8 Circulación transfronteriza de los datos personales

Circulación transfronteriza de los datos personales

INAI. (2015). Ejercicio de los derechos ARCO


2

Catedra Iberoamericana De Protección De Datos Personales

Módulo 8.


Versión 3 del 10-XII-2015

Profesor: Nelson Remolina Angarita∗

Descripción del módulo

Este módulo se centra en explicar en qué consiste las transferencias y las recolecciones internacionales de datos personales. Al mismo tiempo, pretende destacar los retos de la recolección internacional de datos personales.

Propósito del módulo

El estudio del módulo debe servir para conocer las alternativas para realizar transferencias internacionales de datos así como los retos de la recolección internacional de dicha información.

∗ Nelson Remolina Angarita. Doctor Summa Cum Laude en Ciencias Jurídicas de la Pontificia Universidad Javeriana (Bogotá, Colombia). Master of Laws, The London School of Economics and Political Sciences (LSE). Abogado y Especialista en Derecho Comercial de la Universidad de los Andes. Profesor Asociado de la Facultad de Derecho de la Universidad de los Andes. Director de la Especialización en Derecho Comercial. Fundador y director del GECTI -Grupo de Estudios en internet, Comercio electrónico, Telecomunicaciones e Informática- de la Universidad de los Andes (Bogotá, Colombia) http://gecti.uniandes.edu.co/2014/ y del Observatorio Ciro Angarita Barón sobre protección de datos http://habeasdatacolombia.uniandes.edu.co/

Ganador del Premio Protección de Datos Personales de Investigación 2014, conferido por la Agencia Española de Protección de Datos (AEPD) sobre trabajos originales e inéditos que traten acerca del derecho a la protección de datos en países iberoamericanos. Recibió la medalla del “Orden al Mérito Académico Javeriano” (2015) por el sobresaliente desempeño académico durante los estudios de Doctorado.

Autor de libros y artículos especializados en tratamiento de datos personales, comercio electrónico y títulos valores.

Contacto: [email protected]


3

Competencias generales

• Adquirir los conocimientos que permitan diferenciar las transferencias internacionales de la recolección internacional de datos

• Conocer las opciones jurídicas para efectuar transferencias internacionales de datos personales

Contenido del módulo (temas y subtemas)

El contenido de este módulo, con los temas y subtemas correspondientes, es el siguiente:

8.1 Transferencias internacionales

8.2 Recolecciones internacionales

Desarrollo Temático

8.1 Transferencias internacionales

Las transferencias internacionales de datos personales (en adelante TIDP) fueron una de las principales razones que motivaron la regulación sobre tratamiento de datos personales1. En otras palabras, las transferencias internacionales de datos forman parte del ¿qué? y del ¿por qué? se quería regular y armonizar ciertas cuestiones. Más allá de conocer la razón de regular las TIDP resulta pertinente analizar el ¿cómo? dichas regulaciones procuran proteger los derechos de los titulares de los datos cuando su información se remite a otros países.

Lo anterior es trascendente determinarlo para poder establecer si las herramientas regulatorias previstas para las TIDP son útiles en el caso de la recolección internacional de datos personales (en adelante RIDP). En otras palabras, es importante establecer las reglas para exportar datos de un país a otro con miras a determinar si las mismas pueden reproducirse en el caso de la recolección de datos desde otro país. De ser así, las reglas sobre TIDP podrían ser una buena práctica2 que se podría replicar al caso de la RIDP.

1 Sobre este tema consultar la siguiente obra: REMOLINA ANGARITA, Nelson. 2015. Recolección internacional de datos: un reto del mundo post internet. BOE – Boletín Oficial del Estado. Madrid, España. ISBN 978-84-340-2196-9.

2 La expresión “buena práctica” usualmente se refiere a experiencias que han producido resultados positivos, demostrando su eficacia y utilidad en un contexto concreto. Señala Beatriz Boza que una buena práctica es “una actividad o proceso que ha producido destacados resultados en el manejo de una organización y que puede ser replicada en otras organizaciones para mejorar la efectividad,


4

Previo a lo anterior, nos parece pertinente recalcar que las transferencias internacionales junto con la privacidad fueron los principales motivos que dieron origen a la regulación sobre tratamiento de datos personales. Veamos.

Transferencias internacionales de datos y privacidad como motores de la armonización regulatoria sobre tratamiento de datos personales

El tratamiento de datos personales se ha caracterizado por su internacionalidad, gracias al carácter transfronterizo de buena parte de su recolección, uso y circulación. Las TIC ha facilitado que las actividades comerciales y el tratamiento de datos tiendan a ser transnacionales. En efecto, quien utiliza una página electrónica en Internet puede llegar a personas de cualquier parte del mundo y le da a su actividad connotaciones de alcance internacional. A su vez, también podría recolectar datos de las personas que visitan su página web.

La naturaleza global, internacional y transfronteriza de buena parte de muchas actividades como, entre otras, el comercio electrónico realizado a través de Internet3 ha sido un elemento determinante de la necesidad de contar con una regulación apropiada ya que el uso de las TIC en las actividades comerciales cuestiona la función y la eficacia de las instituciones de ámbito de aplicación local en el comercio internacional y contribuyen a acelerar el fenómeno de la globalización4.

eficiencia e innovación de las mismas” [BOZA, Beatriz. 2004. Acceso a la información del Estado: marco legal y buenas prácticas. Lima, Perú: Konrad Adenauer Stiftung. P 71]

No obstante, señala el International Bureau of Education (IBE) de la UNESCO que definir el concepto de “buena práctica” no es fácil, pues este concepto se aplica con varios contextos. “Se puede considerar que las “buenas prácticas” corresponden a casos en los cuales procesos y comportamientos han obtenido resultados positivos, es decir, que las “buenas prácticas” son comparables a las “mejores prácticas”. Otros definen una “buena práctica” de manera más general, “considerándola como un enfoque que frecuentemente es innovador, que ha sido probado y evaluado y que tiende a tener éxito en otros contextos. Una buena práctica es la innovación que permite mejorar el presente y por lo tanto es o puede ser un modelo o norma para determinado sistema”. Publicado en: http://www.ibe.unesco.org/Spanish/AIDS/BPractices/BPratiques_home.htm. Ultima consulta: Noviembre 5 de 2013)

3 La naturaleza global de Internet fue destacada mediante resolución del 24 de Octubre de 1995 de la Federal Networking Council de los Estados Unidos, a saber: “Entendemos por Internet un sistema global de información que: 1) Está relacionado lógicamente por un único espacio global de direcciones basado en el protocolo IP o en sus extensiones; 2) Es capaz de soportar comunicaciones usando el conjunto de protocolos TCP/IP o sus extensiones y/o otros protocolos compatibles con IP; 3) Proporciona, usa o hace accesible, de manera pública o privada, servicios de alto nivel en capas de comunicaciones y otras infraestructuras relacionadas”.

