28/1/2025

El 28 de enero se celebra el Día Internacional de la Protección de los Datos Personales, en conmemoración de la firma del Convenio 108 del Consejo de Europa en 1981. Este tratado fue el primer instrumento internacional legalmente vinculante en la materia, abierto a la firma de los países miembros del Consejo de Europa y a la adhesión de países no europeos. En su preámbulo, declara que uno de sus objetivos es ampliar las salvaguardas de los derechos y libertades fundamentales de la ciudadanía, teniendo en cuenta la “creciente transferencia internacional” de datos personales, sometidos a un tratamiento automatizado.

45 años después, los flujos internacionales de datos personales se han incrementado exponencialmente. En efecto, la economía digital se basa en esta clase de intercambios, que aportaron alrededor de 2,8 billones de dólares al PIB mundial en el año 2022. Según estimaciones de la International Chamber of Commerce, esta cifra aumentará a 11 billones de dólares este año. De la misma manera, para la OCDE, el acceso y el intercambio de datos generan beneficios sociales y económicos de hasta el 2,5 % del PIB de los países analizados (en algunos estudios, incluso de hasta el 4 % del PIB).

A pesar de las evidentes ventajas económicas del intercambio de datos (incluyendo datos personales), las grandes economías digitales han limitado, en ciertos contextos, estos flujos. Los fallos Schrems I (2015) y Schrems II (2020) del Tribunal de Justicia de la Unión Europea invalidaron acuerdos de transferencia de datos con EE. UU., con el argumento de que este país no ofrecía protecciones adecuadas para los datos personales de sus ciudadanos debido a las amplias facultades concedidas a sus agencias de inteligencia, como las autorizadas por la Ley de Vigilancia de Inteligencia Extranjera (“FISA”). Para restablecer la confianza en la protección de datos dentro de ese país, el expresidente Biden estableció límites a la recopilación y uso de datos por parte de las agencias de inteligencia estadounidenses (Executive Order N° 14.086 de 2022). La Comisión Europea volvió a declarar que EE. UU. es un “país con garantías adecuadas” para la transferencia internacional de datos personales de los ciudadanos europeos, dando lugar al Data Privacy Framework entre la UE y EE .UU., que habilita el flujo transfronterizo en las condiciones establecidas. La subsistencia de este acuerdo no está asegurada. Una de las primeras medidas del nuevo gobierno norteamericano (Trump II), fue alterar la estructura del Privacy and Civil Liberties Oversight Board (“PCLOB”), un organismo clave para el funcionamiento del referido acuerdo.

Actualmente, las preocupaciones geopolíticas de EE. UU. por las transferencias internacionales de datos de ciudadanos estadounidenses a China tienen en vilo a los usuarios de TikTok, cuya continuidad está en cuestión en este país. La red social, propiedad de la empresa china ByteDance, cuenta con más de 170 millones de usuarios en EE. UU. y más de mil millones a nivel global.

Es difícil negar que la transferencia masiva de datos personales podría representar un riesgo de seguridad nacional para cualquier país. Se ha sostenido que el caso de TikTok es especialmente grave, ya que la aplicación recolecta una gran cantidad de datos personales de sus usuarios, como la edad, número de teléfono, ubicación precisa, dirección de I.P., contactos telefónicos, conexiones en redes sociales, el contenido de los mensajes privados enviados a través de la aplicación y los videos visualizados (TikTok Inc. v. Garland, 604 U.S., 13 (2025).

Luego de varios intentos de las administraciones de Trump I y de Biden por prohibir la aplicación, el Congreso norteamericano aprobó el 24 de abril de 2024 la Protecting Americans from Foreign Adversary Controlled Applications Act, que tiene como objetivo proteger la seguridad nacional de EE. UU., impidiendo que "adversarios extranjeros" (como China, para EE. UU.) utilicen aplicaciones para vigilar a sus ciudadanos. En consecuencia, TikTok pasaría a estar prohibida en EE. UU. a partir del 19 de enero de 2025, a menos que ByteDance deje de controlarla. Dicha ley fue recientemente avalada por la Suprema Corte de EE. UU., aunque Trump ha demorado su entrada en vigencia por 75 días más, permitiendo la continuidad operativa de la red social (que solo fue inaccesible entre el 18 y el 19 de enero por un período de 14 horas, y por decisión de la propia empresa). Como se advierte, el nuevo presidente norteamericano ha cambiado radicalmente su postura respecto de la plataforma, y ahora parece inclinarse por su continuidad. 

En este contexto de incertidumbre internacional, es interesante repasar cómo la Nueva Ley de Protección de Datos Personales de Chile N° 21.719 (“NLPD”) regula la transferencia internacional de datos personales desde Chile al extranjero por parte de las organizaciones establecidas en el país. En términos generales, el Art. 27 de la NLPD establece que las transferencias de datos serán lícitas en los siguientes casos: (i) si la organización receptora se encuentra en un país que garantiza un nivel adecuado de protección de los datos personales; (ii) si la transferencia de datos se ampara en instrumentos jurídicos entre responsables o encargados, que establezcan garantías adecuadas de protección (como cláusulas contractuales o normas corporativas vinculantes entre las filiales de un mismo grupo de empresas); (iii) si los responsables o encargados adoptaron un modelo de cumplimiento con garantías adecuadas; (iv) si concurren ciertas excepciones, como el consentimiento expreso del titular respecto de una transferencia internacional de datos específica y determinada. En el futuro, la Agencia Nacional de Protección de Datos Personales deberá precisar los alcances de cada una de estas causales.

Si bien aún no entra en vigor, se recomienda a las empresas iniciar cuanto antes el proceso de adecuación a la NLPD. Las transferencias internacionales de datos no se limitan al envío directo de información a otro país, sino que también ocurren cuando empresas extranjeras pueden acceder de forma remota a datos de personas en Chile, como en el caso de los servicios en la nube o proveedores tecnológicos con servidores fuera del país. Para cumplir con la NLPD, una de las estrategias más efectivas es incorporar cláusulas contractuales robustas que aseguren un nivel adecuado de protección para los datos personales transferidos internacionalmente, especialmente cuando esta transferencia resulte indispensable para la prestación del servicio contratado. En este contexto, las Cláusulas Contractuales Tipo (“SCCs”), aprobadas por la Comisión Europea en 2021, constituyen un modelo altamente recomendable para garantizar estos estándares. Implementar estas medidas desde ahora fortalecerá la seguridad jurídica y operativa de las empresas chilenas en un entorno global donde la protección de datos es cada vez más exigente.