El 15 de enero de 2024, la Comisión Europea (“la Comisión”) concluyó la revisión de 11 declaraciones de países adecuados ya existentes, entre los que se incluyen Argentina y Uruguay. En su informe, la Comisión concluye que los datos personales transferidos desde la Unión Europea a Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay siguen gozando de garantías adecuadas de protección de datos. Por lo tanto, las decisiones de adecuación adoptadas para estos 11 países y territorios siguen en vigor y los datos pueden seguir fluyendo libremente a estas jurisdicciones.

En los casos de Argentina y Uruguay, la Comisión valoró la adhesión por parte de ambos países al Convenio N° 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y la ratificación del Protocolo de modificación que crea el Convenio 108+ modernizado. Asimismo, entendió que las autoridades públicas de ambos países están sujetas a reglas claras, precisas y accesibles para el acceso y uso de datos transferidos desde la Unión Europea con fines de interés público, especialmente en la aplicación de la ley penal y la seguridad nacional.

En Argentina, la Comisión consideró además la independencia de la autoridad de control de protección de datos como consecuencia de la creación de la Agencia de Acceso a la Información Pública a través del Decreto 746/17, y el gran número de normas y dictámenes vinculantes que aclaran cómo debe interpretarse y aplicarse en la práctica el marco de protección de datos emitido por dicha autoridad. Por último, la Comisión recomendó la aprobación del Proyecto de Ley de Protección de Datos recientemente presentado en el Congreso argentino, con el fin de incorporar las protecciones desarrolladas a nivel sub legislativo y fortalecer el marco de privacidad. Actualmente, dicho Proyecto se encuentra bajo revisión de la Comisión de Asuntos Constitucionales de la Cámara de Diputados.

Con respecto a Uruguay, la Comisión valoró las enmiendas a la Ley 18.331 de Protección de Datos Personales y de acción de Habeas Data que ampliaron el alcance territorial de la legislación de protección de datos, crearon nuevos requisitos de rendición de cuentas (como las evaluaciones de impacto, protección de datos por diseño y por defecto, notificación de incidentes de seguridad y el nombramiento de delegados de protección de datos) e introdujeron protecciones adicionales para los datos biométricos.

Según el Reglamento General de Protección de Datos, la decisión de ratificación permanece vigente 4 años y luego puede revisarse, verificando los acontecimientos que puedan afectar la decisión adoptada. La reivindicación de Argentina y Uruguay como países adecuados para la transferencia internacional de datos apuntala la economía digital en dichos países y desempeña un papel fundamental en el crecimiento y la innovación.

Por Mariano Peruzzotti, Candela Basilotta y Andrea Sanchez Vicentini