Posibilidad que se aplique normativa de datos personales de la UE a empresas argentinas.

El nuevo Reglamento General de Protección de Datos (RGPD) ha sido sancionado en mayo de 2016 en la Unión Europea y será aplicable a partir de mayo de 2018.

En ese período de transición los responsables y encargados del tratamiento de datos personales deberán preparar y adoptar las medidas necesarias para estar en condiciones de cumplir con las exigentes previsiones del RGPD en el momento que empiece su vigencia.

El principal efecto disuasivo para el incumplimiento del RGPD radica en las graves sanciones previstas,  que alcanzan multas de €20.000.000  o 4% del volumen anual del negocio, lo que resultare mayor, así como la reparación de daños y perjuicios a los interesados por los responsables y encargados del tratamiento que se aparten de las normas del RGPD.

1.             Alcance amplio del ámbito de aplicación del RGPD y la posibilidad de estar sujeto aún siendo una empresa constituida en Argentina.

Para las empresas establecidas en Argentina la cuestión deviene relevante puesto que el RGPD les puede resultar aplicable. Esto es así, porque el ámbito de aplicación del RGPD no se limita al territorio europeo, como sucede con la directiva actual[1] que rige en la materia, sino que tiene un alcance bastante más amplio por tres razones fundamentales: i) extensión del criterio de establecimiento privado, ii) incorporación del principio del propósito, iii) inclusión del monitoreo de ciudadanos en la UE desde fuera del territorio. 

La extensión del principio de establecimiento privado bajo RGPD surge al no sólo considerar el lugar de establecimiento de los responsables del tratamiento de los datos sino que lo extiende al del encargado[2] del tratamiento de los datos, que en caso de estar localizados en la Unión Europea apareja la aplicación del RGPD, independientemente del lugar donde se lleva a cabo el tratamiento de los datos (por ejemplo lugar de ubicación de los servidores).  A manera de ejemplo, una compañía con subsidiarias locales en la UE debe cumplir con el RGPD, respecto a la actividad de tratamiento de datos realizada por sus subsidiarias independientemente que los servicios se ofrezcan fuera de la UE.

La incidencia del principio del propósito surge al resultar aplicable el RGPD al tratamiento de datos personales de personas físicas ubicadas en la UE, por parte de responsables o encargados no ubicados en la UE cuando el tratamiento de los datos está vinculado al ofrecimiento de bienes o servicios, ya sea gratuitos u onerosos, a personas físicas ubicadas en la UE.  Como consecuencia de este principio, una empresa argentina sin presencia alguna en la Unión Europea, que venda sus productos o servicios a clientes europeos es posible que se encuentre obligada a cumplir con el RGPD. A tales efectos se deberá evaluar la situación particular de cada oferta que se realice, a fin de determinar si está dirigido a ciudadanos europeos. A tales efectos puede resultar relevante el idioma empleado en el sitio del oferente, la moneda de pago que se ofrece utilizar, entre otros criterios.

Asimismo el monitoreo de ciudadanos europeos, a través de elementos tan comunes como las tecnologías de cookies o de huellas en Internet y la confección de perfiles en virtud de sus preferencias, puede aparejar la aplicación del RGPD, independientemente del lugar donde esté establecida la compañía encargada del tratamiento de datos.

2. Consecuencias prácticas de estar alcanzado por el RGPD

En el caso de resultar aplicable el RGPD, se desprenden ciertas consecuencias prácticas, como la necesidad de cumplir con ciertas nuevas obligaciones.

Se deja expresa constancia que este informe no pretende ser una guía exhaustiva de todas las consideraciones que deberán ser tenidas en cuenta. Asimismo se advierte sobre la inviabilidad de adoptar una receta única para las diversas situaciones bajo las cuales podrían encontrarse diferentes empresas con particularidades especiales bajo cada caso a ser analizado.

