|
Agencia de Acceso a la Información Pública
PROTECCIÓN DE LOS DATOS PERSONALES - LEY
N° 25.326 - LINEAMIENTOS Y CONTENIDOS BÁSICOS DE NORMAS CORPORATIVAS
VINCULANTES
Resolución (AAIP) 159/18. Del 5/12/2018. B.O.: 7/12/2018. Seguridad
de la Información. Apruébese el documento “Lineamientos y Contenidos
Básicos de Normas Corporativas Vinculantes”, a fin de ser considerado en
el diseño de documentos relativos a normas de autorregulación en
empresas que conformen un mismo grupo económico, para la transferencia
internacional de datos personales.
Ciudad de Buenos Aires, 05/12/2018
VISTO el EX-2018-43550346-APN-DNPDP#AAIP, la Ley N° 25.326, la Ley N°
27.275, el Decreto N° 1558 del 29 de noviembre de 2001, el Decreto N°
746 del 25 de septiembre de 2017, el Decreto N° 899 del 3 de noviembre
de 2017, y
CONSIDERANDO:
Que por el artículo 19 de Ley N° 27.275 se creó la AGENCIA DE ACCESO A
LA INFORMACIÓN PÚBLICA como ente autárquico con autonomía funcional, en
la órbita de la JEFATURA DE GABINETE DE MINISTROS.
Que por el Decreto N° 746 del 25 de septiembre de 2017 se sustituyó el
artículo 19 de la Ley de Acceso a la Información Pública N° 27.275,
atribuyendo a la referida Agencia la facultad de actuar como Autoridad
de Aplicación de la Ley de Protección de Datos Personales N° 25.326,
como así también en su artículo 13, se incorporó como inciso t) al
artículo 24 del capítulo IV de la de la Ley 27.275 de Derecho de Acceso
a la Información Pública, la competencia de fiscalizar la protección
integral de los datos personales asentados en archivos, registros, banco
de datos, u otros medios técnicos de tratamiento de datos, sean éstos
públicos o privados destinados a dar informes, para garantizar el
derecho al honor y a la intimidad de las personas, y el acceso a la
información que sobre las mismas se registre.
Que por el artículo 29 del ANEXO I al Decreto N° 1558 del 29 de
noviembre de 2001, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS
PERSONALES en el ámbito de la entonces SECRETARÍA DE JUSTICIA Y ASUNTOS
LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, para cumplir
las funciones de órgano de control y autoridad de aplicación de la Ley
de Protección de Datos Personales N° 25.326 y su reglamentación.
Que el Decreto N° 899 del 6 de noviembre 2017 reordenó el plexo
regulatorio vigente en relación a las competencias asignadas a los
organismos mencionados y de conformidad con los términos del artículo 19
de la Ley N° 27.275, sustituido por el artículo 11 del Decreto N°
746/17, atribuyó a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, el
ejercicio de la función de órgano de control de la Ley N° 25.326, que
hasta entonces detentaba la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS
PERSONALES.
Que, en virtud de lo expuesto, el Decreto N° 899/17 dispuso en su
artículo 2° que toda referencia normativa a la DIRECCIÓN NACIONAL DE
PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se
considerará referida a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
Que en virtud de lo dispuesto en el artículo 29, inciso 1º, punto b) de
la Ley Nº 25.326, entre las facultades asignadas a la AGENCIA DE ACCESO
A LA INFORMACIÓN PÚBLICA se especifica la de “Dictar las normas y
reglamentaciones que se deben observar en el desarrollo de las
actividades comprendidas por esta ley”.
Que asimismo el artículo 12 del Anexo I al Decreto 1558/01, faculta a la
DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES a “evaluar, de
oficio o a pedido de parte interesada, el nivel de protección
proporcionado por las normas de un Estado u organismo internacional”.
Que la misma norma sostiene que “el carácter adecuado del nivel de
protección que ofrece un país u organismo internacional se evaluará
atendiendo a todas las circunstancias que concurran en una transferencia
o en una categoría de transferencias de datos; en particular, se tomará
en consideración la naturaleza de los datos, la finalidad y la duración
de tratamiento o de los tratamientos previstos, el lugar de destino
final, las normas de derecho, generales o sectoriales, vigentes en el
país de que se trate, así como las normas profesionales, códigos de
conducta y las medidas de seguridad en vigor en dichos lugares, o que
resulten aplicables a los organismos internacionales o supranacionales”.
