Ya hay muchos ejemplos en el mundo:
Argentina - Dispo 60/2016.
Uruguay- Resolución N° 41/021 del 08/09/2021.
Union Europea - SCC modelo del 2021.
América Latina - Red iberoamericana de Proteccion de datos (2021) (cláusula modelo y guía)
Consejo de Europa - Model contract to ensure equivalent protection in the context of transborder data
flows with explanatory report (1992).
ASEAN Model contractual clauses.
Resolución N° 23/021 del 08/06/2021
Se resuelve sobre la necesidad de actualizar la Resolución Nº 4/019, de 12 de marzo de 2019, sobre los países u organizaciones consideradas adecuadas para las transferencias internacionales de datos, de conformidad con lo establecido por el artículo 23 de la Ley Nº 18.331, de 11 de agosto de 2008.
Montevideo, 8 de junio de 2021.
VISTO: La necesidad de actualizar la Resolución Nº 4/019, de 12 de marzo de 2019, sobre los países u organizaciones consideradas adecuadas para las transferencias internacionales de datos, de conformidad con lo establecido por el artículo 23 de la Ley Nº 18.331, de 11 de agosto de 2008.
RESULTANDO:
I. Que la resolución indicada en el Visto sustituyó la Nº 17/009, de 12 de junio de 2009, y estableció los territorios adecuados y en consecuencia apropiados para las transferencias internacionales de datos.
II. Que al efecto se consideraron las evaluaciones realizadas por la Unidad, y los casos en los que existe una protección equivalente a la uruguaya, sea por la pertenencia a determinada región o por la evaluación realizada por entidades especializadas en la valoración del ajuste de legislaciones nacionales a los principios y derechos vinculados a la protección de datos.
III. Que en función de los antecedentes citados, la Resolución N° 4/019 estableció que se consideran adecuados los miembros de la Unión Europea y el Espacio Económico Europeo, Principado de Andorra, República Argentina, el sector privado de Canadá, las organizaciones incluidas en el marco “Privacy Shield” de los Estados Unidos de América, Guernsey, Isla de Man, Islas Feroe, Estado de Israel, Japón, Jersey, Nueva Zelanda, Reino Unido de Gran Bretaña e Irlanda del Norte, y Confederación Suiza. Ello sin perjuicio de las limitaciones previstas en las correspondientes decisiones de adecuación emitidas por la Comisión Europea.
CONSIDERANDO:
I. Que la transferencia internacional de datos supone su transmisión fuera del territorio nacional y constituye una cesión o comunicación que tiene por objeto la realización de un tratamiento por cuenta del responsable de la base de datos o tratamiento establecido en territorio uruguayo.
II. Que el artículo 23 de la Ley Nº 18.331 dispone la prohibición de transferencias internacionales de datos con países u organismos internacionales que no proporcionen niveles de protección adecuados, de acuerdo con los estándares del Derecho Internacional o Regional en la materia, salvo excepciones; y esta Unidad es el órgano encargado de establecer los países y organismos que brindan dichos niveles de protección.
III. Que en esa consideración, la Unidad ha tenido en cuenta especialmente los Estándares en Protección de Datos Personales para los Estados Iberoamericanos emitidos por la Red Iberoamericana de Protección de Datos y el Reglamento General Europeo de Protección de Datos Nº 2016/679 del Parlamento Europeo y del Consejo.
IV. Que los países miembros de la Unión Europea cumplen con los estándares internacionales por aplicación del citado Reglamento y, por otra parte, se estima que los terceros países u organizaciones que han sido objeto de decisiones de adecuación del Parlamento Europeo y el Consejo poseen un nivel adecuado de protección, al acompasar su normativa a la de dicho estándar internacional.
V. Que en el caso de los terceros países u organizaciones considerados adecuados, corresponde entenderse incluidas en la presente Resolución todas las limitaciones o excepciones previstas en la decisión correspondiente a que refiere el Considerando anterior.
VI. Que con respecto a la adecuación de las organizaciones incluidas en el marco del “Privacy Shield”, existen elementos derivados del análisis del tratamiento de los datos en los Estados Unidos de América que llevaron a la invalidación de ese marco en el territorio europeo, los cuales justifican la revisión de la Resolución de esta Unidad. Esos elementos resultan en particular de la sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio 2020.
VII. Que, por lo mismo, las transferencias internacionales realizadas a los Estados Unidos de América deberán justificarse a través del consentimiento de los interesados o de alguna de las excepciones previstas en el artículo 23 de la Ley N° 18.331, y en su caso, contar con la autorización expresa de esta Unidad. A estos efectos se valorará especialmente la adopción de cláusulas contractuales apropiadas, la ubicación de los encargados de tratamiento en Estados que hayan adoptado normas tuitivas de la protección de datos y la adopción del esquema de auto-certificación puesto a disposición por la Federal Trade Commission, entre otros elementos.
VIII. Que se aprecia la necesidad de otorgar a los responsables y encargados de tratamiento que hubieran sustentado sus transferencias en el marco indicado en el Considerando VI un plazo para las adecuaciones necesarias.
ATENTO: A lo expuesto,
LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES
RESUELVE:
1°.- Sustituir la Resolución Nº 4/019, de 12 de marzo de 2019, y establecer que se consideran adecuados y en consecuencia apropiados para las transferencias internacionales de datos, todos los países que a juicio de esta Unidad, cuenten con normas de protección adecuadas y medios para asegurar su aplicación eficaz. En particular, se consideran adecuados a los miembros de la Unión Europea y el Espacio Económico Europeo, Principado de Andorra, República Argentina, el sector privado de Canadá, Guernsey, Isla de Man, Islas Feroe, Estado de Israel, Japón, Jersey, Nueva Zelanda, Reino Unido de Gran Bretaña e Irlanda del Norte, y Confederación Suiza.
2º.- La realización de las transferencias a los países indicados en el numeral anterior se encontrará supeditada, en caso de corresponder, a lo indicado en el Considerando V de esta Resolución.
3º.- Otorgar a los responsables y encargados de bases de bases o tratamiento que a la fecha de vigencia de la presente Resolución hayan fundado sus transferencias a Estados Unidos de América en el marco de “Privacy Shield”, un plazo de seis meses para ajustar las condiciones de las transferencias realizadas, a contar desde la publicación de la presente resolución en el Diario Oficial.
4°.- Notifíquese, publíquese en el Diario Oficial y en la página web de la Unidad, y oportunamente archívese.
