Estuvimos disertando en el Congreso de Mar del Plata sobre constitución y funcionamiento de la Sociedad por Acciones Simplificada (SAS).
SAS: libros en formato ‘Cloud’ y big data.
La privacidad de los datos.
Leopoldo Octavio Burghini – Andrés Piazza
La presente contribución tiene por objeto analizar el derecho de propiedad sobre los registros (libros) digitales de las SAS (Sociedad por Acciones Simplificada) cuando son reglamentados en formato cloud, su privacidad y su relación con el Big Data, mediante la evaluación de la reglamentación establecida en la Provincia de Córdoba.
0. Introducción: Los registros digitales en la norma de fondo
La Ley 27.349 estableció en su artículo 58, bajo el título “Registros Digitales”, la obligación de las SAS de llevar los siguientes registros: Libro de Actas, Registro de Acciones, Diario e Inventario y Balances. Asimismo, la norma facultó a los registros públicos a reglamentar e implementar mecanismos que le permitieran a la SAS suplir el uso de aquellos registros “mediante medios digitales y/o mediante la creación de una página web en donde se encuentren volcados la totalidad de los datos de esos registros”.
En cuanto a las alternativas establecidas para suplir los RD, la norma de fondo fijó dos posibilidades: 1) medios digitales[1]; y 2) página web donde se alojen todos los datos de los RD[2].
Autorizada Doctrina ha sostenido que las disposiciones previstas por la Ley 27.349 en relación con los registros digitales serán las más dificultosas de aprehender dada la magnitud de su temática[3], a lo que cabe agregar las dificultades propias de la necesidad de interrelación con conceptos propios de la informática.
En este trabajo nos proponemos analizar las características de los RD en la segunda alternativa (i.e., cuando los RD están alojados en una página web), su relación con el derecho de propiedad sobre los libros, y las consecuencias que de eso se derivan en torno al acceso a los RD por parte del prestador de los servicios de alojamiento o cloud computing y el denominado Big Data. Para ello, analizaremos la reglamentación establecida por la RG 58G/2018 de la Dirección de Inspección de Personas Jurídicas de la Provincia de Córdoba (en adelante, DIPJ).
1. Propiedad de los RD
La propiedad de los RD corresponde a la SAS. La ley impone la obligación[4] al sujeto de derecho sociedad a llevar sus libros digitales, e históricamente se ha sostenido que los libros forman parte del derecho de propiedad del sujeto[5]. El propio artículo 325 CCCN lo ratifica, al establecer –en su última parte– que los libros y registros del artículo 322 CCCN deben permanecer en el domicilio de su titular. Es decir, la norma sindica como dueña/o de los libros a la persona jurídica privada a la cual el artículo 320 CCCN le impone la obligación de llevar la contabilidad.
2. Reglamentación por parte del Registro Público de página web donde se alojen todos los datos de los RD de la SAS. El formato cloud
El art. 58 de la Ley 27.349 autoriza a suplir los RD mediante la creación de una página web donde se encuentren volcados la totalidad de los datos de los RD. Esta alternativa reglamentaria implica la imposición a la SAS de llevar sus libros a través del denominado ‘Cloud Computing’, esto es, un sitio en Internet desde el cual se brinda el servicio de almacenamiento permanente de datos y de software en servidores que se envían a conexiones del cliente –incluidos los equipos de escritorio y portátiles, entre otros–, liberando al cliente –en nuestro caso, a la sociedad comercial– de invertir en recursos para capacidad de almacenamiento tanto del software como del acceso a los datos propios[6].
La IPJ estableció por RG 58G/2018 que los RD serán habilitados en el Portal de Trámites de la IPJ en la sección correspondiente al RD de los Libros Societarios al momento de la inscripción de la SAS (art. 2°). Los RD estarán compuestos por archivos digitales en formato PDF y no podrán ser alterados, modificados o eliminados (art. 6°). En el supuesto de errores que demanden una rectificación, se deberá adjuntar el nuevo documento rectificatorio correspondiente (art. 6°). La documentación que se adjunte a los RD quedará almacenada en el Centro de Documentación Digital (CDD) de la Plataforma CIDI de la Provincia de Córdoba y asociada al CUIT de la SAS (art. 5°).