Hay dos principios nuevos incorporados al RGPD que resultan inescindibles para interpretar la procedencia de la adecuación al referido marco normativo así como la forma en que debe llevarse a cabo. Esos principios son el de responsabilidad proactiva y el de enfoque de riesgo.

La responsabilidad proactiva implica una actitud consciente, diligente y proactiva por parte de las organizaciones respecto al tratamiento de datos personales que lleven a cabo, que trae aparejado la necesidad de adopción de medidas técnicas y organizativas apropiadas para garantizar y demostrar (“accountability”) el tratamiento de los datos conforme el RGPD. Este principio requiere analizar a qué datos le da tratamiento la organización, con qué fines y qué tipo de operaciones de tratamiento llevan a cabo.

Recién efectuado ese primer diagnóstico se podrá encarar el enfoque de riesgo, merituando aquellas medidas adecuadas a ser aplicadas puntualmente a cada organización atento la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas. Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos que involucran información personal sensible[3] o volúmenes importantes de datos sobre cada afectado puede no resultar necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.

3. Cuestiones involucradas en la adecuación al RGPD:

IDENTIFICACION DE LA BASE LEGAL SOBRE LA QUE SE REALIZA EL TRATAMIENTO DE DATOS

Como paso inicial resulta imprescindible documentar e identificar claramente la base legal[4] sobre la que se desarrollan los diversos tratamientos de datos personales. A tales fines se debe incluir la base legal sobre la que se desarrolla el tratamiento al proporcionar la información en el momento de recoger los datos de los interesados

ADECUACION DE LOS CONSENTIMIENTOS OBTENIDOS Y A OBTENER DE LOS INTERESADOS

Se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito:

• Tratamiento de datos sensibles.

• Adopción de decisiones automatizadas.

• Transferencias internacionales.

No se podrá seguir obteniendo consentimientos por omisión y debiendo revisarse esos tratamientos para que, a partir de mayo 2018, se hayan adecuado a las previsiones del RGPD.

La adaptación puede llevarse a cabo:

• Obteniendo un consentimiento de los interesados acorde con las disposiciones del RGPD.

• Valorando si los tratamientos afectados pueden apoyarse en otra base legal. como puede ser, entre otras, el interés legítimo del responsable o del cesionario de los datos que prevalezca sobre los derechos del interesado (los interesados deben ser informados y podrán ejercitar los derechos que, como el de oposición, sean específicamente aplicables a la nueva base legal elegida).

AMPLIACION DE LA INFORMACION A SUMINISTRAR A LOS INTERESADOS

Se establece una lista exhaustiva de la información que debe proporcionarse a los interesados y que comprende, entre otras cuestiones:

• Base jurídica del tratamiento

• Intención de realizar transferencias internacionales

• Datos del Delegado de Protección de Datos (si lo hubiere)

• Elaboración de perfiles

La información a los interesados deberá facilitarse por escrito, incluidos los medios electrónicos cuando sea apropiados.

Todos los responsables han de cumplir con esta obligación de transparencia, con independencia de su tamaño como organización. Por ello, los responsables han de asegurarse de que disponen de esa información y han previsto los medios adecuados para ofrecerla a los interesados.

EJERCICIO DE DERECHOS DE LOS INTERESADOS

Los derechos previstos y garantizados en el RGPD a favor de los interesados son: i) derecho de acceso, ii) derecho al olvido, iii) limitación al tratamiento y iv) derecho de portabilidad.

El responsable debe prever mecanismos para facilitar el ejercicio de derechos y la respuesta a las solicitudes. Estos mecanismos dependerán de las entidades, pero pueden ser tan simples como establecer una dirección de correo electrónico específica que sea operativa y que permita identificar a los interesados y atribuir a una persona de la organización que se responsabilice de tramitar todas las solicitudes que eventualmente se reciban. No obstante, es importante que estos mecanismos, por sencillos que sean, estén claramente establecidos. El modo de ejercer los derechos forma parte de la información que debe proporcionarse a los interesados.

