Antecedentes<\/b><\/p>\n
La Ley N\u00b0 25.326 de Protecci\u00f3n de Datos Personales (\u201cLPDP\u201d) dispone que es prohibida la transferencia de datos personales de cualquier tipo con pa\u00edses u organismos internacionales o supranacionales, que no proporcionen niveles de protecci\u00f3n adecuados.<\/p>\n
Asimismo, establece que dicha prohibici\u00f3n no regir\u00e1 en los supuestos[1]de: (i) Colaboraci\u00f3n judicial internacional; (ii) Intercambio de datos de car\u00e1cter m\u00e9dico, cuando as\u00ed lo exija el tratamiento del afectado, o una investigaci\u00f3n epidemiol\u00f3gica; (iii) Transferencias bancarias o burs\u00e1tiles, en lo relativo a las transacciones respectivas y conforme la legislaci\u00f3n que les resulte aplicable; (iv) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales Argentina sea parte; (v) Cuando la transferencia tenga por objeto la cooperaci\u00f3n internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotr\u00e1fico.<\/p>\n
A su tiempo, el Decreto 1558\/01 facult\u00f3 a la por entonces Autoridad de Aplicaci\u00f3n de la LPDP Direcci\u00f3n Nacional de Protecci\u00f3n de Datos Personales (DNPDP), a \u201cevaluar, de oficio o a pedido de parte interesada, el nivel de protecci\u00f3n proporcionado por las normas de un Estado u organismo internacional<\/i>\u201d, decretando que el car\u00e1cter adecuado del nivel de protecci\u00f3n que ofrece un pa\u00eds u organismo internacional se debe evaluar atendiendo a todas las circunstancias que concurran en una transferencia o en una categor\u00eda de transferencias de datos.<\/p>\n
Para el Decreto 1558\/01, un Estado u organismo internacional proporciona un nivel adecuado de protecci\u00f3n cuando dicha tutela se deriva directamente del ordenamiento jur\u00eddico vigente, o de sistemas de autorregulaci\u00f3n, o del amparo que establezcan las cl\u00e1usulas contractuales que prevean la protecci\u00f3n de datos personales.<\/b><\/p>\n
Toda vez que no se encontraban previstas las medidas contractuales como otra excepci\u00f3n para la transferencia internacional hacia pa\u00edses sin protecci\u00f3n adecuada, a pedido de parte, la DNPDP comenz\u00f3 oportunamente a analizar borradores de contratos, y a emitir un dictamen respecto a su adecuaci\u00f3n.<\/p>\n
Estos dict\u00e1menes fueron conformando ciertos lineamientos que permit\u00edan interpretar los requisitos para dar base legal a una transferencia internacional de protecci\u00f3n de datos personales a una jurisdicci\u00f3n no adecuada. Empero, no fue hasta la emisi\u00f3n de la Disposici\u00f3n 60 \/2016 que la DNPDP aprob\u00f3 un modelo oficial de contrato para la materia.<\/p>\n
La Disp. N\u00b060\/2016 DNPDP, adem\u00e1s de receptar dos contratos modelo para utilizar en la transferencia de datos personales a jurisdicciones de protecci\u00f3n no adecuada, permiti\u00f3 -de manera alternativa- que las partes involucradas suscriban contratos que difieran de estos prototipos, siempre y cuando los documentos empleados contuviesen los principios, garant\u00edas y contenidos relativos a la protecci\u00f3n de los datos personales previstos en los modelos aprobados.<\/p>\n
Resoluci\u00f3n 159\/2018 – \u201cLineamientos y contenidos b\u00e1sicos de normas corporativas vinculantes\u201d<\/b><\/p>\n
En l\u00ednea con el derrotero normativo descripto, la AAIP ha interpretado que la legislaci\u00f3n argentina admite como garant\u00edas adecuadas a los fines de la transferencia internacional de datos personales, la existencia de sistemas de autorregulaci\u00f3n que brinden una protecci\u00f3n similar a la de nuestra normativa.<\/p>\n
