Nivel adecuado para transferencias internacionales de datos

  • Miguel Recio Gayo Universidad CEU San Pablo (Madrid)

    Doctor en Derecho. Máster en Protección de Datos, Transparencia y Acceso a la Información por la Universidad San Pablo CEU (Madrid) y máster en Derecho de la Propiedad Intelectual por The George Washington University Law School (Washington D.C.). Abogado radicado en Madrid (España).

Palabras clave: Protección de datos personales, Derechos fundamentales, Transferencia internacional de datos, Nivel adecuado, Reglamento General de Protección de Datos, Comisión Europea, Decisión de adecuación, Economía digital

Resumen

Como concepto, el de nivel adecuado de protección para las transferencias internacionales de datos sigue siendo, en cierta medida, desconocido. En el caso de la Unión Europea, con respecto a la directiva 95/46/CE, ya derogada, su contenido ha sido concretado por el Reglamento General de Protección de Datos (RGPD). Su origen está, en la era predigital, en instrumentos internacionales sobre protección de datos personales. Su desarrollo más relevante se ha producido en la Unión Europea, hasta llegar al caso de la decisión de adecuación de Japón —la primera adoptada después del 25 de mayo de 2018, en la que puede verse la aplicación práctica de los elementos que se requieren conforme al RGPD—. Otros países, en particular en América Latina, también han incluido en sus leyes sobre protección de datos el concepto de nivel adecuado. A pesar de que el nivel adecuado es solo uno de los instrumentos para las transferencias internacionales de datos, las diferencias que pueden surgir, entre países o regiones, en cuanto a qué países tienen o no un nivel adecuado de protección para la transferencia internacional de datos, podrían dar lugar a considerar si sería aconsejable un estándar multilateral que facilitara esta última. En cualquier caso, debe considerarse también que el modelo de adecuación es uno de los instrumentos para la transferencia internacional de datos, pero no el único, ya que pueden existir otros mecanismos para aplicar protecciones adecuadas y efectivas en materia de protección de datos.

Referencias bibliográficas

Borchardt, K. (2017). El ABC del Derecho de la Unión Europea, Comisión Europea. Luxemburgo: Oficina de Publicaciones de la Unión Europea. Recuperado de http://publications.europa.eu/resource/cellar/5d4f8cde-de25-11e7-a506-01aa75ed71a1.0021.01/DOC_1

Comisión Europea (2017). Comunicación de la Comisión al Parlamento Europeo y al Consejo: intercambio y protección de datos personales en un mundo globalizado. COM(2017) 7 final. Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52017DC0007&qid=1559205331387&from=ES.

Comisión Europea (2019). Communication from the Commission to the European Parliament and the Council: data protection rules as a trust-enabler in the EU and beyond –taking stock. COM(2019) 374 final. Recuperado de https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52019DC0374&qid=1567072717840&from=ES

Comité Europeo de Protección de Datos (CEPD) (2018a). Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679. 25 de mayo. Recuperado de https://edpb.europa.eu/our-work-tools/our-documents/nasoki/guidelines-22018-derogations-article-49-under-regulation-2016679_en

Comité Europeo de Protección de Datos (CEPD) (2018b). Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – Version for public consultation. 16 de noviembre. Recuperado de https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_en.pdf

Comité Europeo de Protección de Datos (CEPD) (2018c). Referencias sobre adecuación, aprobado el 28 de noviembre de 2017, revisado por última vez y aprobado el 6 de febrero de 2018. Recuperado de https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=54200

Consejo de Europa (2018). The modernised Convention 108: novelties in a nutshell. Recuperado de https://rm.coe.int/modernised-conv-overview-of-thenovelties/16808accf8.

Greenleaf, G. (2019). Global Tables of Data Privacy Laws and Bills (6a ed.). Supplement to 157 Privacy Laws & Business International Report (PLBIR). https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3380794

Grupo de Trabajo del artículo 29 (1998). Transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 de la Directiva sobre protección de datos de la UE. DG XV D/5025/98, WP 12. Aprobado el 24 de julio de 1998. Recuperado de https://ec.europa.eu/justice/article-29/documentation/opinionrecommendation/files/1998/wp12_es.pdf

Grupo de Trabajo del Artículo 29 (2018). Referencias sobre adecuación, WP 254 rev. 01. Aprobado el 28 de noviembre de 2017, revisado por última vez y aprobado el 6 de febrero de 2018. Recuperado de https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=54200

GSMA (2018). Regional Privacy Frameworks and Cross-Border Data Flows: How ASEAN and APEC can Protect Data and Drive Innovation. Recuperado de https:// www.gsma.com/publicpolicy/wp-content/uploads/2018/09/GSMA Regional-Privacy-Frameworks-and-Cross-Border-Data-Flows_Full-Report_Sept-2018.pdf

Kuner, C. (2017). Reality and Illusion in EU Data Transfer Regulation Post Schrems. German Law Journal, 18(881). Recuperado de https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2732346

Maqueo Ramírez, M.S., Moreno González, J., & Recio Gayo, M. (2017). Protección de datos personales, privacidad y vida privada: la inquietante búsqueda de un equilibrio global necesario. Revista de Derecho, XXX(1), 77-96. Recuperado de https://scielo.conicyt.cl/pdf/revider/v30n1/art04.pdf

