Las transferencias internacionales de datos personales son los flujos de datos personales que realizan los responsables o encargados de tratamiento desde un país a otro. Estas transferencias pueden ocurrir por diversas razones, como servicios en la nube, de soporte técnico, de administración de recursos humanos, comercio electrónico, entre otros.
Un responsable de tratamiento de datos personales es una persona física o jurídica, pública o privada que determina los fines y medios del tratamiento de datos personales. Es la entidad que decide por qué y cómo se recopilan, utilizan, almacenan y eliminan los datos personales.
Por su parte, un encargado de tratamiento de datos personales es una persona física o jurídica que trata datos personales en nombre del responsable del tratamiento y bajo sus instrucciones.
Ejemplo: una empresa argentina (responsable del tratamiento) recopila datos de sus clientes y contrata servicios de almacenamiento en la nube de una empresa en Estados Unidos (encargado del tratamiento) para gestionar esos datos. En este caso, los datos personales de los clientes que se encuentran en Argentina se transfieren a los servidores del proveedor en Estados Unidos, quien los almacena siguiendo las instrucciones de la empresa argentina.
Regulación de las transferencias internacionales de datos personales en Argentina
En nuestra legislación, las transferencias internacionales de datos personales se encuentran reguladas por el artículo 12 de la Ley N° 25.326 de Protección de Datos Personales y sus normas complementarias. Como regla general, allí se prohíbe la transferencia de datos a países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados. Esto significa que el país de destino debe contar con una protección equivalente a la legislación argentina. La AAIP es la autoridad competente para evaluar las leyes y el marco institucional de otros países y determinar si se consideran adecuados o no.
De todas maneras, el artículo 12 contempla algunas excepciones, por lo que se pueden transferir datos personales de Argentina a otro país que no es adecuado cuando:
- Se solicita colaboración judicial internacional;
- En el intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o de una investigación epidemiológica;
- En transferencias bancarias o bursátiles, relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable;
- La transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte;
- La transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.
Para realizar una transferencia internacional existen algunos instrumentos que pueden brindarle a las diferentes empresas, organismos o instituciones los lineamientos necesarios para entender de qué forma llevarla a cabo, siguiendo y respetando la normativa nacional.
Transferencia de datos a países con niveles de protección adecuados
El primer mecanismo que habilita las transferencias internacionales es la adecuación. Considerar que países tienen niveles de protección adecuados significa que tienen criterios de regulación similares. Por lo tanto, se entiende que los datos de las personas de Argentina se transfieren a destinos que ofrecen las mismas garantías de seguridad y protección que se aseguran en este país.
Antes de realizar una transferencia internacional de datos personales es importante que el responsable, quien exporta los datos, corrobore si el país de destino está en la lista de países que son considerados adecuados por la normativa argentina.
Países con niveles de protección adecuados para el tratamiento de datos personales
La Disposición DNPDP 60/2016 y la Resolución AAIP 34/2019 establecen los países que Argentina considera con niveles adecuados en materia de protección de datos personales.
Listado de países con niveles de protección adecuados:
- Estados miembros de la Unión Europea y del espacio económico europeo (EEE),
- Reino Unido de Gran Bretaña e Irlanda del norte.
- Confederación Suiza.
- Guernsey.
- Jersey.
- Isla de Man.
- Islas Feroe.
- Canadá (sólo respecto de su sector privado).
- Principado de Andorra.
- Nueva Zelanda.
- República Oriental del Uruguay.
- Estado de Israel (sólo respecto de los datos que reciban un tratamiento automatizado).
Libre flujo de datos entre Argentina y países miembros de la Unión Europea
En enero de 2024, la Comisión Europea revalidó el estatus de la República Argentina como país adecuado para el libre flujo transfronterizo de datos personales. En 2003, mediante la Decisión 2003/490/CE, la Comisión Europea ya había considerado a la República Argentina como un país con nivel adecuado de protección de datos personales.
Esto significa que los países de la Unión Europea consideran que la República Argentina ofrece en su marco regulatorio e institucional con garantías de protección para los titulares de los datos transferidos. Por lo que las transferencias de datos personales se pueden realizar sin la necesidad de aplicar ningún otro instrumento legal.