Como puede observarse, los RD de las SAS en la Provincia de Córdoba, con todas sus constancias, quedan alojados o archivados en una plataforma del Gobierno de la Provincia de Córdoba. La regulación legal de este particular “servicio de almacenamiento Cloud” comparte caracteres del depósito necesario[7] por cuanto el Estado se impone como prestador único del servicio de almacenamiento en Cloud. Por tanto, se deben analizar los riesgos que conlleva almacenar en Cloud, dado que esas plataformas brindan infraestructura que permite procesamiento de datos y análisis de grandes volúmenes de información, esto es, el Big Data[8].
3. La tecnología del Big Data
La tecnología conocida como Big Data tiene por objeto el análisis de enormes cantidades de datos –estructurados o no– por medio de complejos algoritmos que permiten obtener nueva información y múltiples conclusiones sobre las conductas de los individuos[9] –en nuestro caso, empresas–. Por ejemplo, son capaces de generar índices de probabilidad de caer en estado de cesación de pagos, y determinar así la toma de decisiones por parte de los actores económicos del mercado.
4. Los Riesgos del cloud computing en torno al Big Data
Ya González Allonca y Ruiz Martínez[10] han advertido acerca de los riesgos específicos que genera el uso de servicios de cómputo en la nube, tanto en términos de privacidad como de seguridad de la información. Nos interesa precisar los riesgos vinculados a las condiciones en la que se presta el servicio, y la falta de control del responsable sobre el uso y gestión de los datos personales por parte de los prestadores. Estos factores requieren un esfuerzo mayúsculo –tanto de índole técnico como organizacional– para garantizar la seguridad y confidencialidad de los datos personales –a fin de evitar su adulteración, pérdida o consulta no autorizada–, y que permiten detectar desviaciones (intencionales o no) de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
5. Acceso a la página web en la que sean alojados los libros (registros) digitales de las SAS. Su carácter privado. Deber de confidencial y seguridad por parte del prestador del servicio de almacenamiento
Botteri ha señalado que en los mecanismos digitales la contabilidad queda expuesta frente a quien lleva las registraciones digitales sin que se haya establecido un régimen de secreto particular[11]. De hecho, la Ley 27.349 no estableció nada en relación con el secreto de los RD de las SAS, y pareciera dejar librada la cuestión a la reglamentación. Sin embargo, a nuestro entender, no resulta imprescindible una norma específica que establezca el secreto de los RD en las SAS, dado que la norma general en materia de exhibición de libros establece su secreto y confidencialidad. En efecto, a los RD de las SAS les resulta aplicable el art. 331 CCCN[12], esto es, la norma general que tutela a las personas jurídicas privadas de injerencias indebidas sobre sus libros por parte del Estado y terceros[13].
Es imprescindible recordar que el art. 331 (antes art. 57 del C. Comercio) protege el secreto de los libros y papeles sociales con fundamento en que este (el secreto) es frecuentemente una condición de éxito de los negocios. Esto es así por cuanto el riesgo es inseparable del comercio y el éxito de una operación depende frecuentemente de la oportunidad y reserva con que se realiza. Este fundamento de la protección de la privacidad de los libros y papeles sociales se ve potenciado en las SAS, que han sido pensadas por el legislador para estructurar ‘startups’, i.e., empresas relacionadas con la tecnología[14], en las que la innovación constituye su principal valor agregado. Por otra parte, el actual art. 331 constituye una aplicación del principio constitucional de la inviolabilidad de los papeles privados establecido en el art. 18 de nuestra Carta Magna[15]. Esta interpretación es ratificada por el propio artículo 58° inc. 4° de la LACE, que establece que los registros públicos implementarán un sistema de control de los RD al solo efecto de verificar el tracto registral. Es decir, la propia norma reconoce que el examen de los RD por los registros públicos puede tener lugar únicamente a los efectos de constatar la concatenación lógica y sucesiva[16] en las actos societarios cuyas inscripciones son impuestas a la SAS por los arts. 39,44,50 y 54 de la Ley 27.349. Más aún, la propia Ley 27.349 ha liberado a las SAS de la obligación de publicidad de sus estados contables, ya que ni siquiera aquellas cuyo capital quede comprendido en el art. 299 deben dar cumplimiento a la obligación establecida en el art. 67 in fine de la Ley General de Sociedades[17].
