I- ANTECEDENTES
REF: EXP-S04:0014135/2011 - Aprobación
de Contrato de Transferencia Internacional.
DICTAMEN XXXXX Xx 000/00
XXXXXX XXXXX, 0x xx xxxxx de 2011
SEÑOR PRESIDENTE:
Me dirijo a Ud. con relación a su solicitud de aprobación del contrato de transferencia internacional que tramita en el expediente de la referencia, con motivo de su solicitud ingresada mediante nota, constancia de Pago del valor del formulario respectivo y el modelo del Contrato de Transferencia Internacional adjunto.
-I- ANTECEDENTES
Del análisis del contrato adjunto surge que la transferencia internacional tendría como origen nuestro país y su destinatario la República de la India para la prestación de servicios por un tercero como importador de los datos (art. 25 Ley Nº 25.326).
A los fines de la solicitud bajo análisis, el exportador sería la empresa … (en adelante el “Exportador”), con domicilio en Buenos Aires, y el importador … (en adelante el “Importador”) con domicilio en Bangalore, India.
De los términos del acuerdo surge que la transferencia internacional sería con el único propósito de brindar servicio de tratamiento de datos por parte del Importador [“Servicios de Desarrollo y Mejora del Producto de Software (Desarrollo de la aplicación)”], consistente en la utilización por parte del Exportador de un Centro de Desarrollo Offshore localizado en India, a fin de efectuar el tratamiento de datos de Clientes, Empleados y Socios, que precisan en forma detallada en Apéndice 1, sin que incluya al día de la fecha datos sensibles.
Cabe agregar a lo expuesto, y en lo que resulta relevante para el presente análisis, los siguientes términos del contrato: a) Definen términos en concordancia con las definiciones dadas por la Ley Nº 25.326, en la que consideran como ley aplicable la ley la del Estado donde se encuentra establecido el Exportador de Datos (cláusula 1); b) Designan a los titulares de los datos como terceros beneficiarios de las cláusulas del contrato que regulan los derechos del titular del dato (cláusula 3); c) Las partes “no se oponen a que un titular de datos sea representado por una asociación u otro cuerpo legal si es la voluntad expresa del titular de los datos y/o la legislación nacional lo permite” (cláusula 3 punto 4); d) En cuanto a los daños derivado del cumplimiento del presente contrato de transferencia internacional y prestación de servicios, se pacta que el titular del dato podrá reclamar al exportador por cualquier daño que surja con motivo del contrato, y en caso de impedimento a reclamar la compensación del exportador podrá reclamar al Importador en aquello que le resulte imputable, y en caso de imposibilidad de reclamar al importador podrá reclamar al usuario contratado en lo que le resulte imputable (cláusula 6); e) El importador de datos acepta que el titular del dato someta cualquier disputa a mediación o a los tribunales del Exportador, sin que ello implique la renuncia de las partes a sus derechos sustantivos o procesales de plantear recursos de conformidad con las disposiciones de la legislación nacional o internacional (cláusula 7); f) Las partes acuerdan que la “autoridad de supervisión tiene derecho a llevar a cabo una inspección del importador de dato, y de cualquier usuario contratado, con el mismo alcance y sujeto a las mismas condiciones que serían aplicables a una inspección al exportador de datos en virtud de la legislación aplicable sobre protección de datos” (cláusula 8); g) “Las provisiones del presente contrato y los documentos en virtud de él celebrados se regirán e interpretarán de conformidad con las leyes de la República Argentina especialmente la Ley 25.326 y su reglamentaciones. Cualquier litigio se resolverá ante los Tribunales Comerciales de la Ciudad de Buenos Aires” (cláusula 9); h) En caso de finalización del contrato, el Importador de Datos devolverá los datos y sus copias, o destruirá los mismos, probando tal circunstancia, salvo que la legislación del importador lo impida, en cuyo caso se asegurará su confidencialidad y compromiso de no tratamiento activo posterior (cláusula 12).
Se prevé la subcontratación de servicios por terceros en caso de contar con consentimiento previo por escrito del exportador de datos, y sólo podrá realizarse mediante contrato por escrito que imponga al subcontratado las mismas obligaciones del importador de datos (cláusula 11).
El exportador de datos acuerda y garantiza (cláusula 4): a) que el tratamiento y la transferencia de datos será y continuará siendo llevada a cabo de acuerdo con la legislación de protección de datos aplicable; b) que ha dado instrucciones al Importador de Datos para que dé tratamiento a los datos transferidos sólo de acuerdo con la ley de protección de datos aplicable y este contrato; c) que el importador de datos tomará medidas de seguridad adecuadas (Apéndice 2); d) que pondrá a disposición de los titulares de los datos una copia de este acuerdo en lo que resulte pertinente; e) que en caso de subcontratación de servicios con terceros el exportador garantiza que los datos recibirán el mismo nivel de protección que el importador de dato.
