las mismas pueden reproducirse en el caso de la
recolección de datos desde otro país. De ser así,
8.1 Transferencias internacionales
Las transferencias internacionales de datos
personales (en adelante TIDP) fueron una de las
principales razones que motivaron la regulación
sobre tratamiento de datos personales1. En otras
palabras, las transferencias internacionales de
datos forman parte del ¿qué? y del ¿por qué? se
quería regular y armonizar ciertas cuestiones.
Más allá de conocer la razón de regular las TIDP
resulta pertinente analizar el ¿cómo? dichas
regulaciones procuran proteger los derechos de
los titulares de los datos cuando su información
se remite a otros países.
Lo anterior es trascendente determinarlo para
poder establecer si las herramientas regulatorias
previstas para las TIDP son útiles en el caso de la
recolección internacional de datos personales
(en adelante RIDP). En otras palabras, es
importante establecer las reglas para exportar
datos de un país a otro con miras a determinar si
1
Sobre este tema consultar la siguiente obra:
REMOLINA ANGARITA, Nelson. 2015. Recolección
internacional de datos: un reto del mundo post
internet. BOE – Boletín Oficial del Estado. Madrid,
España. ISBN 978-84-340-2196-9.
Previo a lo anterior, nos parece pertinente
recalcar que las transferencias internacionales
las reglas sobre TIDP podrían ser una buena junto con la privacidad fueron los principales
práctica que se podría replicar al caso de la
2
motivos que dieron origen a la regulación sobre
RIDP. tratamiento de datos personales. Veamos.
2
La expresión “buena práctica” usualmente se refiere Transferencias internacionales de datos y
a experiencias que han producido resultados privacidad como motores de la armonización
positivos, demostrando su eficacia y utilidad en un
contexto concreto. Señala Beatriz Boza que una regulatoria sobre tratamiento de datos
buena práctica es “una actividad o proceso que ha personales
producido destacados resultados en el manejo de una
organización y que puede ser replicada en otras
organizaciones para mejorar la efectividad, eficiencia El tratamiento de datos personales se ha
e innovación de las mismas” [BOZA, Beatriz. 2004. caracterizado por su internacionalidad, gracias
Acceso a la información del Estado: marco legal y
buenas prácticas. Lima, Perú: Konrad Adenauer al carácter transfronterizo de buena parte de su
Stiftung. P 71] recolección, uso y circulación. Las TIC ha
No obstante, señala el International Bureau of
facilitado que las actividades comerciales y el
Education (IBE) de la UNESCO que definir el concepto
de “buena práctica” no es fácil, pues este concepto se tratamiento de datos tiendan a ser
aplica con varios contextos. “Se puede considerar que transnacionales. En efecto, quien utiliza una
las “buenas prácticas” corresponden a casos en los
cuales procesos y comportamientos han obtenido página electrónica en Internet puede llegar a
resultados positivos, es decir, que las “buenas personas de cualquier parte del mundo y le da a
prácticas” son comparables a las “mejores prácticas”.
Otros definen una “buena práctica” de manera más su actividad connotaciones de alcance
general, “considerándola como un enfoque que internacional. A su vez, también podría
frecuentemente es innovador, que ha sido probado y
recolectar datos de las personas que visitan su
evaluado y que tiende a tener éxito en otros
contextos. Una buena práctica es la innovación que página web.
permite mejorar el presente y por lo tanto es o puede
ser un modelo o norma para determinado sistema”.
Publicado en:
http://www.ibe.unesco.org/Spanish/AIDS/BPractices/
BPratiques_home.htmll Ultima consulta: Noviembre 5 de 2013)
 La naturaleza global, internacional
transfronteriza de buena parte de muchas
actividades como, entre otras, el comercio
electrónico realizado a través de Internet ha 3
sido un elemento determinante de la necesidad
de contar con una regulación apropiada ya que
el uso de las TIC en las actividades comerciales
cuestiona la función y la eficacia de las
instituciones de ámbito de aplicación local en el
comercio internacional y contribuyen a acelerar
el fenómeno de la globalización . 4
El comercio internacional y el comercio
electrónico requieren de la circulación
3
La naturaleza global de Internet fue destacada
mediante resolución del 24 de Octubre de 1995 de la
Federal Networking Council de los Estados Unidos, a
saber: “Entendemos por Internet un sistema global de
información que: 1) Está relacionado lógicamente por
un único espacio global de direcciones basado en el
protocolo IP o en sus extensiones; 2) Es capaz de
soportar comunicaciones usando el conjunto de
protocolos TCP/IP o sus extensiones y/o otros
protocolos compatibles con IP; 3) Proporciona, usa o
hace accesible, de manera pública o privada, servicios
de alto nivel en capas de comunicaciones y otras
infraestructuras relacionadas”.
4
Un análisis de la incidencia de las tecnologías en la
globalización puede consultarse en: GUIDDENS,
Anthony. 2003. Runaway world: How globalisation is
reshaping our lives. New York Routledge.
y internacional de datos personales5. En adición a de datos es importante para garantizar
la libre circulación de mercancías, personas y globalmente el cumplimiento del mismo y
capitales, el tráfico de datos personales entre eliminar barreras injustificadas para su
estados es un insumo importante para el circulación. Por eso se han promovido un
funcionamiento del mercado y el éxito de varios conjunto de principios generales, de
negocios. Las disparidades entre legislaciones instituciones y de reglas especiales que
nacionales sobre privacidad y tratamiento de progresivamente nutren y oxigenan las
datos personales son barreras para el desarrollo estructuras y el funcionamiento jurídico propio
de estas actividades porque impiden la de las actividades sobre los datos personales en
circulación transfronteriza de la información en los ámbitos nacional e internacional. Dicho
comento. conjunto ha inspirado y ha sido el referente para
Desde los años setenta se resaltaba la la expedición de regulaciones en varios países
necesidad de “adoptar medidas tendentes a como Colombia, tal y como lo veremos
evitar que se originen nuevas divergencias” 6
posteriormente.
