El día 07 de diciembre de 2018 se publicó en el Boletín Oficial la Resolución 159/2018 emitida por la Agencia de Acceso a la Información Pública (en adelante la “AAIP”), a través de la cual se dispuso la aprobación de los lineamientos y contenidos básicos de las “Normas Corporativas Vinculantes”.
Las “Normas Corporativas Vinculantes” son el conjunto de normas que las corporaciones internacionales pueden adoptar para establecer una regulación interna en materia de protección de datos personales.
Dichas normas son globalmente conocidas como “Binding Corporate Rules” por su denominación en idioma inglés o como “BCR” por sus siglas en dicho idioma.
I.- Introducción: Marco legal en materia de transferencia internacional de datos personales
En la República Argentina el marco regulatorio en materia de protección de datos personales está compuesto principalmente por la Ley de Protección de Datos Personales N° 25.326 (2000), su Decreto Reglamentario N° 1558/2001 y un gran número de disposiciones que regulan la actividad y competencia de la AAIP, órgano de control de la Ley 25.326.
De acuerdo a la normativa aplicable, la transferencia de datos de una sociedad argentina al exterior puede tener dos destinos: un país “con adecuada legislación en materia de protección de datos personales” o por el contrario, un país que no cuente con “una adecuada legislación en materia de protección de datos personales”.
Si la sociedad a la que fuera a transferirse los datos se encuentra radicada en un país que según los criterios dispuestos por la AAIP, cuenta con “una adecuada legislación en materia de protección de datos personales”, la empresa argentina podrá efectuar dicha transmisión de datos sin cumplir con ningún requisito adicional.
Ahora bien, si la sociedad a la que fuera a transferirse los datos se encuentra radicada en un país que según los criterios dispuestos por la AAIP, no cuenta con “una adecuada legislación en materia de protección de datos personales”, la sociedad argentina que transfiere los datos al exterior solo podrá efectuar la transmisión pertinente una vez cumplido alguno de los requisitos que se indican a continuación:
i) haber obtenido la previa conformidad de los titulares de los datos,
ii) haber suscripto un Acuerdo de Transferencia Internacional de Datos Personales (“DTA” por sus siglas en Ingles -Data Transfer Agreement-) con la sociedad receptora de los datos en el exterior que regule el tratamiento que se realizará de dichos datos en el exterior.
iii) si el receptor de los datos en el exterior fuera una empresa vinculada, contar con un instrumento intercompany que regule la transmisión y protección de datos transferidos. Estas son las Normas Corporativas Vinculantes.
De lo precedentemente manifestado en el punto “iii)” se desprende que conforme a la legislación argentina, los “sistemas de autorregulación” en materia de datos personales constituyen una garantía adecuada en el marco de las transferencias internacionales de datos personales, siempre que dichos sistemas de autorregulación reflejen los principios generales en materia de protección de datos personales contenidos en la normativa de la República Argentina.
II.- Características y condiciones de las “Normas Corporativas Vinculantes”
Podría caracterizarse a las Normas Corporativas Vinculantes recientemente incorporadas a nuestra legislación a través de la Resolución 159/2018, como instrumentos intercompany jurídicamente vinculantes, regulados, de naturaleza opcional y no formal que las empresas que forman parte de un mismo grupo económico emiten como normas de auto-regulación tendientes a ofrecer a garantías jurídicas adecuadas en materia de protección de datos personales cuando se realizan transferencias internacionales de datos personales.
A modo de entender con mayor alcance esta figura se hará un análisis segregado de dicha definición:
- Naturaleza (Son instrumentos intercompany):
* Son instrumentos jurídicos que tienen por objeto regular las relaciones entre empresas que forman parte de un mismo grupo económico.
El punto “(1)” del Anexo de la Resolución 159/2018 establece que “Se entenderá como grupo económico a aquellas sociedades que sean controlantes, controladas y aquellas vinculadas en las cuales se tenga influencia significativa en las decisiones, denominación, domicilio, actividad principal, participación patrimonial, porcentaje de votos y, para las controlantes, principales accionistas.
- Caracteres (Son vinculantes, regulados, de naturaleza opcional y no formal):
* Son instrumentos “jurídicamente vinculantes” para las empresas que lo suscriben, pudiendo su cumplimiento incluso ser exigible por terceras partes tales como los titulares de los datos o la AAIP.
