AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
Resolución 198/2023
RESOL-2023-198-APN-AAIP
Ciudad de Buenos Aires, 13/10/2023
VISTO el Expediente N° EX-2023-60881292- -APN-AAIP; las Leyes Nº
25.326, Nº 27.275, N° 27.483 y N° 27.699; los Decretos Nº 1558 del 29
de noviembre de 2001, N° 206 del 27 de marzo de 2017, Nº 746 del 25 de
septiembre de 2017 y N° 899 del 3 de noviembre de 2017; la Resolución
de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA N° 34 del 26 de
febrero de 2019; la Disposición de la Dirección Nacional de Protección
de Datos Personales N° 60 del 16 de noviembre de 2016; y
CONSIDERANDO:
Que, de acuerdo con el artículo 19 de la Ley Nº 27.275, la AGENCIA DE
ACCESO A LA INFORMACIÓN PÚBLICA (AAIP), ente autárquico con autonomía
funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, es
Autoridad de Aplicación de la Ley de Protección de Datos Personales N°
25.326, entre otras responsabilidades.
Que, de conformidad con el artículo 29, inciso b), de la Ley N° 25.326,
la AAIP tiene entre sus facultades la de dictar las normas y
reglamentaciones que se deben observar para el correcto tratamiento de
datos personales.
Que el artículo 12 del Anexo I al Decreto N° 1558/01 faculta a la
Dirección Nacional de Protección de Datos Personales (DNPDP) a evaluar,
de oficio o a pedido de parte interesada, el nivel de protección
proporcionado por las normas de un Estado u organismo internacional.
Que la misma norma sostiene que “…el carácter adecuado del nivel de
protección que ofrece un país u organismo internacional se evaluará
atendiendo a todas las circunstancias que concurran en una
transferencia o en una categoría de transferencias de datos; en
particular, se tomará en consideración la naturaleza de los datos, la
finalidad y la duración de tratamiento o de los tratamientos previstos,
el lugar de destino final, las normas de derecho, generales o
sectoriales, vigentes en el país de que se trate, así como las normas
profesionales, códigos de conducta y las medidas de seguridad en vigor
en dichos lugares, o que resulten aplicables a los organismos
internacionales o supranacionales”.
Que, asimismo, dispone que “…un Estado u organismo internacional
proporciona un nivel adecuado de protección cuando dicha tutela se
deriva directamente del ordenamiento jurídico vigente, o de sistemas de
autorregulación, o del amparo que establezcan las cláusulas
contractuales que prevean la protección de datos personales”.
Que, a falta de una decisión de adecuación, la legislación admite como
garantías adecuadas a los fines de la transferencia internacional de
datos personales la existencia de autorregulación o cláusulas
contractuales que brinden garantías de protección equiparables a la de
nuestra normativa.
Que mediante la Disposición de la DNPDP N° 60/2016, modificada por la
Resolución de la AAIP N° 34/2019, se aprobaron las cláusulas
contractuales tipo de transferencia internacional para la cesión y
prestación de servicios, incorporadas en los Anexos I y II de dicha
medida, respectivamente, a fin de garantizar un nivel adecuado de
protección de datos personales en los términos del artículo 12 de la
Ley N° 25.326 y del Anexo I al Decreto N° 1558/01 en aquellas
transferencias de datos que tengan por destino países sin legislación
adecuada.
Que el Anexo I de la Disposición citada contiene el “Contrato modelo de
transferencia internacional de datos personales con motivo de la cesión
de datos personales”, mientras que el Anexo II establece el “Contrato
modelo de transferencia internacional de datos personales con motivo de
prestación de servicios”.
Que, ante la irrupción de una nueva generación de legislaciones en
materia de protección de datos, el crecimiento significativo de los
flujos transfronterizos y su incidencia en la economía global, a nivel
regional e internacional se ha avanzado en la actualización de
cláusulas contractuales modelo para la transferencia internacional, con
el propósito de conducir hacia la convergencia de herramientas,
simplificar los procedimientos y establecer pisos de garantías comunes
que potencien la confianza entre los diferentes países.
