JURÍDICO LATAM
Doctrina
Título:Transferencia internacional de datos personales. Breve comentario a la nueva regulación de la Dirección Nacional de Protección de Datos Personales
Autor:Palazzi, Pablo A.
País:
Argentina
Publicación:Revista Latinoamericana de Protección de Datos Personales - Número 5 - Diciembre 2018
Fecha:05-12-2018 Cita:IJ-DXLI-232
Índice Voces Citados Relacionados Ultimos Artículos
I. Introducción
II. Ley de protección de datos y su Decreto reglamentario
III. Práctica vigente hasta el año 2016 en la Argentina
IV. La reglamentación de la DNPDP del año 2016
V. Conclusiones
Notas

Transferencia internacional de datos personales

Breve comentario a la nueva regulación de la Dirección Nacional de Protección de Datos Personales

Pablo A. Palazzi

I. Introducción [arriba] 

Mediante Disposición 60/2016[1], publicada en el Boletín Oficial del 18 de noviembre de 2016, el Dr. Eduardo Bertoni, director de la Dirección Nacional de Protección de Datos Personales (DNPDP) ha aprobado nuevas reglas para la transferencia internacional de datos personales. En este artículo comentaremos los principales aspectos de la citada norma.

Desde hace casi medio siglo diversas jurisdicciones internacionales vienen aprobando leyes de protección de datos personales[2]. Estas leyes presentan diversos y variados niveles de protección de la privacidad, lo que llevó en la práctica a instaurar en algunos países normas que prohíben la transferencia internacional de datos personales a países que nos sean considerados adecuados.

Estas diferencias de protección son las que provocan la necesidad de normas como el art. 12 de nuestra Ley N° 25.326 o el art. 26 de la Directiva Europea (fuente directa del art. 12) que prohíben transferir datos a países que no tengan normas adecuadas[3].

II. Ley de protección de datos y su Decreto reglamentario [arriba] 

La Ley de protección de datos personales N° 25.326 fue aprobada en el año 2.000. Su reglamentación mediante decreto 1558 fue aprobada en el año 2001.

El art. 12.1 de la Ley de protección de datos personales prohíbe la transferencia de datos personales de cualquier tipo con países que no proporcionen niveles de protección adecuados.

Según el art. 12.2 de la citada norma, la prohibición no regirá en algunos supuestos que son: a) Colaboración judicial internacional; b) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica; c) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable; d) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales Argentina sea parte; e) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.

En la práctica esta norma tiene un alcance muy amplio, pues cualquier transferencia internacional de datos personales requiere cumplir con los requisitos de la Ley N° 25.326.Por otra parte, las excepciones del art. 12 eran muy limitadas, y muy pocas eran de aplicación al sector privado.

Los casos más frecuentes son los de transferencias de datos personales de sucursales o sociedades a su casa matriz o al accionista en el extranjero. Pero también suele haber transferencias a empresas ajenas al grupo empresario como ser a proveedores. El motivo de estas transferencias es de lo más variado, pero es común con fines de unificar la visión global que una empresa quiere tener en temas de ventas, o análisis de clientes, o segmentación por mercados, o recursos humanos. También puede haber tercerización de algunos servicios en la casa matriz o en un proveedor tercero en otro país. Recientemente aparecieron casos más típicos como almacenamiento de datos en la "nube" que según es ampliamente aceptado implica transferencia internacional de datos[4]. Por ejemplo en su Disposición sobre aplicaciones móviles la DNPDP afirma que “el almacenamiento en la nube se considera una transferencia internacional de datos”[5].

Asimismo en investigaciones internas dentro de empresas por casos de corrupción también se suelen realizar transferencias de datos personales con el fin de análisis forense.

La ley argentina contempló limitadas excepciones para la importancia del tema. El decreto reglamentario las amplió siguiendo las previstas en el art. 26 de la Directiva Europea de Protección de Datos del año 1995 lo que implicó una mayor armonización con el régimen europeo.

La estrictez que presentaba la Ley de protección de datos se vio en cierta medida relajada en la reglamentación, sin que por ello se caiga en una violación de la ley. En parte ello es así porque ciertos principios de la ley permitían –mediante integración– concluir que el consentimiento del sujeto autoriza transferencias internacionales[6].

Por otra parte razones de lógica llevaban a concluir que Argentina no podía aislarse en un mundo interconectado y por ello resultaba necesario adoptar resguardos tales como las medidas contractuales para permitir continuar con las transferencias existentes entre empresas de un mismo grupo económico o controlante y controladas[7].

Por eso, el decreto reglamentario (art. 12) establece que la prohibición de transferir datos personales hacia países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados, no rige cuando el titular de los datos hubiera consentido expresamente la cesión.

También agrega que "No es necesario el consentimiento en caso de transferencia de datos desde un registro público que esté legalmente constituido para facilitar información al público y que esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones legales y reglamentarias para la consulta" (art. 12 de la Ley N° 1.558/2001).

Finalmente, siguiendo la Directiva Europea (art. 26), el art. 12 del decreto reglamentario permite a las partes que transfieren datos en forma internacional a países no adecuados recurrir a contratos o cláusulas que aseguren una protección adecuada. Pese a que el decreto 1558/2001autorizaba el uso de fórmulas contractuales para transferir datos personales a jurisdicciones con leyes "no adecuadas", la DNPDP nunca aprobó un modelo oficial hasta la sanción de la Disp. 60/2016.

