Novedades relevantes en materia de protección de datos personales

1. Proceso de fiscalización

La Disposición N° 55- E/2016 de la Dirección Nacional de Protección de Datos Personales (“DNPDP”) sustituye el anterior régimen de inspecciones implementado a través de la anterior Disposición N° 5/2008 modificada por la Disposición N° 3/2012 (ver “Normas de Inspección y Control de la Dirección Nacional de Protección de Datos Personales (Disposición Nº 5/2008)” en Marval News #73).

Los cambios más relevantes que introduce esta Disposición son los siguientes:

1. Se incluye dentro de los aspectos a relevar el cumplimiento de las obligaciones derivadas al régimen del Registro No Llame (ver “Nuevo Registro Nacional ‘No Llame’” en Marval News #142 y “Novedades relativas al Registro No Llame” en Marval News #147).
2. Se prevé la posibilidad de hacer inspecciones espontáneas.
3. El inicio del procedimiento de inspección debe notificarse al responsable de la base de datos con quince días hábiles de anticipación.
4. La notificación podrá omitirse en caso que se prevea que la misma pueda poner el riesgo la ejecución de la inspección.
5. Concluida la inspección, en caso de detectarse irregularidades se intimará a su regularización en el plazo de 15 días hábiles. Vencido el plazo, la DNPDP podrá iniciar las actuaciones sumariales respectivas si no se demuestra haber tomado las medidas necesarias para cumplir con las obligaciones de la Ley de Protección de Datos Personales N° 25.326 (“LPDP”). Si como resultado de la inspección la entidad inspeccionada demuestra haber dado cumplimiento a todas las condiciones requeridas en materia de protección de datos personales, el proceso de inspección será formalmente cerrado.

2. Registro de bases de datos

Como consecuencia de la implementación de un nuevo sistema informático, la DNPDP ha decidido modificar los formularios de registro de bases de datos creados en virtud de las Disposiciones Nos. 2/2005 y 3/2005 de la DNPDP (ver “Implementación del Registro Nacional de Bases de Datos” en Marval News #37 y “Registro Nacional de Bases de Datos - Recordatorio” en Marval News #38). A tal fin, la Disposición N° 56 - E/2016 publicada en el Boletín Oficial el día 7 de noviembre de 2016, aprueba nuevos formularios a ser utilizados por los responsables de bases de datos y los proveedores que realizan tratamiento de datos personales por encargo de los responsables de bases de datos. 

Cabe recordar que la inscripción de las bases de datos es una obligación legal de todo responsable de bases de datos y/o proveedor de servicios informatizados.

La implementación de estos nuevos formularios no es inmediata dado que será ordenada por la DNPDP una vez que se ponga en funcionamiento el nuevo sistema operativo. Mientras tanto se continuará utilizando los formularios y procedimientos correspondientes al anterior régimen registral.

3. Transferencia internacional de datos personales

A través de la Disposición N° 60 - E/2016 publicada en el Boletín Oficial el 18 de noviembre de 2016, la DNPDP reguló aspectos referidos a las transferencias de datos personales. Conforme la LPDP, la transferencia a países que no son considerados adecuados en materia de protección de datos personales se encuentra prohibida. A la fecha, nunca se había determinado qué países cumplían ese standard de adecuación.

La nueva Disposición establece que los siguientes países poseen legislación adecuada en materia de protección de datos personales: Estados miembros de la Unión Europea y miembros del Espacio Económico Europeo, Suiza, Guernsey, Jersey, Isla de Man, Islas Feroe, Canadá únicamente en cuanto al sector privado, Nueva Zelanda, Andorra y Uruguay. Es decir, se ha considerado a tal efecto las declaraciones de adecuación emitidas por la Unión Europea.

Por su parte, la Disposición aprueba dos modelos de contratos para ser empleados en transferencias internacionales de datos a países no adecuados, tanto en caso de cesiones de datos como en los supuestos de prestación de servicios. Estos modelos siguen en muchos aspectos los lineamientos de las cláusulas contractuales modelo de la UE dispuestas en la Decisión 2001/497/CE y Decisión 2010/87/UE.

Si la transferencia de datos a países considerados no adecuados se realiza al amparo de cláusulas que difieren de los modelos aprobados o no contengan los principios, garantías y contenidos relativos a la protección de datos personales previstos en aquellos modelos, entonces se deberá presentar el contrato a la DNPDP a los efectos de su análisis y aprobación en el plazo de 30 días corridos desde su firma. Previamente, dicha aprobación no era exigida.