FIRMADO POR: FELIPE ROTONDO TORNARÍA
CONSEJO EJECUTIVO URCDP
Se resuelve sobre lo dispuesto por el artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008 respecto a las transferencias internacionales a territorios no adecuados.
Montevideo, 8 de setiembre de 2021
VISTO Y CONSIDERANDO: Lo dispuesto por el artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008 respecto a las transferencias internacionales a territorios no adecuados,
RESULTANDO: I. Que, de conformidad con el artículo indicado, “la Unidad Reguladora y de Control de Protección de Datos Personales podrá autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel adecuado de protección, cuando el responsable del tratamiento ofrezca garantías suficientes respecto a la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos. Dichas garantías podrán derivarse de cláusulas contractuales apropiadas.”
II. Que, por Resolución N° 23/021, de 8 de junio de 2021, este Consejo Ejecutivo determinó los territorios considerados adecuados para la transferencia internacional de datos, así como instrumentos para brindar garantías a la protección de la vida privada que deben considerar los responsables, entre los que se encuentran las cláusulas contractuales apropiadas.
III. Que, en ese sentido, se estima pertinente adoptar una guía para la redacción de cláusulas contractuales que aseguren un contenido ajustado a las normas en materia de protección de datos personales, el que deberá complementarse con otros aspectos relativos a las operaciones de tratamiento que se pretendan realizar.
ATENTO: a lo expuesto e informado,
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
RESUELVE:
Recomendar a los responsables y encargados de tratamiento que pretendan realizar transferencias internacionales de datos en el marco del artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008, la adopción de cláusulas contractuales como las indicadas en el Anexo I de la presente resolución.
NOTIFÍQUESE Y PUBLÍQUESE
FIRMADO POR: FELIPE ROTONDO TORNARÍA
CONSEJO EJECUTIVO
URCDP
Anexo I a Resolución 41/2021 del Consejo Ejecutivo de la Unidad Reguladora y de Control de Datos Personales
CONTENIDO MÍNIMO DE CLÁUSULAS CONTRACTUALES PARA TRANSFERENCIAS INTERNACIONALES A PAÍSES NO ADECUADOS[1]
ANTECEDENTES
En lo que respecta a las transferencias internacionales de datos a países no adecuados -de conformidad con la resolución indicada-, los responsables y encargados deben adoptar determinadas salvaguardas para asegurar la debida protección de datos de titulares, que son objeto de tratamiento.
En el marco de los mecanismos habilitantes de las transferencias, se encuentra la adopción de cláusulas contractuales que determinen claramente las responsabilidades de las partes involucradas.
El presente anexo presenta un contenido mínimo indispensable que deben contener los contratos a suscribir entre un responsable o encargado en territorio nacional con responsables o encargados situados fuera de éste. En primer lugar se presentan contenidos de cláusulas comunes a todas las transferencias y en los apartados siguientes contenidos específicos, adicionales a los primeros, según el tipo de emisor o destinatario.
La naturaleza del vínculo entre la parte exportadora e importadora de los datos determina la existencia de distintos tipos de obligaciones y responsabilidades que deben encontrarse claramente definidas. En esta definición, y de conformidad con lo establecido en el artículo 40 de la Ley N° 19.670, debe participar cuando corresponde, el delegado de protección de datos.
Por otra parte, la transferencia internacional, en tanto se realiza a territorio no adecuado, debe ser antecedida en todos los casos de una evaluación de impacto en la protección de datos, de conformidad con lo establecido en el artículo 6° literal f del decreto N° 64/020.
CLAUSULAS COMUNES A TRANSFERENCIAS ENTRE TODO TIPO DE IMPORTADOR Y EXPORTADOR DE DATOS
Finalidad – Se debe establecer claramente cuál es la finalidad que se persigue con la transferencia que se pretende realizar, sin perjuicio del detalle que se realice según se trate de transferencia a responsable o a encargado.
Normativa aplicable – En todos los casos debe preverse la aplicación de la normativa uruguaya, Leyes N° 18.331, de 11 de agosto de 2008, N° 19.670, de 15 de octubre de 2018, decretos N° 414/009, de 31 de agosto de 2009 y N° 64/020, de 17 de febrero de 2020, normas modificativas y concordantes.
Definición de los términos de protección de datos aplicables – Deben definirse los términos más comunes aplicables a la regulación de la transferencia, remitiéndose a las definiciones previstas legal y reglamentariamente, en lo pertinente (artículos 4° de la Ley N° 18.331 y 4° del decreto N° 414/009). En especial no debe omitirse la definición de importador, exportador, responsable, encargado, sub-encargado, titular del dato, dato personal y tratamiento.
Contenido de la transferencia – Deberá detallarse el listado de datos transferidos con la mayor exactitud y completitud posible. En caso de datos sensibles, deberá en lo posible detallarse adicionalmente el contenido y propósito para la transferencia de cada dato.
Transferencias posteriores – Establecer, en caso de corresponder, las condiciones para habilitar transferencias posteriores de información desde el destino del importador, que en todos los casos deberán cumplir con la normativa habilitante (artículo 23 de la Ley N° 18.331).
Derecho de información – En todos los casos deberán explicitarse los contenidos mínimos previstos en el artículo 13 de la Ley N° 18.331. Adicionalmente, deberá incluirse la identificación de los encargados y sub-encargados de tratamiento, cuando corresponda. La información deberá estar disponible en forma permanente o a solicitud del titular del dato, según corresponda.
Operaciones de tratamiento – En todos los casos deberán identificarse las operaciones de tratamiento específicas a realizar y las medidas operativas y de seguridad necesarias para dar cumplimiento al principio de seguridad de los datos y de responsabilidad proactiva (artículos 10 y 12 de la Ley N° 18.331, este último en la redacción dada por el artículo 39 de la Ley N° 19.670, y decreto N° 64/020).
Resolución de disputas – Podrán preverse mecanismos específicos para la resolución de disputas, pero ello de ningún modo podrá alterar las operaciones de tratamiento que son de interés del titular del dato, o afectar de modo alguno sus derechos, o suponer un incumplimiento de la normativa aplicable, o que establezcan una retención indebida de información que de conformidad con la normativa aplicable deba ser suprimida.
Autoridad de control administrativa – En todos los casos deberá preverse que la autoridad de control para el caso de determinación de incumplimientos será la autoridad uruguaya, salvo en caso de incumplimientos específicos del importador del dato que se encuentren sujetos al contralor de la autoridad homónima en el país de destino. Ello sin perjuicio de la aplicabilidad, en su caso, del artículo 37 de la Ley N° 19.670 y artículos 1° y 2° del decreto N° 64/020.