4 Un análisis de la incidencia de las tecnologías en la globalización puede consultarse en: GUIDDENS, Anthony. 2003. Runaway world: How globalisation is reshaping our lives. New York Routledge.


5

El comercio internacional y el comercio electrónico requieren de la circulación internacional de datos personales5. En adición a la libre circulación de mercancías, personas y capitales, el tráfico de datos personales entre estados es un insumo importante para el funcionamiento del mercado y el éxito de varios negocios. Las disparidades entre legislaciones nacionales sobre privacidad y tratamiento de datos personales son barreras para el desarrollo de estas actividades porque impiden la circulación transfronteriza de la información en comento.

Desde los años setenta se resaltaba la necesidad de “adoptar medidas tendentes a evitar que se originen nuevas divergencias” 6 sobre la privacidad y el tratamiento de datos entre el derecho de los países europeos. Una concepción común del derecho a la protección de datos es importante para garantizar globalmente el cumplimiento del mismo y eliminar barreras injustificadas para su circulación. Por eso se han promovido un conjunto de principios generales, de instituciones y de reglas especiales que progresivamente nutren y oxigenan las estructuras y el funcionamiento jurídico propio de las actividades sobre los datos personales en los ámbitos nacional e internacional. Dicho conjunto ha inspirado y ha sido el referente para la expedición de regulaciones en varios países como Colombia, tal y como lo veremos posteriormente.

Así pues, desde hace tiempo existe la tendencia de unificar o por lo menos de armonizar internacionalmente la regulación sobre tratamiento de datos personales con miras a evitar que las diferencias entre las regulaciones nacionales, los modelos de protección de datos y las tradiciones jurídicas, no se conviertan en un obstáculo7 para su uso en el comercio internacional y a su vez se protejan adecuadamente los derechos de las personas titulares de los datos. En línea con lo anterior, la Red Iberoamericana de Protección de Datos (en adelante RIPD) ha manifestado que el “establecimiento de un marco armonizado de protección de datos a nivel global ha sido el principal fundamento de la adopción de los distintos instrumentos internacionales actualmente existentes en materia de protección de datos. Se trata así de garantizar que el desarrollo del comercio a nivel

5 Esto luego lo corroboraremos con lo que varias organizaciones internacionales expresan al respecto

6 Cfr. Párrafo cuarto de la exposición de motivos de la Resolución (73) 22 relativa a la protección de la privacidad de las personas físicas respecto de los bancos de datos electrónicos en el sector privado expedida por el Comité de Ministros del Consejo de Europa el 26 de septiembre de 1973. El texto de la Resolución puede consultarse en: AGENCIA DE PROTECCION DE DATOS, ed. 1997. El Consejo de Europa y la protección de datos personales. 1 ed. Madrid, España: Agencia de Protección de Datos. Pags 31-33

7 En efecto, en la Resolución de Estrasburgo las Autoridades de Protección de Datos y Privacidad pusieron de presente que “Las diferencias persistentes en materia de protección de datos y respeto de la privacidad en el mundo, y especialmente la ausencia de garantías en muchos Estados, perjudican los intercambios de datos personales y la puesta en práctica de una protección de datos efectiva y global”. Por eso, “el desarrollo de reglas internacionales que garanticen, de un modo uniforme, el respeto a la protección de datos y a la privacidad, resulta prioritario” [AUTORIDADES DE PROTECCIÓN DE DATOS Y PRIVACIDAD. 2008. Resolución relativa a la urgente necesidad de proteger la privacidad en un mundo sin fronteras, y de alcanzar una propuesta conjunta para el establecimiento de estándares internacionales sobre privacidad y protección de datos personales]


6

mundial resulte compatible con la protección de los derechos de las personas, especialmente en lo que se refiere a la protección de la información que les concierne” 8

Las respuestas normativas al tratamiento de datos personales mediante las TIC se caracterizan por tener enfoque internacional y ser armonizadas. Por eso, la recolección, el almacenamiento, el uso, la circulación y demás actividades sobre los datos personales han sido objeto de una labor de armonización internacional regulatoria con miras a lograr un consenso jurídico coherente sobre temas cardinales de dicha materia.9

Durante el siglo XX se inició este proceso de armonización regulatoria internacional en donde los principales protagonistas han sido el Consejo de Europa (en adelante CE), la Organización para la Cooperación y el Desarrollo Económico (OCDE), la Organización de las Naciones Unidas (en adelante ONU), el Parlamento Europeo (en adelante PE), el Consejo de la Unión Europea (en adelante CUE). En el siglo XXI se sumaron a dicha gestión el Foro de Cooperación Económica Asia Pacífico (APEC por sus siglas en inglés), la Red Iberoamericana de Protección de Datos (en adelante RIPD) y las Autoridades de Protección de Datos y Privacidad (en adelante APDPr).

Concepto y denominación de las transferencias internacionales de datos

La transferencia internacional tiene lugar cuando los datos efectivamente salen fuera del territorio de un país (México) e ingresan al territorio de otro Estado (Colombia).

Una de las primigenias preocupaciones que abordaron las normas sobre tratamiento de datos personales fueron las transferencias de naturaleza transfronteriza o internacionales, la cuales son denominadas y definidas documentos internacionales de la siguiente manera:

8 Cfr. RED IBEROMERICANA DE PROTECCIÓN DE DATOS. 2007. Directrices para la armonización de la protección de datos en la comunidad Iberoamericana. p. 1. Continúa la RIPD señalando que de este modo, el establecimiento de un marco homogéneo de regulación del derecho a la protección de datos, bien mediante la adopción de instrumentos supranacionales de carácter vinculante, bien mediante la adopción de Leyes nacionales que consagren el contenido esencial de este derecho, garantizará el desarrollo del comercio en la zona, facilitando el intercambio de información entre los distintos operadores ubicados en los Estados Iberoamericanos y de éstos con terceros países, en particular los Estados miembros de la Unión Europea, en condiciones que no se vean restringidas como consecuencia del distinto nivel de protección del derecho fundamental a la protección de datos de carácter personal.”

9 En la citada declaración de UE-EEUU sobre comercio electrónico se puntualizó que “el papel de los gobiernos es proporcionar un marco legal claro y consistente, promover un entorno competitivo en el que el comercio electrónico pueda florecer y asegurar la protección adecuada de objetivos de interés público como la intimidad, los derechos de propiedad intelectual, la prevención del fraude, la protección del consumidor y la seguridad nacional”.


