Acuerdo de Protección de Datos — Encargado del Tratamiento Argentina

El Acuerdo de Protección de Datos — Encargado del Tratamiento en Argentina es un contrato escrito y vinculante que fija los derechos, obligaciones y garantías recíprocas de las partes, conforme a Ley de Protección de Datos Personales 25.326 Art. 25; Resolución AAIP 47/2018.

En el sistema de protección de datos argentino, el responsable del tratamiento es quien decide los fines y medios del tratamiento de datos personales de terceros —clientes, empleados, proveedores— y quien asume las principales obligaciones frente a los titulares de los datos y ante la AAIP. El encargado del tratamiento es quien accede a esos datos exclusivamente para prestar un servicio al responsable, siguiendo sus instrucciones y sin autonomía para decidir sobre los fines del tratamiento.

Ejemplos típicos de encargados del tratamiento en el mercado argentino son: los proveedores de infraestructura tecnológica en la nube (AWS, Google Cloud, Microsoft Azure) que alojan bases de datos de clientes; los procesadores de pago como MercadoPago, Prisma Medios de Pago o Todo Pago que acceden a datos financieros de clientes para ejecutar transacciones; los estudios contables y de liquidación de haberes que acceden a datos de empleados para preparar recibos de sueldo y declaraciones juradas ante la AFIP; y las agencias de marketing digital que gestionan bases de datos de correos electrónicos para enviar comunicaciones comerciales.

El artículo 25 de la Ley 25.326 establece que el encargado del tratamiento solo puede acceder a los datos personales para prestar el servicio contratado, quedando prohibida la utilización de los datos para fines distintos de los encomendados por el responsable. Una vez finalizado el servicio, el encargado debe destruir o devolver los datos al responsable, y la obligación de confidencialidad sobre los datos tratados subsiste después de la extinción del contrato de servicios.

La relevancia práctica de contar con un Acuerdo de Encargado del Tratamiento correctamente redactado es doble: por un lado, delimita con precisión la responsabilidad de cada parte ante la AAIP y ante los titulares de los datos; por otro, en caso de brecha de seguridad originada en el encargado, permite al responsable demostrar que adoptó las medidas adecuadas para seleccionar un proveedor con garantías suficientes, factor que la AAIP valora en la graduación de las sanciones del artículo 31 de la Ley 25.326.

El Acuerdo de Protección de Datos — Encargado del Tratamiento es obligatorio en Argentina en toda relación de prestación de servicios en la que el proveedor acceda a datos personales de terceros que pertenecen a la base de datos del cliente.

La primera situación que exige este acuerdo es la contratación de servicios tecnológicos en la nube. Cuando una empresa utiliza servidores de Amazon Web Services, Google Cloud Platform o Microsoft Azure para alojar su base de datos de clientes, el proveedor cloud accede técnicamente a datos personales y debe suscribir un acuerdo de encargado del tratamiento conforme al artículo 25 de la Ley 25.326. Los principales proveedores cloud internacionales ofrecen contratos de procesamiento de datos (Data Processing Agreements) adaptados a múltiples regulaciones, pero deben complementarse con las exigencias específicas de la normativa argentina.

La segunda situación comprende la contratación de servicios de gestión de haberes y liquidación de sueldos. Los estudios contables o las empresas especializadas en liquidación de haberes que acceden a datos de empleados (salario, horas, licencias, datos bancarios, deducciones) para preparar recibos de sueldo y formularios de la AFIP actúan como encargados del tratamiento respecto de la empresa empleadora.

La tercera situación abarca los servicios de marketing digital y gestión de bases de datos de clientes. Las agencias que administran plataformas de email marketing (Mailchimp, HubSpot, Salesforce Marketing Cloud) o que gestionan bases de contactos para campañas publicitarias segmentadas acceden a datos de clientes como encargadas del tratamiento.

La cuarta situación incluye los servicios de procesamiento de pagos. Las pasarelas de pago como MercadoPago, Mercado Crédito o las operadoras de tarjetas de crédito que procesan datos de tarjetas y datos personales de clientes para ejecutar transacciones de compra deben formalizar su relación con los comercios mediante un acuerdo que delimite el acceso y uso de esos datos.

Finalmente, toda externalización de servicios que implique que un tercero acceda a datos personales de clientes, empleados o proveedores de la empresa —call centers, servicios de cobros, estudios jurídicos, auditorías externas— requiere un acuerdo de encargado del tratamiento conforme al artículo 25 de la Ley 25.326 y la Resolución AAIP 47/2018.

Un Acuerdo de Encargado del Tratamiento de Datos completo y legalmente válido en Argentina debe contener los siguientes elementos esenciales, conforme al artículo 25 de la Ley 25.326 y la Resolución AAIP 47/2018.

