Derecho Artificial
IA Global

Sin domicilio, sin ley: el imperativo de un tratado global frente a la recolección internacional de datos personales

PorAnálisis Global-IA

No Domicile, No Law: The Imperative of a Global Treaty on the International Collection of Personal Data

Tabla de abreviaturas

| Abreviatura | Significado | |-------------|--------------| | ETN | Empresas transnacionales | | IA | Inteligencia artificial | | LGPD | Lei Geral de Proteção de Dados (Brasil) | | ONU | Organización de las Naciones Unidas | | RGPD | Reglamento General de Protección de Datos (UE) | | RIDP | Recolección Internacional de Datos Personales | | RIPD | Red Iberoamericana de Protección de Datos | | SIC | Superintendencia de Industria y Comercio (Colombia) | | TIDP | Transferencia Internacional de Datos Personales | | TJUE | Tribunal de Justicia de la Unión Europea |

Resumen

La evolución vertiginosa de la economía digital ha desplazado el eje de la gobernanza de datos desde el concepto tradicional de "transferencia internacional" hacia el fenómeno emergente de la "recolección internacional de datos personales" (RIDP). Mientras que los marcos normativos clásicos, como el Convenio 108 y el Reglamento General de Protección de Datos (RGPD), se basan en la regulación de flujos entre exportadores e importadores, la RIDP permite la captura directa de información por parte de entidades extranjeras sin presencia física en el territorio del titular. Este artículo analiza el déficit regulatorio global, la erosión del principio de territorialidad estricta y los desafíos jurisdiccionales planteados por empresas transnacionales (ETN). A través del estudio comparado de las legislaciones de la Unión Europea, Brasil y el contencioso administrativo en Colombia, se propone la creación de un tratado internacional vinculante que armonice la responsabilidad extraterritorial y garantice la continuidad de la protección de los derechos humanos en el ciberespacio.

I. Introducción

1.1. El cambio de paradigma: de la transferencia estática a la recolección masiva y ubicua

Durante décadas, el derecho internacional de protección de datos se ha estructurado sobre el "principio de continuidad", diseñado para escenarios donde un remitente en un país A exporta información a un receptor en un país B. Bajo este esquema, las autoridades locales mantienen el control sobre el exportador situado en su jurisdicción, asegurando que la protección "viaje" con el dato. Sin embargo, la infraestructura global de internet ha propiciado una transición hacia modelos de recolección masiva y directa.

En la actualidad, cualquier entidad con una conexión a internet puede actuar como un recolector internacional, extrayendo datos de ciudadanos extranjeros mediante herramientas invisibles como cookies, píxeles de seguimiento y aplicaciones móviles. Este cambio de paradigma implica que ya no existe necesariamente un "exportador" local al cual supervisar, dejando a las autoridades nacionales frente a un vacío de control en el origen de la captura.

1.2. Planteamiento del problema: la erosión de las fronteras físicas frente al poder informático

La naturaleza transfronteriza y descentralizada del ciberespacio cuestiona la división política tradicional basada en estados-nación y fronteras físicas. Las ETN han adoptado modelos de negocio donde ofrecen servicios globales de forma ubicua, tratando datos de millones de personas sin establecer una sede física en cada jurisdicción donde operan. Esta "presencia tecnológica" les permite recolectar información sensible —incluyendo hábitos de navegación, geolocalización y preferencias— bajo la pretensión de que las leyes locales no les son aplicables por falta de domicilio.

Este escenario genera una asimetría de poder donde los derechos fundamentales de los titulares pueden verse vulnerados en "paraísos informáticos" (data havens), jurisdicciones con estándares de protección débiles o inexistentes que atraen a entidades que buscan evadir la responsabilidad legal. Si el derecho se limita a un entendimiento estricto de la territorialidad, el internet corre el riesgo de convertirse en una zona de impunidad para la vigilancia masiva y la mercantilización de la privacidad.

