En los últimos meses ocurrieron dos acontecimientos importantes respecto a las transferencias internacionales de datos personales. Por una parte, el presidente norteamericano Joe Biden firmó la orden ejecutiva denominada “Privacy Shield 2.0”. Por otra, la Red Iberoamericana de Protección de Datos (“RIPD”) publicó la “Guía de implementación de cláusulas contractuales modelo para la transferencia internacional de datos personales” (“Guía”).

1. Acuerdo entre EE.UU y la UE.

Desde hace varios años se han generado disputas como consecuencia de las revelaciones sobre el ciberespionaje del gobierno de los Estados Unidos (“EEUU”). En 2020, se publicó la sentencia del Tribunal de Justicia de la Unión Europea (“UE”) conocida como “Schrems II” que generó importantes consecuencias para el tratamiento y transferencia de datos en América. En aquella oportunidad, el Tribunal declaró inválido el “Privacy Shield”, acuerdo entre EE.UU. y UE que habilitaba la transferencia transfronteriza de datos. En la sentencia, se consideró que la legislación de los EE.UU. no brindaba garantías acordes a las exigencias de la UE en lo que respecta a la protección de datos personales y por lo tanto limitó su posibilidad de tratamiento de datos.

Luego de tratativas entre los bloques para llegar a un acuerdo respecto de la creación de un marco regulatorio que posibilite la transferencia internacional de datos personales, el 7 de octubre del 2022 Joe Biden firmó la orden ejecutiva denominada “Privacy Shield 2.0”. Entre los objetivos del acuerdo, se destacan los siguientes:

• Requerir a las autoridades de inteligencia estadounidenses que limiten las actividades de inteligencia de señales de EE. UU. a lo que sea necesario y proporcionado.
• Regular un mecanismo para atender los reclamos transmitidos por la autoridad pública correspondiente de un Estado con respecto a las actividades de inteligencia de los EE.UU.

2. Guía de la RIPD

El 27 de septiembre de 2022 se publicó la versión final de la Guía de la RIPD. La misma fue presentada en noviembre de 2021 con el objeto de recibir comentarios y observaciones de los interesados.

Como mencionamos en una edición anterior de BeNews (ver aquí), la Guía regula el uso de las cláusulas contractuales modelos (“CCM”) para la transferencia internacional de datos personales.

En Argentina, la Ley 25.326 establece como principio general la prohibición de la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados (artículo 12, inciso 1).

Por otra parte, si bien en América Latina no existen cláusulas contractuales modelo aprobadas a nivel regional, la Agencia de Acceso a la Información Pública aprobó mediante la Disposición N° 60-E/2016 dos modelos de CCM para utilizar en casos de transferencias internacionales de datos personales que involucren la transmisión de información a responsables o a encargados de tratamiento.

Por Josefina Piñeiro y Mateo Darget