En este sentido, reconoce que resulta una costumbre internacional cada d\u00eda m\u00e1s extendida a nivel empresarial de orden multinacional, el desarrollo de normas de autorregulaci\u00f3n entre empresas de un mismo grupo econ\u00f3mico, en ingl\u00e9s conocidas como\u00a0Binding Corporate Rules\u00a0<\/i>(BCRs).<\/p>\n
A tales efectos, juzg\u00f3 conveniente delinear los contenidos b\u00e1sicos de una autorregulaci\u00f3n empresaria para ser considerada l\u00edcita y garantizar los derechos del titular del dato, otorgando mayor seguridad jur\u00eddica en estos sistemas normativos complejos.<\/p>\n
Los lineamientos aprobados indican que las normas corporativas vinculantes que pretendan alcanzar un nivel adecuado de protecci\u00f3n de los datos personales deber\u00e1n ser obligatorias y exigibles tanto para la totalidad de las empresas que forman parte de un grupo econ\u00f3mico[2](mediante resoluciones societarias que las obliguen a cumplir con dicha norma), como para los empleados, subcontratistas y terceros beneficiarios (mediante cl\u00e1usulas espec\u00edficas), y prever remedios judiciales y administrativos de car\u00e1cter independiente, efectivos y accesibles.<\/p>\n
A su vez, deber\u00e1n respetar los siguientes\u00a0contenidos m\u00ednimos<\/b>:<\/p>\n
a) Condiciones de licitud<\/b>: Principios de legitimidad del tratamiento, finalidad, calidad de los datos (pertinentes restringidos a lo estrictamente necesario para la finalidad, exactos, ciertos, adecuados, actualizados y completos en caso de ser necesario, y su caducidad), informaci\u00f3n y transparencia, seguridad y confidencialidad; Derechos del titular de los datos de acceso, rectificaci\u00f3n, actualizaci\u00f3n y supresi\u00f3n; Restricciones de ulteriores transferencias a terceros pa\u00edses sin legislaci\u00f3n adecuada.<\/p>\n
b) Protecciones espec\u00edficas por sensibilidad de la materia<\/b>: Prohibici\u00f3n del tratamiento de datos sensibles, salvo que resulte necesario por ley o con consentimiento previo del titular de los datos; Previsi\u00f3n de los derechos del titular de dato a ser excluido de los listados de publicidad directa no consentida y a oponerse a ser objeto de una decisi\u00f3n basada \u00fanicamente en el tratamiento automatizado de datos que le produzca efectos jur\u00eddicos perniciosos o lo afecte significativamente de forma negativa; No conformaci\u00f3n de registros de antecedentes penales y\/o contravencionales y prohibici\u00f3n de su cesi\u00f3n a terceros salvo con el consentimiento expreso del titular de los datos.<\/p>\n
c) Designaci\u00f3n de terceros beneficiarios<\/b>: Se debe otorgar potestad como terceros beneficiarios, con car\u00e1cter irrevocable y mediante cl\u00e1usulas espec\u00edficas, al titular de los datos y a la AAIP para el ejercicio de sus prerrogativas, derechos y garant\u00edas que la norma de autorregulaci\u00f3n les reconoce a su favor.<\/p>\n
d) Derechos del titular de los datos<\/b>: Adecuado reconocimiento y dise\u00f1o de los procedimientos para el ejercicio de los derechos de los titulares de los datos.<\/p>\n
e) Jurisdicci\u00f3n local para el ejercicio de los derechos del titular de los datos<\/b>: Se debe respetar el derecho del titular de los datos a iniciar un reclamo judicial o administrativo en su jurisdicci\u00f3n local.<\/p>\n
f) Responsabilidad<\/b>: Las empresas que participen en el tratamiento de los datos personales deben asumir responsabilidad solidaria ante el titular de los datos y la autoridad de control frente a cualquier violaci\u00f3n de la norma de autorregulaci\u00f3n prevista (deber\u00eda respetarse la eventual intervenci\u00f3n de las autoridades de control de cada pa\u00eds exportador).<\/p>\n