Se deberá informar al interesado sobre las actuaciones derivadas de su petición en el plazo de un mes (podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas y deberá notificar esta ampliación dentro del primer mes). Si el responsable decide no atender una solicitud, deberá informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación.

Adicionalmente se prevén cuestiones específicas para el ejercicio de cada uno de estos derechos puntuales, como ser: i) los responsables podrán atender al derecho de acceso facilitando el acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales; ii)  respecto al derecho al olvido los responsables que hayan hecho públicos los datos personales deberán adoptar medidas técnicas para informar a otros responsables de la solicitud del interesado de borrar su información personal; iii) El derecho a la portabilidad se cumple transmitiendo directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, siempre que ello sea técnicamente posible.  

VERIFICACION DE LAS RELACIONES CON LOS ENCARGADOS[5] DE TRATAMIENTO

El responsable del tratamiento de datos deberá asegurarse de que los encargos de tratamientos de datos delegados en terceros estén siempre amparados en un contrato de encargo..

Igualmente, debe verificar que los contratos de encargo de tratamiento con prestadores de servicios incluya todos los aspectos que establece el RGPD,[6] especialmente en lo relativo a que el encargado sólo tratará los datos para los fines que le encomiende el responsable, que aplicará las medidas de seguridad adecuadas y que mantendrá estricta confidencialidad sobre la información tratada.

En estos supuestos, siempre es aconsejable recurrir a los modelos aprobados por la Comisión Europea o presentados por las autoridades de protección de datos.

Por su parte los encargados deben cumplir con obligaciones específicas como mantener un registro de actividades de tratamiento, determinar las medidas de seguridad aplicables a los tratamientos que realizan, designar un delegado de protección de datos en los casos previstos por el RGPD.

Sin perjuicio de las medidas básicas señaladas existen otras de mayor complejidad y que resultan aplicables cuando hay un mayor grado de complejidad en el tratamiento o cuando hay involucrados datos sensibles, entre otros supuestos.

MEDIDAS DE RESPONSABILIDAD ACTIVA

Todos los responsables deberán realizar una valoración del riesgo de los tratamientos de datos a su cargo, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo.

Dicho análisis variará en función de diferentes consideraciones como ser: i) los tipos de tratamiento involucrados, ii) la naturaleza de los datos, iii) el número de interesados afectados, iv) la cantidad y variedad de tratamientos que una misma organización lleve a cabo.

Las autoridades españolas recomiendan[7] que la reflexión deberá dar respuesta a cuestiones como las que se exponen a continuación y que cuanto mayor sea el número de respuestas afirmativas mayor sería el riesgo que podría derivarse del tratamiento. En tanto que si la respuesta a estas preguntas y otras del mismo tipo fuera negativa, es razonable concluir que la organización no realiza tratamientos que generen un elevado nivel de riesgo y que, por tanto, no debe poner en marcha las medidas previstas para esos casos.

ü ¿Se tratan datos sensibles?

ü ¿Se incluyen datos de una gran cantidad de personas?

ü ¿Incluye el tratamiento la elaboración de perfiles?

ü ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?

ü ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?

ü ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?

ü ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?

OBLIGACIONES QUE DEBERAN ADOPTAR LOS RESPONSABLES CON ELEVADO NIVEL DE RIESGO:

Ø Mantener registro con actividades de tratamiento de datos.

Ø Protección de Datos desde el diseño y por defecto.[8]

Ø Adoptar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

Ø Notificación de quiebras de seguridad de datos.

Ø Realizar en forma previa Evaluación de Impacto sobre Protección de Datos en tratamientos de alto riesgo a llevarse a cabo.

Ø Designar Delegado de Datos Personales.

4. Transferencia internacional de datos personales. Situación de Argentina considerada como país con legislación de protección adecuada.