1.3. Objetivos de la investigación y delimitación del objeto de estudio

El objetivo primordial de esta investigación es analizar la suficiencia de los marcos normativos actuales frente a la recolección internacional de datos y proponer una respuesta de iure condendo que armonice la protección a escala global. Para ello, el estudio se circunscribe al análisis del tratamiento de datos personales realizado en el marco de relaciones comerciales entre ETN y consumidores, donde el titular es la parte débil de la relación contractual.

Se empleará como eje de análisis el caso Google LLC contra la Superintendencia de Industria y Comercio (SIC) en Colombia, así como la aplicación extraterritorial del artículo 3 del RGPD y la Ley General de Protección de Datos (LGPD) de Brasil. La investigación busca determinar si las herramientas de las transferencias internacionales son replicables a la recolección directa y bajo qué criterios de conexión relevante pueden los jueces nacionales ejercer jurisdicción sobre actos que ocurren en el espacio virtual.

II. Marco conceptual: la dicotomía entre recolección y transferencia

2.1. La Transferencia Internacional de Datos Personales (TIDP): exportación y el principio de continuidad de la protección

La TIDP ha sido históricamente el pilar de la regulación transfronteriza, definida por la OCDE desde 1980 como los "movimientos de datos personales a través de fronteras nacionales". Este fenómeno jurídico presupone una estructura tripartita: un exportador de datos situado en la jurisdicción de origen, un importador en el extranjero y el flujo del dato que traspasa el límite territorial. El fundamento dogmático de la TIDP es el principio de continuidad, el cual exige que el nivel de protección garantizado por la ley nacional no disminuya cuando la información es remitida a un tercer país.

Bajo el régimen del RGPD y legislaciones similares en Iberoamérica, la licitud de la transferencia depende de la existencia de un "nivel adecuado de protección" en el país de destino o, en su defecto, de la implementación de "garantías adecuadas" como cláusulas contractuales tipo (SCCs) o normas corporativas vinculantes (BCR). En este modelo, la responsabilidad recae primordialmente sobre el remitente local, facilitando la supervisión de las autoridades nacionales de control sobre un sujeto físicamente presente en su territorio.

2.2. La Recolección Internacional de Datos Personales (RIDP): captura directa y "presencia tecnológica" sin sede física

A diferencia de la transferencia, la RIDP constituye una "captura directa" de información por parte de una entidad extranjera sin la mediación de un exportador local. Este fenómeno ocurre cuando un recolector situado en un país A acopia datos de ciudadanos situados en un país B a través de sistemas de información e infraestructura digital. La RIDP se caracteriza por una "presencia tecnológica" que ignora las fronteras físicas, permitiendo que ETN operen de forma ubicua sin establecer un domicilio o centro de operaciones en el territorio del titular.

La captura de datos de geolocalización mediante aplicaciones móviles, el perfilado publicitario a través de cookies, y la vigilancia pasiva mediante píxeles de seguimiento son ejemplos paradigmáticos de RIDP. En estos supuestos, el titular de los datos, por el hecho de estar situado en un territorio dado, ve sus datos recolectados por entidades extranjeras sin que medie un acto voluntario de transmisión equivalente al modelo TIDP clásico.

III. El marco regulatorio actual: insuficiencia de las herramientas tradicionales

3.1. El RGPD y el artículo 3: alcance territorial y el criterio de "oferta de servicios"

El RGPD ha sido pionero en la extraterritorialidad, estableciendo en su artículo 3.1 que se aplicará al tratamiento de datos personales de interesados que se encuentren en la Unión Europea, incluso si el responsable del tratamiento esté ubicado fuera de ella. Asimismo, el apartado 3.2 extiende la aplicación a responsables fuera de la UE que ofrezcan servicios o bienes a interesados de la Unión.

