Normas Corporativas Vinculantes para la transferencia internacional de datos personales (Resolución 159/2018 de la AAIP). Primer paso en el camino de la autorregulación
Por Romina Iannello
AVOA Abogados

1. Introducción

 

El 7 de diciembre de 2018 se publicó en el Boletín Oficial de la Nación la Resolución 159/2018 de la Agencia de Acceso a la Información Pública (en adelante, la “Resolución”).

 

La Resolución aprueba los “Lineamientos y Contenidos Básicos de Normas Corporativas Vinculantes”con la finalidad de establecer las pautas mínimas a considerar en el diseño de las normas corporativas aplicables a la transferencia internacional de datos personales por parte de un grupo económico.

 

Las normas corporativas vinculantes son reglas generales que determinados grupos económicos aplican en todas las jurisdicciones en las que actúan, en forma complementaria a las normas legales aplicables. En muchos casos se trata de “buenas prácticas” para materias que no están reguladas.

 

En este sentido, la Resolución constituye un avance hacia un sistema de autorregulación en materia de protección de datos personales, que resulta consistente con el proyecto de reforma de la Ley 25.326[1].  Dada la especificidad y complejidad del tema, la Agencia de Acceso a la Información Pública ha decidido que la autorregulación tenga algunos lineamientos orientativos, y es en ese contexto que se dictó la Resolución[2].

 

A continuación me referiré alos lineamientos y contenidos básicos que, según la Resolución, deberíanlas normas de autorregulación en materia de transferencia internacional de datos personales.

 

2. Lineamientos y Contenidos Básicos de Normas Corporativas Vinculantes

 

La Resolución establece que las normas corporativas vinculantes que pretendan alcanzar un nivel de protección adecuado, en los términos del artículo 12 del Decreto 1558/2001[3], deberán ser obligatorias y exigibles para la totalidad de las empresas que formen parte de un grupo económico. Además, deberán ser obligatorias para los empleados, subcontratistas y terceros beneficiarios de cada empresa y prever remedios judiciales y administrativos de carácter independiente, efectivo y accesible.

 

Adicionalmente, la Resolución incorpora una definición de “grupo económico”, concepto que hasta el momentono estaba comprendido en la legislación argentina vigente en materia de protección de datos personales. A tal fin, se establece que “se entenderá como grupo económico a aquellas sociedades que sean controlantes, controladas y aquellas vinculadas en las cuales se tenga influencia significativa en las decisiones, denominación, domicilio, actividad principal, participación patrimonial, porcentaje de votos y, para las controlantes, principales accionistas[4]”.

 

En relación a los contenidos mínimos que deben tenerse en cuenta en la redacción de autorregulación, la Resolución enumera los siguientes:

 

(i) Deberá cumplirse con los principios de: (a)legitimidad del tratamiento; (b) finalidad; (c) calidad de los datos; (d) información y transparencia; y (e)seguridad y confidencialidad;

 

(ii) Deberá darse un adecuado tratamiento a los derechos de los titulares de los datos personales (acceso, rectificación, actualización y supresión), diseñando un procedimiento para su ejercicio;

 

(iii) Deberán restringirse las transferencias ulteriores a terceros países sin legislación adecuada;

 

(iv) Deberá prohibirse el tratamiento de datos sensible,salvo que resulte necesario por ley o con consentimiento previo del titular de los datos;

 

(v) Deberá preverse la posibilidad de que el titular de los datos sea excluido de los listados de publicidad directa no consentida;

 

(vi) Deberá preverse el derecho del titular de los datos a oponerse a ser objeto de una decisión basada únicamente en eltratamiento automatizado de datos que le produzca efectos jurídicos perniciosos o lo afectesignificativamente de forma negativa;

 

(vii) No se podrán formar registros de antecedentes penales y/ocontravencionales y prohibición de su cesión a terceros salvo con el consentimiento expreso del titular de los datos;

 

(viii) Deberá otorgarse potestad como terceros beneficiarios, con carácterirrevocable y mediante cláusulas específicas, al titular de los datos y a la Agencia de Acceso a la Información Pública para el ejercicio de sus prerrogativas, derechos y garantías que la norma de autorregulación les reconoce a su favor;

 

(ix) Deberá respetarse el derechodel titular de los datos a iniciar un reclamo judicial o administrativo en su jurisdicción local;

 

(x) Todas las empresas que participen en el tratamiento de los datos personales deberán asumirresponsabilidad solidaria ante el titular de los datos y la Agencia de Acceso a la Información Pública y/o la autoridad de control que corresponda frente a cualquier violación dela norma de autorregulación;

 

(xi) Deberá preverse la eventual intervención de las autoridades de control de cada país exportador;

 

(xii) Deberá preverse que la Agencia de Acceso a la Información Pública podrá intervenir cuando: (a) la empresa que exporte los datos personales se encuentre establecida en la República Argentina; y (b) como tercero beneficiario cuando se encuentren involucrados datos personales de titulares que residan en la República Argentina;

 

(xiii) Deberá garantizarse y fundarse que las normas deautorregulación sean efectivamente exigibles a las empresas del grupo por el titular de los datos y la Agencia de Acceso a la Información Pública; y

 

(xiv) Deberá preverse la capacitación continua del personal asignado a las actividades vinculadas con tratamiento de los datos personales.