g) Autoridad de control<\/b>: Ante una transferencia internacional de datos entre empresas que pertenezcan al mismo grupo econ\u00f3mico, la AAIP podr\u00e1 intervenir cuando la empresa que exporte los datos personales se encuentre establecida en Argentina. A su vez, la AAIP podr\u00e1 intervenir como tercero beneficiario cuando se encuentren involucrados datos personales de titulares que residan en Argentina. Podr\u00e1n intervenir todas aquellas autoridades de control de los pa\u00edses en donde se encuentren establecidas las empresas importadoras y exportadoras de los datos personales motivo de la transferencia.<\/p>\n
h) Compromiso de garant\u00eda y explicaci\u00f3n fundada<\/b>: Se deber\u00e1 garantizar y fundamentar que las normas de autorregulaci\u00f3n sean efectivamente exigibles a las empresas del grupo por el titular de los datos y la AAIP.<\/p>\n
i) Capacitaci\u00f3n<\/b>: Debe preverse la capacitaci\u00f3n continua del personal asignado a las actividades vinculadas al tratamiento de los datos personales.<\/p>\n
Las empresas que transfieren datos personales a compa\u00f1\u00edas ubicadas en terceros pa\u00edses sin legislaci\u00f3n que adecuada, y sustenten su adecuaci\u00f3n en normas de autorregulaci\u00f3n que difieran del documento aprobado, deben presentar dichas normas ante la AAIP para su control y aprobaci\u00f3n, dentro de los 30 d\u00edas siguientes de efectuada la transferencia.<\/p>\n
[1]El Decreto Reglamentario N\u00b0 1558\/2011 ampli\u00f3 las excepciones previstas por la LPDP, normando que La prohibici\u00f3n de transferir datos personales hacia pa\u00edses u organismos internacionales o supranacionales que no proporcionen niveles de protecci\u00f3n adecuados, no rige cuando el titular de los datos hubiera consentido expresamente la cesi\u00f3n.<\/p>\n<\/div>\n
[2]Grupo econ\u00f3mico: sociedades controlantes, controladas y vinculadas en las cuales se tenga influencia significativa en las decisiones, denominaci\u00f3n, domicilio, actividad principal, participaci\u00f3n patrimonial, porcentaje de votos y, para las controlantes, principales accionistas.<\/p>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
El 7 de diciembre de 2018, mediante la Res. 159\/18 de la Agencia de Acceso a la Informaci\u00f3n P\u00fablica (AAIP), se aprobaron los Lineamientos para el dise\u00f1o de documentos relativos a normas de autorregulaci\u00f3n en empresas que conformen un mismo grupo econ\u00f3mico, para la transferencia internacional de datos personales.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[152,47,130,43],"tags":[149,150,151,153,154,155,156],"class_list":["post-868","post","type-post","status-publish","format-standard","hentry","category-datos-personales","category-derecho-comercial","category-derecho-financiero","category-es-ar","tag-aaip","tag-agencia-de-acceso-a-la-informacion-publica","tag-autorregulacion","tag-datos-personales-2","tag-lineamientos","tag-normas-corporativas-vinculantes","tag-resolucion-1592018"],"_links":{"self":[{"href":"https:\/\/www.estudiotrevisan.com\/sitio\/wp-json\/wp\/v2\/posts\/868","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.estudiotrevisan.com\/sitio\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.estudiotrevisan.com\/sitio\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.estudiotrevisan.com\/sitio\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.estudiotrevisan.com\/sitio\/wp-json\/wp\/v2\/comments?post=868"}],"version-history":[{"count":0,"href":"https:\/\/www.estudiotrevisan.com\/sitio\/wp-json\/wp\/v2\/posts\/868\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.estudiotrevisan.com\/sitio\/wp-json\/wp\/v2\/media?parent=868"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.estudiotrevisan.com\/sitio\/wp-json\/wp\/v2\/categories?post=868"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.estudiotrevisan.com\/sitio\/wp-json\/wp\/v2\/tags?post=868"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}