Transferencia internacional de datos personales
Julio V. González García
transferencia internacional de datos, transferencia internacional de datos, protección de datos personales, Reglamento General de Protección de Datos, decisiones de adecuación, soberanía digital
Julio V. González García (2026). "Transferencia internacional de datos personales". GPL Working Papers, 2. DOI: 10.5281/zenodo.20798757. Disponible en: https://globalpoliticsandlaw.com/working-paper/transferencia-internacional-datos-personales/
La transferencia internacional de datos personales no puede comprenderse, como presupone el Reglamento General de Protección de Datos, según un esquema bilateral entre el país del emisor y el del receptor. A partir del análisis del ámbito de aplicación del Reglamento (artículo 3), del concepto de transferencia fijado por las Directrices 05/2021 del Comité Europeo de Protección de Datos y del régimen del capítulo V, este trabajo defiende una lectura triangular —y a menudo cuadrangular— de la operación: junto al emisor y al receptor formal interviene el titular de la infraestructura por la que el dato circula y se almacena (el operador de la nube) y, en ocasiones, su subcontratista. La posición jurídica de ese vehículo no es neutral, pues arrastra consigo el ordenamiento del Estado en que se domicilia, que puede desplazar en la práctica a la ley aplicable al receptor formal. El trabajo recorre los tres niveles de protección —decisiones de adecuación, garantías adecuadas del artículo 46 y excepciones del artículo 49—, el conflicto permanente con los Estados Unidos (CLOUD Act, sección 702 de la FISA, Marco de Privacidad de Datos y asunto Latombe) y el impacto de la inteligencia artificial como vehículo de transferencia en su forma más intensa. Concluye que el problema reside menos en el texto normativo que en la distancia entre el Derecho formal y el Derecho practicado, y que decidir sobre los datos es, en última instancia, decidir sobre la soberanía.
The international transfer of personal data cannot be understood, as the General Data Protection Regulation presupposes, as a bilateral relationship between the country of the exporter and that of the importer. Drawing on the Regulation's territorial scope (Article 3), the notion of transfer set out in the European Data Protection Board's Guidelines 05/2021 and the Chapter V regime, this paper defends a triangular —and often quadrangular— reading of the operation: alongside the exporter and the formal importer stands the owner of the infrastructure through which the data circulates and is stored (the cloud provider) and, at times, its subprocessor. The legal position of this vehicle is not neutral, since it carries with it the law of the State where it is domiciled, which may in practice displace the law applicable to the formal importer. The paper examines the three levels of protection —adequacy decisions, the appropriate safeguards of Article 46 and the derogations of Article 49—, the persistent conflict with the United States (CLOUD Act, FISA Section 702, the Data Privacy Framework and the Latombe case) and the impact of artificial intelligence as the most intense form of transfer vehicle. It concludes that the problem lies less in the legislative text than in the gap between formal law and law in action, and that deciding on data is, ultimately, deciding on sovereignty.