Las excepciones del decreto reglamentario no previstas en la ley, no deben llevar a considerar que se permitirán las transferencias internacionales de datos personales en fraude a la ley. Por el contrario, creemos que el intento de realizar un fraude a la ley a los fines de transferir datos a un país sin protección adecuada para eludir la normativa está claramente prohibido por el art. 12 de la ley y tanto la autoridad de aplicación como los particulares tienen los recursos necesarios para proceder a su defensa.

III. Práctica vigente hasta el año 2016 en la Argentina [arriba] 

Con anterioridad a la Disp.60/2016, no se requería aprobación previa por la DNPDP. Tampoco existía un modelo de contrato tipo aprobado por la autoridad reguladora argentina, como sí sucedía en Europa con las cláusulas contractuales tipo[8].

Las partes eran libres de realizar los contratos para transferencia internacional sin una guía específica de la DNPDP ni su previa aprobación. Si bien no había aprobación previa, la DNPDP a pedido de parte podía analizar los borradores de contratos y emitir un dictamen sobre la adecuación del mismo si el responsable del tratamiento optaba por presentarlo. Estos dictámenes formaron un cuerpo de jurisprudencia administrativa que permitía interpretar los requisitos para dar base legal a una transferencia internacional de protección de datos personales a una jurisdicción no adecuada.

En la práctica las empresas usaban un modelo que seguía muy de cerca el aprobado en la Unión Europa, conforme se podía concluir de los dictámenes de la DNPDP que sugerían modificaciones a los contratos presentados o aprobaban el presentado[9].

IV. La reglamentación de la DNPDP del año 2016 [arriba] 

IV.1. Introducción

Mediante la Disp. 60/2016 la DNPDP hizo lo siguiente:

- aprobó dos contratos modelo para usar para transferir datos a países no adecuados,

- reglamentó la necesidad de solicitar autorización para usar un modelo diferente,

- determinó los países "adecuados",

- dejo abierta la puerta para seguir incluyendo nuevos países en la "lista blanca" de países aprobados.

IV.2. Finalidad de la medida

La finalidad de la medida es “garantizar un nivel adecuado de protección de datos personales en los términos del art. 12 de la Ley N° 25.326 en aquellas transferencias de datos que tengan por destino países sin legislación adecuada”.

Según el art. 1 de la Disp. 60/2016 los modelos deben ser usados “en aquellas transferencias de datos que tengan por destino países sin legislación adecuada” (art. 1 Disp. 60). Si el país de destino tiene legislación adecuada, entonces no deben usarse modelos contractuales ni ningún contrato, más allá de que las partes son libres de reglamentar la transferencia con un contrato genérico de procesamiento de datos, de locación de servicios o uno genérico de outsourcing (cumpliendo los requisitos del art. 25 de la ley y del decreto). Esta decisión da sustento a la libertad de las partes de no usar contratos de transferencia cuanto ésta tiene lugar a países de la Unión Europea (o reconocidos por tal Unión como adecuados) donde la legislación obviamente es adecuada porque es el modelo de la ley argentina.

IV.3. ¿Cuáles son los países adecuados?

El art. 3 de la Disposición 60/2016 establece que a los fines de la aplicación de la presente disposición se consideran países con legislación adecuada a los siguientes: Estados miembros de la Unión Europea y miembros del Espacio Económico Europeo (EEE), Suiza, Guernsey, Jersey, Isla de Man, Islas Feroe, Canadá (sólo respecto de su sector privado), Andorra, Nueva Zelanda, Uruguay e Israel.

Con este listado positivo Argentina adopta un modelo similar de “lista blanca” sin decirlo, es decir, se suma a autorizar transferencias a países que son adecuados según la UE. Se adopta este sistema pero sin adherir por escrito y estrictamente a la UE.

Conforme indican los considerandos de la Disposición que comentamos, en un expediente que tramitó en la DNPDP el Ministerio de Justicia se analizó la legislación de aquellos países calificados como legislación adecuada por parte de la Unión Europea, concluyéndose sobre el nivel equivalente de las normativas de dichos países respecto de la Ley argentina de protección de datos. El expediente que se cita es un estudio que hizo la Dirección en el año 2012 y que determinó esa lista. Pero la lista no es cerrada, puesto que de oficio la DNPDP podría realizar los estudios sobre otros países u organismos internacionales, o bien alguno de estos podría solicitar su adecuación.

Es por eso que la norma aclara que “Esta enumeración será revisada periódicamente por esta Dirección Nacional, publicando la nómina y sus actualizaciones en su sitio oficial en Internet”.

Esta actualización podría servir para incluir nuevos países adecuados, o para retirar de la lista algunos. Por ejemplo, el Reino Unido, después de su salida de la Unión Europea (Brexit) podría eventualmente llegar a ser reevaluado para ver si es “adecuado”. Pese a no estar en la UE, si mantiene su infraestructura de legislación y agencia independiente de protección de datos, podrá seguir siendo país adecuado a los fines de transferir datos personales.

Estados Unidos no está mencionado en la white list de la DNPDP porque en la práctica no tiene una ley general de protección de datos como el resto de los países europeos[10] ni una agencia[11] de protección de datos independiente[12]. Tampoco aparecen mencionado países latinoamericanos tales como México o Colombia, excepto Uruguay que fue declarado país adecuado por la Comisión Europea.

