A 20 años de la aprobación del Convenio de Budapest sobre Ciberdelincuencia al que la República Argentina se adhirió mediante Ley 27.411, el Comité de Ministros del Consejo de Europa adoptó y publicó un Segundo Protocolo Adicional para mejorar la cooperación y la divulgación de pruebas electrónicas que, entre otras cuestiones, se refiere especialmente al tratamiento de los datos personales y su debida protección.
A través de este Protocolo se pretende facilitar la
divulgación de los datos personales solicitados en el marco de investigaciones o procedimientos penales de manera rápida y eficaz, garantizando su adecuada protección.
A tal fin, el art. 14 establece lo siguiente:
1. Ámbito de aplicación
a. Salvo que se disponga otra cosa en los párrafos 1.b y c,
cada Parte procesará los datos personales que reciba en virtud del presente
Protocolo de conformidad con los párrafos 2 a 15 del presente artículo.
b. Si, en el
momento de la recepción de los datos personales en virtud del presente
Protocolo, tanto la Parte que realiza la transferencia como la Parte receptora
están mutuamente vinculadas por un acuerdo internacional que establezca un
marco global entre dichas Partes para la protección de los datos personales,
que sea aplicable a la transferencia de datos personales con fines de
prevención, detección, investigación y enjuiciamiento de infracciones penales,
y que disponga que el tratamiento de datos personales en virtud de dicho
acuerdo cumpla los requisitos de la legislación de protección de datos de las
Partes interesadas, los términos de dicho acuerdo se aplicarán, para las
medidas que entren en el ámbito de aplicación de dicho acuerdo, a los datos
personales recibidos en virtud del Protocolo en lugar de los apartados 2 a
15, a menos que las Partes interesadas acuerden otra cosa.
c. Si la Parte
que realiza la transferencia y la Parte receptora no están mutuamente
vinculadas en virtud de un acuerdo descrito en el párrafo 1.b, podrán
determinar mutuamente que la transferencia de datos personales en virtud del
presente Protocolo puede tener lugar sobre la base de otros acuerdos o arreglos
entre las Partes interesadas en lugar de los párrafos 2 a 15.
d. Cada Parte
considerará que el tratamiento de datos personales de conformidad con los
apartados 1.a y 1.b cumple los requisitos de su marco jurídico de protección de
datos personales para las transferencias internacionales de datos personales, y
no se requerirá ninguna otra autorización para la transferencia en virtud de
dicho marco jurídico. Una Parte solo podrá rechazar o impedir las
transferencias de datos a otra Parte en virtud del presente Protocolo por
razones de protección de datos en las condiciones establecidas en el párrafo 15
cuando se aplique el párrafo 1.a; o en virtud de los términos de un acuerdo o
arreglo a que se refieren los apartados 1.b o c, cuando se aplique uno de esos
apartados.
e. Nada de lo
dispuesto en el presente artículo impedirá que una Parte aplique salvaguardias
más firmes al tratamiento por sus propias autoridades de los datos personales
recibidos en virtud del presente Protocolo.
2. Finalidad y
uso
a. La Parte que haya recibido datos personales los procesará
para los fines descritos en el artículo 2. No procesará los datos personales
para un propósito incompatible, y no procesará los datos cuando esto no esté
permitido por su marco legal interno. El presente artículo no prejuzgará la
capacidad de la Parte que efieste la transferencia para imponer condiciones
adicionales de conformidad con el presente Protocolo en un caso específico, sin
embargo, dichas condiciones no incluirán condiciones genéricas de protección de
datos.
b. La Parte receptora garantizará, en virtud de su marco
jurídico interno, que los datos personales solicitados y tratados sean
pertinentes y no excesivos en relación con los fines de dicho tratamiento.
3. Calidad e integridad
Cada
Parte tomará medidas razonables para garantizar que los datos personales se
mantengan con tal exactitud e integridad y estén tan actualizados como sea
necesario y apropiado para el procesamiento legal de los datos personales,
teniendo en cuenta los fines para los que se procesan.
4. Datos
sensibles
Procesamiento
por una Parte de datos personales que revelen origen racial o étnico, opiniones
políticas o creencias religiosas o de otro tipo, o afiliación sindical; datos
genéticos; datos biométricos considerados sensibles en vista de los riesgos
involucrados; o datos personales relativos a la salud o la vida sexual; solo se
llevarán a cabo con las garantías adecuadas para protegerse contra el riesgo de
un impacto perjudicial injustificado del uso de dichos datos, en particular
contra la discriminación ilegal.
5. Períodos de retención
Cada
Parte conservará los datos personales solo durante el tiempo que sea necesario
y apropiado en vista de los fines del procesamiento de los datos de conformidad
con el párrafo 2. A fin de cumplir con esta obligación, establecerá en su marco
jurídico interno períodos de retención específicos o una revisión periódica de
la necesidad de una mayor retención de los datos.
