Transferencias de datos personales México – España / España – México. Asimetría de regulación

transferencias_mexico

Por Héctor E. Gúzman Rodríguez

Hablar de transferencias de datos personales y su regulación en diversas jurisdicciones puede ser tan entretenido como sorprendente, según el país desde el que se analice este acto jurídico.

Para más de un entendido en la materia, que existan diferencias entre la legislación de un país y otro resulta más que evidente, aún y cuando en la Unión Europea se sigue esperando la aprobación del Reglamento general que vendría a uniformar para todos sus Estados Miembros las reglas relativas al tratamiento de datos personales.

Pero sobre el particular, y en consideración de los diversos intereses económicos que existen entre uno y otro país, nos parece práctico poner de relieve que una transferencia de datos personales desde México a España no deberá cumplir con los mismos requisitos formales que una transferencia desde España a México, aunque en ambos casos, y en última instancia, deberá garantizarse la seguridad de los datos personales transferidos y el cumplimiento de (casi) todos los principios que regulan el tratamiento de este tipo de datos (a día de hoy, México incorpora en su legislación el principio de responsabilidad [accountability]).

La primera diferencia relevante (la más relevante, quizás) consiste en la autorización para poder llevar a cabo la transferencia desde un país hacia el otro. Desde México, NO sería necesario obtener una autorización, en ningún momento. Existe, sin embargo, la posibilidad de que los responsables puedan solicitar al Instituto Federal de Acceso a la Información y Protección de Datos (el «IFAI») su opinión sobre la licitud de la transferencia (artículo 76 del  Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares – el “RLFPD” y la “LFPD”).

Desde España, y hasta en tanto México no sea considerado por la Comisión Europea como un país que ofrece un nivel de protección a los datos personales, similar al que ofrece la legislación europea, para poder llevar a cabo una transferencia hacia ese país SERÁ necesario obtener autorización previa del Director de la Agencia Española de Protección de Datos (la «AEPD») (artículo 33 de la Ley Orgánica 17/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal – LOPD) o acreditar que concurre alguno de los supuestos previstos en el artículo 34 de la misma LOPD. La autorización otorgada además sería inscrita en el Registro General de Protección de Datos.

Desde un punto de vista semántico (con trascendencia jurídica) también existen diferencias. En España existen cesiones de datos y transferencias (internacionales) de datos. De hecho,  HYPERLINK , que las comunicaciones de datos dentro del Espacio Económico Europeo (el “EEE”) constituyen cesiones de datos a efectos de la aplicación de la LOPD.

En México, salvo la existencia de un evidente error legislativo que mantuvo el término «cesión» dentro de la normativa mexicana (artículo 63, fracción XII de la LFPD), no se regulan cesiones de datos. Existen «transferencias nacionales» y «transferencias internacionales». La comunicación de datos desde un responsable hacia un encargado se reputa como «remisión».

A todos los efectos, el RLFPD establece que las transferencias internacionales “serán posibles cuando el receptor de los datos personales asuma las mismas obligaciones que corresponden al responsable que transfirió los datos personales.” (artículo 74).

En cuanto a la forma de informar a los interesados/titulares sobre las transferencias de sus datos personales, también existen diferencias. En México, esta información debe proporcionarse a través del Aviso de Privacidad correspondiente (artículo 36 LOPD); en España esta información está disponible para los interesados a través del Registro de Ficheros (públicos o privados) de la AEPD, en el que los propios responsables han comunicado la existencia, destino y finalidad de sus transferencias de datos (artículo 55 RLOPD).

Por otro lado, en ambos países existe el mismo principio general: toda comunicación/transferencia de datos personales podrá efectuarse si el titular de los datos ha otorgado su consentimiento para ello. También existen en México y España una serie de supuestos en los cuales el consentimiento del afectado no resulta necesario para poder llevar a cabo la cesión/transferencia de sus datos.

Los supuestos de excepción son muy similares en ambas normativas, pero destaca el tercer supuesto de excepción previsto en el artículo 37 de la LFPD mexicana:

“Artículo 37.- Las transferencias [..] internacionales de datos podrán llevarse a cabo sin el consentimiento del titular cuando se dé alguno de los siguientes supuestos:

[…]

III. Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas; […]”

Así pues, en México podrán llevarse a cabo transferencias de datos personales hacia empresas del mismo grupo corporativo sin el consentimiento de sus titulares; y si éstas fueran a efectuarse hacia sociedades establecidas en el extranjero, el responsable sujeto a la normativa mexicana podrá efectuarlas a cualquier país sin tener que contar con autorización previa para ello.

En España, el escenario es distinto. Si la comunicación de datos personales hacia empresas del mismo grupo corporativo no acciona alguno de los supuestos del artículo 11.2 LOPD, no HYPERLINK exenta del consentimiento de los interesados. Además, si alguna de dichas empresas estuviese establecida fuera del EEE y no residiese el alguno de los países y territorios que la Comisión Europea considera que brindan un «nivel adecuado de protección», el responsable sujeto a la normativa española deberá obtener la autorización previa a la que ya hemos hecho mención.

Todo lo anterior corrobora que, en un entorno internacional, no debemos dar por sentado que las reglas relativas al tratamiento de datos personales son las mismas, necesariamente, en un país que en otro. En muchos aspectos, esta forma de pensar tendría cabida, pero hablando de transferencias internacionales de datos personales, desde luego será necesario analizar desde dónde y hacia dónde pretenden efectuarse.

Publicado originariamente por el autor en Lawyerpress.