Mujer escribiendo códigos en una computadora

Datos Personales: Aprobación de Cláusulas Contractuales Modelo

EY Law Argentina | Por Pablo Bisogno y Laila Yu

 

La Agencia de Acceso a la Información Pública (“AAIP”) emitió con fecha 18 de octubre de 2023, la Resolución N° 198/2023, que aprueba las cláusulas contractuales modelo (“CCM”) para la transferencias internacionales de Datos Personales (“TIDP”) que se incluyen en la guía emitida por la Red Iberoamericana de Protección de Datos (“RIPD”), en adelante, la “Guía”. La Guía contiene siete capítulos, algunos dedicados a cuestiones generales sobre las TIDP y otros enfocados a cuestiones relacionadas con las CCM. Además, en los anexos se encuentran las cláusulas modelos que aprueba la AAIP. 

La Guía menciona los antecedentes, tanto internacionales como a nivel local en la región, así como refiere a la normativa europea, que contiene una detallada regulación de las TIDP en el artículo quinto de RGPD, además de una serie de cláusulas tipo establecidas en decisiones de la Comisión Europea. También destaca el Acuerdo sobre comercio electrónico del MERCOSUR, que regula algunos pisos de protección que las partes de una TIDP deben adoptar y el principio de no discriminación en esta materia. Continúa resumiendo la regulación local de los países de la región, señalando que varias contemplan la utilización de CCM. 

A su vez, la Guía analiza algunos elementos comunes en una TIDP, como las partes, los titulares de datos personales, la ley aplicable y la autoridad de control, para luego explicar la regla general en la materia, sus excepciones y mecanismos típicos. Como regla general, los datos personales podrán ser transferidos a países que continúen el nivel de protección de las leyes locales.  Estas jurisdicciones se consideran “adecuadas” y, en principio, no se pueden transferir datos personales a jurisdicciones que no lo sean, a menos que se reconozca una excepción. Cuando nos encontremos frente a este último caso, hay diversos mecanismos para otorgar garantías adecuadas, entre los que se encuentran la utilización de: CCM, normas corporativas vinculantes (BCR), un código de conducta, un mecanismo de certificación u otros mecanismos jurídicamente vinculantes y exigibles. 

Con estas consideraciones generales en mente, la Guía pasa a examinar cuestiones particulares de las CCM. Explica que tienen la finalidad de garantizar y facilitar la continuidad del estándar de protección del país exportador de datos cuando el importador no es reconocido como adecuado. En esta línea, reconocen que las CCM generan la ventaja de crear un sistema de protección autónomo, que suple la divergencia entre los estándares de ambos países. Como los contratos tienen naturaleza vinculante, los estándares de protección pueden ser exigidos, lo que brinda seguridad jurídica y genera confianza. 

Por último, la Guía contiene las CCM en su Anexo, en el que generan dos modelos, uno para TIDP de Responsable a Responsable y otro para la transferencia de Responsable a Encargado. Las CCM tienen varios anexos para ajustar las cláusulas generales a las particularidades del negocio que se lleve a cabo. En el Anexo "A", se podrán identificar a las nuevas partes que se suman al contrato con posterioridad a su firma. En el Anexo "B", se deben identificar claramente los datos personales involucrados en las transferencias y sus finalidades. En el Anexo "C" se complementan las obligaciones establecidas en forma general en el contrato modelo con las medidas de seguridad específicas que las partes deberán adoptar. En el caso del primer modelo, en el Anexo "D" se incluye la documentación legal adicional que las partes quieran incluir, tales como avisos de privacidad o políticas de privacidad. En el caso del segundo, este será el Anexo "E", ya que en el Anexo "D" se incluye una lista de los sub encargados del tratamiento. 

La utilización de estas CCM no elimina la obligación de cumplir con la normativa vigente en su jurisdicción, ni omite que, en caso de una transferencia ulterior, el tercer actor deba incorporarse al acuerdo. En caso de incumplimiento, el titular de los datos puede reclamar en calidad de tercero beneficiario, ya que las cláusulas del acuerdo se establecen en su beneficio. Además, la aprobación de estas cláusulas por parte de la AAIP no deroga ni reemplaza el modelo establecido en la Disposición E 60/2016, sino que se complementan.

Véase el texto completo de la de la Resolución 198/2023.

Para más información sobre nuestros servicios visita EY Law.

Acceso a EY Law - Servicios Legales en todo el mundo

La red global de EY Law combina los Servicios Legales con la experiencia estratégica de negocios para ayudar a liberar el potencial de sus organizaciones.