Transferencia Internacional de Datos Personales

En un mundo globalizado, las transferencias internacionales de datos personales son una realidad cotidiana: datos almacenados en servidores en el extranjero, servicios de nube globales, comunicaciones con filiales internacionales. Tanto la Ley 21.719 de Chile como el GDPR europeo establecen requisitos específicos para estas transferencias, buscando que los datos mantengan un nivel de protección adecuado cuando cruzan fronteras.

¿Cuándo hay transferencia internacional?

Existe transferencia internacional de datos personales cuando los datos se comunican, transmiten o hacen accesibles a un destinatario ubicado en un país diferente al del responsable del tratamiento. Los escenarios más comunes incluyen almacenamiento en servicios cloud con servidores en el extranjero, uso de plataformas SaaS con procesamiento fuera de Chile, envío de datos a filiales o casa matriz en otros países, subcontratación de servicios que implica acceso a datos desde el extranjero, y compartir datos con socios comerciales internacionales.

Mecanismos para transferencias legales

Mecanismo	Ley 21.719	GDPR
País con nivel adecuado	Transferencia permitida a países reconocidos con protección adecuada	Decisiones de adecuación de la Comisión Europea (Art. 45)
Garantías contractuales	Cláusulas contractuales que aseguren protección equivalente	Cláusulas contractuales tipo aprobadas por la CE (Art. 46)
Consentimiento expreso	Consentimiento del titular informado del riesgo	Consentimiento explícito del titular (Art. 49)
Normas corporativas vinculantes	Reconocidas como mecanismo válido	BCR aprobadas por la autoridad (Art. 47)
Excepciones específicas	Cumplimiento contractual, interés público, protección vital	Derogaciones similares (Art. 49)

Cláusulas contractuales para transferencias

Las cláusulas contractuales son el mecanismo más utilizado en la práctica. Deben cubrir las obligaciones del importador de datos respecto a la protección, los derechos de los titulares ejercibles ante el importador, las medidas técnicas y organizativas de seguridad, las restricciones sobre retransferencias a terceros, los procedimientos de notificación de brechas, y los mecanismos de resolución de conflictos.

ISO 27701 incluye controles específicos para las transferencias internacionales (A.7.5) que proporcionan una estructura para implementar estos mecanismos de forma sistemática y auditable.

Importante: El uso de servicios cloud globales (AWS, Azure, Google Cloud) implica frecuentemente transferencias internacionales de datos. Verifica la ubicación de los servidores donde se almacenan tus datos y los mecanismos de garantía que ofrece el proveedor. Muchos proveedores cloud ofrecen opciones de residencia de datos en regiones específicas.

Evaluación de transferencias

Antes de realizar una transferencia internacional, evalúa el nivel de protección del país de destino, los mecanismos de garantía disponibles, la naturaleza y sensibilidad de los datos, el impacto potencial para los titulares, y las medidas complementarias necesarias. Documenta la evaluación como parte de tu SGIP conforme a ISO 27701.

Buena práctica: Mantén un inventario de todas las transferencias internacionales de datos con el país de destino, el destinatario, la base legal, el mecanismo de garantía y la evaluación de riesgos. Este inventario es un requisito de ISO 27701 y será solicitado por la Agencia de Protección de Datos en caso de inspección.

Gestiona transferencias internacionales con GRC360

GRC360 te permite documentar, evaluar y dar seguimiento a todas las transferencias internacionales de datos con mapas de flujos, evaluaciones de riesgo y registros auditables.

Crear Cuenta Gratis

Complementa con GDPR vs Ley 21.719, ISO 27701 y controles de privacidad.

¿Cuándo hay transferencia internacional?

Mecanismos para transferencias legales

Cláusulas contractuales para transferencias

Evaluación de transferencias

Gestiona transferencias internacionales con GRC360

¿Necesitas gestionar tu compliance?