Diferencia entre "remisión" y "transferencia"en protección de datos personales

Como ya lo comenté en una entrada anterior, la materia de privacidad es una práctica relativamente reciente en México y, aunque no es una materia nueva, pues en Europa y en otros países de Latinoamérica ya existe normativa mucho más desarrollada, en México es un tema que no conocen todos los abogados, mucho menos los traductores, pero está sujeta a traducción con mucha frecuencia, así que por eso nuevamente escribo sobre esta materia. En esta ocasión, explicaré la diferencia entre dos términos cuya comprensión y traducción resulta un problema, ya sea porque no se entienden sus diferencia, ya sea porque al traducirse no se distinguen. Se trata de “remisión” y “transferencia” de datos personales.

Una pequeña introducción...

Antes de entrar en materia, para los que aún no están muy familiarizados con este tema, explicaré brevemente las figuras de responsable y encargado que resultan indispensables para entender la diferencia entre “transferencia” y “remisión”, así como de aviso de privacidad. Los que tengan claro este punto, pueden pasar ya al siguiente párrafo. La definición de “datos personales”, en su sentido amplio, se entiende como los datos de una persona física identificada o identificable, lo que incluye desde sus datos de identificación (como nombre, fotografía, dirección y teléfono), hasta datos patrimoniales o financieros, como cuentas bancarias o sueldo, y también los datos sensibles, como su estado de salud, preferencia sexual o afiliación sindical o política, entre otros. Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México, cualquier persona que desee recopilar o manejar (tratar) datos personales solo puede hacerlo previo consentimiento del titular (persona física) de esos datos. A ese consentimiento se le llama aviso de privacidad, y a la persona que los pretende utilizar, responsable. El aviso de privacidad es un documento (físico o electrónico) que contiene información básica sobre quién es el responsable de los datos y la finalidades para las que pueden utilizarse, de modo que el titular pueda consentir o no dicho uso. El responsable, es la persona física o moral privada que decide sobre el tratamiento de datos personales, es decir, es la persona que establece las finalidades para las que se van a usar esos datos. Como lo dice su nombre, es el responsable frente al titular de los datos y de todo lo concerniente a ellos. El “encargado”, en cambio, es la persona física o moral ajena al grupo de empresas del responsable que trata datos personales por cuenta del responsable como consecuencia de la existencia de una relación jurídica que los vincula a ambos y delimita el ámbito de actuación del encargado para la prestación de un servicio. Por ejemplo, una empresa que administra la nómina del responsable. Esa empresa requerirá conocer datos personales (nombre, puesto, salario, prestaciones, etc.) del empleado a fin de realizar su trabajo, pero deberá hacerlo siempre conforme a las finalidades que le indique el responsable, que es prestar el servicio de nómina. No puede crear seas bases de datos para hacer mercadotecnia o para venderla a otros terceros.

Entrando en materia...

Ahora bien, una vez claras las figuras de responsable y encargado, pasemos al tema central de este post: diferencia entre “transferencia” y “remisión”. La “transferencia” de datos personales, según la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México (LFPDPPP), es “toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento”. Las transferencias pueden ser nacionales o internacionales y, por regla general, debe ser comunicada al titular de los datos en el aviso de privacidad correspondiente y el titular tiene la facultad de aceptar o no dicha transferencia a terceros. Hay excepciones específicas en la ley donde este consentimiento no es necesario (cuando está prevista en una ley o tratado del que México sea parte, cuando sea necesaria para tratamiento médico, cuando se efectúe a sociedades del mismo grupo del responsable, entre otros previstos en la LFPDPPP). En una transferencia, el responsable debe comunicar al tercero el aviso de privacidad con el que recabó los datos del titular para que este tercero lo respete y no los trate de forma distinta, y si lo hace, ese tercero pasa a ser responsable de esos datos. Se considera una infracción a la ley transferir datos sin consentimiento del titular o realizar una transferencia sin comunicar al tercero receptor de los datos personales el alcance del aviso de privacidad consentido por el titular de los datos transferidos. Esto se pena con una multa de hasta 320,000 Unidades de Medida y Actualización, pudiendo doblarse en caso de persistir en la infracción, lo cual sin duda representa un perjuicio económico grave para el infractor.

Una “remisión”, en cambio, es “la comunicación de datos personales entre el responsable y el encargado, dentro o fuera del territorio mexicano”. Como ya vimos arriba, no existen “transferencias” de datos personales entre responsable y encargado , a estas se les llaman remisiones. Dicha relación debe constar por escrito en cláusulas contractuales o en otro instrumento que decida el responsable, siempre y cuando permita acreditar su existencia, alcance y contenido. Las remisiones pueden ser nacionales e internacionales, al igual que las transferencias, pero, a diferencia de éstas, no requieren ser informadas al titular ni es necesario contar con el consentimiento de éste para realizarlas, pues partimos del principio de que el encargado solamente trata los datos por cuenta del responsable y con las finalidades que éste indicó en el aviso de privacidad con el que los recabó. Es decir, el responsable se mantiene como tal en todo momento y el encargado es solamente un tercero que dará tratamiento o cancelación o modificación de los datos según el responsable se lo indique. Por lo mismo, el encargado tiene prohibido subcontratar a cualquier tercero para realizar el tratamiento de los datos si no es con el previo consentimiento del responsable. En cuanto a infracciones a la ley, el encargado podría incurrir en las mismas penas descritas en el párrafo anterior en caso de realizar un tratamiento de datos personales en contravención de las instrucciones provistas por el responsable y tal como si fuera este.

Como podemos ver por las breves explicaciones anteriores, las palabras “transferencia” y “remisión” son figuras diferentes, con alcances diferentes cada una y resulta de gran importancia que tanto abogados como traductores jurídicos utilicemos el término correcto cuando detectemos esta diferencia de alcance en algún documento que vayamos a traducir a español. Mi propuesta para cuando nos toque traducirlas a inglés es “transfer” para “transferencia” y “transmission" para “remisión”. Es importante considerar que estamos hablando de derecho mexicano, pues en derecho europeo estas figuras no se denominan igual, pero eso es materia de otra entrada.

Si te interesa esta materia, te invito a que también leas mi post "4 términos que tienen una traducción particular en materia de protección de datos personales" dando click aquí y a que descargues el Glosario de Protección de Datos Personales que incluye este y otros muchos términos utilizados en México y en la Unión Europea sobre esta materia, ¡es un recurso indispensable!

Por último, si te gustó esta entrada, no olvides darle "me gusta" y compartirla para que otras personas también puedan aprovecharla. Si te quedaste con cualquier duda, puedes dejarme un comentario o enviarme un correo. ¡Hasta pronto!