No obstante, este régimen enfrenta críticas operativas. El concepto de "oferta de servicios" sigue vinculado a una noción de intencionalidad comercial, lo que genera lagunas cuando el recolector simplemente opera una plataforma global sin dirigirse específicamente al mercado de la UE. Además, la ejecución transfronteriza de las órdenes de las autoridades de protección depende de la cooperación voluntaria o de mecanismos de presión económica como multas, instrumentos que muestran límites cuando el responsable carece de activos en territorio europeo.

3.2. La LGPD de Brasil: precedente en la aplicación extraterritorial

Brasil ha avanzado significativamente con su Ley General de Protección de Datos (LGPD). El artículo 1 de la LGPD establece que su aplicación alcanza "cualquier tratamiento de datos personales realizado por personas naturales o personas jurídicas de derecho público o privado" que ocurra "en territorio nacional o que tenga objetivo de ofrecer o prestar servicios a personas localizadas en territorio nacional".

La resolución CD/ANPD Nº 19 de 2024 ha profundizado este enfoque al establecer que la transferencia internacional de datos desde Brasil está sujeta a regulación incluso cuando el destino final es un "paraíso informático". Este modelo, aunque más ambicioso que el RGPD, aún presupone que existe un acto de "transferencia" identificable, es decir, un exportador local que remite datos a una jurisdicción extranjera.

3.3. Colombia y la SIC: desarrollo jurisprudencial de la "presencia tecnológica"

En Colombia, la Superintendencia de Industria y Comercio (SIC) ha promovido un cambio de paradigma mediante la Resolución 53593 de 2020 en el caso Google LLC. La SIC sostuvo que Google, a pesar de no tener domicilio en Colombia, estaba sujeta a la jurisdicción colombiana por el hecho de operar plataformas digitales que recolectaban datos de residentes locales mediante cookies sin consentimiento previo informado.

La SIC adoptó el criterio de "presencia tecnológica", argumentando que la infraestructura digital opera como equivalente funcional del domicilio para efectos de la regulación de protección de datos. Este razonamiento representa un avance conceptual crucial: la soberanía regulatoria no se detiene ante la ausencia de una oficina física, sino que se proyecta sobre actos digitales que despliegan efectos en el territorio nacional.

IV. Jurisprudencia comparada: hacia un estándar de "jurisdicción técnica"

4.1. El precedente europeo: Schrems II y la reformulación de la territorialidad

La sentencia Schrems II del Tribunal de Justicia de la Unión Europea (Asunto C-311/18, de 16 de julio de 2020) marcó un hito al reconocer que la transferencia de datos personales de la UE a Estados Unidos, incluso bajo mecanismos de garantía contractual (cláusulas contractuales estándar), puede resultar insuficiente si la legislación estadounidense (específicamente, el Cloud Act) permite a las autoridades estadounidenses acceder sin restricción a los datos transferidos.

El tribunal europeo resolvió que la evaluación de "nivel adecuado de protección" debe ser dinámica y contextual, considerando no solo el marco normativo formal sino también el ejercicio fáctico del poder estatal y corporativo sobre los datos. Aunque Schrems II se concentra en la TIDP, su razonamiento implica una redefinición de territorialidad: el derecho de protección se extiende a donde los datos tienen efectos reales, no solo a donde están almacenados.

4.2. La Sentencia T-256 de 2025 de la Corte Constitucional colombiana: "país-de-destino moderado"

Recientemente, la Corte Constitucional de Colombia (Sentencia T-256 de 2025) ha establecido un estándar de "país-de-destino moderado", reconociendo que la soberanía digital no puede detenerse ante la falta de domicilio físico de las plataformas. El tribunal constitucional ha señalado que cuando una conducta en el ciberespacio produce efectos claros y relevantes sobre los derechos fundamentales de residentes locales, el juez constitucional tiene el deber de intervenir.

Esta sentencia rompe con la lógica estricta de territorialidad física. El foco se traslada a: (1) dónde ocurre la captura de datos (mediante dispositivos situados en el territorio nacional), (2) quién es afectado (residentes locales cuyos derechos se ven vulnerados), y (3) cuál es la relación de causalidad entre la conducta extranjera y el daño local. Bajo este estándar, la "presencia tecnológica" de una plataforma que recolecta datos de colombianos es suficiente para afirmar jurisdicción.

