Blog - Metodologías y Legislación

Usar puntuación: / 1
MaloBueno 

Mi casa matriz desea centralizar el manejo de la información, a partir de ahora se procesarán y liquidarán sueldos, licencias y se realizará el manejo de la información de recursos humanos desde España y Estados Unidos, ¿qué hago?

Ante semejante pregunta, la respuesta debe ser sopesada.
 
Un tema no menor a analizar al momento de establecer negocios en la nube o decidir la centralización de la información por parte de los grupos empresarios es el referido al tratamiento de datos personales. Esta afirmación surge de entender que las normativas relacionadas con la protección de datos personales son, en general, de orden público. Esto quiere decir que las partes no pueden dejarlas de lado y, si lo hicieren, las disposiciones en tal sentido podrían ser declaradas nulas a solicitud de la parte interesada.

La mayoría de los países occidentales han adoptado algún sistema de protección de datos personales, por lo que estar alertas a las imposiciones y limitaciones de cada país es fundamental al momento de pensar en modalidades de negocios del estilo Cloud Computing, Outsorcing o centralización en el manejo de la información de las compañías con sedes o vinculadas en diferentes países.

La Unión Europea (UE) regula el tema a partir de la Directiva 95/46/CE que es el marco rector que deben adoptar los países de la misma respecto del adecuado nivel de protección de la vida privada de las personas y la libre circulación de datos personales dentro de ella, estableciendo la limitación para transferir datos personales a países que no cuenten con un adecuado nivel de protección.

En nuestro continente, desde Bolivia, Brasil, Chile, Colombia, Ecuador, Guatemala, México, Nicaragua, Panamá, Paraguay, Perú, Uruguay, entre otros, también han regulado la protección de los datos personales de personas físicas y/o jurídicas.

Nuestro país, en especial, trabaja en la protección de datos personales desde el año 2000, a partir de la sanción de la Ley 25.326 (LPDP), y en el año 2003 fue reconocido por la UE como un país de nivel adecuado de protección de datos personales.

Según la mayoría de las legislaciones el hosting de datos personales implica tratamiento de los mismos. El art. 2 de la ley argentina dispone: “Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias”.

Asimismo, “Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario los elementos que permitan hacerlo… El cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate”.

Dispone en otro art. que “Cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación. Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años”.

De los artículos citados se desprende entonces que los esquemas de prestación de servicios de tercerización de infraestructura, procesamiento de datos, almacenamiento de información, centralización en el manejo de esta y todas aquellas que impliquen la delegación en profesionales en seguridad informática y servicios escalables como el Cloud Computing, efectúan tratamiento de datos personales.

De esta manera, si los datos o información salen de la Argentina deberíamos analizar si el destino (físico) de los mismos se encontrará en una jurisdicción que cuente con adecuado nivel de protección de datos personales, en el sentido en que lo dispone el art. 12 y concordantes de la LPDP.

Verificado este supuesto, se debe analizar la razonabilidad de la transferencia, la existencia o no del consentimiento para la transferencia de los datos personales a terceros a los fines de su tratamiento y, obviamente, la celebración de contratos de tratamiento de datos personales con la correspondiente asunción de responsabilidades frente al titular de los mismos tanto por parte de quién encarga el tratamiento (almacenamiento, procesamiento, etc.) como por parte de quién realizará la tarea (importador) que, por el hecho de encontrarse en una jurisdicción diferente, no se exime de las cargas que le impone la LPDP o la ley de cualquier otro país que  haya establecido principios congruentes con el de la Argentina.

Es por ello que, dada la movilidad con la que deben contar los archivos de bancos de datos personales e información en general almacenadas por las empresas en virtud de la propia dinámica de los negocios, en modo alguno propiciamos la imposibilidad de la transferencia sino la asunción de ciertas responsabilidades y resguardos en orden al cumplimiento de objetivos de orden público.

Nuestra normativa nos provee de herramientas que de la mano de un correcto blindaje jurídico permitirán a las empresas la correcta movilidad de los datos entre los diferentes países, facilitarán el establecimiento de empresas proveedoras de servicios de hosting, procesamiento y centralización de información y cualquier otro servicio bajo la modalidad computación en la nube.

En este sentido, la Dirección Nacional de Protección de Datos Personales (DNDP), autoridad de aplicación de la LPDP, dispuso que es viable la transferencia internacional de datos personales a jurisdicciones que no cuenten con un adecuado nivel de protección siempre que se cumplan ciertas condiciones, entre ellas que la ley a la que se someterán las partes para cualquier contienda sea la LPDP, que se identifique correctamente al importador de los datos, etc.

Para ello, entonces, se debe tener presente: 

• En lo posible, adecuado nivel de protección de protección de datos personales del país de destino.
• Existencia de consentimiento por parte del titular del dato o, en su caso, establecer un mecanismo legal que lo suplante o permita no solicitarlo.
• Existencia de un contrato de tratamiento de datos personales con asunción por parte del importador en virtud del objeto del contrato principal, de las mismas responsabilidades que le competen a quién está requiriendo el tratamiento de datos personales.
• Garantizar mediante el contrato de transferencia de datos personales el cumplimiento de las medidas de seguridad que dispone la DNDP por parte del importador.
• Sujeción expresa por parte del importador a las normativas de orden público relacionadas con protección de datos personales.
• Constitución de domicilio en el país por parte del importador, que tendrá a su cargo el tratamiento de datos personales.

A 10 años de sancionada la Ley 25.326, y siendo nuestro país uno de los que cuenta a nivel internacional con un adecuado estándar de protección de datos personales y en consecuencia con previsibilidad jurídica para quienes deseen administrar información de terceros, recordar estos principios resulta más que trascendente.

Por Macarena Pereyra Rozas, Socia de Carranza Torres & Asociados.