Transferencia internacional de datos personales bajo el Nueva Ley de Datos Personales

El comercio internacional y digital requiere que la información pueda ser utilizada por distintos actores y en diversos lugares. El flujo de información transfronterizo es una actividad cada vez más frecuente y necesaria para las organizaciones. la nueva Ley establecerá importantes requisitos para realizar estas transferencias. Entérate en este artículo de lo relativo a la transferencia internacional de datos.

Ley 19.628 v/s Nueva Ley de Datos Personales

Regular las transferencias internacionales de datos personales es hoy en día un aspecto muy necesario para resguardar que los datos personales sean tratados en terceros países que ofrezcan niveles adecuados de protección. La Nueva Ley viene a suplir un vacío, pues nuestra ley actual no aborda esta materia:

Ley 19.628Nueva Ley de Datos Personales
No se regula la transferencia internacional de datos. Esta constituye un tratamiento de datos personales y por lo tanto debe cumplir con las reglas generales.
 
Los responsables deben informar a los titulares de las comunicaciones de sus datos al público, lo que se ha entendido que comprende eventuales transferencias internacionales de datos a otras personas o entidades.
Se regulan específicamente las transferencias internacionales. Es lícita en determinados casos. Se establecen reglas para determinar la calidad de “país adecuado” para transferir datos desde Chile.

¿Qué es una transferencia internacional de datos personales?

Si bien la nueva Ley no define lo que constituye una transferencia internacional de datos, por el sentido de su regulación estas se pueden considerar como tratamientos que implican la transmisión de datos fuera del territorio nacional.

Se considera una transferencia internacional de datos personales aquella en que:

  • El responsable del tratamiento encarga a un tercero fuera del territorio nacional un determinado tratamiento.
  • El tercer mandatario o encargado del tratamiento delega un tratamiento de datos (en los casos permitidos) a un subencargado fuera del territorio nacional.
  • El responsable comunica datos personales a un corresponsable en el exterior.

El responsable cede los datos personales a un cesionario (nuevo responsable) en el exterior.

¿Quiénes participan en la transferencia internacional de datos?

En las transferencias internacionales de datos participan dos sujetos: los transmisores (o “exportadores”) y los receptores (o “importadores”) de datos personales.

Son transmisores de datos los responsables o encargados del tratamiento que se encuentran en el territorio nacional y que transfieren los datos fuera de este.

Son receptores de datos los destinatarios de los datos que se encuentren en un tercer país (fuera del territorio nacional). Pueden ser importadores los corresponsables, encargados de tratamiento, los sub-encargados (en caso de haberlos) y también los cesionarios de datos.

Regla general de autorización de transferencias internacionales de datos

La nueva Ley de Datos Personales establece determinadas situaciones en que las operaciones de transferencia internacional de datos son permitidas. Las situaciones más destacables son:

  1. Cuando la transferencia se realice a una persona, entidad u organización pública o privada, sujeta al ordenamiento jurídico de un país que proporcione niveles adecuados de protección de datos personales.
  2. Cuando la transferencia de datos quede amparada por cláusulas contractuales u otros instrumentos jurídicos suscritos entre el responsable que efectúa la transferencia y el responsable o tercero mandatario que la reciba.
  3. Cuando se adopte un modelo de cumplimiento o mecanismo de certificación.
  4. Cuando existe consentimiento expreso del titular de datos para realizar una transferencia internacional de datos específica y determinada.
  5. Cuando se refiera a transferencias bancarias, financieras o bursátiles específicas.
  6. Cuando la transferencia se realice entre sociedades o entidades que pertenezcan a un mismo grupo empresarial, de acuerdo con los términos de la Ley de Mercado de Valores, y la transferencia quede amparada por normas corporativas vinculantes previamente aprobadas por la Agencia. 
  7. Cuando se deban transferir datos para dar cumplimiento a obligaciones adquiridas en tratados o convenios internacionales que hayan sido ratificados por Chile y que se encuentren vigentes.
  8. Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular.

Determinación de países adecuados

La primera situación en la que se puede realizar una transferencia de datos internacional sin necesidad del consentimiento del titular, es cuando esta se realiza a una persona, entidad u organización pública o privada sujeta al ordenamiento jurídico de un «país que proporcione niveles adecuados de protección de datos personales».

¿Qué se entiende por un país cuyo ordenamiento jurídico proporciona niveles adecuados de protección de datos? Se entiende que el ordenamiento jurídico de un país posee niveles adecuados de protección de datos cuando cumple con estándares similares o superiores a los fijados en la Nueva Ley de Datos Personales.

¿Quién determina el cumplimiento de dicho estándar? La Agencia determinará fundadamente los países que poseen niveles adecuados de protección de datos, mediante una publicación en su página web. Para ello, deberá considerar los siguientes elementos:

  1. El establecimiento de principios que rigen el tratamiento de los datos personales.
  2. La existencia de normas que reconozcan y garanticen los derechos de los titulares de datos y la existencia de una autoridad pública jurisdiccional o administrativa de control o tutela.
  3. La imposición de obligaciones de información y seguridad a los responsables y terceros mandatarios del tratamiento de los datos.
  4. La determinación de responsabilidades en caso de infracciones.

Fiscalización de las transferencias internacionales de datos por parte de la Agencia

La nueva Ley establece que la Agencia debe fiscalizar las operaciones de transferencias internacionales de datos personales.

Para ello, esta cuenta con facultades para formular recomendaciones, adoptar medidas conservativas y en casos calificados, suspender temporalmente el envío de los datos.

Corresponde al responsable de datos que efectuó la transferencia internacional de estos, acreditar ante la Agencia que ésta se practicó cumpliendo todos los requisitos establecidos en la ley.

error: Contenido protegido