1. Introducción
Junto con el “Titular del dato” y el “Responsable de la Base de datos”, el “Encargado de tratamiento” de datos -entendiéndose por tal a quien procesa datos por cuenta y orden de un tercero- constituye uno de los actores centrales en la legislación de datos personales.
En la actualidad, con la omnipresencia de la tecnología en las relaciones contractuales a nivel corporativo, el tratamiento de datos por cuenta de terceros está presente en prácticamente todas las transacciones que involucren prestación de servicios. La mayoría de los proveedores de servicios de una compañía probablemente deban considerarse “encargados de tratamiento”, en tanto deben procesar datos de la compañía que los contrató (“responsable de la base de datos”) y datos de terceros que la compañía la suministró a fin de que tales proveedores puedan brindar los servicios para los cuales fueron contratados. Abogados, contadores, agencias de marketing, proveedores de servicios informáticos, consultores, etc, deben, en principio, considerarse “encargados de tratamiento” de los datos provistos por sus clientes, con las implicancias legales que ello supone.
Paradójicamente, pese a lo anterior y contrariamente a los que sucede en la legislación comparada, se trata de una de las figures menos reguladas en la normativa argentina de datos personales. La Ley 25.326 de Protección de Datos Personales (“LPDP”) ni siquiera define al “encargado de datos personales” como tal; y dicho instituto tampoco está previsto en ninguna de las más de 100 regulaciones de la autoridad de aplicación de la LPDP (actualmente la Agencia de Acceso a la Información Pública, organismo dentro del cual funciona la Dirección Nacional de Protección de Datos Personales), al punto que la única referencia normativa respecto del tratamiento de datos por cuenta de terceros es la contenida en el art. 25 de la LPDP y la reglamentación del mismo por parte del Dec PEN 1558/01.
Seguidamente reseñaremos los aspectos jurídicos que consideramos más relevantes de esta actividad y/o más controversias y dudas generan en la práctica corporativa, especialmente en razón de las lagunas normativas antes mencionadas.
2. Consentimiento del Titular del Dato.
Uno de los principios fundamentales de la LPDP radica en la obligación de obtener el consentimiento previo, expreso e informado de los titulares de datos personales para recolectar, ceder, y en general, “tratar” (conforme el amplísimo alcance que la definición de la LPDP le asigna a este vocablo) datos personales. Incluso, salvo excepciones específicamente contempladas, la LPDP establece un doble régimen al distinguir el consentimiento exigible para la recolección y tratamiento de datos personales (art. 5) y el consentimiento necesario para practicar la cesión o transferencia de esa información a un tercero (art. 11). Corresponde aclarar que “transferir”, “transmitir” o “ceder” bases de datos no implica transferir la propiedad de las bases de datos en cuestión, sino comunicar -por cualquier medio- tales datos a un tercero.
Una de las excepciones a la necesidad de obtener el consentimiento del titular del dato sucede cuando quien legalmente ostenta tales datos los transfiere transitoriamente a un tercero (justamente el “encargado”) para que este último le brinde servicios informatizados de tratamiento de datos personales. Esta excepción al requisito del consentimiento previo del titular del dato, reconocida por gran parte de la doctrina e incluso por dictámenes de la autoridad de aplicación, carece de acogida legal específica en Argentina.
Una simple disposición de la autoridad de aplicación reglamentaria del art. 25 de la LPDP convalidando esta tesitura brindaría seguridad jurídica y plasmaría normativamente el criterio que desde hace años sucede en la práctica y sostiene el propio organismo al respecto.
3. Contrato entre el Responsable de la Base de Datos y el Encargado de Tratamiento.
En los casos de prestación informatizados de datos personales por cuenta de terceros antes mencionados, la LPDP dispone que el encargado proveedor de tales servicios deberá: a) abstenerse de aplicar o utilizarse los datos con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación; cumplir con las medidas de seguridad y confidencialidad establecidas en la LPDP; y destruir los datos personales una vez cumplida la prestación contractual (salvo, dispone la ley “que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años”).