El modelo contractual aprobado por la Disp. 60/2016 debe ser usado por las partes que transfieren datos. Si se apartan del modelo se deberá pedir autorización a la DNPDP. El pedido de autorización debe hacerse hasta 30 días después de la firma del contrato. Pero nada impide que se lo presente antes, e incluso sin haber firmado el contrato.

Ello surge del art. 2 de la Disp. 60/2016 que establece “…aquellos responsables de tratamiento que efectúen transferencias de datos personales a países que no posean legislación adecuada en los términos del artículo 12 de la Ley 25.326 y su Decreto reglamentario 1558/01, y utilicen contratos que difieran de los modelos aprobados en el artículo anterior o no contengan los principios, garantías y contenidos relativos a la protección de los datos personales previstos en los modelos aprobados, deberán solicitar su aprobación ante esta Dirección Nacional presentándolos, a más tardar, dentro de los TREINTA (30) días corridos de su firma”.

Entendemos que este reconocimiento de adecuación realizado por la DNPDP no se extiende automáticamente a organizaciones que usen binding corporate rules –BCRs– o que tengan implementadas cláusulas contractuales tipo siguiendo el modelo europeo para cubrir transferencias internacionales. El reconocimiento de adecuación es a las jurisdicciones mencionadas en el art. 3 y a los fines de evitar la necesidad de tener un acuerdo al transferir datos exclusivamente a esas jurisdicciones.

Si una entidad está transfiriendo datos personales en base a un modelo anterior no aprobado u homologado por la DNPDP, o en base a otras vías como los binding corporate rules[13] (BCR) deberá cumplir con la Disp. 60/2016. La BCRs son un conjunto de reglas o cláusulas corporativas vinculantes que tienen por objeto establecer las prácticas que una entidad lleva a cabo en materia de tratamiento de datos de carácter personal con la finalidad de facilitar las transferencias internacionales de datos en el seno de dicha corporación. Las BCRs constituyen un instrumento que los grupos multinacionales pueden hacer valer ante las autoridades de protección de datos, para garantizar la legalidad de las operaciones de transferencia de datos en su organización, independientemente de que el país de destino garantice o no un “adecuado nivel de protección” conforme a la normativa vigente en el país de origen de los datos. Los BCR por ahora no son reconocidos en la Argentina.

Los más prudente en estos casos sería o bien someter el contrato usado a autorización, o bien usar el modelo aprobado.

IV.4. Los contratos modelo aprobados por la DNPDP como medio para facilitar una protección adecuada

A partir de la Disposición 60/2016, existe un “modelo oficial” de contrato aprobado por la DNPDP, que sigue los lineamientos de las cláusulas tipo vigentes en Europa[14]. De hecho el art. 1 de la Disp. 60/2016 las denomina “cláusulas contractuales tipo” y los considerandos de la Disposición 60 las indican como fuente de la norma[15].

La Disp. DNPDP 60 aprobó dos modelos, (i) uno para transferencia internacional de datos a otro responsable, caso típico la casa matriz que centraliza datos de las subsidiarias locales; (ii) el otro modelo es para la prestación de servicios, que podrá ser con la casa matriz o con un tercero que provee servicios y que, lógicamente, está fuera de país, sino no habría transferencia internacional.

La lectura de las cláusulas del contrato modelo permite colegir que el contrato tiene ciertos elementos esenciales destinados a brindar un nivel adecuado de protección en la transferencia y que deben estar presentes en los contratos que se usen apartándose del modelo. Estos elementos mínimos son:

- referencia a la Ley N° 25.326 al definir los conceptos de “datos personales”, “datos sensibles”, “tratamiento”, “responsable” y “titular del dato”.

- identificación de la “autoridad” o “autoridad de control” con la DNPDP.

- referencia al art. 25 de la Ley N° 25.326 al referenciar al “importador” o “encargado del tratamiento”, en el modelo de contrato de transferencia internacional para la prestación de servicios.

- definir la "legislación de protección de datos" como la Ley N° 25.326 y normativa reglamentaria.

- detallar la finalidad y la clases de datos personales que se transfieren.

- establecer ciertas obligaciones mínimas para el importador, esto es quien recibe los datos. Estas obligaciones mínimas incluyen: medidas de seguridad, cumplimiento del principio de finalidad, establecer una persona de contacto dentro de la organización del importador, permitir auditorías o inspecciones por un tercero auditor o incluso por la autoridad de contralor, notificar pedidos de cesión de autoridades extranjeras o accesos no autorizados[16], atender los pedidos de derecho de acceso, destruir los datos terminado el contrato o cumplida la finalidad, llevar un registro de las obligaciones asumidas y, el más importante: tratar los datos personales de conformidad con la Ley N° 25.326, de protección de datos personales.

- solidaridad entre ambas partes: cada una de las partes deberá responder ante los titulares de los datos por los daños que le hubiese provocado como resultado de la afectación de derechos reconocidos en el contrato de transferencia en los términos previstos por la Ley N° 25.326, sus normas reglamentarias y derecho de fondo de Argentina. Esto puede dar lugar a reclamos de responsabilidad civil extracontractual, administrativa sancionatorio o incluso contractual. Por ejemplo la cláusula 5 del modelo aprobado por la DNPDP dice que "En aquellos casos en que se alegue incumplimiento por parte del importador de datos, el titular del dato podrá requerir al exportador que emprenda acciones apropiadas a fin de cesar dicho incumplimiento".