sobre la privacidad y el tratamiento de datos Así pues, desde hace tiempo existe la
entre el derecho de los países europeos. Una tendencia de unificar o por lo menos de
concepción común del derecho a la protección armonizar internacionalmente la regulación
sobre tratamiento de datos personales con
5
Esto luego lo corroboraremos con lo que varias miras a evitar que las diferencias entre las
organizaciones internacionales expresan al respecto regulaciones nacionales, los modelos de
6
Cfr. Párrafo cuarto de la exposición de motivos de la
Resolución (73) 22 relativa a la protección de la protección de datos y las tradiciones jurídicas,
privacidad de las personas físicas respecto de los no se conviertan en un obstáculo7 para su uso en
bancos de datos electrónicos en el sector privado
expedida por el Comité de Ministros del Consejo de
Europa el 26 de septiembre de 1973. El texto de la 7
En efecto, en la Resolución de Estrasburgo las
Resolución puede consultarse en: AGENCIA DE Autoridades de Protección de Datos y Privacidad
PROTECCION DE DATOS, ed. 1997. El Consejo de pusieron de presente que “Las diferencias
Europa y la protección de datos personales. 1 ed. persistentes en materia de protección de datos y
Madrid, España: Agencia de Protección de Datos. Pags respeto de la privacidad en el mundo, y especialmente
31-33 la ausencia de garantías en muchos Estados,
el comercio internacional y a su vez se protejan Las respuestas normativas al tratamiento de Durante el siglo XX se inició este proceso de
adecuadamente los derechos de las personas datos personales mediante las TIC se armonización regulatoria internacional en
titulares de los datos. En línea con lo anterior, la caracterizan por tener enfoque internacional y donde los principales protagonistas han sido el
Red Iberoamericana de Protección de Datos (en ser armonizadas. Por eso, la recolección, el Consejo de Europa (en adelante CE), la
adelante RIPD) ha manifestado que el almacenamiento, el uso, la circulación y demás Organización para la Cooperación y el Desarrollo
“establecimiento de un marco armonizado de actividades sobre los datos personales han sido Económico (OCDE), la Organización de las
protección de datos a nivel global ha sido el objeto de una labor de armonización Naciones Unidas (en adelante ONU), el
principal fundamento de la adopción de los internacional regulatoria con miras a lograr un Parlamento Europeo (en adelante PE), el
distintos instrumentos internacionales consenso jurídico coherente sobre temas Consejo de la Unión Europea (en adelante CUE).
actualmente existentes en materia de protección cardinales de dicha materia. 9
En el siglo XXI se sumaron a dicha gestión el Foro
de datos. Se trata así de garantizar que el de Cooperación Económica Asia Pacífico (APEC
p. 1. Continúa la RIPD señalando que de este modo, el
desarrollo del comercio a nivel mundial resulte por sus siglas en inglés), la Red Iberoamericana
establecimiento de un marco homogéneo de
compatible con la protección de los derechos de regulación del derecho a la protección de datos, bien de Protección de Datos (en adelante RIPD) y las
las personas, especialmente en lo que se refiere mediante la adopción de instrumentos Autoridades de Protección de Datos y Privacidad
supranacionales de carácter vinculante, bien
a la protección de la información que les mediante la adopción de Leyes nacionales que (en adelante APDPr).
concierne” 8 consagren el contenido esencial de este derecho, Concepto y denominación de las
garantizará el desarrollo del comercio en la zona,
transferencias internacionales de datos
facilitando el intercambio de información entre los
perjudican los intercambios de datos personales y la La transferencia internacional tiene lugar
distintos operadores ubicados en los Estados
puesta en práctica de una protección de datos
Iberoamericanos y de éstos con terceros países, en cuando los datos efectivamente salen fuera del
efectiva y global”. Por eso, “el desarrollo de reglas
particular los Estados miembros de la Unión Europea,
internacionales que garanticen, de un modo uniforme, territorio de un país (México) e ingresan al
en condiciones que no se vean restringidas como
el respeto a la protección de datos y a la privacidad,
consecuencia del distinto nivel de protección del territorio de otro Estado (Colombia).
resulta prioritario” [AUTORIDADES DE PROTECCIÓN DE
derecho fundamental a la protección de datos de
DATOS Y PRIVACIDAD. 2008. Resolución relativa a la
carácter personal.”
Una de las primigenias preocupaciones que
urgente necesidad de proteger la privacidad en un 9
En la citada declaración de UE-EEUU sobre comercio abordaron las normas sobre tratamiento de
mundo sin fronteras, y de alcanzar una propuesta
electrónico se puntualizó que “el papel de los datos personales fueron las transferencias de
conjunta para el establecimiento de estándares
gobiernos es proporcionar un marco legal claro y
internacionales sobre privacidad y protección de
datos personales] consistente, promover un entorno competitivo en el
intelectual, la prevención del fraude, la protección del
8
Cfr. RED IBEROMERICANA DE PROTECCIÓN DE que el comercio electrónico pueda florecer y asegurar
consumidor y la seguridad nacional”.
DATOS. 2007. Directrices para la armonización de la la protección adecuada de objetivos de interés
protección de datos en la comunidad Iberoamericana. público como la intimidad, los derechos de propiedad
naturaleza transfronteriza o internacionales, la Directiva “CAPÍTULO IV Red transferencia internacional
cuales son denominadas y definidas 95/46/CE .TRANSFERENCIA DE DATOS Iberoamericana de datos.
documentos internacionales de la siguiente PERSONALES A PAÍSES de Protección de 8.1. Como regla general sólo
manera: TERCEROS. Artículo 25 Datos podrán efectuarse
Principios. (…) transferencias
Denominación y/concepto transferencia a un país internacionales de datos al
de transferencia tercero” territorio de Estados (…)”
internacional Protocolo “Artículo 2- Transferencia de Resolución de “15. Transferencias
Directrices OECD ““circulación adicional de 2001 datos personales a Madrid (2009) Internacionales
de 1980 transfronteriza de datos al Convenio 108 destinatarios no sometidos 1. Como regla general,
personales” se entenderá a la competencia de las podrán realizarse
los movimientos de datos Partes del Convenio. transferencias
personales a través de 1. (…) transferencia de internacionales de datos de
fronteras nacionales”. datos personales a un carácter personal cuando el
(Literal –c- del numeral 1) destinatario sometido a la Estado al que se transfieran
Convenio 108 de “Artículo 12. Flujos competencia de un Estado u dichos datos (…)“
1981 transfronterizos de datos de organización que no es Propuesta de Capítulo V. Transferencia de
carácter personal (…) Parte del Convenio” Reglamento datos personales a terceros
transmisiones a través de Marco de “Responsabilidad. (…) general de países u organizaciones
las fronteras nacionales, por Privacidad APEC Cuando la información protección de internacionales”
cualquier medio que fuere, (2004) personal vaya a ser datos del
de datos de carácter transferida a otra persona u Parlamento
personal” organización, nacional o Europeo y del
Resolución 45/95 “9. Flujo de datos a través internacional (…)” Consejo (2012)
de la ONU (1990) de las fronteras: (…) flujo de (Accountability, numeral
datos a través de sus 26)
fronteras (…)” Directrices de la “8. Limitaciones a la
 Denominación y/concepto de transferencia
internacional en documentos internacionales.
