La fusión Disney-Fox en la Argentina: una decisión antitrust de la CNDC con olor a regulación
18/02/2022

Cómo queda la Argentina ante el inminente Marco Transatlántico de Privacidad de Datos de la Unión Europea y los Estados Unidos

Por AGUSTÍN ALLENDE, abogado, socio fundador de Privacyvitas y consultor en nuevas tecnologías de Crearis Latam


En marzo de 2022 la Unión Europea (UE) y los Estados Unidos (EE.UU.), luego de casi dos años de intensas negociaciones, anunciaron un acuerdo preliminar, el Marco Transatlántico de Privacidad[1], para la adopción de un nuevo esquema para las transferencias internacionales de datos personales entre ambos territorios de manera libre y segura[2], siguiendo los rigurosos requisitos que había impuesto la sentencia del Tribunal de Justicia de la UE en 2020 en el caso Schrems II.[3]

Este acuerdo presenta una relevancia vital en el contexto internacional de la economía digital afectada por conflictos bélicos que amenazan con el inicio de una tercera guerra mundial. Resultando el Marco Transatlantico de Privacidad un capítulo más de la continua pugna estructural entre, por un lado, el modelo de privacy estadounidense lastrado por sendas normas de vigilancia y seguridad nacional y, por otro, el paradigma europeo de la autodeterminación informativa[4].

En el marco de una situación de conflicto judicial que pareciese completamente ajena a nuestro país nos proponemos alertar sobre la oportunidad única con que cuenta Argentina bajo el marco de la protección de datos personales que rige para la Unión Europea y la transferencia internacional de datos personales. Nada obsta a que esa situación de privilegio sea pasible de revisión conforme las propias normas que la disponen. Por lo cual en estas líneas se busca advertir sobre el marcado incumplimiento que se viene dando en cuestiones vinculadas la protección de datos personales a ser evaluadas cuando se revise por la Unión Europea nuestro grado de adecuación al Reglamento General de Protección de Datos de la Unión Europea (RGPD),[5] y que de no ser remediadas a la brevedad harán perder a nuestro país un activo intangible y muy relevante, ya que sobre el mismo se podrían diseñar políticas de Estado, acordes con los criterios que priman en la economía digital cada vez más imperante en nuestros días.

Un poco de historia sobre los acuerdos entre UE y EEUU para transferir datos personales

La sentencia Schrems II anuló el Escudo de Privacidad (Privacy Shield), instrumento que permitía las transferencias internacionales hasta 2020 entre EE.UU. y la UE, surgido para reemplazar un instrumento anterior que también había sido anulado, en el caso conocido como Schrems I[6], por ser el mismo reclamante de la nulidad de ambos instrumentos. El primero de los instrumentos en que se venían apoyando las transferencias internacionales entre EE.UU. y UE se llamaba Puerto Seguro o Safe Harbour y había sido adoptado en el año 2000 [7].

Estos cuestionamientos judiciales de Schrems a los diferentes instrumentos jurídicos sobre los cuales se basaban las transferencias internacionales entre EE.UU. y la UE, comenzaron en 2013 a partir de las revelaciones del contratista del Servicio Nacional de Seguridad de Estados Unidos Edward Snowden, describiendo la existencia de programas de vigilancia imperante en EE.UU. justificados en razones de seguridad púbica y defensa nacional pero poniendo en riesgo la privacidad no sólo de ciudadanos estadounidenses sino también de extranjeros.

En 2015, la sentencia Schrems invalida al Acuerdo de Puerto Seguro empleando argumentaciones bastante similares a las que se utilizaría unos años más tarde en Schrems II para invalidar el Escudo de Privacidad. Lo que demuestra que el Escudo de Privacidad Seguro no ha podido sortear las objeciones jurídicas que presentaba el acuerdo al que venía reemplazar, es decir el Acuerdo de Puerto Seguro. Sin duda que los encargados de redactar los documentos deben considerar particularmente dicha circunstancia para no caer en el mismo error y evitar que en el futuro próximo el tribunal interviniente tenga que emitir una sentencia Schrems III, anulando los alcances del futuro Marco Transatlántico de Privacidad de Datos a ser suscripto.

En forma sintetizada, los argumentos jurídicos para anular el Escudo de Privacidad y Acuerdo de Puerto Seguro consisten, primordialmente, en que:

  • EE.UU. no brindaba un nivel de protección para los datos personales esencialmente equivalente al que rige en la UE debido a las amplias facultades otorgadas a las autoridades de seguridad y agencias de inteligencia estadounidenses para acceder a datos personales sin que exista un remedio legal efectivo para los residentes europeos.
  • El Escudo de Privacidad preveía el establecimiento de un árbitro (Ombudsperson Mechanism) para las quejas de los interesados ​​europeos contra la vigilancia de los servicios secretos estadounidenses, pero no cumplía con el criterio de contar con un remedio efectivo ante un tribunal imparcial e independiente previamente establecido por ley.
  • El organismo encargado de revisar reclamos de europeos respecto a sus datos personales en EE.UU. debería estar creado por ley, ser independiente respecto al Poder Ejecutivo de EE.UU. y ser envestido con competencia para emitir decisiones que sean vinculantes y mandatorias para las agencias de inteligencia, primordialmente en lo que respecta al cumplimiento de los derechos de acceso, rectificación y supresión por los titulares de los datos personales.
  • El acceso a datos personales por parte de autoridades de inteligencia de EE.UU. debía estar limitado a lo que es necesario y proporcional a lo previamente definido para la protección de la seguridad nacional. La legislación estadounidense mencionada por el Tribunal (es decir, la sección 702 de la FISA y la EO 12333) se aplica a cualquier transferencia a los EE.UU. por medios electrónicos que entren en el ámbito de aplicación de esta legislación, independientemente del instrumento de transferencia utilizado para la transferencia

¿En qué debería consistir el Marco Transatlantico de Privacidad para lograr que la tercera alternativa sea la vencida y sobrevivir?

A partir de las sentencias de Schrems del Tribunal Europeo, tanto las empresas como las autoridades de control de protección de datos personales de los estados miembros de la UE han tenido que empezar a evaluar muy cuidadosamente las transferencias internacionales e interrumpirlas cuando las regulaciones del país importador no garantizan un nivel de protección equivalente al del RGPD.

Dichos controles en cuanto al cumplimiento de los nuevos recaudos exigidos para cada transferencia internacional de datos [8] son difíciles de llevar a cabo por las grandes empresas, y mucho más para las que no están acostumbradas a este tipo de acuerdos ya que antes de las anulaciones del Acuerdo de Puerto Seguro y del Escudo de Privacidad por Schrems I y II se  permitía a los responsables del tratamiento de datos personales en la UE transferir datos personales a los EE.UU. sin la celebración de cláusulas contractuales estándar si la empresa estadounidense respectiva se encontraba certificada bajo el Escudo de la Privacidad.[9]   

Frente a la clara intención política de las partes de avanzar en un tercer intento de lograr un acuerdo, que resulte en aquel punto de equilibrio, hasta ahora nunca debidamente calibrado entre la protección de los datos personales de los ciudadanos europeos y la vigilancia de las autoridades de inteligencia de EE.UU., es interesante repasar cuales serían los recaudos indispensables para evitar afectar nuevamente el desarrollo del libre flujo transatlántico de datos que robustecen a la economía digital competitiva entre ambas partes y cuya relación comercial de intercambio alcanza los 7,3 billones de dólares, o 7,3 trillones según la metodología utilizada en EE.UU.  

