Desde la entrada en vigencia del Reglamento General de Protección de Datos (“GDPR” por sus siglas en inglés) de la Unión Europea el 25/05/2018, la normativa relativa al tratamiento de datos personales se ha convertido nuevamente en un tema de interés general publicándose numerosos artículos al respecto. Sin embargo, en el país se ha puesto foco en la normativa europea y en los proyectos de ley locales que actualizarían la normativa local en línea con el GDPR dejando de lado, en una suerte de olvido, la normativa que actualmente se encuentra vigente.
El presente artículo tiene como finalidad traer nuevamente a la luz la normativa vigente en la República Argentina relativa al tratamiento de datos personales realizado por sujetos privados estableciendo de manera sintética y a modo de “preguntas y respuestas” los aspectos más relevantes a tener en cuenta.
Preguntas y Respuestas
1) ¿Qué es Dato Personal?
La legislación argentina entiende que “dato personal” es aquella información, de cualquier tipo, referida a personas físicas o de existencia ideal determinada o determinable. Para que el dato sea personal tiene que estar vinculado o poder vincularse con una persona física o jurídica. A diferencia de la GDPR, la normativa argentina aun incluye a las personas jurídicas dentro del concepto “dato personal”.
2) ¿Qué es una base de datos?
Una base de datos es el conjunto de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera fuere la modalidad de su formación, almacenamiento o acceso. La recolección, conservación, ordenamiento, almacenamiento, evaluación, bloqueo, destrucción y en general cualquier acto de procesamiento o cesión de datos se considera tratamiento de datos.
3) ¿Es lícita la formación de bases de datos?
La formación de bases de datos es lícita siempre que las mismas se encuentren debidamente inscriptas y se respeten las indicaciones dadas por la reglamentación aplicable. Asimismo debe considerarse que la formación de bases de datos no puede contrariar las leyes o moral pública.
La recientemente publicada Resolución Nro. 132/2018 establece que la registración de las bases de datos debe realizarse a través del Portal TAD (de Trámites a Distancia), debiendo previamente registrarse en dicho portal al sujeto dentro de la organización que será responsable de las bases. Debe tenerse en cuenta que quienes ya hubieran registrados sus bases deben re-empadronarse antes del 19/10/2019.
Sin perjuicio de lo expuesto precedentemente es preciso considerar que (i) la formación de una base de datos para uso exclusivamente personal no está sujeta a registro y (ii) que tanto la GDPR como los proyectos de ley locales no incluyen dentro de su reglamentación la obligación de registrar bases de datos por lo que es posible que en el corto plazo se suprima dicha obligación. 4) ¿Qué requisitos debo cumplir al tomar datos personales?
El tratamiento de datos personales sólo será lícito cuando el titular hubiera prestado su consentimiento libre, expreso e informado. Dicho consentimiento puede tomarse por escrito o por otro medio equiparable.
El consentimiento informado es aquél que está precedido de una explicación al titular de los datos, en una forma adecuada a su nivel social y cultural, incluyendo la siguiente información:
i) La finalidad para la cual los datos aportados serán tratados y quienes pueden ser sus destinatarios;
ii) La existencia de la base de datos y la identidad y domicilio de su responsable;
iii) El carácter obligatorio o facultativo de las respuestas al cuestionario propuesto;
iv) Las consecuencias de proporcionar los datos, de la negativa de hacerlo o de la inexactitud de los mismos;
v) La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos.
En determinados casos no será necesario tomar el consentimiento del titular para el tratamiento de sus datos. Entre las excepciones se consideran principalmente las siguientes:
i) Los datos se obtengan de fuentes de acceso público irrestricto;
ii) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal;
iii) Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio;
iv) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento;
v) Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley 21.526.
5) ¿Qué recaudos deben tomarse al tratar datos personales?
El responsable de la bases de datos debe garantizar que los datos personales que se recojan sean ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para el que se hubieran obtenido. En todo momento el responsable de la base de datos debe asegurarse de mantener la base de datos actualizada y tiene el deber de suprimir el dato personal que hubiera perdido vigencia respecto de los fines para el que se hubiese obtenido.
Además de la información detallada en el punto 5 que antecede, debe incluirse la siguiente leyenda informativa:
“LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, en su carácter de Órgano de Control de la Ley N° 25.326, tiene la atribución de atender las denuncias y reclamos que interpongan quienes resulten afectados en sus derechos por incumplimiento de las normas vigentes en materia de protección de datos personales”.
6) ¿Pueden los datos sensibles ser objeto de tratamiento?
Se consideran datos sensibles aquellos datos personales que revelan origen racial, étnico, opiniones políticas, convicciones religiosas filosóficas o morales, afiliación sindical e información referente a la salud o vida sexual.
Los datos sensibles, por su contenido, se encuentran especialmente protegidos por la ley estableciéndose que su tratamiento puede ser realizado solo cuando medien razones de interés general autorizadas por ley o cuando sean utilizados con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares.
El tratamiento de los datos sensibles debe cumplir con los lineamientos generales dados por la reglamentación para el tratamiento general de datos personales y someterse a un cuidado adicional por el carácter crítico de dichos datos.
Los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional.
