Una mayor cooperación, la definición de acuerdos y la adopción de estándares pueden impulsar las transferencias de datos entre países, velando por la seguridad de los datos y fomentando la innovación y la convergencia.
*Por Gabriel Parra, Gerente Regional de Políticas Públicas de ALAI.
El funcionamiento de Internet es inseparable de los flujos transfronterizos de datos: estos contribuyen a la creación de nuevas tecnologías, al fomento de la investigación y la innovación y a la disponibilización de servicios y productos globales. Para que todo eso sea posible, las transferencias de datos entre países deben ser compatibles con la protección de datos personales y con medidas tecnológicas que permitan proteger la integridad, la seguridad y la confidencialidad de las comunicaciones y datos de los usuarios.
A pesar de los beneficios económicos y sociales derivados de la transferencia internacional de datos y de la existencia de instrumentos legales y tecnologías que permiten la transferencia de manera segura, en América Latina las empresas aún enfrentan grandes obstáculos para transferir datos de un país a otro. Las barreras varían desde conflictos jurisdiccionales hasta la ausencia de una uniformidad regulatoria mínima, pasando por la falta de acuerdos internacionales y de decisiones de adecuación sobre el nivel de protección de datos de cada país. Estas limitantes inhiben el desarrollo digital latinoamericano, al impedir, complejizar o enlentecer la realización de una miríada de actividades en el entorno digital.
Habilitadores del flujo transfronterizo de datos
El camino para superar estas barreras inicia con una mayor cooperación: alianzas regionales y bilaterales, armonización y adopción de estándares por parte de diferentes jurisdicciones y acuerdos y memorandos de entendimiento entre las autoridades de protección de datos. Para avanzar en la construcción de estos acuerdos, es necesario capitalizar los espacios ya existentes, como es el caso de la Alianza del Pacífico.
Una acción fundamental es que los países latinoamericanos adopten la definición de “transferencia internacional de datos” del Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés). En sus directrices de noviembre de 2021, el EDPB identificó tres criterios acumulativos para calificarla: (i) que la actividad de procesamiento esté dentro del ámbito de aplicación del RGPD (Reglamento General de Protección de Datos), (ii) que los datos personales sean transmitidos del exportador, sujeto a RGPD, al importador, y (iii) que el importador esté ubicado en un tercer país u organización internacional (es decir, fuera de la Unión Europea). De ello se desprende que la recolección directa de datos de personas situadas en territorio europeo por parte de una entidad situada fuera de la Unión Europea no caracteriza una transferencia internacional. A pesar de su importancia para la habilitación de todo tipo de usos de herramientas digitales fundamentadas en el tratamiento de datos, este concepto aún no ha sido adoptado ampliamente en Latinoamérica.
Instrumentos: Decisiones de adecuación, cláusulas contractuales modelo y normas corporativas vinculantes
Es necesario disponibilizar instrumentos legitimadores de las transferencias internacionales. Las decisiones de adecuación se destacan como el mecanismo más eficiente: aseguran que la transmisión se realice libremente, sin autorizaciones ni formalizaciones. No obstante, este proceso es complejo e involucra muchas variables, por lo cual una decisión puede tomar años. En Latinoamérica, únicamente Uruguay y Argentina han logrado una decisión de adecuación por parte de la Comisión Europea.
Por ende, ante la ausencia de decisiones de adecuación, es importante desarrollar Cláusulas Contractuales Modelo (CCM). Estas deben contemplar enfoques basados en riesgos: se debe ofrecer mayor agilidad a las transferencias de bajo riesgo a su vez que se formaliza un manejo adecuado para las transferencias de alto riesgo. Las CCM también deben ser flexibles, con principios y requisitos de línea de base que permitan crear cláusulas adicionales para necesidades específicas sin que se contravengan las disposiciones elementales establecidas por las autoridades. Asimismo, es necesario adoptar enfoques modulares, con reglas diferenciadas y módulos de cláusulas específicas para exportadores e importadores de datos, teniendo especialmente en cuenta las diferentes responsabilidades de cada agente de tratamiento en la cadena de flujo de datos. Esto facilita las transferencias, ayudando a los agentes de tratamiento a adaptarse a cada situación en la práctica. Cabe señalar que la RIPD (Red Iberoamericana de Protección de Datos) elaboró la Guía de Implementación de Cláusulas Contractuales Modelo para la Transferencia Internacional de Datos Personales, una primera primera aproximación para que los intercambios dentro de Latinoamérica y el Caribe sean más fluidos.
Por último, si bien representan un mecanismo más burocrático y tienen como objetivo principal ser utilizadas por un grupo empresarial específico—razón por la cual no deben ser priorizadas de la misma manera que otros instrumentos—están las normas corporativas vinculantes (Binding Corporate Rules, BCR). Estas deben ser flexibles y conceder suficiente autonomía a los agentes de tratamiento para que puedan definir su contenido. Además, si se utilizan entre diferentes grupos, debe ser factible incorporar ajustes en relación con aspectos relevantes que puedan ser cambiantes, como la naturaleza de los datos, el volumen y la finalidad de la transferencia. En todo caso, el proceso de aprobación no debe ser costoso al punto de resultar inviable para las empresas.
Para que los intercambios en Latinoamérica sean fluidos y seguros, se debe poner a disponibilidad de las empresas este conjunto de herramientas en su totalidad. Así, es clave garantizar la libre elección de los instrumentos de transferencia internacional de datos más adecuados para cada caso, siempre conforme a la legislación aplicable. Asimismo, debemos evaluar la integración de nuevos modelos, como el CBPR (Cross-Border Privacy Rules), desarrollado por el foro de Cooperación de Asia Pacífico y contemplado en el T-MEC. También es fundamental que las autoridades desarrollen regímenes de transición para que las empresas dispongan del tiempo y de los medios para adaptarse a nuevas normativas y para evitar la sobrecarga de agentes de tratamiento.
Una pieza imprescindible para el desarrollo
El flujo transfronterizo de datos es imprescindible para el desarrollo digital regional y para una economía digital más integrada en beneficio de América Latina. Inextricablemente vinculadas al funcionamiento de Internet, las transferencias internacionales de datos brindan beneficios económicos y sociales a usuarios y a empresas, mientras juegan un rol esencial en el ejercicio de los derechos de acceso a la información, libertad de expresión y asociación.
Latinoamérica tiene por delante un desafío ineludible: buena parte del futuro del desarrollo digital regional depende de lo que se comience a hacer hoy mismo para promover un flujo transfronterizo de datos eficiente, ágil y seguro. También tenemos una deuda pendiente: construir nuestra propia visión latinoamericana de la protección de datos personales, aprendiendo de las buenas prácticas internacionales, pero adaptándolas con una visión regional a nuestras propias necesidades y valores.
Notas relacionadas
Internet Abierta: marcos regulatorios que resguarden el flujo transfronterizo de datos
Privacidad y tecnología: entre desafíos y posibles soluciones
Eliminación de barreras al comercio digital: desafíos de logística