Bajo el contexto descripto el Marco Transatlántico de Privacidad deberá incluir garantías vinculantes para limitar el acceso a los datos por parte de las autoridades de inteligencia de EE.UU., asegurando la necesariedad y proporcionalidad de las medidas que se adopten en pos de la búsqueda de objetivos de seguridad nacional previamente definidos, brindando la oportunidad a los europeos de cuestionar la vigilancia ilegítima y plantear reclamos como titulares de datos personales, creando a tales efectos un Tribunal de Revisión de la Protección de Datos conformado por miembros que no sean funcionarios del gobierno americano y con facultades para revisar los casos y adoptar remedios efectivos. Sin embargo, dicho tribunal funcionaría como una instancia de revisión a lo que decida un cuerpo independiente, también a ser creado, dentro del Poder Ejecutivo de EE.UU. para ayudar a las agencia de inteligencia.

En forma adicional:

i) los datos personales deberán moverse libremente y en forma segura entre la UE y aquellas empresas americanas que participen del sistema de certificación como sucedía bajo los anteriores marcos conformados por el Puerto Seguro y el Escudo de Privacidad;

                                   ii) la agencias de inteligencia americanas deberán adoptar procedimientos para asegurar una efectiva vigilancia del cumplimiento de nuevos parámetros en materia de privacidad y libertades civiles que superen las objeciones del Tribunal a la legislación aplicable (Sección 702 de la FISA y la Executive Order 12333); 

                                 iii)  fijar obligaciones para las compañías encargadas del tratamiento de datos transferidos desde la UE, incluyendo el requisito de autocertificación mediante la adhesión a los principios establecidos por el Departamento de Comercio de los Estados Unidos;

                                iv) creación de un sistema de reparación independiente para los europeos afectados por el acceso ilegítimo a sus datos personales por parte de las autoridades de los EE.UU.

La gran duda surge acerca de si alcanza con que las medidas requeridas a EE.UU. sean adoptadas por el Poder Ejecutivo, sin intervención del Congreso, o es necesaria la presencia insustituible del Congreso para este tipo de cuestiones. En las experiencias anteriores no se requirió la intervención del Congreso. Sin ánimo de pretender desentrañar cuestiones propias del derecho constitucional y administrativo de EE.UU., advertimos que existiría una posible solución sin intervención del Congreso, donde en primer término el Departamento de Justicia emite una regulación mandatoria creando dentro de su ámbito un ente independiente que resultaría una especie de Autoridad de Revisión de Inteligencia Extranjera, debiendo luego el Presidente norteamericano emitir un decreto otorgándole las respectivas competencias para investigar y otorgándole a las decisiones que emita el ente creado efecto vinculante y mandatorio dentro de las agencias de inteligencia que se encuentran bajo la éjida del gobierno de EEUU. Bajo la estructura propuesta los ciudadanos europeos podrán obtener revisión judicial a través de la Ley de Procedimientos Administrativos (Administrative Procedure Act) de las decisiones que se adopten y los afecten.

Se calcula que la redacción de este nuevo acuerdo reflejando los principios acordados tardarán como mínimo seis meses, ya que EEUU y la UE deberán finalizar los textos tanto de la orden ejecutiva a emitir en EE.UU. como la decisión de adecuación a librarse en la UE. Luego, el Consejo Europeo de Protección de Datos deberá emitir una opinión sobre esta decisión de adecuación, aunque dicho dictamen no sea de carácter vinculante para la Comisión. Incluso con el esperado rechazo por parte de la Junta Europea de Protección de Datos, la Comisión difícilmente se desentenderá del Marco Transatlántico de Privacidad de Datos. Por su parte, los estados miembros de la UE pueden brindar sus comentarios y hasta dar una opinión negativa. Finalmente, la Comisión publica la decisión de adecuación en el Diario Oficial de la UE.

Mientras tanto, las compañías que realicen transferencias internacionales de datos personales de la UE a EE.UU. deberán apoyarse en los mecanismos alternativos que le resulten aplicables (normas corporativas vinculantes, cláusulas contractuales estándares) acompañados con la realizaciones de evaluaciones de impacto respecto a las transferencias a realizar lo que les brindará un paraguas adicional de seguridad frente a la contingencia de las inminentes primeras sanciones bajo el RGPD basadas en transferencias internacionales ilegales.

Relevancia de la transferencia internacional de datos personales:

El hecho de que el futuro Marco Transatlántico de Privacidad cuente con el aval político suficiente, lo que se evidencia por haber sido anunciado por las máximas autoridades tanto de EE.UU. como de la UE en el medio de la invasión de Rusia a Ucrania, nos indica la relevancia que el traslado de datos personales fuera de las fronteras presenta para el mundo. Además, dicho apoyo político deviene necesario para Estados Unidos en cuanto a implementar aquellas reformas necesarias en una temática tan sensible como la seguridad nacional y en un momento político en el que hace años que no se pueden obtener los consensos necesarios en su Congreso para sancionar una ley federal en materia de privacidad.   

Hasta tanto la letra chica del Marco de Privacidad no esté definida y vigente, las compañías y organizaciones deberán seguir recurriendo a las normas corporativas vinculantes o a las cláusulas contractuales estándares con protocolos para evaluar el riesgo interno de dichas transferencias bajo este contexto de transición como base justificante de sus transferencias. Asimismo, deberán mantener los datos personales de los europeos cuyo tratamiento está a su cargo en servidores ubicados en la UE, decidir la suspensión de transferencias internacionales a aquellos destinos donde surjan situaciones que generen un riesgo adicional al evaluado sobre los datos a transferir e implementar anonimización y encriptado de datos para atender a las preocupaciones planteadas en Schrems II. Sin duda que las medidas adoptadas desde julio de 2020 por las organizaciones, para estar en cumplimiento de normas de transferencias internacionales y que han ido mutando conforme las interpretaciones de los organismos encargados de interpretar y aplicar el RGPD al nuevo escenario jurídico generado por Schrems II, son onerosas y engorrosas y debiendo ser implementadas a la brevedad por las organizaciones más cuando su subsistencia depende de las transferencias internacionales de datos personales.  

La importancia de contar con el Marco Transatlántico tiene una significancia para la política internacional puesto que durante la ausencia de este tipo de acuerdos se va a vislumbrar una tendencia de la UE de favorecer lo que se conoce como políticas de localización de los datos y proteccionismo digital al afectar el libre flujo de datos entre dos bloques económicos relevantes de la economía digital. Sin duda y considerando el poder de mercado que ostentan las cinco empresas americanas conocidas como las GAFAM [10] cuyo modelo de negocio se basa en la explotación de plataformas y se encuentran entre las diez empresas con mayor valor de capitalización del mundo, nunca falta la sospecha que la protección de datos personales sea utilizada como una barrera de entrada que configura una restricción al libre comercio[11]

Frente a la situación de desventaja que presenta EE.UU. ante el férreo sistema de la UE en protección de datos personales, Washington ha estado interesado en promover un marco rival de flujos de datos globales desarrollado por la Cooperación Económica Asia-Pacífico, que es un bloque comercial regional. Ese modelo permite a las empresas transferir información entre países que se han adherido a principios básicos de privacidad y protecciones contra el acceso del gobierno que son verificados por auditores independientes.

