La transferencia internacional de datos, a primera vista, puede parecer inusual y alejada de nuestra vida cotidiana, pero es común en la sociedad informacional e hiperconectada, basta con ver la cantidad de datos enviados a centros de datos con sede en otros países.
Para abordar el tema, necesitamos analizar la extraterritorialidad en el artículo 3 de la Ley General de Protección de Datos (LGPD, por sus siglas) que destaca: "la presente Ley se aplica a cualquier operación de tratamiento realizada por una persona física o jurídica de derecho público o privado, cualquiera que sea el medio, el país de su sede o el país donde se encuentren los datos, siempre que: II — la actividad de tratamiento tiene como objeto la oferta o suministro de bienes o servicios o el tratamiento de datos de personas físicas ubicadas en el territorio nacional; o III — los datos personales objeto de tratamiento hayan sido recolectados en el territorio nacional. §1º Los datos personales cuyo titular se encuentre presente en el momento de la recolección, se consideran recolectados en el territorio nacional".
En cuanto a la transferencia internacional de datos a países u organismos internacionales, la LGPD se reservó los artículos 33 a 36 para tratar el tema. En cuanto al nivel de protección de datos del país u organismo extranjero, éste será evaluado por la Autoridad Nacional de Protección de Datos, la cual tendrá en cuenta: las normas generales y sectoriales de la legislación vigente en el país de destino o en el organismo internacional; la naturaleza de los datos; el cumplimiento de los principios generales de protección de datos personales y de los derechos de los titulares previstos en esta Ley; la adopción de las medidas de seguridad previstas reglamentariamente; la existencia de garantías judiciales e institucionales para respetar los derechos de protección de datos personales; y otras circunstancias específicas relacionadas con la transferencia.
Se destaca del artículo 33 que podrá permitirse la transferencia internacional, entre otros casos, cuando el responsable del tratamiento ofrezca y acredite garantías de cumplimiento de los principios, de los derechos del interesado y del régimen de protección de datos, o cuando el interesado haya prestado su consentimiento expreso y destacado para la transferencia, previa información sobre el carácter internacional de la operación, distinguiéndola claramente de otros fines.
En Brasil, la Autoridad Nacional de Protección de Datos (ANPD) ha actuado con fuerza para reglamentar la ley; para ello ha emitido guías de orientación, promovido audiencias públicas para escuchar a la sociedad civil, además de eso, la Autoridad tiene una agenda donde es posible seguir los plazos determinados y los temas que serán abordados, entre ellos, la transferencia internacional de datos.
Naturalmente, los profesionales que trabajan con protección de datos están acostumbrados a mirar la regulación europea, porque, además del nivel de madurez que tiene la Unión Europea, es innegable que la ley brasileña se inspiró en el Reglamento General de Protección de Datos (RGPD, por sus siglas en español).
Sin embargo, la legislación europea no es la única que puede dar pautas y lineamientos sobre el tema, otra legislación, incluso la de países con una realidad más parecida a la de Brasil, tiene mucho que enseñar.
Aquellos que aprendieron solo estudiando el RGPD necesitarán ampliar sus horizontes, como señaló Miriam Wimmer, directora de la ANPD, durante su participación en el 11º Foro de Internet en Brasil que, en términos de transferencia internacional de datos, parece que la ANPD optará por las cláusulas contractuales estándar (SCC, por sus siglas en inglés.
"…luego de conversaciones con otros países, nos pareció interesante comenzar con las cláusulas contractuales estándar, porque son mecanismos listos para usar, de cierta facilidad para las grandes empresas en sus contratos internacionales, sin generar demasiado costo ni tiempo."
La directora Miriam destacó que, aunque se basa en las cláusulas contractuales estándar de la UE, la mejor manera de avanzar actualmente son las cláusulas estándar de Nueva Zelanda y Singapur, ya que son más simples.
Teniendo en cuenta que el flujo transnacional de datos será cada vez más intenso debido a la cantidad de transacciones transfronterizas, es necesario facilitar la transferencia de datos para no impactar negativamente en los negocios u obstaculizar el comercio internacional, teniendo en cuenta la protección de datos personales.
En este contexto de flujo internacional de datos, es fundamental mencionar la decisión Mercosur Nº 15/2020, publicada en enero de 2021, relativa al acuerdo sobre comercio electrónico, donde los países que forman parte del mencionado bloque económico tienen derecho a la posibilidad de realizar la transferencia transfronteriza de información o datos de forma simplificada, con el objetivo de realizar la actividad comercial.
En el mencionado documento, cada estado miembro puede tener sus propios instrumentos normativos, incluso en lo relacionado con la protección de datos, siendo la regla la libre circulación de datos, obviamente, con seguridad de la información e instrumentos para asegurar la transferencia de datos de una forma más segura, como la anonimización mencionada en el acuerdo.
Posiblemente la ANPD armonice el mencionado acuerdo con la LGPD, sin embargo, si opta por armonizarlo, es urgente establecer reglas mínimas de seguridad de la información y la mejor forma de atender los derechos de los titulares. Tal vez, sería satisfactorio un instrumento legal vinculante con fuerza ejecutiva capaz de uniformar los puntos más relevantes.
En octubre de 2021, el Ministerio de Justicia y Seguridad Pública (MJSP), a través de la Secretaría Nacional del Consumidor (Senacon), coordinó una reunión sobre Protección de Datos en el ámbito del Comité Técnico Nº 7 de Mercosur, según la Secretaria Nacional del Consumidor Juliana Domingues, Senacon tiene excelentes relaciones con la ANPD, que puede considerarse un factor facilitador.
"al diálogo asistieron las delegaciones de Argentina, Paraguay, Uruguay, Chile y Perú. Esta fue la primera vez que las autoridades de protección de datos de los países miembros del Comité se reunieron para discutir específicamente el estado actual de la protección de datos en el bloque." — [Sitio web del gobierno brasilero]
Como dijo la ANPD "Las transferencias internacionales de datos se han convertido en instrumentos clave para el desarrollo de la economía digital" en ese sentido, la Autoridad permitió escuchar a los diferentes sectores interesados en el tema, que podrían verse afectados por la publicación de la normativa. La toma de subvenciones para el cobro de colaboraciones tiene como objetivo la elaboración del reglamento sobre transferencias internacionales de datos personales, y la ANPD presentará próximamente una guía de orientación para resolver dudas y regular el tema.