El 7 de diciembre de 2018, mediante la Res. 159/18 de la Agencia de Acceso a la Información Pública (AAIP), se aprobaron los Lineamientos para el diseño de documentos relativos a normas de autorregulación en empresas que conformen un mismo grupo económico, para la transferencia internacional de datos personales.

Antecedentes

La Ley N° 25.326 de Protección de Datos Personales (“LPDP”) dispone que es prohibida la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados.

Asimismo, establece que dicha prohibición no regirá en los supuestos[1]de: (i) Colaboración judicial internacional; (ii) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica; (iii) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable; (iv) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales Argentina sea parte; (v) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.

A su tiempo, el Decreto 1558/01 facultó a la por entonces Autoridad de Aplicación de la LPDP Dirección Nacional de Protección de Datos Personales (DNPDP), a “evaluar, de oficio o a pedido de parte interesada, el nivel de protección proporcionado por las normas de un Estado u organismo internacional”, decretando que el carácter adecuado del nivel de protección que ofrece un país u organismo internacional se debe evaluar atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos.

Para el Decreto 1558/01, un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente, o de sistemas de autorregulación, o del amparo que establezcan las cláusulas contractuales que prevean la protección de datos personales.

Toda vez que no se encontraban previstas las medidas contractuales como otra excepción para la transferencia internacional hacia países sin protección adecuada, a pedido de parte, la DNPDP comenzó oportunamente a analizar borradores de contratos, y a emitir un dictamen respecto a su adecuación.

Estos dictámenes fueron conformando ciertos lineamientos que permitían interpretar los requisitos para dar base legal a una transferencia internacional de protección de datos personales a una jurisdicción no adecuada. Empero, no fue hasta la emisión de la Disposición 60 /2016 que la DNPDP aprobó un modelo oficial de contrato para la materia.

La Disp. N°60/2016 DNPDP, además de receptar dos contratos modelo para utilizar en la transferencia de datos personales a jurisdicciones de protección no adecuada, permitió -de manera alternativa- que las partes involucradas suscriban contratos que difieran de estos prototipos, siempre y cuando los documentos empleados contuviesen los principios, garantías y contenidos relativos a la protección de los datos personales previstos en los modelos aprobados.

Resolución 159/2018 – “Lineamientos y contenidos básicos de normas corporativas vinculantes”

En línea con el derrotero normativo descripto, la AAIP ha interpretado que la legislación argentina admite como garantías adecuadas a los fines de la transferencia internacional de datos personales, la existencia de sistemas de autorregulación que brinden una protección similar a la de nuestra normativa.

En este sentido, reconoce que resulta una costumbre internacional cada día más extendida a nivel empresarial de orden multinacional, el desarrollo de normas de autorregulación entre empresas de un mismo grupo económico, en inglés conocidas como Binding Corporate Rules (BCRs).

A tales efectos, juzgó conveniente delinear los contenidos básicos de una autorregulación empresaria para ser considerada lícita y garantizar los derechos del titular del dato, otorgando mayor seguridad jurídica en estos sistemas normativos complejos.

Los lineamientos aprobados indican que las normas corporativas vinculantes que pretendan alcanzar un nivel adecuado de protección de los datos personales deberán ser obligatorias y exigibles tanto para la totalidad de las empresas que forman parte de un grupo económico[2](mediante resoluciones societarias que las obliguen a cumplir con dicha norma), como para los empleados, subcontratistas y terceros beneficiarios (mediante cláusulas específicas), y prever remedios judiciales y administrativos de carácter independiente, efectivos y accesibles.

A su vez, deberán respetar los siguientes contenidos mínimos:

a) Condiciones de licitud: Principios de legitimidad del tratamiento, finalidad, calidad de los datos (pertinentes restringidos a lo estrictamente necesario para la finalidad, exactos, ciertos, adecuados, actualizados y completos en caso de ser necesario, y su caducidad), información y transparencia, seguridad y confidencialidad; Derechos del titular de los datos de acceso, rectificación, actualización y supresión; Restricciones de ulteriores transferencias a terceros países sin legislación adecuada.

b) Protecciones específicas por sensibilidad de la materia: Prohibición del tratamiento de datos sensibles, salvo que resulte necesario por ley o con consentimiento previo del titular de los datos; Previsión de los derechos del titular de dato a ser excluido de los listados de publicidad directa no consentida y a oponerse a ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos que le produzca efectos jurídicos perniciosos o lo afecte significativamente de forma negativa; No conformación de registros de antecedentes penales y/o contravencionales y prohibición de su cesión a terceros salvo con el consentimiento expreso del titular de los datos.

c) Designación de terceros beneficiarios: Se debe otorgar potestad como terceros beneficiarios, con carácter irrevocable y mediante cláusulas específicas, al titular de los datos y a la AAIP para el ejercicio de sus prerrogativas, derechos y garantías que la norma de autorregulación les reconoce a su favor.

d) Derechos del titular de los datos: Adecuado reconocimiento y diseño de los procedimientos para el ejercicio de los derechos de los titulares de los datos.

e) Jurisdicción local para el ejercicio de los derechos del titular de los datos: Se debe respetar el derecho del titular de los datos a iniciar un reclamo judicial o administrativo en su jurisdicción local.

f) Responsabilidad: Las empresas que participen en el tratamiento de los datos personales deben asumir responsabilidad solidaria ante el titular de los datos y la autoridad de control frente a cualquier violación de la norma de autorregulación prevista (debería respetarse la eventual intervención de las autoridades de control de cada país exportador).

g) Autoridad de control: Ante una transferencia internacional de datos entre empresas que pertenezcan al mismo grupo económico, la AAIP podrá intervenir cuando la empresa que exporte los datos personales se encuentre establecida en Argentina. A su vez, la AAIP podrá intervenir como tercero beneficiario cuando se encuentren involucrados datos personales de titulares que residan en Argentina. Podrán intervenir todas aquellas autoridades de control de los países en donde se encuentren establecidas las empresas importadoras y exportadoras de los datos personales motivo de la transferencia.

h) Compromiso de garantía y explicación fundada: Se deberá garantizar y fundamentar que las normas de autorregulación sean efectivamente exigibles a las empresas del grupo por el titular de los datos y la AAIP.

i) Capacitación: Debe preverse la capacitación continua del personal asignado a las actividades vinculadas al tratamiento de los datos personales.

Las empresas que transfieren datos personales a compañías ubicadas en terceros países sin legislación que adecuada, y sustenten su adecuación en normas de autorregulación que difieran del documento aprobado, deben presentar dichas normas ante la AAIP para su control y aprobación, dentro de los 30 días siguientes de efectuada la transferencia.