Hace más de 20 años, Argentina recibió una nota de adecuación de la Comisión Europea, en lo que hace a la transferencia internacional de datos personales desde la Comunidad Europea hacia nuestro país. Y aún mantiene esta nota.
Durante muchos años, Argentina fue el único país de la región en recibir esta nota de adecuación. Esto le permitió tener ventajas comerciales competitivas respecto de otras jurisdicciones cuando distintas empresas europeas decidían dónde establecer sus negocios en la región. Argentina permitía, y aún lo hace hoy, no necesitar de salvaguardas extra para la transferencia de datos personales protegidos bajo derecho local europeo, hacia nuestro país.
Todo esto es especialmente relevante en un mundo en el que los negocios son cada vez más digitales. Esta nota de adecuación, además, permite interactuar con las múltiples economías de los países que integran la Unión Europea. También permite ventajas competitivas respecto de otras jurisdicciones que, sobre la base de las notas de adecuación de la Comisión Europea, reconocen también por extensión el carácter adecuado a estos países. Esta nota de adecuación, para todos aquellos países que la reciben, excede el análisis puramente de protección de datos personales y la privacidad, y se convierte al mismo tiempo en un elemento de desarrollo económico.
Vale recordar también que la nota de adecuación de nuestro país se hizo considerando el entonces marco legal vigente en Europa en el año 2003, es decir, la Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Luego de la entrada en vigencia del Reglamento General de Protección de Datos—Reglamento 2016/679 (RGPD, o GDPR, por sus siglas en inglés)—, y de acuerdo con lo dispuesto por su artículo 45 (9), 45 (3 y 5) y 97, las distintas notas de adecuación en vigor mantuvieron plenos afectos hasta tanto la Comisión realizara una revisión de cada una de ellas (el RGPD establece una revisión cada cuatro años). En ese sentido, la Comisión inició formalmente un proceso de revisión respecto de aquellos países que contaban con una nota de adecuación y, finalmente, resolvió que todos los países bajo revisión, incluyendo particularmente la Argentina, continúan proveyendo un nivel de adecuación de protección de datos personales para transferencias internacionales desde la Unión Europea.
Todos estos países son: Andorra, Argentina, Canada, Islas Feroe, Guernsey, Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay. Como resultado, las transferencias de datos desde la Unión Europea a estos países, no requiere salvaguardas adicionales.
En el caso de Argentina, el informe específicamente remarcó la evolución del marco jurídico argentino desde la adopción de la decisión de adecuación, incluidas las modificaciones legislativas, la jurisprudencia y las actividades de órganos de supervisión, que han contribuido a un mayor nivel de protección de datos.
En particular, hizo hincapié en la independencia de la autoridad de control de protección de datos argentina, significativamente fortalecida por la creación de la Agencia de Acceso a la Información Pública (AAIP) como autoridad de control.
Del mismo modo, remarcó la importancia de que la AAIP haya emitido una serie de regulaciones y dictámenes vinculantes aclarando cómo debe interpretarse y aplicarse en la práctica la Ley de Protección de Datos Personales N.º 25.326 (LPDP), manteniendo el marco legal actualizado.
Más aún, también remarcó positivamente el hecho de que Argentina fortaleció sus compromisos internacionales mediante su adhesión al Convenio 108 y el Convenio 108+.
En lo que hace al acceso gubernamental a los datos personales, una preocupación de la Comisión y un tema muy debatido en los distintos precedentes del Tribunal Superior de Justicia Europeo—conocidos como Schrems I y Schrems II—, la Comisión sostuvo que las autoridades públicas en Argentina están sujetas a reglas claras, precisas y accesibles bajo las cuales dichas autoridades puedan acceder y posteriormente usar los datos personales transferidos para objetivos de interés público, en particular para la aplicación de la ley penal y fines de seguridad, datos transferidos desde la UE. Estas limitaciones y salvaguardas se derivan del marco legal general y los compromisos internacionales, en particular la Constitución Nacional, la Convención Americana sobre Derechos Humanos, el Convenio 108 y 108+, y la LPDP.
Por último, la Comisión también hizo mención a las distintas resoluciones de la AAIP para mejorar la aplicación de la ley y modernizar su articulado. En particular, hizo referencia al Proyecto de Ley de Protección de Datos Personales presentado en 2023 ante el Congreso Nacional, como una manera de codificar todos estos avances y fortalecer el marco de protección de datos local.