Nivel adecuado para transferencias internacionales de datos
Resumen
Como concepto, el de nivel adecuado de protección para las transferencias internacionales de datos sigue siendo, en cierta medida, desconocido. En el caso de la Unión Europea, con respecto a la directiva 95/46/CE, ya derogada, su contenido ha sido concretado por el Reglamento General de Protección de Datos (RGPD). Su origen está, en la era predigital, en instrumentos internacionales sobre protección de datos personales. Su desarrollo más relevante se ha producido en la Unión Europea, hasta llegar al caso de la decisión de adecuación de Japón —la primera adoptada después del 25 de mayo de 2018, en la que puede verse la aplicación práctica de los elementos que se requieren conforme al RGPD—. Otros países, en particular en América Latina, también han incluido en sus leyes sobre protección de datos el concepto de nivel adecuado. A pesar de que el nivel adecuado es solo uno de los instrumentos para las transferencias internacionales de datos, las diferencias que pueden surgir, entre países o regiones, en cuanto a qué países tienen o no un nivel adecuado de protección para la transferencia internacional de datos, podrían dar lugar a considerar si sería aconsejable un estándar multilateral que facilitara esta última. En cualquier caso, debe considerarse también que el modelo de adecuación es uno de los instrumentos para la transferencia internacional de datos, pero no el único, ya que pueden existir otros mecanismos para aplicar protecciones adecuadas y efectivas en materia de protección de datos.
Referencias bibliográficas
Borchardt, K. (2017). El ABC del Derecho de la Unión Europea, Comisión Europea. Luxemburgo: Oficina de Publicaciones de la Unión Europea. Recuperado de http://publications.europa.eu/resource/cellar/5d4f8cde-de25-11e7-a506-01aa75ed71a1.0021.01/DOC_1
Comisión Europea (2017). Comunicación de la Comisión al Parlamento Europeo y al Consejo: intercambio y protección de datos personales en un mundo globalizado. COM(2017) 7 final. Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52017DC0007&qid=1559205331387&from=ES.
Comisión Europea (2019). Communication from the Commission to the European Parliament and the Council: data protection rules as a trust-enabler in the EU and beyond –taking stock. COM(2019) 374 final. Recuperado de https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52019DC0374&qid=1567072717840&from=ES
Comité Europeo de Protección de Datos (CEPD) (2018a). Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679. 25 de mayo. Recuperado de https://edpb.europa.eu/our-work-tools/our-documents/nasoki/guidelines-22018-derogations-article-49-under-regulation-2016679_en
Comité Europeo de Protección de Datos (CEPD) (2018b). Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – Version for public consultation. 16 de noviembre. Recuperado de https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_en.pdf
Comité Europeo de Protección de Datos (CEPD) (2018c). Referencias sobre adecuación, aprobado el 28 de noviembre de 2017, revisado por última vez y aprobado el 6 de febrero de 2018. Recuperado de https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=54200
Consejo de Europa (2018). The modernised Convention 108: novelties in a nutshell. Recuperado de https://rm.coe.int/modernised-conv-overview-of-thenovelties/16808accf8.
Greenleaf, G. (2019). Global Tables of Data Privacy Laws and Bills (6a ed.). Supplement to 157 Privacy Laws & Business International Report (PLBIR). https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3380794
Grupo de Trabajo del artículo 29 (1998). Transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 de la Directiva sobre protección de datos de la UE. DG XV D/5025/98, WP 12. Aprobado el 24 de julio de 1998. Recuperado de https://ec.europa.eu/justice/article-29/documentation/opinionrecommendation/files/1998/wp12_es.pdf
Grupo de Trabajo del Artículo 29 (2018). Referencias sobre adecuación, WP 254 rev. 01. Aprobado el 28 de noviembre de 2017, revisado por última vez y aprobado el 6 de febrero de 2018. Recuperado de https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=54200
GSMA (2018). Regional Privacy Frameworks and Cross-Border Data Flows: How ASEAN and APEC can Protect Data and Drive Innovation. Recuperado de https:// www.gsma.com/publicpolicy/wp-content/uploads/2018/09/GSMA Regional-Privacy-Frameworks-and-Cross-Border-Data-Flows_Full-Report_Sept-2018.pdf
Kuner, C. (2017). Reality and Illusion in EU Data Transfer Regulation Post Schrems. German Law Journal, 18(881). Recuperado de https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2732346
Maqueo Ramírez, M.S., Moreno González, J., & Recio Gayo, M. (2017). Protección de datos personales, privacidad y vida privada: la inquietante búsqueda de un equilibrio global necesario. Revista de Derecho, XXX(1), 77-96. Recuperado de https://scielo.conicyt.cl/pdf/revider/v30n1/art04.pdf
Organisation for Economic Co-Operation and Development (OECD) (2013). The OCDE Privacy Framework. Recuperado de http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf#_ga=2.20480760.1147834656.1559116688-1378050382.1557067453
Organisation for Economic Co-Operation and Development (OECD) (2018). Working Party of the Trade Committee. Trade and Cross-Border Data Flows. Recuperado de http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=TAD/TC/WP(2018)19/FINAL&docLanguage=En
Parlamento Europeo (2016). Directorate-General for External Policies, Policy Departament. Transatlantic Digital Economy and Data Protection: State-of-Play and Future Implications for the EU’s and External Policies. Recuperado de http://www.europarl.europa.eu/RegData/etudes/STUD/2016/535006/EXPO_STU%282016%29535006_EN.pdf
United Nations Conference on Trade and Development (UNCTAD). (2016). Data Protection Regulations and International Data Flows: Implications for Trade and Development. Nueva York-Ginebra: Naciones Unidas. Recuperado de https://unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf
Jurisprudencia, normativa y otros documentos legales
Acuerdo General sobre el Comercio de Servicios de la Organización Mundial del Comercio (OMC). Entrada en vigor en enero de 1995.