Transferencias internacionales a países no adecuados
Se pueden transferir datos personales a países no adecuados si el flujo de datos esta en linea con las excepciones del artículo 12 de la Ley N° 25.326 de Protección de Datos Personales, o cuando los titulares de los datos hayan brindado consentimiento expreso para dicha transferencia.
De todas maneras, también se pueden realizar transferencias internacionales utilizando alguna de las herramientas adicionales que la AAIP pone a disposición, como las Cláusulas Contractuales Modelo para las transferencias de datos personales o las Normas Corporativas Vinculantes.
Mecanismos para las transferencias de datos a países no adecuados
Cláusulas Contractuales Modelo
La AAIP aprobó cuatro Cláusulas Contractuales Modelo para la transferencia de datos personales, listas para ser complementadas por las partes y utilizables según el caso. Su acceso es gratuito, ofreciendo una alternativa económicamente viable para que las empresas u organismos eviten negociar acuerdos individuales. Estas cláusulas están detalladas en la Disposición 60/2016 y la Resolución 198/2023.
La Disposición 60/2016 aprueba modelos de contratos de transferencias internacionales (cláusulas contractuales modelo) para aquellos países que no son considerados por la AAIP con legislación adecuada:
Para los casos de cesión de datos personales
Para los casos de prestación de servicios
En octubre de 2023, mediante la Resolución 198/2023 la AAIP adoptó las Cláusulas Contractuales Modelo para las transferencias internacionales de datos y la Guía de Implementación de la Red Iberoamericana de Protección De Datos (RIPD). La guía es un documento que ayuda a responsables y encargados a través de directrices y recomendaciones para utilizar adecuadamente las cláusulas contractuales propuestas.
Estas se utilizan para realizar transferencias internacionales de datos personales entre:
La Red Iberoamericana de Protección De Datos es un foro integrado por diversos actores del sector público y privado, que desarrolla iniciativas y proyectos relacionados con la protección de datos personales en Iberoamérica. La AAIP es miembro de esta organización.
Otros modelos de contrato para transferir datos personales
Cuando los responsables de tratamiento quieren transferir datos personales a países no adecuados mediante contratos que difieran de los modelos aprobados, deben solicitar que la AAIP los apruebe dentro de los treinta (30) días corridos desde su firma. El objetivo es que el órgano de control analice el cumplimiento de los principios y garantías relativos a la protección de los datos personales previstos en la legislación nacional vigente.
Para esto, deberán enviar un correo electrónico a [email protected] en donde se detallen los puntos en los qué difiere el contrato presentado con los modelos aprobados por la AAIP (Disposición 60 y Resolución 198/2023), junto a una copia del contrato propuesto.
La nota con el detalle de los puntos de diferencia y la copia del contrato propuesto también se puede enviar a la Dirección Nacional de Protección de Datos Personales de la AAIP, Av. Julio A. Roca 710 2° piso, Ciudad Autónoma de Buenos Aires.
Por dudas o consultas, enviar un correo electrónico a [email protected].
Normas Corporativas Vinculantes
Son un conjunto de reglas mínimas que deben aplicarse para el tratamiento de datos personales que son transferidos internacionalmente por empresas de un mismo grupo económico. Se entiende que un grupo económico es un conjunto de empresas o entidades que están bajo un control común, ya sea mediante la propiedad accionaria, la gestión directa o indirecta, o por cualquier otro medio que permita a una entidad ejercer una influencia significativa sobre las decisiones estratégicas y operativas de las demás. Estas empresas suelen estar relacionadas por lazos financieros, administrativos, comerciales o de dirección.
Para esto, mediante la Resolución 159/2018, la AAIP estableció lineamientos y contenidos básicos para las normas corporativas vinculantes. Las empresas que adopten mecanismos de regulación vinculantes y sigan las pautas señaladas no necesitarán presentarlas ante la AAIP para su aprobación formal. Si las empresas adoptan normas de autorregulación distintas de los lineamientos establecidos en la resolución, deberán presentarlas ante la AAIP dentro de los 30 días siguientes de efectuada la transferencia.
De esta forma, las empresas del mismo grupo económico pueden demostrar ante la AAIP que las transferencias internacionales de datos son seguras y que se brindará un nivel adecuado de protección a los datos personales transferidos fuera de la Argentina cuando el país de destino no cuente con una decisión de adecuación en materia de protección de datos personales.