El día viernes 7 de diciembre de 2018 se publicó en el Boletín Oficial la Resolución N°159/2018 de la Agencia de Acceso a la Información Pública[i] (la “Resolución” y la “AAIP” respectivamente), mediante la cual se aprobó unos lineamientos y contenidos básicos que las empresas pueden incorporar a susnormas autorregulatorias (a modo de bindingcorporate rules[ii]) y de esa manera, realizar transferencias internacionales hacia empresas que conformen un mismo grupo económico ubicadas en países sin legislación adecuada para la protección de datos personales.
La Resolución felizmente otorga un encuadre legal expreso a una eficaz herramienta para viabilizar la transferencia de datos personales dentro del ámbitos de grupos económicos multinacionales, y a la vez forma parte de un conjunto de normas que ya fueron emitidas por la AAIP durante este año[iii] y que tienden a que exista un rol más activo de las empresas en el control y cumplimiento de las normas. Todo ello, mientras se aguarda la sanción del Proyecto de Ley de Protección de Datos Personales[iv] que ya incorpora dicha metodología[v].
La importancia de la Resolución radica en que hace eco de la realidad existente en materia de datos personales referida:
(i) Al hecho de que el nivel adecuado de protección se puede dar tanto a nivel país (mediante la existencia de un ordenamiento jurídico y autoridad específica en la materia[vi]) o a nivel corporación (esto es, si una multinacional elabora y cumple sus controles internos de protección de datos[vii]);
(ii) A que en el mundo globalizado en el que se mueven los datos personales (basta pensar en la industria 4.0 o la Cuarta Revolución Industrial) se desdibuja la aplicación del derecho de un determinado país y la protección de los datos personales queda sujeto más al propio control y cumplimiento interno de la empresa; y
(iii) A la ya aplicación de la extraterritorialidad delReglamento General de Protección de Datos de la Unión Europea (“DGPR”) [viii], lo que provocó que las distintas corporaciones que quieran ofrecer bienes y/o servicio a residentes de la Unión Europeadeban acatar el DGPR y, a tal fin, debieron incluirlo en sus normas autorregulatorias. Así, las distintas empresas multinacionales han ido modificando sus políticas, a fin de otorgar una adecuada protección a los datos personales que recopilan, almacenan y tratan.
A continuación, se explicará sucintamente el régimen de transferencia internacional de datos personales existente en Argentina, luego se analizará la Resolución y la modificación que ella trae y, finalmente, se brindarán las conclusiones.
Régimen Argentino de transferencia internacional de datos personales
La Ley N° 25.326 de Protección de Datos Personales (“LPDP”), dispone que se encuentra prohibida la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados.
La propia norma dispone que no regirá dicha prohibición en los siguientes casos: a) Colaboración judicial internacional; b) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica; c) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable; d) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales Argentina sea parte; e) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico[ix].
Por su parte, el Decreto Reglamentario N° 1558/2011 amplió las escasas excepciones de la LPDP[x]y, en tal sentido, establece que la prohibición de transferir datos personales hacia países que no proporcionen niveles de protección adecuados, no rige cuando el titular de los datos hubiera consentido expresamente la cesión.
También agrega que "No es necesario el consentimiento en caso de transferencia de datos desde un registro público que esté legalmente constituido para facilitar información al público y que esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones legales y reglamentarias para la consulta".
En la práctica, las mencionadas excepciones eran muy limitadas, y en palabras de PALAZZI, “muy pocas eran de aplicación al sector privado”[xi].
Así por ejemplo entre los casos más habituales de transferencias de datos personales en el sector privadose destaca la transferencia de una empresa a otra empresa del mismo grupo económico (esto es, de una sucursal a su casa matriz, por ejemplo) y en la transferencia realizada a un tercero para la prestación de un servicio (tal el caso de almacenamiento en la nube).
Así, a fin de estar dentro del mundo globalizado de la transmisión de datos personales, resultaba necesario incorporar a las medidas contractuales como otra excepción para la transferencia internacional hacia países sin protección adecuada.
Así fue como la por entonces Dirección Nacional de Datos Personales (“DNPDP”), y a pedido de parte, comenzó a analizar borradores de contratos y emitir un dictamen sobre su adecuación. Estos dictámenes fueron formando ciertos lineamientos que permitía interpretar los requisitos para dar base legal a una transferencia internacional de protección de datos personales a una jurisdicción no adecuada. Sin embargo, no existió un modelo oficial de contrato hasta la sanción de la Disposición N° 60/2016DNPDP.
Mediante la Disposición N°60/2016 DNPDP, se realizaron las siguientes cosas:
(i) Se aprobaron dos contratos modelo para usar para transferir datos a jurisdicciones de protección no adecuada o alternativamente se toleró el uso de contratos que contengan los principios, garantías y contenidos relativos a la protección de los datos personales previstos en los modelos aprobados;
(ii) Se indicóla necesidad de solicitar autorización para usar un modelo diferente; y
(iii) Se establecieron, a modo de lista blanca, qué jurisdicciones poseen protección adecuada, dejándose abierta la posibilidad de incorporar nuevas jurisdicciones.