Todo ello deberá constar en un contrato escrito entre el responsable del banco de datos personales y el encargado a cargo de proveer los servicios de tratamiento de datos en cuestión. El Decreto reglamentario de la LPDP establece que el contrato que vincule al encargado del tratamiento con el responsable o usuario del tratamiento “disponga, en particular: a) que el encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento; y b) que las obligaciones del artículo 9º de la Ley Nº 25.326 incumben también al encargado del tratamiento” (esto último se refiere a las medidas de seguridad y confidencialidad que adoptar tanto el responsable de la base de datos como el encargado contratado).
En la práctica, en los contratos de servicios de considerable envergadura y/o los de empresas multinacionales, suelen incluirse bastante más obligaciones a cargo del encargado proveedor, esencialmente basadas en los requerimientos del art. 28 del Reglamento General de Protección de Datos de la Unión Europea.
4. Tratamiento Internacional de Datos.
En caso de que el encargado prestador del servicio esté domiciliado fuera de Argentina y/o con servidores fuera de Argentina, la instrumentación de la contratación deberá realizarse distinguiendo si el encargado se encuentra -o no- radicado en un país que proporcione o no un nivel de protección “adecuado” en materia de datos personales, conforme el listado de la normativa Argentina en este respecto (conf. Disp AAIP 60/2016).
En el caso de encargados que provean el servicio de tratamientos de datos en países que sí proporcionen niveles de protección adecuados, como por ej., la UE- el cliente y el proveedor de los servicios deberán suscribir un contrato escrito al respecto, pero serán libres de pactar los términos del contrato de acuerdo a la ley argentina o bien a la ley del país del encargado como ley aplicable entre las partes. Ello es así, porque se considera que dicha ley extranjera tutela los datos personales igual o mejor que la LPDP. Sin perjuicio de ello, frente al titular de los datos personales y/u otros terceros, ambas partes deberán cumplir con los recaudos de la LPDP.
En el segundo supuesto -cuando para la prestación de servicios informatizados de tratamiento se transfieran internacionalmente datos personales a países que NO proporcionen niveles de protección adecuados de los mismos, como por ejemplo EE.UU. y tantos otros, el cliente argentino (responsable de la base de datos y exportador de los mismos a estos efectos) y el encargado de tratamiento (importador de datos) deberá suscribir un contrato de transferencia internacional de datos con motivo de prestación de servicios, de acuerdo con los preceptos requerido por la normativa Argentina (anexo II de la Disp. AAIP 60/2016). Esta última dispone un modelo de contrato para ello, que incluye el pacto de ley y jurisdicción argentinas para cualquier controversia entre las partes.
5. Subcontratación
Es usual que los encargados de tratamiento de datos recurran a subcontratistas para brindar sus servicios, particularmente los grandes proyectos, en los cuales suele suceder que el encargado carezca de todos los recursos para brindar por sí solo el servicio de tratamiento en cuestión. Esto genera que el encargado del tratamiento (a quien le fueron transferidos datos personales para tal fin) tercerice parte de su actividad y ceda a su vez tales datos al sub-contratista.
Se ha cuestionado la posibilidad de subcontratar del encargado. La LPDP establece en su art. 25 que el encargado de restar servicios de tratamiento de datos no puede “cederlos a otras personas, ni aun para su conservación”. Sin embargo, de acuerdo con la doctrina mayoritaria, dictámenes de la autoridad de aplicación e incluso normativa que trata el tema (i.e., Disp AAIP 60/2016 para subcontratación internacional), considero que este tipo de subcontratación es legalmente válida en la medida en que (i) haya sido expresamente autorizada por el responsable de tratamiento en el contrato de prestación de servicios de tratamiento de datos; y (ii) el subcontratista suscriba con el encargado del tratamiento originario un contrato prestación de servicios, obligándose en los mismos términos que este último a cumplir con la LPDP, de acuerdo a lo señalado en el Capítulo 3 del presente. En supuestos de subcontratación internacional, el encargado/importador de datos residente en un país sin “protección adecuada” en materia de datos personales, deberá suscribir con el subcontratista/subencargado un contrato en el que este último asuma iguales obligaciones que el importador, en lo que resulte compatible, e incluya al exportador de datos, al titular del dato y a la autoridad de control, como terceros beneficiarios, en los términos requeridos por la Disp AAIP 60/2016.