Asimismo, desde fines de 2020, los legisladores de la UE, EE.UU., el Reino Unido y otras naciones afines están cada vez más cerca de crear un pacto internacional bajo el mandato de la OCDE que establecería las reglas básicas sobre cómo las agencias de seguridad nacional acceden a la información de las personas. En las referidas negociaciones están, por un lado, los llamados países de los Cinco Ojos (EE.UU., el Reino Unido, Canadá, Australia y Nueva Zelanda) que quieren que un acuerdo de este tipo se centre únicamente en las preocupaciones de seguridad nacional y aplicación de la ley. Por el otro lado, están aquellos dentro de la UE que dicen que para restaurar realmente la confianza en los flujos de datos cualquier acuerdo liderado por la OCDE debería abarcar todo tipo de acceso gubernamental a la información de las personas, incluso para fines como el seguimiento de la evasión fiscal.

Los expertos en privacidad enfatizan que la necesidad de renovar la forma en que se mueven los datos entre países es más importante que nunca, ya que la economía global se vuelve cada vez más dependiente del comercio digital. Y el reciente acuerdo político entre la UE y EE.UU. destaca cómo Bruselas, cuyas reglas de privacidad son ahora el estándar global de facto, ejerce un control casi total sobre qué países pueden acceder a los datos de sus ciudadanos en cualquier parte del mundo occidental.

Esa situación invocada por alguna de las grandes plataformas se ha visto agigantada con motivo de ciertas sanciones a cargo de tribunales y reguladores pendientes de ejecución y que han llevado al líder de Meta a amenazar respecto que su empresa abandone su operatoria en la UE frente a las exigencias asociadas al tratamiento de datos personales y la imposibilidad de poder transferirlos sin la contingencia de padecer multas de montos significativos bajo el RGPD.

La transferencia de datos personales como no personales resulta ser un insumo mandatorio y central para el comercio moderno y tiene una trascendencia con efectos que van mucho más allá de lo que solemos imaginar; desde el momento que el impacto no solamente afecta a las empresas tecnológicas, sino a cada vez más organizaciones, sea cual fuese su tamaño o actividad, ya que, por ejemplo, cualquier actividad que se realice en la nube, como un simple  acceso a cualquier carpeta ubicada en dicha nube desde cualquier otro país de donde estén ubicadas sus servidores, es considerado como una transferencia internacional de datos. La incertidumbre generada por Schrems II durante estos últimos veinte meses ha afectado también a actividades más ordinarios como marketing, publicidad y recursos humanos que se realizaban a través del Atlántico.

La función de los flujos de datos dentro del desarrollo global de lo conocido como  fabricación inteligente se demuestra mediante la computación en la nube (cloud computing), fabricación aditiva; tecnologías de sensores y dispositivos en red máquina a máquina (M2M); análisis de datos y diseño generativo; nuevos modelos de negocio que implican un servicio posventa dependiente de datos; el uso de inteligencia artificial para mantenimiento y reparación predictivo y preventivo; y colaboración de investigación global basada en datos.

Los flujos de datos transfronterizos de empresa a empresa y de máquina a máquina (M2M) están impulsando gran parte de la transformación digital a la que están sujetos  los sectores industriales de todo el mundo. Estas transferencias de datos de empresa a empresa no reciben tanta atención como los servicios de Internet para consumidores, pero son cada vez más importantes para la economía global.

Los flujos de datos también permiten que el servicio posventa crítico y los fabricantes creen nuevos modelos comerciales basados ​​en servicios. Por ejemplo, los grupos de mantenimiento pueden recibir diagnósticos del funcionamiento de un avión mientras aún está en vuelo, y los fabricantes de vehículos pueden monitorear sus productos de forma remota y alertar a los conductores cuando se necesitan reparaciones. Cada vez es más común que las empresas manufactureras eviten vender productos individuales en favor de venta de productos como servicios integrados.

Sin perjuicio de las connotaciones teóricas planteadas existe una realidad incontrastable como el volumen económico involucrado en el flujo transatlántico de datos se da en el marco de una relación económica que involucra 7,3 billones de dólares.

De la descripción de los conflictos planteados no cabe discusión respecto a la ventaja competitiva con que cuentan aquellas jurisdicciones que son consideradas como que ofrecen un nivel de protección equiparable al que presta el RGPD, por existir un consenso en cuanto a que resulta el estándar a seguir en cuanto a protección de datos personales. Y, por ende, poder recibir y realizar libremente y sin autorización alguna, aquellas transferencias que tengan como destinatario un país que ofrezca un nivel de protección equiparable al que se presta en el RGPD.

En el contexto de una economía digital donde los datos resultan ser el insumo fundamental, deviene un factor clave para la consideración de los inversores sobre el lugar de realización de sus inversiones: la evaluación del nivel de protección que ofrece dicho país para la realización de movimientos internacionales de datos.

El RGPD, estándar internacional en materia de protección de datos personales:

La UE aprobó en 2016, con vigencia desde 2018, el RGPD como legislación en materia de protección de datos personales. Este reglamento resulta mucho más estricto que el régimen jurídico imperante en la materia en EE.UU. que, por cierto carece de una legislación general con alcance federal en esa materia.

El RGPD se ha convertido en un estándar global para la protección de datos personales y es un factor de convergencia en el desarrollo de normas; ha colocado a la UE al frente de los debates internacionales sobre protección de datos, y cada vez más terceros países han alineado sus leyes de protección de datos con el RGPD; así como el Convenio 108 del Consejo de Europa sobre protección de datos («Convención 108+») también se ha aproximado al RGPD  y ya ha sido firmado por más de 40 países entre los cuales se encuentra la Argentina. El RGPD ha llevado a que la UE cuente con una posición dominante en el campo de la protección de datos personales por defender con mayor intensidad los derechos de sus ciudadanos, promover la confianza digital y la innovación, y acelerar el crecimiento económico.

El RGPD a los fines de garantizar que los europeos cuenten con una protección de sus datos personales en el exterior similar a la que ostentan en la UE exige para que las transferencias internacionales de datos personales al exterior sean legales que se den alguna de las siguientes alternativas:

i) Decisión de la Comisión Europea declarando un nivel equivalente de protección de un país determinado, tratando de garantizar que la protección de las personas físicas, en cuanto al tratamiento de sus datos de carácter personal no sufrirá un menoscabo como consecuencia de una transferencia de datos a un tercero. Los criterios a valorar por la Comisión para decidir la adecuación de un Estado radican en un marco jurídico general que garantice los derechos y libertades de las personas y, en particular, las medidas de seguridad establecidas, las garantías existentes en el supuesto de transferencias posteriores a otros estados, la jurisprudencia existente, la existencia de una autoridad de control y su funcionamiento como garantía de los derechos en materia de protección de datos, y por último, los compromisos internacionales asumidos en materia de protección de datos.

Dichas decisiones de adecuación que se adopten bajo el RGPD serán revisadas como máximo cada 4 años[12], aunque en la práctica resulte de dudosa aplicación puesto que el 25 de mayo del 2022 el RGPD estaría alcanzando los cuatro años de vigencia y hasta la fecha no se ha tenido conocimiento de que la Comisión haya efectuado alguna revisión de la consideración de adecuada otorgada a algún país con anterioridad a la vigencia del RGPD.

Los países que han recibido la consideración de adecuados son: Japón, Corea del Sur, Reino Unido de Gran Bretaña, Israel, Uruguay, Nueva Zelanda, Canadá, Suiza, Argentina, Andorra, Jersey, Islas Feroe, Guernsey e Isla de Man.

