Estándar Internacional para las Transferencias de Datos Personales. Un camino por recorrer hacia la seguridad y confianza en los Negocios y Entornos Digitales.

En este escrito haremos una breve descripción de lo que motiva la pronta puesta en marcha de mecanismos internacionales uniformes que definan estándares para el manejo de las transferencias internacionales de datos, plantearemos de manera general como las tendencias americana y europea e instituciones a nivel mundial han regulado la materia y finalmente abordaremos la propuesta de un estándar que contiene mejores prácticas en materia de transferencia de datos, la cual consideramos que es el camino a seguir para dinamizar el comercio internacional de datos, pero a su vez, garantizando los derechos de los titulares de datos.

El surgimiento de una economía interconectada y el impulso de las redes sociales, han generado una cultura de datos que ha merecido un reconocimiento en las legislaciones de cada país, con ocasión al crecimiento de las actividades económicas de transferencia de datos permitiendo así garantías mínimas en materia de información personal, sin embargo, la era digital trae consigo una responsabilidad compartida entre quien suministra la información y quien es responsable de su protección, lo que una vez más ratifica la importancia de la confianza en los negocios.

Inicialmente en el mundo cada país protege con la expedición de regulaciones y normas, la transferencia internacional de datos, de manera general podemos observar cómo varios organismos a nivel mundial también aportan en el desarrollo de las problemáticas observadas según el fin de los negocios abordados, es por ello que la necesidad se direcciona en establecer: ¿Qué mecanismos de protección personal se podrían adaptar para llevar a cabo la transferencia internacional de datos personales?

Hay tres criterios estudiados en materia de protección de datos. Por un lado, dónde se considera la protección de los datos a través de un carácter constitucional y general como en Colombia, por otra parte, se encuentra el derecho europeo como el más estricto en regulación, luego el sistema de los Estados Unidos, que tiene un sistema bifurcado, que permite regular al sector privado en lo referente a protección de datos y existe una regulación general para los datos que posee cada Estado.

Los instrumentos de derecho internacional que influencia a Colombia frente a la protección de los derechos a la intimidad y protección de datos, en este caso sería tanto como los de la Unión Europea por existir actualmente un TLC[1] y organizaciones internacionales[2] como la OEA donde Colombia forma parte desde su fundación y la OCDE.

Es así como Colombia ha incluido en la Ley 1581 de 2012 lineamientos frente a la transferencia de datos, sus principios, determinación de autoridades competentes para la supervisión, permitiendo el goce pleno de los derechos y las garantías en materia de información personal. Sin embargo, en Colombia las directrices emitidas por la Superintendencia de Industria y Comercio en materia de transferencia internacional de datos se quedaron como principios que manejan prohibiciones que se quedan cortas ante las nuevas exigencias mundiales, puesto que solo refería datos en circunstancias especiales, es así como la circular[3] amplía el campo de determinación frente a unos mínimos de cumplimiento para garantizar los derechos en las transferencias, sin embargo y como se observa, Colombia cuenta con una normativa del año 2008 y 2012 con algunas parciales que se basaban en las necesidades de casi 10 años atrás  a la actual práctica comercial por lo que Colombia consideramos no está a la vanguardia de los lineamientos necesarios para la realización de transferencia internacional de datos personales.

Además, la existencia de las dos influencias internacionales en materia de transferencia internacional de datos personales como: la del derecho europeo y la del derecho americano, aportan perspectivas tendientes a proteger los derechos de las personas como la intimidad, la protección de datos, no obstante, es de vital importancia establecer un estándar unificado mundial que logre la protección de los derechos que podrían transgredirse en la transferencia internacional de datos personales.

