Incumplimiento de Protección de Datos por la Administración Pública
El Estado, ese guardián… a veces distraído.
Existe una idea, casi tierna en su ingenuidad, de que el Estado es el custodio último de nuestros derechos. Entre ellos, el derecho a la privacidad y a la protección de nuestros datos personales. Para que esta idea no quedara flotando en el éter de las buenas intenciones, se sancionó la Ley 25.326 de Protección de Datos Personales. Una norma que, en un giro sorprendente, también aplica a la Administración Pública. Parece mentira que haya que aclararlo, pero los datos que un ciudadano le confía al Estado para obtener un carnet de conducir, una jubilación o un subsidio no son de dominio público ni material para empapelar oficinas.
La ley es bastante clara en sus definiciones, diseñadas para que hasta el más distraído de los funcionarios pueda comprenderlas. Un ‘dato personal’ es cualquier información referida a una persona. Desde el nombre y DNI hasta el grupo sanguíneo o sus preferencias políticas. Algunos de estos datos son ‘sensibles’, como los relativos a la salud, la orientación sexual o las opiniones políticas. La ley les da una protección especial, porque su divulgación puede generar discriminación. Estos datos se guardan en ‘archivos, registros o bases de datos’, que no son otra cosa que el lugar físico o digital donde se almacena esa información. El organismo público que recolecta y utiliza esos datos es el ‘responsable’ de esa base. Ser ‘responsable’ implica, como su nombre lo indica, tener responsabilidades. Una verdad tan incómoda como evidente.
El principio fundamental es el consentimiento. El Estado, por regla general, no puede tratar nuestros datos sin nuestro permiso libre, expreso e informado. Debe decirnos para qué los quiere, cómo los va a usar y por cuánto tiempo los va a guardar. Ciertamente, existen excepciones. La administración no necesita nuestro permiso para ejercer sus funciones propias, como cobrar impuestos o mantener un padrón electoral. Pero incluso en esos casos, su poder no es absoluto. Está obligado a garantizar la seguridad y confidencialidad de la información. Esto significa implementar medidas técnicas y organizativas para evitar que los datos se alteren, se pierdan o que accedan a ellos personas no autorizadas. Un concepto que, en la práctica, parece ser más una aspiración filosófica que una directiva técnica.
Revelaciones incómodas: Cómo se materializa el desinterés.
La vulneración de datos por parte de la administración rara vez es el producto de un plan malévolo. Su origen es mucho más pedestre y, por eso mismo, más preocupante: la negligencia, la falta de recursos o, simplemente, un profundo desinterés. Las formas en que este desinterés se manifiesta son variadas y, a su manera, creativas.
La más espectacular es, sin duda, la filtración masiva de datos. Ocurre cuando una base de datos entera, con información de millones de ciudadanos, queda expuesta en internet. A veces por un error de configuración en un servidor, otras por no haber aplicado un parche de seguridad que se publicó hace meses. Es el equivalente digital a dejar el archivo central de un ministerio abierto de par en par con un cartel de ‘pase y sírvase’. La culpa se atribuye a ‘hackers’ anónimos, una figura conveniente que desvía la atención del hecho central: la puerta estaba sin llave.
Otra variante, más sutil pero igualmente dañina, es el uso indebido de la información. La administración recolecta datos para un fin específico y legítimo —digamos, la inscripción a un plan de viviendas— pero luego los utiliza para algo completamente distinto, como el envío de propaganda política o la elaboración de perfiles de ciudadanos según sus afinidades. Es la violación del principio de finalidad, una de las piedras angulares de la ley. Los datos no son un activo multiuso que el Estado puede emplear a su antojo.
No podemos olvidar la cesión ilegal a terceros. A veces, un organismo público le pasa alegremente una base de datos a otro, o incluso a una empresa privada, sin que exista un marco legal que lo autorice. Se justifica bajo la etérea idea de la ‘colaboración interinstitucional’, un eufemismo para eludir los controles que la propia ley impone. La información personal de los ciudadanos viaja de un escritorio a otro sin ningún tipo de trazabilidad ni consentimiento.
Finalmente, está el incumplimiento por omisión: la falta de actualización o supresión de datos. La ley garantiza el derecho de las personas a que su información sea correcta y actualizada (derecho de rectificación) y a que sea eliminada cuando ya no sea necesaria para los fines que motivaron su recolección (derecho de supresión). En el universo estatal, sin embargo, los datos adquieren una especie de inmortalidad. Un error en un registro puede perseguir a una persona durante años, y solicitar la baja de una base de datos es a menudo una odisea burocrática sin un final claro.
El curioso laberinto de la responsabilidad estatal.
Cuando ocurre una vulneración, la primera pregunta es: ¿quién paga los platos rotos? La respuesta, en el ámbito del derecho administrativo, es un fascinante ‘depende’. En teoría, el responsable es el organismo que tenía los datos bajo su custodia. La Ley 25.326 establece un régimen de sanciones administrativas que puede aplicar la Agencia de Acceso a la Información Pública (AAIP), la autoridad de control en la materia. Estas sanciones van desde un simple apercibimiento hasta multas económicas y la clausura del archivo de datos.
