Nosotros
  Publicaciones

Tratamiento Informatizado de Datos Personales

22/08/2013 - Por Frene, Lisandro

El tratamiento de datos personales por cuenta de terceros cumple un rol decisivo en la provisión de bienes y servicios informáticos; y, con el advenimiento de la ‘computación en la nube’ (‘cloudcomputing’) en casi todas las transacciones concluidas por medios informáticos. Desde la perspectiva jurídica, ello requiere inevitablemente un análisis de tales actividades bajo la Ley 25.326 de Protección de Datos Personales (“LPDP”), máxime considerando el carácter “de orden público” de la misma .



TRATAMIENTO INFORMATIZADO DE DATOS PERSONALES
Publicado en Rev. LA LEY del 22/08/2013

1. INTRODUCCIÓN
El tratamiento de datos personales por cuenta de terceros cumple un rol decisivo en la provisión de bienes y servicios informáticos; y, con el advenimiento de la ‘computación en la nube’ (‘cloudcomputing’) en casi todas las transacciones concluidas por medios informáticos. Desde la perspectiva jurídica, ello requiere inevitablemente un análisis de tales actividades bajo la Ley 25.326 de Protección de Datos Personales (“LPDP”), máxime considerando el carácter “de orden público” de la misma .
Con la sanción de la LPDP, Argentina fue el primer país de América en regular la protección de datos personales. Desde entonces, la Dirección Nacional de Protección de Datos Personales (“DNPDP”) ha dictado casi cuarenta Disposiciones que reglamentan dicha norma, sin que ninguna de ella regule el tratamiento de datos personales por cuenta de terceros, al punto que la única referencia normativa al respecto es la contenida en el art. 25 de la LPDP .
A continuación expondremos aspectos pendientes de regulación; los criterios que viene utilizando la DNPDP en sus dictámenes para abordar algunos de tales aspectos; y la opinión de la doctrina y la nuestra al respecto.Especial hincapié haremos en el tratamiento de datos en el exterior (fuera de Argentina) en razón de la habitualidad, actualidad y sensibilidad del tema, ya que muchas empresas que prestan este tipo de servicios tienen sus domicilios y/o servidores y/o realizan el tratamiento de datos fuera de Argentina.

2. CONSENTIMIENTO DEL TITULAR DEL DATO. CESIÓN DE DATOS PERSONALES.
Uno de los principios fundamentales de la LPDP radica en la obligación de obtener el consentimiento previo, expreso e informado de los titulares de datos personales para recolectar, ceder y en general tratar datos personales.
En este sentido, salvo excepciones específicamente contempladas, la LPDP establece un doble régimen al distinguir el consentimiento exigible para la recolección y tratamiento de datos personales (art. 5) y el consentimiento necesario para practicar la cesión o transferencia de esa información a un tercero (art. 11) .
Sobre este punto corresponde aclarar que “transferir”, “transmitir” o “ceder” bases de datos no implica transferir la propiedad de las bases de datos en cuestión, sino comunicar –por cualquier medio- tales datos a un tercero .
El consentimiento antes referido es legalmente obligatorio incluso cuando exista transferencia de datos entre sociedades relacionadas. Salvo opiniones minoritarias en contrario , las sociedades de un mismo grupo económico son personas jurídicas distintas, por lo cual se requiere –como en cualquier otro caso- el consentimiento de los titulares de los datos para que las mismas se intercambien bases de datos .

