El pasado 13 de noviembre la Casa Blanca publicó en su web una comunicación conjunta de los presidentes de ambos países, en la cual se anuncia la creación de un marco para un posible Acuerdo sobre Comercio e Inversión Recíprocos. En dicho marco se enumeran una serie de elementos clave del futuro Acuerdo, siendo el último punto el siguiente: «Argentina se ha comprometido a facilitar el comercio digital con Estados Unidos al reconocer a Estados Unidos como una jurisdicción adecuada bajo la ley argentina para la transferencia transfronteriza de datos, incluidos los datos personales…»
Ahora bien, comprendiendo que los puntos son referencias del Acuerdo futuro, es decir que no producen efectos en el presente, creemos prudente analizar cuáles serían los pasos a seguir para reconocer a los Estados Unidos como una jurisdicción adecuada para la transferencia fronteriza de datos personales.
Dicha declaración de adecuación habilitaría la transferencia cuasi irrestricta de datos personales desde Argentina hacia Estados Unidos, en tanto que se reconoce que existe una protección equivalente a la nacional en cuanto a la seguridad de los datos (básicamente confidencialidad, integridad y disponibilidad)
En la República Argentina, la Ley de Protección de Datos Personales N° 25.326, en su artículo 12 regula las transferencias internacionales de datos personales, estableciendo como regla general su prohibición a cualquier país u organismo internacional que no proporcione niveles de protección adecuados, salvo excepciones específicas.
En esa inteligencia, Argentina ha convalidado históricamente el listado de países reconocidos por la Comisión Europea, salvo los Estado Unidos, por lo que en la actualidad no es considerado como un país con legislación adecuada.
En el caso, la evaluación de la adecuación legislativa de un país surge del Decreto N° 1558/2001, reglamentario de la Ley de Protección de Datos Personales, a saber: «El carácter adecuado del nivel de protección que ofrece un país u organismo internacional se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración de tratamiento o de los tratamientos previstos, el lugar de destino final, las normas de derecho, generales o sectoriales, vigentes en el país de que se trate, así como las normas profesionales, códigos de conducta y las medidas de seguridad en vigor en dichos lugares, o que resulten aplicables a los organismos internacionales o supranacionales.»
Así las cosas, va de suyo que la intervención de la Agencia de Acceso a la Información Pública, en tanto organismo competente para realizar el análisis y la declaración de adecuación, debería ser previa a la firma del Acuerdo, caso contrario, habría que modificar la normativa vigente en pos de aceptar un reconocimiento realizado por el Poder Ejecutivo sin el procedimiento correspondiente.
En este punto cabe aclarar que con la última opción del párrafo que antecede, se estarían vulnerando (antes de su entrada en vigencia) algunos de los principios fundamentales sobre la independencia de las autoridades de control que se encuentran vertidas en el Convenio 108+ del Consejo de Europa, aunque no en rigor, ya fue suscrito por la Argentina mediante Ley N° 27.699.
Cabe mencionar que en los Estados Unidos, si bien existieron intentos de aprobar una Ley Federal, como la American Data Privacy and Protection Act de 2022 o la American Privacy Rights Act de 2024, la legislación sobre Protección de Datos Personales no es Federal sino que se encuentra regulada por cada Estado. Siendo la California Consumer Privacy Act la pionera, en los últimos 3 años 18 estados han aprobado leyes sobre privacidad (incluyendo la actualización de la Ley de California)
Finalmente, resulta necesario mencionar que en la historia de la relación entre EEUU y la UE respecto de la transferencia de datos personales ya han caído dos acuerdos, el Safe Harbor y el Privacy Shield, invalidados por el Tribunal de Justicia de la Unión Europea a raíz de las denuncias por violaciones a la privacidad por parte de las leyes de vigilancia de los EEUU. En la actualidad existe un acuerdo llamado Data Privacy Framework, ciertamente una evolución respecto de los anteriores, especialmente con la creación del Data Protection Review Court, que si bien ya tuvo una sentencia favorable en el Tribunal General de la Unión Europea, tendrá que superar una instancia superior en el Tribunal de Justicia de la Unión Europa.
nicolaspanichelli.com 