Nuevas guías de normas corporativas vinculantes en materia de protección de datos personales

A través de la Resolución N° 159/2018, publicada el 7 de diciembre de 2018 en el Boletín Oficial, ya en vigencia, la Agencia de Acceso a la Información Pública ( “AAIP”) aprobó los lineamientos y contenidos básicos para normas corporativas vinculantes (“NCV”), las cuales podrán ser utilizadas por compañías multinacionales como mecanismo válido para ajustar a la regulación argentina las transferencias internacionales de datos personales llevadas a cabo entre las empresas que integran el mismo grupo.
 

En forma similar a lo establecido por el Reglamento General de Protección de Datos de la Unión Europea, la Ley de Protección de Datos Personales N° 25.326 ( “LPDP”) prohíbe las transferencias internacionales de datos personales a países u organizaciones internacionales que no cuenten con un nivel adecuado de protección de datos personales. De acuerdo con lo establecido en el Decreto Reglamentario N° 1558/2001, la AAIP posee la facultad de determinar qué países u organizaciones internacionales cuentan con un nivel adecuado de protección de datos personales. A tal efecto, la Disposición N° 60-E/2016 de la Dirección Nacional de Protección de Datos Personales (anterior autoridad de control de la LPDP) ha declarado como adecuadas las siguientes jurisdicciones: Estados miembros de la Unión Europea y miembros del espacio económico europeo (EEE), Confederación Suiza, Guernsey, Jersey, Isla de Man, Islas Feroe, Canadá (solo respecto de su sector privado), Principado de Andorra, Nueva Zelanda, República Oriental del Uruguay y Estado de Israel (solo respecto de los datos que reciban un tratamiento automatizado). Esta lista puede ser modificada periódicamente por la AAIP.
 

El Decreto Reglamentario N° 1558/2001 también permite las transferencias internacionales de datos personales a países que no cuenten con un nivel adecuado de protección de datos personales cuando (i) los titulares de los datos consientan la transferencia; o (ii) cuando niveles adecuados de protección surjan de cláusulas contractuales o sistemas de autorregulación como pueden ser las NCV. En esta oportunidad, la AAIP ha regulado los aspectos relevantes a tener en cuenta para implementar NCV para los casos en los que se transfieran datos a jurisdicciones que no cumplan con estándares adecuados de protección de datos personales.
 

La Resolución N° 159/2018 determina que las NCV deben ser obligatorias para todos los miembros de un grupo empresario, así como también para sus empleados, subcontratantes y terceros beneficiarios. Adicionalmente, la Resolución determina los siguientes elementos y principios que las NCV deberán contener para reflejar adecuadamente los requisitos y condiciones impuestos por la LPDP y sus normas complementarias.

• Condiciones de legitimidad: Las NCV deben considerar la aplicación de los principios generales de protección de datos personales. En particular, la licitud del tratamiento, calidad de los datos, finalidad, transparencia, seguridad, confidencialidad, derechos de los titulares de los datos y la restricción respecto de subsiguientes transferencias internacionales de datos personales a jurisdicciones que no cuenten con niveles adecuados de protección.
• Protección específica con respecto a aspectos sensibles: Este aspecto involucra el deber de establecer una limitación respecto del tratamiento de ciertas categorías especiales de datos personales, el derecho a objetar el tratamiento de datos personales con la finalidad de enviar publicidades directas no solicitadas, el derecho a no ser sometido a procesos automatizados de toma de decisiones, y limitar la creación de archivos que contengan datos personales relacionados con antecedentes penales y/o contravencionales.
• Terceros beneficiarios: Tanto los titulares de los datos como la AAIP deberán ser considerados terceros beneficiarios con respecto a los derechos y garantías establecidos en las NCV.
• Procedimiento de reclamos: Deberá contemplarse el derecho de los titulares de los datos a reclamar, tanto en vía administrativa como judicial, en su jurisdicción local.
• Responsabilidad: Las empresas que participen en el tratamiento de los datos personales deberán asumir responsabilidad solidaria ante el titular de los datos y la AAIP frente a cualquier violación de las NCV.
• Autoridad de control: Las NCV deberán incluir a la AAIP como autoridad de control para entender en toda transferencia de datos en la que una entidad argentina actúe como exportador de los datos. Más aún, la AAIP podrá intervenir  en calidad de tercero beneficiario con respecto a los datos personales de titulares argentinos.
• Compromiso de garantía y explicación fundada: Se deberá garantizar y fundamentar que las NCV sean efectivamente exigibles a las empresas del grupo por el titular de los datos y la AAIP.
• Capacitación: Deberá preverse la capacitación continua del personal asignado a las actividades vinculadas al tratamiento de los datos personales.
• Finalmente, las NCV deberán prever mecanismos y recursos administrativos y judiciales independientes, efectivos y accesibles.

Por último, las NCV que difieran de las condiciones establecidas en la Resolución N° 159/2018 deberán ser presentadas ante la AAIP para su control y aprobación, dentro de los 30 días siguientes de efectuada la transferencia.