Cumplimiento de medidas de responsabilidad proactiva previas – En todos los casos deberá agregarse en forma de anexo la Evaluación de Impacto en la Protección de Datos de carácter obligatorio de conformidad con el artículo 6° literal f del decreto N° 64/020.
Resguardo de documentación – Deberán establecerse las condiciones para el resguardo de la documentación tanto por el importador como por el exportador y otros interesados (como por ejemplo eventuales sub-encargados), la que deberá conservarse en la forma establecida en el artículo 5° del decreto 64/020, y estar a disposición de la Unidad de conformidad con el artículo 34 literal D de la Ley N° 18.331.
Confidencialidad – Establecer el contenido de las obligaciones de confidencialidad asumidas por el personal del importador y el exportador.
Acceso a información por autoridades extranjeras – Deberá preverse que sólo podrá accederse a información en el destino del importador del dato por parte de autoridades del tercer país en el marco de normas legales vigentes que otorguen las debidas garantías a los titulares de los datos y con orden judicial. En todos los casos deberán tomarse las medidas para que el acceso no se realice a todos los datos sino únicamente a los estrictamente necesarios para el cumplimiento de la orden judicial correspondiente. Deberá preverse que se brinde al responsable situado en territorio nacional información de la solicitud en forma inmediata, en los casos en que ello sea posible; en caso contrario deberá brindarse la información en la primera oportunidad posible.
CLÁUSULAS ESPECÍFICAS APLICABLES A TRANSFERENCIAS ENTRE RESPONSABLES Y RESPONSABLES
Base de legitimación para la comunicación – Deberá justificarse la aplicación de alguna de las causales previstas en el artículo 17 de la Ley N° 18.331, por tratarse de una comunicación de datos.
Base de legitimación para el tratamiento previsto – Deberá justificarse la aplicación de alguna de las causales previstas en el artículo 9° o 18°, y concordantes, de la Ley N° 18.331, para el tratamiento que se pretende realizar.
Responsabilidad solidaria – Remarcar la responsabilidad solidaria aplicable de conformidad al artículo 17 de la Ley 18.331 para la comunicación de datos, lo que en ningún caso podrá implicar que se prohíba la reclamación correspondiente por parte del titular del dato al responsable situado en territorio nacional.
Contratación de encargados de tratamiento – Deberán preverse las condiciones para la contratación de encargados de tratamiento por el importador de los datos, dando cumplimiento en lo pertinente, a las condiciones previstas en las cláusulas que siguen.
Comunicación de vulneraciones de seguridad – Deberá preverse un mecanismo de comunicación de vulneraciones de seguridad a los titulares de los datos y a la Unidad dando cumplimiento a las condiciones y plazos previstos en el artículo 38 de la Ley N° 19.670 y artículos 3° y 4° del decreto N° 64/020.
CLÁUSULAS ESPECÍFICAS APLICABLES A TRANSFERENCIAS ENTRE RESPONSABLES Y ENCARGADOS
Retención y supresión de información – Deberá establecerse el plazo específico de conservación de la información –que no podrá exceder el determinado por el propósito den encargo- y los medios para su devolución y supresión. Ello sin perjuicio de lo establecido en el inciso segundo del artículo 30 de la Ley N° 18.331.
Comunicación de vulneraciones de seguridad – Deberá preverse un mecanismo de comunicación inmediata al responsable de eventuales vulneraciones de seguridad. Eventualmente, podrá establecerse la obligación de comunicación directa a la URCDP.
Contratación de sub-encargados – Deberá prohibirse la contratación de sub-encargados salvo autorización expresa del responsable, lo que deberá además informarse en forma fehaciente a los titulares de los datos.
Ejercicio de derechos por los titulares – Deberán preverse mecanismos para la respuesta al ejercicio de derechos ante los encargados por parte de los titulares de los datos.
Responsabilidades – No podrá eximirse al responsable de su responsabilidad por la actuación del encargado, de conformidad con lo establecido en el artículo 12 de la Ley N° 18.331, sin perjuicio de la responsabilidad directa que pueda caberle a este último en caso de vulneración a lo preceptuado en la normativa vigente.
CLÁUSULAS ESPECÍFICAS APLICABLES A TRANSFERENCIAS ENTRE ENCARGADOS Y ENCARGADOS
Habilitación – La transferencia a otros encargados debe realizarse en el marco de un contrato previo con el responsable, y con los límites en él establecidos, el que deberá adjuntarse como anexo o referenciarse en las cláusulas correspondientes. Dicho contrato deberá contener como mínimo, las previsiones expresadas en el presente anexo para los contratos entre responsables y encargados, las que deberán extenderse a los sub-encargados en lo pertinente.
[1] Si bien estas cláusulas deberán emplearse de principio para las transferencias a territorios no adecuados que no se enmarquen en alguna de las restantes hipótesis habilitantes del artículo 23 de la Ley N° 18.331, se exhorta su aplicación a todo tipo de transferencia internacional, en lo pertinente.
Descargas
Prologo
La solicitud de mi amigo, el profesor Renato Jijena Leiva, de realizar un prólogo para el libro Tópicos de Derecho Informático que él ha coordinado constituye para mí una nueva oportunidad para manifestar públicamente mi gran afecto y máxima consideración académica hacia el autor y coordinador de esta obra.
El profesor Renato Jijena Leiva enseña Derecho Informático en la PUCV desde 1996 y debe ser considerado un pionero en la materia en su país. Bajo sus cursos han transitado infinidad de alumnos que luego terminan trabajando en empresas, o en la judicatura, o también dictando clases.
Quienes enseñamos Derecho Informático desde hace mucho tiempo disfrutamos poder ver cómo las nuevas generaciones van incorporando los conocimientos jurídicos que se enfocan en la regulación de la tecnología. Asimismo, venimos viendo cómo estas cuestiones han pasado de ser una “ciencia oculta” que pocos comprendían a algo que se aplica todos los días a las situaciones más banales.
En los últimos años los estudiantes de Derecho cuentan con la ventaja de ser “nativos digitales”, y de ver y usar a la tecnología como algo más rutinario que sus generaciones pasadas. Estoy seguro que sin duda eso va a influir en las reglas jurídicas que ellos mismos van a tener que desarrollar e inventar.
Por otra parte, la tecnologización y digitalización de la vida en sociedad, del comercio y de las empresas y sobre todo la presencia de Internet en todos los quehaceres hace que cada vez sean más frecuentes estas cuestiones jurídicas y se presenten en todas las ramas del Derecho.