6. Decisiones automatizadas
Las
decisiones que produzcan un efecto adverso significativo en relación con los
intereses pertinentes de la persona a la que se refieren los datos personales
no podrán basarse únicamente en el tratamiento automatizado de datos
personales, a menos que estén autorizadas por la legislación nacional y con las
garantías adecuadas que incluyan la posibilidad de obtener la intervención
humana.
7. Seguridad de los datos e incidentes de seguridad
a. Cada Parte se asegurará de que cuenta con las medidas
tecnológicas, físicas y organizativas adecuadas para la protección de los datos
personales, en particular contra la pérdida o el acceso accidental o no
autorizado, la divulgación, la alteración o la destrucción ("incidente de
seguridad").
b. Al descubrirse
un incidente de seguridad en el que exista un riesgo significativo de daño
físico o no físico a las personas o a la otra Parte, la Parte receptora
evaluará sin demora la probabilidad y la escala de los mismos y tomará sin
demora las medidas apropiadas para mitigar dicho daño. Dicha medida incluirá la
notificación a la autoridad que realiza la transferencia o, a efectos de la
sección 2 del capítulo II, a la autoridad o autoridades designadas de
conformidad con el apartado 7.c. No obstante, la notificación podrá incluir
restricciones apropiadas en cuanto a la transmisión ulterior de la
notificación; podrá retrasarse u omitirse cuando dicha notificación pueda poner
en peligro la seguridad nacional, o retrasarse cuando dicha notificación pueda
poner en peligro las medidas de protección de la seguridad pública. Dicha
acción incluirá también la notificación a la persona interesada, a menos que la
Parte haya tomado las medidas apropiadas para que ya no exista un riesgo
significativo. La notificación a la persona podrá retrasarse u omitirse en las
condiciones establecidas en el párrafo 12.a.i. La Parte notificada podrá
solicitar consultas e información adicional sobre el incidente y la respuesta
al mismo.
c. Cada Parte, en el momento de la firma del presente Protocolo
o al depositar su instrumento de ratificación, aceptación o aprobación,
comunicará al Secretario General del Consejo de Europa la autoridad o
autoridades que deban notificarse de conformidad con el párrafo 7.b a los
efectos de la sección 2 del capítulo II; la información facilitada podrá
modificarse posteriormente.
8. Mantenimiento de registros
Cada
Parte mantendrá registros o tendrá otros medios apropiados para demostrar cómo
se accede, utiliza y divulga los datos personales de un individuo en un caso
específico.
9. Compartir dentro de una Parte
a. Cuando una autoridad de una Parte proporcione datos
personales recibidos inicialmente en virtud del presente Protocolo a otra
autoridad de esa Parte, esa otra autoridad los procesará de conformidad con el
presente artículo, con sujeción a lo dispuesto en el párrafo 9.b.
b. No obstante lo dispuesto en el párrafo 9.a, una Parte que
haya formulado una reserva en virtud del Artículo 17 podrá proporcionar datos
personales que haya recibido a sus Estados constituyentes o entidades
territoriales similares, siempre que la Parte haya establecido medidas para que
las autoridades receptoras continúen protegiendo efectivamente los
datos proporcionando un nivel de protección de los datos comparable al que
ofrece este artículo.
c. En caso de indicios de aplicación indebida de este párrafo,
la Parte que realiza la transferencia podrá solicitar consultas e información
pertinente sobre dichas indicaciones.
10. Transferencia ulterior a otro Estado u organización
internacional
a.
La Parte receptora podrá transferir los datos personales a otro Estado u
organización internacional únicamente con la autorización previa de la
autoridad que realiza la transferencia o, a los efectos de la sección 2 del
capítulo II, de la autoridad o autoridades designadas de conformidad con el
apartado 10.b.
b. Cada Parte, en
el momento de la firma del presente Protocolo o al depositar su instrumento de
ratificación, aceptación o aprobación, comunicará al Secretario General del
Consejo de Europa la autoridad o autoridades para conceder autorización a los
efectos de la sección 2 del capítulo II; la información facilitada podrá
modificarse posteriormente.