Elaboración de Nelson Remolina Angarita ©
En los documentos internacionales
evidencia pluralidad terminológica y conceptual
sobre las transferencias internacionales. Aunque
se trata de una cuestión presente en todos ellos,
existen diversos grados de desarrollo del tema.
Veamos cronológicamente lo que se refleja en
dichos textos teniendo en cuenta las referencias
existentes en los siglos XX y XXI. Esto es
importante para tener claro a qué se refiere la
transferencia internacional de datos y poder
diferenciarla de la recolección internacional de
datos personales que estudiaremos en el
siguiente capítulo.
Durante el siglo XX la OCDE, el Parlamento y el
Consejo Europeo así como la ONU se refirieron al
tema en los siguientes términos: Inicialmente las
Directrices OCDE de 1980 las denominó
“circulación transfronteriza de
personales” para hacer referencia a “los
movimientos de datos personales a través de
fronteras nacionales”10. Desde un principio se
estableció la necesidad de traspasar
10
Cfr. Directrices OCDE de 1980, Literal –c- del numeral
1 sentencia – “se suscitaron en el marco de un proceso
fronteras territoriales como un requisito
distintivo de las TIDP. Posteriormente, el
Convenio 108 de 1981 las llamó “Flujos
se transfronterizos de datos de carácter personal”
refiriéndose a las “transmisiones a través de las
fronteras nacionales, por cualquier medio que
fuere, de datos de carácter personal” . 11
Luego en la Resolución 45/95 de la ONU (1990)
fueron denominados “Flujo de datos a través de
las fronteras”12 sin precisar definición alguna
aunque puede derivarse que dicha situación se
da cuando los datos pasan los límites
territoriales de un país. Finalmente, en
Directiva 95/46/CE se denominan “transferencia
a un país tercero”13 sin que exista una
definición14 que precise el alcance de dicha
expresión.
11
Convenio 108 de 1981, artículo 12
12
Resolución 45/95 de la ONU (1990), numeral 9
13
Directiva 95/46/CE, Capítulo IV titulado
datos “Transferencia de datos personales a países terceros”
(artículos 25 y 26)
14
Esto fue reconocido por el TJUE en el siguiente caso:
TRIBUNAL DE JUSTICIA DE LA UNION EUROPEA. 2003.
Göta hovrätt - Suecia y Bodil Lindqvist. Asunto C-
las 101/01. En dicha sentencia, el tribunal señala algunas
cuestiones sobre la publicación de datos personales
en Internet y las transferencias de datos personales a
terceros países. Estos planteamientos –dice la
En el siglo XXI nuevamente el tema es
abordado en documentos y propuestas del
Parlamento y el Consejo Europeo y la OCDE pero
ingresan en la escena otras organizaciones como
APEC, las Autoridades de Protección de Datos y
la RIPD. El primer documento de este siglo fue el
Protocolo adicional de 2001 al Convenio 108 en
penal seguido ante dicho órgano jurisdiccional contra
la Sra. Lindqvist, acusada de haber infringido la
normativa sueca relativa a la protección de datos
personales al publicar en su sitio Internet diversos
datos de carácter personal sobre varias personas que,
la como ella, colaboraban voluntariamente con una
parroquia de la Iglesia protestante de Suecia”. Estas
fueron algunas de las conclusiones del TJUE: En
primer lugar, “la conducta que consiste en hacer
referencia, en una página web, a diversas personas y
en identificarlas por su nombre o por otros medios,
como su número de teléfono o información relativa a
sus condiciones de trabajo y a sus aficiones,
constituye un «tratamiento total o parcialmente
automatizado de datos personales» en el sentido del
artículo 3, apartado 1, de la Directiva 95/46. (Apartado
27). En segundo lugar, “no existe una «transferencia a
un país tercero de datos» en el sentido del artículo 25
de la Directiva 95/46 cuando una persona que se
encuentra en un Estado miembro difunde datos
personales en una página web, almacenada por su
proveedor de servicios de alojamiento de páginas web
que tiene su domicilio en el mismo Estado o en otro
Estado miembro, de modo que dichos datos resultan
accesibles cualquier persona que se conecte a
Internet, incluidas aquéllas que se encuentren en
países terceros” (Apartado 71)
donde se regulan la “Transferencia de datos
personales a destinatarios no sometidos a la
competencia de las Partes del Convenio” para
hacer referencia a la “transferencia de datos
personales a un destinatario sometido a la
competencia de un Estado u organización que
no es Parte del Convenio” . En otras palabras,
15
fija reglas para transferir datos a países donde
dicho convenio no es jurídicamente vinculante.
Posteriormente, en el Marco de Privacidad
APEC de 2004 no se hace referencia explícita a la
transferencia internacional de datos o a una
expresión similar pero dentro del principio de
“Responsabilidad” (Accountability) se hace
alusión a la situación en que la información vaya
a ser transferida a otra persona u organización,
nacional o internacional . Luego, en las
16
Directrices de la Red Iberoamericana de
Protección de Datos (RIPD) se utiliza la expresión
“transferencia internacional de datos” 17
sin
definición alguna. En 2009, la Resolución de
Madrid incorpora la expresión “Transferencias
15
Protocolo adicional de 2001 al Convenio 108,
artículo 2
16
Marco de Privacidad APEC de 2004, numeral 26
17
Directrices de la Red Iberoamericana de Protección
de Datos, numeral 8
Internacionales”18. En la Propuesta de 2012 de
Reglamento general de protección de datos del
Parlamento Europeo y del Consejo, siguiendo lo
planteado en la Directiva 95/46/CE se les
denomina como “Transferencia de datos
personales a terceros países u organizaciones
internacionales” . Finalmente, la versión de
19
2013 de las directrices OCDE no efectuó ningún
cambio en este aspecto respecto de los
dispuesto en 1980.
