Nivel adecuado para transferencias internacionales de datos
| Autor | Miguel Recio Gayo |
| Cargo | Doctor en Derecho. Máster en Protección de Datos, Transparencia y Acceso a la Información por la Universidad San Pablo CEU (Madrid) y máster en Derecho de la Propiedad Intelectual por The George Washington University Law School (Washington D.C.). Abogado radicado en Madrid (España). Código ORCID: 0000-0002-2282-9907. Correo electrónico:... |
| Páginas | 207-240 |
* Doctor en Derecho. Máster en Protección de Datos, Transparencia y Acceso a la Información
por la Universidad San Pablo CEU (Madrid) y máster en Derecho de la Propiedad Intelectual por
The George Washington University Law School (Washington D.C.). Abogado radicado en Madrid
(España).
Código ORCID: 0000-0002-2282-9907. Correo electrónico: miguelrecio@miguelrecio.com
https://doi.org/10.18800/derechopucp.201902.007
Nivel adecuado para transferencias
internacionales de datos
Adequate Level for International Data Transfers
MIGUEL RECIO GAYO*
Universidad CEU San Pablo (Brasil)
Resumen: Como concepto, el de nivel adecuado de protección para las
transferencias internacionales de datos sigue siendo, en cierta medida,
desconocido. En el caso de la Unión Europea, con respecto a la directiva
95/46/CE, ya derogada, su contenido ha sido concretado por el Reglamento
General de Protección de Datos (RGPD). Su origen está, en la era predigital,
en instrumentos internacionales sobre protección de datos personales. Su
desarrollo más relevante se ha producido en la Unión Europea, hasta llegar
al caso de la decisión de adecuación de Japón —la primera adoptada después
del 25 de mayo de 2018, en la que puede verse la aplicación práctica de los
elementos que se requieren conforme al RGPD—. Otros países, en particular
en América Latina, también han incluido en sus leyes sobre protección de
datos el concepto de nivel adecuado. A pesar de que el nivel adecuado es
solo uno de los instrumentos para las transferencias internacionales de datos,
las diferencias que pueden surgir, entre países o regiones, en cuanto a qué
países tienen o no un nivel adecuado de protección para la transferencia
internacional de datos, podrían dar lugar a considerar si sería aconsejable
un estándar multilateral que facilitara esta última. En cualquier caso, debe
considerarse también que el modelo de adecuación es uno de los instrumentos
para la transferencia internacional de datos, pero no el único, ya que pueden
existir otros mecanismos para aplicar protecciones adecuadas y efectivas en
materia de protección de datos.
Palabras clave: protección de datos personales, derechos fundamentales,
transferencia internacional de datos, nivel adecuado, Reglamento General de
Protección de Datos, Comisión Europea, decisión de adecuación, economía
digital
Abstract: As a concept, the adequate level of protection for international data
transfers remains to some extent unknown and, in the case of the European
Union, with regard to Directive 95/46/EC, already repealed, its content
has been specified by the General Data Protection Regulation (GDPR).
Its origin is, in the pre-digital era, in international instruments on the
protection of personal data and its most relevant development has occurred
in the European Union, until reaching the case of the adequacy decision
of Japan, which is the first adopted after 25 of May of 2018, which shows
the practical application of the elements required under the GDPR. Other
countries, particularly in Latin America, have also included the concept of
N° 83, 2019
diciembre-mayo
pp.207-240
MIGUEL RECIO GAYO
208
Derecho PUCP, N° 83, 2019 / ISSN 0251-3420 / e-ISSN: 2305-2546
adequate level in their data protection laws. Although the adequate level is
only one of the instruments for international data transfers, the differences
that may arise, between countries or regions, as to which countries have
an adequate level of protection for international data transfer could lead to
consider whether a multilateral standard that facilitates the latter is advisable.
In any case, it should also be considered that the adequacy model is one of
the instruments for the international transfer of data, but not the only one,
since there may be other mechanisms to apply adequate and effective data
protection protections.
Key words: personal data protection, fundamental rights, international data
transfer, adequate level, General Data Protection Regulation, European
Commission, adequacy decision, digital economy.