En relación con el acceso a los RD, la RG 58G/2018 IPJ contiene dos artículos, a saber: 1) en su art. 3° establece que el Representante de CIDI (NIVEL2), designado por el representante legal de la SAS –la norma expresa de manera impropia “Presidente”–, es quien podrá adjuntar documentación a los libros que desee y visualizarlos; 2) en su artículo 11° dispone que: “Se habilitará como Representante CIDI, a los fines de la visualización de los libros digitales, todo CUIL, que sea requerido a través de oficio judicial”. La norma reglamentaria respeta el principio de acceso restringido a los RD, que se encuentra tanto al alcance del Representante Legal de la SAS como de todas aquellas personas que aquél habilite, siempre que ostenten el carácter de ciudadanos digitales NIVEL 2 en la plataforma del Gobierno Provincial. Por otra parte, ante oficio judicial, se habilitará a la persona indicada por el Tribunal a acceder sin restricción alguna a los libros, lo que es susceptible de ocasionar perjuicios.[18]
Como derivación del principio establecido en el art. 331 CCCN, se impone la interpretación acerca de que los diferentes estamentos del Estado no tienen más derecho del que tenían hasta ahora sobre los libros físicos para acceder a la información contenida en los RD, por más que estos se encuentren almacenados en una página web. Dicho de otro modo, siendo los RD de propiedad de la SAS, en el supuesto en que se reglamente como modo de suplirlos el esquema de creación de una página web donde deberán volcarse la totalidad de los datos de los RD, existe un deber de confidencialidad por parte del Estado o el proveedor del servicio de Cloud Computing respecto de la información alojada en la página web. Si bien resultaría conveniente que esta obligación fuera expresamente reconocida por la reglamentación, su ausencia no obsta a la protección que, como derecho, le asiste a la SAS. Esta obligación de confidencialidad se extiende a la prohibición de acceder a dicha información por parte de terceros, incluidos los administradores de la página web, funcionarios en general y otras dependencias del Estado Provincial o Nacional[19]. Por lo tanto, en el caso de que AFIP, ANSES o la Dirección General de Rentas de la Provincia de Córdoba requieran información contenida en los RD, cabe interpretar que no poseen derecho a realizar cruce automático de ella a través del Big Data. Entendemos, más bien, que dichos organismos deberán solicitar su acceso judicialmente, como si los libros originales estuvieran localizados en la sede física, del modo en que lo establece el régimen general de sociedades y el CCCN en su art. 322°. Más aún, en ningún caso podrán terceros ajenos a la sociedad acceder sin la conformidad expresa de la propia SAS a los libros (registros) digitales con la finalidad de llevar adelante procesos de Big Data. La violación de lo expuesto podría incluso llegar a constituir el delito establecido en el art. 153 Bis del Código Penal Argentino, que reprime con prisión de quince (15) días a seis (6) meses, si no resultare un delito más severamente penado, el que a sabiendas accediere por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido.
Por otra parte, la vinculación con el Estado o el proveedor del servicio de Cloud Computing respecto de la información alojada en la página web le impone a estos una obligación de seguridad frente a los supuestos de pérdida de información, sustracción, acceso o uso indebido. En el caso de CIDI, es importante destacar que sus Términos de Uso[20] manifiestan contar con los estándares de seguridad establecidos por la Oficina Nacional de Tecnologías de la Información (ONTI), incluyendo el uso de protocolo seguro (HTTPS), es decir, transmisión y almacenamiento de datos de usuario encriptados, así como también la existencia de certificados digitales.
6. Jurisdicción de almacenamiento
El aspecto jurisdiccional reviste capital importancia en un mercado como el de Cloud, que se destaca por la localización extraterritorial de los servidores de almacenamiento de datos. En virtud de una interpretación derivada de lo dispuesto por el art. 325 CCCN y razones de policía societaria, consideramos que las reglamentaciones deberán contemplar la localización de servidores en territorio nacional.