En síntesis, las transferencias internacionales
de datos personales se presentan cuando un
tercero diferente del titular del dato envía esa
información desde un país hacia otro (s) país
(es). Implica, por tanto, que los datos salen del
territorio de un país. Ahora bien, las reglas sobre
transferencias internacionales buscan, entre
otros, prevenir que los datos de los ciudadanos
de un país se envíen a otro país sin niveles
adecuados de protección o paraísos
informáticos como lo señalaremos enseguida.
18
Resolución de Madrid (2009), numeral 15
19
Propuesta de Reglamento general de protección de
datos del Parlamento Europeo y del Consejo (2012),
capítulo V
Del nivel adecuado de protección de datos
personales
La expresión “nivel adecuado de protección”
surgió en Europa al establecer reglas para
transferir datos personales desde allá a terceros
países. Ser catalogado por Europa como país
con dicho grado de protección no es sencillo ni
expedito. Normalmente exige que los países
expidan regulaciones apropiadas y efectúen
cambios institucionales como ha sucedido, por
ejemplo, en el caso de Colombia. De hecho,
puede afirmarse que el artículo 25 de la Directiva
fue el detonador de la necesidad de que en
muchos países se regulara el tratamiento de
datos personales y se adoptara el enfoque
europeo para poder ser receptores de los datos
provenientes de Europa.
La razón de la importación del modelo
europeo en muchos países es muy sencilla: para
Europa el “nivel adecuado de protección” es el
que se deriva de regulaciones como la Directiva
95/46/CE, por ende, quien quiera ser catalogado
como país con “nivel adecuado” debe seguir los
principales lineamientos del modelo europeo de
protección de datos. Este fenómeno lo titula y
explica Palazzi bajo el título de la “expansión del
modelo europeo a países no europeos” citando
a autores como Colin Bennett y Joel Reidenberg
que respectivamente se han referido al “impacto
externo de la Directiva europea sobre protección
de datos” y a la “globalización de soluciones a la
privacidad” 20
En adición a tener un marco jurídico sobre el
tema, es necesario que el país interesado inicie
un trámite ante la Comisión Europea para que
21
formalmente se catalogue como un país con
“nivel adecuado”. Dicho proceso, según algunas
experiencias, se demora un poco más de dos (2)
años. De hecho, las autoridades europeas
reconocen “la escasa probabilidad que la
20
Cfr. PALAZZI, Pablo. 2002. La transmisión
internacional de datos personales y la protección de
la privacidad: Argentina, América Latina, Estados
Unidos y la Unión Europea. 1 ed. Buenos Aires,
Argentina: Ad-Hoc. P. 39-41
21
De conformidad con la página web oficial de la
Comisión Europea, la misma “órgano ejecutivo de la
UE y representa los intereses del conjunto de Europa”.
Sus principales funciones son: “fijar objetivos y
prioridades de actuación; proponer legislación al
Parlamento y el Consejo; gestionar y aplicar las
políticas de la UE y su presupuesto; velar por que se
aplique el Derecho europeo (conjuntamente con el
Tribunal de Justicia) y representar a la UE fuera de
Europa (negociando acuerdos comerciales entre la UE
y otros países, etc.).” Véase:
http://ec.europa.eu/index_es.htm y la Directiva sobre protección de datos de la UE. DG XV
http://ec.europa.eu/about/index_es.htm
Comisión adopte resoluciones de adecuación (…) obligaciones para quienes procesan la
para numerosos países a corto o incluso mediano información personal o que ejercen control
plazo” .22
sobre dicho tratamiento.
El Grupo de protección de las personas en lo El segundo, comprende, de una parte, la
que respecta al tratamiento de datos personales existencia de mecanismos y procedimientos
(también conocido como el Grupo del artículo judiciales y no judiciales que garanticen la
29) adoptó en 1997 23
y 1998 24
dos documentos efectividad de las normas, sancionen su
que fijaron las posibles formas de evaluar el incumplimiento y que otorguen a la persona
nivel de protección de terceros países. En ellos afectada un derecho de reparación frente al
se dejó sentado que un nivel de protección tratamiento indebido de su información.
adecuado depende de varios factores de Adicionalmente, se considera necesaria la
naturaleza regulatoria y de carácter existencia de una autoridad independiente que
“instrumental e institucional” (requisitos de no sólo controle, vigile y sancione a los que
procedimiento y de aplicación). El primero, poseen datos personales, sino que reciba las
groso modo, es fruto de una mezcla de derechos quejas de los ciudadanos e inicie las
en cabeza del titular de los datos y de investigaciones pertinentes con miras a que se
convierta en un garante de la protección de los
22
Cfr. Parte final del numeral 4 de los considerandos datos de los mismos.
de la Decisión 2001/497/CE.
Allí se precisó que cualquier análisis para
23
Cfr. COMISIÓN EUROPEA, Grupo de protección de las
personas en lo que respecta al tratamiento de datos establecer el nivel adecuado de protección debe
personales. 1997. Primeras orientaciones sobre la
centrarse en dos elementos básicos: El
transferencia de datos personales a países terceros:
posibles formas de evaluar la adecuación. XV contenido de las normas aplicables y los medios
D/5020/97 -ES 2 WP4. Bruselas. para garantizar la efectiva aplicación de las
24
Cfr. COMISIÓN EUROPEA, Grupo de protección de las mismas. Uno y otro elemento son cruciales
personas en lo que respecta al tratamiento de datos porque de poco sirven las normas si no se
personales. 1998. Transferencias de datos personales
a terceros países: aplicación de los artículos 25 y 26 de cumplen, por eso coincidimos con que “las
normas sobre protección de datos únicamente
D/5025/98 WP 12. Bruselas.
contribuyen a la protección de los individuos si se
aplican en la práctica” .25
Las transferencias y las remisiones de datos
en el caso mexicano
En México se diferencia la transferencia de la
remisión de datos. La primera es definida como
“la comunicación de datos personales dentro
o fuera del territorio nacional, realizada a
persona distinta del titular, del responsable o del
encargado” . La segunda –remisión- es definida
26
como “la comunicación de datos personales
entre el responsable y el encargado, dentro o
fuera del territorio mexicano”
25
Cfr. COMISIÓN EUROPEA, Grupo de protección de las
personas en lo que respecta al tratamiento de datos
personales. 1997. Primeras orientaciones sobre la
transferencia de datos personales a países terceros:
posibles formas de evaluar la adecuación. XV
D/5020/97 -ES 2 WP4. Bruselas. P 5 y COMISIÓN
EUROPEA, Grupo de protección de las personas en lo
que respecta al tratamiento de datos personales.