Que, asimismo, dispone “que un Estado u organismo internacional
proporciona un nivel adecuado de protección cuando dicha tutela se
deriva directamente del ordenamiento jurídico vigente, o de sistemas de
autorregulación, o del amparo que establezcan las cláusulas
contractuales que prevean la protección de datos personales”.
Que por tales motivos conforme se desprende del artículo 12 del Anexo I
al Decreto 1558/01 citado, nuestra legislación admite como garantías
adecuadas a los fines de la transferencia internacional de datos
personales la existencia de sistemas de autorregulación que brinden una
protección similar a la de nuestra normativa.
Que resulta una costumbre internacional cada día más extendida a nivel
empresarial de orden multinacional, el desarrollo de normas de
autorregulación entre empresas de un mismo grupo económico, en inglés
conocidas como Binding Corporate Rules (BCRs).
Que a tales fines resulta conveniente delinear los contenidos básicos de
una autorregulación empresaria para ser considerada lícita, esto es
hacer saber aquellas garantías y requisitos necesarios a juicio de esta
AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA para que las normas de
autorregulación protejan adecuadamente los datos personales que se
transfieran a países sin legislación adecuada en los términos del
artículo 12 del Anexo I al Decreto 1558/01.
Que entiende esta AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA que definir
los contenidos básicos de una norma de autorregulación será muy útil
para garantizar mejor los derechos del titular del dato y otorgar mayor
seguridad jurídica en estos sistemas normativos complejos.
Que, en base a lo expuesto, resulta procedente aprobar un documento
modelo bajo el título de “LINEAMIENTOS Y CONTENIDOS BÁSICOS DE NORMAS
CORPORATIVAS VINCULANTES” que establezca las pautas básicas a considerar
en el diseño de las normas corporativas vinculantes que se propone en la
presente resolución.
Que, asimismo, a los fines de un adecuado control de los sistemas de
autorregulación se considera necesario que esta AGENCIA DE ACCESO A LA
INFORMACIÓN PÚBLICA efectúe un control de dicha normativa que se utilice
en el tratamiento de datos provenientes de la República Argentina,
aprobándolos o señalando aquello que resulte faltante para una adecuada
protección de los datos personales.
Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE
COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha
tomado la intervención que le compete.
Que la presente medida se dicta en uso de las facultades conferidas por
el artículo 29, inciso 1, apartado b) de la Ley Nº 25.326 y el artículo
12 del Anexo I al Decreto 1558 del 29 de noviembre de 2001.
Por ello,
EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE
Artículo 1º — Apruébese el documento “LINEAMIENTOS Y CONTENIDOS BÁSICOS
DE NORMAS CORPORATIVAS VINCULANTES” cuyo texto forma parte integrante de
la presente como Anexo I (IF-2018-63111148-APN-AAIP), a fin de ser
considerado en el diseño de documentos relativos a normas de
autorregulación en empresas que conformen un mismo grupo económico, para
la transferencia internacional de datos personales, en los términos del
artículo 12 del Anexo I al Decreto 1558 del 29 de noviembre de 2001 y
sus modificatorios, y las norma que en el futuro se dicten en la
materia.
Artículo 2º — Establécese que quienes transfieran datos personales de la
República Argentina a empresas ubicadas en terceros países sin
legislación que resulte adecuada para la protección de datos personales,
y sustenten su adecuación en normas de autorregulación que difieran del
documento obrante en el Anexo I, “LINEAMIENTOS Y CONTENIDOS BÁSICOS DE
NORMAS CORPORATIVAS VINCULANTES”, deberán presentar dichas normas ante
esta AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA para su control y
aprobación, dentro de los 30 días siguientes de efectuada la
transferencia.
Artículo 3º — Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL
REGISTRO OFICIAL y, oportunamente, archívese.