Tal como explica en detalle el profesor Jijena Leiva en su introducción a esta obra, el Derecho Informático ha atravesado un largo camino de transformación desde la década de los “ochenta” y los “noventa” cuando sólo se dedicaba a las computadoras que ocasionalmente se conectaban a Internet (si tenían un modem de 2400 bps instalado) y a temas entonces incipientes como privacidad en bases de datos o protección legal del software. Hoy en día el Derecho de Internet, omnipresente y super-abarcador ha devorado al antiguo Derecho Informático y se extiende a cientos de cuestiones en todas las ramas del Derecho. A medida que todo se digitaliza, todo terminará pasando de alguna manera por el Derecho de Internet y de las nuevas tecnologías. Aparecen además nuevas manifestaciones de estas áreas jurídicas con fancy names como ser el Legaltech, el Fintech, el Insurtech e incluso el omnicomprensivo Regtech.
Más allá de las novedades que pueden tener estos nuevos términos, lo cierto es que con la pandemia del covid-19 la tecnología llegó para quedarse. Descubrimos a la fuerza las ventajas del trabajo a distancia, de las clases virtuales y de la posibilidad de dar y tomar cursos en forma remota en todo el mundo sin movernos del cómodo sillón de nuestra oficina (ahora nuestra casa). Esto también tiene sus problemas, pero si nos fijamos en las ventajas, el mundo tecnológico salió favorecido con la pandemia por el crecimiento exponencial que tuvo su uso. Todo esto incrementó los problemas legales relacionados con la tecnología y por eso los temas de esta obra son importantes.
Los temas sobre los que versan cada una de las memorias de esta obra son de los más variados y reflejan esta multidiversidad de aspectos característica del Derecho de Internet.
Así encontramos una nota sobre el interés público de los nombres de dominio, otra sobre la responsabilidad de los proveedores de Internet respecto a cuestiones de propiedad intelectual, otra sobre el software y otra sobre el cloud computing en la administración pública, y finalmente cuatro ensayos sobre protección de datos. Estos últimos tratan sobre protección de datos personales del trabajador, los principios y deberes de la ley actual de datos personales, las cookies bajo la ley chilena de datos personales y el GDPR y finalmente, la reciente reforma constitucional chilena en materia de datos personales.
En materia de datos personales Chile tiene una deuda pendiente desde hace tiempo para la aprobación de un plexo normativo moderno en materia de datos personales. Los proyectos van y vienen pero ninguno logra salir del Congreso para hacerse ley. Chile fue el primer país latinoamericano en aprobar una ley de privacidad relacionada con el mundo digital en el año 1999 y ya desde el año 1992 contaba con una obra de doctrina pionera que explicaba la protección de datos personales para América Latina cuando nadie por estos lugares todavía sabía bien lo que era regular el procesamiento de datos personales (ver Jijena Leiva, Renato, Chile, la Protección Penal de la Intimidad y el Delito Informático, Editorial Jurídica de Chile, 1992). A veces parece que ser los primeros no es garantía. En el otro extremo tenemos el ejemplo de Brasil que estaba atrasado con sus normas (salvo por haber acuñado el término habeas data en su Constitución) y que finalmente logró aprobar una ley muy compatible con el estándar internacional del GDPR o RGPD. Claro, ahora el desafío para Brasil está en implementar la ley y hacerla efectiva en el día a día, tema nada menor si se tiene en cuenta que en materia de datos personales hay una gran brecha entre el dicho y el hecho.
Es realmente interesante prologar una obra escrita por estudiantes de Derecho, que han investigado bajo la guía de un reconocido profesor de Derecho Informático. Uno puede ver cómo las ganas de descubrir si las reglas jurídicas, siempre detrás de la tecnología, cubren o no un nuevo fenómeno, afloran detrás de cada trabajo.
Creo que los estudios de derecho informático y de Internet, dan un poco de “aire fresco” a la formalidad que tienen las otras ramas del Derecho. Convengamos que muchos de nuestros sistemas jurídicos se basan en conceptos e institutos legales que tienen varios siglos de antigüedad, e incluso algunos se remontan al Derecho Romano. Es entendible entonces que las nuevas generaciones encuentren atractivo estudiar estos temas que son un claro desafío a las reglas existentes. Es entendible también que se preocupen por que el Derecho avance y recepte las nuevas tecnologías en la sociedad que les tocará vivir.
En fin, esta obra sirve para demostrar que las nuevas generaciones de juristas tienen mucho para aportarnos y que también podemos aprender de ellos, algo que siempre encuentro cuando leo una tesina o trabajo de un alumno de grado. Y también sirve para revalorizar el trabajo de los profesores en la materia, que ayudan a que estos trabajos vean la luz. Estos son los primeros intentos de investigar seriamente en pregrado sobre los temas actuales de las nuevas tecnologías. Bienvenidos los alumnos que se animan a internarse en las lagunas del Derecho Informático para encontrar nuevas islas.
Pablo A. Palazzi
Profesor de Derecho
Universidad de San Andrés
Director del Centro de Tecnología y Sociedad de la Universidad de San Andrés
Buenos Aires, julio de 2021
Una corte de apelaciones canadiense acaba de reconocer el derecho al olvido en canada. El fallo fue dictado el 8 de julio de 2021. No resuelve la cuestion en forma definitiva porque reenvia el caso a lo que decida el Comisionado de Privacidad, pero la respuesta final es que PIPEDA se aplica al buscador.
La UE aprueba nuevos modelos de contratos para procesamiento de datos bajo GDPR.
Texto de los modelos y de la decision
JEFATURA DE GABINETE DE MINISTROS SUBSECRETARÍA DE GOBIERNO ABIERTO Y PAÍS DIGITAL
Disposición 6/2021
DI-2021-6-APN-SSGAYPD#JGM
Ciudad de Buenos Aires, 07/04/2021
Esta obra es fruto del trabajo colaborativo de reconocidos especialistas argentinos en materia de protección de datos personales escrita para celebrar las dos décadas de vigencia de la ley argentina de protección de datos personales (Ley N.º 25.326). Los distintos aportes de estos autores recorren alguno de los hitos más importantes de la protección de datos en el ámbito nacional y cómo se ubican éstos dentro del contexto internacional.
