La Agencia de Acceso a la Información Pública estableció los
lineamientos básicos para el diseño de documentos, relativos a normas de
autorregulación para la transferencia internacional de datos personales. Las
empresas deberán respetar el principio de calidad de los datos, información y
transparencia.
La Agencia de Acceso a la Información Pública, aprobó el
documento “ Lineamientos y Contenidos Básicos de Normas Corporativas
Vinculantes” para que sea considerado en el diseño de documentos relativos a
normas de autorregulación en empresas que conformen un mismo grupo económico,
para la transferencia internacional de datos personales.
La Resolución 159/2018 , suscripta por el titular de la
Agencia, Eduardo Bertoni, y publicada este viernes en el Boletín Oficial,
estipula también que quienes transfieran datos personales de la República
Argentina a empresas ubicadas en terceros países “sin legislación que resulte
adecuada para la protección de datos personales, y sustenten su adecuación en
normas de autorregulación que difieran del documento, deberán presentar dichas
normas ante la AAIP “para su control y aprobación, dentro de los 30 días
siguientes de efectuada la transferencia”.
Entre los fundamentos de la resolución , la Agencia sostiene
que es necesario aprobar “un documento modelo “ que establezca “las pautas
básicas a considerar en el diseño de las normas corporativas vinculantes”, y
con la cual se pretende también “un adecuado control de los sistemas de
autorregulación”.
Entre los lineamintos, se establece que las normas
corporativas vinculantes que pretendan alcanzar un nivel adecuado de protección
de los datos personales, en los términos de la legislación argentina, “deberán
ser obligatorias y exigibles tanto para la totalidad de las empresas que forman
parte de un grupo económico (mediante resoluciones societarias que las obliguen
a cumplir con dicha norma), como para los empleados, subcontratistas y terceros
beneficiarios (mediante cláusulas específicas)”. Además, deberán “prever
remedios judiciales y administrativos de carácter independiente, efectivos y
accesibles”.
El documento, además, debe incorporar en sus cláusulas, una
serie de “contenidos mínimos”, como el respeto a las condiciones de licitud, a
los principios de legitimidad del tratamiento; finalidad; calidad de los datos
(pertinentes restringidos a lo estrictamente necesario para la finalidad,
exactos, ciertos, adecuados, actualizados y completos en caso de ser necesario,
y su caducidad); información y transparencia y seguridad y confidencialidad.
Se deberá cumplir con
la previsión del derecho del titular de dato “a ser excluido de los listados de
publicidad directa no consentida”, y “a oponerse a ser objeto de una decisión
basada únicamente en el tratamiento automatizado de datos que le produzca
efectos jurídicos perniciosos o lo afecte significativamente de forma negativa”
Debera respetar también los derechos del titular de los
datos de acceso, rectificación, actualización y supresión y “restricciones de
ulteriores transferencias a terceros países sin legislación adecuada”. A su vez,
se obliga a garantizar “protecciones específicas por sensibilidad de la
materia”. Entre ellas, la prohibición del tratamiento de datos sensibles,”
“salvo que resulte necesario por ley o con consentimiento previo del titular de
los datos”.
En otro apartado de la norma, también se exige la previsión
del derecho del titular de dato “a ser excluido de los listados de publicidad
directa no consentida”, y “a oponerse a ser objeto de una decisión basada
únicamente en el tratamiento automatizado de datos que le produzca efectos
jurídicos perniciosos o lo afecte significativamente de forma negativa”.
Asimismo, se deberá recetar la prohibición de “conformación de registros de
antecedentes penales y/o contravencionales y prohibición de su cesión a terceros
salvo con el consentimiento expreso del titular de los datos”.
Del mismo modo, los Lineamientos exigen el deber de otorgar
potestad como terceros beneficiarios, “con carácter irrevocable y mediante
cláusulas específicas”, al titular de los datos y a la propia AAIP “para el
ejercicio de sus prerrogativas, derechos y garantías que la norma de autorregulación
les reconoce a su favor.”
Por último, se preve una serie de garantías para el titular
de los datos,como la jurisdicción local para el ejercicio de los derechos, y
sobre la responsabilidad de las empresas que participen en el tratamiento de
los datos personales, que “deben asumir responsabilidad solidaria ante el
titular de los datos y la autoridad de control frente a cualquier violación de
la norma de autorregulación prevista (debería respetarse la eventual
intervención de las autoridades de control de cada país exportador)”.
Fuente: Abogados Tucumán