Cuando
en
1995
se
adoptó
la
Directiva
95/46/CE
del
Parlamento
Europeo
y
del
Consejo,
de
24
de
octubre,
relativa
a la
protección
de
las
personas
físicas
en
lo
que
respecta
al
tratamiento
de
datos
personales
y a
la
libre
circulación
de
estos
datos,
el
legislador
europeo
optó
por
establecer
la
prohibición
general
de
transferir
datos
a
terceros
países,
es
decir
fuera
de
la
Unión
Europea
y
del
Espacio
Económico
Europeo
(Islandia,
Noruega
y
Liechtenstein)
que
no
tuvieran
el
nivel
adecuado
otorgado
por
la
Comisión
Europea.
No
obstante,
dicha
prohibición
cuenta
con
varias
excepciones
basadas
en
el
hecho
de
que
se
cumplan
ciertas
circunstancias
específicas,
entre
las
que
se
encuentra
la
relativa
a
que
un
tercer
país
consiga
el
nivel
adecuado
en
protección
de
datos.
Por
lo
que
se
refiere
a
dichos
terceros
países,
hasta
la
fecha
la
Comisión
Europea
ha
reconocido
el
nivel
adecuado
de
Andorra,
Argentina,
Canadá
(sector
privado),
Guernsey,
Islas
Feroe,
Isla
de
Man,
Israel,
Jersey,
Nueva
Zelanda,
Suiza,
Uruguay
y el
caso
de
Estados
Unidos
de
América,
donde
se
aplica
a
las
empresas
adheridas
al
Acuerdo
de
Puerto
Seguro.
Ahora
bien,
desde
1995
la
tecnología
y
las
relaciones
comerciales
internacionales
y/o
globales
han
evolucionado
de
manera
que
los
criterios
establecidos
entonces
pueden
no
ser
eficientes,
lo
que
implica
que
deban
ser
revisados
y,
además,
puestos
en
perspectiva
de
manera
que
se
tengan
en
consideración
la
competitividad
y la
innovación.
Buena
muestra
de
ello
es,
por
ejemplo,
la
computación
en
la
nube,
ya
que
para
poder
obtener
todos
los
beneficios
que
ofrece
tanto
a
las
empresas
como
a
las
personas,
requiere
de
esquemas
adecuados
al
escenario
actual.
Es
decir,
más
allá
de
una
lista
limitada
de
países
y
excepciones
específicas
como
la
de
Estados
Unidos
América,
el
estándar
establecido
por
la
Unión
Europea
sólo
considera
el
nivel
adecuado
de
un
tercer
país,
pero
no
de
organizaciones
que
prestan
servicios
electrónicos,
entre
otros.
Todo
apunta
a
que
el
futuro
Reglamento
General
de
Protección
de
Datos,
todavía
en
fase
de
aprobación,
sí
tendrá
en
consideración
la
necesidad
de
flexibilizar
el
régimen
de
las
transferencias
internacional.
Flexibilizar
no
significa
disminuir
el
nivel
de
protección
de
datos
sino,
por
ejemplo,
considerar
la
posibilidad
otorgar
el
nivel
adecuado
atendiendo
al
nivel
de
cumplimiento
de
“un
sector
de
tratamiento
en
un
tercer
país”.
Es
necesario,
por
lo
tanto,
considerar
nuevas
posibilidades,
tales
como
el
hecho
de
recurrir
a
normas
corporativas
vinculantes
(en
inglés,
BCRs,
Binding
Corporate
Rules)
y
que
éstas
faciliten
la
posibilidad
de
responder
a
las
necesidades
de
una
libre
circulación
de
datos
personales,
tal
y
como
se
menciona
en
el
propio
título
de
la
Directiva
95/46/CE.
Y
que
dicha
libre
circulación
sea
segura,
en
el
sentido
de
garantizar
un
alto
nivel
de
protección
de
datos
personales.
Debemos
superar
ya
la
fase
en
la
que
el
nivel
adecuado
es
para
un
tercer
país,
considerando
por
tanto
que
dicho
nivel
adecuado
puede
ser
también
para
organizaciones
que
cumplen
con
las
garantías
necesarias,
sin
que
éstas
se
conviertan
en
trabas
burocráticas
que
puedan
mermar
la
competitividad
y la
innovación.
Restringir
de
manera
indebida
las
posibilidades
sería
un
error
que
incluso
obstaculizaría
la
posibilidad
de
que
los
datos
personales
sean
protegidos
de
manera
efectiva
cuando
éstos
son
tratados
por
quien
sí
cumple,
con
independencia
de
dónde
esté
o
dónde
los
trate.
Como
conclusión
y
expresado
en
forma
de
fórmula
matemática,
en
inglés,
puede
afirmarse
que
“A =
A”,
es
decir,
“Accountability
=
Adequacy”,
lo
que
se
traduce
a
español
como
que
“Responsabilidad
=
Adecuación”.
Es
por
ello
que
adoptar
medidas
regulatorias
y
autorregulatorias
en
materia
de
protección
de
datos
personales
sirve
a
las
organizaciones
y a
los
países
para
ser
competitivos
e
innovadores
al
mismo
tiempo
que
se
garantiza
un
alto
nivel
de
protección
de
datos
personales
con
lo
que
ello
supone
para
el
titular
de
los
datos
personales. |