CONTENIDO: I. INTRODUCCIÓN.– II. REFERENCIAS EN INSTRUMENTOS
INTERNACIONALES AL TÉRMINO NIVEL ADECUADO PARA LA TRANSFERENCIA
INTERNACIONAL DE DATOS.– II.1. DIRECTRICES DE LA OCDE DE 1980
Y DE 2013.– II.2. CONVENIO 108 DEL CONSEJO DE EUROPA Y VERSIÓN
ACTUALIZADA.– III. SIGNIFICADO Y ALCANCE DEL NIVEL ADECUADO PARA
TRANSFERENCIAS INTERNACIONALES DE DATOS.– IV. ¿QUÉ ES EL «MODELO
DE ADECUACIÓN»?– V. ENFOQUE EUROPEO: DE LA DIRECTIVA 95/46/CE AL
RGPD.– V.1. APROXIMACIÓN GENERAL AL NIVEL ADECUADO PARA LAS
TRANSFERENCIAS INTERNACIONALES DE DATOS.– V.2. LOS ELEMENTOS
ESPECÍFICOS PARA EVALUAR LA ADECUACIÓN DEL NIVEL DE PROTECCIÓN
EN EL RGPD.– V.3. DIRECTRICES DEL COMITÉ EUROPEO DE PROTECCIÓN
DE DATOS.– V.4. LA APLICACIÓN EXTRATERRITORIAL DEL RGPD.– VI. ¿QUÉ
ES UNA DECISIÓN DE ADECUACIÓN DE LA COMISIÓN EUROPEA?– VII. LA
DECISIÓN DE ADECUACIÓN DE JAPÓN.– VIII. ENFOQUE EN AMÉRICA LATINA.–
VIII.1. LEGISLACIÓN NACIONAL.– VIII.1.1. BRASIL.– VIII.1.2. COLOMBIA.–
VIII.1.3. MÉXICO.– VIII.1.4. PERÚ.– VIII.2. ESTÁNDARES DE PROTECCIÓN
DE DATOS PERSONALES. IX. OTROS PAÍSES.– X. ¿POR QUÉ DEBERÍA
CONSIDERARSE UN ESTÁNDAR MULTILATERAL PARA FACILITAR LAS
TRANSFERENCIAS INTERNACIONALES DE DATOS?– XI. CONCLUSIONES.
I. INTRODUCCIÓN
El nivel adecuado de protección de datos para las transferencias
internacionales de datos es un concepto relevante, pero en cierta
medida desconocido. Desde la década de 1980, todavía en una
era predigital, cuando se publicaron los primeros instrumentos
internacionales en materia de protección de datos, todo ha cambiado
de manera vertiginosa. Ya en estos instrumentos se incluían referencias
a las garantías adecuadas para la transferencia internacional de datos:
en ellos se señalaba claramente que debía garantizarse el libre flujo
internacional de datos.
MIGUEL RECIO GAYO
NIVEL
ADECUADO PARA
TRANSFERENCIAS
INTERNACIONALES
DE DATOS
ADEQUATE
LEVEL FOR
INTERNATIONAL
DATA TRANSFERS
209
83
Derecho PUCP, N° 83, 2019 / ISSN 0251-3420 / e-ISSN: 2305-2546
Actualmente, cuando el mundo está interconectado gracias a Internet
y la «digitalización de todo» (Parlamento Europeo, 2016, p. 4), son
necesarias aproximaciones apropiadas que faciliten que la sociedad y
la persona se beneficien de la innovación tecnológica y que permitan
avanzar en el desarrollo de una economía digital robusta y próspera.
Al respecto, los flujos, movimientos o transferencias internacionales
de datos personales son esenciales para poder lograr dichos objetivos.
La posibilidad de utilizar servicios como la computación en la nube
(en inglés, cloud computing), el tratamiento analítico de datos masivos
(en inglés, big data analytics) o la inteligencia artificial, además de la
posibilidad de acceder a otros servicios proporcionados por proveedores
de servicios o emprendedores establecidos en otros países alrededor del
mundo, requieren de aproximaciones integrales —que consideren todos
los aspectos que se plantean— y multilaterales —que incluyan a todas
las partes—.
Una cuestión necesaria para que las transacciones —económicas o no,
públicas o privadas— sean factibles y para poder garantizar derechos
tales como la libertad de expresión o el acceso a la información pública
es que las transferencias internacionales de datos deben ser objeto de
una cooperación responsable que supere aproximaciones unilaterales
o parciales. Además, existen límites claros al adoptar medidas, ya que
el artículo XIV del Acuerdo General sobre el Comercio de Servicios
de la Organización Mundial del Comercio (OMC), partiendo de
la salvaguardia de la protección de datos personales, prevé que las
medidas que adopten los países al respecto no puedan dar lugar ni a una
discriminación arbitraria o injustificable cuando existan condiciones
similares, aunque no idénticas, ni a una restricción encubierta del
comercio de servicios.
El nivel adecuado de protección para la transferencia internacional de
datos desempeña un importante papel para lograr los objetivos de una
sociedad y una economía digitales inclusivas y prósperas. Esto implica
que resulte conveniente conocer el origen del concepto y el modo en
el que ha evolucionado —considerando, en particular, el prominente
desarrollo del concepto en el ámbito de la Unión Europea y la manera
en que otros países alrededor del mundo se han aproximado a este
concepto—.
El mosaico al que da lugar la aproximación unilateral al concepto de
nivel adecuado de protección para las transferencias internacionales de
datos lleva a plantear si resultaría conveniente un estándar multilateral
que sea resultado del consenso más amplio posible sobre este concepto.
Por último, se incluyen en el artículo las conclusiones a las que da lugar
el análisis hecho a lo largo del mismo.
Para continuar leyendo
Solicita tu prueba
COPYRIGHT Pontificia Universidad Catolica del Peru