1998. Transferencias de datos personales a terceros
países: aplicación de los artículos 25 y 26 de la
Directiva sobre protección de datos de la UE. DG XV
D/5025/98 WP 12. Bruselas. P 5
26
Cfr. Artículo 67 del Reglamento
El capítulos V –De la transferencia de datos- de
la "Ley Federal de Protección de Datos
Personales en posesión de los Particulares"
establece lo siguiente:
En primer lugar, “cuando el responsable
pretenda transferir los datos personales a
terceros nacionales o extranjeros, distintos del
encargado, deberá comunicar a éstos el aviso de
privacidad y las finalidades a las que el titular
sujetó su tratamiento. El tratamiento de los
datos se hará conforme a lo convenido en el
aviso de privacidad, el cual contendrá una
cláusula en la que se indique si el titular acepta o
no la transferencia de sus datos, de igual
manera, el tercero receptor, asumirá las mismas
obligaciones que correspondan al responsable
que transfirió los datos” 27
Ordena el artículo 37 que “las transferencias
nacionales o internacionales de datos podrán
llevarse a cabo sin el consentimiento del titular
cuando se dé alguno de los siguientes supuestos:
I. Cuando la transferencia esté prevista en
una Ley o Tratado en los que México sea
parte;
Cfr. Artículo 36 de la Ley Federal de Protección de
27
Datos Personales en posesión de los Particulares
II. Cuando la transferencia sea necesaria
para la prevención o el diagnóstico
médico, la prestación de asistencia
sanitaria, tratamiento médico o la
gestión de servicios sanitarios;
III. Cuando la transferencia sea efectuada a
sociedades controladoras, subsidiarias
o afiliadas bajo el control común del
responsable, o a una sociedad matriz o
a cualquier sociedad del mismo grupo
del responsable que opere bajo los
mismos procesos y políticas internas;
IV. Cuando la transferencia sea necesaria
por virtud de un contrato celebrado o
por celebrar en interés del titular, por el
responsable y un tercero;
V. Cuando la transferencia sea necesaria o
legalmente exigida para la salvaguarda
de un interés público, o para la
procuración o administración de
justicia;
VI. Cuando la transferencia sea precisa
para el reconocimiento, ejercicio o
defensa de un derecho en un proceso
judicial, y
VII. Cuando la transferencia sea precisa
para el mantenimiento o cumplimiento
 de una relación jurídica entre el
responsable y el titular.”
En el reglamento de la ley federal de
protección de datos personales en posesión de
los particulares se incluyen algunas cosas
nuevas y se precisan otras.
En cuanto a las remisiones, el artículo 53 dice
que “las remisiones nacionales e internacionales
de datos personales entre un responsable y un
encargado no requerirán ser informadas al
titular ni contar con su consentimiento.
El encargado, será considerado responsable con
las obligaciones propias de éste, cuando:
I.Destine o utilice los datos personales con una
finalidad distinta a la autorizada por el
responsable, o
II.Efectúe una transferencia, incumpliendo las
instrucciones del responsable.
El encargado no incurrirá en responsabilidad
cuando, previa indicación expresa del
responsable, remita los datos personales a otro
encargado designado por este último, al que
hubiera encomendado la prestación de un
servicio, o transfiera los datos personales a
otro responsable conforme a lo previsto en el
presente Reglamento.”
Sobre las transferencias, se incluyen las
condiciones para que puedan realizarse
recalcando que “toda transferencia de datos
personales, sea ésta nacional o internacional,
se encuentra sujeta al consentimiento de su
titular, salvo las excepciones previstas en el
artículo 37 de la Ley; deberá ser informada a este
último mediante el aviso de privacidad y
limitarse a la finalidad que la justifique” .
En el caso de transferencia entre “ sociedades
controladoras, subsidiarias o afiliadas bajo el
control común del mismo grupo del
responsable, o a una sociedad matriz o a
cualquier sociedad del mismo grupo del
responsable, el mecanismo para garantizar
que el receptor de los datos personales
cumplirá con las disposiciones previstas en la
Ley, el presente Reglamento y de más
normativa aplicable, podrá ser la existencia
de normas internas de protección de datos
personales cuya observancia sea vinculante,
siempre y cuando éstas cumplan con lo
establecido en la Ley, el presente Reglamento
y demás normativa aplicable.”
El artículo 74 precisa que “las transferencias
internacionales de datos personales serán
posibles cuando el receptor de los datos
personales asuma las mismas obligaciones
que corresponden al responsable que transfirió
los datos personales”. Para formalizar las
transferencias internacionales, ordena el
artículo 75 que “el responsable que transfiera
los datos personales podrá valerse de
cláusulas contractuales u otros instrumentos
jurídicos en los que se prevean al menos las
mismas obligaciones a las que se encuentra
sujeto el responsable que transfiere los datos
personales, así como las condiciones en las que
el titular consintió el tratamiento de sus datos
personales”.
A manera de síntesis
Hace varias décadas se evidenció que la
disparidad de regulaciones sobre la protección
de la privacidad de las personas era una barrera
para la circulación transfronteriza de datos
personales. Por eso, durante el siglo XX se inició
un proceso de armonización regulatoria con
miras a lograr un consenso global sobre la forma
de facilitar la libre circulación internacional de
datos personales y, al mismo tiempo, proteger
los derechos de las personas, especialmente la
privacidad, cuando sus datos personales son
tratados. En otras palabras, los datos personales La TIDP tiene lugar cuando una persona denominado como el “principio de continuidad”
son un bien preciado en la era digital cuya (diferente al titular del dato), envía datos de protección de los datos el cual se materializa,
reglamentación nació como necesidad para personales de terceros desde un país a otra en nuestra opinión, cuando el país de destino
proteger derechos humanos y facilitar la persona u organización que se encuentra en otro tiene un nivel adecuado de protección o una
actividad empresarial. país. Tanto el emisor de los datos como el “protección equivalente” a la del país de origen
La privacidad y las transferencias receptor de los mismos están ubicados en u ofrezca “garantías comparables” de protección
internacionales de datos personales fueron las diferentes estados. Es necesario que los datos de los datos personales entre los dos países. En
principales razones de los procesos de traspasen las fronteras nacionales de un Estado últimas, se procura evitar que con ocasión de las
armonización y de la regulación sobre (país de origen) e ingresen al territorio de otro TIDP se envíen datos a los “paraísos
tratamiento de información sobre las personas. (país de destino). informáticos”.