El importador de datos acuerda y garantiza (cláusula 5): a) que procesará los datos personales exclusivamente de parte del exportador de datos y en cumplimiento de sus instrucciones y cláusulas contractuales. En caso de imposibilidad de cumplimiento se obliga a notificar tal circunstancia al exportador de datos a fin de que éste decida suspender el contrato o finalizarlo; b) que no tiene razones para creer que la legislación que le es aplicable impida el cumplimiento de lo pactado en el contrato, y que en caso de tomar conocimiento de su afectación notificará de tal circunstancia al Exportador de Datos para que suspenda o finalice el contrato; c) que ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de procesar los datos transferidos; d) que informará al exportador de datos sobre: (i) todo pedido vinculante de revelación de los datos personales efectuado por autoridad con fuerza legal, (ii) todo acceso accidental no autorizado; (iii) todo pedido recibido directamente de los titulares de los datos sin responder a ese pedido salvo que estuviere autorizado; e) que dará pronta respuesta a los pedidos de información que le formule el exportador de datos y acatar el asesoramiento de la autoridad de supervisión; f) que permitirá la inspección de sus instalaciones de tratamiento de datos con respeto a las actividades de tratamiento previstas; g) que proporcionará al titular del dato copia de las cláusulas o
contrato que exista con subcontratistas; h) que en caso de subcontratación de servicios con terceros deberá informar previamente al exportador de datos y su consentimiento previo por escrito, remitiéndole copia del contrato celebrado; i) que denunciará la ubicación física de almacenamiento de los datos personales dando acceso libre al responsable, pudiendo actualizar, rectificar o suprimir los datos personales (cfr. art. 16 de la ley 25.326), y asegurando el derecho de acceso del titular de los datos; j) que manifiesta que los requerimientos obligatorios de la legislación nacional aplicable no son contradictorios con las cláusulas contractuales previstas (o sea, constituyen una medida necesaria para salvaguardar la seguridad nacional, defensa y seguridad pública, la prevención, investigación, detección y procesamiento de delitos o de violaciones a la ética en las profesiones reguladas, un importante interés económico o financiero del Estado o la protección del titular de los datos o los derechos y libertades de otros).
-II-
ANÁLISIS DE LA SOLICITUD
Esta Dirección resulta competente para atender la presente solicitud, conforme surge de las facultades otorgadas en el art. 29 de la Ley Nº 25.326 (“a) Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente y de los medios legales de que disponen para la defensa de los derechos que ésta garantiza; b) Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley”) y el art. 29 del Anexo I del Decreto Nº 1558/01
(a) dictar normas administrativas y de procedimiento relativas a los trámites registrales y demás funciones a su cargo, y las normas y procedimientos técnicos relativos al tratamiento y condiciones de seguridad de los archivos, registros y bases o bancos de datos públicos y privados...e) diseñar los instrumentos adecuados para la mejor protección de los datos personales de los ciudadanos y el mejor cumplimiento de la legislación de aplicación”).
En uso de dichas facultades y de conformidad a lo previsto en la Disposición 3/2005 (“Certificado C.01” de Aprobación de Transferencia Internacional), corresponde analizar la solicitud de la referencia y determinar si el contrato de transferencia internacional adjunto cumple con los requisitos de la Ley Nº 25.326 y su Decreto Reglamentario Nº 1558/2001.
El art. 12 xx Xxx Nº 25.326 y art. 12 del Anexo I del Decreto reglamentario Nº 1558/2001 disponen que cuando se pretenda realizar una transferencia internacional que tenga como destino un país u organismo internacional que no proporcionen niveles de protección adecuados (salvo que configure una de las excepciones del art. 12 inc. 2 de la Ley Nº 25.326 o cuente con el consentimiento del titular del dato) a los fines de determinar la legitimidad de la transferencia se deberá evaluar la existencia de una protección adecuada “atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración de tratamiento o de los tratamientos previstos, el lugar de destino final, las normas de derecho, generales o sectoriales, vigentes en el país de que se trate, así como las normas profesionales, códigos de conducta y las medidas de seguridad en vigor en dichos lugares, o que resulten aplicables a los organismos internacionales o supranacionales. Se entiende que un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente, o de sistemas de autorregulación, x xxx xxxxxx que establezcan las cláusulas contractuales que prevean la protección de datos personales”.
Para el caso bajo análisis, cabe presumirse que la República de la India no posee legislación de protección de datos personales en los términos de la Ley Nº 25.326. Tampoco surge en esta consulta la existencia de autorregulación.
Por tales motivos, la licitud de la transferencia internacional pretendida dependerá xxx xxxxxx que establezcan las cláusulas contractuales entre el exportador y el importador.
También corresponde tener presente a los fines de la presente evaluación, que la transferencia internacional y el tratamiento de datos previsto, se enmarca dentro del desarrollo de las actividades de prestación de servicios de tratamiento de datos personales.
Dentro de dicho marco es que corresponde entonces analizar las cláusulas contractuales que las partes pactan para esta eventual transferencia internacional (cfr. art. 12 Ley Nº 25.326).
Se desprende de la Ley Nº 25.326, siguiendo los criterios de su art. 12 y del Decreto Nº 1558/01, como también la práctica del derecho comparado sobre transferencia internacional de datos personales (Directiva 95/46CE) en lo que resulta compatible con nuestro derecho, las condiciones básicas que han de preverse al momento de realizar una transferencia internacional de datos personales a un país u organismo internacional que no proporcione niveles de protección adecuados.
