Читать книгу Derecho de la moda en Iberoamérica (Fashion Law) - Enrique Ortega Burgos - Страница 53

1. Describa los principios aplicables a los tratamientos de datos en su jurisdicción (p.ej. principio de licitud del tratamiento, principio de lealtad y transparencia, proporcionalidad, etc.)

2. Indique el cumplimiento de cuáles de los anteriores principios supone mayor complejidad en el sector de la moda.

3. Describa las bases legales o supuestos que habilitan el tratamiento de los datos personales en su jurisdicción (p.ej. el consentimiento del propio interesado o titular, por ser necesario para cumplir con una obligación legal, por ser necesario para satisfacer un interés legítimo, el cumplimiento de un contrato o una relación jurídica, etc.)

4. Indique cuáles de las anteriores bases legales se aplican en mayor medida en los tratamientos habituales en el sector de la moda.

Requisitos de licitud del Banco de Datos: Podemos sintetizar los requisitos de licitud de los bancos de datos en los siguientes: a) Inscripción en el Registro de Bases de Datos a cargo del Órgano de Control (art. 3.º y 21 de la ley 25.326); b) Medidas adecuadas para garantizar la seguridad y confidencialidad de la información en su poder (art. 9.º y 10 de ley 25.326); c) El cumplimiento de las restantes disposiciones de la ley 25.326 que le resulten aplicable al banco de datos, que variarán según el tratamiento y el tipo y calidad de los datos.

Requisitos generales de licitud del tratamiento de datos: Se sintetizan en los siguientes: i) Consentimiento previo; ii) Principio de legalidad y buena fe; iii) Principio de finalidad; iv) Calidad del dato; v) Derechos del titular del dato.

Consentimiento previo al tratamiento: Debe ser libre, expreso e informado, por escrito o por otro medio que se le equipare. Conforme art. 5 to. inc. 2 de la ley 25.326 no será necesario el consentimiento cuando: a) Los datos se obtengan de fuentes de acceso público irrestricto; b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; c) Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio (no debe incluir información implícita, como por ejemplo un listado de clientes de determinada empresa); d) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento (debe verificarse que el tratamiento no exceda la finalidad contractual originalmente prevista); e) Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del art. 39 de la Ley 21.526.

Principio de legalidad y buena fe: El principio de legalidad significa que los actos y comportamientos de los responsables del tratamiento no pueden contravenir la ley (Constitución Nacional, ley del congreso, normas reglamentarias de la actividad, etc.). referencia al principio de legalidad en la ley 25.326 se encuentra en dos disposiciones: Al referirse a la licitud de los bancos de datos (art. 3.º ley 25.326) y en el acto de recolección de la información personal (art. 4.º inc. 2 de la ley 25.326), cuando dispone que la recolección “no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la ley”.

Principio de finalidad: Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención.

Calidad del dato: El art. 4.º de la ley 25.326 dispone los requisitos de calidad de los datos: “1. Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido (...) 4. Los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario. 5. Los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y sustituidos, o en su caso completados, por el responsable del archivo o base de datos cuando se tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate, sin perjuicio de los derechos del titular establecidos en el art. 16 de la presente ley. (...) 7. Los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados”.

Derechos del titular del dato: Deben respetarse los siguientes derechos: información, acceso, rectificación, actualización, confidencialidad y/o supresión. Respecto del derecho de información, este debe cumplirse en toda etapa del tratamiento, y abarca, conforme artículo 6.º de la ley 25.326, la siguiente información: La existencia del archivo, nombre del responsable y su domicilio; La finalidad de la base de datos y sus destinatarios; Carácter obligatorio u optativo de responder al cuestionario que se le proponga; Las consecuencias de brindar datos, su negativa a darlos o la inexactitud de los mismos; La facultad del titular del dato de ejercer sus derechos de acceso, rectificación o supresión (incluye el derecho a ser excluido de listados de publicidad (art. 27 ley 25.326); En caso de pretender la cesión de los datos: Se debe informar a quién y con qué fin se cederán los mismos.

Los derechos de acceso, rectificación, actualización, confidencialidad y/o supresión, se ejercen en forma directa ante el responsable del banco de datos, y en caso de negativa por vía reclamo administrativo o judicial.

Un derecho específico creado por la ley 26.951, vinculado al derecho de “opt out” previsto en el art. 27 de la ley 25.326, es el que opera mediante el registro “No llame” en la órbita de la Agencia de Acceso a la Información Pública, aplicable a empresas que publiciten, oferten, vendan o regalen bienes o servicios mediante servicios de telefonía (cualquiera sea su modalidad), tales como telefonía básica, móvil, servicios de radiocomunicación móvil celular, comunicaciones móviles, SMS por IP, voz por IP, y cualquier otro servicio similar que la tecnología permita en el futuro: Una vez que las personas se inscriben en dicho registro deben cesar a los 30 días las comunicaciones publicitarias por los medios indicados, bajo apercibimiento de sanciones administrativas.

Requisitos de licitud para casos específicos de tratamientos de datos: Recolección (información y consentimiento, art. 5 y 6 ley 25.326), Cesión (información y consentimiento, art. 11 ley 25.326), Prestación de Servicios (contrato y finalidad exclusiva, art. 25 ley 25.326) y Transferencia Internacional (garantías adecuadas mediante contratos para países sin legislación adecuada, art. 12 ley 25.326).