En tanto, respecto de EE.UU. y hasta la sentencia Schrems II, resultaba aplicable a las entidades certificadas en el marco de Escudo de Privacidad UE-EE.UU. el criterio de adecuación que fuera adoptado por decisión 2016/1250 de la Comisión. La decisión de adecuación del Escudo de Privacidad reconoce como antecedente el Acuerdo de Puerto Seguro. Dicho acuerdo también declarado como inválido por el Tribunal de Justicia de la UE en 2015, al hacer primar incondicionalmente la seguridad nacional, el interés público o el cumplimiento de la ley, sobre los derechos fundamentales de intimidad y privacidad de los ciudadanos europeos los cuales no contaban con ningún medio para la tutela efectiva de dichos derechos.

Ante lo cual el Escudo de Privacidad establecía un sistema de autocertificación de las empresas estadounidenses por el cual se comprometen a cumplir con una serie de principios de protección de la privacidad establecidos por el Departamento de Comercio estadounidense. 

En caso de no contarse con una declaración de adecuación para que la transferencia internacional sea considerada como legal el responsable o el encargado del tratamiento de datos personales deberá adoptar garantías adecuadas que pueden o no requerir autorización de la autoridad de control de cada país miembro de la UE.  

ii) Clausulas contractuales tipo[13] adoptadas por la Comisión de la UE o por una autoridad de control del estados miembro y aprobada por la Comisión. Esta es uno de los mecanismos habituales más empleados cuando existen modelos que pueden ser utilizados, siempre y cuando no se le introduzcan cambios. Nuestro país ha implementado a través de la disposición 60/16[14] contratos modelo tanto para los supuestos de prestación de servicios (responsable y encargado del tratamiento de datos personales) y de cesión de datos personales.   

iii) Normas corporativas vinculantes [15]. Este tipo de mecanismo se emplea para el caso de transferencias internacionales dentro de un mismo grupo económico. En la Argentina, la Resolución AAIP 159/2018[16] regula este mecanismo aunque considerando la realidad previa a Schrems II.

iv) Mecanismo de Certificaciones [17]. Este mecanismo hasta el momento no ha sido implementado.

v) Códigos de Conducta[18]. Fuera de los supuestos mencionados no se podrán realizar transferencias internacionales salvo que se encuadre en alguno de los supuestos previstos taxativamente bajo el RGPD, y que podrán ser utilizados en forma esporádica.

  1. Que haya consentimiento del titular de los datos personales luego de haber sido previamente informado sobre los riesgos que conlleva la referida transferencia;
  2. La transferencia sea necesaria para la ejecución de un contrato o precontrato entre el responsable del tratamiento y el titular de los datos;
  3. La transferencia sea necesaria por razones importantes de interés público;
  4. La transferencia fuera necesaria para la defensa o realización de reclamaciones;
  5. La transferencia sea necesaria para defender intereses vitales del titular de los datos y no se encontrase incapacitado física o jurídicamente para otorgar su consentimiento;

Aún si no se tratase de algunos de los mecanismos autorizados o de las excepciones previstas existe la posibilidad de transferir datos, ocasionalmente, cuando afecta a un número limitado de interesados, es necesaria para cumplir con los intereses legítimos imperiosos del responsable del tratamiento sobre los que no primen los derechos de los interesados, y el responsable haya evaluado todas las circunstancias que concurren en la transferencia, valorando los riesgos existentes y ofreciendo las garantías respecto a la protección de datos personales. Debiendo el responsable en este supuesto informar a la autoridad de control y a los titulares de los datos personales sobre los intereses involucrados que motivan la transferencia.

Situación de privilegio que presenta Argentina

La Argentina pertenece al exclusivo grupo de naciones a las cuales la Comisión de la UE ha declarado como con un nivel equivalente de protección en datos personales al vigente en la UE. En la actualidad solamente 14 países integran el selecto grupo, y habiendo sido el tercero reconocido en el tiempo después de Suiza y Canadá. Solamente a tres países la Comisión le ha brindado ese status bajo el RGPD (Japón, Corea del Sur y Reino Unido).  

La decisión de reconocimiento como adecuada de Argentina fue otorgada el 3 de junio de 2003 por la UE bajo la Decisión 2003/490/CE siendo el tercer país en recibir dicho reconocimiento. Aunque dicha declaración se obtuvo bajo la vigencia de la Directiva 95/45/CE, antecedente del actual RGPD. Y siendo que las decisiones de adecuación adoptadas bajo la referida directiva seguirán vigentes hasta que sean modificadas, sustituidas o derogadas, sin haberse establecido un plazo específico para que ello suceda.

Los criterios para evaluar el carácter adecuado del nivel de protección que ofrece Argentina incluían las normas de derecho generales o sectoriales vigentes, así como las normas profesionales y las medidas de seguridad en vigor (Art.25.2 de Directiva 95/45).

Aún así en la Decisión 2003/490/CE adoptada en cuanto a la adecuación el Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE en su dictamen sobre el nivel de protección de los datos personales en Argentina, que ha sido tenido en cuenta al preparar la Decisión(3) [19] advertía sobre: i) que la autoridad de control era designada y podía ser revocada por el Ministro de Justicia y Derechos Humanos y siendo que dicha autoridad estaba integrada en la estructura del referido ministerio, y considerando que dicha situación no garantizaba que la autoridad actuase con completa independencia, y siendo necesario modificar aquellos elementos necesarios para dicho propósito, incluyendo modificar las modalidades de designación y destitución de dicha autoridad; ii) que ni la Ley 25.326 ni su decreto reglamentario contenían reglas específicas para las personas que hubieran sufrido daños como consecuencia de una operación de tratamiento ilegal de recibir una indemnización por el daño sufrido. Sin perjuicio de que en la ausencia de reglas específicas, las reglas generales de responsabilidad se aplican bajo el derecho argentino; iii) la falta de mecanismos efectivos de aplicación de la legislación a nivel provincial mediante la creación de las necesarias autoridades de control independientes donde no existan, y en el interín, buscar las soluciones temporarias apropiadas en un todo de acuerdo con el orden constitucional de nuestro país.  

Sin embargo, conforme el RGPD hoy vigente, que sería bajo la norma que se revisará el nivel carácter de adecuado de Argentina, la revisión del carácter de adecuado es más exigente, desde el momento que debe considerar los siguiente elementos:

a) el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos;

b) la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes  con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los Estados miembros, y

c) los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales. Estos criterios se encuentran complementados con el documento emitido por el Grupo de Trabajo del Artículo 29 que brindó precisiones adicionales[20].

Vale aclarar conforme lo hiciera el Tribunal de Justicia de UE que el concepto de adecuado nivel de protección debe ser esencialmente equivalente a aquel garantizado en la UE, o sea que el objetivo no implica cumplir punto por punto con la legislación europea sin perjucio de que cuente con los requerimientos fundamentales de dicha legislación[21]

En virtud de las razones que justificaron las nulidades del Acuerdo de Puerto Seguro y de Escudo de Privacidad deviene relevante el respeto de cuatro garantías para el acceso a datos, por razones de seguridad nacional o para propósito de cumplimiento de la ley por terceros países para ser considerados adecuados:

  1. Tratamiento debe estar basado en reglas claras, precisas y comprensibles (base legal).
  2. Necesidad y proporcionalidad de los objetivos legítimos buscado debe ser demostrado.
  3. El tratamiento debe estar sujeto a control independiente.
  4. Recursos efectivos deben estar disponible para los individuos.

En relación a dicha temática, la opinión[22] respecto a la evaluación del pedido de acceso de la Argentina a la Convención 108 consideró acertado el criterio del artículo 23.2 de la Ley 25.326 respecto al tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, fuerzas de seguridad, organismos policiales o inteligencia, sin consentimiento de los afectados.