11. Transparencia y aviso
a. Cada Parte proporcionará un aviso a través de la publicación
de avisos generales, o mediante un aviso personal a la persona cuyos datos
personales se hayan recopilado, con respecto a:
i. la base jurídica y la
finalidad o finalidades del tratamiento;
ii. cualquier período de retención
o revisión de conformidad con el párrafo 5, según corresponda;
iii. destinatarios o categorías de
destinatarios a los que se divulgan dichos datos; y
iv. acceso, rectificación y recurso
disponible.
b. Una Parte podrá someter cualquier requisito de notificación
personal a restricciones razonables en virtud de su marco jurídico interno de
conformidad con las condiciones establecidas en el párrafo 12.a.i.
c. Cuando el marco jurídico interno de la Parte que realiza la
transferencia exija dar aviso personal a la persona cuyos datos hayan sido
proporcionados a otra Parte, la Parte que realiza la transferencia tomará
medidas para que la otra Parte sea informada en el momento de la transferencia
con respecto a este requisito y la información de contacto apropiada. La
notificación personal no se dará si la otra Parte ha solicitado que el
suministro de los datos se mantenga confidencial, cuando se apliquen las
condiciones de restricción establecidas en el párrafo 12.a.i. Una vez que estas
restricciones ya no se apliquen y se pueda proporcionar la notificación
personal, la otra Parte tomará medidas para que la Parte que realiza la
transferencia sea informada. Si aún no ha sido informada, la Parte que
transfiere tiene derecho a presentar solicitudes a la Parte receptora, que
informará a la Parte que transfiere si mantiene la restricción.
12. Acceso y rectificación
a. Cada Parte se asegurará de que toda persona cuyos datos
personales hayan sido recibidos en virtud del presente Protocolo tenga derecho
a solicitar y obtener, de conformidad con los procesos establecidos en su marco
jurídico interno y sin demora indebida:
i. una
copia escrita o electrónica de la documentación conservada sobre esa persona
que contenga los datos personales de la persona y la información disponible que
indique la base jurídica y los fines del tratamiento, los períodos de retención
y los destinatarios o categorías de destinatarios de los datos
("acceso"), así como información sobre las opciones de reparación
disponibles; siempre que el acceso en un caso particular pueda estar sujeto a
la aplicación de restricciones proporcionadas permitidas por su marco jurídico
interno, necesarias, en el momento de la resolución, para proteger los derechos
y libertades de los demás u objetivos importantes de interés público general y
que tengan debidamente en cuenta los intereses legítimos de la persona de que
se trate;
ii.
rectificación cuando los datos personales del individuo sean inexactos o hayan
sido procesados incorrectamente; la rectificación incluirá, según proceda y
razonablemente teniendo en cuenta los motivos de la rectificación y el contexto
particular del tratamiento, la corrección, la complementación, la supresión o
la anonimización, la restricción del tratamiento o el bloqueo.
b. Si se deniega o restringe el acceso o la
rectificación, la Parte proporcionará a la persona, en forma escrita que
podrá proporcionarse
electrónicamente, sin demora indebida, una respuesta informando a esa persona de
la denegación
o restricción. Proporcionará los motivos de dicha denegación o restricción y
proporcionará información sobre las opciones de reparación disponibles.
Cualquier gasto incurrido para obtener acceso debe limitarse a lo que es
razonable y no excesivo.
13. Recursos judiciales y extrajudiciales
Cada Parte dispondrá de
recursos judiciales y no judiciales efectivos para proporcionar reparación por
las violaciones de este artículo.
14. Supervisión
Cada
Parte tendrá en su lugar una o más autoridades públicas que ejerzan, sola o
acumulativamente, funciones y poderes de supervisión independientes y efectivos
con respecto a las medidas establecidas en este artículo. Las funciones y
atribuciones de estas autoridades que actúen solas o acumulativamente incluirán
las facultades de investigación, la facultad de actuar en caso de denuncia y la
capacidad de adoptar medidas correctivas.
15. Consulta y suspensión
Una Parte podrá suspender la
transferencia de datos personales a otra Parte si tiene pruebas sustanciales de
que la otra Parte está incumpliendo sistemática o materialmente los términos de
este artículo o de que una violación material es inminente. No suspenderá las
transferencias sin previo aviso razonable, y no hasta después de que las Partes
interesadas hayan entablado un período razonable de consultas sin llegar a una
resolución. Sin embargo, una Parte podrá suspender provisionalmente las
transferencias en caso de una violación sistemática o material que represente
un riesgo significativo e inminente para la vida o la seguridad de una persona
física, o un daño sustancial a la reputación o monetaria para ella, en cuyo
caso notificará e iniciará consultas con la otra Parte inmediatamente después.
Si la consulta no ha dado lugar a una resolución, la otra Parte podrá suspender
recíprocamente las transferencias si tiene pruebas sustanciales de que la
suspensión por la Parte que suspende fue contraria a los términos de este
párrafo. La Parte que suspende levantará la suspensión tan pronto como se haya
subsanado la violación que justifique la suspensión; toda suspensión recíproca
se levantará en ese momento. Cualquier dato personal transferido antes de la
suspensión continuará siendo tratado de conformidad con este Protocolo.