Cumplimiento en el sector: En el sector de la moda podemos considerar que supone una mayor dificultad cumplir con: a) el principio de información al titular del dato; b) medidas internas para facilitar el cumplimiento del ejercicio de los derechos por parte del titular del dato y el requisito del consentimiento en los casos no contractuales. Una posible causal es una excesiva focalización en el objeto principal junto con un inadecuado análisis del riesgo, que lleven a la falta de medidas eficientes, como lo sería el no disponer de mecanismos de información o para dar adecuado cumplimiento del ejercicio de los derechos del titular del dato o requerir el consentimiento al titular del dato para fines no contractuales (ej. Publicidad). Otro punto relevante, y que requiere un asesoramiento jurídico específico, es el de las transferencias internacionales, habituales en una actividad cada día más globalizada, que requieren, en su caso, de un contrato de transferencia internacional.

Supuestos que habilitan el tratamiento de datos personales: Una relación contractual habilita el tratamiento sin necesidad del consentimiento del titular del dato, pero no lo es el interés legítimo como en la Unión Europea. En este punto, la legislación Argentina es más estricta, por lo que requiere un mayor esfuerzo para recabar los consentimientos en los restantes casos, y si bien para marketing se ha dispuesto excepciones, lo es exclusivamente para listados por perfiles de consumo (art. 27 ley 25.326 y Decreto 1558/2001) y se ha prohibido expresamente, vía jurisprudencial, la utilización de datos contractuales para fines publicitarios por afectarse el principio de finalidad (CNCom., Sala D, “Salvador, Claudio v. Citibank N.A.”, LL 2006-B, 60).

Derechos de los consumidores

1. Describa cuáles son en su jurisdicción los derechos de los consumidores de moda en relación con la protección de sus datos personales (p.ej. derecho de acceso, de rectificación, de cancelación/supresión/borrado, de oposición, derecho de portabilidad, derechos contra decisiones individuales automatizadas, derecho a retirar/revocar el consentimiento dado, a reclamar ante autoridad competente, derecho de limitación o bloqueo del tratamiento, etc.)

2. Describa cuáles son en su jurisdicción los medios civiles, penales y administrativos de protección y defensa jurídica de las personas físicas en relación con el tratamiento de sus datos personales.

En la Argentina, los derechos del titular del dato más utilizados son los relativos al derecho de no llamar (no llame) para fines publicitarios arriba descripto y, asimismo, el derecho a la rectificación y supresión de los datos crediticios (deudas en mora); en tercer lugar los derechos de acceso a la información personal para el ejercicio de derechos o su protección.

Los remedios disponibles en nuestra jurisdicción son: la denuncia ante el órgano de control (Dirección Nacional de Protección de Datos Personales dependiente de la Agencia de Acceso a la Información Pública), acción de Habeas Data en sede Judicial (para acceder y/o suprimir, rectificar o someter a confidencialidad datos personales cfr. ley 25.326 y art. 43 de la CN) y, en forma separada, la acción de daños y perjuicios ocasionados por tratamientos ilícitos de datos personales.

Las sanciones penales son para aquellos casos en que se afecten dolosamente la veracidad, integridad y confidencialidad de un banco de datos personales y su información (art. 32 ley 25.326, arts. 117 bis y 157 bis del Código Penal).

Tendencias en la moda que impactan en la protección de datos personales

1. Describa cuáles son las tendencias en el sector de la moda que tienen mayor impacto en la protección de los datos (p.ej. las tiendas inteligentes, el análisis comportamental, profiling y predicción del comportamiento del consumidor, la geolocalización, el e-mail marketing, etiquetas RFID, etc.).

2. Indique las principales recomendaciones a realizar a las marcas de moda respecto a las anteriores tendencias en el sector de la moda con mayor impacto en la protección de datos personales.

Las tendencias en el sector de la moda que tienen mayor impacto en la protección de los datos, y responden a características globales, son las vinculadas a servicios de tratamiento en la nube, las ventas on line y los servicios de empresas de análisis de datos en Internet, que realizan análisis comportamental, configuración de perfiles, predicción del comportamiento del consumidor y big data.

Para dar respuesta a este desafío, es recomendable seleccionar empresas serias, que den garantías de cumplimiento de la normativa de protección de datos personales por estándares reconocidos, certificaciones, códigos de conducta homologados por las autoridades de control, contratos adecuados y auditorías en base a estándares reconocidos: SAS70, SSAE 16 o ISAE 3402.

Roles en la protección de datos en el sector de la moda desde la perspectiva de la marca

1. Describa a la marca de moda como responsable del tratamiento/fichero (controller).

2. De existir las siguientes figuras en su jurisdicción, defínalas, ponga ejemplos en relación con la marca (responsable del tratamiento/fichero) e indique brevemente las principales recomendaciones para la marca en su relación con cada una de ellas:

○ Corresponsable del tratamiento/fichero.

○ Encargado del tratamiento (processor).

○ Destinatario/cesionario de los datos.

Cedente de los datos.

No se conocen antecedentes.