Las observaciones recibidas en dicha opinión insistieron en la necesidad de reforzar la independencia de la autoridad de supervisión y hasta se ofreció dicho Comité a asistir a las autoridades argentinas para tales efectos. Asimismo, recomendó que el derecho a impugnar valoraciones personales previstas en el artículo 20 de la Ley 25.326 sea extendido al tratamiento efectuado por el sector privado.

De un rápido repaso de la situación que presenta Argentina en la actualidad existen cuestiones relevantes a considerar al evaluar la revisión de la consideración de protección adecuada bajo el RGPD que se encuentran pendientes de ser cumplidas.

Como primera medida se deberían repasar las observaciones realizadas hace casi 20 años en la decisión de la Comisión aceptando a la Argentina como adecuada para la protección de los datos personales y las efectuadas en 2017 para la aceptación de accesión a la Convención 108.

En tanto, la independencia de la autoridad de aplicación de la Ley 25.326 ha sido observada en las dos evaluaciones llevadas a cabo sobre el régimen de protección de datos personales. Sin embargo, la ley que regía al momento de las evaluaciones, ha recibido modificaciones mediante el DNU 746/17[23] en lo que concierne a la autoridad de aplicación al ser unificada con la autoridad de aplicación de la Ley 27.275, de acceso a la información pública. Esa tendencia a unificar la autoridad de aplicación en lo que concierne a la protección de datos personales y al acceso a la información pública ha sido receptada en otros países como México y Reino Unido.

La nueva autoridad de aplicación en materia de protección de datos personales ha pasado a ser la Agencia de Acceso a la Información Pública (AAIP) cuyas características de designación, competencias, funcionamiento y remoción están reguladas en los artículos 19 al 29 de la Ley 27.275.  La objeción en cuanto a la independencia de la autoridad de aplicación sigue vigente hoy en día puesto que es el Poder Ejecutivo Nacional el que propone el candidato a ser designado director titular a cargo de la AAIP , el cual debe participar en un procedimiento audiencia pública donde se escuchen aquellas observaciones presentadas respecto al candidato propuesto. Por lo cual previamente deberán presentarse antecedentes que acrediten su idoneidad para el ejercicio de la función. A comienzo de marzo de 2022 fue designada la directora de la AAIP luego de haberse celebrada la respectiva audiencia pública con fecha 25 de febrero de 2022 donde se plantearon observaciones respecto a su idoneidad por carecer de antecedente alguno tanto  profesional como académico vinculado la protección de los datos personales, y tampoco carecer de independencia por haber ocupado cargos políticos en el ámbito del gobierno que la propone y pertenecer a grupos de pensamiento militante afín al gobierno que la propone. El nombramiento de la directora de la AAIP vino a cubrir una vacancia desde el 31 de diciembre de 2020, fecha en que se efectivizó la renuncia del anterior titular de la AAIP. En el intermedio hubo un intento frustrado de designar un candidato por parte del Poder Ejecutivo cuyo desempeño en la audiencia pública hizo retirar la candidatura.  

Como primera medida la flamante directora decide prorrogar los plazos, por el término de 30 días, vinculados a las tramitaciones de reclamos por afectación de la protección de los datos personales justificando dicha medida extrema en los resultados de una auditoría de la Auditoría General de la Nación (AGN) respecto al funcionamiento de la AAIP por el período de un año correspondiente al anterior gobierno. La referida medida extraordinaria, adoptada por Resolución 1/2022, no fue publicada en el Boletín Oficial. Para tomar dimensión de lo extraordinario de la medida adoptada se debe tener en cuenta que durante la emergencia por motivo del Covid 19 el Decreto 298/20, luego prorrogado por otros decretos, suspendió todos los plazos administrativos con excepción de aquellos que estuviesen vinculados con los plazos de protección de datos personales[24].  

La información brindada respecto a la medida extrema adoptada surge del sitio del propio organismo, aún cuando la resolución referida no ha sido publicada conforme lo exige el ordenamiento jurídico. “En este marco, a través de la Resolución 1/2022 se prorrogó con carácter excepcional y por el término de 20 días hábiles, solamente aquellos procedimientos administrativos cuyo vencimiento opere entre el 10 de marzo y el 10 de abril de 2022, referidos a las tramitaciones de reclamos, mientras que el resto seguirán el procedimiento previsto, enmarcados en la Ley 27.275 y la Ley 25.326. Conjuntamente, la nueva Directora de la Agencia Mg. Beatriz de Anchorena solicitó a la Sindicatura General de la Nación (SIGEN) la realización de una auditoría de corte al 10 de marzo del año 2022. El objetivo es poder realizar una evaluación de la situación del organismo e implementar medidas que garanticen su correcto funcionamiento”.[25]

Desgraciadamente los plazos suspendidos coinciden con ciertos vencimientos de plazos respecto a pedidos de acceso a la información pública efectuados a la Secretaría General de la Presidencia los cuales se encuentran pendientes de respuesta pese a haber vencido con holgura los los plazos legales previstos para dichos fines por la Ley 27.275. Esta circunstancia en un contexto de adopción de medidas extraordinarias sin justificación razonable hacen poner en duda la independencia de la nueva directora respecto del Poder Ejecutivo. Y se superponen de lleno con la recomendación dada por el Grupo de Trabajo del Artículo 29 respecto a las consideraciones a tener en cuenta en las decisiones de adecuación respecto a que la autoridad de supervisión debe actuar con completa independencia e imparcialidad en el cumplimiento de sus tareas y ejercicio de sus facultades sin buscar ni aceptar instrucciones.[26]

ii) Sigue pendiente la implementación de mecanismos efectivos de aplicación de la legislación a nivel provincial mediante la creación de las necesarias autoridades de control independientes donde no existan.

La Ley 25.326 establece que serán de aplicación provincial sus capítulos de la ley referentes a control, sanciones (excluyendo las penales) y la acción de protección de los datos personales. En gran cantidad de provincias nunca se llegaron a implementar las autoridades de control encargadas de aplicar la ley y la imposición de sanciones a sus infractores.

iii) Imperiosa necesidad de actualizar la ley de protección de datos personales N° 25.326 vigente hace más de 20 años.

Al momento de sanción de la Ley 25.326 resultó una norma de avanzada para la región más considerando que en los primeros años de este siglo no existía una tendencia tan marcada en el mundo a regular la protección de datos personales. Sin embargo, con el avance de nuevas tecnologías la misma ha quedado desactualizada para brindar tutela frente a las nuevas amenazas que acechan a los datos personales.

Esta falta de actualización se hace más evidente frente a la creciente tendencia en la región de actualizar sus correspondientes marcos de protección de datos personales como ha ocurrido con Brasil, Ecuador, Uruguay, Perú, Colombia, Panamá y Costa Rica, entre otros países, y sin perjuicio de aquellos que se encuentran actualmente en el proceso de sanción de leyes en la materia como es el caso de Chile, Paraguay y Bolivia.

