Amigo Calito, sin manejar mucho el tema, paso a evacuar algunas dudas (¿es legal?) en base a algunas cosas que tengo guardadas (en mi memoria y en la computadora, jeje).
A tu pregunta, corresponde empezar por responder que SI, pero de la manera que lo establece la Ley de Habeas Data, que regula la proteccion de datos personales. Leela si tenes ganas y te interesa el tema.
La Ley de Habeas Data señala que los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido. Además, no pueden ser utilizados para fines distintos o incompatibles con los que motivaron su obtención. Cuando no sean exactos, deben actualizarse, suprimirse o sustituirse y si han dejado de ser necesarios o pertinentes a los fines para los cuales fueron recolectados, deben ser destruidos. En cuanto a los datos relativos a la salud, los datos de los pacientes sólo pueden ser recolectados por los establecimientos sanitarios y los profesionales médicos responsables de su tratamiento, siempre y cuando se respeten los principios del secreto profesional.
Pueden tratarse datos personales de los usuarios cuando hubieren prestado, por escrito o medio equiparable, su consentimiento libre, expreso e informado. No será necesario el consentimiento cuando los datos se obtengan de fuentes de acceso público irrestricto (como las guias telefónicas), se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal, se deriven de una relación contractual, científica o profesional con el titular de los datos y resulten necesarios para su desarrollo o cumplimiento, o se trate de listados cuyos datos se limiten a registrar el nombre, DNI, CUIT o CUIL, ocupación, fecha de nacimiento y domicilio.
Salvo que medien razones de interés general autorizadas por Ley, ninguna persona puede ser obligada a proporcionar datos personales que revelen su origen racial y étnico, sus opiniones políticas, sus convicciones religiosas, filosóficas o morales, su afiliación sindical e información referente a su salud o vida sexual –información denominada sensible.
El poder de disposición y control de los ciudadanos sobre los datos personales, se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos.
La Ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, públicos o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre.
Lo que se busca es proteger aspectos de la personalidad que individualmente no tienen mayor trascendencia pero que, al unirse con otros, pueden configurar un perfil determinado de las personas. Ante dicha posibilidad surge el derecho de sus titulares a exigir que los datos permanezcan en el ámbito de su privacidad.
La Ley de Protección de Datos Personales exige que todo aquel que efectue operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relevamiento, evaluación, bloqueo, destrucción, y en general, el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, interconexiones o transferencias, debe adoptar medidas técnicas y organizativas adecuadas a los riesgos que presenta el tratamiento de este tipo de información. El inc. 1 del artículo 9 de la Ley señala que el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
Todo archivo, registro, base o banco de datos deberá inscribirse en el Registro que al efecto habilite el organismo que sea designado como autoridad de control. Sólo así la formación de archivos de datos será lícita. Además la ley exige que se adopten medidas técnicas y organizativas que garanticen la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta, tratamiento no autorizado y que permitan detectar desviaciones de información. Los datos personales objeto de tratamiento sólo pueden ser cedidos a terceros para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.
Cualquier cosa consultame via MP asi te ayudo un poco.
Un abrazo, Matias.-