* Su contenido se encuentra ahora regulado en la legislación de la República Argentina por la Resolución 159/2018, punto sobre el cual volveremos más adelante.
* Su implementación es de carácter “opcional”, pues las empresas que conforman un grupo económico no están legalmente obligadas a emitir y/o a contar con dicho instrumento.
* Son instrumentos de naturaleza “no formal”, pues la ley no exige para su validez la implementación de ninguna forma y/o solemnidad. En Europa su instrumentación suele asimilarse con aquella utilizada para “códigos de conducta” o “reglamentos internos”.
- Contenido (Contienen normas de auto-regulación tendientes a ofrecer a garantías jurídicas adecuadas en materia de protección de datos personales):
* Establecen las obligaciones y condiciones que cada una de las empresas suscriptoras asume en el exterior para garantizar el cumplimiento de los principios generales en materia de protección de datos personales contenidos en la normativa de la República Argentina.
- Ámbito de Aplicación (Aplicable a relaciones internacionales):
* Las Normas Corporativas Vinculantes tienen por objeto regular las relaciones entre las empresas de un mismo grupo económico cuando las transferencias de datos trascienden las fronteras de una determinada nación.
III.- Beneficios de la implementación de Normas Corporativas Vinculantes
- Flexibilidad: La implementación de un documento conteniendo Normas Corporativas Vinculantes genera una plataforma que otorga a las partes integrantes de un mismo grupo económico una mayor flexibilidad para intercambiarse y procesar recíprocamente sus datos. Por el contrario, la suscripción de un DTA supone la configuración de un marco de aplicación más restringido. En tal sentido, debe tenerse presente que la redacción del DTA impone la obligación para las partes de establecer de modo expreso e inequívoco quién es el exportador y quién es el importador de los datos, quiénes son los titulares de los datos, qué datos se transfieren, qué tratamiento se realizará sobre los mismos, cuál es la finalidad de la transmisión, etc. (ver Disposición 60-E de la Dirección Nacional de Protección de Datos Personales). La necesidad de volcar todas las precisiones antes indicadas produce como efecto una restricción respecto a la posibilidad de aplicar el DTA ya firmado a situaciones diferentes o incluso conexas (ej. tomemos el caso de una empresa argentina que firmó hace 6 meses un DTA con su casa matriz para que esta última le preste el servicio de almacenamiento de datos en el exterior y resulta que ahora es intención de ambas partes que la casa matriz efectúe un análisis de los datos recibidos para “categorizar” a los clientes locales: Si ese fuera el caso, el DTA firmado no cubre las nuevas necesidades de procesamiento de datos, quedando las partes obligadas a firmar un nuevo DTA. Esto deberá repetirse cada vez que las partes deseen cambiar algún término de lo indicado en el/los DTA ya firmados). La implementación de un instrumento conteniendo Normas Corporativas Vinculantes otorga como beneficio a las partes mayor flexibilidad pues éstas no solo podrán transferirse los datos contenidos en sus bases sino que además, podrán coordinar y sistematizar su tratamiento con mayor libertad. Tales Normas Corporativas Vinculantes funcionan como un paraguas que cubre cualquier intercambio y/o procesamiento de datos que se realice dentro de la corporación siempre que tales actividades se ajusten a los lineamientos y contenidos dispuestos en la regulación.
- Mejora en procesos de tratamiento de datos: El proceso de redacción, negociación suscripción e implementación de las Normas Corporativas Vinculantes suele funcionar como una oportunidad para revisar, ajustar y/o mejorar los procesos, mecanismos y técnicas de almacenamiento, protección, tratamiento y/o transmisión de datos personales.
- Mejora en la Imagen Corporativa: La experiencia en Europa demuestra que la mejora en los procesos conforme lo indicado más arriba, como así también la existencia de lineamientos que permiten la transferencia intercompany de datos con una mayor flexibilidad, produce una mejora en la imagen corporativa. Prueba de ello es que en la página oficial de la Comunidad Europea se publica la lista de las empresas que han cumplido con el proceso de suscripción de normas corporativas vinculantes para la Comunidad Europea (“EU Binding Corporate Rules Cooperation Procedure”).