La actualización de la ley de datos personales deberá considerar el espíritu que guía al RGPD. En tal sentido resultan vitales los principios de responsabilidad proactiva y de gestión de riesgos.  En lo que concierne a la responsabilidad proactiva, el Grupo del Artículo 29 ha sostenido que “el marco de datos personales de un tercer país deberá obligar a los responsables y encargados del tratamiento a cumplir con el mismo y estar en condiciones de demostrar dicho cumplimiento a las autoridades de control. Dichas medidas deberán incluir evaluaciones de impacto en materia de datos personales, mantener registro de la actividades de tratamiento de datos personales llevadas a cabo, designación de un oficial de cumplimiento vinculado con los datos personales (DPO), y la privacidad desde el diseño y por defecto.” A esas medidas le agregaríamos la formalización en contratos de aquellas relaciones con terceros, a los cuales se les encomienda el tratamiento de datos personales por cuenta del responsable, la obligación de notificar a la autoridad de control, dentro de 72 horas, la ocurrencia de cualquier incidente de ciberseguridad y la transferencia internacional de datos.

Este necesario cambio de paradigma implicará el abandono del criterio formalista, ineficiente y burocrático imperante en la actualidad respecto al cumplimiento de la protección de datos que se limita a verificar la registración en la AAIP de las bases de datos personales y el responsable declarado.

Deberán incorporarse nuevos derechos como el derecho a la portabilidad[27] ,derecho a obtener una indemnización por la violación de algún derecho asociado a los datos personales, derecho de oposición y decisiones automatizadas así como establecer un criterio de actualización de las multas a ser impuestas por violación de la ley o normas reglamentarias, ya que en la actualidad la multa por la falta más grave no alcanza los 1000 dólares a valor oficial, que resulta una minucia si se la compara con la multa máxima prevista en el RGPD que alcanzan los veinte millones de euros o el 4% de la facturación anual del grupo económico a nivel mundial, lo que resultara mayor.

En la actualidad existen dos proyectos de ley bastantes similares presentados por el oficialismo y la oposición[28] que se aproximan bastante al RGPD, pero no han tenido movimiento parlamentario y que es probable que pierdan estado parlamentario como sucedió con el impulsado por el gobierno 2015-2019.

iv)  Necesidad de designación del Defensor del Pueblo de la Nación

El Defensor del Pueblo de la Nación es una autoridad prevista constitucionalmente pero que se encuentra vacante hace más de una década, por no lograrse un acuerdo básico entre las fuerzas políticas en el Congreso Nacional para acordar un candidato para el cargo. La relevancia de esta función radica en su independencia y plena autonomía funcional, complementando el rol primordial que debe cumplir la AAIP en cuanto a la protección de los datos personales, ya que tiene por misión asignada constitucionalmente la defensa y protección de los derechos humanos y demás derechos, garantías tutelados en la Constitución y leyes, ante hechos, actos u omisiones de la Administración.

v) Necesidad de que el Congreso ratifique la adhesión de Argentina al Protocolo Adicional de la Convención 108 (Convención 108+)

Es imprescindible cumplir con la formalidad de que apruebe el Congreso la aprobación del Protocolo Adicional de la Convención 108 de la cual Argentina ya es parte desde 2019[29], y que es el único acuerdo multilateral vinculante respecto a la protección de datos personales. Además, su Protocolo Adicional requiere que cada Estado Parte establezca una autoridad independiente para garantizar el cumplimiento de los principios de protección de datos y establece normas sobre los flujos de datos transfronterizos. La adhesión a la Convención 108 y su Protocolo Adicional marca una diferencia positiva respecto al momento en que Argentina fuera reconocida como con legislación adecuada en 2003. 

vi) Falta de cumplimiento de los mínimos recaudos institucionales para garantizar ciberseguridad, habiendo padecido uno de los ciberataques que atacó a base de datos de identificación sin brindarse ninguna explicación sobre los orígenes del incidentes, daños padecidos. Adopción de medidas ministeriales sin claridad y superposición de funciones. 

Una de las peores actitudes que puede existir en ciberseguridad es no reconocer la realidad o peor, aún, ocultarla. En los últimos años el incremento de la ciberdelincuencia conllevó la necesidad de extremar los recaudos por las organizaciones para prevenir la ocurrencia de estos eventos, y aún en caso de ocurrir mitigar sus efectos. Asimismo, se ha creado una comunidad informática que suele compartir las experiencias vividas para no sólo aprender de lo ocurrido modificando lo que dicha organización venía haciendo, sino también para advertir al resto de los miembros de la organización sobre la posibilidad de ocurrencia de ese evento en particular.

Se tuvo conocimiento efectivo que hubo diversos incidentes de ciberseguridad que afectaron actividades de tratamiento de datos personales llevados a cabo por diferentes reparticiones públicas que generaron diferentes impactos. Entre los organismos afectados estuvieron la Dirección Nacional de Migraciones, diferentes reparticiones de los poderes judiciales provinciales, el Senado nacional, la Policía Federal y el Registro Nacional de las Personas (Renaper).

Este último incidente parece haber sido el más serio padecido por la privacidad en la historia informática argentina al haber comprometido la totalidad de los datos identificatorios, incluyendo datos biométricos sensibles, de la ciudadanía argentina. Pese a la gravedad del evento ni las autoridades públicas responsables del tratamiento de datos personales afectados ni las autoridades de control brindaron explicación oficial alguna sobre las causas del incidentes, alcance de las afectaciones padecidas por el sistema, medidas adoptadas y recomendaciones a seguir para que no se vuelva a repetir. El resto de los organismos afectados por los restantes incidentes tampoco brindó información alguna que pueda ser de utilidad sobre los incidentes ocurridos.

El marco regulatorio vigente ni exige la obligación de notificar la ocurrencia de incidentes de ciberseguridad aunque bajo las obligaciones de transparencia activa que surgen de la Ley 27.275 se debería haber brindado de oficio esa información pública. Tal vez la unificación de la autoridad de control de protección de los datos personales con la de acceso a la información pública hubiese hecho pensar que facilitaría la difusión de esa información pública conforme lo exige el marco legal aplicable.

La única manifestación sobre medidas de ciberseguridad de los gobiernos pasan por brindar capacitación a la ciudadanía, dictar recomendaciones contradictorias e indescifrables en cuanto a los sujetos alcanzados y sus alcances junto con creación de comisiones varias en temas de ciberseguridad cuyas competencias nunca estuvieron claramente limitadas facilitando su inacción conjunta. Por cierto, es dudoso que las recomendaciones genéricas en materias de ciberseguridad sirvan para garantizar el nivel de seguridad apropiado a los riesgos que entraña el tratamiento y a la naturaleza de los datos que han de protegerse atendiendo las particularidades que puede presentar cada uno de los sistemas informáticos utilizados por cada repartición pública.

Ciertas sanciones impuestas por la AAIP a empresas por no adoptar los recaudos mínimos para garantizar la seguridad de los datos personales con argumentos encolumnados dentro de la falta de responsabilidad proactiva permiten brindar una pequeña luz en el oscuro panorama que presenta en actualidad la regulación y control de la ciberseguridad en la Argentina.

vii) Necesidad de actualización de los recaudos a cumplimentar con países a los que se envían los datos.

La Disposición 60/2016 determinó los modelos de cláusulas contractuales estandares y de prestación de servicios (responsable encargado) a los fines de la transferencia internacional de datos personales en países que no cuentan con consideración de legislación adecuada.

La referida Disposición no ha sido actualizada conforme los criterios establecidos en Schrems II y ha llevado a diferentes organismos de la UE a brindar recomendaciones al respecto. La legislación estadounidense cuestionada en Schrems II (sección 702 de la FISA y la EO 12333) se aplica a cualquier transferencia a los EE.UU. por medios electrónicos que entren en el ámbito de aplicación de esta legislación, independientemente del instrumento de transferencia utilizado. De lo que se desprende que todas las transferencias realizadas desde Argentina, país con legislación adecuada en protección de datos personales para la UE, hacia EE.UU. al no haberse adoptado ninguna medida de actualización de remedios o previsiones exigibles para transferencias internacionales les siguen resultando aplicables la legislación cuestionada por los tribunales de la UE.

