La transferencia internacional de datos personales no es una exportación de un país a otro, sino únicamente datos originados en el espacio formado por los países de la Unión Europea, así como Liechtenstein, Islandia y Noruega, y destinados a países u organizaciones internacionalmente ubicados en el territorio de la Unión Europea.
Esta situación se presenta porque la transferencia internacional de datos personales se basa en un concepto jurídico definido por la ley, por lo que su definición y alcance se dará en la norma anterior, no siempre exactamente correspondiente. Por otro lado, existe un sentido social de lenguaje común.
En otras palabras, aunque normalmente entenderíamos, por ejemplo, que las transferencias internacionales de dinero simplemente ocurren entre dos países, por ejemplo, entre Francia y España, este no es el caso cuando se aplican las normas de protección de datos personales, por lo que las rutas de transferencia de datos entre España y Francia no se consideran internacionales, mientras que las rutas con origen en España hacia México se consideran internacionales.
Por supuesto, esta misma diferencia entre la terminología sociolingüística y la jurídica indica que la elección de la terminología de los legisladores no es del todo feliz, ya que requiere más aclaraciones de las previstas. En este contexto, puede ser más conveniente referirse a estos casos de transacciones de datos entre determinados territorios como transferencias fuera de la Comunidad.
Transferencia internacional de datos personales: marco legal
Artículo I Capítulo V del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, por el que se establece un marco jurídico para las transferencias internacionales de datos personales en lo que respecta a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la la libre circulación de dichos datos y por la que se deroga la Directiva 95/46/CE (en adelante, el Reglamento General de Protección de Datos o RGPD). En otras palabras, su régimen jurídico fundamental se rige por los artículos 44 y siguientes.
Las normas antes mencionadas establecen pautas para las transferencias fuera de la Comunidad, indicando que los datos personales pueden transferirse a un tercer país o una organización internacional solo si cumplen con otras disposiciones de la regulación y cumplen con las condiciones del RGPD. Esto significa que la transferencia de datos personales fuera de la comunidad solo es legal si cumple con los siguientes requisitos de RGPD, por lo que cualquier cosa que no cumpla con los requisitos reglamentarios es ilegal y no debería suceder.
La seriedad de este requisito se ve reforzada por dos importantes puntos adicionales introducidos en el artículo 44 del RGPD. En primer lugar, establece que su régimen normativo también se aplicará a las transferencias posteriores de datos personales desde un tercer país u organización internacional a otro tercer país u organización internacional.
Por ejemplo, el RGPD seguirá aplicándose a las transferencias de datos que se originen en la UE y tengan como destino México, pero luego continúen desde otro territorio a otro tercero, como Costa Rica. Un caso típico es una empresa europea que contrata un servicio de nube en México, y la plataforma mexicana se transfiere a una empresa que necesita datos personales para dar soporte, pero está ubicada en Costa Rica. La razón de esto contrasta con el principio de precaución ampliado, ya que no se puede eludir el sistema legal en el caso de una transferencia internacional de datos personales en curso, ya que es muy fácil eludir las normas de manera fraudulenta en tales casos.
En segundo lugar, el artículo 44 establece que el régimen jurídico que rige la transferencia de datos fuera de la Comunidad se basa en garantizar que no se comprometa el nivel de protección de las personas físicas garantizado por el propio reglamento. Es decir, confirma la finalidad del RGPD aplicable a este proceso, que es siempre la de proteger el derecho fundamental de las personas a la protección de sus datos personales, especialmente en casos concretos en los que dicha transferencia se produzca fuera de la Comunidad.
Si deseas ampliar este tema no dudes en inscribirte en el Diplomado en Derecho Digital de CEUPE.
Comentarios