7

Denominación y/concepto de transferencia internacional

Directrices OECD de 1980 ““circulación transfronteriza de datos personales” se entenderá los movimientos de datos personales a través de fronteras nacionales”. (Literal –c- del numeral 1)

Convenio 108 de 1981 “Artículo 12. Flujos transfronterizos de datos de carácter personal (…) transmisiones a través de las fronteras nacionales, por cualquier medio que fuere, de datos de carácter personal”

Resolución 45/95 de la ONU (1990)

“9. Flujo de datos a través de las fronteras: (…) flujo de datos a través de sus fronteras (…)”

Directiva 95/46/CE “CAPÍTULO IV .TRANSFERENCIA DE DATOS PERSONALES A PAÍSES TERCEROS. Artículo 25 Principios. (…) transferencia a un país tercero”

Protocolo adicional de 2001 al Convenio 108

“Artículo 2- Transferencia de datos personales a destinatarios no sometidos a la competencia de las Partes del Convenio.

1. (…) transferencia de datos personales a un destinatario sometido a la competencia de un Estado u organización que no es Parte del Convenio”

Marco de Privacidad APEC (2004) “Responsabilidad. (…) Cuando la información personal vaya a ser transferida a otra persona u organización, nacional o internacional (…)” (Accountability, numeral 26)

Directrices de la Red Iberoamericana de Protección de Datos

“8. Limitaciones a la transferencia internacional de datos.

8.1. Como regla general sólo podrán efectuarse transferencias internacionales de datos al territorio de Estados (…)”


8

Resolución de Madrid (2009) “15. Transferencias Internacionales

1. Como regla general, podrán realizarse transferencias internacionales de datos de carácter personal cuando el Estado al que se transfieran dichos datos (…)“

Propuesta de Reglamento general de protección de datos del Parlamento Europeo y del Consejo (2012)

Capítulo V. Transferencia de datos personales a terceros países u organizaciones internacionales”

Denominación y/concepto de transferencia internacional en documentos internacionales. Elaboración de Nelson Remolina Angarita ©

En los documentos internacionales se evidencia pluralidad terminológica y conceptual sobre las transferencias internacionales. Aunque se trata de una cuestión presente en todos ellos, existen diversos grados de desarrollo del tema. Veamos cronológicamente lo que se refleja en dichos textos teniendo en cuenta las referencias existentes en los siglos XX y XXI. Esto es importante para tener claro a qué se refiere la transferencia internacional de datos y poder diferenciarla de la recolección internacional de datos personales que estudiaremos en el siguiente capítulo.

Durante el siglo XX la OCDE, el Parlamento y el Consejo Europeo así como la ONU se refirieron al tema en los siguientes términos: Inicialmente las Directrices OCDE de 1980 las denominó “circulación transfronteriza de datos personales” para hacer referencia a “los movimientos de datos personales a través de fronteras nacionales”10. Desde un principio se estableció la necesidad de traspasar las fronteras territoriales como un requisito distintivo de las TIDP. Posteriormente, el Convenio 108 de 1981 las llamó “Flujos transfronterizos de datos de carácter personal” refiriéndose a las “transmisiones a través de las fronteras nacionales, por cualquier medio que fuere, de datos de carácter personal”11.

Luego en la Resolución 45/95 de la ONU (1990) fueron denominados “Flujo de datos a través de las fronteras”12 sin precisar definición alguna aunque puede derivarse que dicha situación se da cuando los datos pasan los límites territoriales de un país. Finalmente, en la Directiva 95/46/CE se denominan “transferencia a un país tercero”13 sin que exista una definición14 que precise el alcance de dicha expresión.

10 Cfr. Directrices OCDE de 1980, Literal –c- del numeral 1 11 Convenio 108 de 1981, artículo 12 12 Resolución 45/95 de la ONU (1990), numeral 9 13 Directiva 95/46/CE, Capítulo IV titulado “Transferencia de datos personales a países terceros” (artículos 25 y 26)


9

En el siglo XXI nuevamente el tema es abordado en documentos y propuestas del Parlamento y el Consejo Europeo y la OCDE pero ingresan en la escena otras organizaciones como APEC, las Autoridades de Protección de Datos y la RIPD. El primer documento de este siglo fue el Protocolo adicional de 2001 al Convenio 108 en donde se regulan la “Transferencia de datos personales a destinatarios no sometidos a la competencia de las Partes del Convenio” para hacer referencia a la “transferencia de datos personales a un destinatario sometido a la competencia de un Estado u organización que no es Parte del Convenio”15. En otras palabras, fija reglas para transferir datos a países donde dicho convenio no es jurídicamente vinculante.

Posteriormente, en el Marco de Privacidad APEC de 2004 no se hace referencia explícita a la transferencia internacional de datos o a una expresión similar pero dentro del principio de “Responsabilidad” (Accountability) se hace alusión a la situación en que la información vaya a ser transferida a otra persona u organización, nacional o internacional16. Luego, en las Directrices de la Red Iberoamericana de Protección de Datos (RIPD) se utiliza la expresión “transferencia internacional de datos”17 sin definición alguna. En 2009, la Resolución de Madrid incorpora la expresión “Transferencias Internacionales”18. En la Propuesta de 2012 de Reglamento general de protección de datos del Parlamento Europeo y del Consejo, siguiendo lo planteado en la Directiva 95/46/CE se les denomina como “Transferencia de datos personales a terceros países u organizaciones

14 Esto fue reconocido por el TJUE en el siguiente caso: TRIBUNAL DE JUSTICIA DE LA UNION EUROPEA. 2003. Göta hovrätt - Suecia y Bodil Lindqvist. Asunto C-101/01. En dicha sentencia, el tribunal señala algunas cuestiones sobre la publicación de datos personales en Internet y las transferencias de datos personales a terceros países. Estos planteamientos –dice la sentencia – “se suscitaron en el marco de un proceso penal seguido ante dicho órgano jurisdiccional contra la Sra. Lindqvist, acusada de haber infringido la normativa sueca relativa a la protección de datos personales al publicar en su sitio Internet diversos datos de carácter personal sobre varias personas que, como ella, colaboraban voluntariamente con una parroquia de la Iglesia protestante de Suecia”. Estas fueron algunas de las conclusiones del TJUE: En primer lugar, “la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un «tratamiento total o parcialmente automatizado de datos personales» en el sentido del artículo 3, apartado 1, de la Directiva 95/46. (Apartado 27). En segundo lugar, “no existe una «transferencia a un país tercero de datos» en el sentido del artículo 25 de la Directiva 95/46 cuando una persona que se encuentra en un Estado miembro difunde datos personales en una página web, almacenada por su proveedor de servicios de alojamiento de páginas web que tiene su domicilio en el mismo Estado o en otro Estado miembro, de modo que dichos datos resultan accesibles cualquier persona que se conecte a Internet, incluidas aquéllas que se encuentren en países terceros” (Apartado 71) 15 Protocolo adicional de 2001 al Convenio 108, artículo 2 16 Marco de Privacidad APEC de 2004, numeral 26 17 Directrices de la Red Iberoamericana de Protección de Datos, numeral 8 18 Resolución de Madrid (2009), numeral 15


10

internacionales”19. Finalmente, la versión de 2013 de las directrices OCDE no efectuó ningún cambio en este aspecto respecto de los dispuesto en 1980.