3. EXCEPCIÓN AL CONSENTIMIENTO: TRATAMIENTO DE DATOS PERSONALES POR CUENTA DE TERCEROS.
Una de las excepciones a la necesidad de obtener el consentimiento del titular del datos sucede cuando quien legalmente ostenta tales datos transfiere transitoriamente los mismos a un tercero (contratista) para que éste último le brinde servicios informatizados de tratamiento de datos personales (‘outsourcing’).
Esta excepción al requisito del consentimiento previo del titular del dato, reconocida por gran parte de la doctrina –nacional e internacional- e incluso por numerosos dictámenes de la DNPDP , carece de acogida legal específica en Argentina. Consideramos que una simple disposición de la DNPDP reglamentaria del art. 25 de la LPDP convalidando esta tesitura brindaría seguridad jurídica y plasmaría normativamente el criterio que desde hace años sostiene este organismo al respecto.
En los casos de prestación informatizados de datos personales por cuenta de terceros antes mencionados, la LPDP dispone que el tercero proveedor de tales servicios deberá:
(a) abstenerse de aplicar o utilizarse los datos con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación.
(b) destruir los datos personales una vez cumplida la prestación contractual ,
(c) cumplir con las medidas de seguridad y confidencialidad establecidas en la LPDP
Todo ello deberá constar en un contrato escrito entre el responsable del banco de datos personales y el contratista proveedor de los servicios de tratamiento de datos antes referido .
En caso de que el prestador del servicio domiciliado fuera de Argentina y/o con servidores fuera de Argentina, se requerirá un contrato escrito de transferencia internacional de datos con mayores exigencias y especificaciones, a las que nos referiremos más adelante. El principal motivo para ello es que el prestador del servicio en cuestión (‘importador’ de los datos ‘exportados’ desde Argentina), acepte obligarse a cumplir con la LPDP, en razón del carácter “de orden público” de la misma .
4. TRATAMIENTO INTERNACIONAL y LEY APLICABLE.
Cuando el prestador de los servicios de tratamiento de datos personales se encuentra en Argentina (y los datos son tratados en Argentina), resulta claro que deben aplicarse los principios descriptos en el punto 3 antedicho, siendo la LPDP la ley aplicable.
Cuando el servicio de tratamiento de datos encargado por un tercero es brindado fuera de Argentina, cabe distinguir dos supuestos, según sea el país donde dicho tratamiento sea realizado: países que “proporcionen niveles de protección adecuados de los datos personales” y países que no. Corresponde señalar que –pese a referencias en dictámenes de la DNPDP- esta diferencia entre los niveles de protección legal de los distintos países no se encuentra prevista en norma alguna , como sí lo ha previsto la Unión Europea respecto de la normativa Argentina en la materia . Unadisposición de la DNPDP reglamentaria del art. 12 de la LPDP indicando el listado de países que proporcionan un “nivel adecuado de protección de datos personales” contribuiría significativamente.
En el primero de los supuestos antes mencionados –proveedores que realicen el servicio de tratamientos de datos en países que SI proporcionen niveles de protección adecuados, como por ej, la UE- el cliente y el proveedor de los servicios deberán suscribir el contrato con los principios básicos mencionados en el punto 3 precedente, pero serán libres de pactar la ley del país del proveedor de los servicios como ley aplicable entre las partes. Ello es así porque se considera que dicha ley extranjera tutela los datos personales igual o mejor que la LPDP. Sin perjuicio de ello, frente al titular de los datos personales y/u otros terceros, ambas partes deberán cumplir con los recaudos de la LPDP.
En el segundo supuesto -cuando para la prestación de servicios informatizados de tratamiento se transfieran internacionalmente datos personales a países que “NO proporcionen niveles de protección adecuados de los mismos”, como por ejemplo EE.UU.-, el contrato de prestación de servicios de tratamiento debe prever una serie de requisitos que (a falta de protección legal en el país de destino) otorguen protección contractual de los datos de acuerdo a los estándares de la LPDP.
Entre los varios requisitos cabe destacar como los más importantes –además de los indicados en el punto 3 de este memorandum- que ambas partes deben obligarse en el contrato a cumplir las disposiciones de la LPDP, pactar la LPDP como ley aplicable al mismo (tanto entre sí como frente a los titulares de los datos y/u otros terceros) y la jurisdicción de tribunales argentinos por cualquier cuestión relativa a los datos personales contenidos objeto del contrato, se indique la finalidad del tratamiento de datos, y se contemple el compromiso de ambas partes de responder frente a eventuales reclamos de los titulares de los datos por todo eventual incumplimiento del contrato .
En la medida en que se cumplan estos recaudos, para la prestación de este tipo de servicios –aún cuando para la prestación de los mismos se realice una transferencia internacional de datos- no se requiere el consentimiento del titular de los datos . Así lo ha entendido también la DNPDP en numerosos dictámenes en los que se ha sometido a su aprobación el texto de los contratos de transferencia internacional con el propósito específico de prestar servicios de tratamiento de datos en el exterior .