La referida Disposición determinó cuales son aquellos países que deberán ser considerados con legislación adecuada para permitir la libre transferencia internacional de datos personales (artículo 12 de la Ley 25.326). A esa lista falta sumar Japón y Corea del Sur los cuales han sido considerados como con legislación adecuada por la UE en los últimos años.

viii) No respeto de las propias recomendaciones para la realización de evaluaciones de impacto de protección de datos personales dadas en forma conjunta con la autoridad de control (Unidad Reguladora y de Control de Datos Personales) de Uruguay[30], el otro país reconocido como adecuado por la UE en la región.

Hubo determinadas situaciones como el desarrollo e implementación de la aplicación Cuidar, Pase Sanitario, MiArgentina y emisión de documentos de identidad, Conectar Igualdad y Censo Nacional en las cuales no se realizó en ningún caso la evaluación de impacto, ni tampoco fuera recomendada su implementación por parte de la AAIP pese a encuadrarse en los supuestos donde expresamente se recomienda su implementación. Ante la falta de una ley actualizada es recomendable, al menos, adoptar este mecanismo propio de los criterios fundantes del RGPD como el de la responsabilidad proactiva y de la gestión de riesgos de la privacidad.

Análisis de la relevancia de las cuestiones involucradas

Ante el avance de la digitalización de la economía mundial resulta trascendental que los países busquen generar ambientes propicios para la recepción de inversiones extranjeras. Sin duda que la libre transferibilidad de los datos personales es una de las cuestiones que cada vez es más tenida en cuenta para decidir las jurisdicciones con las cuales interactuar si la inversión involucra actividades de transferencias internacionales de datos. No existe mucha conciencia en las autoridades gubernamentales respecto a la trascendencia de que la Argentina cuenta con un status de excelencia a nivel mundial por ser uno de los primeros países en ser reconocidos por la UE por contar con legislación adecuada en la protección de los datos personales. Ya han pasado casi 20 años de esa decisión adoptada conforme criterio imperante con la anterior directiva, que ha dejado de regir hace casi cuatro años tras la entrada en vigor del RGPD.  

Dada la trascendencia de pertenecer a ese reducido número de países reconocidos como adecuados sumado a la velocidad de irrupción y adopción de nuevas tecnologías en forma generalizada es seguro que, tarde o temprano, la referida decisión de adecuación decida ser revisada. Y frente a los hechos que se vienen sucediendo en grosero apartamiento al marco jurídico vigente es necesario retomar el rumbo institucional para que desprolijidades coyunturales no peguen de lleno en la suerte de un valioso activo de nuestro país, sobre el cual se deberían diseñar políticas de estado acordes a los tiempos que corren y así acercarnos a la discusión de temáticas propias de la agenda internacional y local del mundo desarrollado.

Esta oportunidad histórica no la podemos dejar pasar por inacción o desconocimiento. Es claro que la cuestión reviste una trascendencia significativa si el presidente de los Estados Unidos se junta con la presidenta de la Unión Europea, en plena invasión de Rusia a Ucrania, y toma un tiempo de su apretada agenda para anunciar un acuerdo preliminar sobre esta temática pese a que, hoy por hoy, EE.UU. tiene un status jurídico inferior respecto de la Argentina en cuanto a la consideración de legislación adecuada a los fines de la transferencia internacional de datos personales.

En oportunidad de la audiencia pública de consideración de la candidata propuesta por el Poder Ejecutivo al cargo de director de la AAIP de la actual titular del cargo, Beatriz de Anchorena, se le preguntó respecto a qué organismo dentro del Estado Nacional se estaba encargando de cumplir con los recaudos exigidos por la actual normativa vigente en la UE para la revisión de la consideración de legislación adecuada para la transferencia internacional de datos bajo el RGPD y evitó responder. Dicho desconocimiento sobre una cuestión tan gravitante para la agenda pública actual también ha sido manifestado por diferentes funcionarios de distintas reparticiones públicas.

El primer objetivo a cumplir dentro de la conformación de una posible política de estado es lograr conservar el status con el que contamos, el cual no ha sido debidamente aprovechado hasta ahora por ningún gobierno para la generación del ambiente propicio  que requieren las actividades comerciales bajo la economía digital.

Sin duda que la institucionalidad respetuosa de los derechos de protección de los datos personales deberá ser correspondida con similar rigurosidad en la implementación de otras regulaciones aplicables a otros aspectos de la actividad económica (tributaria, cambiarias, societarias, laborales, etc.) para que nuestro país pase a presentar cierto atractivo para proyectos de inversión de la economía digital.

Tal vez el rol del Estado debiera focalizarse en brindar la educación especializada requeridas para desarrollar actividades comerciales bajo las nuevas tecnologías con un criterio de asistencialismo público privado hacía aquellos potenciales profesionales de carreras específicas que sean necesarios para cubrir la demanda de posiciones que requieren este tipo de industrias digitales. A manera de ejemplo vale recordar los continuos reclamos de las empresas tecnológicas sobre la grave falta de mano de obra, o mejor dichos cerebros, con las especializaciones requeridas.

La UE, con su marcado liderazgo en materia de regulaciones asociadas a la economía digital, se encuentra analizando el dictado de diferentes regulaciones estrechamente vinculadas a la protección de datos personales y en algunos casos hasta complementan el RGPD. A manera de ejemplo se pueden citar a los siguientes proyectos de ley como Ley del Dato, Ley de Gobernanza de datos, Ley de Inteligencia Artificial, Ley de Servicios Digitales, Ley de Mercados Digitales, entre otras. Lo que a las claras demuestra que no bastará con sancionar una actualizada ley de datos personales sino que la regulación para los tiempos que corren deberá sopesar sobre las relaciones que deben primar entre dichas regulaciones futuras.

La Argentina debe contar a la brevedad con una nueva ley de datos personales que atienda a los nuevos tiempos tecnológicos y otorgue novedosos remedios y derechos a la ciudadanía cuyos datos personales están sujetos a nuevos tipos de afectaciones. De decidir emprender este camino debería conciliar el espíritu legislativo con las leyes recientemente sancionadas en Brasil[31] y la vigente en Uruguay[32] así como el proyecto de ley próximamente a ser sancionado en Chile, y de esta forma buscar crear un frente regional común, no sólo de utilidad para negociar con otros bloques regionales, sino también para facilitar el intercambio de datos dentro de la región. Asimismo, dado que Uruguay es considerada como con un nivel de protección de datos personales adecuado por la UE[33] y que Brasil seguramente pronto también logre dicho estándar frente al nivel de exigencia que presenta su flamante marco normativo, esta región se podría convertir en un foco de atracción para aquellos capitales que valoren el respeto de la protección de los datos personales para decidir el lugar de realización de sus inversiones y poder contar con una posición regional común en la negociación de las reglas del comercio digital en la Organización Mundial de Comercio (OMC).

El anunciado Marco Transatlantico de Privacidad va a brindar confianza y certidumbre a las transferencias internacionales de datos personales de los ciudadanos europeos con destino a Estados Unidos por ofrecer un nivel de protección adecuado de protección al subsanar lo objetado por el Tribunal de Justicia de la UE en el caso Schrems II, y de esta manera establecer una base jurídica duradera y fiable que asegure la continuidad de los flujos de datos involucrados, fomentando la economía digital competitiva como la cooperación económica. 