 

Adicionalmente, la norma indica que todas cláusulas de las normas de autorregulación deberán interpretarse con el alcance previsto en la Ley 25.326.

 

En caso de que la transferencia internacional se realice a países con niveles de protección “no adecuados” y se quisiera sustentar la adecuación en base a normas de autorregulación que no contengan el contenido mínimo enunciado precedentemente, deberá presentarse dicha norma ante la Agencia de Acceso a la Información Pública para su control y aprobación, dentro de los 30 días siguientes de efectuada la transferencia.

 

3. Conclusión

 

La transferencia internacional de datos personales es una de las temáticas más complejas y que más dudas generó desde la entrada en vigencia de la Ley 25.326. Más aún si tenemos en cuenta que vivimos en un mundo globalizado y tecnológico donde la información puede viajar en segundos de un punto a otro del planeta.

 

En el ordenamiento jurídico argentino, como regla general, se prohíbe la transferencia internacional de datos personales a países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados[5]. Asimismo, se establece que “un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente, o de sistemas de autorregulación, o del amparo que establezcan las cláusulas contractuales que prevean la protección de datos personales[6]”.

 

Antes de la entrada en vigencia de la Resolución, se podía transferir datos personales a países seguros[7], o bien a países que no proporcionen niveles de protección adecuadossi: (i) se verificaba alguna de las excepciones previstas en el artículo 12 de la Ley 25.326[8]; (ii) se tenía el consentimiento del titular; o (iii) se utilizaba el modelo de contrato aprobado por la Disposición E- 60/2016, que al igual que la Resolución buscó establecer principios y garantías mínimos para proteger a los titulares de los datos. Este contrato debía suscribirse tanto si exportadora e importadora pertenecían al mismo grupo económico o no.

 

La Resolución viene a simplificar el proceso de transferencia internacional entre empresas de un mismo grupo económico permitiendo la autorregulación, aspecto que resulta consistente con la nueva normativa europea[9] y, como señalé al inicio, tambiéncon el proyecto de reforma de la Ley 25.326.

 

La autorregulación permite que la protección de los titulares de datos personales sea más flexible y se adapte a la evolución tecnológica, cumpliendo con determinados aspectos esenciales de protección. Si esos aspectos no se cumplen, al igual que se estableció en la Disposición E 60/2016 de la Dirección Nacional de Protección de Datos Personales, la Autoridad de Control podrá intervenir y ejercer su facultad sancionatoria. 

 

Finalmente, cabe señalar que la aplicación práctica de la Resolución generará seguramente una serie de inquietudes que su texto no resuelve en forma explícita. No obstante, considero que tanto esta Resolución como la Resolución 47/2018de la Agencia de Acceso a la Información Públicacoadyuvan a generar una mayor cultura de protección de datos personales. Y lo hacen del modo que parece el más razonable para un tópico tan crítico como éste, procurando un equilibrio entre la actuación regulatoria estatal y la responsabilidad de los particulares. Este equilibrio se logra mediante una autorregulación orientada o guiada por la Autoridad de Control.

 

 

Citas

[1] En el proyecto reforma se procura establecer un criterio de responsabilidad para los titulares y usuarios de bases de datos que no se base tanto en aspectos registrales, como ocurre en la actualidad, sino que se apoye en buenas prácticas, en protocolos internos, y en documentos que evidencien un alto grado de autorregulación.

[2] Antes de la Resolución, con el dictado de la Resolución 47/2018 la Agencia de Acceso a la Información Pública dejó aclarado que su intención es acompañar a los titulares y usuarios de bases de datos mediante el dictado de normas orientativas que permitan asegurar un mínimo de cumplimiento con el marco regulatorio.

[3] El último párrafo del Decreto Reglamentario 1558/2001 establece que: “se entiende que un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente, o de sistemas de autorregulación, o del amparo que establezcan las cláusulas contractuales que prevean la protección de datos personales”.

[4] Esta definición coincide con la definición de “grupo económico” incorporada en el proyecto de reforma de la Ley 25.326.

[5] Artículo 12 de la Ley 25.326

[6] Artículo 12 del Decreto 1558/2001

[7] Conforme la Disposición- E/2016 de la Dirección Nacional de Datos Personales son países seguros: “Estados miembros de la Unión Europea y miembros del espacio económico europeo (EEE), la Confederación Suiza, Guernsey, Jersey, Isla de Man, isla Feroe, Canadá sólo respecto de su sector privado, Principado de Andorra, Nueva Zelanda, Republica Oriental de Uruguay y Estado de Israel sólo respecto de los datos que reciban un tratamiento automatizado”.

[8] Excepciones: “a) Colaboración judicial internacional; b) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica, en tanto se realice en los términos del inciso e) del artículo anterior; c) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable; d) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte; e) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico”.

[9] Reglamento (UE) 2016/679

Opinión

Aportes irrevocables a cuenta de futuras suscripciones de acciones y nuevas normas de la IGJ: ¿resurgimiento como opción de financiamiento?
Por Dolores M. Gallo
Barreiro
detrás del traje
Diego Palacio
De PALACIO & ASOCIADOS
Nos apoyan