- cláusula sobre terceros beneficiarios: ambos modelos de contrato contienen una cláusula sobre terceros beneficiarios o third party beneficiary[17]. Mediante esta cláusula los titulares de los datos, podrán exigir al Importador (con quien no tienen relación directa) en carácter de terceros beneficiarios, el cumplimiento de las disposiciones de la Ley N° 25.326 relacionadas con el tratamiento de sus datos personales.

- ley aplicable y jurisdicción: se establece la ley Argentina y la autoridad de contralor; incluso en el caso de terceros beneficiarios, el importador se somete a la jurisdicción argentina, tanto en sede judicial como administrativa (esto es la jurisdicción administrativa de la DNPDP[18]). Esta cláusula se impone en virtud del orden público que tiene la norma (art. 44 ley 25.326).

- resolución del contrato: en caso que el importador de datos incumpla las obligaciones que le incumben en virtud de las cláusulas modelo de la DNPDP, el exportador de datos deberá suspender temporalmente la transferencia de datos personales al importador hasta que se subsane el incumplimiento. Asimismo el contrato se tendrá por resuelto, por una suspensión mayor a 30 días, por incumplimiento de la ley, o por decisión de la DNPDP que establezca que el importador o el exportador de datos han incumplido el Contrato.

- el modelo de contrato para prestación de servicio contiene una cláusula adicional relativa a subtratamiento de datos y un mayor detalle en las obligaciones que debe asumir una vez finalizada la prestación de los servicios de tratamiento de los datos personales.

En suma, son todos resguardos contractuales que tienden a que la DNPDP pueda tener un control sobre la transferencia del dato personales en caso de analizar el contrato.

IV.5. ¿Cuándo se debe requerir aprobación a la DNPDP?

Si el contrato se aparta del modelo aprobado por la DNPDP o de la esencia de lo comentado en el punto anterior, entonces se debe requerir autorización para el cambio contractual. Estrictamente no es una autorización para la transferencia sino una autorización para usar un contrato distinto al modelo oficial aprobado por la Disp. DNPDP 60/2016.

Según la norma que comentamos, el pedido a la DNPDP tiene lugar cuando se dan estos requisitos conjuntos:

- se efectúen transferencias de datos personales a países que no posean "legislación adecuada", y

- se utilicen contratos que (i) difieran de los modelos aprobados por la Disp. 60/2016, o (ii) estos nuevos contratos no contengan los principios, garantías y contenidos relativos a la protección de los datos personales previstos en los modelos aprobados.

La última frase da a entender que un leve apartamiento del modelo contractual no necesariamente requiere someter el mismo a aprobación de la DNPDP. Puede ser que exista un cambio en la redacción pero que no se alteren los “principios, garantías y contenidos” relativos a la protección de los datos personales previstos en los modelos aprobados.

En ese caso “deberán solicitar su aprobación ante esta Dirección Nacional presentándolos, a más tardar, dentro de los 30 días corridos de su firma”. La norma no aclara que sucede en caso de falta de presentación, pero entendemos que la DNPDP podrá abrir un procedimiento sancionador en caso de encontrarse una violación a las normas de protección de datos personales.

IV.6. ¿Cómo se determina cuándo un país es adecuado?

Hay varios modelos en el derecho comparado. Algunos países listan las jurisdicciones que consideran como adecuadas a los fines de transferir datos personales (régimen conocido como "white list" o lista blanca). Otros pueden optar por listar países que no se consideran adecuados, una suerte de "lista negra". Finalmente otros países pueden optar por no listar uno u otro país adecuado, sino adherir a las aprobaciones que haga otra jurisdicción.

Además de tener listas blancas o listas negras, es posible “engancharse” al régimen de otros países. Es el caso de Israel y Uruguay. En el caso de nuestro país vecino, su agencia de protección de datos dictó la Res.17/2009 mediante la cual reconoció como países con protección adecuada a todos aquellos países considerados como tales por la Comisión de la Unión Europea. Israel sigue un modelo similar, su ley de protección de datos reconoce como adecuados aquellos países que la UE reconozca como adecuados.

Con esta tesis, la agencia de protección de datos respectiva se “ahorra” el trabajo de analizar la adecuación de cada país. Por lo tanto, para Uruguay Argentina sería adecuado pues así fue reconocido por la UE y dejaría de serlo si la UE revocara la adecuación de Argentina. Pero también lo fue por un tiempo Estados Unidos en virtud del Acuerdo de Puerto Seguro (Safe Harbor). Esta tesis presenta un problema: cuando el país en el cual se apoya la agencia modifica el status de la adecuación, como ocurrió entre la UE y Estados Unidos luego del caso "Schrems"[19], ese país deja de ser adecuado para el país “enganchado”. Eso mismo ocurrió con Israel respecto a transferencias a Estados Unidos luego del caso “Schrems”[20]. Uruguay sin embargo no emitió ninguna resolución luego del caso "Schrems”.

La Ley N° 25.326 omitió explicar en detalle cómo se determina que un país u organismo internacional es adecuado a los fines del art. 12 de la ley. Pero el decreto reglamentario estableció ciertas pautas que permiten concluir cuándo un país es adecuado.

