La transferencia internacional de datos personales es una cuestión clave en el cumplimiento normativo de las empresas que operan en Argentina y tienen vínculos con el extranjero. La Ley 25.326 de Protección de Datos Personales (LPDP) establece que, en principio, no está permitida la transferencia de datos personales a países o a organismos internacionales que no proporcionen niveles de protección adecuados, salvo que se apliquen ciertas excepciones.
En este artículo, analizamos las condiciones bajo las cuales pueden transferirse datos personales fuera del país, qué territorios se consideran con protección adecuada, y cuáles son los mecanismos para realizar transferencias hacia países que no cumplen con este estándar.
Regla general: La transferencia de datos solo está permitida a países con protección adecuada
El artículo 12 de la LPDP establece que la transferencia internacional de datos personales solo podrá efectuarse a destinos que proporcionen niveles de protección adecuados, es decir, países que cuenten con normas y mecanismos de protección equivalentes o comparables a los establecidos en Argentina para garantizar la seguridad y privacidad de los datos personales.
No obstante, la ley contempla excepciones que permiten la transferencia a países sin nivel de protección adecuado en ciertos casos específicos.
Excepciones en las que sí puede realizarse la transferencia
Aun cuando el país receptor no garantice un nivel de protección adecuado, la prohibición no rige si la transferencia internacional se realiza en el marco de los siguientes supuestos:
-Colaboración judicial internacional. -Intercambio de datos médicos para tratamiento o investigación epidemiológica. -Transferencias bancarias o bursátiles conforme a la legislación. -Tratados internacionales en los que Argentina sea parte. -Cooperación en la lucha contra crimen organizado, terrorismo y narcotráfico.
¿Qué países se consideran con protección adecuada?
La Dirección Nacional de Protección de Datos Personales (DNPDP) de la Agencia de Acceso a la Información Pública (AAIP) – Autoridad de aplicación de la LPDP- ha determinado qué países cumplen con un nivel de protección adecuado.
Actualmente, conforme las Disposición DNPDP 60/16 y la Resolución AAIP 34/2019 se consideran adecuados los siguientes territorios: Estados miembros de la Unión Europea y del espacio económico europeo (EEE), Reino Unido de Gran Bretaña e Irlanda del norte, Confederación Suiza, Guernsey, Jersey, Isla de Man, Islas Feroe, Canadá (sólo respecto de su sector privado), Principado de Andorra, Nueva Zelanda, República Oriental del Uruguay, Estado de Israel (sólo respecto de los datos que reciban un tratamiento automatizado).
Cabe destacar además que el 15 de enero de 2024, la Comisión Europea confirmó que **Argentina sigue proporcionando un nivel adecuado de protección para los datos personales transferidos desde la Unión Europea**. Esto significa que las empresas argentinas pueden transferir datos personales a Europa sin necesidad de adoptar medidas adicionales.
¿Cómo se pueden transferir datos a países sin protección adecuada?
Conforme el Decreto Reglamentario 1558/2001, la Disposición E60/2016 de la DNPDP y la Disposición 159/2018 de la AAIP, si una empresa necesita transferir datos personales a un país que no está reconocido como adecuado, existen dos mecanismos principales para hacerlo dentro del marco legal:
- Obteniendo el consentimiento expreso del titular de los datos, quien debe ser informado sobre la finalidad de la transferencia y el destinatario.
- Otorgando garantías para la protección de los datos mediante:
- Cláusulas contractuales modelo: aprobadas por la AAIP, que aseguran un nivel de protección equivalente al exigido por la ley argentina. Estas cláusulas regulan aspectos como las obligaciones del exportador e importador de datos, medidas de seguridad, derechos del titular y mecanismos de solución de controversias. En el año 2023, la AAIP actualizó las cláusulas contractuales modelo, alineándolas con estándares internacionales a través de la Resolución AAIP 198/2023. Cabe aclarar que también es posible llevar adelante transferencias mediante la suscripción de otros contratos diferentes a las cláusulas modelo, aunque para este tipo de situaciones se deberá contar con la aprobación del contrato por parte de la AAIP.
- Normas corporativas vinculantes: se utiliza para empresas que forman parte del mismo grupo económico, es decir que estén bajo un control en común. Para ello se adoptan normas de autorregulación, en línea con lo establecido en la LPDP, el Decreto Reglamentario 1558/2001 y la Resolución 159/2918 de la AAIP.
Conclusión
Garantizar el cumplimiento normativo en la transferencia internacional de datos es esencial para evitar sanciones y proteger la información personal de clientes y usuarios. Las empresas deben verificar si el país receptor cuenta con protección adecuada, implementar cláusulas contractuales modelo cuando sea necesario, adoptar normas corporativas vinculantes, obtener consentimiento expreso en los casos requeridos y aplicar medidas de seguridad adecuadas.
En Legal Core Group ofrecemos asesoramiento integral para garantizar que las transferencias internacionales de datos se realicen de forma segura y conforme a la ley.
Si tu empresa está considerando realizar una transferencia internacional de datos personales y necesitas asesoramiento, contactanos.