Que se destacan las cláusulas contractuales modelo para la
transferencia internacional de datos personales de la Red
Iberoamericana de Protección de Datos, aprobadas por unanimidad en
diciembre de 2021; las Cláusulas estándares Contractuales de la
Comisión de la Unión Europea, de junio de 2021; las Cláusulas
contractuales modelo de la ASEAN para flujos de datos transfronterizos,
de enero de 2021; el Contrato Estándar de exportación de Información
Personal de la Administración de Ciberespacio de China, promulgado en
febrero de 2023 y el primer módulo de las Cláusulas Contractuales
modelo para flujos de datos transfronterizos del Consejo de Europa,
aprobadas en junio de 2023.
Que la AAIP forma parte de la Red Iberoamericana de Protección de Datos (RIPD) e integra su comité ejecutivo.
Que, el 22 de octubre de 2021 se llevó a cabo el XIX Encuentro de la
RIPD, en cuya declaración final, se exhortó a los Estados
Iberoamericanos, así como a los empresarios, a tomar en consideración
las Cláusulas Contractuales Modelo desarrolladas por la Red en materia
de transferencias internacionales, especialmente para las
transferencias a jurisdicciones que no cuenten con legislaciones
adecuadas.
Que otros países de la región -como Uruguay, a través de la Resolución
N° 50/2022, o Perú, mediante la Resolución Directoral Nº
074-2022-JUS/DGTAIPD- decidieron adoptar estos modelos contractuales,
lo cual permite estandarizar los instrumentos para las transferencias
seguras de datos y, al mismo tiempo, facilitar la armonización
normativa entre las diferentes autoridades de aplicación de la región.
Que mediante la Resolución de la AAIP N° 94/2023 se aprobó el Plan
Estratégico de la AAIP 2022-2026, donde se estableció como meta para el
corriente año la actualización de las cláusulas contractuales modelo
para las transferencias internacionales de datos personales.
Que dichas cláusulas posibilitan el cumplimiento de los principios de
protección de datos personales, y brindan a las empresas u organismos
una alternativa económicamente viable, evitando que deban negociar
acuerdos individuales al permitirles utilizar un conjunto de cláusulas
previamente aprobadas por la Autoridad de Aplicación.
Que las cláusulas modelo que aquí se proponen expresan las dos
alternativas prácticas más habituales de una transferencia
internacional, como son las transferencias entre responsables y
responsables, o entre responsables y encargados, proponiendo modelos de
cláusulas tipo diferenciadas para ambos supuestos.
Que, además, son compatibles con las cláusulas contractuales tipo
aprobadas por la Disposición de la DNPDP N° 60/2016, y tienen el
potencial de contribuir a la convergencia normativa para una protección
de datos adecuada, siguiendo estándares aceptados a nivel mundial.
Que, por los motivos señalados, resulta oportuno y conveniente
incorporar las cláusulas contractuales modelo para la transferencia
internacional de datos personales de la Red Iberoamericana de
Protección de Datos al marco normativo aplicable en nuestro país en
materia de protección de datos personales.
Que, de conformidad con lo establecido en el artículo 7º, inciso d), de
la Ley Nº 19.549, la Dirección de Asuntos Jurídicos de la AAIP ha
tomado la intervención de su competencia.
Que la presente medida se dicta en virtud de las facultades conferidas
por el artículo 29, inciso 1, apartado b), de la Ley N° 25.326 y 29 del
Decreto N° 1558/2001.
Por ello,
LA DIRECTORA DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE:
ARTÍCULO 1° - Aprobar las cláusulas contractuales modelo para
transferencias internacionales incluidas en la “Guía de Implementación
de Cláusulas Contractuales Modelo para la Transferencia Internacional
de Datos Personales” (TIDP) que, como Anexo I
(IF-2023-108581614-APN-DNPDP#AAIP), forma parte integrante de la
presente resolución.
ARTÍCULO 2° —La presente norma entrará en vigencia a partir de su publicación en el BOLETÍN OFICIAL.
ARTÍCULO 3° — Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese.
Beatriz de Anchorena
NOTA: El/los Anexo/s que integra/n este(a) Resolución se publican en la edición web del BORA -www.boletinoficial.gob.ar-
e. 18/10/2023 N° 83410/23 v. 18/10/2023
(Nota
Infoleg:
Los anexos referenciados en la presente norma han sido extraídos de la
edición web de Boletín Oficial. Los mismos pueden consultarse en el
siguiente link: Anexos)