El decreto reglamentario facultó a la DNPDP a "evaluar, de oficio o a pedido de parte interesada, el nivel de protección proporcionado por las normas de un Estado u organismo internacional". Si la DNPDP llegara a la conclusión de que un Estado u organismo no protege adecuadamente a los datos personales, la DNPDP debe elevar al PEN un proyecto de decreto para emitir tal declaración. La norma requiere un decreto solo para el caso de una declaración de falta de adecuación, no así para su reconocimiento. Ello da validez a la Disp. 60/2016.En la práctica este “no reconocimiento” expreso nunca ha ocurrido. Es decir la legislación argentina permite crear un black list de países no adecuados pero el país nunca se ejerció esta facultad[21].

El decreto también establece que "el carácter adecuado del nivel de protección que ofrece un país u organismo internacional se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración de tratamiento o de los tratamientos previstos, el lugar de destino final, las normas de derecho, generales o sectoriales, vigentes en el país de que se trate, así como las normas profesionales, códigos de conducta y las medidas de seguridad en vigor en dichos lugares, o que resulten aplicables a los organismos internacionales o supranacionales".

Finalmente el decreto reglamentario dispone "Se entiende que un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente, o de sistemas de autorregulación, o del amparo que establezcan las cláusulas contractuales que prevean la protección de datos personales".

La Disp. DNPDP 60 fue más directa y en el art. 3 anuncia los países adecuados. No es necesario entonces hacer un análisis del país de destino de la transferencia, a menos que el país no esté mencionado en la lista del art. 3. En este caso la DND si deberá hacer el análisis interno para incluirlo en la lista.

¿Cómo se sabe si un país que no está en la lista es adecuado y qué método debe usarse para determinarlo?

Para comenzar, si el país no está listado en el art. 3, ni fue objeto de un reconocimiento expreso por la DNPDP, en principio no es adecuado. Por eso es importante que la DNPDP amplíe su lista a algunos países latinoamericanos que si son adecuados y que desarrolle un método para explicar cómo se llega a ello.

En tal sentido, entendemos que lo más conveniente para Argentina sería adoptar el método ideado por la Unión Europea para analizar la adecuación de países extranjeros a través de varios documentos de trabajo emanados del Working Party del art. 29[22]. En este contexto, el documento de trabajo la Unión Europea concluyó que todo análisis significativo de la protección adecuada debe comprender los dos elementos básicos: (i) el contenido de las normas aplicables y (ii) los medios para asegurar su aplicación eficaz.

Tomando la Directiva 95/46/CE como punto de partida, y teniendo en cuenta las disposiciones de otros textos internacionales sobre la protección de datos, el documento señala que debería ser posible lograr un “núcleo” de principios de “contenido” de protección de datos y de requisitos “de procedimiento y de aplicación”, cuyo cumplimiento pudiera considerarse un requisito mínimo para juzgar adecuada la protección[23].

El documento enuncia los siguientes principios básicos (Principios de contenido): (i) Principio de limitación de objetivos – los datos deben tratarse con un objetivo específico y posteriormente utilizarse o transferirse únicamente en cuanto ello no sea incompatible con el objetivo de la transferencia; (ii) Principio de proporcionalidad y de calidad de los datos – los datos deben ser exactos y, cuando sea necesario, estar actualizados. Los datos deben ser adecuados, pertinentes y no excesivos con relación al objetivo para el que se transfieren o para el que se tratan posteriormente; (iii) Principio de transparencia – debe informarse a los interesados acerca del objetivo del tratamiento y de la identidad del responsable del tratamiento en el tercer país, y de cualquier otro elemento necesario para garantizar un trato leal; (iv) Principio de seguridad – el responsable del tratamiento debe adoptar medidas técnicas y organizativas adecuadas a los riesgos que presenta el tratamiento. Toda persona que actúe bajo la autoridad del responsable del tratamiento, incluido el encargado del tratamiento, no debe tratar los datos salvo por instrucción del responsable del tratamiento; (v) Derechos de acceso, rectificación y oposición – el interesado debe tener derecho a obtener una copia de todos los datos a él relativos, y derecho a rectificar aquellos datos que resulten ser inexactos. En determinadas situaciones, el interesado también debe poder oponerse al tratamiento de los datos a él relativos; (vi) Restricciones respecto a transferencias sucesivas a otros terceros países –únicamente deben permitirse transferencias sucesivas de datos personales del tercer país de destino a otro tercer país en el caso de que este último país garantice asimismo un nivel de protección adecuado; (vii) Datos sensibles – cuando se trate de categorías de datos “sensibles”, deberán establecerse protecciones adicionales, tales como la exigencia de que el interesado otorgue su consentimiento explícito para el tratamiento; (viii) Mercadotecnia directa – en el caso de que el objetivo de la transferencia de datos sea la mercadotecnia directa, el interesado deberá tener en cualquier momento la posibilidad de negarse a que sus datos sean utilizados con dicho propósito; y (ix) Decisión individual automatizada – cuando el objetivo de la transferencia sea la adopción de una decisión automatizada en el sentido del art. 15 de la Directiva, el interesado deberá tener derecho a conocer la lógica aplicada a dicha decisión, y deberán adoptarse otras medidas para proteger el interés legítimo de la persona.