La obra aborda los temas centrales ocurridos durante los últimos 20 años tales como la adaptación de la ley argentina al modelo europeo del GDPR, el alcance territorial de la ley de Protección de Datos Personales, el principio de la finalidad en el tratamiento de datos personales, el consentimiento de los menores de edad, el deber de información, el tratamiento de datos sensibles, el derecho a la portabilidad de datos personales, el rol del Data Protection Officer, la ciberseguridad y notificación de incidentes la transferencia internacional de datos personales, el derecho de supresión y libertad de expresión en el marco de redes sociales, la protección de datos de salud en las industrias farmacéutica y de dispositivos médicos, en la telemedicina, en el proceso electoral, en el uso de drones, en la video-vigilancia pública y en el proceso penal.
Introducción a la obra por Pablo Palazzi
Cantidad de páginas 826 (tomo 1 - 446 ps, tomo 2 - 380 paginas).
Cantidad de artículos: 31
Cantidad de Autores: 28
Manuela Adrogué
Agustín Pedro Allende Larreta
José Alejandro Bermúdez Durana
Eduardo Bertoni
Hernán Blanco
Andrés Chomczyk
Danilo Doneda
Daniela Dupuy
Diego Fernández
Lisandro Frene
María Julia Giorgelli
Juan Cruz González Allonca
Mariana Kiefer
Lucía López Laxague
Maximiliano Macedo
Lucia Suyai Mendiberri
Damián Navarro
Ambrosio Nougues
Pablo A. Palazzi
Mariano Peruzzotti
Oscar R. Puccinelli
Javier Raimo
Mikel Recuero Linares
Franco Rizzo Jurado
Esteban Ruiz Martínez
Pablo Segura
Marcelo Temperini
Hugo Alfredo Vaninetti
La obra se consigue en las siguientes librerías jurídicas
Esta obra que el lector tiene en sus manos es fruto del trabajo colaborativo de reconocidos especialistas argentinos en materia de protección de datos personales, así como de algunos pocos invitados extranjeros.
Estos autores generosamente han compartido sus conocimientos para armar una obra señera en la materia. La excusa original para realizar esta obra colectiva fue celebrar las dos décadas de vigencia de la ley argentina de protección de datos personales (Ley N.º 25.326) con un texto que recorriera alguno de los hitos más importantes de la protección de datos en el ámbito nacional y cómo se ubican dentro del contexto internacional.
En medio de la confección y del armado de esta obra colectiva apareció una pandemia global, pero eso no fue excusa y —salvo un ligero retraso— la obra se terminó a fines de 2020 y se imprimirá a comienzos de 2021 para lograr así dar testimonio de dos décadas de protección de datos personales en la República Argentina.
El resultado de este trabajo colaborativo es una obra actual y omnicomprensiva de toda la materia, con diversos puntos de vista y con visiones no sólo locales sino también internacionales que dan acabada cuenta de la complejidad que han adquirido hoy en día las reglas legales sobre el tratamiento de los datos personales.
Es difícil describir el estado actual del derecho a la protección de los datos personales sólo analizando una norma local. Diversos factores influyen en la descripción del estado actual del régimen legal de protección de datos personales.
Primero, un texto que ya tiene dos décadas de vigencia (y más si tomamos en cuenta sus ideas base, que suman una década más) tuvo que dar respuesta a los constantes planteos tecnológicos que van ocurriendo (drones, decisiones mediante algoritmos, inteligencia artificial, bases de datos conectadas a Internet, empresas que recopilan datos personales de argentinos desde cualquier parte del mundo, reconocimiento facial, datos biométricos) y otros no tan nuevos (cookies, marketing, datos de menores). También se debe enfrentar a fenómenos inesperados como los ataques terroristas o una pandemia, que obligan a buscar excepciones generalmente no previstas en los textos legales.
La protección de datos personales también tiene que adaptarse y lograr dar tutela al consumidor, pero no ser un obstáculo a los modelos de negocios que existen hace décadas y que constantemente reaparecen y se reinventan.
Estos modelos de negocios tienen en común que están todos siempre basados en la recopilación y uso de datos personales. Tanto es así que hoy en día se acuñó la expresión capitalismo de la vigilancia para identificarlo. El capitalismo la vigilancia (en inglés siempre suena mejor: surveillance capitalism) es un concepto utilizado y popularizado desde el año 2014 por la profesora de Harvard Shoshana Zuboff y que se refiere a la mercantilización de los datos personales, es decir, a la transformación de la información personal en una mercancía para usarla con fines de lucro, para generar publicidad orientada, para mostrar contenidos determinados, para proyectar nuevos productos, personalizar experiencias, y un largo etcétera de funciones que todavía no se han inventado.
Al momento de la conceptualización académica ese concepto de la vigilancia capitalista ya había sido explotado reiteradamente por el sector privado, en concreto por los “gigantes tecnológicos”, para crear imperios de la información con bases de datos personales. La protección de datos surge como una herramienta que otorga un derecho de control del individuo frente a estas realidades, pero su origen hace ya medio siglo se remonta al temor de la recopilación de datos por parte del Estado. Ahora bien, convengamos en que este control por parte del individuo se quedó corto en la práctica y ello obligó a reforzar las protecciones en la generación mas reciente de normas de datos personales.
Segundo, frente a estas normas de privacidad aparecen otros derechos también fundamentales que se contraponen y requieren un balance importante y constante que a veces es muy difícil de realizar. Tenemos así cuestiones como el derecho al olvido, que requiere contraponer privacidad versus libertad de prensa y acceso a la información. Con la pandemia del covid 19 se contrapone el derecho a la privacidad y confidencialidad sobre los datos de salud al uso de esos datos por motivos de interés general y salud pública para controlar la pandemia. El uso de tecnologías de vigilancia como los drones, tanto estatales como de particulares, requiere conciliar la libertad de su empleo frente a los límites de privacidad de terceros. La vigilancia masiva y las herramientas procesales de acceso a datos para combatir el delito demandan conciliar la seguridad pública con la privacidad de todos. Las regulaciones sobre transferencia internacional de datos requieren conciliar el comercio internacional con la soberanía de datos. Toda legislación de protección de datos implica en muchos casos un límite a las transacciones sobre la información de las personas, regulación que en muchas jurisdicciones donde no hay un derecho fundamental sobre los datos es limitada por otros derechos como la libertad de empresa, de expresión o el derecho a comerciar datos.
