Alguien ha dicho que los datos personales son el petróleo del siglo XXI: ¿cuánto menos valdrían algunas compañías tecnológicas sin los datos que almacenan? Hoy en día vivimos en un mundo cada vez más globalizado donde el flujo de datos personales se ha convertido en algo recurrente en nuestra vida cotidiana. Ya sea por razones vinculadas a nuestro negocio u actividad comercial, ya sea por razones de cooperación entre empresas y/o distintas organizaciones, ya sea por razones de seguridad, o cualquier otra razón, frecuentemente nos encontramos ante la necesidad de transferir datos personales a otros países. En suma, los datos personales circulan y en esa circulación su transferencia no reconoce fronteras: basta un click para que un dato correspondiente a una persona en Uruguay, acabe en un servidor en Japón, por decir algo.  Esta transmisión fuera del territorio nacional es lo que las leyes uruguayas denominan transferencia internacional de datos: es decir, la comunicación de datos  -del Uruguay al exterior- que tiene por objeto un tratamiento por cuenta del responsable de la base de datos o tratamiento establecido en territorio uruguayo.

Como se comprenderá, la transferencia internacional de datos es fundamental para dinamizar los negocios comerciales y la prestación de servicios, profundizar la cooperación entre empresas u organizaciones internacionales y estimular el desarrollo e innovación mundial.

Se trata pues de aunar ambas necesidades: el tráfico de datos impuestos por el comercio de bienes y servicios, y la protección de información privativa de su titular.  Y ese es justamente el balance que la ley uruguaya procuró alcanzar resguardando la seguridad y la privacidad de los datos de manera que la transferencia internacional de estos sea responsable y respetuosa de los derechos individuales.

I. Principio General: Prohibición a Países No Adecuados

La ley uruguaya establece la prohibición de transferencias internacionales de datos con países u organismos internacionales que no proporcionen niveles de protección adecuados, de acuerdo con los estándares del Derecho Internacional o Regional en la materia, salvo las siguientes excepciones:

i) cooperación judicial internacional;

ii) intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado por razones de salud o higiene públicas;

iii) transferencias bancarias o bursátiles;

iv) acuerdos en el marco de tratados internacionales en los cuales Uruguay sea parte; y

v) cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.

I.II. Requerimientos para la Transferencia Internacional

Sin perjuicio de las citadas excepciones, también será posible realizar una transferencia internacional de datos en los siguientes supuestos:

i) que el interesado haya dado su consentimiento;

ii) que la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado;

iii) que la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el responsable del tratamiento y un tercero;

iv) que la transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial;

v) que la transferencia sea necesaria para la salvaguardia del interés vital del interesado; y  

vi) que la transferencia tenga lugar desde un registro que esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, las condiciones que establece la ley para su consulta.

Sin perjuicio de las excepciones mencionadas, la autoridad competente -la Unidad Reguladora y de Control de Protección de Datos Personales (URCDP)- podrá autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel adecuado de protección, cuando el responsable del tratamiento ofrezca garantías suficientes respecto a la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos.

III. Pautas Generales

Lo expuesto más arriba y la experiencia profesional en la materia, sugieren la prudencia de las acciones que se relacionan seguidamente: 

a) Identificar el país receptor de la transferencia internacional de datos. Si se trata de un país que haya sido declarado con un nivel de protección adecuado, no habrá ningún problema en realizar la transferencia. Si el país destinatario no ha sido declarado con un nivel de protección adecuado, quien transfiere deberá pasar a analizar el resto de las excepciones previstas. En el marco de las competencias que le brinda la Ley, la URCDP determinó los territorios adecuados para la transferencia de datos personales sin requerir autorizaciones administrativas previas. Por Resolución de 23 de junio de 2021, la URCDP determinó que a los miembros de la Unión Europea y el Espacio Económico Europeo, Principado de Andorra, República Argentina, el sector privado de Canadá, Guernsey, Isla de Man, Islas Feroe, Estado de Israel, Japón, Jersey, Nueva Zelanda, Reino Unido de Gran Bretaña e Irlanda del Norte, y Confederación Suiza, se consideran adecuados y en consecuencia apropiados para las transferencias internacionales de datos, por contar con normas de protección adecuadas y medios para asegurar su aplicación eficaz. Esta resolución excluyó de los territorios adecuados a los Estados Unidos de América, sugiriendo el empleo de otros mecanismos como las cláusulas contractuales y otros elementos para justificar la transferencia.

b) Identificar si la situación fáctica que motiva la transferencia se encuentra alcanzada por los supuestos de excepción a la prohibición de transferencia.  Se trata de despejar los datos objeto de la transferencia, la finalidad de la transferencia, y el interés del titular por la realización de la transferencia.

c) Adoptar Cláusulas Contractuales Adecuadas. Como vimos, sin perjuicio de los supuestos de excepción previstos,  la URCDP tiene la potestad de autorizar transferencias de datos personales a un tercer país que no garantice un nivel adecuado de protección, cuando el responsable del tratamiento ofrezca garantías suficientes. Estas garantías estarán dadas por la redacción de cláusulas contractuales que permitan avanzar con la transferencia de datos, salvaguardando la protección de los datos personales de sus titulares.

d) Solicitar la Autorización ante la URCDP. Agotadas las excepciones enunciadas, quien realiza el tratamiento de la base de datos tiene la posibilidad de solicitar la transferencia internacional de datos ante la URCDP. Dicha solicitud deberá contener:

i) identificación de la base de datos y su código de inscripción en el Registro de Bases de Datos Personales;

ii) la descripción de la transferencia, respecto de la que se solicita la autorización, con indicación de la finalidad que la justifica, adjuntando la documentación acreditante.

Cuando la autorización se fundamente en la existencia de un contrato entre el importador  y el exportador de los datos, deberá aportarse copia del mismo acreditándose la concurrencia de poder suficiente de sus otorgantes. Podrán realizarse transferencias internacionales de datos en empresas multinacionales, únicamente entre la matriz y sus filiales y/o sucursales y entre éstas, cuando posean códigos de conducta debidamente inscriptos ante la URCDP. Esto será de aplicación a los organismos internacionales.

Por último, la Unión Europea (UE) adoptó un nuevo marco legal para la transferencia de datos personales a Estados Unidos, crucial para la economía digital. Cabe recordar que los dos últimos Acuerdos entre la Unión Europea y Estados Unidos fueron dejados sin efecto por el Tribunal de Justicia de la Unión Europea (TJUE) por no ofrecer la suficiente garantía de protección de acuerdo a la regulación de UE. La causa principal por la que en las dos ocasiones anteriores las regulaciones de transferencia de datos han sido consideradas ilegales por el TJUE es que las agencias de inteligencia de Estados Unidos, pueden intervenirlos cuando lo consideren oportuno para la seguridad nacional, algo que en Europa está totalmente prohibido.

Se anunció una nueva impugnación al flamante acuerdo, por lo que habrá que aguardar el pronunciamiento del TJUE al respecto para saber las derivaciones que esto supondrá tanto en la Unión Europea como también en consecuencia, en nuestro país. 

III. Reflexión Final

Aun cuando a muchos pudiera parecer un tema remoto o ajeno, lo cierto es que la protección de datos personales se ha erigido en un nuevo frente para toda organización: las empresas no pueden soslayar que su actividad involucra este tipo de implicancias legales. En particular, la transferencia internacional de datos personales implica una responsabilidad significativa para las organizaciones. Uruguay no escapa a esa regla y por ende toda organización debe garantizar la privacidad y los derechos de las personas. Creemos que las medidas arriba propuesta militan en esa dirección.