En síntesis, las transferencias internacionales de datos personales se presentan cuando un tercero diferente del titular del dato envía esa información desde un país hacia otro (s) país (es). Implica, por tanto, que los datos salen del territorio de un país. Ahora bien, las reglas sobre transferencias internacionales buscan, entre otros, prevenir que los datos de los ciudadanos de un país se envíen a otro país sin niveles adecuados de protección o paraísos informáticos como lo señalaremos enseguida.

Del nivel adecuado de protección de datos personales

La expresión “nivel adecuado de protección” surgió en Europa al establecer reglas para transferir datos personales desde allá a terceros países. Ser catalogado por Europa como país con dicho grado de protección no es sencillo ni expedito. Normalmente exige que los países expidan regulaciones apropiadas y efectúen cambios institucionales como ha sucedido, por ejemplo, en el caso de Colombia. De hecho, puede afirmarse que el artículo 25 de la Directiva fue el detonador de la necesidad de que en muchos países se regulara el tratamiento de datos personales y se adoptara el enfoque europeo para poder ser receptores de los datos provenientes de Europa.

La razón de la importación del modelo europeo en muchos países es muy sencilla: para Europa el “nivel adecuado de protección” es el que se deriva de regulaciones como la Directiva 95/46/CE, por ende, quien quiera ser catalogado como país con “nivel adecuado” debe seguir los principales lineamientos del modelo europeo de protección de datos. Este fenómeno lo titula y explica Palazzi bajo el título de la “expansión del modelo europeo a países no europeos” citando a autores como Colin Bennett y Joel Reidenberg que respectivamente se han referido al “impacto externo de la Directiva europea sobre protección de datos” y a la “globalización de soluciones a la privacidad”20

En adición a tener un marco jurídico sobre el tema, es necesario que el país interesado inicie un trámite ante la Comisión Europea21 para que formalmente se catalogue como un país con “nivel

19 Propuesta de Reglamento general de protección de datos del Parlamento Europeo y del Consejo (2012), capítulo V 20 Cfr. PALAZZI, Pablo. 2002. La transmisión internacional de datos personales y la protección de la privacidad: Argentina, América Latina, Estados Unidos y la Unión Europea. 1 ed. Buenos Aires, Argentina: Ad-Hoc. P. 39-41 21 De conformidad con la página web oficial de la Comisión Europea, la misma “órgano ejecutivo de la UE y representa los intereses del conjunto de Europa”. Sus principales funciones son: “fijar objetivos y prioridades de actuación; proponer legislación al Parlamento y el Consejo; gestionar y aplicar las políticas de la UE y su presupuesto; velar por que se aplique el Derecho europeo (conjuntamente con el Tribunal de Justicia) y representar a la UE fuera de Europa (negociando acuerdos comerciales entre la UE y otros países, etc.).” Véase: http://ec.europa.eu/index_es.htm y http://ec.europa.eu/about/index_es.htm


11

adecuado”. Dicho proceso, según algunas experiencias, se demora un poco más de dos (2) años. De hecho, las autoridades europeas reconocen “la escasa probabilidad que la Comisión adopte resoluciones de adecuación (…) para numerosos países a corto o incluso mediano plazo”22.

El Grupo de protección de las personas en lo que respecta al tratamiento de datos personales (también conocido como el Grupo del artículo 29) adoptó en 199723 y 199824 dos documentos que fijaron las posibles formas de evaluar el nivel de protección de terceros países. En ellos se dejó sentado que un nivel de protección adecuado depende de varios factores de naturaleza regulatoria y de carácter “instrumental e institucional” (requisitos de procedimiento y de aplicación). El primero, groso modo, es fruto de una mezcla de derechos en cabeza del titular de los datos y de obligaciones para quienes procesan la información personal o que ejercen control sobre dicho tratamiento.

El segundo, comprende, de una parte, la existencia de mecanismos y procedimientos judiciales y no judiciales que garanticen la efectividad de las normas, sancionen su incumplimiento y que otorguen a la persona afectada un derecho de reparación frente al tratamiento indebido de su información. Adicionalmente, se considera necesaria la existencia de una autoridad independiente que no sólo controle, vigile y sancione a los que poseen datos personales, sino que reciba las quejas de los ciudadanos e inicie las investigaciones pertinentes con miras a que se convierta en un garante de la protección de los datos de los mismos.

Allí se precisó que cualquier análisis para establecer el nivel adecuado de protección debe centrarse en dos elementos básicos: El contenido de las normas aplicables y los medios para garantizar la efectiva aplicación de las mismas. Uno y otro elemento son cruciales porque de poco sirven las normas si no se cumplen, por eso coincidimos con que “las normas sobre protección de datos únicamente contribuyen a la protección de los individuos si se aplican en la práctica”25.

22 Cfr. Parte final del numeral 4 de los considerandos de la Decisión 2001/497/CE. 23 Cfr. COMISIÓN EUROPEA, Grupo de protección de las personas en lo que respecta al tratamiento de datos personales. 1997. Primeras orientaciones sobre la transferencia de datos personales a países terceros: posibles formas de evaluar la adecuación. XV D/5020/97 -ES 2 WP4. Bruselas. 24 Cfr. COMISIÓN EUROPEA, Grupo de protección de las personas en lo que respecta al tratamiento de datos personales. 1998. Transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 de la Directiva sobre protección de datos de la UE. DG XV D/5025/98 WP 12. Bruselas. 25 Cfr. COMISIÓN EUROPEA, Grupo de protección de las personas en lo que respecta al tratamiento de datos personales. 1997. Primeras orientaciones sobre la transferencia de datos personales a países terceros: posibles formas de evaluar la adecuación. XV D/5020/97 -ES 2 WP4. Bruselas. P 5 y COMISIÓN EUROPEA, Grupo de protección de las personas en lo que respecta al tratamiento de datos personales. 1998. Transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 de la Directiva sobre protección de datos de la UE. DG XV D/5025/98 WP 12. Bruselas. P 5


