Hablar
de
transferencias
de
datos
personales
y su
regulación
en
diversas
jurisdicciones
puede
ser
tan
entretenido
como
sorprendente,
según
el
país
desde
el
que
se
analice
este
acto
jurídico.
Para
más
de
un
entendido
en
la
materia,
que
existan
diferencias
entre
la
legislación
de
un
país
y
otro
resulta
más
que
evidente,
aún
y
cuando
en
la
Unión
Europea
se
sigue
esperando
la
aprobación
del
Reglamento
general
que
vendría
a
uniformar
para
todos
sus
Estados
Miembros
las
reglas
relativas
al
tratamiento
de
datos
personales.
Pero
sobre
el
particular,
y en
consideración
de
los
diversos
intereses
económicos
que
existen
entre
uno
y
otro
país,
nos
parece
práctico
poner
de
relieve
que
una
transferencia
de
datos
personales
desde
México
a
España
no
deberá
cumplir
con
los
mismos
requisitos
formales
que
una
transferencia
desde
España
a
México,
aunque
en
ambos
casos,
y en
última
instancia,
deberá
garantizarse
la
seguridad
de
los
datos
personales
transferidos
y el
cumplimiento
de
(casi)
todos
los
principios
que
regulan
el
tratamiento
de
este
tipo
de
datos
(a
día
de
hoy,
México
incorpora
en
su
legislación
el
principio
de
responsabilidad
[accountability]).
La
primera
diferencia
relevante
(la
más
relevante,
quizás)
consiste
en
la
autorización
para
poder
llevar
a
cabo
la
transferencia
desde
un
país
hacia
el
otro.
Desde
México,
NO
sería
necesario
obtener
una
autorización,
en
ningún
momento.
Existe,
sin
embargo,
la
posibilidad
de
que
los
responsables
puedan
solicitar
al
Instituto
Federal
de
Acceso
a la
Información
y
Protección
de
Datos
(el
"IFAI")
su
opinión
sobre
la
licitud
de
la
transferencia
(artículo
76
del
Reglamento
de
la
Ley
Federal
de
Protección
de
Datos
Personales
en
Posesión
de
los
Particulares
– el
“RLFPD”
y la
“LFPD”).
Desde
España,
y
hasta
en
tanto
México
no
sea
considerado
por
la
Comisión
Europea
como
un
país
que
ofrece
un
nivel
de
protección
a
los
datos
personales,
similar
al
que
ofrece
la
legislación
europea,
para
poder
llevar
a
cabo
una
transferencia
hacia
ese
país
SERÁ
necesario
obtener
autorización
previa
del
Director
de
la
Agencia
Española
de
Protección
de
Datos
(la
"AEPD")
(artículo
33
de
la
Ley
Orgánica
17/1999,
de
13
de
diciembre,
de
Protección
de
Datos
de
Carácter
Personal
-
LOPD)
o
acreditar
que
concurre
alguno
de
los
supuestos
previstos
en
el
artículo
34
de
la
misma
LOPD.
La
autorización
otorgada
además
sería
inscrita
en
el
Registro
General
de
Protección
de
Datos.
Desde
un
punto
de
vista
semántico
(con
trascendencia
jurídica)
también
existen
diferencias.
En
España
existen
cesiones
de
datos
y
transferencias
(internacionales)
de
datos.
De
hecho,
HYPERLINK
,
que
las
comunicaciones
de
datos
dentro
del
Espacio
Económico
Europeo
(el
“EEE”)
constituyen
cesiones
de
datos
a
efectos
de
la
aplicación
de
la
LOPD.
En
México,
salvo
la
existencia
de
un
evidente
error
legislativo
que
mantuvo
el
término
"cesión"
dentro
de
la
normativa
mexicana
(artículo
63,
fracción
XII
de
la
LFPD),
no
se
regulan
cesiones
de
datos.
Existen
"transferencias
nacionales"
y
"transferencias
internacionales".
La
comunicación
de
datos
desde
un
responsable
hacia
un
encargado
se
reputa
como
"remisión".