Las organizaciones actoras de esa labor Los documentos internacionales enfocan sus Para el efecto, existen diferentes soluciones
armonizadora han sido el Consejo de Europa, la esfuerzos en exigir al exportador de los datos el para permitir la transferencia internacional de
Organización para la Cooperación y el Desarrollo cumplimiento de unos requisitos que debe datos personales:
Económico, la Organización de las Naciones acreditar en el país desde donde se origina la En primer lugar, podemos hablar de
Unidas, el Parlamento Europeo, el Consejo de la exportación. Con ésto, se procura proteger los soluciones a nivel país. Se trata de la obtención
Unión Europea, el Foro de Cooperación derechos de las personas realizando una por parte de un Estado del reconocimiento de
Económica Asia Pacífico, la Red Iberoamericana verificación previa de ciertas condiciones en el otro país, un grupo de países o un órgano de una
de Protección de Datos y las Autoridades de país de origen. Si el país de destino de los datos institución (como el caso de la Comisión
Protección de Datos y Privacidad. no reúne unos mínimos de protección, entonces Europea) de la existencia de un nivel adecuado
La recolección internacional de datos no hizo en el país de origen de los datos no se permite la de protección. Se trata de una especie de
parte de los motivos ni de los objetivos de los realización de la transferencia internacional de certificación que da luz verde a un país para ser
procesos de armonización. En otras palabras, datos. receptor de datos personales provenientes de
las regulaciones actuales fueron concebidas Con lo anterior se quiere que los derechos y los sitios donde se expidió la misma. De este
pensando en la trasferencia internacional de garantías que los titulares de los datos tengan a mecanismo se beneficia cualquier empresa o
datos dejando de lado la recolección la luz de la regulación de un país, se garanticen y entidad ubicada en territorio del país certificado.
internacional de los mismos. respeten en el país de destino de la transferencia
internacional de la información. Esto se ha
En segundo lugar, existen soluciones inter
empresariales. En este caso se acude a la
utilización de normas corporativas vinculantes
al interior de una organización que obliga a
todas las empresas parte de un conglomerado
multinacional que se encuentran ubicadas en
diversas partes del mundo. Si dichas normas son
avaladas por las autoridades, entonces es libre
la circulación transfronteriza entre todos los
entes que hacen parte de esa entidad
multinacional. Así mismo, existen soluciones
individuales. Las cláusulas contractuales son las
herramientas que en este caso habilitan la
transferencia desde un país a una empresa
ubicada en otro país.
En todos los casos, la responsabilidad sobre la
transferencia recae en el remitente de los datos
y los controles se realizan en el país de origen de
los datos que serán objeto de TIDP. Como se
observa, las regulaciones sobre transferencias
internacionales de datos se centran en la
exportación y en el exportador de esa
información y no en la importación o el
importador de los mismos.
Finalmente, podemos afirmar que no resultan
aplicables a la recolección internacional de
datos porque, como veremos, en la RIDP no
existe un remitente de datos para controlar por
parte de las autoridades locales del país de
origen de los datos. En la recolección
internacional de datos nos enfrentamos a una
persona natural o jurídica que desde cualquier
parte del mundo recolecta datos de personas
ubicadas en otro (s) país (es) diferentes al del
recolector.
8.2. Recolección internacional de
datos
Como se analizó anteriormente, las regulaciones
sobre transferencia internacional de datos
personales (TIDP) procuran que cuando los
datos se exporten por parte de un responsable o
encargado, no se disminuya, en el país de
destino, el nivel de protección que tienen los
titulares de los datos en el país de origen. No
obstante, existe una situación en la que los datos
salen de un país y llegan a otro sin que existan
reglas sobre ese evento. Se trata, precisamente,
de la recolección internacional de datos
personales (en adelante RIDP).
Diariamente se recolectan, con o sin nuestro
conocimiento, datos desde el exterior. Cualquier
persona ubicada en otro país es potencialmente
un recolector internacional de datos. Esta
situación hace que la recolección internacional
sea una actividad incontrolable que genera retos
a las autoridades locales cuando los derechos de
los ciudadanos de su país se ven vulnerados por
personas de otros países con ocasión de la
RIDP28.
Potencialmente existirá un mayor número de
personas que puedan recolectar datos a medida
que aumente el porcentaje de acceso a internet
en el mundo. Por eso, la RIDP es un fenómeno
que puede ser equivalente o mayor en magnitud
a las transferencias internacionales de datos
pero que, como lo hemos mencionado, no ha
tenido ni tiene tanto las respuestas regulatorias
como los controles que se han creado para las
transferencias.
Para analizar el tema nos centraremos en
estudiar en la primera parte de este capítulo la
28
Algunos aspectos de este capítulo fueron tratados
previamente en el siguiente texto que hace parte de la
investigación doctoral del autor: Remolina Angarita,
Nelson, “Insuficiencia de la regulación
latinoamericana frente a la recolección internacional
de datos personales a través de internet”, en: Luis
Fernando Álvarez Londoño (ed.), Quaestiones
Disputatae 2. Colección del Doctorado en Ciencias
Jurídicas de la Pontificia Universidad Javeriana,
Bogotá, Editorial Ibáñez, 2012.
recolección internacional en el contexto
internacional y en el escenario colombiano.
Luego, nos referiremos –en la segunda parte- al
impacto de internet en la RIDP y los retos
jurídicos para garantizar el debido tratamiento
de los datos personales en el “ciberespacio”.
Qué es la recolección internacional de datos y
cuál es su relación con internet?
