1. Introducción.

El 13 de octubre se publicó en el Boletín Oficial la Resolución N° 198/2023 de la Agencia de Acceso a la Información Pública, órgano de control de la Ley de Protección de Datos Personales N° 25.326 (en adelante, la “AAIP”). Esta resolución reconoce a las Cláusulas Contractuales Modelo (en adelante, las “CCM”) elaboradas por la Red Iberoamericana de Protección de Datos Personales (en adelante, la “Red”) como un mecanismo válido para transferir datos personales a jurisdicciones no adecuadas.

2. Acerca de la Red.

La Red constituye un foro iberoamericano permanente dedicado a la protección de datos personales. Se encuentra representado por autoridades nacionales y expertos en la materia. Uno de sus objetivos es desarrollar iniciativas y proyectos relacionados con la protección de datos personales en los países de la región. La AAIP junto con otros supervisores regionales es un miembro activo de la Red.

Este foro tiene su origen en el acuerdo alcanzado en el primer Encuentro Iberoamericano de Protección de Datos celebrado en Guatemala en el año 2003. Desde sus inicios contó con apoyo político, el que se refleja en la Declaración Final de la XIII Cumbre de Jefes de Estado y de Gobierno de los países iberoamericanos. 

Una de las mayores contribuciones de la Red fue la aprobación en el año 2017 de los Estándares de Protección de Datos Personales para los Estados Iberoamericanos (en adelante, los “Estándares”), documento que propone erigirse como modelo de referencia en la región para la elaboración o actualización de las legislaciones existentes.  

Desde su creación, la Red ha promovido el desarrollo de encuentros y seminarios sobre diversas temáticas relacionadas a la privacidad como la protección de datos de niños, niñas y adolescentes, datos de salud y transferencias internacionales, entre otros.

3. Las CCM.

En noviembre de 2021 la Red publicó un proyecto de Guía de implementación de cláusulas contractuales como herramienta para realizar transferencias internacionales de datos personales (en adelante, la “Guía”) y abrió una instancia de consulta pública en la que interesados podían enviar sus comentarios y sugerencias al documento.  Contribuyeron con sus observaciones actores del sector público y privado como el Supervisor Europeo de Protección de Datos, la Asociación Profesional Española de Privacidad, la Asociación Latinoamericana de Internet, entre otros.

La versión final de la Guía fue publicada en 2022. Este documento establece los principales aspectos que deben tenerse en cuenta al momento de realizar transferencias internacionales de datos personales. Uno de los propósitos es “facilitar el flujo de los datos personales entre los Estados Iberoamericanos y más allá de sus fronteras, con la finalidad de coadyuvar al crecimiento económico y social de la región”.

4. Los modelos de cláusulas contractuales en el mundo.

El modelo de cláusulas contractuales que inspiró a la Red fue aquel introducido por la Comisión Europea a través de la Decisión de Ejecución 2021/914. Su propósito fue reformar las cláusulas contractuales en su versión previa de forma tal que se ajusten al Reglamento General de Protección de Datos de la Unión Europea y a las decisiones adoptadas por el Tribunal de Justicia de la Unión Europea, especialmente en el caso “Data Protection Commissioner/Facebook Ireland Ltd y Maximillian Schrems” denominado “Schrems II”. Las cláusulas contractuales estándar de la Unión Europea proponen cuatro escenarios de transmisiones: transferencias de responsable a responsable; de responsable a encargado; de encargado a encargado; y, por último, de encargado a responsable.

En junio de este año, el Consejo de Europa anunció la adopción del primer módulo de cláusulas modelo para transferencias internacionales basado en el Convenio 108+, un protocolo que enmienda el Convenio 108 para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos Personales. Este módulo regula exclusivamente las transferencias entre Responsables, aunque el Consejo de Europa planea adoptar dos módulos más en el futuro.

En el continente asiático también prosperó la idea de utilizar cláusulas modelo, por lo que en enero de 2021 la Asociación de las Naciones del Sudeste Asiático creó sus propias cláusulas contractuales modelo, basándose en sus propios principios de protección de datos personales.

Nueva Zelanda y el Reino Unido también emitieron cláusulas modelo.