Organisation for Economic Co-Operation and Development (OECD) (2013). The OCDE Privacy Framework. Recuperado de http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf#_ga=2.20480760.1147834656.1559116688-1378050382.1557067453

Organisation for Economic Co-Operation and Development (OECD) (2018). Working Party of the Trade Committee. Trade and Cross-Border Data Flows. Recuperado de http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=TAD/TC/WP(2018)19/FINAL&docLanguage=En

Parlamento Europeo (2016). Directorate-General for External Policies, Policy Departament. Transatlantic Digital Economy and Data Protection: State-of-Play and Future Implications for the EU’s and External Policies. Recuperado de http://www.europarl.europa.eu/RegData/etudes/STUD/2016/535006/EXPO_STU%282016%29535006_EN.pdf

United Nations Conference on Trade and Development (UNCTAD). (2016). Data Protection Regulations and International Data Flows: Implications for Trade and Development. Nueva York-Ginebra: Naciones Unidas. Recuperado de https://unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf

Jurisprudencia, normativa y otros documentos legales

Acuerdo General sobre el Comercio de Servicios de la Organización Mundial del Comercio (OMC). Entrada en vigor en enero de 1995.

Carta de los Derechos Fundamentales de la Unión Europea. Circular Única. Circular del 28 de marzo de 2018 de la Superintendencia de Industria y Comercio.

Convenio 108. Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. Estrasburgo, 28 de enero de 1981.

Decisión 2000/518/CE. Decisión de la Comisión, del 26 de julio de 2000, con arreglo a la directiva 95/46/CE del Parlamento Europeo y del Consejo relativa al nivel de protección adecuado de los datos personales en Suiza [notificada con el número C(2000) 2304] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 215 (25 de agosto de 2000). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1557085318222&uri=CELEX:32000D0518

Decisión 2000/519/CE. Decisión de la Comisión, del 26 de julio de 2000, con arreglo a la directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales en Hungría [notificada con el número C (2000) 2305] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L., num. 215. Recuperado de https://eur-lex.europa.eu/legalcontent/ES/TXT/?uri=CELEX:32000D0519

Decisión 2000/520/CE. Decisión de la Comisión, del 26 de julio de 2000, con arreglo a la directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América [notificada con el número C(2000) 2441] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, num. 215. Recuperado de https://eurlex.europa.eu/legal-content/ES/ALL/?uri=CELEX%3A32000D0520

Decisión 2001/497/CE. Decisión de la Comisión, Decisión de la Comisión, del 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la directiva 95/46/CE [notificada con el número C(2001) 1539] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, num. 181 (04 de julio de 2001). Recuperado de https://eur-lex.europa.eu/legal-content/es/TXT/?uri=CELEX:32001D0497

Decisión 2002/2/CE. Decisión de la Comisión, del 20 de diciembre de 2001, con arreglo a la directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección de los datos personales conferida por la ley canadiense Personal Information and Electronic Documents Act [notificada con el número C(2001) 4539]. Diario Oficial de la Unión Europea, serie L, núm. 2 (4 de enero de 2002). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1557085577618&uri=CELEX:32002D0002

Decisión 2003/490/CE. Decisión de la Comisión, del 30 de junio de 2003, con arreglo a la directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección de los datos personales en Argentina (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 168 (5 de julio de 2003). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1557084451785&uri=CELEX:32003D0490

Decisión 2003/821/CE. Decisión de la Comisión, del 21 de noviembre de 2003, relativa al carácter adecuado de la protección de los datos personales en Guernsey [notificada con el número C(2003) 4309] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 308 (25 de noviembre de 2003). Recuperado de

https://eur-lex.europa.eu/legal-content/ES/TXT/ qid=1557084510929&uri=CELEX:32003D0821

Decisión 2004/411/CE. Decisión de la Comisión, del 28 de abril de 2004, relativa al carácter adecuado de la protección de los datos personales en la Isla de Man [notificada con el número C(2004) 1556] (texto pertinente a efectos del EEE).

Diario Oficial de la Unión Europea, serie L, núm. 151 (30 de abril de 2004). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32004D0411&qid=1557084670440&from=ES

Decisión 2004/915/CE. Decisión de la Comisión, del 27 de diciembre de 2004, por la que se modifica la decisión 2001/497/CE en lo relativo a la introducción de un conjunto alternativo de cláusulas contractuales tipo para la transferencia de datos personales a terceros países [notificada con el número C(2004) 5271] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, num. 385. Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32004D0915

Decisión 2008/393/CE. Decisión de la Comisión, del 8 de mayo de 2008, de conformidad con la directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales en Jersey [notificada con el número C(2008) 1746] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 138 (28 de mayo de 2008). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1557085136487&uri=CELEX:32008D0393.

