Reglamento General de Protección de Datos de la Unión Europea: impacto por su vocación de eficacia extraterritorial

Por: Francisco Javier Sanz Salguero*

A nivel universal, ha sido permanente la preocupación por la protección de los datos personales. Este interés, va de la mano con los progresos logrados dentro de la esfera de las telecomunicaciones y el mundo digital. Sin duda, nuestra información personal (ya sea por la aparente debilidad de las normas, o gracias a nuestro descuido) suele dispersarse, lo que permite que esta pueda ser interceptada, almacenada y analizada por cualquiera. Junto con las leyes nacionales, hay un estatuto externo capaz de incidir en el destino de esos datos. Nos referimos al Reglamento General de Protección de Datos de la Unión Europea RGPD. En este orden de ideas, ¿Cómo llegamos a esa afirmación?

En Chile, recientemente fue aprobada la Ley Nº 21.719 de 2024 que “regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales” (o Ley 21.719). Esta normativa, constituye un avance frente a las debilidades de la Ley Nº 19.628 de 1999 sobre protección de la vida privada (o Ley 19.628). Si bien la Ley 21.719 se encarga de actualizar a la Ley 19.628, el primer estatuto tiene una vigencia diferida hasta el 1º de diciembre del 2026. La preocupación por tutelar la información personal adquiere especial relevancia, teniendo en cuenta la naturaleza iusfundamental que le concede el artículo 19 numeral 4 de la Carta Política.

La Ley 21.719 se encuentra influenciada por el RGPD, Reglamento al que se le reconoce una vocación de eficacia extraterritorial. Esta inclinación, se traduce en que el RGPD posee una efectividad que supera el espacio de la Unión Europea, con la posibilidad de afectar los intereses de personas o sociedades ubicadas dentro y fuera de la órbita comunitaria. Ante la necesidad de establecer los alcances de esa eficacia extracomunitaria, quien escribe llevó a cabo una investigación patrocinada por la ANID¹Proyecto Fondecyt de iniciación Nº 11221089 titulado “Desafíos para la modernización de la Ley Nº 19.628 de 1999, de cara al alcance extraterritorial del Reglamento General de Protección de Datos de la Unión Europea GDPR”, patrocinado por la Agencia Nacional de investigación y Desarrollo ANID., proyecto cuyo propósito consistió en identificar los efectos extraterritoriales del Reglamento de protección de datos europeo. Como resultado, establecimos dos alcances de la vocación de eficacia extracomunitaria del RGPD:

1. Siempre se aplicará el RGPD, si la ubicación física (es decir, el “establecimiento”) del “responsable” o del “encargado” del tratamiento de los datos personales, se encuentra dentro de la Unión Europea, con independencia que la operación o conjunto de operaciones realizadas sobre la información personal tengan lugar dentro o fuera de la esa comunidad política. En la práctica eso determina que, por ejemplo, si un chileno domiciliado en Santiago de Chile adquiere por internet un servicio a una persona (natural o jurídica) italiana localizada en Paris, y esa transacción comercial exige la entrega de cierta información personal por parte del cliente al proveedor, este proveedor europeo se convierte en “responsable” o “encargado” del tratamiento de datos personales, quedando en consecuencia sometido a las exigencias del RGPD.
2. Si el titular de los datos personales se encuentra en la Unión Europea, pero el tratamiento de su información está a cargo de un “responsable” o “encargado” no establecido en dicha Unión, se aplicará el RGPD para actividades de tratamiento relacionadas con (1) la oferta de bienes o servicios (onerosa o no) a dichos interesados en la Unión, o (2) al control de su comportamiento en la medida en que este tenga lugar en la Unión. En la práctica eso determina que, por ejemplo, si una sociedad chilena ubicada en Santiago de Chile se dedica al tratamiento de datos con fines de “control del comportamiento”, como ocurre con el aprovechamiento de tecnologías que permiten el marketing comportamental, y esa misma empresa mal utiliza la información de un sujeto que se “encuentra” en la Unión Europea (precisión importante, ya que aborda tanto a ciudadanos nacionales europeos, como a simples residentes), el “titular” de los datos está protegido por el paraguas del RGPD.

Siguiendo con los resultados de la investigación, otra pregunta que surgió es hasta donde el RGPD admite la transferencia de datos personales por parte de los Estados de la comunidad política, a “terceros países”. En respuesta a este interrogante, se concluyó que el Reglamento europeo tolera esa posibilidad de transferencia, siempre y cuando el sistema legal del país receptor de la información sea capaz de ofrecer un “nivel adecuado de protección” de la información, hipótesis en la que alcanzar el “nivel adecuado” dependerá de que el tercer país posea un enfoque por el respeto a los derechos humanos similar al de la Unión Europea, y se encuentre adherido al “Convenio 108 del Consejo de Europa” (ETS No. 108) [suscrito en 1981].

Finalmente, teniendo en cuenta lo que falta para la entrada en vigencia de la Ley 21.719 (recordemos la fecha clave: 1º de diciembre del 2026), es imperativo aprovechar ese espacio de tiempo para determinar si la nueva norma chilena sintoniza con el RGPD, lo que exige identificar las debilidades y los desafíos que enfrenta la Ley 21.719 para su futura aplicación: el reto está servido para los académicos e investigadores interesados en la tutela de la información personal.

*Francisco Javier Sanz Salguero. Doctor en Derecho, Pontificia Universidad Católica de Valparaíso. Abogado, Universidad Externado de Colombia. Diplomado en Docencia Universitaria, Universidad Católica del Norte (Chile). Académico investigador: Universidad Santo Tomás, sede Santiago (Chile).