Tercero, el aspecto geopolítico de los datos personales no puede ser ignorado y muchos artículos de esta obra tratan ese enfoque, que ayuda a comprender los resultados de algunas reformas, decisiones judiciales o acuerdos internacionales. Los ejemplos abundan, y basta con enumerar algunas: las batallas transatlánticas entre Europa y Estados Unidos por la regulación del flujo de datos transfronterizos, los casos Schrems I y II, el papel de Snowden, las prohibiciones impuestas por el ex presidente Trump a TikTok y WeChat en Estados Unidos, la posición del Reino Unido en materia de datos personales luego del Brexit, el rol de los países BRIC como una alternativa a la hegemonía de Estados Unidos en materia digital, las obligaciones de data localization fundadas en el erróneo concepto de soberanía de datos o soberanía estatal digital, la cooperación en materia del combate del ciberdelito y sus limitaciones legales basados en la privacidad, la Cloud Act y el acceso a datos de plataformas en otros países, las normas sobre terrorismo que afectan la privacidad de extranjeros, las cuestiones de ciberseguridad y los ciberataques no sólo a empresas sino también a países, así como las jurisdicciones que esponsorean el hacking como una forma de ciberguerra continua. Todos estos conflictos involucran en buena medida la aplicación extraterritorial de normas sobre datos personales.
Cuarto, el efecto del Reglamento Europeo de Protección de datos (RGPD) se viene haciendo sentir hace ya más de dos años en todo el mundo, y también en la región latinoamericana, llegando incluso a la Costa Oeste de Estados Unidos (California), con la sanción de la CCPA. Además de California, China es otra jurisdicción que se ha sumado a la ola normativa de privacidad. En mayo de 2020 entró en vigencia un nuevo Código Civil para China, que contiene tanto las típicas normas del derecho a la privacidad que uno encuentra en los códigos de derecho privado (y otros derechos personalísimos) como también normas de protección de datos personales con sabor europeo.
Todo esto lleva a una conclusión obvia: el RGPD se ha transformado en el estándar de facto a escala mundial, y por lo tanto constituye una forma de nivelar para arriba la protección de datos. Los países deberían partir de esta base para legislar, a los fines de evitar diferencias sustanciales que sean obstáculos al libre flujo de datos personales.
En el plano internacional, el Convenio 108 y su protocolo adicional, junto con el Convenio 108+, se expandieron por toda América Latina y están teniendo otro importante efecto armonizador.
En América Latina algunos países han adoptado leyes modernas inspiradas en el RGPD, como el caso de Brasil; otros, como la Argentina y Chile, han elaborado proyectos legislativos modernos fuertemente inspirados en la nueva norma europea. Muchos otros han ido adaptando normas reglamentarias que de a poco van introduciendo los nuevos elementos europeos con regulaciones parciales, como es el caso de Uruguay y la Argentina.
Como quinto aspecto, cabe resaltar la aparición de nuevos actores. Los temas de privacidad ya no sólo se aplican a bases de datos de las industrias clásicas (marketing, informes comerciales, etcétera) sino que dominan o tienen una fuerte injerencia en la agenda de la regulación de Internet, del comercio internacional, de la libertad de expresión, del open banking en el mundo fintech, de la inteligencia artificial y la gobernanza algorítmica y de la transparencia del Estado. El nivel de respeto a la privacidad determina que una sociedad pueda ser catalogada como dictadura o como democracia (aunque hay que admitir que todos, incluso los más democráticos, caen en el pecado de espionaje bajo la excusa de amparar a sus ciudadanos).
Los temas de regulación de datos personales son tan centrales que numerosos nuevos actores se quieren sentar a decir algo en la mesa de la privacidad.
En el ámbito internacional, en 2016, en las Naciones Unidas se creó el puesto de relator especial de la ONU sobre el derecho a la privacidad . Este nuevo cargo internacional se suma a las agencias regulatorias locales y a las europeas (el WP29, ahora EDPB junto con EDPS), que se reúnen en la Global Privacy Assembly y en la región en la Red Iberoamericana de Protección de Datos Personales .
Las empresas más importantes del mundo también cuentan con un encargado de privacidad o DPO (incluso, aunque la ley no lo requiera localmente, casi todas ya lo han nombrado hace años). Este nuevo actor, el DPO, está destinado a jugar un papel cada vez más importante en las organizaciones internacionales, privadas y estatales. El rol del DPO es importante para evangelizar dentro de la organización. Sin alguien que cumpla este rol, las organizaciones van a seguir viendo las obligaciones sobre datos personales como un gasto y un costo, y no como una ventaja. Se forma así un círculo vicioso, porque las organizaciones que no adoptan medidas de seguridad ni protocolos internos sobre privacidad terminan siendo descuidadas (negligentes, para usar un término legal) con los datos personales, lo que acaba lesionando derechos de sus clientes, usuarios o partners. Los incidentes de seguridad afectan también la reputación comercial de la empresa y el valor de las que cotizan en bolsa. En el ámbito estatal también se comenzó la sana práctica de designar encargados de datos personales o privacidad.
Para terminar con el listado de nuevos actores, las organizaciones de la sociedad civil latinoamericanas han comenzado hace unos años a involucrarse en este tema de protección de datos (cuando antes se concentraban en otros derechos más tradicionales, como la libertad de expresión, la igualdad, o los derechos sociales). Esto debe ser bienvenido porque durante mucho tiempo la privacidad y los datos personales estuvieron ausentes en la agenda de estas organizaciones regionales (por el contrario la EFF, la ACLU, EPIC, CDT o Privacy International llevan en algunos casos treinta años de lucha). Recuerdo que en muchas reuniones del board international de Privacy International, del cual formé parte muchos años, este debate era un tema recurrente y finalmente terminó siendo una realidad. La presencia de estar organizaciones trae más presión y control al Estado para respetar adecuadamente este derecho. Por otra parte, como el tema se puso de moda, esto ha provocado incluso cierto recelo y competencia entre las diferentes ONG por estar en el centro de la escena, dominar la agenda y marcar el terreno.