Este era el status hasta el dictado de la Resolución, la cual – como se verá a continuación – modifica el panorama existente.
Análisis de la Resolución
Mediante la Resolución, la AAIP da un paso más hacia el camino de la autorregulación corporativa en materia de datos personales, aprobando los “Lineamientos y contenidos básicos de normas corporativas vinculantes”. De utilizarse dichos lineamientos se podrán realizar transferencias internacionales hacia empresas que conformen un mismo grupo económico ubicadas en países sin legislación adecuada para la protección de datos personales.
Dichos lineamientos indican que las normas corporativas vinculantes que pretendan alcanzar un nivel adecuado de protección de los datos personales deberán ser obligatorias y exigibles tanto para la totalidad de las empresas del grupo como para los empleados, subcontratistas y terceros beneficiarios. Exige como requisito para reputarse vinculantes que existan resoluciones societarias que obliguen a cumplir con dicha norma.
Asimismo, se deben incorporar los siguientes contenidos mínimos, que deben ser interpretados con el alcance y contenidos de la LPDP:
a) Condiciones de licitud: 1) Principio de legitimidad del tratamiento; 2) Principio de finalidad; 3) Principio de calidad de los datos (pertinentes restringidos a lo estrictamente necesario para la finalidad, exactos, ciertos, adecuados, actualizados y completos en caso de ser necesario, y su caducidad); 4) Principio de información y transparencia; 5) Principio de seguridad y confidencialidad; 6) Derechos del titular de los datos de acceso, rectificación, actualización y supresión; 7) Restricciones de ulteriores transferencias a terceros países sin legislación adecuada.
b) Protecciones específicas por sensibilidad de la materia: 1) Prohibición del tratamiento de datos sensibles, salvo que resulte necesario por ley o con consentimiento previo del titular de los datos; 2) Previsión del derecho del titular de dato a ser excluido de los listados de publicidad directa no consentida; 3) Previsión del derecho del titular de los datos a oponerse a ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos que le produzca efectos jurídicos perniciosos o lo afecte significativamente de forma negativa; 4) No conformación de registros de antecedentes penales y/o contravencionales y prohibición de su cesión a terceros salvo con el consentimiento expreso del titular de los datos.
c) Designación de terceros beneficiarios: otorgar al titular de los datos y a la AAIP, la potestad como terceros beneficiarios, con carácter irrevocable y mediante cláusulas específicas, para el ejercicio de sus prerrogativas, derechos y garantías que la norma de autorregulación les reconoce a su favor.
d) Derechos del titular de los datos: Adecuado reconocimiento y diseño de los procedimientos para el ejercicio de los derechos de los titulares de los datos.
e) Jurisdicción local para el ejercicio de los derechos del titular de los datos: Establecer que el titular de los datos podrá iniciar un reclamo judicial o administrativo en su jurisdicción local.
f) Responsabilidad: Solidaria ante el titular de los datos y la autoridad de control frente a cualquier violación de la norma de autorregulación prevista (debería respetarse la eventual intervención de las autoridades de control de cada país exportador).
g) Autoridad de control: La AAIP podrá intervenir cuando la empresa que exporte los datos personales se encuentre establecida en Argentina. A su vez, la AAIP podrá intervenir como tercero beneficiario cuando se encuentren involucrados datos personales de titulares que residan en Argentina. En el marco de cooperación internacional entre autoridades de control, podrán intervenir todas las autoridades de control de las empresas importadoras y exportadoras.
h) Compromiso de garantía y explicación fundada: Se deberá garantizar y fundamentar que las normas de autorregulación sean efectivamente exigibles.
i) Capacitación: Debe preverse la capacitación continua del personal asignado a las actividades vinculadas al tratamiento de los datos personales.
De esta forma, el estándar exigido por la Resolución puede ser considerado altamente exigente y será cuestión de que los grupos económicos revisen si sus bindingcorporate rules cubren todos los requisitos mínimos. Esto último puede ser un obstáculo, ya que la adecuación de dichas normas implica un movimiento a nivel grupo para satisfacer un requerimiento local.
Sin embargo, la Resolución contempla como alternativa la posibilidad de presentar normas de autorregulación que difieran de los lineamientos de la Resolución a los fines de intentar su aprobación. A tal fin, se deberán presentar dichas normas ante la AAIP para su control y aprobación, dentro de los 30 días siguientes de efectuada la transferencia.
Conclusiones
La Resolución, siguiendo la tendencia mundial, incorporó una nueva alternativaque permitirá a grupos económicos la transferencia internacional hacia países sin protección adecuadaimponiendo a la vez un riguroso estándar que asegure la protección de los datos, dando un paso más haciala responsabilidad proactiva de las empresas frente a la protección de datos personales.
Por tal motivo, actualmente el régimen argentino permite:
- Transferir datos personales hacia países con protección adecuada[xii].