En Europa con la expedición del Reglamento General de Protección de Datos (RGPD) se ha generado la necesidad de contar con un grado de protección superior, igual o similar al Estado exportador; por lo que es determinante contar con la protección adecuada en la transferencia de datos ya que estas situaciones generan flexibilidad y vacíos jurídicos; escenarios menos competitivos y desinformación democrática; todo esto impide el crecimiento económico de un país. Opuesto a lo anterior, en Estados Unidos no existe una legislación federal que proteja los datos de los usuarios y la privacidad equiparable al RGPD, sino más bien al contrario, solo existen normativas sectoriales que regulan diferentes ámbitos como: Ley de Protección de la Privacidad de Menores de los Estados Unidos (COPPA), la Ley de Transferencia y Responsabilidad del Seguro Médico en EE.UU (HIPAA) o la Ley de cumplimiento Fiscal de Cuentas en el Extranjero (FATCA), entre otras. Sumado a ello se encentra el Escudo de privacidad UE-EE.UU, el cual no proporciona las garantías adecuadas por parte de la autoridad de control y las obligaciones previas a las transferencias no abordadas por los responsables y destinatarios, además de factores como la primacía de las entidades estadounidenses, carece de garantías para una tutela judicial efectiva y con ello las cláusulas contractuales no vinculantes ante autoridades judiciales, y la falta de autonomía de la figura del defensor del pueblo; lo que llevo a invalidar la normatividad que le permitía realizar transferencias de datos personales entre Estados Unidos y Europa dentro de un marco con las garantías suficientes a los derechos de las partes.

Así mismo, existen instituciones internacionales que han emitido recomendaciones acerca del tema de protección de datos tendientes además a la creación de principios que unifiquen el derecho, como también la cooperación internacional y regional para ahondar esfuerzos en materia de protección de datos, alentar al diseño, ejecución y evaluación de las legislaciones e identificar nuevos recursos que faciliten el acceso con la mayor protección a estos derechos que se han visto tan vulnerados por el avanzado crecimiento tecnológico.

En la actualidad existen tantos principios y modelos para realizar transferencia de datos personales, lo que ha provocado que cada país establezca parámetros regulatorios diversos y muchas veces insuficientes, conllevando a una diversidad de prerrogativas que sin duda no apunta a la tutela efectiva de los derechos de los cuales son titulares quienes expresan su consentimiento para que sus datos crucen fronteras.

Por todo lo anterior, consideramos importante implementar nuestra propuesta unificadora que enfrente los desafíos de la seguridad en la transferencia internacional de datos personales impulsando las economías a gran escala, aportando competitividad entre los diferentes países y generando la confianza que se requiere para asignar una parte de nuestro derecho de intimidad.

La propuesta se encamina a proporcionar una visión estructural y funcional basado en principios[4] que impulsen el mejoramiento continuo y mejores prácticas en la transferencia internacional de datos, prevé que el consentimiento para el tratamiento de los datos sea: libre y racional, que se presenten decisiones automatizadas, que se pueda presentar el Consentimiento ulterior de manera excepcional,  que se definan medidas de seguridad por capas y teniendo presente el tipo de dato que se trata, así como la determinación de derechos y deberes entre las partes generando confianza en el comercio internacional, donde prevalece la hiperconectividad, la implementación de un ente certificador internacional en esta propuesta genera la confianza necesaria para que las partes que intervengan en las transferencias internacionales de datos desarrollen dicha actividad sin estar limitados dentro del comercio, sin dejar de lado el control permanente de dichas actividades promoviendo la participación de los Estados y empresas de economías emergentes como la colombiana. Y finalmente nuestra propuesta contempla que cada dos años, este ente certificador emita el sello de confiabilidad, para que se emita el este sello, es importante que cada empresa, cumplan con requisitos mínimos y atienda las auditorias y/o recomendaciones que emita este, sin perjuicio de las multas que puedan imponer el ente por la inobservancia de sus directrices. De esta forma se responde a la unificación de prácticas comerciales con el propósito de construir plataformas de interacción fácil y eficaz que posibiliten un intercambio de información más consciente, seguro y competitivo.

[1] Tratado de Libre Comercio con la Unión Europea, entro en vigencia el 1 de agosto de 2013. Colombia es el principal socio comercial de la UE en la Comunidad Andina y el quinto en América Latina. Revista Portafolio. Septiembre 19 de 2016. Disponible en: www.portafolio.co/opinion/otros-columnistas-/acuerdo-comercial-ue-colombia-mas-diversificacion-y-desarrollo-mutuo-500448

[2] OCDE, OEA, ONU, APEC, CIAPDP, RIPD, ISO.

[3] COLOMBIA, SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Circular N°. 5, 10 de agosto de 2017.

[4] Veracidad, responsabilidad demostrada, finalidad, limitación de recolección, notificación, debido proceso, seguridad, certificación, planeación, progresividad