La RIDP tiene ocasión cuando una persona
29
(recolector) de un país toma o acopia
información personal de ciudadanos (as) de
cualquier parte del mundo diferente al país
desde donde el recolector capta los datos. El
recolector no está domiciliado en el país del
titular del dato. Así, por ejemplo, alguien desde
el país X, a través de una página web recolecta
datos personales de ciudadanos de México,
Colombia, España, Estados Unidos, Canadá,
Suiza, Francia, China, Venezuela, etcétera.
29
Sobre este tema consultar la siguiente obra:
REMOLINA ANGARITA, Nelson. 2015. Recolección
internacional de datos: un reto del mundo post
internet. BOE – Boletín Oficial del Estado. Madrid,
España. ISBN 978-84-340-2196-9.
Es necesario precisar que la recolección tiene
lugar cuando confluyen las dos siguientes
condiciones:
(i) Los datos se toman directamente
de la persona concernida (titular
del dato) o de un sistema de
información , una base de datos o
30
archivo físico. Lo importante es que
los datos no son enviados por un
tercero (responsable o encargado)
desde el país de origen sino que se
recaudan u obtienen desde el país
del recolector. Si los mismos son
enviados por un tercero entonces
estaríamos en la arena de las
transferencias internacionales.
(ii) El recolector del dato tiene su
domicilio o establecimiento 31
en
30
La ONU define sistema de información como “todo
sistema que sirva para generar, enviar, recibir, archivar
o procesar de alguna otra forma comunicaciones
electrónicas. Cfr. literal f) del artículo 4º Convención de
las Naciones Unidas sobre la Utilización de las
Comunicaciones Electrónicas en los Contratos
Internacionales de 2005.
31
Para la ONU, establecimiento significa todo lugar
donde una parte mantiene un centro de operaciones no
temporal para realizar una actividad económica
distinta del suministro transitorio de bienes o servicios
desde determinado lugar. Cfr. literal h) del artículo 4º
otro país diferente al del titular del
dato. De no ser así, estaríamos en el
campo de la recolección nacional
de datos.
Aunque los datos salen de un país, la forma
como ello sucede en la RIDP es diferente a lo que
acontece en las TIDP. En las transferencias
internacionales un tercero remite los datos hacia
otro país, mientras que en la recolección los
datos son recaudados por alguien desde un
Estado diferente al del domicilio del titular del
dato. Tal y como lo vimos anteriormente, en el
caso de las TIDP se han creado reglas para
controlar el envío de la información de manera
que se adopten medidas para procurar
garantizar un mínimo de protección al titular del
dato cuya información se exportará. En el caso
de la RIDP no existen reglas o pautas
obligatorias para lograr dicho cometido.
Datos personales, TIC e internet son el trío
protagonista de la RIDP. Los primeros están
disponibles en la red, las segundas son
herramientas que sirven, entre otras, para
Convención de las Naciones Unidas sobre la
Utilización de las Comunicaciones Electrónicas en los
Contratos Internacionales de 2005.
recolectar datos e internet es el mega escenario
en donde se recauda la información sobre las
personas. Comenta Velásquez que " la web es 32
tal vez el mayor portento tecnológico que el
hombre haya desarrollado jamás. Su impacto en
nuestra sociedad ha sido tal que se le ha
comparado con la invención de la rueda o el
descubrimiento del fuego. La web es
considerada un canal de difusión e intercambio
de información a escala global"33
El carácter transfronterizo de buena parte de
34
lo que sucede en internet es otra variante
32
"La web es el conjunto de archivos (páginas) que se
relacionan a través de hipervínculos, almacenados en
los servidores ubicados alrededor del mundo, para lo
cual se utiliza un mecanismo de dirección ambientó
global de documentos y de otros recursos conocido
como URL. Cada una de estas páginas posee un
contenido representado a través de objetos como
texto, imágenes, sonido, películas o vínculos a otros
sitios web" (VELÁSQUEZ SILVA, Juan; DONOSO
ABARCA, Lorena. 2013. Tratamiento de datos
personales en internet: Los desafíos jurídicos en la era
digital. 1 ed, Colección tratados y manuales. Santiago
de Chile: Thomson Reuthers. p 142)
33
VELÁSQUEZ y DONOSO, 2013, op. cit., p. 4.
34
Afirma GILDEN que Internet fue diseñada para
mover información lo más rápidamente posible a lo
largo de todos los sistemas de información existentes
a lo largo y ancho del mundo sin tener presente las
fronteras territoriales. Esto hace que la información
relevante debido a que internet, por su
naturaleza, es de acceso global y sus usuarios
están irrigados a lo largo de todo el mundo.
Tanto los titulares de los datos como los
recolectores de los mismos pueden estar
ubicados en un mismo país (recolección
nacional) o en diferentes territorios o dispositivos que se conectan a internet se espera
jurisdicciones (recolección internacional).
En efecto, el World Economic Fórum puso de
presente que “el mundo digital está inundado en
datos personales” y cada día sigue aumentando
35
la cantidad de información personal que circula
a través de las tecnologías de información y
comunicación (TIC). Según un estudio de dicha
organización , en un día las personas envían
36
diez (10) billones de mensajes de texto y hacen
un (1) billón de posts en un blog o red social.
Adicionalmente, existen seis (6) billones de
suscripciones de telefonía móvil en el mundo, lo
viaje a través de diferentes [GILDEN, Michael. 2000.
Jurisdiction and the internet: the real world meets
cyberspace. ILSA Journal of International &
Comparative Law 7 (1). p 151]
35
WORLD ECONOMIC FORUM. 2012. Rethinking
Personal Data: Strengthening Trust. Ginebra, Suiza.
http://www.weforum.org/reports/rethinking-
personal-data-strengthening-trust
, recuperado: 6 de enero de 2013, p. 7
36
Loc. cit.
que facilita rastrear y grabar la ubicación de casi
cada persona del planeta, así como sus
conexiones sociales y transacciones. A esto se
suman otra serie de dispositivos de recolección
de datos que están generando volúmenes sin
precedentes de datos. El número de esos
que sea de un (1) trillón en el año 2015.
De otra parte, señala la internet Society37, que
“Internet ha revolucionado la informática y las
comunicaciones como ninguna otra cosa. (…).
Internet es a la vez una herramienta de emisión
37
La Internet Society es un organización fundada en
1992 cuya misión es “promover el desarrollo abierto,
la evolución y el uso de Internet para beneficio de
todas las personas del mundo” (Internet Society.
