Insights

El «encargado de tratamiento» de datos personales en el derecho argentino

1. Introducción

Junto con el “Titular del dato” y el “Responsable de la Base de datos”, el “Encargado de tratamiento” de datos -entendiéndose por tal a quien procesa datos por cuenta y orden de un tercero- constituye uno de los actores centrales en la legislación de datos personales.

por Lisandro Frene

En la actualidad, con la omnipresencia de la tecnología en las relaciones contractuales a nivel corporativo, el tratamiento de datos por cuenta de terceros está presente en prácticamente todas las transacciones que involucren prestación de servicios. La mayoría de los proveedores de servicios de una compañía probablemente deban considerarse “encargados de tratamiento”, en tanto deben procesar datos de la compañía que los contrató (“responsable de la base de datos”) y datos de terceros que la compañía la suministró a fin de que tales proveedores puedan brindar los servicios para los cuales fueron contratados. Abogados, contadores, agencias de marketing, proveedores de servicios informáticos, consultores, etc, deben, en principio, considerarse “encargados de tratamiento” de los datos provistos por sus clientes, con las implicancias legales que ello supone.

Paradójicamente, pese a lo anterior y contrariamente a los que sucede en la legislación comparada, se trata de una de las figures menos reguladas en la normativa argentina de datos personales. La Ley 25.326 de Protección de Datos Personales (“LPDP”) ni siquiera define al “encargado de datos personales” como tal; y dicho instituto tampoco está previsto en ninguna de las más de 100 regulaciones de la autoridad de aplicación de la LPDP (actualmente la Agencia de Acceso a la Información Pública, organismo dentro del cual funciona la Dirección Nacional de Protección de Datos Personales), al punto que la única referencia normativa respecto del tratamiento de datos por cuenta de terceros es la contenida en el art. 25 de la LPDP y la reglamentación del mismo por parte del Dec PEN 1558/01.

Seguidamente reseñaremos los aspectos jurídicos que consideramos más relevantes de esta actividad y/o más controversias y dudas generan en la práctica corporativa, especialmente en razón de las lagunas normativas antes mencionadas.

2. Consentimiento del Titular del Dato.

Uno de los principios fundamentales de la LPDP radica en la obligación de obtener el consentimiento previo, expreso e informado de los titulares de datos personales para recolectar, ceder, y en general, “tratar” (conforme el amplísimo alcance que la definición de la LPDP le asigna a este vocablo) datos personales. Incluso, salvo excepciones específicamente contempladas, la LPDP establece un doble régimen al distinguir el consentimiento exigible para la recolección y tratamiento de datos personales (art. 5) y el consentimiento necesario para practicar la cesión o transferencia de esa información a un tercero (art. 11). Corresponde aclarar que “transferir”, “transmitir” o “ceder” bases de datos no implica transferir la propiedad de las bases de datos en cuestión, sino comunicar -por cualquier medio- tales datos a un tercero.

Una de las excepciones a la necesidad de obtener el consentimiento del titular del dato sucede cuando quien legalmente ostenta tales datos los transfiere transitoriamente a un tercero (justamente el “encargado”) para que este último le brinde servicios informatizados de tratamiento de datos personales. Esta excepción al requisito del consentimiento previo del titular del dato, reconocida por gran parte de la doctrina e incluso por dictámenes de la autoridad de aplicación, carece de acogida legal específica en Argentina.

Una simple disposición de la autoridad de aplicación reglamentaria del art. 25 de la LPDP convalidando esta tesitura brindaría seguridad jurídica y plasmaría normativamente el criterio que desde hace años sucede en la práctica y sostiene el propio organismo al respecto.

3. Contrato entre el Responsable de la Base de Datos y el Encargado de Tratamiento.

En los casos de prestación informatizados de datos personales por cuenta de terceros antes mencionados, la LPDP dispone que el encargado proveedor de tales servicios deberá: a) abstenerse de aplicar o utilizarse los datos con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación; cumplir con las medidas de seguridad y confidencialidad establecidas en la LPDP; y destruir los datos personales una vez cumplida la prestación contractual (salvo, dispone la ley “que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años”).