12

Las transferencias y las remisiones de datos en el caso mexicano

En México se diferencia la transferencia de la remisión de datos. La primera es definida como “la comunicación de datos personales dentro o fuera del territorio nacional, realizada a persona distinta del titular, del responsable o del encargado”26. La segunda –remisión- es definida como “la comunicación de datos personales entre el responsable y el encargado, dentro o fuera del territorio mexicano”

El capítulos V –De la transferencia de datos- de la "Ley Federal de Protección de Datos Personales en posesión de los Particulares" establece lo siguiente:

En primer lugar, “cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento. El tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos”27

Ordena el artículo 37 que “las transferencias nacionales o internacionales de datos podrán llevarse a cabo sin el consentimiento del titular cuando se dé alguno de los siguientes supuestos:

I. Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte;

II. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;

III. Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas;

IV. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero;

V. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;

VI. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y

26 Cfr. Artículo 67 del Reglamento 27 Cfr. Artículo 36 de la Ley Federal de Protección de Datos Personales en posesión de los Particulares


13

VII. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.”

En el reglamento de la ley federal de protección de datos personales en posesión de los particulares se incluyen algunas cosas nuevas y se precisan otras.

En cuanto a las remisiones, el artículo 53 dice que “las remisiones nacionales e internacionales de datos personales entre un responsable y un encargado no requerirán ser informadas al titular ni contar con su consentimiento.

El encargado, será considerado responsable con las obligaciones propias de éste, cuando:

I.Destine o utilice los datos personales con una finalidad distinta a la autorizada por el responsable, o

II.Efectúe una transferencia, incumpliendo las instrucciones del responsable.

El encargado no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, remita los datos personales a otro encargado designado por este último, al que hubiera encomendado la prestación de un servicio, o transfiera los datos personales a otro responsable conforme a lo previsto en el presente Reglamento.”

Sobre las transferencias, se incluyen las condiciones para que puedan realizarse recalcando que “toda transferencia de datos personales, sea ésta nacional o internacional, se encuentra sujeta al consentimiento de su titular, salvo las excepciones previstas en el artículo 37 de la Ley; deberá ser informada a este último mediante el aviso de privacidad y limitarse a la finalidad que la justifique” .

En el caso de transferencia entre “ sociedades controladoras, subsidiarias o afiliadas bajo el control común del mismo grupo del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable, el mecanismo para garantizar que el receptor de los datos personales cumplirá con las disposiciones previstas en la Ley, el presente Reglamento y de más normativa aplicable, podrá ser la existencia de normas internas de protección de datos personales cuya observancia sea vinculante, siempre y cuando éstas cumplan con lo establecido en la Ley, el presente Reglamento y demás normativa aplicable.”

El artículo 74 precisa que “las transferencias internacionales de datos personales serán posibles cuando el receptor de los datos personales asuma las mismas obligaciones

que corresponden al responsable que transfirió los datos personales”. Para formalizar las transferencias internacionales, ordena el artículo 75 que “el responsable que transfiera los datos personales podrá valerse de cláusulas contractuales u otros instrumentos jurídicos en los que se prevean al menos las mismas obligaciones a las que se encuentra sujeto el responsable que transfiere los datos personales, así como las condiciones en las que el titular consintió el tratamiento de sus datos personales”.


14

A manera de síntesis

Hace varias décadas se evidenció que la disparidad de regulaciones sobre la protección de la privacidad de las personas era una barrera para la circulación transfronteriza de datos personales. Por eso, durante el siglo XX se inició un proceso de armonización regulatoria con miras a lograr un consenso global sobre la forma de facilitar la libre circulación internacional de datos personales y, al mismo tiempo, proteger los derechos de las personas, especialmente la privacidad, cuando sus datos personales son tratados. En otras palabras, los datos personales son un bien preciado en la era digital cuya reglamentación nació como necesidad para proteger derechos humanos y facilitar la actividad empresarial.

La privacidad y las transferencias internacionales de datos personales fueron las principales razones de los procesos de armonización y de la regulación sobre tratamiento de información sobre las personas. Las organizaciones actoras de esa labor armonizadora han sido el Consejo de Europa, la Organización para la Cooperación y el Desarrollo Económico, la Organización de las Naciones Unidas, el Parlamento Europeo, el Consejo de la Unión Europea, el Foro de Cooperación Económica Asia Pacífico, la Red Iberoamericana de Protección de Datos y las Autoridades de Protección de Datos y Privacidad.

La recolección internacional de datos no hizo parte de los motivos ni de los objetivos de los procesos de armonización. En otras palabras, las regulaciones actuales fueron concebidas pensando en la trasferencia internacional de datos dejando de lado la recolección internacional de los mismos.

La TIDP tiene lugar cuando una persona (diferente al titular del dato), envía datos personales de terceros desde un país a otra persona u organización que se encuentra en otro país. Tanto el emisor de los datos como el receptor de los mismos están ubicados en diferentes estados. Es necesario que los datos traspasen las fronteras nacionales de un Estado (país de origen) e ingresen al territorio de otro (país de destino).

Los documentos internacionales enfocan sus esfuerzos en exigir al exportador de los datos el cumplimiento de unos requisitos que debe acreditar en el país desde donde se origina la exportación. Con ésto, se procura proteger los derechos de las personas realizando una verificación previa de ciertas condiciones en el país de origen. Si el país de destino de los datos no reúne unos mínimos de protección, entonces en el país de origen de los datos no se permite la realización de la transferencia internacional de datos.

Con lo anterior se quiere que los derechos y garantías que los titulares de los datos tengan a la luz de la regulación de un país, se garanticen y respeten en el país de destino de la transferencia internacional de la información. Esto se ha denominado como el “principio de continuidad” de protección de los datos el cual se materializa, en nuestra opinión, cuando el país de destino tiene un nivel adecuado de protección o una “protección equivalente” a la del país de origen u ofrezca “garantías comparables” de protección de los datos personales entre los dos países. En últimas, se procura evitar que con ocasión de las TIDP se envíen datos a los “paraísos informáticos”.


15

Para el efecto, existen diferentes soluciones para permitir la transferencia internacional de datos personales:

En primer lugar, podemos hablar de soluciones a nivel país. Se trata de la obtención por parte de un Estado del reconocimiento de otro país, un grupo de países o un órgano de una institución (como el caso de la Comisión Europea) de la existencia de un nivel adecuado de protección. Se trata de una especie de certificación que da luz verde a un país para ser receptor de datos personales provenientes de los sitios donde se expidió la misma. De este mecanismo se beneficia cualquier empresa o entidad ubicada en territorio del país certificado.