4.3. Convergencia de criterios: de la "transferencia" a los "efectos territoriales"

Un análisis transversal de estas decisiones revela un movimiento tectónico en la fundamentación de la jurisdicción sobre datos. El criterio clásico de "residencia del exportador" o "presencia física" está siendo reemplazado por un estándar de "efectos territoriales" o "tecnología de recolección situada en el territorio".

Este giro conceptual abre la puerta a una regulación de la RIDP que no requiere identificar un "exportador local" sino simplemente verificar que: (a) existe una entidad que recolecta datos de personas situadas en el territorio nacional, (b) la recolección ocurre mediante infraestructura técnica (servidores, cookies, píxeles) situados o con influencia en el territorio, y (c) existe un riesgo claro de lesión a derechos fundamentales.

V. El deficit regulatorio en el contexto de la economía de datos

5.1. La falacia del "paraíso informático": mercados sin regulación

A pesar de los avances jurisprudenciales descritos, existe un vacío crítico: muchas entidades extranjeras operan en jurisdicciones con estándares de protección de datos extremadamente débiles o inexistentes, convirtiéndose en "paraísos informáticos" (data havens). Estos son territorios donde no existe una autoridad de protección de datos efectiva, donde las leyes de privacidad son mínimas o donde la corrupción permite la evasión de la regulación existente.

El fenómeno de los data havens crea un incentivo perverso: cualquier ETN puede establecer sus operaciones de recolección de datos en estas jurisdicciones, eludiendo así la supervisión de reguladores más robustos. Aunque autoridades como la SIC colombiana o la CNIL francesa intenten ejercer jurisdicción extraterritorial, sus órdenes frecuentemente resultan imposibles de ejecutar si la empresa no posee activos en sus territorios.

5.2. El conflicto entre soberanías: el ejemplo del Cloud Act y Schrems II

Un caso emblemático del conflicto regulatorio es la colisión entre el RGPD europeo y el Clarifying Lawful Overseas Use of Data Act (CLOUD Act) estadounidense. El CLOUD Act permite a las autoridades estadounidenses acceder a datos almacenados en territorios extranjeros si están bajo control de empresas estadounidenses, incluidas bases de datos ubicadas en servidores europeos.

Esta tensión fue resuelta parcialmente por la jurisprudencia Schrems II, pero el problema de fondo permanece: dos potencias regulatorias (EU y EE.UU.) disputan el control sobre datos generados en el ciberespacio. Sin un mecanismo internacional de armonización, estas colisiones continuarán multiplicándose, especialmente a medida que nuevas potencias (China, India, Brasil) desarrollen sus propios marcos extraterritoriales de protección de datos.

5.3. La insuficiencia de los mecanismos bilaterales y acuerdos regionales

La cooperación bilateral entre autoridades de protección de datos ha demostrado ser insuficiente para abordar la naturaleza global de la RIDP. Aunque existen acuerdos como el "Data Free Flow with Trust" promovido por la Global Privacy Assembly (resolución de noviembre de 2024), estos instrumentos carecen de fuerza vinculante y dependen de la voluntad política de cada Estado para su implementación.

El Convenio 108 del Consejo de Europa, aun reformado en su versión "108+" (2018), mantiene su naturaleza de instrumento soft law sin mecanismos de cumplimiento forzado. Los tratados bilaterales de protección de inversiones (BITs) tampoco abordan la RIDP de manera sistemática, dejando a las partes sin herramientas para resolver disputas sobre soberanía regulatoria en materia de datos.