Todo ello deberá constar en un contrato escrito entre el responsable del banco de datos personales y el encargado a cargo de proveer los servicios de tratamiento de datos en cuestión. El Decreto reglamentario de la LPDP establece que el contrato que vincule al encargado del tratamiento con el responsable o usuario del tratamiento “disponga, en particular: a) que el encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento; y b) que las obligaciones del artículo 9º de la Ley Nº 25.326 incumben también al encargado del tratamiento” (esto último se refiere a las medidas de seguridad y confidencialidad que adoptar tanto el responsable de la base de datos como el encargado contratado).

En la práctica, en los contratos de servicios de considerable envergadura y/o los de empresas multinacionales, suelen incluirse bastante más obligaciones a cargo del encargado proveedor, esencialmente basadas en los requerimientos del art. 28 del Reglamento General de Protección de Datos de la Unión Europea.

4. Tratamiento Internacional de Datos.

En caso de que el encargado prestador del servicio esté domiciliado fuera de Argentina y/o con servidores fuera de Argentina, la instrumentación de la contratación deberá realizarse distinguiendo si el encargado se encuentra -o no- radicado en un país que proporcione o no un nivel de protección “adecuado” en materia de datos personales, conforme el listado de la normativa Argentina en este respecto (conf. Disp AAIP 60/2016).

En el caso de encargados que provean el servicio de tratamientos de datos en países que sí proporcionen niveles de protección adecuados, como por ej., la UE- el cliente y el proveedor de los servicios deberán suscribir un contrato escrito al respecto, pero serán libres de pactar los términos del contrato de acuerdo a la ley argentina o bien a la ley del país del encargado como ley aplicable entre las partes. Ello es así, porque se considera que dicha ley extranjera tutela los datos personales igual o mejor que la LPDP. Sin perjuicio de ello, frente al titular de los datos personales y/u otros terceros, ambas partes deberán cumplir con los recaudos de la LPDP.

En el segundo supuesto -cuando para la prestación de servicios informatizados de tratamiento se transfieran internacionalmente datos personales a países que NO proporcionen niveles de protección adecuados de los mismos, como por ejemplo EE.UU. y tantos otros, el cliente argentino (responsable de la base de datos y exportador de los mismos a estos efectos) y el encargado de tratamiento (importador de datos) deberá suscribir un contrato de transferencia internacional de datos con motivo de prestación de servicios, de acuerdo con los preceptos requerido por la normativa Argentina (anexo II de la Disp. AAIP 60/2016). Esta última dispone un modelo de contrato para ello, que incluye el pacto de ley y jurisdicción argentinas para cualquier controversia entre las partes.

5. Subcontratación

Es usual que los encargados de tratamiento de datos recurran a subcontratistas para brindar sus servicios, particularmente los grandes proyectos, en los cuales suele suceder que el encargado carezca de todos los recursos para brindar por sí solo el servicio de tratamiento en cuestión. Esto genera que el encargado del tratamiento (a quien le fueron transferidos datos personales para tal fin) tercerice parte de su actividad y ceda a su vez tales datos al sub-contratista.

Se ha cuestionado la posibilidad de subcontratar del encargado. La LPDP establece en su art. 25 que el encargado de restar servicios de tratamiento de datos no puede “cederlos a otras personas, ni aun para su conservación”. Sin embargo, de acuerdo con la doctrina mayoritaria, dictámenes de la autoridad de aplicación e incluso normativa que trata el tema (i.e., Disp AAIP 60/2016 para subcontratación internacional), considero que este tipo de subcontratación es legalmente válida en la medida en que (i) haya sido expresamente autorizada por el responsable de tratamiento en el contrato de prestación de servicios de tratamiento de datos; y (ii) el subcontratista suscriba con el encargado del tratamiento originario un contrato prestación de servicios, obligándose en los mismos términos que este último a cumplir con la LPDP, de acuerdo a lo señalado en el Capítulo 3 del presente. En supuestos de subcontratación internacional, el encargado/importador de datos residente en un país sin “protección adecuada” en materia de datos personales, deberá suscribir con el subcontratista/subencargado un contrato en el que este último asuma iguales obligaciones que el importador, en lo que resulte compatible, e incluya al exportador de datos, al titular del dato y a la autoridad de control, como terceros beneficiarios, en los términos requeridos por la Disp AAIP 60/2016.

Contacto

Seguí nuestras
novedades

Suscribite a nuestro newsletter y recibí todas las noticias legales en tu bandeja de entrada