En segundo lugar, existen soluciones inter empresariales. En este caso se acude a la utilización de normas corporativas vinculantes al interior de una organización que obliga a todas las empresas parte de un conglomerado multinacional que se encuentran ubicadas en diversas partes del mundo. Si dichas normas son avaladas por las autoridades, entonces es libre la circulación transfronteriza entre todos los entes que hacen parte de esa entidad multinacional. Así mismo, existen soluciones individuales. Las cláusulas contractuales son las herramientas que en este caso habilitan la transferencia desde un país a una empresa ubicada en otro país.

En todos los casos, la responsabilidad sobre la transferencia recae en el remitente de los datos y los controles se realizan en el país de origen de los datos que serán objeto de TIDP. Como se observa, las regulaciones sobre transferencias internacionales de datos se centran en la exportación y en el exportador de esa información y no en la importación o el importador de los mismos.

Finalmente, podemos afirmar que no resultan aplicables a la recolección internacional de datos porque, como veremos, en la RIDP no existe un remitente de datos para controlar por parte de las autoridades locales del país de origen de los datos. En la recolección internacional de datos nos enfrentamos a una persona natural o jurídica que desde cualquier parte del mundo recolecta datos de personas ubicadas en otro (s) país (es) diferentes al del recolector.


16

8.2. Recolección internacional de datos

Como se analizó anteriormente, las regulaciones sobre transferencia internacional de datos personales (TIDP) procuran que cuando los datos se exporten por parte de un responsable o encargado, no se disminuya, en el país de destino, el nivel de protección que tienen los titulares de los datos en el país de origen. No obstante, existe una situación en la que los datos salen de un país y llegan a otro sin que existan reglas sobre ese evento. Se trata, precisamente, de la recolección internacional de datos personales (en adelante RIDP).

Diariamente se recolectan, con o sin nuestro conocimiento, datos desde el exterior. Cualquier persona ubicada en otro país es potencialmente un recolector internacional de datos. Esta situación hace que la recolección internacional sea una actividad incontrolable que genera retos a las autoridades locales cuando los derechos de los ciudadanos de su país se ven vulnerados por personas de otros países con ocasión de la RIDP28.

Potencialmente existirá un mayor número de personas que puedan recolectar datos a medida que aumente el porcentaje de acceso a internet en el mundo. Por eso, la RIDP es un fenómeno que puede ser equivalente o mayor en magnitud a las transferencias internacionales de datos pero que, como lo hemos mencionado, no ha tenido ni tiene tanto las respuestas regulatorias como los controles que se han creado para las transferencias.

Para analizar el tema nos centraremos en estudiar en la primera parte de este capítulo la recolección internacional en el contexto internacional y en el escenario colombiano. Luego, nos referiremos –en la segunda parte- al impacto de internet en la RIDP y los retos jurídicos para garantizar el debido tratamiento de los datos personales en el “ciberespacio”.

Qué es la recolección internacional de datos y cuál es su relación con internet?

La RIDP29 tiene ocasión cuando una persona (recolector) de un país toma o acopia información personal de ciudadanos (as) de cualquier parte del mundo diferente al país desde donde el recolector capta los datos. El recolector no está domiciliado en el país del titular del dato. Así, por ejemplo, alguien desde el país X, a través de una página web recolecta datos personales de ciudadanos de México, Colombia, España, Estados Unidos, Canadá, Suiza, Francia, China, Venezuela, etcétera.

28 Algunos aspectos de este capítulo fueron tratados previamente en el siguiente texto que hace parte de la investigación doctoral del autor: Remolina Angarita, Nelson, “Insuficiencia de la regulación latinoamericana frente a la recolección internacional de datos personales a través de internet”, en: Luis Fernando Álvarez Londoño (ed.), Quaestiones Disputatae 2. Colección del Doctorado en Ciencias Jurídicas de la Pontificia Universidad Javeriana, Bogotá, Editorial Ibáñez, 2012.

29 Sobre este tema consultar la siguiente obra: REMOLINA ANGARITA, Nelson. 2015. Recolección internacional de datos: un reto del mundo post internet. BOE – Boletín Oficial del Estado. Madrid, España. ISBN 978-84-340-2196-9.


17

Es necesario precisar que la recolección tiene lugar cuando confluyen las dos siguientes condiciones:

Los datos se toman directamente de la persona concernida (titular del dato) o de un sistema de información30, una base de datos o archivo físico. Lo importante es que los datos no son enviados por un tercero (responsable o encargado) desde el país de origen sino que se recaudan u obtienen desde el país del recolector. Si los mismos son enviados por un tercero entonces estaríamos en la arena de las transferencias internacionales.

El recolector del dato tiene su domicilio o establecimiento31 en otro país diferente al del titular del dato. De no ser así, estaríamos en el campo de la recolección nacional de datos.

Aunque los datos salen de un país, la forma como ello sucede en la RIDP es diferente a lo que acontece en las TIDP. En las transferencias internacionales un tercero remite los datos hacia otro país, mientras que en la recolección los datos son recaudados por alguien desde un Estado diferente al del domicilio del titular del dato. Tal y como lo vimos anteriormente, en el caso de las TIDP se han creado reglas para controlar el envío de la información de manera que se adopten medidas para procurar garantizar un mínimo de protección al titular del dato cuya información se exportará. En el caso de la RIDP no existen reglas o pautas obligatorias para lograr dicho cometido.

Datos personales, TIC e internet son el trío protagonista de la RIDP. Los primeros están disponibles en la red, las segundas son herramientas que sirven, entre otras, para recolectar datos e internet es el mega escenario en donde se recauda la información sobre las personas. Comenta Velásquez que " la web32 es tal vez el mayor portento tecnológico que el hombre haya desarrollado jamás. Su impacto en

30 La ONU define sistema de información como “todo sistema que sirva para generar, enviar, recibir, archivar o procesar de alguna otra forma comunicaciones electrónicas. Cfr. literal f) del artículo 4º Convención de las Naciones Unidas sobre la Utilización de las Comunicaciones Electrónicas en los Contratos Internacionales de 2005. 31 Para la ONU, establecimiento significa todo lugar donde una parte mantiene un centro de operaciones no temporal para realizar una actividad económica distinta del suministro transitorio de bienes o servicios desde determinado lugar. Cfr. literal h) del artículo 4º Convención de las Naciones Unidas sobre la Utilización de las Comunicaciones Electrónicas en los Contratos Internacionales de 2005. 32 "La web es el conjunto de archivos (páginas) que se relacionan a través de hipervínculos, almacenados en los servidores ubicados alrededor del mundo, para lo cual se utiliza un mecanismo de dirección ambientó global de documentos y de otros recursos conocido como URL. Cada una de estas páginas posee un contenido representado a través de objetos como texto, imágenes, sonido, películas o vínculos a otros sitios web" (VELÁSQUEZ SILVA, Juan; DONOSO ABARCA, Lorena. 2013. Tratamiento de datos personales en internet: Los desafíos jurídicos en la era digital. 1 ed, Colección tratados y manuales. Santiago de Chile: Thomson Reuthers. p 142)


18

nuestra sociedad ha sido tal que se le ha comparado con la invención de la rueda o el descubrimiento del fuego. La web es considerada un canal de difusión e intercambio de información a escala global"33

El carácter transfronterizo34 de buena parte de lo que sucede en internet es otra variante relevante debido a que internet, por su naturaleza, es de acceso global y sus usuarios están irrigados a lo largo de todo el mundo. Tanto los titulares de los datos como los recolectores de los mismos pueden estar ubicados en un mismo país (recolección nacional) o en diferentes territorios o jurisdicciones (recolección internacional).