En tal sentido, conforme en forma similar esta Dirección Nacional ha sostenido en dictámenes anteriores, para la aprobación del contrato de transferencia internacional corresponde confrontar las condiciones del presente contrato con las condiciones básicas que a juicio de esta Dirección Nacional de Protección de Datos Personales resultan exigibles para transferencias internacionales de esta naturaleza relativa a la prestación de servicios por terceros, conforme pasamos a enumerar: a) Se debe identificar al exportador y al importador de los datos, indicando donde se ubicará el banco de datos (jurisdicción); b) Defina la Ley Nº 25.326 como la ley aplicable tanto al contrato de servicios como al tratamiento de datos contratado; c) El compromiso de las partes que el servicio de tratamiento de datos se realizará en un total de acuerdo con los principios y disposiciones de la Ley Nº 25.326, el Decreto 1558/2001 y normas reglamentarias; d) Las partes determinen la naturaleza y categorías de datos personales que se transferirán; e) Se precise la finalidad a la que serán destinados dichos datos; f) El compromiso del importador que destinará los datos exclusivamente al tratamiento requerido por el exportador y sin apartarse de sus instrucciones; g) El compromiso por parte de importador que no divulgará ni transferirá los datos personales a terceros con excepción que: i) sea previsto de manera específica en este Contrato por resultar necesario para la prestación de los servicios de tratamiento, en iguales condiciones de seguridad y confidencialidad, en cuyo caso estos datos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, y una vez concluida la prestación contractual deberán destruir los datos personales tratados, salvo que medie autorización expresa de las Partes cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrán almacenar con las debidas condiciones de seguridad por un plazo de hasta 2 años; ii) la cesión sea requerida por una ley aplicable o autoridad competente, en la medida que no excedan lo necesario en una sociedad democrática, es decir, cuando constituyan una medida
necesaria para la salvaguardia de la seguridad del Estado, la defensa, la seguridad pública, la prevención, la investigación, la detección y la represión de infracciones penales o administrativas, o la protección del titular del dato o de los derechos y libertades de otras personas, en cuyo caso deberán notificar de manera inmediata y por escrito al exportador para que evalúe si dicha transferencia afecta las disposiciones de protecciones de datos personales locales y en consecuencia afecta la continuidad del contrato; h) El compromiso del importador de cumplir con todo aquello que le requiera el órgano de control (Dirección Nacional de Protección de Datos Personales), colaborando con auditorias y/o requerimientos que le formule, como asimismo ser pasible de sumarios y sanciones; i) Prever el ejercicio, por parte del titular de los datos, de los derechos de acceso, rectificación, supresión y demás derechos contenidos en el Capítulo III, arts. 13 a 20 de la ley 25.326, respetando los plazos xx xxx y disponiendo los medios para tal fin; j) Disponer para con los datos personales objeto de transferencia, las medidas de seguridad y confidencialidad necesarias, verificando que no sean inferiores a las dispuestas por la normativa vigente (Disposición DNPDP Nº 11/2006); k) El compromiso del exportador e importador de responder frente a los titulares de los datos por los daños que eventualmente se produzcan con motivo del tratamiento de los datos personales y les resulte imputable según la normativa vigente; l) La declaración de las partes de haber verificado que la legislación local del importador no impide el cumplimiento de las obligaciones convenidas en el contrato de transferencia, en particular las relativas al tratamiento de los datos personales; m) La obligación de destruir, y en su caso reintegrar al exportador, los datos personales objeto de la transferencia cuando finalice el contrato, salvo que medie autorización expresa de las Partes cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrán almacenar con las debidas condiciones de seguridad por un plazo de hasta 2 años; n) Se aplicará la jurisdicción de los Tribunales argentinos por cualquier cuestión relativa al tratamiento de datos personales, sea que se suscite entre las partes o por reclamos de terceros o el titular del dato.
Del análisis de los términos del contrato conforme fuera descripto en el punto “I. Antecedentes”, y su confronte con las condiciones básicas recién transcriptas, cabe
concluir que no surgen observaciones que formular, dado que el contrato bajo análisis incorpora adecuadamente los requisitos arriba enumerados.
Por tales motivos, y teniendo en cuenta lo dispuesto por el art. 12 de la Ley Nº
25.326 y su reglamentación mediante Decreto 1558/2001, esta Dirección Nacional de Protección de Datos Personales entiende que el contrato de transferencia internacional sometido a revisión cumple de manera razonable los requisitos básicos exigibles a la transferencia internacional prevista.
Se ha verificado que el Exportador se encuentra inscripto en el Registro Nacional de Bases de Datos.
-III- CONCLUSIÓN
Por los motivos expuestos, en lo que hace a la materia de competencia específica de esta Dirección Nacional, se concluye que el proyecto de Contrato de Transferencia Internacional adjunto, cumple adecuadamente con los requisitos de legitimidad exigibles.
Lo saluda muy atentamente,
Xx. Xxxx Xxxxxxx XXXXXXXX DIRECTOR NACIONAL DE PROTECCIÓN DE DATOS PERSONALES