Los datos personales se han convertido en uno de los recursos estratégicos más valiosos del planeta. Sin embargo, a diferencia de otros activos globales, como el comercio o las finanzas, la arquitectura jurídica que debería regular su circulación sigue siendo fragmentaria e incompleta. El resultado es un fenómeno que inquieta cada vez más a juristas y diplomáticos: la recolección internacional de datos personales sin supervisión efectiva.
La advertencia más reciente proviene de Ana Brian Nougrères, relatora especial de las Naciones Unidas sobre el derecho a la privacidad, quien presentó un informe ante el 61º período de sesiones del Consejo de Derechos Humanos de la ONU. Su diagnóstico es inquietante. En la práctica, miles de millones de usuarios de internet pueden ver cómo su información es recopilada desde cualquier país del mundo sin un marco legal internacional claro que garantice su protección.
La era digital ha avanzado mucho más rápido que el derecho internacional. Mientras las empresas tecnológicas, los intermediarios digitales y una multitud de actores privados han desarrollado sofisticados mecanismos de recopilación de datos, el sistema jurídico internacional todavía carece de una definición clara del fenómeno de la recolección transfronteriza de información personal.
Vacío jurídico
Según el informe presentado por Nougrères, la recolección internacional de datos personales ni siquiera está plenamente reconocida como un fenómeno jurídico autónomo en los principales instrumentos internacionales. Esto significa que, en muchos casos, la actividad ocurre en un espacio regulatorio difuso.
Las normas existentes se centran principalmente en la transferencia de datos entre organizaciones o empresas, es decir, cuando una entidad envía información a otra a través de fronteras nacionales. Sin embargo, estas reglas se vuelven mucho menos claras cuando la información se obtiene directamente en internet.
En ese escenario, no existe necesariamente un “remitente” identificable ni una autoridad nacional que supervise la operación. Un actor situado en un país puede recopilar información sobre usuarios ubicados en otro continente sin necesidad de atravesar formalmente ninguna jurisdicción.
El resultado es un vacío regulatorio con profundas implicaciones. En términos prácticos, cualquier persona o empresa con acceso a herramientas digitales puede recopilar datos personales desde cualquier lugar del mundo, lo que plantea preguntas complejas sobre responsabilidad, jurisdicción y protección de derechos fundamentales.
Fragilidad de la privacidad
La preocupación central del informe es que este vacío jurídico deja a los ciudadanos expuestos a posibles vulneraciones de su privacidad. En ausencia de normas internacionales vinculantes, la protección de los datos depende principalmente de las legislaciones nacionales, que varían enormemente entre países.
Algunas jurisdicciones, como la Unión Europea, han desarrollado sistemas relativamente estrictos de protección de datos. Otras, en cambio, cuentan con regulaciones más limitadas o incluso inexistentes. En el espacio digital global, estas diferencias crean un mosaico regulatorio que resulta difícil de aplicar de forma coherente.
El problema se agrava porque la arquitectura de internet permite que las operaciones de recopilación de datos se realicen de manera distribuida. Un mismo proceso puede implicar servidores en múltiples países, empresas intermediarias y algoritmos que operan en tiempo real.
Desde una perspectiva jurídica, la pregunta clave es quién debe ejercer la autoridad cuando los datos se recopilan en un territorio, se procesan en otro y se utilizan en un tercero.
Soberanía digital
El informe presentado ante el Consejo de Derechos Humanos también se inscribe en un debate más amplio sobre la soberanía digital y la gobernanza global de internet.
Durante décadas, la comunidad internacional asumió que la infraestructura digital se desarrollaría bajo un modelo relativamente abierto y descentralizado. Sin embargo, la creciente importancia económica y política de los datos ha llevado a muchos gobiernos a replantear ese enfoque.
Hoy, los datos personales no solo tienen valor comercial. También poseen un valor estratégico en ámbitos como la inteligencia artificial, la seguridad nacional y la influencia política.
En ese contexto, la ausencia de normas internacionales claras sobre la recolección transfronteriza de información puede convertirse en una fuente de tensiones diplomáticas y disputas regulatorias.
Tratado global
Frente a este panorama, Nougrères propone una respuesta jurídica coordinada a escala internacional. En su informe, la relatora insta a los Estados a considerar la creación de un tratado global que regule la recolección internacional de datos personales.
El objetivo sería establecer principios comunes que garanticen el respeto al derecho a la privacidad independientemente del lugar desde el que se obtenga la información.
Además, el informe recomienda que los países amplíen el alcance extraterritorial de sus legislaciones nacionales de protección de datos. Esto permitiría que las normas de privacidad sigan aplicándose incluso cuando la recopilación se realiza desde jurisdicciones extranjeras.
La iniciativa también pretende reactivar un debate normativo que lleva décadas pendiente. El informe complementa otro presentado en 2024 ante la Asamblea General de las Naciones Unidas, donde se propuso actualizar la resolución titulada “Principios rectores para la reglamentación de los archivos computarizados de datos personales”.
Ese documento, adoptado originalmente en 1990, fue diseñado para un mundo tecnológico radicalmente distinto. En aquel momento, internet apenas comenzaba a expandirse y el concepto de plataformas digitales globales todavía no existía.
Tres décadas después, la economía mundial gira cada vez más en torno a la recopilación, procesamiento y monetización de datos.