Respecto a los “Mecanismos del procedimiento y de aplicación” el documento del WP29 explica que en Europa existe un amplio consenso en que un sistema de “supervisión externa” en forma de una autoridad independiente es una característica necesaria de un sistema de cumplimiento de la protección de datos. Sin embargo, en otras partes del mundo no siempre se encuentran estas características. Con el fin de sentar las bases para evaluar el carácter adecuado de la protección ofrecida, es necesario distinguir los objetivos de un sistema normativo de protección de datos, y sobre esta base juzgar la variedad de diferentes mecanismos de procedimiento judiciales y no judiciales utilizados en terceros países. Los objetivos de un sistema de protección de datos son básicamente tres: (i) Ofrecer un nivel satisfactorio de cumplimiento de las normas. Un buen sistema se caracteriza, en general, por el hecho de que los responsables del tratamiento conocen muy bien sus obligaciones y los interesados conocen muy bien sus derechos y medios para ejercerlos. La existencia de sanciones efectivas y disuasorias es importante a la hora de garantizar la observancia de las normas, al igual que lo son, como es natural, los sistemas de verificación directa por las autoridades, los auditores o los servicios de la Administración encargados específicamente de la protección de datos, (ii) ofrecer apoyo y asistencia a los interesados en el ejercicio de sus derechos. El interesado debe tener la posibilidad de hacer valer sus derechos con rapidez y eficacia, y sin costes excesivos. Para ello es necesario que haya algún tipo de mecanismo institucional que permita investigar las denuncias de forma independiente, y (iii) Ofrecer vías adecuadas de recurso a quienes resulten perjudicados en el caso de que no se observen las normas. Éste es un elemento clave que debe incluir un sistema que ofrezca la posibilidad de obtener una resolución judicial o arbitral y, en su caso, indemnizaciones y sanciones.

La Decisión de la Comisión Europea de 30/06/2003 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección de los datos personales en Argentina analizó nuestro sistema legal de protección de datos personales en base a las pautas antes citadas y concluyó que el mismo era adecuado al régimen europeo. Pero con algunas salvedades. En efecto, la decisión llamó la atención sobre varios aspectos de nuestra ley, que a nuestro juicio requieren una reforma legislativa futura, como ser la independencia del organismo de contralor del PEN, o algunas modificaciones específicas a nuestra legislación.

En función de estos parámetros, y luego de un análisis extenso la Comisión de la Unión Europea[24], con la intervención del Working Party ha declarado adecuados a los países listados en la Disp. 60/2016.

IV.7. ¿Es Estados Unidos un país adecuado?

Quienes han analizado el sistema norteamericano de protección de datos han concluido que Estados Unidos carece de una legislación adecuada. En el año 1995, dos profesores americanos de Derecho, Paul M. Schwartz y Joel R. Reidenberg prepararon un estudio comparativo del régimen de privacidad existente en los Estados Unidos y el de la Unión Europea. Inicialmente, se trató de un proyecto de investigación que los profesores Schwartz y Reidenberg prepararon para la entonces Dirección General XIII de la Comisión Europea a raíz de la aprobación de la Directiva Europea del año 1995.El reporte luego fue publicado como libro en Estados Unidos[25].

El enfoque sugerido por Schwartz y Reidenberg consistió en analizar los diferentes flujos de datos entre los Estados Unidos y Europa y encontrar un parámetro de equivalencia Europea en los Estados Unidos. De allí el nombre de “equivalencia funcional” que básicamente consiste en comparar los principios fundamentales de la protección de datos en Europa y encontrar la norma o práctica equivalente en los Estados Unidos. La equivalencia funcional no requiere que la norma en el país de destino sea idéntica sino que otorgue protecciones similares. Este análisis se realizó en ciertos contextos del sector público: derecho constitucional, derecho federal y legislación estadual. Asimismo analizaron ciertas áreas del sector privado, en especial las prácticas que las empresas realizaban con datos personales en las siguientes áreas: (1) servicios de telecomunicaciones, (2) servicios financieros, (3) marketing directo, y (4) sector laboral.

Los profesores Schwartz y Reidenberg adoptaron este enfoque en parte porque los Estados Unidos carecen de una ley general de privacidad o protección de datos personales y de una autoridad regulatoria en la materia[26]. Por eso el análisis compara los elementos básicos de la protección de datos en Europa con el resultado de las prácticas en los Estados Unidos (la Privacy Act y la Freedom of Information Act). Esta comparación se realiza, como vimos, por sectores[27]. Asimismo la construcción de un "estándar europeo" que realizan los autores se basa en las reglas de la Directiva Europea, la Convención y las Directrices de la O.C.D.E. Según los autores, los principios básicos de protección de datos se resumen en los siguientes cuatro elementos: (a) el establecimiento de deberes y obligaciones para el tratamiento de datos personales; (b) un procesamiento transparente de datos personales; (c) una protección especial para datos sensibles; y (d) la existencia de derechos y recursos efectivos para la protección de datos.

Las conclusiones finales no eran muy difíciles de adivinar: Estados Unidos carece de un régimen adecuado de protección de datos personales. Respecto al sector público, concluyeron que si bien ciertas normas establecían principios de protección de datos personales, aun existían ciertas lagunas en esas leyes. En relación al sector privado, los autores concluyeron que existe una clara falta de transparencia; que el uso secundario de datos recabados del público es una práctica común y que no existe un eficiente control judicial por parte de los registrados. Si bien en las últimas dos décadas se han aprobado numerosas normas de privacidad y la FTC ha intensificado su accionar regulatorio y de enforcement, sobre todo en materia de cuestiones en Internet, aun el sistema norteamericano de privacidad está muy distante del Europeo.

