La Ley de Protección de Datos Personales 25.326 (LPDP, por sus siglas) prohíbe, en principio, las transferencias internacionales de datos personales a países u organizaciones internacionales que no cuenten con un nivel adecuado de protección de datos personales. No obstante, la LPDP permite tales transferencias cuando los titulares lo consienten o cuando las cláusulas contractuales o los sistemas de autorregulación garantizan niveles adecuados de protección.
En este contexto, la Disposición 60-E/2016 de la Dirección Nacional de Protección de Datos Personales (anterior autoridad de control de la LPDP) aprobó cláusulas modelo para la transferencia de datos personales fuera de Argentina. Además, la Agencia de Acceso a la Información Pública (AAIP), a través de la Resolución 159/2018, estableció los lineamientos y contenidos básicos para normas corporativas vinculantes, como sistemas de autorregulación para grupos de empresas.
Recientemente, mediante la Resolución 198/2023, la AAIP aprobó las cláusulas contractuales modelo incluidas en la Guía de Implementación de Cláusulas Contractuales Modelo para la Transferencia Internacional de Datos Personales (en adelante, «la Guía») de la Red Iberoamericana de Protección de Datos (las SCC RIPD).
La Guía señala que el propósito de las SCC RIPD es garantizar el cumplimiento de las leyes de protección de datos del país exportador de datos al transferir datos personales a un tercer país que carece de protección adecuada. No obstante, también recomiendan aplicar estas cláusulas a todos los tipos de transferencias internacionales, según corresponda, para mantener el cumplimiento de los principios de protección de datos personales.
Esta última recomendación marca un cambio con respecto a las prácticas existentes. Por ejemplo, según la LPDP, no se exigen medidas adicionales para una transferencia internacional a una jurisdicción que la AAIP no considera adecuada cuando se realiza con el consentimiento del titular de los datos. Sin embargo, la Guía se alinea con los criterios recientes de la AAIP al recomendar el uso de cláusulas contractuales estándar, incluso en casos en los que se otorga el consentimiento por parte del titular de los datos.
Según la Guía, el uso de cláusulas contractuales estándar es esencial para abordar posibles limitaciones en las transferencias de datos debido a diferentes niveles de protección en diversos países. Básicamente, estas cláusulas desempeñan un rol clave en establecer una convergencia a nivel contractual, creando un marco independiente de protección de datos que podría superar el nivel de salvaguardias ofrecido por países específicos.
La Guía ofrece dos conjuntos de cláusulas contractuales estándar: (i) de responsable a responsable y (ii) de responsable a encargado. En consecuencia, las SCC RIPD reflejan los mismos conjuntos que los proporcionados por las SCC AAIP, y se alinean con estándares avanzados como el Reglamento General de Protección de Datos de la UE, la Convención 108+ y las Cláusulas Contractuales Estándar de la UE y Nueva Zelanda.
La incorporación de las SCC RIPD en el marco regulatorio argentino no deroga expresamente la Resolución N.º 60-E/2016 que aprueba las anteriores cláusulas modelo.
En ese sentido, en los considerandos de la Resolución N.º 198/2023, la AAIP establece que las SCC RIPD son compatibles con sus antecesoras. También destaca que las SCC de la RIPD tienen el potencial de fomentar la convergencia regulatoria para una sólida protección de datos, alineándose con estándares internacionalmente reconocidos, y parece que ambos conjuntos de cláusulas deberían utilizarse de manera complementaria.
Los principales cambios que introducen las SCC RIPD son los siguientes:
- Agrega las definiciones de «anonimización», «decisiones individuales automatizadas», «transferencias ulteriores», «vulneración de la seguridad de datos personales» y «computación en la nube», mientras que se modifican las definiciones de «datos sensibles» y «datos personales» proporcionadas en la Ley de Protección de Datos.
- Establece que el consentimiento debe ser específico e inequívoco.
- Introduce una cláusula de incorporación que permite que las entidades que originalmente no eran parte de las SCC se unan en cualquier momento.
- Requiere una descripción detallada de las medidas de seguridad administrativas, físicas y técnicas.
- Impone la obligación al responsable de notificar a la autoridad de control pertinente y a los titulares de datos afectados en caso de un incidente de seguridad.
- Regula más las transferencias subsiguientes, incluyendo el recurso de subencargados.
- Incorpora disposiciones relacionadas con decisiones automatizadas y el derecho de los titulares de datos a oponerse.
- Especifica que la ley aplicable y la jurisdicción serán las del país en el que el exportador de datos esté establecido.
- Permite a los titulares de datos la opción de emprender acciones legales tanto contra el exportador de datos como contra el importador de datos. Estas acciones pueden iniciarse, a discreción del titular de datos, ya sea en el país del exportador de datos o en el país donde reside el titular de datos.
Para más información sobre la Resolución 198/2023, haga clic en este enlace.