Con la sanción de la Ley 27.768, la República Argentina aprobó el Acuerdo sobre Comercio Electrónico del Mercosur, celebrado en la ciudad de Montevideo, República Oriental del Uruguay, el 29 de abril de 2021.
El Acuerdo, que entrará en vigor en nuestro país el 20 de noviembre de 2024, contiene varias normas referidas a la protección de los datos personales, la transferencia internacional y las comunicaciones electrónicas:
Artículo 6
Protección de los datos personales
1. Las Partes reconocen los beneficios de la protección de la información personal de los usuarios del comercio electrónico y la contribución que esto hace a la mejora de la confianza del consumidor en el comercio electrónico.
2. Las Partes deberán adoptar o mantener leyes, regulaciones o medidas administrativas para la protección de la información personal de los usuarios que participen en el comercio electrónico. A tales efectos tomarán en consideración los estándares internacionales que existen en esta materia, según lo previsto en el Artículo 2.5 (f).
3. Cada Parte deberá hacer los esfuerzos para asegurar que su marco legal doméstico para la protección de la información personal de los usuarios del comercio electrónico sea aplicado de una manera no discriminatoria.
4. Cada Parte publicará información sobre la protección de la información personal que proporciona a los usuarios del comercio electrónico, incluyendo como:
(a) los individuos pueden ejercer sus derechos de acceso, rectificación y supresión;
(a) las empresas pueden cumplir con cualquier requisito legal.
5. Las Partes deberán intercambiar información y experiencias en cuanto a su legislación de protección de la información personal.
6. Las Partes fomentarán la utilización de mecanismos de seguridad para la información personal de los usuarios, y su disociación o anonimización, en casos que dichos datos sean brindados a terceros, de acuerdo con la legislación aplicable.
7. Las Partes se comprometen a aplicar a los datos personales que reciban de otra Parte un nivel de protección adecuado mediante una norma general o regulación específica autónoma o por acuerdos mutuos, generales o específicos, o en marcos internacionales más amplios, admitiéndose para el sector privado la implementación de contratos o autorregulación.
8. Las Partes arbitrarán los medios necesarios para establecer medidas comunes para la protección de los datos personales y su libre circulación en el MERCOSUR.
Artículo 7
Transferencia transfronteriza de información por medios electrónicos
1. Las Partes reconocen que cada Parte podrá tener sus propios requisitos regulatorios sobre la transferencia de información por medios electrónicos, incluso con respecto a la protección de datos personales, según lo establecido en el Artículo 6.
2. Cada Parte permitirá la transferencia transfronteriza de información por medios electrónicos cuando esta actividad sea para la realización de la actividad comercial de una persona de una Parte. Para mayor certeza, este párrafo estará sujeto al cumplimiento de lo dispuesto en el Artículo 6.7.
3. Nada de lo dispuesto en el presente Artículo impedirá que una Parte adopte o mantenga medidas incompatibles con el párrafo 2 para alcanzar un objetivo legítimo de política pública, siempre que la medida no se aplique de forma que constituya un medio de discriminación arbitraria o injustificable, o una restricción encubierta al comercio.
4. Este Artículo no se aplica a los servicios financieros.
Transferencia transfronteriza de información por medios electrónicos
1. Las Partes reconocen que cada Parte podrá tener sus propios requisitos regulatorios sobre la transferencia de información por medios electrónicos, incluso con respecto a la protección de datos personales, según lo establecido en el Artículo 6.
2. Cada Parte permitirá la transferencia transfronteriza de información por medios electrónicos cuando esta actividad sea para la realización de la actividad comercial de una persona de una Parte. Para mayor certeza, este párrafo estará sujeto al cumplimiento de lo dispuesto en el Artículo 6.7.
3. Nada de lo dispuesto en el presente Artículo impedirá que una Parte adopte o mantenga medidas incompatibles con el párrafo 2 para alcanzar un objetivo legítimo de política pública, siempre que la medida no se aplique de forma que constituya un medio de discriminación arbitraria o injustificable, o una restricción encubierta al comercio.
