La Agencia de Acceso a la Información Pública estableció los lineamientos básicos para el diseño de documentos, relativos a normas de autorregulación para la transferencia internacional de datos personales. Las empresas deberán respetar el principio de calidad de los datos, información y transparencia.
La Agencia de Acceso a la Información Pública, aprobó el documento “ Lineamientos y Contenidos Básicos de Normas Corporativas Vinculantes” para que sea considerado en el diseño de documentos relativos a normas de autorregulación en empresas que conformen un mismo grupo económico, para la transferencia internacional de datos personales.
La Resolución 159/2018 , suscripta por el titular de la Agencia, Eduardo Bertoni, y publicada este viernes en el Boletín Oficial, estipula también que quienes transfieran datos personales de la República Argentina a empresas ubicadas en terceros países “sin legislación que resulte adecuada para la protección de datos personales, y sustenten su adecuación en normas de autorregulación que difieran del documento, deberán presentar dichas normas ante la AAIP “para su control y aprobación, dentro de los 30 días siguientes de efectuada la transferencia”.
Entre los fundamentos de la resolución , la Agencia sostiene que es necesario aprobar “un documento modelo “ que establezca “las pautas básicas a considerar en el diseño de las normas corporativas vinculantes”, y con la cual se pretende también “un adecuado control de los sistemas de autorregulación”.
Entre los lineamintos, se establece que las normas corporativas vinculantes que pretendan alcanzar un nivel adecuado de protección de los datos personales, en los términos de la legislación argentina, “deberán ser obligatorias y exigibles tanto para la totalidad de las empresas que forman parte de un grupo económico (mediante resoluciones societarias que las obliguen a cumplir con dicha norma), como para los empleados, subcontratistas y terceros beneficiarios (mediante cláusulas específicas)”. Además, deberán “prever remedios judiciales y administrativos de carácter independiente, efectivos y accesibles”.
El documento, además, debe incorporar en sus cláusulas, una serie de “contenidos mínimos”, como el respeto a las condiciones de licitud, a los principios de legitimidad del tratamiento; finalidad; calidad de los datos (pertinentes restringidos a lo estrictamente necesario para la finalidad, exactos, ciertos, adecuados, actualizados y completos en caso de ser necesario, y su caducidad); información y transparencia y seguridad y confidencialidad.
Se deberá cumplir con la previsión del derecho del titular de dato “a ser excluido de los listados de publicidad directa no consentida”, y “a oponerse a ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos que le produzca efectos jurídicos perniciosos o lo afecte significativamente de forma negativa”
Debera respetar también los derechos del titular de los datos de acceso, rectificación, actualización y supresión y “restricciones de ulteriores transferencias a terceros países sin legislación adecuada”. A su vez, se obliga a garantizar “protecciones específicas por sensibilidad de la materia”. Entre ellas, la prohibición del tratamiento de datos sensibles,” “salvo que resulte necesario por ley o con consentimiento previo del titular de los datos”.
En otro apartado de la norma, también se exige la previsión del derecho del titular de dato “a ser excluido de los listados de publicidad directa no consentida”, y “a oponerse a ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos que le produzca efectos jurídicos perniciosos o lo afecte significativamente de forma negativa”. Asimismo, se deberá recetar la prohibición de “conformación de registros de antecedentes penales y/o contravencionales y prohibición de su cesión a terceros salvo con el consentimiento expreso del titular de los datos”.
Del mismo modo, los Lineamientos exigen el deber de otorgar potestad como terceros beneficiarios, “con carácter irrevocable y mediante cláusulas específicas”, al titular de los datos y a la propia AAIP “para el ejercicio de sus prerrogativas, derechos y garantías que la norma de autorregulación les reconoce a su favor.”
Por último, se preve una serie de garantías para el titular de los datos,como la jurisdicción local para el ejercicio de los derechos, y sobre la responsabilidad de las empresas que participen en el tratamiento de los datos personales, que “deben asumir responsabilidad solidaria ante el titular de los datos y la autoridad de control frente a cualquier violación de la norma de autorregulación prevista (debería respetarse la eventual intervención de las autoridades de control de cada país exportador)”.