Carta de los Derechos Fundamentales de la Unión Europea. Circular Única. Circular del 28 de marzo de 2018 de la Superintendencia de Industria y Comercio.
Convenio 108. Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. Estrasburgo, 28 de enero de 1981.
Decisión 2000/518/CE. Decisión de la Comisión, del 26 de julio de 2000, con arreglo a la directiva 95/46/CE del Parlamento Europeo y del Consejo relativa al nivel de protección adecuado de los datos personales en Suiza [notificada con el número C(2000) 2304] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 215 (25 de agosto de 2000). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1557085318222&uri=CELEX:32000D0518
Decisión 2000/519/CE. Decisión de la Comisión, del 26 de julio de 2000, con arreglo a la directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales en Hungría [notificada con el número C (2000) 2305] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L., num. 215. Recuperado de https://eur-lex.europa.eu/legalcontent/ES/TXT/?uri=CELEX:32000D0519
Decisión 2000/520/CE. Decisión de la Comisión, del 26 de julio de 2000, con arreglo a la directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América [notificada con el número C(2000) 2441] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, num. 215. Recuperado de https://eurlex.europa.eu/legal-content/ES/ALL/?uri=CELEX%3A32000D0520
Decisión 2001/497/CE. Decisión de la Comisión, Decisión de la Comisión, del 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la directiva 95/46/CE [notificada con el número C(2001) 1539] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, num. 181 (04 de julio de 2001). Recuperado de https://eur-lex.europa.eu/legal-content/es/TXT/?uri=CELEX:32001D0497
Decisión 2002/2/CE. Decisión de la Comisión, del 20 de diciembre de 2001, con arreglo a la directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección de los datos personales conferida por la ley canadiense Personal Information and Electronic Documents Act [notificada con el número C(2001) 4539]. Diario Oficial de la Unión Europea, serie L, núm. 2 (4 de enero de 2002). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1557085577618&uri=CELEX:32002D0002
Decisión 2003/490/CE. Decisión de la Comisión, del 30 de junio de 2003, con arreglo a la directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección de los datos personales en Argentina (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 168 (5 de julio de 2003). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1557084451785&uri=CELEX:32003D0490
Decisión 2003/821/CE. Decisión de la Comisión, del 21 de noviembre de 2003, relativa al carácter adecuado de la protección de los datos personales en Guernsey [notificada con el número C(2003) 4309] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 308 (25 de noviembre de 2003). Recuperado de
https://eur-lex.europa.eu/legal-content/ES/TXT/ qid=1557084510929&uri=CELEX:32003D0821
Decisión 2004/411/CE. Decisión de la Comisión, del 28 de abril de 2004, relativa al carácter adecuado de la protección de los datos personales en la Isla de Man [notificada con el número C(2004) 1556] (texto pertinente a efectos del EEE).
Diario Oficial de la Unión Europea, serie L, núm. 151 (30 de abril de 2004). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32004D0411&qid=1557084670440&from=ES
Decisión 2004/915/CE. Decisión de la Comisión, del 27 de diciembre de 2004, por la que se modifica la decisión 2001/497/CE en lo relativo a la introducción de un conjunto alternativo de cláusulas contractuales tipo para la transferencia de datos personales a terceros países [notificada con el número C(2004) 5271] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, num. 385. Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32004D0915
Decisión 2008/393/CE. Decisión de la Comisión, del 8 de mayo de 2008, de conformidad con la directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales en Jersey [notificada con el número C(2008) 1746] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 138 (28 de mayo de 2008). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1557085136487&uri=CELEX:32008D0393.
