Ciudad de Buenos Aires, 13/10/2023
VISTO el Expediente N° EX-2023-60881292- -APN-AAIP; las Leyes Nº 25.326, Nº 27.275, N° 27.483 y N° 27.699; los Decretos Nº 1558 del 29 de noviembre de 2001, N° 206 del 27 de marzo de 2017, Nº 746 del 25 de septiembre de 2017 y N° 899 del 3 de noviembre de 2017; la Resolución de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA N° 34 del 26 de febrero de 2019; la Disposición de la Dirección Nacional de Protección de Datos Personales N° 60 del 16 de noviembre de 2016; y
CONSIDERANDO:
Que, de acuerdo con el artículo 19 de la Ley Nº 27.275, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP), ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, es Autoridad de Aplicación de la Ley de Protección de Datos Personales N° 25.326, entre otras responsabilidades.
Que, de conformidad con el artículo 29, inciso b), de la Ley N° 25.326, la AAIP tiene entre sus facultades la de dictar las normas y reglamentaciones que se deben observar para el correcto tratamiento de datos personales.
Que el artículo 12 del Anexo I al Decreto N° 1558/01 faculta a la Dirección Nacional de Protección de Datos Personales (DNPDP) a evaluar, de oficio o a pedido de parte interesada, el nivel de protección proporcionado por las normas de un Estado u organismo internacional.
Que la misma norma sostiene que “…el carácter adecuado del nivel de protección que ofrece un país u organismo internacional se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración de tratamiento o de los tratamientos previstos, el lugar de destino final, las normas de derecho, generales o sectoriales, vigentes en el país de que se trate, así como las normas profesionales, códigos de conducta y las medidas de seguridad en vigor en dichos lugares, o que resulten aplicables a los organismos internacionales o supranacionales”.
Que, asimismo, dispone que “…un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente, o de sistemas de autorregulación, o del amparo que establezcan las cláusulas contractuales que prevean la protección de datos personales”.
Que, a falta de una decisión de adecuación, la legislación admite como garantías adecuadas a los fines de la transferencia internacional de datos personales la existencia de autorregulación o cláusulas contractuales que brinden garantías de protección equiparables a la de nuestra normativa.
Que mediante la Disposición de la DNPDP N° 60/2016, modificada por la Resolución de la AAIP N° 34/2019, se aprobaron las cláusulas contractuales tipo de transferencia internacional para la cesión y prestación de servicios, incorporadas en los Anexos I y II de dicha medida, respectivamente, a fin de garantizar un nivel adecuado de protección de datos personales en los términos del artículo 12 de la Ley N° 25.326 y del Anexo I al Decreto N° 1558/01 en aquellas transferencias de datos que tengan por destino países sin legislación adecuada.
Que el Anexo I de la Disposición citada contiene el “Contrato modelo de transferencia internacional de datos personales con motivo de la cesión de datos personales”, mientras que el Anexo II establece el “Contrato modelo de transferencia internacional de datos personales con motivo de prestación de servicios”.
Que, ante la irrupción de una nueva generación de legislaciones en materia de protección de datos, el crecimiento significativo de los flujos transfronterizos y su incidencia en la economía global, a nivel regional e internacional se ha avanzado en la actualización de cláusulas contractuales modelo para la transferencia internacional, con el propósito de conducir hacia la convergencia de herramientas, simplificar los procedimientos y establecer pisos de garantías comunes que potencien la confianza entre los diferentes países.
Que se destacan las cláusulas contractuales modelo para la transferencia internacional de datos personales de la Red Iberoamericana de Protección de Datos, aprobadas por unanimidad en diciembre de 2021; las Cláusulas estándares Contractuales de la Comisión de la Unión Europea, de junio de 2021; las Cláusulas contractuales modelo de la ASEAN para flujos de datos transfronterizos, de enero de 2021; el Contrato Estándar de exportación de Información Personal de la Administración de Ciberespacio de China, promulgado en febrero de 2023 y el primer módulo de las Cláusulas Contractuales modelo para flujos de datos transfronterizos del Consejo de Europa, aprobadas en junio de 2023.
Que la AAIP forma parte de la Red Iberoamericana de Protección de Datos (RIPD) e integra su comité ejecutivo.
Que, el 22 de octubre de 2021 se llevó a cabo el XIX Encuentro de la RIPD, en cuya declaración final, se exhortó a los Estados Iberoamericanos, así como a los empresarios, a tomar en consideración las Cláusulas Contractuales Modelo desarrolladas por la Red en materia de transferencias internacionales, especialmente para las transferencias a jurisdicciones que no cuenten con legislaciones adecuadas.
Que otros países de la región -como Uruguay, a través de la Resolución N° 50/2022, o Perú, mediante la Resolución Directoral Nº 074-2022-JUS/DGTAIPD- decidieron adoptar estos modelos contractuales, lo cual permite estandarizar los instrumentos para las transferencias seguras de datos y, al mismo tiempo, facilitar la armonización normativa entre las diferentes autoridades de aplicación de la región.
Que mediante la Resolución de la AAIP N° 94/2023 se aprobó el Plan Estratégico de la AAIP 2022-2026, donde se estableció como meta para el corriente año la actualización de las cláusulas contractuales modelo para las transferencias internacionales de datos personales.
Que dichas cláusulas posibilitan el cumplimiento de los principios de protección de datos personales, y brindan a las empresas u organismos una alternativa económicamente viable, evitando que deban negociar acuerdos individuales al permitirles utilizar un conjunto de cláusulas previamente aprobadas por la Autoridad de Aplicación.
Que las cláusulas modelo que aquí se proponen expresan las dos alternativas prácticas más habituales de una transferencia internacional, como son las transferencias entre responsables y responsables, o entre responsables y encargados, proponiendo modelos de cláusulas tipo diferenciadas para ambos supuestos.
Que, además, son compatibles con las cláusulas contractuales tipo aprobadas por la Disposición de la DNPDP N° 60/2016, y tienen el potencial de contribuir a la convergencia normativa para una protección de datos adecuada, siguiendo estándares aceptados a nivel mundial.
Que, por los motivos señalados, resulta oportuno y conveniente incorporar las cláusulas contractuales modelo para la transferencia internacional de datos personales de la Red Iberoamericana de Protección de Datos al marco normativo aplicable en nuestro país en materia de protección de datos personales.
Que, de conformidad con lo establecido en el artículo 7º, inciso d), de la Ley Nº 19.549, la Dirección de Asuntos Jurídicos de la AAIP ha tomado la intervención de su competencia.
Que la presente medida se dicta en virtud de las facultades conferidas por el artículo 29, inciso 1, apartado b), de la Ley N° 25.326 y 29 del Decreto N° 1558/2001.
Por ello,
LA DIRECTORA DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE:
ARTÍCULO 1° - Aprobar las cláusulas contractuales modelo para transferencias internacionales incluidas en la “Guía de Implementación de Cláusulas Contractuales Modelo para la Transferencia Internacional de Datos Personales” (TIDP) que, como Anexo I (IF-2023-108581614-APN-DNPDP#AAIP), forma parte integrante de la presente resolución.
ARTÍCULO 2° —La presente norma entrará en vigencia a partir de su publicación en el BOLETÍN OFICIAL.
ARTÍCULO 3° — Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese.
Beatriz de Anchorena
NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-
e. 18/10/2023 N° 83410/23 v. 18/10/2023