5. RESPONSABILIDAD DE LAS PARTES POR EL TRATAMIENTO DE DATOS.
El alcance de la responsabilidad del encargado del servicio de tratamiento de datos es uno de los aspectos más álgidos, discutidos y –por su falta de regulación específica- que mayor inseguridad jurídica genera.
Existe criterio mayoritario en cuanto a que, frente a terceros, en cualquiera de los supuestos antes referidos el prestador de los servicios de tratamiento de datos debe cumplir con lo dispuesto por la LPDP para dicho tipo de servicios.
Ahora bien: ¿debe considerarse al prestador de servicios de tratamiento de datos solidariamente responsable junto con el cliente que encomienda tales servicios por el cumplimiento de todas las obligaciones que la LPDP impone a este último? El punto se encuentra discutido, toda vez que la LPDP nada explicita al respecto.
Un sector de la doctrina se inclina por la afirmativa –solidaridad del cliente y prestador- alegando que la prestación de este tipo de servicios supone una especie de cesión de datos personales .
Concordantemente la doctrina citada a continuación, adelanto mi opinión contraria a este criterio, ya que ello llevaría al absurdo de que los prestadores de servicio –aún sin incumplir sus obligaciones contractuales de tratamiento- resulten responsables por cualquier infracción a la LPDP de los clientes que les encomendaron tales servicios.
Otros autores alegan que, lejos de ser solidariamente responsables, el cliente (responsable del banco de datos) y el prestador tienen responsabilidades bien distintas bajo la LPDP. Argumentan a favor de ello que la LPDP no considera a la prestación de servicios de tratamiento de datos como un supuesto de cesión de datos, toda vez las consecuencias de esta última no se han previsto en la LPDP para cuando el responsable encarga a un tercero el tratamiento de los datos incluidos en sus archivos, registros, bases o bancos de datos . Bajo este criterio, si el encargado del tratamiento se aparta de las instrucciones impartidas por el cliente (responsable del banco de datos), o viola las prohibiciones incluidas en el contrato de servicios, responderá por su incumplimiento. Por el contrario, si el resultado de las actuaciones del prestador del servicio se ajustan a las instrucciones impartidas por el cliente en el contrato, cualquier infracción a la LPDP que no sea directamente atribuible al encargado del tratamiento debería imputársele a aquél .

6. SUBCONTRATACIÓN.
Es una práctica habitual que los encargados de tratamiento de datos recurran a subcontratistas para brindar sus servicios, ya que –especialmente en los grandes proyectos- es difícil que un mismo proveedor cuente con todos los recursos para brindar por sí solo el servicio de tratamiento en cuestión. Esta ‘tercerización’ requiere que el encargado del tratamiento (a quien le fueron transferidos datos personales para tal fin) ceda a su vez tales datos al sub-contratista.
Ahora bien: ¿Es legalmente válida este tipo de subcontratación bajo la LPDP? El único artículo de la norma referido a la prestación de servicios de tratamiento, dispone que el prestador de tales servicios no puede “cederlos a otras personas, ni aun para su conservación.”
En línea con el criterio sostenido por la DNPDP en las inspecciones que regularmente realiza, entendemos que la subcontratación es legalmente viable en la medida en que (i) haya sido expresamente autorizada en el contrato de prestación de servicios de tratamiento de datos; y (ii) el subcontratista suscriba con el encargado del tratamiento originario el contrato de locación de servicios correspondientes, obligándose en los mismo términos que este último a cumplir con la LPDP, de acuerdo a lo señalado en el Capítulo 3 del presente.