En efecto, el World Economic Fórum puso de presente que “el mundo digital está inundado en datos personales”35 y cada día sigue aumentando la cantidad de información personal que circula a través de las tecnologías de información y comunicación (TIC). Según un estudio de dicha organización36, en un día las personas envían diez (10) billones de mensajes de texto y hacen un (1) billón de posts en un blog o red social. Adicionalmente, existen seis (6) billones de suscripciones de telefonía móvil en el mundo, lo que facilita rastrear y grabar la ubicación de casi cada persona del planeta, así como sus conexiones sociales y transacciones. A esto se suman otra serie de dispositivos de recolección de datos que están generando volúmenes sin precedentes de datos. El número de esos dispositivos que se conectan a internet se espera que sea de un (1) trillón en el año 2015.

De otra parte, señala la internet Society37, que “Internet ha revolucionado la informática y las comunicaciones como ninguna otra cosa. (…). Internet es a la vez una herramienta de emisión mundial, un mecanismo para diseminar información y un medio para la colaboración y la interacción

33 VELÁSQUEZ y DONOSO, 2013, op. cit., p. 4. 34 Afirma GILDEN que Internet fue diseñada para mover información lo más rápidamente posible a lo largo de todos los sistemas de información existentes a lo largo y ancho del mundo sin tener presente las fronteras territoriales. Esto hace que la información viaje a través de diferentes [GILDEN, Michael. 2000. Jurisdiction and the internet: the real world meets cyberspace. ILSA Journal of International & Comparative Law 7 (1). p 151] 35 WORLD ECONOMIC FORUM. 2012. Rethinking Personal Data: Strengthening Trust. Ginebra, Suiza. http://www.weforum.org/reports/rethinking-personal-data-strengthening-trust, recuperado: 6 de enero de 2013, p. 7 36 Loc. cit. 37 La Internet Society es un organización fundada en 1992 cuya misión es “promover el desarrollo abierto, la evolución y el uso de Internet para beneficio de todas las personas del mundo” (Internet Society. Misión. http://www.internetsociety.org/es/misi%C3%B3n) Se autodefine como una “organización global unida por una causa común y regida por una variada Junta de fideocomisarios dedicada a asegurar que Internet siga siendo abierta, transparente y definida para que todos podamos disfrutar de ella”.(Cfr. Internet Society. Quiénes somos?. http://www.internetsociety.org/es/%C2%BFqui%C3%A9nes-somos-0). Internet Society cuenta con un Consejo Asesor Conformado por académicos, investigadores, proveedores de servicios, equipos y contenidos, entidades gubernamentales, organizaciones internacionales y grupos de interés público (Cfr. Internet Society. Consejo Asesor. http://www.internetsociety.org/es/consejo-asesor )


19

entre personas y sus ordenadores, sin tener en cuenta su ubicación geográfica”. Agrega dicha organización que “Internet, como la conocemos hoy en día, es una infraestructura de información muy difundida”38. En otras palabras, internet, cada vez más, tiene el don de la ubicuidad en la medida que está presente al mismo tiempo en casi todas partes del mundo.

Así las cosas es importante referirnos inicialmente a ciertos aspectos sobre internet que serán objeto de análisis en las siguientes líneas, tales como su naturaleza de red global, abierta y de fácil acceso así como el crecimiento de la tasa de internet en el mundo y el empoderamiento de los individuos lo cual hace que la RIDP sea cada vez mayor.

La recolección de datos en el contexto internacional.

No existe un instrumento internacional jurídicamente vinculante que reconozca explícitamente la recolección internacional de datos. Tampoco lo hacen los documentos internacionales estudiados en el capítulo anterior. No obstante, en el contexto internacional se reconoce que la recolección hace parte del tratamiento de los datos personales en los siguientes términos.

La recolección hace parte del conjunto de actividades que comprende el tratamiento de datos personales pues con ocasión de ella un tercero (denominado responsable o encargado) obtiene información de una persona para, entre otras, almacenarla, usarla y circularla. Como vimos en el capítulo primero, dentro de la definición de tratamiento se incluye la recogida como un elemento del tratamiento. Tal es el caso, por ejemplo, de las definiciones de la Directiva 95/46/CE39, la Resolución de Madrid40 y la Propuesta de Reglamento41 general de protección de datos del Parlamento Europeo y del Consejo (2012). En el contexto colombiano, como se mencionó en su momento, la definición de tratamiento hace explicita referencia a, entre otros, la recolección.42

El Tribunal de Justicia de la Unión Europea se pronunció recientemente sobre el concepto de tratamiento de datos personales señalando que la recolección hace parte del mismo. En efecto, en un

38 LEINER, Barry; CERFT, Vinton y otros. 1997. Breve historia de internet. Internet Society, http://www.internetsociety.org/es/breve-historia-de-internet#Origins. Todos los autores de este texto son: Barry M. Leiner, Vinton G. Cerf, David D. Clark, Robert E. Kahn, Leonard Kleinrock, Daniel C. Lynch, Jon Postel, Larry G. Roberts, Stephen Wolff 39 “«tratamiento de datos personales» («tratamiento»): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida (…) (Literal b del artículo 2) 40 “Tratamiento: cualquier operación o conjunto de operaciones, sean o no automatizadas, que se aplique a datos de carácter personal, en especial su recogida, (…)”(Literal b del numeral 2) 41 “«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida (…)”(numeral 3 del artículo 4) 42 Cfr. Literal g) del artículo 3 de la ley 1581 de 2012


20

caso de 201443 - Google Spain, S.L. Google Inc y Agencia Española de Protección de Datos (AEPD), Mario Costeja González- el TJUE concluyó “(…), al explorar Internet de manera automatizada, constante y sistemática en busca de la información que allí se publica, el gestor de un motor de búsqueda «recoge» tales datos que «extrae», «registra» y «organiza» posteriormente en el marco de sus programas de indexación, «conserva» en sus servidores y, en su caso, «comunica» y «facilita el acceso» a sus usuarios en forma de listas de resultados de sus búsquedas. Ya que estas operaciones están recogidas de forma explícita e incondicional en el artículo 2, letra b), de la Directiva 95/46, deben calificarse de «tratamiento»”44

Al formar parte del tratamiento, la recolección no puede realizarse de cualquier manera sino que debe ser respetuosa de ciertas condiciones relacionadas con los medios utilizados para la misma y el consentimiento de la persona autorizando que sus datos sean recogidos por otros. Estos requisitos los definen las normas locales de cada país pero también han sido incorporados en varios documentos internacionales en los términos que señalamos a continuación.