7. Conclusiones
Como corolario de lo expuesto, surgen las siguientes conclusiones:
[1] Opción adoptada por la Inspección General de Justicia –en adelante, IGJ– en la RG 6/2017.
[2] Opción adoptada por la Dirección de Inspección de Personas Jurídicas de la Provincia de Córdoba.
[3] Verón, Víctor Alberto. Verón, Teresita. Sociedades por Acciones Simplificadas. Ed. La Ley. pág. 195.
[4] Verón, Víctor Alberto. Verón Teresita. op. cit. pág. 216.
[5] Alterini, Jorge H. Código Civil y Comercial Comentado. Tratado Exegético. Tomo II. pág. 650.
[6] Carlino, Bernando P. “El artículo 55 de la ley de sociedades comerciales y el “cloud computing” en Doctrina Societaria y Concursal. Práctica y Actualidad Societaria (PAS) Tomo III. Octubre/2013.
[7] Burghini, Leopoldo. Piazza, Andrés. SAS: libros en formato “cloud”. La reglamentación de los registros digitales en la provincia de Córdoba. Doctrina Societaria y Concursal ERREPAR (DSCE). Tomo XXXI. Febrero 2019.
[8] González Allonca, Juan Cruz – Ruiz Martínez, Esteban. Big Data: riesgos y desafíos en el tratamiento masivo de datos personales. LA LEY 08/04/2016, 08/04/2016, 1 – LA LEY2016-B, 1051. AR/DOC/373/2016
[9] González Allonca, Juan Cruz – Ruiz Martínez, Esteban. Op. cit.
[10] González Allonca, Juan Cruz – Ruiz Martínez, Esteban. Op. cit.
[11] Boterri, José David. La Sas es una clase de sociedad, pero no un tipo social. Revista de las Sociedades y los Concursos. Edición Especial. Año 19 -2018-1. pág. 6.
[12] Carlino, Bernardo P. Particularidades contables de las SAS. Doctrina Societaria y Concursal ERREPAR (DSCE). XXIX, XIX. Diciembre, Marzo. 2017,2018. Osso, María Cristina. SAS: El porqué de la resistencia por una parte del universo de los emprendedores. Revista de las Sociedades y Concursos. Edición especial. Año 19. 2018-1. pág. 24. Vítolo, Daniel Roque. Capital Emprendedor y Sociedades por Acciones Simplificadas. Ed. La Ley. pág. 426. Nissen, Ricardo A. La Sociedad por Acciones Simplificada. Ed. Fidas. Pág. 164.
[13] Alterini, Jorge H. Código Civil y Comercial Comentado. Tratado Exegético. Tomo II. pág. 650.
[14] Vítolo, Daniel Roque. op. cit. pág. 25.
[15] Malagarriga, Carlos C. Código de Comercio Comentado. Según la Doctrina y Jurisprudencia. 2da Edición. Tomo I. Pág. 153.
[16] Molina Sandoval, Carlos A. Tratado de la Administración Societaria. Tomo 1. pág. 521.
[17] Molina Sandoval, Carlos A.: “Sociedad por acciones simplificadas (SAS)” – LL – 2017. RG 6/2017. art. 46 Anexo A. IGJ. En contra Verón, Víctor Alberto. Verón Teresita. op. cit. pág. 196.
[18] Burghini, Leopoldo. Piazza, Andrés. Op. cit.
[19] En contra pareciera pronunciarse Bender (art. citado nota al pie 3), quien sostiene que, en caso de reglamentarse los RD mediante la creación de una página web en donde se encuentren volcados la totalidad de los datos de dichos registros, “el titular volcaría sus operaciones y actas en una web a cargo del registro, teniendo la administración –y el fisco– acceso permanente y directo a tales datos”.
[20] Ver Términos y Condiciones, Política de Privacidad y de Seguridad de CIDI en el sitio web: www.ciudadanodigital.cba.gov.ar.