ANEXO - Lineamientos y Contenidos Básicos de Normas Corporativas
Vinculantes
(1) Características
Las normas corporativas vinculantes que pretendan alcanzar un nivel
adecuado de protección de los datos personales en los términos del
artículo 12 del Anexo I al Decreto Nº 1558/01, deberán ser obligatorias
y exigibles tanto para la totalidad de las empresas que forman parte de
un grupo económico (mediante resoluciones societarias que las obliguen a
cumplir con dicha norma), como para los empleados, subcontratistas y
terceros beneficiarios (mediante cláusulas específicas), y prever
remedios judiciales y administrativos de carácter independiente,
efectivos y accesibles.
Se entenderá como grupo económico a aquellas sociedades que sean
controlantes, controladas y aquellas vinculadas en las cuales se tenga
influencia significativa en las decisiones, denominación, domicilio,
actividad principal, participación patrimonial, porcentaje de votos y,
para las controlantes, principales accionistas.
(2) Contenidos mínimos
El documento debe incorporar en sus cláusulas, los contenidos mínimos
que se describen a continuación, que han de ser interpretados con el
alcance y contenidos previstos en la Ley Nº 25.326 o la que en el futuro
la reemplace.
a) Condiciones de licitud: 1) Principio de legitimidad del tratamiento;
2) Principio de finalidad; 3) Principio de calidad de los datos
(pertinentes restringidos a lo estrictamente necesario para la
finalidad, exactos, ciertos, adecuados, actualizados y completos en caso
de ser necesario, y su caducidad); 4) Principio de información y
transparencia; 5) Principio de seguridad y confidencialidad; 6) Derechos
del titular de los datos de acceso, rectificación, actualización y
supresión; 7) Restricciones de ulteriores transferencias a terceros
países sin legislación adecuada.
b) Protecciones específicas por sensibilidad de la materia: 1)
Prohibición del tratamiento de datos sensibles, salvo que resulte
necesario por ley o con consentimiento previo del titular de los datos;
2) Previsión del derecho del titular de dato a ser excluido de los
listados de publicidad directa no consentida; 3) Previsión del derecho
del titular de los datos a oponerse a ser objeto de una decisión basada
únicamente en el tratamiento automatizado de datos que le produzca
efectos jurídicos perniciosos o lo afecte significativamente de forma
negativa; 4) No conformación de registros de antecedentes penales y/o
contravencionales y prohibición de su cesión a terceros salvo con el
consentimiento expreso del titular de los datos.
c) Designación de terceros beneficiarios: Se debe otorgar potestad como
terceros beneficiarios, con carácter irrevocable y mediante cláusulas
específicas, al titular de los datos y a esta AGENCIA DE ACCESO A LA
INFORMACIÓN PÚBLICA para el ejercicio de sus prerrogativas, derechos y
garantías que la norma de autorregulación les reconoce a su favor.
d) Derechos del titular de los datos: Adecuado reconocimiento y diseño
de los procedimientos para el ejercicio de los derechos de los titulares
de los datos.
e) Jurisdicción local para el ejercicio de los derechos del titular de
los datos: Se debe respetar el derecho del titular de los datos a
iniciar un reclamo judicial o administrativo en su jurisdicción local.
f) Responsabilidad: Las empresas que participen en el tratamiento de los
datos personales deben asumir responsabilidad solidaria ante el titular
de los datos y la autoridad de control frente a cualquier violación de
la norma de autorregulación prevista (debería respetarse la eventual
intervención de las autoridades de control de cada país exportador).
g) Autoridad de control: Ante una transferencia internacional de datos
personales entre empresas que pertenezcan al mismo grupo económico, la
AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA podrá intervenir cuando la
empresa que exporte los datos personales se encuentre establecida en la
REPÚBLICA ARGENTINA. A su vez, la AGENCIA DE ACCESO A LA INFORMACIÓN
PÚBLICA podrá intervenir como tercero beneficiario cuando se encuentren
involucrados datos personales de titulares que residan en la REPÚBLICA
ARGENTINA. En el marco de cooperación internacional entre autoridades de
control, podrán intervenir todas aquellas autoridades de control de los
países en donde se encuentren establecidas las empresas importadoras y
exportadoras de los datos personales motivo de la transferencia.
h) Compromiso de garantía y explicación fundada: Se deberá garantizar y
fundamentar que las normas de autorregulación sean efectivamente
exigibles a las empresas del grupo por el titular de los datos y la
AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.
i) Capacitación: Debe preverse la capacitación continua del personal
asignado a las actividades vinculadas al tratamiento de los datos
personales. |