También aparecen cursos, posgrados, diplomados y másters. Esto es natural consecuencia de que, como requisito para ser DPO, varias legislaciones exigen comprobación de conocimientos. Esto generó además obras jurídicas sobre la materia y profesores especializados. Nelson Remolina Angarita, reconocido experto colombiano en protección de datos, dicta su curso sobre estos temas desde el año 2001 en la Universidad de los Andes (Bogotá, Colombia). Renato Jijena Leiva, experto chileno de datos, dicta un curso similar de Derecho Informático con alto contenido de datos personales desde 1995 en la Universidad Católica de Valparaíso (en 1992, siete años antes de la sanción de la ley chilena de datos personales, ya había escrito una obra sobre la materia). El profesor brasileño Danilo Doneda dicta un curso de datos personales en la Universidad de Río de Janeiro y en la Fundación Getulio Vargas (FGV), y es autor de una obra sobre datos personales publicada una década antes que la LGPD viera la luz. Además, Danilo fue visiting scholar en la agencia italiana de datos personales y estudió junto con el profesor Stefano Rodotà. Por mi parte, el curso de protección de datos personales que organicé en la Universidad de San Andrés lleva una década. Además, en nuestra universidad el tema de los datos personales se enseña tanto en grado como en posgrado. En la Argentina, el resto de las universidades también ofrecen cursos de grado o posgrado sobre datos personales.
Finalmente, con todo este desarrollo normativo las empresas han comenzado a prestar más atención a las leyes de datos personales. Se están dando cuenta de que invertir en cuestiones de privacidad no implica un gasto, sino que, por el contrario, significa una inversión que rinde sus réditos. Un informe reciente de Cisco titulado “De la privacidad a la ganancia: cómo lograr retornos positivos de las inversiones en privacidad. Estudio de parámetros de privacidad de datos de Cisco de 2020” da cuenta de esta tendencia .
El 4 de octubre del año 2000 el Congreso de la Nación sancionó la Ley N.º 25.326 de Protección de Datos Personales. Esta ley fue publicada en el Boletín Oficial del 2 de noviembre de 2000. El 2 de noviembre de 2020 se cumplieron dos décadas de vigencia de esa ley argentina, pionera en la región. A esa fecha, sólo Chile tenía una ley de datos personales vigente. Después de su sanción y de que la Argentina fue declarada país adecuado, siguió la aprobación de leyes de similar tenor en Uruguay, Perú, Colombia, México y Brasil, entre muchas otras.
Por otra parte, en estas dos décadas la protección de datos ha evolucionado mucho. Ya no se trata de una norma extraña sino que, a la luz de ella, se han dictado numerosas reglamentaciones que regulan todo tipo de cuestiones como video-vigilancia, drones, apps, marketing, informes comerciales y bases de datos estatales. Una simple consulta en InfoLeg arroja como resultado cerca de 110 normas de diverso rango legal que referencian a la Ley N.º 25.326. Numerosa jurisprudencia ha moldeado la interpretación de la ley y la ha transformado en una garantía fundamental para la defensa de los datos personales en la sociedad de la información.
Durante estas dos décadas, el gobierno creó primero la Dirección Nacional de Protección de Datos Personales (DNPDP) dentro del Ministerio de Justicia y luego la transfirió a la Agencia de Acceso a la Información Pública (AAIP, organismo de aplicación de la Ley de acceso a la Información Pública). Cuando la DNPDP pasó a formar parte de la AAIP, la Argentina consolidó una autoridad independiente de datos personales. Había sido declarada como país adecuado y uno de los puntos que la Comisión Europea había señalado era la falta de independencia de la agencia por depender de un ministerio y no tener autonomía. Con esto, la Argentina cumple un requisito importante del modelo europeo, que es la independencia de las autoridades de datos personales.
En estas dos décadas, la DNPDP primero y luego su sucesora, la AAIP, adoptaron numerosas resoluciones, impusieron varias sanciones e iniciaron auditorías y actuaciones contra empresas. En estos veinte años, el derecho a la protección de datos evolucionó considerablemente.
En el plano internacional, la Argentina también hizo buena letra. El 15 de diciembre de 2017, por medio la Ley N.º 27.411, la República Argentina adhirió a La Convención de Budapest sobre el Ciberdelito. El 2 de enero de 2019, aprobó el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal (Convenio 108), junto con su protocolo adicional, por medio de la Ley N.º 27.483 y, en julio de 2020, tuvo media sanción el denominado Convenio 108+.
En el plano internacional, a lo largo de estas dos décadas sucedieron muchos cambios tecnológicos, lo que provocó que las normas europeas fueran modificadas en 2016, y así entró en vigencia un nuevo reglamento que, como ya señalamos, provocó otra intensa ola de reformas. Leyes como la brasileña, aprobada en 2018 y en vigencia desde agosto de 2020 (con entrada en vigencia de su régimen sancionatorio para 2021), y la CCPA de California (en vigencia desde 2020) y ahora la ley de Virginia marcaron un nuevo hito en la expansión de las ideas europeas de protección de datos personales. El Derecho argentino intenta adaptarse a estas tendencias, y ya se han discutido diversos proyectos de leyes inspirados en ellas.
Esta obra colectiva busca brindar testimonio de todo lo ocurrido a lo largo de estas dos décadas de protección de datos a través de artículos de especialistas y personas involucradas en el día a día en este campo, en la Argentina. Se incluyen artículos que analizan algún principio general o instituto de la protección de datos (como el consentimiento, el interés legítimo, las transferencias internacionales o la portabilidad) y comentarios a casos concretos nacionales o extranjeros que han marcados hitos en la historia de la protección de datos, como es el caso “Schrems II”.
La obra está dividida en 7 capítulos —distribuidos en dos tomos— que contienen un total de 31 artículos escritos por 28 autores.
El primer capítulo comienza con un comentario de Eduardo Bertoni, quien fue director de la AAIP hasta fines de 2020. Bertoni escribió una nota donde explica por qué la Ley N.º 25.326 nació anticuada —concordamos ampliamente con su visión— y relata los avances que se lograron con la independencia de la agencia local, y a escala internacional con la aprobación de varios convenios, así como las últimas normas importantes aprobadas por la agencia, lo que sirve como una suerte de balance de gestión.
El profesor Oscar R. Puccinelli es el autor de un artículo titulado “La Ley N.º 25.326 de cara a su reforma integral: el proyecto elaborado en el marco del Programa Justicia 2020”, en el que se comenta el proyecto de reforma que, de haber sido tratado por el Congreso de la Nación, habría actualizado nuestra ley de datos personales al estándar del RGPD europeo.
Sigue una nota del profesor brasileño Danilo Doneda sobre el reconocimiento del derecho fundamental a la protección de los datos personales en la jurisprudencia del Tribunal Federal de Brasil. Se trata del comentario a un reciente fallo de ese país sobre la tutela de los datos sobre geolocalización durante la pandemia del covid 19. El caso sirve para demostrar cómo los tribunales brasileños, sin ley vigente en ese momento, consideraron a la protección de datos personales como un derecho fundamental.
