Transferencia internacional y la contratación de servicios de cloud computing fuera de Argentina

La legislación argentina mediante la Dirección Nacional de Protección de Datos Personales, como órgano de control de la ley 25.326 establece la necesidad de que los responsables de bases de datos que utilicen estos recursos de almacenamiento y tratamiento de la información, y que alojen datos de titulares argentinos en la nube en el exterior autorizados dentro de las excepciones previstas por el artículo 12 de la ley 25326  y también el decreto 1558/01 establece otras excepciones siempre con el resguardo de que en el caso de que los países donde se aloje el servidor no posean legislación adecuada, deberán redactar un contrato de transferencia  internacional de datos personales, que la dirección deberá aprobar oportunamente, hasta aquí un fiel reflejo del sistema de protección de datos español.

De los contratos descriptos se analiza la legalidad normativa adecuada, la eficacia de la autoridad de control y tutela judicial efectiva, entonces si la transferencia no está contenida en las excepciones de la ley ni se cuenta con el consentimiento del titular como prevé el decreto 1558/01 el contrato a celebrarse entre exportador e importador debe contener dentro de un marco razonable las clausulas mínimas sobre:

• Identificación de exportador e importador indicando la  jurisdicción donde se ubique el servidor que almacene y trate los datos, definiendo la ley que se aplicara para resolver lo relativo al contrato y los derechos y obligaciones de las partes que será la 25.326
• Determinación de categorías de datos personales a recopilar y tratar
• Declaración del exportador sobre el cumplimiento de las reglas de la 25326 para la transferencia
• Compromiso del importador que el tratamiento de los datos será realizado bajo las reglas de la 25.326 también en lo relativo a la defensa de los derechos de los titulares de los datos objeto de tratamiento (derechos de acceso, rectificación, bloqueo o supresión)
• Indicar expresamente la finalidad a la que se destinan los datos tratados
• Compromiso del importador para la no divulgación ni transferencia salvo por las excepciones previstas (establecido expresamente en el contrato en qué condiciones, siempre que exista responsabilidad solidaria entre importador y exportador, cesión o transferencia requerida por ley o autoridad competente o cuestiones que hagan a la defensa y seguridad de la nación).
• Establecer las medidas de seguridad para el resguardo de los datos personales que sean acordes a la disposición 11/06 de la PDP
• Obligación del exportador e importador de los datos para responder ante las solicitudes de los derechos de los titulares de los datos personales.
• Permitir el control, seguimiento, inspecciones y sanciones permitiendo a la PDP o a quien delegue que ejerza su función de órgano de control.
• Declaración de las partes de que la legislación local del importador no impide el cumplimiento de las obligaciones de protección de datos personales.
• Obligación de destruir o reintegrar al exportador los datos objeto de la transferencia ya sea por la extinción del contrato, imposibilidad del cumplimiento de ley 25.326, cumplida la finalidad por la que se transfirieron, estableciendo como jurisdicción aplicable para cualquier controversia entre partes, con respecto a terceros o peticiones del titular de los datos personales la de Argentina.

Asimismo, cabe aclarar que para los casos de prestación de servicios deben cumplirse con los requisitos del art. 25 de la Ley 25.326, es decir, que el servicio de tratamiento de datos debe realizarse según los principios de todas las normas de protección de datos personales dejando en claro que el importador destinara los datos exclusivamente al tratamiento que el exportador hubiere indicado, sin divulgar a terceros, salvo que hubiere sido previsto  en el contrato siendo necesario para dicha prestación de servicios previa conformidad del exportador, quedando obligado así el sub-prestador en iguales condiciones de confidencialidad y seguridad, no pudiendo ser utilizados con una finalidad distinta que para la que fueron recabados, no pudiendo cederlos a terceros salvo expresa autorización del titular, pudiendo almacenarse para ulteriores encargos por el lapso de 2 años respetando las condiciones de seguridad. 

Autores: 

-Natalia Pacheco, Abogada y Docente UBA especializada en Derechos Humanos, Estado y Sociedad UNTREF-ECAE. @natipach77

- Marco Villan, Periodista TEA, Lic. en Comunicación Audiovisual, Docente UADE y actualmente se encuentra cursando la Maestría en Tecnologías Informáticas y la Comunicación (TIC) en la Universidad Argentina de la Empresa.  @marcoavillan