Pese a la crítica de grupos de interés y de la doctrina, en junio de 2000 el gobierno norteamericano y la Unión Europea acordaron el convenio denominado “Acuerdo del Puerto Seguro”[28] por el cual se entiende que Estados Unidos posee una protección adecuada. Entre otras cosas se ha criticado que la función de la Comisión Federal de Comercio, encargada de instrumentar este Acuerdo excede su competencia jurisdiccional y que solo un número mínimo de empresas se ha incorporado al Acuerdo frente al gran número de compañías que realmente tratan datos personales en transferencias internacionales desde Europa a Estados Unidos.

El Acuerdo de Puerto seguro no era un reconocimiento de adecuación como el que ocurrió con Suiza o Argentina, sino un acuerdo ad hoc, como sucedió con la transferencia internacional de información sobre vuelos a los Estados Unidos con la finalidad de detectar terroristas[29]. En ámbitos académicos el Safe Harbour fue duramente criticado pues se consideraba –entre otras cuestiones–, que la FTC no tenía las facultades legales para implementarlo[30].

Muchos años después del Acuerdo de puerto Seguro, vino la revelación de violaciones sistemáticas y a gran escala a la privacidad de Internet por parte de las agencias de inteligencia, a raíz de las revelaciones del ex agente de inteligencia Edward Snowden que puso en alerta a la Unión Europea. Finalmente en el año 2015 el caso “Schrems v. Facebook”[31]el Tribunal de Justicia de la Unión Europea anuló el Acuerdo de Puerto Seguro. Ello derivó en nuevas negociaciones que terminaron en un nuevo Acuerdo entre Estados Unidos y la Unión Europea denominado Privacy Shield[32]. La descripción en detalle de todo esto excede el objeto de esta breve nota.

V. Conclusiones [arriba] 

La nueva normativa aprobada por la DNPDP en el 2016 era muy esperada y nos parece que tendrá un resultado positivo en la práctica de esta nueva rama del Derecho. Facilita el intercambio de datos personales mediante la creación de dos modelos contractuales tipo que las empresas o personas podrán usar. Esto es de gran ayuda para pequeñas y medianas empresas. Asimismo determina en forma clara quienes son los destinos adecuados en materia de protección de datos, algo que la DNPDP nunca había hecho antes. De esa forma se clarifica que a países adecuados como los miembros de la UE o aquellos reconocidos por ese bloque regional no se requiere un contrato para transferir datos en forma internacional, sin perjuicio de que las partes quieran documentar la transferencia.

 

 

Notas [arriba] 