Identificación de las partes: datos completos del responsable del tratamiento (razón social, CUIT, domicilio, nombre del representante legal) y del encargado del tratamiento (ídem), con indicación de la denominación de la base de datos del responsable inscripta o en proceso de inscripción ante el Registro Nacional de Bases de Datos de la AAIP.

Objeto del acuerdo y datos tratados: descripción precisa del servicio que presta el encargado y de las categorías de datos personales a los que accederá en el marco de ese servicio. El principio de minimización del artículo 4 inciso 3 de la Ley 25.326 exige que el encargado solo acceda a los datos estrictamente necesarios para la prestación del servicio contratado.

Instrucciones del responsable al encargado: el encargado actúa siempre siguiendo las instrucciones documentadas del responsable. El acuerdo debe describir el tipo de tratamiento permitido, los canales de acceso habilitados, las medidas de seguridad exigibles y los plazos de conservación. Si el encargado considera que una instrucción del responsable viola la Ley 25.326, debe informarlo al responsable antes de ejecutarla.

Medidas de seguridad conforme a la Resolución AAIP 47/2018: el acuerdo debe especificar el nivel de medidas de seguridad exigido al encargado (básico, medio o alto) conforme a la Resolución AAIP 47/2018, y las medidas técnicas concretas que el encargado se compromete a implementar: control de acceso, cifrado de comunicaciones, gestión de copias de seguridad, procedimiento de respuesta a incidentes.

Prohibición de subcontratación sin autorización: el encargado no puede transferir el acceso a los datos a un subencargado sin autorización previa y expresa del responsable. Si el acuerdo autoriza la subcontratación, debe indicar las condiciones que debe cumplir el subencargado y la responsabilidad solidaria del encargado por los incumplimientos del subencargado.

Notificación de brechas de seguridad: el encargado debe notificar al responsable cualquier incidente de seguridad que afecte los datos en el plazo máximo acordado, para que el responsable pueda cumplir su obligación de notificación ante la AAIP conforme a la Disposición AAIP 4/2019. Forms-legal.com proporciona este modelo de acuerdo como base adaptable a distintas relaciones de prestación de servicios, complementando la Política de Protección de Datos de Clientes y el Acuerdo de Plataforma Digital disponibles también en la plataforma.

Extinción del acuerdo y devolución de datos: procedimiento de devolución o destrucción segura de los datos al finalizar el contrato de servicios, con entrega de certificación de destrucción al responsable. La obligación de confidencialidad del encargado sobre los datos a los que accedió subsiste después de la extinción del acuerdo, sin límite temporal, conforme al artículo 25 de la Ley 25.326.

Para completar el Acuerdo de Encargado del Tratamiento de Datos en Argentina, siga estos pasos considerando los requisitos del artículo 25 de la Ley 25.326 y la Resolución AAIP 47/2018.

Paso 1 — Identificación del responsable del tratamiento: ingrese la razón social completa de la empresa que es titular de la base de datos de clientes, con su CUIT en formato XX-XXXXXXXX-X y domicilio legal. Identifique también a su representante legal con nombre completo y DNI o cargo institucional.

Paso 2 — Identificación del encargado del tratamiento: ingrese los datos completos del proveedor de servicios que accederá a los datos: razón social, CUIT, domicilio, representante legal. Si el encargado es una empresa extranjera, indique su país de constitución y el domicilio especial en Argentina a efectos del acuerdo.

Paso 3 — Descripción del servicio y datos tratados: describa con precisión el servicio que prestará el encargado (ej. «gestión de base de datos de correos electrónicos de clientes para envío de newsletter mensual mediante la plataforma Mailchimp») y las categorías de datos a las que accederá (ej. «nombre, apellido, correo electrónico, historial de compras»). Sea específico: el principio de minimización de la Ley 25.326 exige que el encargado solo acceda a los datos necesarios.

Paso 4 — Instrucciones de tratamiento: complete las instrucciones específicas que el encargado debe seguir: qué puede hacer con los datos (enviar campañas de email autorizado por el responsable), qué no puede hacer (usar los datos para campañas propias, ceder a terceros), y en qué sistemas puede alojarlos (servidores en países con nivel adecuado de protección según la AAIP).

Paso 5 — Medidas de seguridad: indique el nivel de medidas de seguridad aplicable conforme a la Resolución AAIP 47/2018 (básico, medio o alto) según la categoría de datos tratados. Para datos de nivel medio (financieros), el encargado debe implementar cifrado de las transmisiones mediante protocolos TLS/HTTPS.

