Mecanismos que otorgan garantías adecuadas suelen ser las cláusulas contractuales modelo.
Publicación servirá para orientar a superar las limitaciones en las TIDP y contribuirá a que estas se efectúen en condiciones que protejan el derecho de los titulares.
El Poder Ejecutivo publicó la ‘Guía de Implementación de Cláusulas Contractuales Modelo para la Transferencia Internacional de Datos Personales’, la cual busca establecer los principales aspectos que se deberán tener en cuenta, según los estándares mundiales de protección, cuando se efectúen estas operaciones.
La Autoridad Nacional de Protección de Datos Personales (ANPD) del Ministerio de Justicia y Derechos Humanos (Minjusdh) considera que el documento servirá de orientación para superar las limitaciones en las transferencias internacionales de datos personales (TIDP) y contribuirá a que se efectúen bajo condiciones que resguarden el derecho de los titulares de los datos.
La publicación se basa en la ‘Guía de Implementación de Cláusulas Contractuales Modelo para la Transferencia Internacional de Datos Personales’ que publicó la secretaría permanente de la Red Iberoamericana de Protección de Datos (RIPD), afirma el portafolio.
Características
De acuerdo con la guía, las disposiciones sobre las TIDP que se encuentran en las leyes de protección de datos de los países iberoamericanos buscan garantizar la continuidad del nivel de seguridad previsto en sus normas cuando ocurra una transferencia de datos personales a un tercer país que se considere no adecuado o que presente un nivel distinto de protección de esos datos personales.
Los países podrán reconocer a otras jurisdicciones como “adecuadas” a su legislación de datos personales en función del nivel de protección que garantice la legislación aplicable, señala.
En virtud del principio general de prohibición de TIDP, indica, a falta de una decisión de adecuación o referencia específica en el país exportador de datos, el responsable o el encargado solo podrán transferir datos personales a un tercer país si se han ofrecido garantías adecuadas y a condición de que los titulares cuenten con derechos exigibles y acciones judiciales eficaces para tutelar sus derechos, mediante normas corporativas vinculantes (NCV) o por cláusulas contractuales modelo (CCM).
En términos generales, se considerará que un país es adecuado cuando presente ciertos elementos en su sistema jurídico que permita concluir que los datos personales se ampararán adecuadamente, explica la guía.
Por ejemplo, refiere, bajo las normas de la Unión Europea (UE), entre los elementos que se suelen evaluar para determinar el nivel de adecuación figura el Estado de derecho, que incluye el respeto a los derechos humanos y fundamentales en ese sistema jurídico.
Se suma la legislación vigente tanto general como sectorial sobre datos personales; las medidas de seguridad aplicadas; las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país y los derechos reconocidos a los titulares de datos personales mediante recursos administrativos y acciones judiciales efectivos.
También la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país, así como los compromisos internacionales asumidos por este tercer país u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales.
Los ‘Estándares de protección de datos personales para los Estados Iberoamericanos de la RIPD’ disponen que la legislación nacional de los países miembro aplicable en la materia podrá establecer expresamente límites a las transferencias internacionales de categorías de datos personales por razones de seguridad nacional, seguridad pública, protección de la salud pública, protección de los derechos y libertades de terceros, así como por cuestiones de interés público, rememora la guía.
Numerosas normas, indica, contienen excepciones a la regla que prohíbe la TIDP a países o jurisdicciones no adecuadas. Así, por ejemplo, son excepciones el consentimiento del titular, el interés público, la ejecución o celebración de un contrato o los intereses vitales del interesado, detalla.
Aplicaciones
La guía puntualiza que un punto importante para tener en cuenta es que estas excepciones a las TIDP no se podrán aplicar en forma continua para todo tipo de transferencias, sino que, debido a su naturaleza excepcional, se destinará para una operación específica y concreta.
Ahora bien, si el país destino carece de un reconocido nivel adecuado de protección, la TIDP se podrán realizar mediante un mecanismo de transferencia que otorgue garantías adecuadas, o mediante la aplicación de alguna de las excepciones previstas en la normativa local.
Los mecanismos de TIDP que otorgan garantías adecuadas suelen ser las cláusulas contractuales modelo, las normas corporativas vinculantes, el código de conducta aprobado con arreglo a la ley aplicable, el mecanismo de certificación y los instrumentos jurídicamente vinculantes y exigibles entre las autoridades u organismos públicos, puntualiza.
Expansión de principios
El uso de cláusulas contractuales modelo podrá ayudar a superar las posibles limitaciones a las transferencias de datos que se deriven de las diferencias existentes en el nivel de protección entre los diferentes países.
La guía recuerda que el instituto del contrato está presente en todos los ordenamientos jurídicos iberoamericanos y sirve para comprometer al importador de datos a respetar los datos personales del titular una vez que están en la jurisdicción de destino.
Al mismo tiempo, indica, la expansión de principios de protección de datos mediante redes de contratos internacionales impacta en la región, pues fija estándares comunes con los que se familiarizan las empresas. “Esto facilita en el futuro la alineación de la legislación nacional con las normas y estándares internacionales de protección de datos personales”, recalca.