7. RESUMEN
El tratamiento informatizado de datos personales por cuenta de terceros es un servicio en plena expansión que adolece de importantes lagunas jurídicas en Argentina. Los aspectos indicados en los subtítulos de este artículo surgen mayormente de simples dictámenes de la DNPDP y/o interpretaciones doctrinarias de la LPDP. La regulación formal de los mismos mediante un decreto reglamentario de la LPDP en esta materia, o cuanto menos mediante disposiciones de la DNPDP –al igual que dicho organismo hizo con otros aspectos de la LPDP- otorgaría mayor seguridad a esta actividad.
________________________________________________________

Socio del Estudio Richards, Cardinal, Tutzer, Zabala & Zaefferer SC
Ello conforme art. 44 de la LPDP y numerosos dictámenes de la DNPDP al respecto. Ver infra capítulo __ del presente.
Tanús considera al respecto que “La individualidad de la figura del encargado del tratamiento surge al compararlo con los restantes sujetos contemplados por la legislación. No es "responsable del archivo, registro, base o banco de datos" porque no es su titular; no es "usuario de datos" porque no realiza a su arbitrio el tratamiento de datos, no es "cesionario" porque la relación que lo vincula con el responsable del archivo, registro, base o banco de datos es distinta de la contemplada por el art. 11 de la ley; y, obviamente, no es "titular de los datos", porque, se supone, los datos sujetos a tratamiento no se referirán a su persona…Habría sido saludable no sólo que se hubiera incluido dentro de las definiciones del art. 2 de la LPDPla figura del encargado del tratamiento, sino también que se lo hubiera tenido presente en la redacción de otros artículos que tratan cuestiones que, a nuestro juicio, le son aplicables”. Tanús, Gustavo D., “El contrato de prestación de servicios de tratamiento de datos personales (el outsourcing de datos)” SJA 28/4/2004 - JA 2004-II-1445; Lexis Nº 0003/010498 ó 0003/010506.
La LPDP en su art. 2 define al “Titular de los datos” como “Toda persona física o persona de existencia ideal con domicilio legal o delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se refiere la presente ley”.
La LPDP define al “Tratamiento de datos” como las “Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias”.
Gils Garbó, Alejandra M., “Régimen legal de las Bases de Datos y Habeas Data”, Ed. La Ley (2001), pág. 81, quien expresa que “Ambas manifestaciones –consentimiento para recolección y consentimiento par cesión- pueden ser prestadas en un solo acto si los datos se obtuvieron directamente del titular, ya que en otros casos pueden haber sido obtenidos de otras fuentes, y se requiere su consentimiento para tratarlos y cederlos a terceros
Frene, Lisandro. Rev. “La Ley” del 28 de Abril de 2006, pág. 1.
Gils Garbó considera que los requisitos para la cesión de datos personales establecidos en la LPDP resultan inaplicables “cuando sociedades de un mismo grupo económico intercambian bases de datos entre sí, en la medida en que dicho intercambio sea sólo entre tales sociedades relacionadas y para sus propias necesidades y objetivos comerciales”. Gils Garbó, Alejandra M. “Legal Regime of Database and Habeas Data”, Ed. La Ley, 2001, pag. 130.
Controlantes, controladas y vinculadas
Así lo ha entendido la DNPDP en Dictamen DNPDP 16/08 del 11/06/2008
La LPDP define al “Tratamiento de datos” como las “Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias”.
LPDP, art. 25. Además de los diversos dictámenes de la DNPDP confirmando la innecesariedad del consentimiento del titular del dato en estos casos (Dictámenes 248/05; 09/08; 16/08; y muchos otros), la doctrina entiende que “si el tercero tiene que someter a tratamiento los datos a los que accede, dicho tratamiento no requerirá el consentimiento del afectado. Dicho de otra forma, se entiende que dicho consentimiento del interesado, prestado originariamente al responsable del fichero, se extiende al tercero por la vía de la relación de prestación del servicio. Ello, por cuanto el sujeto activo del tratamiento es el propio responsable del archivo, registro, base o banco de datos por cuya cuenta actúa el encargado del tratamiento”Tanús, Gustavo D., “El contrato de prestación de servicios de tratamiento de datos personales (el outsourcing de datos)”SJA 28/4/2004 - JA 2004-II-1445; Citar Lexis Nº 0003/010498 ó 0003/010506.
“salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años” (LPDP, art. 25, inc. 2).
La Disp. DNPDP 11/06 establece las medidas de seguridad mínimas aplicables.
Dec. 1558/01, reglamentación del art. 25 de la LPDP.Entre otros motivos, dicho contrato permitiría justificar por qué el prestador tiene acceso a datos personales de terceros -titulares de los datos- sin haber obtenido el consentimiento de estos últimos.
Ello conforme art. 44 de la LPDP y numerosos dictámenes de la DNPDP al respecto. Ver infra capítulo __ del presente.
LPDP, art. 12. El Dec 1558/01 dispone que “un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente, o de sistemas de autorregulación, o del amparo que establezcan las cláusulas contractuales que prevean la protección de datos personales”.
Si bien no existen normas expresas del derecho Argentino que establezcan qué países brindan “protección adecuada de datos personales”, diversos dictámenes de la DNPDP establecen que todos los países de la UE brindan este tipo de protección. Muchos otros países (incluyendo EE. UU) no son considerados a la fecha países con “protección adecuada”.
La Decisión de la Comisión Europea C(2003) 1731 otorgó a la normativa argentina s/ datos personales la ADECUACIÓN a los estándares de protección de la UE en los términos de la Directiva N° 95/46/CE.
La aceptación de la LPDP como ley aplicable y la jurisdicción de los tribunales argentinos son, en la práctica, los requisitos más controvertidos y difíciles de aceptar para las empresas extranjeras que prestan servicios de tratamiento de datos personales a empresas argentinas,
Dictamen DNPDP 16/08 y muchos otros dictámenes en igual sentido.
La DNDPD dictaminó que “en caso de contar con un contrato de transferencia internacional adecuado, no será necesario contar con el consentimiento del titular del dato a los fines del cumplimiento de los requisitos de licitud para una transferencia internacional previstos en el art. 12 de la Ley 25.326” (Dictamen DNPDP 008/08 del 9 de Mayo de 2008.
En oportunidad de aprobar el contrato de transferencia de datos por parte de la subsidiaria argentina a su casa matriz en USA, la DNPDP manifestó “Se aclara que la presente aprobación presupone que la transferencia internacional bajo análisis tiene por objeto la prestación de servicios de tratamiento de datos por terceros (la casa matriz) según lo dispuesto por el art. 25 de la Ley 25.326. De no ser así, dado que el importado y exportado son personas jurídicas distintas, debería preverse contractualmente una cláusula que manifieste que se ha verificado el cumplimiento de los requisitos para la cesión de datos personales del art. 11 de la Ley 25.326”.
el art. 11 inc. 4 de la LPDP indica que "...el cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente, y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el titular de los datos de que se trate"
“Como el acceso del prestador del servicio no supone la revelación de datos al mismo en los términos en que la norma concibe la cesión, hay que entender que los deberes impuestos a los cesionarios no le son aplicables a quienes traten datos por cuenta de terceros….Del Peso Navarro comenta (12) que en dos consultas planteadas a la Agencia española de Protección de Datos respecto de la diferencia existente entre la prestación de servicios y la cesión de datos la entidad respondió que no se trata de un supuesto de cesión, sino de una actividad empresarial para una finalidad concreta y determinada (13), agregando que sólo si no se cumplieran los requisitos establecidos por la ley se trataría de una cesión de datos, lo que requeriría su inscripción en el registro (14).” Tanús, Gustavo D., ob. cit.
Tanús, G., ob. Cit.
LPDP, art.25, inc. 1.


VER PDF

BUSCAR PUBLICACIONES

  1. » Ver todas las publicaciones