A
todos
los
efectos,
el
RLFPD
establece
que
las
transferencias
internacionales
“serán
posibles
cuando
el
receptor
de
los
datos
personales
asuma
las
mismas
obligaciones
que
corresponden
al
responsable
que
transfirió
los
datos
personales.”
(artículo
74).
En
cuanto
a la
forma
de
informar
a
los
interesados/titulares
sobre
las
transferencias
de
sus
datos
personales,
también
existen
diferencias.
En
México,
esta
información
debe
proporcionarse
a
través
del
Aviso
de
Privacidad
correspondiente
(artículo
36
LOPD);
en
España
esta
información
está
disponible
para
los
interesados
a
través
del
Registro
de
Ficheros
(públicos
o
privados)
de
la
AEPD,
en
el
que
los
propios
responsables
han
comunicado
la
existencia,
destino
y
finalidad
de
sus
transferencias
de
datos
(artículo
55
RLOPD).
Por
otro
lado,
en
ambos
países
existe
el
mismo
principio
general:
toda
comunicación/transferencia
de
datos
personales
podrá
efectuarse
si
el
titular
de
los
datos
ha
otorgado
su
consentimiento
para
ello.
También
existen
en
México
y
España
una
serie
de
supuestos
en
los
cuales
el
consentimiento
del
afectado
no
resulta
necesario
para
poder
llevar
a
cabo
la
cesión/transferencia
de
sus
datos.
Los
supuestos
de
excepción
son
muy
similares
en
ambas
normativas,
pero
destaca
el
tercer
supuesto
de
excepción
previsto
en
el
artículo
37
de
la
LFPD
mexicana:
“Artículo
37.-
Las
transferencias
[..]
internacionales
de
datos
podrán
llevarse
a
cabo
sin
el
consentimiento
del
titular
cuando
se
dé
alguno
de
los
siguientes
supuestos:
[…]
III.
Cuando
la
transferencia
sea
efectuada
a
sociedades
controladoras,
subsidiarias
o
afiliadas
bajo
el
control
común
del
responsable,
o a
una
sociedad
matriz
o a
cualquier
sociedad
del
mismo
grupo
del
responsable
que
opere
bajo
los
mismos
procesos
y
políticas
internas;
[…]”
Así
pues,
en
México
podrán
llevarse
a
cabo
transferencias
de
datos
personales
hacia
empresas
del
mismo
grupo
corporativo
sin
el
consentimiento
de
sus
titulares;
y si
éstas
fueran
a
efectuarse
hacia
sociedades
establecidas
en
el
extranjero,
el
responsable
sujeto
a la
normativa
mexicana
podrá
efectuarlas
a
cualquier
país
sin
tener
que
contar
con
autorización
previa
para
ello.
En
España,
el
escenario
es
distinto.
Si
la
comunicación
de
datos
personales
hacia
empresas
del
mismo
grupo
corporativo
no
acciona
alguno
de
los
supuestos
del
artículo
11.2
LOPD,
no
HYPERLINK
exenta
del
consentimiento
de
los
interesados.
Además,
si
alguna
de
dichas
empresas
estuviese
establecida
fuera
del
EEE
y no
residiese
el
alguno
de
los
países
y
territorios
que
la
Comisión
Europea
considera
que
brindan
un
"nivel
adecuado
de
protección",
el
responsable
sujeto
a la
normativa
española
deberá
obtener
la
autorización
previa
a la
que
ya
hemos
hecho
mención.
Todo
lo
anterior
corrobora
que,
en
un
entorno
internacional,
no
debemos
dar
por
sentado
que
las
reglas
relativas
al
tratamiento
de
datos
personales
son
las
mismas,
necesariamente,
en
un
país
que
en
otro.
En
muchos
aspectos,
esta
forma
de
pensar
tendría
cabida,
pero
hablando
de
transferencias
internacionales
de
datos
personales,
desde
luego
será
necesario
analizar
desde
dónde
y
hacia
dónde
pretenden
efectuarse. |