Lineamientos y contenidos básicos de normas corporativas vinculantes.
CIRCULAR
Informe del Departamento de Privacidad y Protección de Datos Personales: lineamientos y contenidos básicos de normas corporativas vinculantes.
Estimados:
El pasado 7 de diciembre fue publicada en el Boletín Oficial la Resolución Nº159/2018 (la “Resolución”) de la Agencia de Acceso a la Información Pública (“AAIP”), mediante la cual fueron aprobados los “Lineamientos y Contenidos Básicos de Normas Corporativas Vinculantes” para la transferencia internacional de datos de empresas argentinas hacia empresas que conformen un mismo grupo económico ubicadas en países sin legislación adecuada para la protección de datos personales.
En este sentido, los lineamientos establecen que las normas corporativas vinculantes que pretendan alcanzar un nivel adecuado de protección de los datos personales deberán ser obligatorias y exigibles tanto para la totalidad de las empresas que forman parte del grupo económico (mediante resoluciones societarias que las obliguen a cumplir con dicha norma) como para los empleados, subcontratistas y terceros beneficiarios (mediante cláusulas específicas). Además, exige que se prevean remedios judiciales y administrativos de carácter independiente, efectivos y accesibles.
Asimismo, las normas corporativas vinculantes deberán incluir una serie de contenidos mínimos, los cuales deben ser interpretados con el alcance previsto en la Ley N°25.326 de Protección de Datos Personales o la que en el futuro la reemplace, y se encuentran clasificados como: a) condiciones de licitud en el tratamiento; b) protecciones específicas por la sensibilidad de la materia; c) designación del titular de los datos y de la AAIP como terceros beneficiarios; d) derechos del titular de los datos; e) jurisdicción local para el ejercicio de los derechos del titular de los datos; f) responsabilidad solidaria ante el titular de los datos y la autoridad de control; g) intervención de la AAIP; h) compromiso de garantía de exigibilidad y explicación fundada; i) capacitación continua del personal asignado al tratamiento de datos personales.
La Resolución también prevé que aquellas empresas que transfieran datos personales desde Argentina a empresas del mismo grupo ubicadas en países sin legislación adecuada para la protección de datos personales, y sustenten su transferencia en normas corporativas vinculantes que difieran de los lineamientos trazados por la Resolución, deberán someter dichas normas a aprobación de la AAIP dentro de los 30 días de efectuada la transferencia.
Por último, cabe destacar que la presente Resolución importa una nueva facultad que permitirá a grupos económicos realizar transferencias internacionales de datos hacia países que no poseen una protección adecuada y, al mismo tiempo, asegurar la protección de los datos personales.
Quedamos a su disposición por cualquier información adicional que consideren necesaria.
Atentamente.
Emilio Beccar Varela
Florencia Rosati
Mariel Marcet
Martín Beccar Varela