Guía sobre transferencias Internacionales de datos personales
Por Mariano Peruzzotti, Santiago Durañona y Antonella Balbo.
Guía sobre transferencias Internacionales de datos personales
El 11 de noviembre de 2021 la Red Iberoamericana de Protección de Datos Personales (“RIPD”) publicó un proyecto de Guía de implementación de cláusulas contractuales como alternativa para realizar transferencias internacionales de datos personales (“Guía”) con el objeto de recibir comentarios y observaciones de interesados hasta el 23 de Noviembre de 2021. En este artículo comentamos los aspectos más relevantes de la Guía.
1. La RIPD
La RIPD es un foro integrado por diversos actores del sector público y privado que desarrolla iniciativas y proyectos relacionados con la protección de datos personales en Iberoamérica. La Agencia de Acceso a la Información Pública de Argentina, autoridad de aplicación en materia de protección de datos personales en Argentina (“AAIP”), constituye, juntamente con otros reguladores de Iberoamérica, un miembro activo de esta organización.
2. Las transferencias internacionales de datos
En la mayor parte de legislaciones sobre protección de datos las transferencias internacionales de datos a países que no cuenten con una normativa equivalente o adecuada en la materia está permitida solamente en la medida que se adopten ciertas garantías, como es el uso de cláusulas contractuales tipo/modelo (“CCM”).
La Unión Europea cuenta con nuevas CCM que fueron publicadas el 4 de julio de 2021 por la Comisión Europea. Estas cláusulas sustituyen a las anteriores con el fin de ajustarlas a las disposiciones del Reglamento General de Protección de Datos de la Unión Europea y las decisiones adoptadas por el Tribunal de Justicia de la Unión Europea.
En Argentina la Disposición N° 60-E/2016 de la AAIP aprobó dos modelos de CCM para ser utilizadas en casos de transferencias internacionales de datos personales que involucren la transmisión de información a responsables de tratamiento o a encargados de tratamiento.
En el mismo sentido, la Unidad Reguladora y de Control de Datos Personales de Uruguay dictó recientemente la Resolución Nº 41/2021 que incluye una guía con el contenido mínimo que tienen que presentar los contratos de transferencia internacional de datos.
Sin perjuicio de estos casos, en América Latina no existen cláusulas contractuales modelo aprobadas conjuntamente a nivel regional.
3. La Guía
La Guía persigue establecer los principales aspectos que deben tenerse en cuenta cuando se realizan transferencias internacionales de datos personales mediante el uso de CCM.
La Guía enumera una serie de sugerencias y lineamientos sobre la implementación práctica de las CCM. También propone dos modelos de CCM, uno para transferencias entre responsables y otro para transferencias de responsables a encargados. Se considera que estos dos modelos son un primer paso y la RIPD espera elaborar modelos adicionales en un futuro.
Esta Guía no reemplaza a las leyes locales ni opiniones de las distintas autoridades de protección
de datos de la región. En efecto, la aplicación de esta Guía y el uso de los dos modelos contractuales anexos a la Guía deberá hacerse en armonía con las recomendaciones, resoluciones y determinaciones de las autoridades de protección de datos locales y, sobre todo, con la legislación local aplicable.
Las partes tienen discrecionalidad para incluir en un contrato más amplio las CCM propuestas así como para añadir otras cláusulas o garantías adicionales siempre que no contradigan, alteren o modifiquen, directa o indirectamente, las cláusulas contractuales tipo ni perjudiquen los derechos fundamentales de los titulares de los datos.
Para la elaboración de la Guía así como las de las CCM se tomaron como referencia los Estándares de Protección de Datos Personales para los Estados Iberoamericanos de la RIPD aprobados en Santiago, Chile en el año 2017.
El texto de la Guía y sus anexos puede ser consultado en el siguiente link.
Para más información contactarse con: mperuzzotti@ojambf.com.