Decisión 2010/146/UE. Decisión de la Comisión, del 5 de marzo de 2010, con arreglo a la directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada dada en la Ley de las Islas Feroe sobre el tratamiento de datos personales [notificada con el número C(2010) 1130] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 58 (9 de marzo de 2010). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid= 1557084777039&uri=CELEX:32010D0146

Decisión 2010/625/UE. Decisión de la Comisión, del 19 de octubre de 2010, de conformidad con la directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la adecuada protección de los datos personales en Andorra [notificada con el número C(2010) 7084] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 277 (21 de octubre de 2010). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1557084236172&uri=CELEX:32010D0625

Decisión 2010/87/CE. Decisión de la Comisión, del 5 de febrero de 2010 , relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la directiva 95/46/CE del Parlamento Europeo y del Consejo [notificada con el número C(2010) 593] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, num. 39. Recuperado de https://eur-lex.europa.eu/legalcontent/ES/TXT/uri=CELEX%3A32010D0087

Decisión 2011/61/UE. Decisión de la Comisión, del 31 de enero de 2011, de conformidad con la directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por el Estado de Israel en lo que respecta al tratamiento automatizado de los datos personales [notificada con el número C(2011) 332] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 27 (1 de febrero de 2011). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1557084842312&uri=CELEX:32011D0061

Decisión de Ejecución (UE) 2016/1250. Decisión de la Comisión, del 12 de julio de 2016, con arreglo a la directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UEEE. UU. [notificada con el número C(2016) 4176] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 207 (1 de agosto de 2016). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1557085722663&uri=CELEX:32016D1250

Decisión de Ejecución (UE) 2019/419. Decisión de la Comisión, de 23 de enero de 2019, con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativa a la adecuación de la protección de los datos personales por parte de Japón en virtud de la Ley sobre la protección de la información personal (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 76 (19 de marzo de 2019). Recuperado de https://eur-lex.europa.eu/legalcontent/ES/TXT/?qid=1557085844413&uri=CELEX:32019D0419

Decisión de Ejecución 2012/484/UE. Decisión de la Comisión, del 21 de agosto de 2012, de conformidad con la directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por la República Oriental del Uruguay en lo que respecta al tratamiento automatizado de datos personales [notificada con el número C(2012) 5704] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 227 (23 de agosto de 2012). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1557085422448&uri=CELEX:32012D0484

Decisión de Ejecución 2013/65/UE. Decisión de la Comisión, del 19 de diciembre de 2012, de conformidad con la directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por Nueva Zelanda [notificada con el número C(2012) 9557] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 28 (30 de enero de 2013). Recuperado de https://eur lex.europa.eu/legal-content/ES/TXT/?qid=1557085232834&uri=CELEX:32013D0065

Directiva 95/46/CE. Directiva del Parlamento Europeo y del Consejo, del 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Diario Oficial de la Unión Europea, serie L, núm. 281 (23 de noviembre de 1995). Recuperada de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1559204767525&uri=CELEX:31995L0046

Directrices de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) sobre Protección de la Privacidad y Flujos Transfronterizos de Datos Personales. Adoptadas el 23 de setiembre de 1980. Recuperadas de http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm#part5

Estándares de Protección de Datos Personales para los Estados Iberoamericanos. Adoptados por unanimidad el 20 de junio de 2017, en el marco del XV Encuentro Iberoamericano de Protección de Datos de la Red Iberoamericana de Protección de Datos (RIPD).

Ley 13.709 [Brasil]. Lei geral de proteção de dados pessoais. Congresso Nacional. 14 de agosto de 2018. Diário Oficial da União, 15 de agosto de 2018. Recuperado de http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

Ley 1581 [Colombia]. Ley por la cual se dictan disposiciones generales para la protección de datos personales. Congreso de Colombia. 17 de octubre de 2012. Recuperada de http://www.sic.gov.co/sites/default/files/normatividad/Ley_1581_2012.pdf

Ley 29733 [Perú]. Ley de protección de datos personales. Congreso de la República del Perú. 21 de junio de 2011. Diario Oficial El Peruano, 3 de julio de 2011. Recuperado de https://www.minjus.gob.pe/wp-content/uploads/2013/04/LEY-29733.pdf

Ley Federal de Protección de Datos Personales en Posesión de los Particulares [México]. Cámara de Diputados. 27 de abril de 2010. Diario Oficial de la Federación, 05 de julio de 2010. Recuperado de http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

Maximillian Schrems c. Data Protection Commissioner. Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) del 6 de octubre de 2015. Asunto C-362/14.ECLI:EU:C:2015:650.

Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares [México]. Cámara de Diputados. 19 de diciembre de 2011. Diario Oficial de la Federación, 21 de diciembre de 2011. Recuperado de http://www.diputados.gob.mx/LeyesBiblio/regley/Reg_LFPDPPP.pdf

Reglamento General de Protección de Datos (RGPD). Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la directiva 95/46/CE (Reglamento general de protección de datos) (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 119 (4 de mayo de 2016). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1559205159718&uri=CELEX:32016R0679

Descargas

La descarga de datos todavía no está disponible.
Cómo citar
Recio Gayo, M. (2019). Nivel adecuado para transferencias internacionales de datos. Derecho PUCP, (83), 207 - 240. https://doi.org/10.18800/derechopucp.201902.007