Bajo el RGPD el sistema de transferencia internacional de datos no ha recibido alteraciones significativas respecto a la actual legislación europea vigente. A tales fines las transferencias internacionales solamente están permitidas en los siguientes supuestos: cuando los destinatarios están localizados en países sobre los que la Comisión ha adoptado una decisión reconociendo que la legislación aplicable ofrece un nivel adecuado de protección; en base a cláusulas contractuales aprobadas por la autoridad de aplicación, normas corporativas vinculantes, códigos de conductas o esquemas de certificación.  

Tanto las resoluciones sobre la consideración como adecuada de las legislaciones y las cláusulas contractuales que se encuentren vigentes seguirán siendo válidas en tanto las autoridades no las revoquen.

Si bien la Ley de Protección de Datos Personales Nro 25.326 pertenece al selecto grupo de legislaciones consideradas como adecuadas bajo el régimen de la UE[9], la intención del gobierno de encarar la reforma legislativa de dicha ley a fin de actualizarla a los tiempos que corren puede implicar la necesidad de un nuevo análisis por parte de las autoridades europeas a fin de verificar la adecuación de la futura nueva legislación a los parámetros del RGPD.

5. Conclusión:

Aquellas empresas argentinas pasibles de verse alcanzadas por el extendido ámbito de aplicación del RGPD, y que realizan actividades de tratamiento de datos personales de clientes localizados en la Unión Europea deben encarar un exhaustivo análisis sobre la situación particular que presentan respecto a los datos que poseen u obtienen.

En caso de resultar alcanzadas por la aplicación de la RGPD deberán agudizar el estudio para determinar, en virtud de las particularidades propias de las actividades desarrolladas con los datos bajo su control y no en virtud de recetas o fórmulas genéricas, las adecuaciones que deberán llevarse a cabo a fin de evitar colocarse en situaciones de riesgo que generarán significativos costos de defensas legales, así como de multas y contingencias por responsabilidad de daños y perjuicios a interesados afectados.  Dicha variedad de actividades deberán programarse para ser ejecutadas durante el corriente año dada la inminencia del inicio de la vigencia del RGPD.  Esta ardua tarea no solamente requiere de abogados con especialidad en la protección de datos personales sino a la vez que estén informados y continuamente actualizados en las novedades que aparecen en la normativa europea que rige la materia.

---

[1] Directiva UE 95/46 de Protección de Datos. 

[2] Los encargados son aquellas entidades encargadas del tratamiento de datos personales en nombre del responsable de los datos.

[3] De conformidad con el artículo 9, estas incluyen datos personales que revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas o la pertenencia a sindicatos, así como el tratamiento de datos genéticos, datos biométricos para la identificación exclusiva de personas físicas, datos relativos a la salud o datos referentes a la vida sexual o la orientación sexual de las personas.

[4] Las diferentes bases legales bajo el RGPD son: Consentimiento. • Relación contractual. • Intereses vitales del interesado o de otras personas. • Obligación legal para el responsable. • Interés público o ejercicio de poderes públicos. • Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.

[5] Cuando el responsable del tratamiento encomienda parte de las operaciones, como puede ser el almacenamiento de la información o la realización de determinadas tareas sobre la base de los datos personales, la entidad que presta esos servicios es un encargado de tratamiento.

[6] El contenido mínimo de los contratos de encargo, deben preverse aspectos como: • Objeto, duración, naturaleza y la finalidad del tratamientos • Tipo de datos personales y categorías de interesados • Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable • Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones • Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados.

[7] Guía del Reglamento General de Protección de Datos para responsables de tratamiento elaborado por Agencia Española de Protección de Datos, Autoridad Catalana de Protección de Datos y Agencia Vasca de Protección de Datos.

[8] La protección por defecto implica adoptar medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos

[9]  C(2003) 1731 del 30 de junio 2003 - OJ L 168, 5.7.2003. Disponible en <http://ec.europa.eu/justice_home/fsj/privacy/docs/adequacy/decision-c2003-1731/decision-argentine_en.pdf>