Modalidades de enseñanza

Con la conducción del docente:

Clases teóricas: Para el desarrollo de competencias conceptuales, algunas sesiones serán de exposición y explicación a cargo del docente, sin embargo, se valorará la participación activa de los estudiantes en la formulación de preguntas o ideas de tipo crítico. De igual manera, habrá temáticas que se desarrollarán mediante exposición a cargo de los estudiantes.

Clases prácticas: Algunas temáticas requerirán el análisis de legislación nacional y tratados o convenciones internacionales. Dicho análisis permitirá que los estudiantes desarrollen competencias de tipo técnico e integrativo en tanto busca vincular los contenidos teóricos con cuestiones prácticas.

43 Cfr. TRIBUNAL DE JUSTICIA DE LA UNION EUROPEA. 2014. Google Spain, S.L. Google Inc y Agencia Española de Protección de Datos (AEPD), Mario Costeja González. Asunto C-131/12. . En este caso, el Tribunal concluyó lo siguiente: “El artículo 2, letras b) y d), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que, por un lado, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento de datos personales», en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales, y, por otro, el gestor de un motor de búsqueda debe considerarse «responsable» de dicho tratamiento, en el sentido del mencionado artículo 2, letra d).” 44 Cfr. TJUE (2014). Asunto C-131/12. Apartado número 28.


21

De manera independiente:

Estudio y trabajo en grupo. Dependiendo del número de estudiantes inscritos, se conformaran grupos para la preparación de exposiciones de algunas de las temáticas de la asignatura.

Estudio y trabajo individual. Con el objeto de que el estudiante alcance un aprendizaje significativo de las temáticas desarrolladas, es necesario que para cada sesión analice una lectura específica. Con el mismo propósito, le corresponderá realizar distintas actividades tales como reseñas descriptivas o críticas, mapas conceptuales, cuestionarios, entre otras, según el contenido temático que corresponda.

El curso tiene un componente importante de investigación a cargo de los estudiantes. Para el alcance satisfactorio de los objetivos del curso será necesario contar con el compromiso y trabajo académico permanente de los estudiantes. Es indispensable que el estudiante se convierta en un participante activo, informado y crítico. Un primer paso básico para lograrlo es adquirir el hábito y la disciplina de leer e investigar sobre los temas antes de cada sesión de clase.

Queremos que las sesiones de clase se conviertan en un escenario académico en donde todos (as) conversemos informadamente e intercambiemos ideas a partir de la investigación previa realizada por cada persona del curso.

Actividades de aprendizaje

Antes del módulo: Leer la bibliografía básica, tanto los documentos indicados como la normatividad, y consultar la complementaria.

Durante el módulo: Leer el documento expositivo y atender a la sesión del módulo.

Después del módulo: Complementar los conocimientos con la lectura de otros documentos, en particular la bibliografía complementaria u otros.

Tareas

Leer antes de cada sesión de clase.

Evaluación del módulo

Antes de cada sesión se realizará una comprobación de lectura vía online.


22

Bibliografía y fuentes de consulta

Bibliografía Básica

Los textos guía del curso serán los siguientes:

• REMOLINA ANGARITA, Nelson. 2015. Recolección internacional de datos: un reto del mundo post internet. BOE – Boletín Oficial del Estado. Madrid, España. ISBN 978-84-340-2196-9.

• IFAI, “Marco normativo de la protección de datos personales en posesión de particulares” (leer artículos pertinentes”45

Bibliografía Complementaria

• GUERRERO PICÓ, María del Carmen. 2006. El impacto de internet en el derecho fundamental a la protección de datos de carácter personal. Primera ed. Navarra: Thomson Civitas.

• PALAZZI, Pablo. 2002. La transmisión internacional de datos personales y la protección de la

privacidad: Argentina, América Latina, Estados Unidos y la Unión Europea. 1 ed. Buenos Aires,

Argentina: Ad-Hoc.

• REMOLINA ANGARITA, Nelson. 2013. Tratamiento de datos personales: aproximación

internacional y comentarios a la ley 1581 de 2012. 1 ed. Bogotá: Legis Editores.

• VALERO TORRIJOS, Julián, ed. 2013. La protección de los datos personales en internet ante

la innovación tecnológica: riesgos, amenazas y respuestas desde la perspectiva jurídica. 1 ed.

Navarra, España: Editorial Aranzadi y Ministerio de Economía y Competitividad del Gobierno de

España

• VELÁSQUEZ SILVA, Juan; Donoso Abarca, Lorena. 2013. Tratamiento de datos personales en

internet: Los desafíos jurídicos en la era digital. 1 ed, Colección tratados y manuales. Santiago

de Chile: Thomson Reuthers

45 Disponible en: http://inicio.ifai.org.mx/Publicaciones/Marco%20Proteccion%20de%20Datos%20Personales.pdf


23

Horas y calendario lectivo

Temas Actividades Evaluación Horas

8.1 Transferencias internacionales de datos personales

8.2 Recolección internacional de datos personales

Leer antes de clase:

REMOLINA ANGARITA, Nelson. 2015:

Págs 147-215 (Transferencia internacional de datos personales)

Págs 233-310 (Recolección internacional de datos personales)

Págs 361-380 (Conclusiones y sugerencias)

Tribunal de Justicia de la Unión Europea. En el asunto C‑362/14 del 6 de octubre de 201546. Maximillian Schrems y Data Protection Commissioner, con intervención de: Digital Rights Ireland Ltd,

Comprobación de lectura online (antes de la sesión de clase)

46 Disponible en: http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d548c5eaed174e41b18dffa56f5585d740.e34KaxiLc3eQc40LaxqMbN4ObNyNe0?text=&docid=169195&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=105511

Horas con docente:

Horas independientes:

8 Circulación transfronteriza de los datos personales

Documents

Transcript of 8 Circulación transfronteriza de los datos personales