IV.- Lineamientos y contenidos de las Normas Corporativas Vinculantes dispuestos por la Resolución 159/2018
Conforme la mencionada Resolución, los documentos de auto regulación en materia de transferencia de datos personales emitidos por empresas que forman parte de un mismo grupo económico deben seguir los lineamientos y reflejar los siguientes contenidos:
(1) Características:
Una vez implementadas, las normas corporativas “deberán ser obligatorias y exigibles tanto para la totalidad de las empresas que forman parte de un grupo económico (mediante resoluciones societarias que las obliguen a cumplir con dicha norma), como para los empleados, subcontratistas y terceros beneficiarios (mediante cláusulas específicas), y prever remedios judiciales y administrativos de carácter independiente, efectivos y accesibles”.
(2) Contenidos mínimos:
El documento debe incorporar en sus cláusulas, los contenidos mínimos que se describen a continuación, que han de ser interpretados con el alcance y contenidos previstos en la Ley Nº 25.326 o la que en el futuro la reemplace.
a) Condiciones de licitud: 1) Principio de legitimidad del tratamiento; 2) Principio de finalidad; 3) Principio de calidad de los datos (pertinentes restringidos a lo estrictamente necesario para la finalidad, exactos, ciertos, adecuados, actualizados y completos en caso de ser necesario, y su caducidad); 4) Principio de información y transparencia; 5) Principio de seguridad y confidencialidad; 6) Derechos del titular de los datos de acceso, rectificación, actualización y supresión; 7) Restricciones de ulteriores transferencias a terceros países sin legislación adecuada.
b) Protecciones específicas por sensibilidad de la materia: 1) Prohibición del tratamiento de datos sensibles, salvo que resulte necesario por ley o con consentimiento previo del titular de los datos; 2) Previsión del derecho del titular de los datos a ser excluido de los listados de publicidad directa no consentida; 3) Previsión del derecho del titular de los datos a oponerse a ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos que le produzca efectos jurídicos perniciosos o lo afecte significativamente de forma negativa; 4) No conformación de registros de antecedentes penales y/o contravencionales y prohibición de su cesión a terceros salvo con el consentimiento expreso del titular de los datos.
c) Designación de terceros beneficiarios: Se debe otorgar potestad como terceros beneficiarios, con carácter irrevocable y mediante cláusulas específicas, al titular de los datos y la AAIP para el ejercicio de sus prerrogativas, derechos y garantías que la norma de autorregulación les reconoce a su favor.
d) Derechos del titular de los datos: Adecuado reconocimiento y diseño de los procedimientos para el ejercicio de los derechos de los titulares de los datos.
e) Jurisdicción local para el ejercicio de los derechos del titular de los datos: Se debe respetar el derecho del titular de los datos a iniciar un reclamo judicial o administrativo en su jurisdicción local.
f) Responsabilidad: Las empresas que participen en el tratamiento de los datos personales deben asumir responsabilidad solidaria ante el titular de los datos y la autoridad de control frente a cualquier violación de la norma de autorregulación prevista (debería respetarse la eventual intervención de las autoridades de control de cada país exportador).
g) Autoridad de control: Ante una transferencia internacional de datos personales entre empresas que pertenezcan al mismo grupo económico, la AAIP podrá intervenir cuando la empresa que exporte los datos personales se encuentre establecida en la Argentina. A su vez, la AAIP podrá intervenir como tercero beneficiario cuando se encuentren involucrados datos personales de titulares que residan en la Argentina. En el marco de cooperación internacional entre autoridades de control, podrán intervenir todas aquellas autoridades de control de los países en donde se encuentren establecidas las empresas importadoras y exportadoras de los datos personales motivo de la transferencia.
h) Compromiso de garantía y explicación fundada: Se deberá garantizar y fundamentar que las normas de autorregulación sean efectivamente exigibles a las empresas del grupo por el titular de los datos y la AAIP.
i) Capacitación: Debe preverse la capacitación continua del personal asignado a las actividades vinculadas al tratamiento de los datos personales.
(3) Apartamiento de los lineamientos y contenidos básicos arriba indicados:
Conforme lo dispuesto por el art. 2 de la Resolución 159/2018, quienes transfieran datos personales desde Argentina a empresas ubicadas en terceros países sin legislación que resulte adecuada para la protección de datos personales, y sustenten su adecuación en Normas Corporativas Vinculantes que difieran de los lineamientos indicados más arriba, deberán presentar dichas normas ante la AAIP para su control y aprobación dentro de los 30 días siguientes de efectuada la transferencia.
Opinión
PASBBA
opinión
ver todosNORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law
Eskenazi Corp