Misión.
http://www.internetsociety.org/es/misi%C3%B3n) Se
autodefine como una “organización global unida por
una causa común y regida por una variada Junta de
fideocomisarios dedicada a asegurar que Internet siga
siendo abierta, transparente y definida para que todos
podamos disfrutar de ella”.(Cfr. Internet Society.
Quiénes somos?.
http://www.internetsociety.org/es/%C2%BFqui%C3%
A9nes-somos-0) Internet Society cuenta con un
Consejo Asesor Conformado por académicos,
investigadores, proveedores de servicios, equipos y
contenidos, entidades gubernamentales,
organizaciones internacionales y grupos de interés
público (Cfr. Internet Society. Consejo Asesor.
http://www.internetsociety.org/es/consejo-asesor )
mundial, un mecanismo para diseminar
información y un medio para la colaboración y la
interacción entre personas y sus ordenadores,
sin tener en cuenta su ubicación geográfica”.
Agrega dicha organización que “Internet, como la
conocemos hoy en día, es una infraestructura de
información muy difundida”38. En otras palabras,
internet, cada vez más, tiene el don de la
ubicuidad en la medida que está presente al
mismo tiempo en casi todas partes del mundo.
Así las cosas es importante referirnos
inicialmente a ciertos aspectos sobre internet
que serán objeto de análisis en las siguientes
líneas, tales como su naturaleza de red global,
abierta y de fácil acceso así como el crecimiento
de la tasa de internet en el mundo y el
empoderamiento de los individuos lo cual hace
que la RIDP sea cada vez mayor.
38
LEINER, Barry; CERFT, Vinton y otros. 1997. Breve
historia de internet. Internet Society,
http://www.internetsociety.org/es/breve-historia-de-
internet - Origins Todos los autores de este texto son:
Barry M. Leiner, Vinton G. Cerf, David D. Clark, Robert
E. Kahn, Leonard Kleinrock, Daniel C. Lynch, Jon
Postel, Larry G. Roberts, Stephen Wolff
La recolección de datos en el contexto la Propuesta de Reglamento41 general de
internacional. protección de datos del Parlamento Europeo y
del Consejo (2012). En el contexto colombiano,
No existe un instrumento internacional como se mencionó en su momento, la definición
jurídicamente vinculante que reconozca de tratamiento hace explicita referencia a, entre
explícitamente la recolección internacional de otros, la recolección.42
datos. Tampoco lo hacen los documentos El Tribunal de Justicia de la Unión Europea se
internacionales estudiados en el capítulo pronunció recientemente sobre el concepto de
anterior. No obstante, en el contexto tratamiento de datos personales señalando que
internacional se reconoce que la recolección la recolección hace parte del mismo. En efecto,
hace parte del tratamiento de los datos en un caso de 201443 - Google Spain, S.L. Google
personales en los siguientes términos.
La recolección hace parte del conjunto de
40
“Tratamiento: cualquier operación o conjunto de
operaciones, sean o no automatizadas, que se aplique
actividades que comprende el tratamiento de a datos de carácter personal, en especial su recogida,
datos personales pues con ocasión de ella un (…)”(Literal b del numeral 2)
41
“«tratamiento»: cualquier operación o conjunto de
tercero (denominado responsable o encargado)
operaciones realizadas sobre datos personales o
obtiene información de una persona para, entre conjuntos de datos personales, efectuadas o no
otras, almacenarla, usarla y circularla. Como mediante procedimientos automatizados, como la
recogida (…)”(numeral 3 del artículo 4)
vimos en el capítulo primero, dentro de la 42
Cfr. Literal g) del artículo 3 de la ley 1581 de 2012
definición de tratamiento se incluye la recogida
43
Cfr. TRIBUNAL DE JUSTICIA DE LA UNION EUROPEA.
2014. Google Spain, S.L. Google Inc y Agencia
como un elemento del tratamiento. Tal es el Española de Protección de Datos (AEPD), Mario
caso, por ejemplo, de las definiciones de la Costeja González. Asunto C-131/12. . En este caso, el
Tribunal concluyó lo siguiente: “El artículo 2, letras b)
Directiva 95/46/CE39, la Resolución de Madrid40 y
y d), de la Directiva 95/46/CE del Parlamento Europeo
y del Consejo, de 24 de octubre de 1995, relativa a la
“«tratamiento de datos personales» («tratamiento»):
39
protección de las personas físicas en lo que respecta
cualquier operación o conjunto de operaciones, al tratamiento de datos personales y a la libre
efectuadas o no mediante procedimientos circulación de estos datos, debe interpretarse en el
automatizados, y aplicadas a datos personales, como sentido de que, por un lado, la actividad de un motor
la recogida (…) (Literal b del artículo 2) de búsqueda, que consiste en hallar información
Inc y Agencia Española de Protección de Datos condiciones relacionadas con los medios
(AEPD), Mario Costeja González- el TJUE utilizados para la misma y el consentimiento de
concluyó “(…), al explorar Internet de manera la persona autorizando que sus datos sean
automatizada, constante y sistemática en busca recogidos por otros. Estos requisitos los definen
de la información que allí se publica, el gestor de las normas locales de cada país pero también
un motor de búsqueda «recoge» tales datos que han sido incorporados en varios documentos
«extrae», «registra» y «organiza» posteriormente internacionales en los términos que señalamos a
en el marco de sus programas de indexación, continuación.
«conserva» en sus servidores y, en su caso,
«comunica» y «facilita el acceso» a sus usuarios
en forma de listas de resultados de sus
búsquedas. Ya que estas operaciones están
recogidas de forma explícita e incondicional en
el artículo 2, letra b), de la Directiva 95/46, deben
calificarse de «tratamiento»”44
Al formar parte del tratamiento, la
recolección no puede realizarse de cualquier
manera sino que debe ser respetuosa de ciertas

publicada o puesta en Internet por terceros, indexarla

de manera automática, almacenarla temporalmente
y, por último, ponerla a disposición de los internautas
según un orden de preferencia determinado, debe
calificarse de «tratamiento de datos personales», en el
sentido de dicho artículo 2, letra b), cuando esa
información contiene datos personales, y, por otro, el
gestor de un motor de búsqueda debe considerarse
«responsable» de dicho tratamiento, en el sentido del
mencionado artículo 2, letra d).”
44
Cfr. TJUE (2014). Asunto C-131/12. Apartado número
28.