La Argentina no puede perder más tiempo y debe, sin más demoras, proceder a focalizar sus esfuerzos en seguir perteneciendo a ese reducido y privilegiado grupo de jurisdicciones consideradas como legislación adecuadas en la protección de datos personales, y sobre esa base comenzar el arduo camino de fijar políticas de estado buscando integrarse al contexto internacional de la economía digital. Sin duda que el camino es arduo y dificultoso, más teniendo en cuenta la severa y crónica crisis en la que se encuentra sumergido el país desde hace décadas. La principal virtud que presenta la propuesta planteada en estas líneas es que apunta hacia el futuro, diferenciándose de las visiones predominantes en la coyuntura local que persisten en buscar diferencias del pasado.

Eso sí, tal vez nos juzgue la historia o nuestras generaciones futuras, si dejamos pasar esta oportunidad de desarrollo y crecimiento que se presenta tan evidente. De esta parte al menos nos quedará la conciencia tranquila en haber avisado, aunque resulte discutible, si se ha hecho con la debida antelación.


[1] Responde a la traducción de Trans-Atlantic Data Privacy Framework

[2] Anuncio de la Casa Blanca de Estados Unidos https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/fact-sheet-united-states-and-european-commission-announce-trans-atlantic-data-privacy-framework/

Anuncio de la Comisión de la Unión Europea https://ec.europa.eu/commission/presscorner/detail/en/FS_22_2100

[3] Sentencia del Tribunal de Justicia de la Unión Europea en 16 de julio 2020 en Data Protection Commissioner v Facebook Ireland Limited y Maximillian Schrems (Schrems II) Caso C-311/18

[4] Mikel Recuero Linares “La sentencia del Tribunal de Justicia de la Unión Europea en el asunto “Schrems II” mucho más que la crónica de una muerte anunciada del Privacy Shield. Tomo 2. Protección de Datos Personales: Doctrina y Jurisprudencia.CDYT Colección Derecho y Tecnología. Compilador Pablo Palazzi. 2021

[5] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Disponible en https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1532348683434&uri=CELEX%3A02016R0679-20160504

[6] Sentencia del Tribunal de Justicia de la Unión Europea de 6 de octubre de 2015 en Maximillian Schrems contra Data Protection Commissioner Caso C-362/14

[7] Decisión de la Comisión de la Unión Europea de 26 de julio de 2000 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

[8] Ver recomendaciones brindadas por Comité Europeo de Protección de Datos (EDPB por siglas en inglés) ex Grupo de Trabajo del Artículo 29: Recomendación 5/2021 sobre interacción de aplicación del artículo 3 del RGPD con las provisiones del Capítulo V sobre transferencia internacional de datos personales https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-052021-interplay-between-application_es ; Recomendación 4/2021 sobre códigos de conducta como herramientas de transferencias.   https://edpb.europa.eu/system/files/2022-03/edpb_guidelines_codes_conduct_transfers_after_public_consultation_en_1.pdf ; Recomendación 01/2020 sobre medidas que suplementan las herramientas de transferencia para asegurar cumplimiento con nivel de protección de datos personales de la UE. https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf

Government access to data in third countries – Final Report, European Data Protection Board (EDPB), November 2021 (EPDS/2019/02-13), p. 45.

[9] Al momento de la sentencia de Schrems II había más de 3000 empresas americanas certificadas bajo el Escudo de Privacidad (Privacy Shield). 

[10] Respondiendo a las iniciales de dichas empresas Google (hoy Alphabet), Apple, Facebook (hoy Meta), Amazon y Microsoft.

[11] Mira Burri, Interfacing Privacy and Trade, 53 Case W. Res. J. Int’l L. 35 (2021) Disponible en: https://scholarlycommons.law.case.edu/jil/vol53/iss1/5

Chander, Anupam and Schwartz, Paul M., Privacy and/or Trade (February 18, 2022). 90 University Chicago Law Review — (forthcoming 2023), University of Chicago Law Review, Vol. 90, No. 1, 2023, Disponible en SSRN: https://ssrn.com/abstract=4038531 or http://dx.doi.org/10.2139/ssrn.4038531

[12] Ver artículo 45.3 del RGPD.

[13] Ver artículo 46.2 del RGPD.

[14] http://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm

[15] Ver artículo 47 del RGPD.

[16] http://servicios.infoleg.gob.ar/infolegInternet/anexos/315000-319999/317228/norma.htm

[17] Ver artículos 42.2  y 46.2.f) del RGPD. 

[18] Ver artículo 46.2.e) del RGPD.

[19] Opinión 4/2002 del ex Grupo de Trabajo del Artículo 29. http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp63_en.pdf

[20] Papel de Trabajo Nro 254 adoptado el 28 de noviembre de 2017

[21] Schrems I

[22] Opinión del 11 de julio de 2017 de Comité Consultivo de la Convención de Protección de Individuos respecto al tratamiento automatizado de datos personales.

[23] El referido decreto en su artículo 11 reemplaza el artículo 19 de la Ley 27.275(Ley de Acceso a la Información Pública) por el siguiente texto “ARTÍCULO 19.- Agencia de Acceso a la Información Pública. Créase la Agencia de Acceso a la Información Pública, como ente autárquico que funcionará con autonomía funcional en el ámbito de la Jefatura de Gabinete de Ministros. La Agencia de Acceso a la Información Pública debe velar por el cumplimiento de los principios y procedimientos establecidos en la presente ley, garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover medidas de transparencia activa y actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales N° 25.326.”

[24] Ver Resolución 70/20 de AAIP http://servicios.infoleg.gob.ar/infolegInternet/anexos/335000-339999/336329/norma.htm

[25] Información disponible en el sitio de la AAIP con fecha 6 de abril de 2021 https://www.argentina.gob.ar/noticias/la-auditoria-general-de-la-nacion-detecto-incumplimientos-y-vulneracion-de-derechos-en-el

[26] Article 29 Working Party Adequacy Referential adoptada el 27 de noviembre de 2017.

[27] Allende Larreta, Agustín “La portabilidad de datos personales en el Anteproyecto de Ley de Protección de Datos Personales. Una inclusión necesaria aunque pendiente de clarificaciones.” Revista Latinoamerica de Protección de Datos Personales. Número Especial: Reforma de la ley de protección de datos personales. Número 4. CDYT. Buenos Aires.

[28] Proyecto de ley de los diputados Suarez Lastra, Banfi y otros, Expediente 6234-D-2020 ingresado el 17 de noviembre de 2020 disponible en: https://www4.hcdn.gob.ar/dependencias/dsecretaria/Periodo2020/PDF2020/TP2020/6234-D-2020.pdf.

 y el de Senador Mena expediente Senado de la Nación 2986/2020 disponible en: https://www.senado.gob.ar/parlamentario/comisiones/verExp/2986.20/S/PL

[29] Ratificado con sanción de Ley Nro 27.483.

[30] https://www.argentina.gob.ar/sites/default/files/guia_final.pdf

[31] Lei  Geral de Protecao de Dados (LGPD) Lei 13709/18 disponible en https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/36849373/do1-2018-08-15-lei-no-13-709-de-14-de-agosto-de-2018-36849337

[32] Ley 18.331 de 2008.

[33] Decisión de la Comisión de la Unión Europea (2012/484/UE) del 21 de agosto de 2012 y también bajo la Directiva 95/46/CE Disponible en https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32012D0484&from=en

Deja una respuesta