MURILLO DE LA CUEVA, ob. cit., p. 39. En el Art. 6.1. la Ley argentina dice que «El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias. El referido consentimiento prestado con otras declaraciones deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 6 de la presente ley.»
(16) LUCAS MURILLO DE LA CUEVA, ob. cit., p. 39.
La Ley argentina establece en el Art. 9:
1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.
(17) Son datos sensibles los «Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.» (Art. 2 de la Ley 25.326, y en el Art. 7.1. afirma que «Ninguna persona puede ser obligada a proporcionar datos sensibles.»
(18) LUCAS MURILLO DE LA CUEVA, ob. cit., p. 38.
(19) GARCÍA GONZÁLEZ, Aristeo. «La protección de datos personales: derecho fundamental del siglo XXI. Un estudio comparado.» Boletín mexicano de derecho comparado, 40.120, 2007, p. 750.
(20) «(.) el derecho a la intimidad informática comprende una serie de deberes positivos por parte de los poderes públicos e instituciones privadas que procedan al tratamiento automatizado de datos personales.Es lo que se entiende por la calidad de los datos, la cual comprende la obligación de que los datos no puedan utilizarse para finalidades distintas de aquellas para que los datos se hubieran recogido; la necesidad de veracidad, exactitud y puesta al día de los datos; el deber de almacenamiento de los datos de forma que permita el ejercicio del derecho de acceso por medio del afectado, y el derecho al olvido o a que no puedan ser registrados ciertos datos adversos.» En MIGUEL, Carlos Ruiz. «En torno a la protección de los datos personales automatizados.» Revista de estudios políticos, 84, 1994, p. 248.
(21) SÁNCHEZ DÍAZ, María Fernanda. «El derecho a la protección de datos personales en la era digital.» Revista Eurolatinoamericana de Derecho Administrativo 10.1, 2023, p. 12.
(22) MORENO, ob. cit., p. 63.
(23) «Más allá de la supervisión inmediata del uso de la inteligencia artificial por parte de las personas, consideramos que sería oportuno impulsar una supervisión institucional del conjunto de la actividad que las Administraciones públicas lleven a cabo a través de algoritmos. En esta dirección, tal y como hemos propuesto en otra ocasión, consideramos que sería oportuno crear una gobernanza de la inteligencia artificial. Este marco institucional debería estar diseñado adecuadamente para garantizar la fiabilidad, o sea, la seguridad -jurídica y tecnológica-, la transparencia y la rendición de cuentas en el uso de los algoritmos por las Administraciones públicas.» En CERRILLO-I-MARTÍNEZ, ob. cit., p. 34.
(24) ARNANZ, Alba Soriano. «Decisiones automatizadas: problemas y soluciones jurídicas. Más allá de la protección de datos.» Revista de derecho público: teoría y método, 3, 2021, p. 101.
(25) «Las TIC no son cajas negras impenetrables, sino que un mal uso o abuso afectan la gobernanza y la seguridad.El ‘interior’ de estas TICs pueden ser manipulados por terceros maliciosos, presentar vulnerabilidades ‘de fábrica’, no tener la adecuada mantención u otros problemas que resultan en una falla de los sistemas y, por ende, en la paralización o afectación de los servicios públicos.» En TELLECHEA, ob. cit., p. 13.
(26) VILLALBA FIALLOS, Andrea. «Reflexiones jurídicas sobre la protección de datos y el dere cho a la intimidad en la autodeterminación informativa.» Foro: Revista de derecho, 2017, p. 34.
(27) Art. 4. 1. Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.
2. La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la presente ley.
3. Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención.
(28) MUÑOZ, Catherine, y Jeanna Neefe MATTHEWS. «Sistemas de toma de decisiones automatizadas: ¿De qué hablamos cuando hablamos de transparencia y del derecho a una explicación?» Revista Bits de Ciencia, 21, 2021, p. 28.
(29) MUÑOZ y MATTHEWS, ob. cit., p. 29.
(30) MUÑOZ y MATTHEWS, ob. cit., p. 31.
(31) OLIVARES OLIVARES, Bernardo D. La teoría de las garantías adecuadas en materia de protección de datos y sus implicaciones respecto de la toma de decisiones automatizadas en la Administración tributaria. En La inteligencia artificial en la relación entre los obligados y la administración tributaria: retos ante la gestión tecnológica. La Ley, 2022. p. 11.
(32) OLIVARES OLIVARES, ob. cit., p. 12.
(33) Disponible en https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:RBDHA:2020:865
(34) Disponible en https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN
(35) PRIETO, Antonio David Berning. «El uso de sistemas basados en inteligencia artificial por las Administraciones públicas:estado actual de la cuestión y algunas propuestas ad futurum para un uso responsable.» Revista de Estudios de la Administración Local y Autonómica, 20, 2023, p. 178.
(36) El Art. 5.2.b. fija que no será necesario el consentimiento cuando «Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal», y el Art. 11.3.b. establece que los datos pueden ser cedidos «en los supuestos previstos en el artículo 5° inciso 2» y en el inciso c cuando «Se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias».
(37) «Su aplicación en el ámbito público ofrece varias posibilidades. La primera posibilidad es la simplificación de la burocracia. Los algoritmos pueden automatizar y eliminar tareas dentro del procedimiento administrativo, tareas auxiliares, rutinarias y de poco valor, como por ejemplo comprobaciones o cotejos contra bases de datos, extracción de datos de formularios, ordenación y resúmenes de grandes cantidades de información, redacción de escritos sencillos de trámite, etc. En estos casos, la inteligencia artificial podría permitir una operación ultra eficiente logrando un funcionamiento burocrático más productivo y ágil, que facilitaría a las personas empleadas públicas dedicarse a tareas de mayor valor como el análisis y la decisión.» En CORTÉS, Oscar. «Algoritmos y algunos retos jurídico-institucionales para su aplicación en la Administración Pública». Pertsonak eta Antolakunde Publikoak Kudeatzeko Euskal Aldizkaria. Revista Vasca de Gestión de Personas y Organizaciones Públicas, 18, 2020, p. 56.
(*) Abogado, Facultad de Derecho y Ciencias Políticas, UCA; Doctor en Derecho, Escuela de Graduados, UAJFK; Profesor Consulto Adjunto de Teoría General y Filosofía del Derecho, Departamento de Filosofía, Facultad de Derecho, Universidad de Buenos Aires; Investigador Permanente, Instituto de Investigaciones Jurídicas y Sociales «Ambrosio L. Gioja», Facultad de Derecho, Universidad de Buenos Aires, área de investigación: filosofía del derecho, derecho constitucional, ética y sociología del derecho. Tiene publicaciones en Argentina y en el exterior sobre temas de sus áreas de investigación.