[1] Disposición 60/2016, BO18/11/2016.
[2] Un estudio reciente por Graham GREENLEAF detectó 99 países con leyes de protección de datos personales. Ver Global data privacy laws 2013: 99 countries and counting (including Global Tables of Acts and Bills) (2013) Privacy Laws & Business International Report, Issue 123, págs. 10-22.
[3] PALAZZI, Comercio Electrónico, transferencia internacional de datos personales y armonización de leyes en un mundo globalizado, en la obra colectiva Derecho de Internet y Telecomunicaciones (Nelson Remolina, director), Universidad de los Andes, Legis, Bogotá, 2003, pág. 294.
[4] Ver WP29, Opinion 05/2012 on Cloud Computing, WP 196 (2012) y Opinion 02/2013 on apps on smart devices, WP 202 (2013); MILLARD, Cloud computing law, págs. 165-280.
[5] Punto 7 de la Disp. DNDP 18/2015 sobre Buenas prácticas en privacidad para el desarrollo de aplicaciones móviles, publicada en Revista Latinoamericana de Protección de Datos, Año I, n. 1, CDYT, 2015, págs. 413/426.
[6] PALAZZI, La protección de los datos personales en la Argentina, Errepar, 2004, págs. 99-105.
[7] PALAZZI, La protección de datos…, pág. 102.
[8] http://ec.europa.eu /justice/data-protection/ international-transfers/ transfer/index_en.htm.
[9] Ver dictámenes de la DNPDP disponibles en http://www.jus.gob.ar/ datos-personales/normativa/ dictamenes-pdp.aspx.
[10] Y por lo tanto no sería adecuado, ver el tratamiento y conclusiones de los profesores REIDENBERG y SCWHARTZ en su obra Data privacy law, Michie, 1996.
[11] Aunque la FTC cumple el rol de agencia de protección de datos personales en muchos casos. Ver HOOFNAGLE, Chris Jay, Federal Trade Commission Privacy Law and Policy, Oxford, 2016, en especial págs. 145-192, capítulo 6 relativo a “online privacy”.
[12] Sobre el concepto de independencia de las agencias de protección de datos personales ver PALAZZI, La independencia de las autoridades de protección de datos personales bajo la jurisprudencia de la Unión Europea, publicada en la Revista Latinoamericana de Protección de Datos Personales, Año II, n. 1, CDYT, 2016, págs. 309-325.
[13] Ver http://ec.europa.eu/ justice/data-protection/ international-transfers/ binding-corporate-rules/ index_en.htm.
[14] Ver http://ec.europa.eu/ justice/data-protection /international-transfers /transfer/index_en.htm.
[15] Al decir "Que a los fines de la confección de los contratos modelo cabe tener en cuenta la experiencia internacional, en particular las conclusiones del documento de trabajo relativo a las transferencias de datos personales a terceros países del GRUPO DE TRABAJO DEL ARTÍCULO 29 de la Directiva 95/46/EC, del 24 de julio de 1998 y las cláusulas contractuales tipo de la COMISIÓN DE LA COMUNIDAD EUROPEA dispuestas en la Decisión 2001/497/CE del 15 de junio de 2001 y la Decisión 2010/87/UE del 5 de febrero de 2010".
[16] Lo curioso es que de alguna forma esta cláusula establece contractualmente una obligación de data breach notification que no está prevista en la ley argentina. De ese modo, el importador a veces termina con más obligaciones que el exportador según la ley local.
[17] El concepto de "tercero beneficiario" es el de alguien que puede beneficiarse de un contrato que no ha firmado. El ejemplo clásico de un tercero beneficiario aparece en una póliza de seguro de vida. La póliza de seguro se firma entre el individuo y la compañía de seguros, pero un tercero (la esposa o los hijos) es quien recibirá el pago del seguro en caso de que se produce el evento asegurado. Los terceros beneficiarios tienen derecho a demandar una o ambas partes si se produce un incumplimiento de contrato, pese a no ser parte del mismo.
[18] Esto podría plantear un problema para las empresas que no quieren reconocer la jurisdicción administrativa de la DNPDP o la aplicación de la Ley N° 25.326, por ej. cuestionándola en tribunales, pero que hayan firmado un convenio de transferencia internacional usando el modelo argentino.
[19] TJUE, caso “Schrems” sentencia del 6/10/2015, publicad en Revista Latinoamericana de Protección de Datos Personales, Año II, n. 1, CDYT, 2016, págs. 247-282.
[20] Israel terminó revocando las decisiones de adecuación y autorizaciones de transferencia a Estados Unidos luego del caso Schrems. Cfr. PETERSON y otros, The Schrems Saga Continues: Israeli Law, Information and Technology Authority Revokes Transfer Authorizations, http://www.ogletreedeakins.com/shared-content/content/blog/2015/october/schrems-saga-continues-israeli-law-information-technology-authority-revokes-transfer-authorizations.
[21] Posiblemente porque es un tema diplomáticamente sensible decir en un decreto que un país no cumple ciertas leyes o ciertos estándares.
[22] Comisión Europea, DG XV, Grupo de Trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, "Primeras orientaciones sobre la transferencia de datos personales a países terceros -Posibles formas de evaluar la adecuación", Documento de debate adoptado por el Grupo de Trabajo el 26 de junio de 1997, [XV D/5020/97 - ES 2, WP4] y Comisión Europea, DG XV, Grupo de Trabajo sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales, Documento de Trabajo titulado "Transferencias de datos personales a terceros países: aplicación de los arts. 25 y 26 de la Directiva sobre protección de datos de la UE", 24 de julio de 1998 [DG XV D/5025/98 WP 12].
[23] PALAZZI, Transferencia internacional de datos, Ad Hoc, 2002, págs. 121-132.
[24] Ver Decisiones 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE), 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE, 2011/61/UE de la Comisión y las Decisiones de Ejecución 2012/484/UE, y 2013/65/UE de la Comisión.
[25] Schwartz y Reidenberg, Data Privacy Law:A Study of United States Data Protection, Lexis Law Publishing (1996).
[26] Pese a la cada vez más activa acción de la FTC. Ver la obra de Chris HOOFNAGLE, Federal Trade Commission. Privacy Law and Policy, Cambridge, 2016.
[27] Es interesante notar que la adecuación podría ser parcial, por ejemplo se podría concluir que Estados Unidos, en algun sector como el de informes comerciales, o los menores online, tiene cierta protección eficaz. El decreto reglamentario de la ley argentina da pie para aprobar una adecuación parcial de un determinado sector.
[28] Safe Harbor Agreement. Ver texto completo en español del acuerdo publicado en PALAZZI, Transferencias..., Ad Hoc, Buenos Aires, 2002, págs. 268-341.
[29] Sobre el tema ver http://ec.europa.eu/ justice/data-protection/ international-transfers/pnr-tftp/ pnr-and-tftp_en.htm.
[30] REIDENBERG, Joel R. Reidenberg, E-Commerce and Trans-Atlantic Privacy, 38 Hous. L. Rev. 717 (2001) y su declaración el en Comité de Comercio del Congreso de Estados Unidos, en la audiencia pública titulada "Hearing on the EU Data Protection Directive: Implications for the U.S. Privacy Debate”, http://reidenberg.home.sprynet.com/Reidenberg_Testimony_03-08-01.htm; en igual sendido, Robert R. SCHRIVER, You Cheated, You Lied: The Safe Harbor Agreement and its Enforcement by the Federal Trade Commission, Fordham Law Review, VOl. 70, pág. 2806 (2002). Puede verse también el Safe Harbour Decision Implementation Study (2004), preparado por Jan Dhont, Veronica Perez Asinari, Yves Poullet, por el CRID (Bélgica), Joel Reidenberg (Fordham Law School), Lee Bygrave, (Oslo), en http://ec.europa.eu/ justice/policies/privacy /docs/studies/ safe-harbour-2004 _en.pdf.
[31] TJUE, caso “Schrems” sentencia del 6/10/2015, publicad en Revista Latinoamericana de Protección de Datos Personales, Año II, n. 1, CDYT, 2016, págs. 247-282.
[32] Para más detalles ver http://ec.europa.eu /justice/data-protection/ international-transfers/ eu-us-privacy-shield/ index.htm.