- Transferir datos personales hacia países sin protección adecuada en los siguientes casos:
(i) Excepciones dispuestas en el artículo 12 LPDP: a) Colaboración judicial internacional; b) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica; c) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable; d) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales Argentina sea parte; e) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.
(ii) Cuando el titular de los datos hubiera consentido expresamente la cesión;
(iii) Si se utiliza uno de los dos acuerdos modelos aprobados por la Disposición N° 60/2016 DNPDP o, solicitando autorización para usar un modelo diferente; y
(iv) En lo que se refiere a transferencias internacionales hacia empresas que conformen un mismo grupo económico, cuando se incorporen a sus bindingcorporate rules los lineamientos y condiciones aprobadas por la Resolución o, se presenten ante la AAIP normas autorregulatorias que difieran de los lineamientos de la Resolución para su control y aprobación, dentro de los 30 días siguientes de efectuada la transferencia.
La iniciativa de la Resolución es muy buena pues habilita y ayuda al desarrollo globalizado de las empresas, al mismo tiempo que no descuida la protección de los datos personales.
Queda sin embargo ver cómo será la implementación de estos lineamientos en las políticas internas de las empresas. Esto, en tanto ciertas exigencias podrían resultar difíciles de incorporar sumado a que la modificación de dichas políticas – sobre todo en grandes grupos económicos – puede demorar o directamente no ser viable. Asimismo, deberá estarse a qué flexibilidad demostrará la AAIP ante la solicitud de aprobación de normas de autorregulación que difieran de los lineamientos aprobados.
Citas
[i] Organismo creado por la Ley N° 27.275 que reemplazó en el año 2017 a la Dirección Nacional de Protección de Datos Personales. A diferencia de su antecesor, es un ente autárquico que funciona con autonomía funcional en el ámbito del Poder Ejecutivo Nacional.
[ii] Los Binding Corporate Rules se desarrollaron en la Unión Europea en el artículo 29 del Grupo de Trabajo (compuesto por un representante de la autoridad de protección de datos de cada Estado miembro de la Unión Europea, el Supervisor Europeo de Protección de Datos y la Comisión Europea) para permitir que empresas multinacionales y organizaciones internacionales puedan realizar transferencias de datos personales entre ellas en cumplimiento con la normativa europea de Datos Personales.
[iii] Entre ellas, cabe mencionar Resolución N° 40/2018 referente a la “Política Modelo de Protección de Datos Personales para Organismos Públicos” el “Delegado de Protección de Datos Personales); Resolución N°47/2018 sobre Medidas de Seguridad y Resolución N° 132/2018 referente a la Inscripción de las Bases de Datos.
[iv] El día 23 de septiembre de 2018, mediante Mensaje N° 147-2018, el Poder Ejecutivo Nacional presentó ante el Congreso de la Nación el Proyecto de Ley de Protección de Datos Personales, que actualmente se encuentra en tratamiento.
[v] Asimismo, resulta notorio que el Proyecto de Ley de Datos Personales en el inciso e) del articulo 23 establece que latransferencia internacional de datos personales será lícita cuando: “sea efectuada a cualquier sociedad del mismo grupo económico del responsable del tratamiento, en tanto los datos personales sean utilizados para finalidades que no sean incompatibles con las que originaron su recolección”
[vi] Este fue principalmente el enfoque seguido en el estudio realizados por los profesores americanos de Derecho, Paul M. Schwartz y Joel R.Reidenbergen el que compararon el régimen de privacidad existente en los Estados Unidos y en la Unión Europea, concluyendo que Estados Unidos carece de un régimen adecuado de protección de datos personales (Schwartz y Reidenberg, Data PrivacyLaw: A Study of United States Data Protection, Lexis Law Publishing - 1996).
[vii] Ejemplo de ello son el Safe Harbor y su continuador: el Privacy Shield.
[viii] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de fecha 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
[ix] Ver artículo 12 de la LPDP
[x] Siguiendo las previstas en el derogado artículo 26 de la Directiva Europea de Protección de Datos del año 1995 lo que implicó una mayor armonización con el régimen europeo. Dicha norma fue reemplazada por el DGPR.
[xi] Palazzi, Pablo A. “Transferencia Internacional de Datos Personales. Nueva Regulación de la Dirección Nacional de Protección de Datos Personales”, Publicado en: LA LEY 15/02/2017, 1 • LA LEY 2017-A,1039 Cita Online: AR/DOC/3904/2016
[xii] Dichos países conforme surge de la Disposición N° 60/2015 DNPDP son: Estados miembros de la Unión Europea y miembros del Espacio Económico Europeo (EEE), Suiza, Guernsey, Jersey, Isla de Man, Islas Feroe, Canadá (sólo respecto de su sector privado), Andorra, Nueva Zelanda, Uruguay e Israel (sólo respecto de los datos que reciban un tratamiento automatizado).
Opinión
Beccar Varela
opinión
ver todosFernando Varela & Asociados
Kabas & Martorell
Alchouron, Berisso, Balconi, Fernández Pelayo & Werner
Noetinger & Armando