Aquí es donde la trama se pone interesante. La AAIP es un ente autárquico que funciona en el ámbito del Poder Ejecutivo Nacional. Es decir, un organismo del Estado encargado de sancionar a otros organismos del Estado. Una dinámica que, como mínimo, invita a la reflexión. Si bien la agencia ha demostrado actividad, su capacidad de acción frente a los grandes aparatos de la administración es un desafío constante. No es lo mismo sancionar a una pequeña empresa que a un ministerio con una estructura legal y política formidable.
Además de la responsabilidad administrativa del organismo, puede existir una responsabilidad civil del Estado. Si un ciudadano sufre un daño concreto y demostrable a causa de la filtración o mal uso de sus datos (por ejemplo, es víctima de una estafa o sufre un perjuicio a su honor), puede iniciar una demanda judicial para obtener una indemnización. Este camino es más largo y complejo, ya que exige probar no solo el incumplimiento del Estado, sino también la relación de causalidad entre ese incumplimiento y el daño sufrido. Es una batalla legal en la que el ciudadano corre con la carga de la prueba frente a un adversario con recursos casi ilimitados.
Y no hay que olvidar la posible responsabilidad personal del funcionario público. Aunque menos frecuente, un funcionario que por acción u omisión haya sido el causante directo de la vulneración podría enfrentar un sumario administrativo e incluso sanciones penales, si su conducta encaja en alguna de las figuras del Código Penal, como la violación de secretos.
Estrategias de supervivencia: para acusados y acusadores.
Frente a este escenario, tanto el ciudadano afectado como el funcionario señalado necesitan una hoja de ruta. No para encontrar justicia en un sentido abstracto, sino para navegar el sistema con el menor daño posible.
Para el ciudadano (el ‘acusador’):
1. Documentar obsesivamente: El primer impulso es la indignación. El segundo debe ser la recolección de pruebas. Guarde todo: correos electrónicos, capturas de pantalla, notificaciones, cartas, el número de expediente de cualquier trámite. La burocracia se combate con más burocracia. Sin pruebas, su reclamo es solo una anécdota.
2. Intimación fehaciente: Antes de cualquier denuncia, es fundamental ejercer los derechos de acceso, rectificación o supresión. Esto se hace mediante una nota formal o, preferiblemente, una carta documento dirigida al organismo responsable. Este paso no solo es un requisito legal en muchos casos, sino que deja una constancia irrefutable de su reclamo y de la fecha en que lo hizo. Obliga al Estado a tomar una posición.
3. Denuncia ante la AAIP: Si el organismo no responde o su respuesta es insatisfactoria, el siguiente paso es la denuncia administrativa ante la Agencia de Acceso a la Información Pública. Es un procedimiento gratuito que puede iniciar online. La AAIP investigará el caso y podrá imponer sanciones. Es el camino formal, aunque sus tiempos no siempre se condicen con la ansiedad del afectado.
4. La vía judicial: Si todo lo anterior falla o si busca una compensación económica por los daños sufridos, el último recurso es la justicia. Puede iniciar una acción de hábeas data (un amparo específico para la protección de datos) para forzar al Estado a cumplir, o un juicio por daños y perjuicios. Prepárese para un proceso largo. Necesitará paciencia y un abogado que entienda la lógica del contencioso administrativo.
Para el funcionario público (el ‘acusado’):
1. No subestimar el reclamo: Ese ciudadano que envía una carta documento no es solo una molestia. Es un potencial problema legal, administrativo y hasta político. Ignorar el reclamo es la peor estrategia posible. La inacción se interpreta, casi siempre, como una admisión de culpa.
2. Revisar los protocolos internos: Es el momento de desempolvar ese ‘Manual de Políticas de Seguridad de la Información’ que nadie ha leído. Verifique qué dicen los procedimientos internos sobre el tratamiento de datos y los reclamos. Si no existen, el problema es aún mayor, pero al menos sabrá en qué terreno está parado.
3. Contestar siempre y por escrito: El silencio es fatal. Aunque no tenga una solución inmediata, acuse recibo del reclamo. Comunique que el asunto está siendo analizado. Una respuesta formal, aunque sea para pedir una prórroga, demuestra una mínima diligencia y desactiva la presunción de desinterés absoluto. Coordine la respuesta con el área legal del organismo.
4. Asesoramiento especializado: No confíe en el sentido común ni en lo que ‘siempre se hizo’. La normativa de protección de datos es técnica y específica. Busque asesoramiento dentro de su propio organismo con quienes se especializan en la materia. Si es necesario, eleve la consulta. Actuar por instinto en este campo suele costar muy caro, no solo a la institución, sino también a nivel personal.