Paso 6 — Subcontratación: indique si el encargado puede subcontratar el acceso a los datos y, en caso afirmativo, las condiciones que debe cumplir el subencargado y el procedimiento de notificación al responsable antes de la subcontratación.

Paso 7 — Fecha de firma: ingrese la fecha de celebración del acuerdo en formato DD/MM/AAAA. Este acuerdo debe firmarse antes de que el encargado comience a acceder a los datos del responsable.

El Acuerdo de Encargado del Tratamiento de Datos en Argentina debe cumplir los siguientes requisitos legales para ser válido y ejecutable.

Fundamento en el artículo 25 de la Ley 25.326: el artículo 25 de la Ley de Protección de Datos Personales N.° 25.326 establece expresamente que el acceso de un tercero a datos personales para la prestación de un servicio no genera responsabilidad del encargado cuando: (1) el responsable le haya encomendado el tratamiento mediante contrato o acuerdo específico; (2) el encargado trate los datos únicamente conforme a las instrucciones del responsable; (3) el encargado no los aplique o utilice con un fin distinto al señalado en el contrato; y (4) destruya o devuelva los datos al responsable una vez finalizado el servicio. El incumplimiento de cualquiera de estas condiciones transforma al encargado en responsable autónomo del tratamiento.

Cumplimiento de la Resolución AAIP 47/2018: el acuerdo debe incluir el compromiso del encargado de implementar las medidas de seguridad técnicas y organizativas exigidas por la Resolución AAIP 47/2018 según el nivel de sensibilidad de los datos tratados. El responsable del tratamiento tiene la obligación de verificar que el encargado seleccionado ofrezca garantías suficientes de cumplimiento de la Resolución AAIP 47/2018.

Transferencias internacionales de datos: si el encargado del tratamiento está ubicado en el exterior o utiliza servidores en el exterior, la transferencia de datos al encargado debe cumplir el artículo 12 de la Ley 25.326 y la Resolución AAIP 47/2018. Solo son válidas las transferencias a países con nivel adecuado de protección reconocido por la AAIP, o mediante las garantías exigidas (cláusulas contractuales tipo, consentimiento expreso del titular).

Firma con fecha fehaciente: el acuerdo debe firmarse antes del inicio del acceso del encargado a los datos. Se recomienda la firma por escrito con fecha y firma ológrafa de los representantes de ambas partes, o la firma digital avanzada conforme a la Ley de Firma Digital N.° 25.506 y el Decreto Reglamentario 182/2019.

Los errores más frecuentes en los Acuerdos de Encargado del Tratamiento en Argentina que generan incumplimiento o disputas entre las partes son los siguientes.

No formalizar el acuerdo antes del inicio del tratamiento: muchas empresas comienzan a compartir datos con proveedores de servicios sin haber suscripto el acuerdo de encargado del tratamiento. Cualquier acceso a datos personales previo a la formalización del acuerdo es un incumplimiento del artículo 25 de la Ley 25.326, ya que el proveedor queda en la categoría de responsable autónomo sin título legal para acceder a los datos.

Usar cláusulas genéricas de confidencialidad en lugar del acuerdo específico: incorporar una cláusula de confidencialidad en el contrato de servicios principal no es equivalente al acuerdo de encargado del tratamiento exigido por el artículo 25 de la Ley 25.326. El acuerdo de encargado debe incluir las instrucciones específicas de tratamiento, las medidas de seguridad conforme a la Resolución AAIP 47/2018 y el procedimiento de devolución o destrucción de datos al finalizar el servicio.

No regular la subcontratación: omitir una cláusula sobre subcontratación deja al responsable sin control sobre si el encargado puede transferir el acceso a los datos a un subencargado. Los proveedores cloud internacionales utilizan habitualmente subprocesadores (otros proveedores técnicos) para prestar sus servicios, y el acuerdo debe autorizar expresamente esta práctica y establecer las garantías exigibles.

No establecer el procedimiento de notificación de brechas: el acuerdo que no especifica el plazo y el procedimiento de notificación del encargado al responsable ante una brecha de seguridad deja al responsable en una posición vulnerable frente a la AAIP. La Disposición AAIP 4/2019 exige que el responsable notifique las brechas a la AAIP, y sin información oportuna del encargado, el responsable puede incumplir ese plazo.

Omitir el procedimiento de extinción del acuerdo: la política de destrucción o devolución de datos al finalizar el contrato de servicios es un requisito del artículo 25 de la Ley 25.326. Los acuerdos que no regulan este aspecto dejan datos de clientes o empleados en poder del ex-proveedor sin base legal, generando riesgo de incumplimiento ante la AAIP y de responsabilidad civil bajo el Código Civil y Comercial de la Nación.