4. Este Artículo no se aplica a los servicios financieros.
Artículo 8
Ubicación de las instalaciones informáticas
1. Las Partes reconocen que cada Parte podrá tener sus propios requisitos regulatorios relativos al uso de instalaciones informáticas, incluyendo los requisitos que buscan asegurar la seguridad y confidencialidad de las comunicaciones.
2. Una Parte no podrá exigir a una persona de otra Parte usar o ubicar las instalaciones informáticas en el territorio de esa Parte como condición para la realización de negocios en ese territorio.
3. Nada de lo dispuesto en el presente Artículo impedirá que una Parte adopte o mantenga medidas incompatibles con el párrafo 2 para alcanzar un objetivo legítimo de política pública, siempre que la medida no se aplique de forma que constituya un medio de discriminación arbitrario o injustificable, o una restricción encubierta al comercio.
4. Las Partes reconocen que usar o ubicar fuera de su territorio las instalaciones informáticas en las que alojen datos personales transferidos en virtud del Acuerdo, constituye una transferencia internacional, en los términos del Artículo 7.
5. Este Artículo no se aplica a los servicios financieros.
Ubicación de las instalaciones informáticas
1. Las Partes reconocen que cada Parte podrá tener sus propios requisitos regulatorios relativos al uso de instalaciones informáticas, incluyendo los requisitos que buscan asegurar la seguridad y confidencialidad de las comunicaciones.
2. Una Parte no podrá exigir a una persona de otra Parte usar o ubicar las instalaciones informáticas en el territorio de esa Parte como condición para la realización de negocios en ese territorio.
3. Nada de lo dispuesto en el presente Artículo impedirá que una Parte adopte o mantenga medidas incompatibles con el párrafo 2 para alcanzar un objetivo legítimo de política pública, siempre que la medida no se aplique de forma que constituya un medio de discriminación arbitrario o injustificable, o una restricción encubierta al comercio.
4. Las Partes reconocen que usar o ubicar fuera de su territorio las instalaciones informáticas en las que alojen datos personales transferidos en virtud del Acuerdo, constituye una transferencia internacional, en los términos del Artículo 7.
5. Este Artículo no se aplica a los servicios financieros.
Artículo 10
Comunicaciones comerciales directas no solicitadas
1. Cada Parte procurará proteger de manera efectiva a los usuarios finales contra las comunicaciones comerciales directas no solicitadas. Para ello, se aplicarán los siguientes párrafos.
2. Cada Parte procurará asegurar que las personas físicas y jurídicas no envíen comunicaciones comerciales directas no solicitadas a los consumidores que no hayan dado su consentimiento.
3. Sin perjuicio del párrafo 2, las Partes permitirán que las personas físicas y jurídicas que, conforme a las leyes y disposiciones de cada Parte, hayan recopilado los datos de contacto de un consumidor en el marco de la venta de un producto o servicio, envíen comunicaciones comerciales directas a ese consumidor sobre sus propios productos o servicios similares.
4. Cada Parte procurará asegurar que las comunicaciones comerciales directas no solicitadas sean identificables como tales, revelen claramente de parte de quién se envían y contengan la información necesaria para que los usuarios finales soliciten el cese de manera gratuita en cualquier momento.
Comunicaciones comerciales directas no solicitadas
1. Cada Parte procurará proteger de manera efectiva a los usuarios finales contra las comunicaciones comerciales directas no solicitadas. Para ello, se aplicarán los siguientes párrafos.
2. Cada Parte procurará asegurar que las personas físicas y jurídicas no envíen comunicaciones comerciales directas no solicitadas a los consumidores que no hayan dado su consentimiento.
3. Sin perjuicio del párrafo 2, las Partes permitirán que las personas físicas y jurídicas que, conforme a las leyes y disposiciones de cada Parte, hayan recopilado los datos de contacto de un consumidor en el marco de la venta de un producto o servicio, envíen comunicaciones comerciales directas a ese consumidor sobre sus propios productos o servicios similares.
4. Cada Parte procurará asegurar que las comunicaciones comerciales directas no solicitadas sean identificables como tales, revelen claramente de parte de quién se envían y contengan la información necesaria para que los usuarios finales soliciten el cese de manera gratuita en cualquier momento.