6. Responsabilidad del Encargado de Tratamiento.
¿Debe el encargado de tratamiento de datos ser considerado solidariamente responsable con el cliente que requirió sus servicios (el “responsable de la base de datos”) por eventuales infracciones a la LPDP? Esta cuestión -en esencia, determinar el alcance de la responsabilidad del encargado de tratamiento de datos- ha sido y sigue siendo uno de los aspectos más controvertidos, problemáticos y que mayor inseguridad jurídica genera por su falta de regulación en Argentina. Ni la LPDP ni ninguna de sus disposiciones reglamentarias se refieren a este aspecto central.
Hace unos años, un sector de la doctrina propiciaba la respuesta afirmativa -solidaridad del cliente y el encargado- fundándose en que la prestación de este tipo de servicios implica ceder -al menos transitoriamente- por lo cual correspondía aplicar la solidaridad establecida en el art. 11 inc. 4 de la LPDP. Este razonamiento conduciría a que los prestadores de servicio -aun sin incumplir sus obligaciones contractuales de tratamiento- resulten responsables por cualquier infracción a la LPDP de los clientes que les encomendaron tales servicios.
Personalmente disiento con este criterio. En concordancia con doctrina mayoritaria y dictámenes de la actual AAIP, considero que, lejos de ser solidariamente responsables, el cliente (responsable del banco de datos) y el encargado proveedor asumen responsabilidades bien distintas bajo la LPDP. Así, el encargado de tratamiento solo debe ser considerado responsable si incumple los términos del contrato de servicios suscripto por el responsable; o infirnge algunas de las obligaciones específicamente previstas en el art 25 de la LPDP para los servicios de tratamiento informatizado de datos (por ej., si utiliza los datos recibidos para un fin distinto de la prestación de servicios encomendada, se aparta de las instrucciones impartidas por el cliente o incumple las obligaciones de seguridad de datos comprometidas). Por el contrario, si la actividad del encargado se ajusta a esto último y a los términos del contrato suscripto con el cliente/responsable de la base de datos, cualquier infracción a la LPDP que no sea directamente atribuible al encargado del tratamiento debería imputársele a aquél.
7. Regímenes para encargados de Industrias Específicas.
Ciertas industrias en particular, como por ejemplo salud o finanzas, contienen ciertas regulaciones específicas para el procesamiento de datos personales que los encargados deben cumplir, además de las derivadas de la LPDP antes reseñadas. Entre estas merece ser destacada la Comunicación A 6354 del Banco Central de la República Argentina, modificada por su similar A 6375, aplicable a los prestadores de “Servicios de Tecnología Informática” (conforme la amplia definición de este término establecida por la propia norma) y servicios de tercerización y descentralización de actividades para bancos y entidades financieras. La norma es compleja y detallada en cuanto a los requisitos técnico-operativos que deben cumplir los encargados que brinden este tipo de servicios.
Una resumen de los aspectos básicos de la norma puede leerse en el artículo que escribí para esta misma publicación unos meses después de publicada la norma y que se mantiene vigente en la actualidad, en el siguiente link: https://abogados.com.ar/index.php/procesamiento-de-datos-de-entidades-financieras-nuevo-marco-regulatorio/21210
Entrevistas
POSADAS
opinión
ver todosKabas & Martorell
Alchouron, Berisso, Balconi, Fernández Pelayo & Werner
Noetinger & Armando
Brons & Salas