Luego hay una nota escrita por María Julia Giorgelli y Javier Raimo sobre las propuestas para la reforma de la Ley de Protección de Datos de la Ciudad de Buenos Aires N.º 1.845 —de la cual participe en su redacción— y la influencia del RGPD europeo. Ambos autores trabajan en la agencia porteña de datos personales. La nota contiene un anexo con el proyecto de ley presentado en la Legislatura. Su simple lectura evidencia el influjo europeo.
Lisandro Frene realiza un balance sobre las dos décadas de vigencia de la Ley N.º 25.326 y cuál fue el resultado en diversos aspectos de su aplicación.
Son dos los artículos que abordan la extraterritorialidad de las leyes de protección de datos personales, tema siempre actual y en constante evolución. Mariano Peruzzotti escribe sobre la extraterritorialidad del RGPD y sus efectos en la Argentina. Este autor comenta el alcance territorial de la Ley de Protección de Datos Personales a través de una interpretación jurisprudencial de la ley actual. Por su parte, Lucía López Laxague analiza la extraterritorialidad del RGPD europeo y la obligación de nombramiento de un DPO. La nota de esta autora fue su tesina en la Maestría de Derecho Empresarial de la Universidad de San Andrés.
Otra nota de Lisandro Frene, , repasa críticamente las novedades de los últimos veinte años con relación a la actividad de la agencia argentina de datos personales y su funcionamiento y enforcement.
Finalmente, el profesor Oscar Puccinelli escribe además sobre el impacto del RGPD europeo y de los “estándares” de la Red Iberoamericana de Protección de Datos en las recientes reformas, proyectos de reformas y nuevas leyes de protección de datos en Latinoamérica.
El segundo capítulo de esta obra contiene artículos sobre los principios generales de las leyes de protección de datos personales. Agustín Allende Larreta escribe sobre el principio de finalidad en el tratamiento de datos personales. Por su parte, Andrés Chomczyk analiza la evolución del deber de información en la Ley Argentina de Protección de Datos Personales y en los estándares internacionales. Respecto al consentimiento, Diego Fernández analiza el consentimiento de los menores de edad para el tratamiento de sus datos personales. En otro artículo, Agustín Allende Larreta aborda el tema de la portabilidad de los datos personales. Para finalizar, una nota muy práctica de Diego Fernández y Manuela Adrogué analiza el tratamiento de datos sensibles en la legislación y la jurisprudencia argentinas.
El tercer capítulo aborda los derechos y las obligaciones. José Alejandro Bermúdez Durana, ex comisionado de Datos Personales de Colombia, explica el principio de responsabilidad proactiva o accountability en las legislaciones colombianas y su origen en los estándares internacionales. Una nota de Pablo Segura analiza la importancia del DPO en las organizaciones. Una nota de mi autoría pone el foco en el rol del DPO y su interfaz con el régimen de compliance. El texto contiene dos anexos con las normas de Argentina y Uruguay que requieren nombrar un DPO en ciertos casos. Junto con Andrés Chomczyk escribimos sobre ciberseguridad, incidentes de seguridad y data breach en América Latina. Aquí cierra el primer tomo de esta obra.
El segundo tomo abre con el cuarto capítulo, que lo integra el siempre actual tema de las transferencias internacionales de datos personales. Mariano Peruzzotti, desde otro artículo, hace un repaso de la regulación argentina actual a la luz del Derecho Comparado. El caso “Schrems II” es comentado por Esteban Ruiz Martínez y por Mikel Recuero Linares.
El quinto capítulo trata sobre la protección de los datos personales en Internet. Los temas que aquí se tratan son el derecho de supresión en redes sociales —analizado por Lucia Suyai Mendiberri—, el problema del ejercicio de los derechos de datos personales en Internet —por Esteban Ruiz Martínez— y la aplicación del caso “Belén Rodríguez” a la protección de datos —por quien suscribe—.
El sexto capítulo analiza los tratamientos de datos sectoriales. Se incluyen notas sobre datos de salud y su tratamiento por farmacéuticas (escrita conjuntamente con Franco Rizzo Jurado), sobre telemedicina y datos del paciente (por Ambrosio Nougues), sobre datos electorales (escrita por Lisandro Frene en coautoría con Damián Navarro), sobre los sistemas de videovigilancia pública (por Hugo Vaninetti) y sobre captación de datos personales por medio de drones (por Juan Cruz González Allonca, quien fue director de la Dirección Nacional de Datos Personales e impulsor durante su cargo de la norma sobre drones que él mismo comenta).
El séptimo capítulo está dedicado a los datos personales y su relación con el proceso penal y el Derecho Penal. De nuevo, no es frecuente la interfaz entre ambas ramas del Derecho, y el tratamiento de este tema en la doctrina argentina desde la óptica de los datos personales era escaso, por no decir nulo. Por eso nos pareció interesante tratar expresamente varios temas. Hernán Blanco aborda el tema del impacto que la investigación penal tiene sobre la protección de los datos personales de los ciudadanos. Otra nota trata acerca de la transferencia internacional de datos personales en materia penal y el impacto de la Cloud Act de Estados Unidos. Ese trabajo, escrito por las especialistas en delitos informáticos Daniela Dupuy y Mariana Kiefer, hace un aporta muy actual porque justamente este tema se está debatiendo en el Council of Europe a raíz de la modernización del Convenio de Budapest. Finalmente, el uso de técnicas de OSINT (mal llamado “ciberpatrullaje”) y los datos personales que genera esa actividad es comentado por Marcelo Temperini y Maximiliano Macedo.
La profundidad de todas estas notas demuestra que en la Argentina las dos décadas de protección de datos no transcurrieron en vano. Se han formado numerosos especialistas a la luz de la Ley N.º 25.326 y se ha creado una sólida comunidad de practitioners y académicos.
Finalmente, agradezco el apoyo económico del CETYS y de Derecho UDESA y las gestiones de María Vazquez para la impresión de esta obra.
El entusiasmo que mostraron todos los autores al concebir esta obra, realizada en su mayor parte durante la pandemia, plantea la posibilidad de seguir desarrollando con más frecuencia este tipo de compilaciones, dado que los temas son tan amplios y diversos que es imposible que sean cubiertos por un solo autor. Por este motivo, invitamos a todos aquellos interesados en contribuir al desarrollo de los datos personales en la región a enviarnos contribuciones de actualidad para seguir adelante con esta obra mediante tomos adicionales.
PABLO A. PALAZZI
Profesor Derecho UDESA
ppalazzi@udesa.edu.ar
Buenos Aires, diciembre de 2020