LINEAMIENTOS Y CONTENIDOS BÁSICOS DE NORMAS CORPORATIVAS VINCULANTES APROBADAS POR LA AAIP EN EL MARCO DE LA LEY DE PROTECCIÓN DE DATOS PERSONALES

La Agencia de Acceso a la Información Pública (AAIP) por Resolución 159/2018 publicada el 7 de diciembre en el Boletín Oficial aprueba el documento “LINEAMIENTOS Y CONTENIDOS BÁSICOS DE NORMAS CORPORATIVAS VINCULANTES” cuyo texto forma parte de la norma, a fin de ser considerado en el diseño de documentos relativos a normas de autorregulación en empresas que conformen un mismo grupo económico, para la transferencia internacional de datos personales.

A la vez, se prevé que en caso de empresas ubicadas en terceros países sin legislación que resulte adecuada para la protección de datos personales, y sustenten su adecuación en normas de autorregulación que difieran de los lineamientos previstos en esta Resolución, deberán ser presentados ante la AAIP para su control y aprobación, dentro de los 30 días siguientes de efectuada la transferencia.

Las normas corporativas vinculantes que pretendan alcanzar un nivel adecuado de protección de los datos personales deberán ser obligatorias y exigibles tanto para la totalidad de las empresas que forman parte de un grupo económico, como para los empleados, subcontratistas y terceros beneficiarios, y prever remedios judiciales y administrativos de carácter independiente, efectivos y accesibles.

Entre los contenidos mínimos se describen:
(i) Condiciones de licitud, incluye los principios y derechos previstos en la norma vigente;
(ii) Protección específica por sensibilidad en la materia, abarca datos sensibles, publicidad directa no consentida, tratamiento automatizado de datos, antecedentes penales y/o contravencionales y cesión a terceros;
(iii) Designación de terceros beneficiarios, comprende el otorgamiento de potestad como terceros beneficiarios al titular de los datos y a la AAIP;
(iv) Reconocimiento y diseño de procedimientos para el ejercicio de derechos por el titular;
(v) Respeto de la jurisdicción local del titular del dato en el ejercicio de derechos;
(vi) Responsabilidad solidaria de las empresas que participen en el tratamiento;
(vii) Autoridad de control, la AAIP podrá intervenir cuando la empresa que exporte los datos personales se encuentre establecida en la República Argentina. A su vez, intervendrá como tercero beneficiario cuando se encuentren involucrados datos personales de titulares que residan en la República Argentina. Deja abierta la intervención de otras autoridades de control de los países en donde se encuentren establecidas las empresas importadoras y exportadoras de los datos personales motivo de la transferencia, en el marco de la cooperación internacional;
(viii) Incluye un compromiso de garantía y explicación fundada sobre que las normas de autorregulación sean efectivamente exigibles a las empresas del grupo por el titular de los datos y la AAIP y;
(ix) se prevé el compromiso de capacitación al personal en relación al tratamiento de datos personales.

[La información proporcionada no constituye asesoramiento legal y no implica un tratamiento acabado de todas las cuestiones vinculadas a la materia]