A raiz de distintas consultas sobre ¿Tengo que cumplir con GPDR en Argentina (o en otros países de Latinoamérica)?, he decidido realizar un pequeño resumen de distintas situaciones analizando la aplicabilidad o no en Argentina del Reglamento Europeo de Protección de Datos (GPDR o GDPR depende del idioma de la sigla), basadas en un Curso Intensivo de GPDR que hemos brindamos junto a Cristian Borghello y Maximiliano Macedo sobre GPDR.

La respuesta rápida a dicha pregunta sería SI, es posible que se tenga que cumplir, basado en por lo menos tres fuentes de obligaciones principales que abordaremos aquí:

1. Encontrarse dentro de algunos de los supuestos establecidos por el propio reglamento;
2. Por aplicación del Derecho Internacional Público;
3. Por aplicación de cláusulas contractuales vigentes.

1) Por aplicación de algunos de los supuestos establecidos en GPDR

En los artículos 2 y 3 de la GPDR (aquí pueden acceder a su texto oficial completo en español) se definen los criterios de aplicabilidad material y territorial de este nuevo Reglamento. En particular y para no ser tan extensos, analizaremos la posible aplicación de la norma en Argentina o en algún país de Latinoamérica a partir de la aplicación del art. 3 inc. 2 a) o b).

2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: 

a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o

b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

Del inc. 2 a) podemos rápidamente interpretar y entender que si aplicaría la obligatoriedad del cumplimiento de la norma, si la organización de nuestro país ofrece bienes o servicios a interesados (así se llama a los titulares de los derechos bajo la óptica de GPDR) están en la Unión Europea (por ejemplo residen en cualquier país de la Unión). Sobre el final aclara que será aplicable independientemente que el servicio sea pago o no -es decir que por más que el servicio sea gratuito, igual aplicaría- (¿Facebook sería gratuito?).

Alguno de los lectores podría válidamente preguntarse que implica que una empresa (organización para ser más genéricos) "ofrezca" bienes o servicios a interesados europeos, o si el hecho de tener un cliente europeo eventual sería suficiente (imaginemos un hotel en Argentina). Sobre esto, existe una buena reflexión en el considerando 23 del propio reglamento (recomiendo leerlos para aquellos que les interese el tema), en donde se afirma:

"si dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la Unión, debe determinarse si es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión. Si bien la mera accesibilidad del sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención, hay factores, como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión".

2) Por aplicación del Derecho Internacional Público

También podría ser aplicable por aplicación del Derecho Internacional Público (en adelante DIP), es decir, que en lugar donde donde se encuentre el Responsable de Datos (Argentina, Chile, Colombia, etc) sea considerada obligatoria la aplicación de este Reglamento, en virtud de acuerdos internacionales celebrados por el propio país.

Si bien el propio Reglamento GPDR incluye esta posibilidad (art. 3 inc. 3) de aplicación por DIP, la realidad es que aún no existiendo ese inciso en el precitado artículo, si el país en análisis hubiese realizado un acuerdo internacional que obliga a su cumplimiento, igualmente sería aplicable para sus ciudadanos.

El DIP básicamente está integrado por acuerdos entre Estados, como los tratados internacionales, que a su vez pueden tener diferentes denominaciones según el caso (tratados, pactos, convenios, cartas, memorándum, declaraciones conjuntas, intercambios de notas, etc.). En el ámbito multilateral, el DIP estudia de los acuerdos a los que lleguen los Estados en el marco de los organismos internacionales a que pertenezcan y, dentro de éstos, de aquellos acuerdos que se comprometen a aplicar.

Para cerrar esta opción, a la fecha en Argentina no tengo conocimiento de acuerdo de DIP alguno que implique la obligatoriedad de cumplimiento por esta vía.

3) Por aplicación de cláusulas contractuales vigentes

La tercer y última fuente de las analizadas es, es a mi criterio, una de las más probables en la práctica: la aplicación por vía contractual. ¿Que es un contrato? (imposible no acordarse de esta escena). Entre estos acuerdos entre partes, donde prima el consentimiento y la voluntariedad de aceptar obligaciones (a cambio de derechos por supuesto), es posible que nuestra organización se encuentre aceptando la obligatoriedad de normativas internacionales específicas, o incluso múltiples.

Entonces, ¿es posible que toda mi organización se encuentre obligada a cumplir con GPDR por haber firmado un contrato con un proveedor? Si, por supuesto, y la realidad es que la mayoría de los grandes proveedores de servicios del mundo de la información, hace ya tiempo que entre sus enormes contratos establecen estas obligaciones, toda vez que si en dicha relación existe transferencia de datos personales (porque por ejemplo, aquí en Argentina se revende o se utilizan servicios, y los datos personales son transferidos en algún momento a ellos), entonces será necesaria su aplicabilidad.

Para ser más claros. Estas grandes empresas, son en sus propios Estados, considerados como "Responsables" del tratamiento (ver glosario GPDR del art. 4), entonces la empresa Argentina pasaría a ser un "Encargado" del tratamiento. Si analizamos sólo el primer inciso art. 28 de GPDR veremos que afirma que:

"Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado".

Es decir, un obrar diligente (un concepto muy desarrollado en este Reglamento) de estas grandes empresas, implicaría tomar los recaudos legales pertinentes (establecer por contrato) que sus "encargados" de datos ofrezcan garantías sobre las medidas técnicas y organizativas para participar en este circuito del tratamiento de datos personales. Así las cosas, la organización de Argentina o Latinoamerica, al establecer relaciones comerciales con algunas de estas empresas, podría estar voluntariamente sometiéndose al cumplimiento del Reglamento.

Conclusiones

Como se ha visto, son distintos los escenarios donde podría ser aplicable GPDR, por lo que invito a cada interesado a revisar sus propios casos o en su caso, a consultar con algún abogado especialista en la materia sobre la situación de su empresa frente al Reglamento.

Desde el punto de vista de la Seguridad de la Información, el tema analizado tiene mucha relación con el famoso Dominio de "Compliance" donde muchas veces sólo se hace un copy paste de la legislación del lugar, sin pensar que la mayoría de las obligaciones importantes en realidad no viene por Ley, sino por compromisos contractuales. En consecuencia, y a modo de sugerencia es altamente recomendable iniciar algún proceso de auditoría sobre los contratos celebrados por la organización, revisando que contratos se encuentran vigentes (al menos de los de mayor importancia) y analizar que obligaciones contractuales ya se han firmado (o cuales se están por firmar), para saber si es posible que una empresa proveedora pueda exigirnos tal cumplimiento.

Por último, a aquellos que les preocupa la aplicación de GPDR, deben ser conscientes que si realmente cumplen la normativa vigente (que tenemos desde hace 19 años) en Argentina de Protección de Datos Personales (pero cumplir de verdad, no solamente hacer la inscripción y pensar que basta con exponer el loguito en el sitio web, sino con procesos que puedan evidenciar el respeto a los principios de tratamiento establecidos en la norma) estarán en una posición mucho más ventajosa al avanzar sobre las obligaciones que establece en sí el Reglamento.

Además, así como van las cosas, la actualización de la Ley N.º 25.326 de PDP Argentina, básicamente sigue casi en un 90% los principios establecidos de GPDR, por lo que en definitiva, avanzar sobre un plan de seguridad de la información que incluya al cumplimiento y respeto de protección de datos personales, siempre será positivo para todos, para la organización pero sobre todo, para los usuarios.

Autor: Abog. Marcelo Temperini (Especializado en Derecho Informático, Socio Director de AsegurarTe)