Decisión 2010/146/UE. Decisión de la Comisión, del 5 de marzo de 2010, con arreglo a la directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada dada en la Ley de las Islas Feroe sobre el tratamiento de datos personales [notificada con el número C(2010) 1130] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 58 (9 de marzo de 2010). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid= 1557084777039&uri=CELEX:32010D0146
Decisión 2010/625/UE. Decisión de la Comisión, del 19 de octubre de 2010, de conformidad con la directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la adecuada protección de los datos personales en Andorra [notificada con el número C(2010) 7084] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 277 (21 de octubre de 2010). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1557084236172&uri=CELEX:32010D0625
Decisión 2010/87/CE. Decisión de la Comisión, del 5 de febrero de 2010 , relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la directiva 95/46/CE del Parlamento Europeo y del Consejo [notificada con el número C(2010) 593] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, num. 39. Recuperado de https://eur-lex.europa.eu/legalcontent/ES/TXT/uri=CELEX%3A32010D0087
Decisión 2011/61/UE. Decisión de la Comisión, del 31 de enero de 2011, de conformidad con la directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por el Estado de Israel en lo que respecta al tratamiento automatizado de los datos personales [notificada con el número C(2011) 332] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 27 (1 de febrero de 2011). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1557084842312&uri=CELEX:32011D0061
Decisión de Ejecución (UE) 2016/1250. Decisión de la Comisión, del 12 de julio de 2016, con arreglo a la directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UEEE. UU. [notificada con el número C(2016) 4176] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 207 (1 de agosto de 2016). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1557085722663&uri=CELEX:32016D1250
Decisión de Ejecución (UE) 2019/419. Decisión de la Comisión, de 23 de enero de 2019, con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativa a la adecuación de la protección de los datos personales por parte de Japón en virtud de la Ley sobre la protección de la información personal (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 76 (19 de marzo de 2019). Recuperado de https://eur-lex.europa.eu/legalcontent/ES/TXT/?qid=1557085844413&uri=CELEX:32019D0419
Decisión de Ejecución 2012/484/UE. Decisión de la Comisión, del 21 de agosto de 2012, de conformidad con la directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por la República Oriental del Uruguay en lo que respecta al tratamiento automatizado de datos personales [notificada con el número C(2012) 5704] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 227 (23 de agosto de 2012). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1557085422448&uri=CELEX:32012D0484
Decisión de Ejecución 2013/65/UE. Decisión de la Comisión, del 19 de diciembre de 2012, de conformidad con la directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por Nueva Zelanda [notificada con el número C(2012) 9557] (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 28 (30 de enero de 2013). Recuperado de https://eur lex.europa.eu/legal-content/ES/TXT/?qid=1557085232834&uri=CELEX:32013D0065
Directiva 95/46/CE. Directiva del Parlamento Europeo y del Consejo, del 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Diario Oficial de la Unión Europea, serie L, núm. 281 (23 de noviembre de 1995). Recuperada de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1559204767525&uri=CELEX:31995L0046
Directrices de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) sobre Protección de la Privacidad y Flujos Transfronterizos de Datos Personales. Adoptadas el 23 de setiembre de 1980. Recuperadas de http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm#part5
Estándares de Protección de Datos Personales para los Estados Iberoamericanos. Adoptados por unanimidad el 20 de junio de 2017, en el marco del XV Encuentro Iberoamericano de Protección de Datos de la Red Iberoamericana de Protección de Datos (RIPD).
Ley 13.709 [Brasil]. Lei geral de proteção de dados pessoais. Congresso Nacional. 14 de agosto de 2018. Diário Oficial da União, 15 de agosto de 2018. Recuperado de http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
Ley 1581 [Colombia]. Ley por la cual se dictan disposiciones generales para la protección de datos personales. Congreso de Colombia. 17 de octubre de 2012. Recuperada de http://www.sic.gov.co/sites/default/files/normatividad/Ley_1581_2012.pdf
Ley 29733 [Perú]. Ley de protección de datos personales. Congreso de la República del Perú. 21 de junio de 2011. Diario Oficial El Peruano, 3 de julio de 2011. Recuperado de https://www.minjus.gob.pe/wp-content/uploads/2013/04/LEY-29733.pdf
Ley Federal de Protección de Datos Personales en Posesión de los Particulares [México]. Cámara de Diputados. 27 de abril de 2010. Diario Oficial de la Federación, 05 de julio de 2010. Recuperado de http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
Maximillian Schrems c. Data Protection Commissioner. Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) del 6 de octubre de 2015. Asunto C-362/14.ECLI:EU:C:2015:650.
Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares [México]. Cámara de Diputados. 19 de diciembre de 2011. Diario Oficial de la Federación, 21 de diciembre de 2011. Recuperado de http://www.diputados.gob.mx/LeyesBiblio/regley/Reg_LFPDPPP.pdf
Reglamento General de Protección de Datos (RGPD). Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la directiva 95/46/CE (Reglamento general de protección de datos) (texto pertinente a efectos del EEE). Diario Oficial de la Unión Europea, serie L, núm. 119 (4 de mayo de 2016). Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/?qid=1559205159718&uri=CELEX:32016R0679