TOTAL: {[ getCartTotalCost() | currencyFilter ]} Update cart for total shopping_basket Checkout

Latin America Dashboard Digest | Se publican lineamientos sobre normas corporativas vinculantes en Argentina Related reading: The Privacy Advisor Podcast: The Right To Be Forgotten hits pop culture

rss_feed

""

El pasado 7 de diciembre de 2018 se publicó en el Boletín Oficial de la República Argentina la Resolución Nº 159/2018 (en adelante, “la Resolución”) de la Agencia de Acceso a la Información Pública (AAIP, por sus siglas), autoridad de contralor de la Ley de Protección de Datos Personales Nº 25.326 (LPDP). Esta Resolución determina los  lineamientos y contenidos básicos que deben disponer las normas corporativas vinculantes (Binding Corporate Rules, en inglés) para ser utilizadas por compañías multinacionales como mecanismo para validar transferencias internacionales de datos personales entre empresas que integran un mismo grupo económico.

Las normas corporativas vinculantes constituyen un mecanismo frecuentemente utilizado por las empresas para legitimar las transmisiones de datos entre miembros de un mismo grupo empresarial. Tal como lo ha indicado el regulador del Reino Unido -Information Commissioner’s Office o ICO, por sus siglas en inglés-, las normas corporativas vinculantes se encuentran diseñadas para ser una solución global para empresas multinacionales al garantizar que las transferencias intra-grupo se realicen en cumplimiento de las normas respectivas (ver https://ico.org.uk/media/for-organisations/documents/1566/international_transfers_legal_guidance.pdf). En tal sentido, y teniendo en cuenta la práctica generalizada de las empresas en su empleo como mecanismo para legitimar transferencias internacionales, el Reglamento General de Protección de Datos Personales de la Unión Europea (RGPD) ha incluido pautas específicas en materia de normas corporativas vinculantes en el artículo 47, especificando el contenido mínimo que deben contemplar.

Tal como establecen distintas normas en materia de protección de datos personales, entre las cuales cabe mencionar el RGPD, la LPDP restringe las transferencias internacionales de datos personales a países u organizaciones internacionales que no cuenten con un nivel adecuado de protección de datos personales. De acuerdo con lo establecido en el Decreto Reglamentario (DR) Nº 1558/2001 que reglamenta la LPDP, la AAIP posee la facultad de determinar qué países u organizaciones internacionales cuentan con un nivel adecuado de protección de datos personales. En tal sentido, la Disposición Nº 60-E/2016 de la anterior Dirección Nacional de Protección de Datos Personales -autoridad de control que fue reemplazada por la AAIP-, dispuso que las siguientes jurisdicciones poseen legislación adecuada en materia de protección de datos personales: Estados miembros de la Unión Europea y miembros del Espacio Económico Europeo, Suiza, Guernsey, Jersey, Isla de Man, Islas Feroe, Canadá (únicamente en cuanto al sector privado), Nueva Zelanda, Andorra, Uruguay e Israel (sólo respecto de los datos que reciban un tratamiento automatizado). Esta lista puede ser modificada periódicamente por la AAIP.

De acuerdo al DR, las transferencias internacionales de datos personales a países que no cuenten con un nivel adecuado de protección de datos personales son válidas en la medida que (i) el titular del dato haya prestado su consentimiento expreso para la transferencia de la información personal o (ii) se hayan adoptado cláusulas contractuales o sistemas de autorregulación que garanticen niveles adecuados de protección. La reciente Resolución viene a regular los aspectos concernientes a las normas corporativas vinculantes en el marco de las disposiciones antes referidas.

La Resolución determina que las normas corporativas vinculantes deberán ser obligatorias y exigibles para la totalidad de los miembros de un grupo empresario mediante resoluciones societarias que las obliguen a cumplir con dicha norma, así como también para sus empleados, subcontratistas y terceros beneficiarios. Por su parte, la Resolución determina los siguientes elementos y principios que las normas corporativas vinculantes deberán contener para reflejar adecuadamente los requisitos y condiciones que impone la LPDP o la que en el futuro la reemplace, teniendo en cuenta que existe un proyecto de nueva ley que está siendo debatido en el Congreso de la Nación.

  • Condiciones de licitud: Las normas corporativas vinculantes deben: considerar la aplicación de los principios generales de protección de datos personales y, en particular, la legitimidad del tratamiento, calidad de los datos, finalidad, información y transparencia, seguridad y confidencialidad; respetar los derechos de los titulares de los datos; y considerar la restricción respecto de subsiguientes transferencias internacionales de datos personales a jurisdicciones que no cuenten con niveles adecuados de protección.
  • Protecciones específicas por sensibilidad de la materia: Este aspecto involucra el deber de establecer una limitación respecto del tratamiento de datos sensibles, el derecho del titular del dato a ser excluido de los listados de publicidad directa no consentida, el derecho de no ser sometido a procesos automatizados de toma de decisiones, y limitar la creación de archivos que contengan datos personales relacionados con antecedentes penales y/o contravencionales.
  • Terceros beneficiarios: Tanto los titulares de los datos como la AAIP deberán ser considerados terceros beneficiarios con respecto a los derechos y garantías establecidos en las normas corporativas vinculantes.
  • Mecanismo para el ejercicio de los derechos del titular de los datos: Se debe brindar un adecuado reconocimiento y diseño de los procedimientos para el ejercicio de los derechos de los titulares de los datos.
  • Procedimiento de reclamos: Las normas deberán contemplar el derecho de los titulares de los datos a reclamar -tanto en vía administrativa como judicial-, en su jurisdicción local.
  • Responsabilidad: Las empresas que participen en el tratamiento de los datos personales deberán asumir responsabilidad solidaria ante el titular de los datos y la AAIP frente a cualquier violación de las normas corporativas vinculantes.
  • Autoridad de control: Las normas corporativas vinculantes deben indicar que la AAIP, como autoridad de control, en toda transferencia de datos en la que una entidad argentina actúe como exportador de los datos, podrá intervenir en calidad de tercero beneficiario con respecto a los datos personales de titulares argentinos.
  • Compromiso de garantía y explicación fundada: Las normas corporativas vinculantes deberán garantizar y fundamentar que sean efectivamente exigibles a las empresas del grupo por el titular de los datos y la AAIP.
  • Capacitación: Deberá preverse la capacitación continua del personal asignado a las actividades vinculadas al tratamiento de los datos personales.

Finalmente, las normas corporativas vinculantes deberán prever mecanismos y recursos administrativos y judiciales independientes, efectivos y accesibles.

Aquellas compañías que utilicen sistemas de autorregulación que difieran de las condiciones establecidas en la Resolución deberán presentar dichas normas ante la AAIP para su control y aprobación, dentro de los 30 días siguientes de efectuada la transferencia.

Como consecuencia de esta nueva norma, es de esperar una mayor utilización de las Binding Corporate Rules por parte de filiales locales de grupos económicos multinacionales como mecanismo para validar sus transferencias de datos personales a países que no se encuentran incluidos en el listado de jurisdicciones adecuadas.

Comments

If you want to comment on this post, you need to login.