Por su parte, el Código de Ética de la Asociación de Marketing Directo e Interactivo de Argentina (AMDIA), aprobado por la Disposición Nro. 4/2004 de la Dirección Nacional de Datos Personales, aclara que los datos sensibles, excepcionalmente, podrán ser objeto de tratamiento para realizar ofertas de marketing directo por proveedores de bienes y/o servicios o tratamientos médicos y entidades sin fines de lucro debiendo siempre verificarse previamente, el consentimiento expreso, informado y por escrito del Titular. A fin de prestar su consentimiento, el Titular debe recibir una noticia clara de (i) el carácter sensible de los datos que proporciona, (ii) que puede negarse a suministrarlos (iii) la finalidad del tratamiento y sus destinatarios; (iv) los datos identificatorios del responsable del Banco (v) en caso de cesión, que se cumplan los fines directamente relacionados con el interés legítimo del cedente y el cesionario, informándosele la finalidad de la cesión e identificando al cesionario, así como la mención del derecho del titular de los datos a solicitar su retiro de la base correspondiente.
7) ¿Qué medidas de seguridad debe tomar el responsable de las bases de datos?
El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
La Resolución 47/2018, cuyo texto podrá ser consultado en el siguiente link: https://www.boletinoficial.gob.ar/#!DetalleNormaBusquedaAvanzada/188654/20180725, adjunta las “MEDIDAS DE SEGURIDAD RECOMENDADAS PARA EL TRATAMIENTO Y CONSERVACION DE LOS DATOS PERSONALES EN MEDIOS NO INFORMATIZADOS” a través de los cuales se establecen parámetros actualizados para fomentar la correcta protección de los datos personales.
Si bien las medidas de seguridad recomendadas por la Agencia de Acceso a la Información Pública no son obligatorias debe aclararse que el decreto reglamentario a la Ley de Datos Personales prohíbe expresamente registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.
Asimismo, debe destacarse que la Disposición 15/2018 aporta una guía práctica para desarrolladores de aplicaciones móviles que puede utilizarse como guía para establecer medidas de seguridad adecuadas para tratamiento de datos personales a través de APPs. Dicha guía puede ser consultada en el siguiente link: http://servicios.infoleg.gob.ar/infolegInternet/anexos/245000-249999/245973/norma.htm
8) ¿Pueden cederse los Datos Personales?
Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo. El titular de los datos en cualquier momento puede revocar el consentimiento y ejercer el derecho de acceso, rectificación y supresión debiendo ser garantizado tanto por el cedente como por el cesionario.
Sin perjuicio de ello, el consentimiento para la cesión de los datos personales no es exigido cuando:
(i) el consentimiento para el tratamiento general de los datos personales no sea necesario, según se indica en el punto 4 precedente;
(ii) la cesión se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias;
(iii) se trate de datos personales relativos a la salud, y la cesión sea necesaria por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados;
(iv) se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables.
Debe aclararse que el cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate.
9) ¿Permite la Argentina la transferencia internacional de datos?
Por principio la Argentina prohíbe la transferencia de datos personales hacia países u organismos internacionales o supranacionales que no proporcionen niveles de seguridad adecuados. No obstante ello, cumplidas determinadas condiciones dicha transferencia sí será permitida.
En primer lugar, corresponde destacar que el carácter adecuado del nivel de protección que ofrece un país u organismo internacional será evaluado atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración de tratamiento o de los tratamientos previstos, el lugar de destino final, las normas de derecho, generales o sectoriales, vigentes en el país de que se trate, así como las normas profesionales, códigos de conducta y las medidas de seguridad en vigor en dichos lugares, o que resulten aplicables a los organismos internacionales o supranacionales.
Se entiende que un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente, o de sistemas de autorregulación, o del amparo que establezcan las cláusulas contractuales que prevean la protección de datos personales.
La Disposición 60 - E/2016 indica que son considerados puertos seguros para la transferencia internacional de datos: los Estados miembros de la UNIÓN EUROPEA y miembros del espacio económico europeo (EEE), la CONFEDERACIÓN SUIZA, GUERNSEY, JERSEY, ISLA DE MAN, ISLAS FEROE, CANADÁ sólo respecto de su sector privado, PRINCIPADO DE ANDORRA, NUEVA ZELANDA, la REPÚBLICA ORIENTAL DEL URUGUAY y el ESTADO DE ISRAEL sólo respecto de los datos que reciban un tratamiento automatizado.
Establecida la regla general, debe señalarse que la prohibición no regirá en los siguientes supuestos:
i) Cuando el titular de los datos hubiera consentido expresamente la cesión/transferencia;
ii) Cuando la transferencia se realice en el marco de colaboración judicial internacional;
iii) Cuando la transferencia se realice en el marco de intercambio de datos de carácter médico, en caso que así lo exija el tratamiento del afectado, o una investigación epidemiológica y en tanto se hubieran aplicado procedimientos de disociación de la información, de modo que los titulares de los datos no sean identificables;
iv) Cuando la transferencia se realice en el marco de transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable;
vi) Cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte;
vii) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.
La legislación argentina admite también como garantías suficientes a los fines de la transferencia internacional de datos personales a países que no tengan legislación adecuada, la existencia de autorregulación o cláusulas contractuales que brinden una protección similar a la de nuestra normativa. A fines de facilitar la redacción de tales contratos, la referida Disposición 60 - E/2016 propone las cláusulas contractuales tipo de transferencia internacional para la cesión y prestación de servicios.
Dicha Disposición establece también que los responsables de tratamiento de datos personales que efectúen transferencias a países que no posean legislación adecuada y utilicen contratos que difieran de los modelos aprobados por la autoridad o no contengan los principios, garantías y contenidos relativos a la protección de los datos personales previstos en los modelos aprobados, deberán solicitar su aprobación presentándolos, a más tardar, dentro de los treinta (30) días corridos de su firma. Los modelos propuestos podrán ser consultados en el link que sigue: http://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm
Comentarios