Siguiendo esa línea, la Unidad Reguladora y de Control de Datos Personales de Uruguay dictó la Resolución N° 41/2021, que sirve de guía sobre el contenido mínimo que tienen que presentar los contratos de transferencia internacional de datos. Luego dictó la Resolución N° 50/2022, adoptando las CCM propuestas por la Red, de la cual es miembro. Por su parte, en Perú la Autoridad Nacional de Protección de Datos Personales, que también participa en la Red, adoptó la misma posición mediante la Resolución Directoral N° 074-2022-JUS/DGTAIPD.

La Autoridad Nacional de Protección de Datos de Brasil presentó este año su propio proyecto de modelo de cláusulas contractuales. Este documento tiene la particularidad de que solo validaría la transferencia internacional en la medida en que sean implementadas tal como fueron redactadas, es decir, sin alteraciones. El 15 de agosto de 2023 se inició el periodo de consulta pública en la cual terceros interesados podían presentar observaciones al texto.

Cabe mencionar que, dado que los países de América Latina no han aprobado en conjunto cláusulas contractuales que puedan ser aplicadas a nivel regional, la Red exhortó a los Estados Iberoamericanos en la Declaración Final de su XIX Encuentro a tomar en consideración las cláusulas desarrolladas en la Guía, no solo porque resultan un mecanismo útil para dar cumplimiento con los principios de protección de datos personales, sino por su rol como alternativa económica para los empresarios, que no tendrán que negociar acuerdos individuales.

5. El marco normativo local.

El artículo 12 de la Ley de Protección de Datos Personales N° 25.326 prohíbe las transferencias internacionales de datos cuyo destino sea un país que no cuenta con los niveles adecuados de protección. Esa restricción, según la ley, no aplicará en los casos de colaboración judicial internacional; ciertos supuestos de tratamientos médicos; transferencias bancarias o bursátiles (conforme la legislación que les resulte aplicable); transferencias en el marco de tratados internacionales; y aquellas entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.

El artículo 12 del Decreto 1558/2001 concede a la AAIP la potestad de evaluar el nivel de protección de datos personales con el que cuentan los países y organismos internacionales. En tal sentido, la Disposición 60-E/2016 y la Resolución 34/2019 han determinado las jurisdicciones que, a criterio de la AAIP, cuentan con sistemas normativos que proveen un nivel de protección equivalente, a saber: los estados miembros de la Unión Europea y el Espacio Económico Europeo, Suiza, Guernsey, Jersey, Isla de Man, Islas Feroe, Canadá (solo el sector privado), Nueva Zelanda, Andorra, Israel, Uruguay, Reino Unido e Irlanda del Norte.

Conforme el Decreto Reglamentario N° 1558/2001, la transferencia de datos personales a países no adecuados está permitida cuando el titular de los datos consiente la transferencia o cuando se garantiza un nivel de protección equivalente mediante la firma de contratos de transferencia internacional o la adopción de sistemas de autorregulación como las normas corporativas vinculantes.

Mediante la Disposición 60-E/2016 la AAIP aprobó dos conjuntos de cláusulas contractuales que pueden utilizarse en casos de transferencias internacionales de datos (transferencias de responsable a responsable y de responsable a encargado). Las partes pueden utilizar libremente estas cláusulas modelo o implementar un contrato diferente siempre que refleje los principios, salvaguardas y contenidos relacionados con la protección de datos personales previstos en las cláusulas modelo.

Como parte de su Plan Estratégico 2022-2026, la AAIP se comprometió a actualizar sus cláusulas modelo para las transferencias internacionales de datos. En base a ello, la Resolución N° 198/2023 de la AAIP avala el uso de las CCM creadas por la Red. En los considerandos de la Resolución la AAIP sostiene que eligió adoptar las cláusulas diseñadas por la Red porque representan las alternativas más habituales de una transferencia internacional de datos personales y, por otro lado, son compatibles con la legislación nacional.

Las CCM comparten muchos aspectos presentes en las cláusulas modelo de la Disposición 60-E/2016, aunque también se observan diferencias, como las acciones que deberá llevar a cabo el responsable y encargado ante una vulneración de la seguridad de los datos.

6. Reflexiones finales.

Como consecuencia de la nueva Resolución N° 198/2023, a partir de ahora cualquier responsable de tratamiento residente en Argentina podrá utilizar tanto las cláusulas modelo propuestas por la AAIP como las CCM desarrolladas por la Red para validar la transferencia internacional de datos a jurisdicciones no adecuadas.

Cabe aclarar que los contratos de transferencia internacional de datos constituyen uno de los mecanismos más utilizados para poder realizar las transmisiones a distintas jurisdicciones.