VI. Análisis de la jurisprudencia global y propuestas de reforma

6.1. El llamado de la Relatoría Especial de la ONU: hacia un tratado internacional vinculante

La insuficiencia de los marcos jurídicos actuales para abordar la RIDP ha motivado un enérgico llamado desde la Relatoría Especial de las Naciones Unidas sobre el derecho a la privacidad. Según el informe A/HRC/61/48 (2024), presentado por la Dra. Ana Brian Nougrères, existe un vacío regulatorio crítico: mientras el derecho internacional rige la transferencia de datos entre Estados, la captura directa desde el extranjero carece de mecanismos de rendición de cuentas efectivos.

Frente a esta vulnerabilidad sistémica, la Relatoría propone la creación de un tratado internacional vinculante que trascienda el principio de territorialidad física. Este instrumento de vocación universal no solo debería estandarizar los niveles mínimos de protección, sino también redefinir la jurisdicción en el ciberespacio bajo criterios de "presencia tecnológica" y efectos claros en el territorio del titular. La propuesta busca que la protección de los derechos humanos sea tan "sin fronteras" como los datos que pretende salvaguardar.

6.2. El rol de la Red Iberoamericana de Protección de Datos (RIPD) en la armonización regional

En el camino hacia un consenso global, la RIPD emerge como un motor de armonización indispensable en el Sur Global. Como foro integrador, la RIPD ha desarrollado los "Estándares de Protección de Datos Personales para los Estados Iberoamericanos", los cuales sirven de brújula para que las legislaciones locales se alineen con modelos de protección robustos similares al europeo. Un aporte sustancial de estos estándares es la inclusión del criterio de aplicación territorial para responsables que, sin domicilio en el país, utilicen medios digitales situados en el territorio para tratar información de residentes locales.

6.3. Hacia un régimen de responsabilidad objetiva y rendición de cuentas empresarial global

La consolidación de un orden jurídico internacional requiere transitar desde una supervisión reactiva hacia un sistema de responsabilidad proactiva (accountability) y rendición de cuentas empresarial global. Siguiendo la lógica del Convenio 108+, se propone que las ETN asuman la obligación de realizar evaluaciones de impacto previas al tratamiento de datos de alto riesgo, especialmente en contextos de IA y captura masiva. Este régimen debe complementarse con mecanismos de transparencia algorítmica.

Para dotar de eficacia a estos principios, se sugiere la implementación de un régimen de responsabilidad civil y reparaciones efectivas que sea ejecutable independientemente de la ubicación geográfica del infractor. Esto implicaría el fortalecimiento de la cooperación entre autoridades de control para realizar investigaciones transfronterizas conjuntas y la imposición de sanciones proporcionales que desincentiven el arbitraje de jurisdicciones.

VII. Conclusiones

La presente investigación ha permitido identificar que el Derecho Internacional de protección de datos atraviesa una crisis de fundamentación derivada de la obsolescencia del criterio de territorialidad física frente a la ubicuidad del ciberespacio. La transición desde un modelo de TIDP —basado en el flujo entre un exportador y un importador— hacia un paradigma de RIDP —caracterizado por la captura directa y remota— ha generado un vacío regulatorio que las ETN explotan para eludir la supervisión estatal.

Se concluye que las herramientas tradicionales del "principio de continuidad", diseñadas para controlar al remitente local, resultan inoperantes frente a la RIDP, donde no existe un intermediario nacional al cual responsabilizar. Esta asimetría ha propiciado la emergencia de "paraísos informáticos", donde la ausencia de estándares mínimos de privacidad permite el tratamiento masivo de información sin mecanismos reales de rendición de cuentas.

El análisis jurisprudencial comparado demuestra que autoridades como la SIC en Colombia y el TJUE han reaccionado adoptando criterios de "jurisdicción técnica" y "presencia tecnológica". El uso de cookies y otros dispositivos de seguimiento se consolida como un factor de conexión relevante que permite al Estado afirmar su competencia sobre agentes extranjeros, siempre que el acto de recolección ocurra en dispositivos situados en el territorio nacional.

Asimismo, la jurisprudencia constitucional colombiana (Sentencia T-256 de 2025) ha establecido un estándar de "país-de-destino moderado", reconociendo que la soberanía digital no puede detenerse ante la falta de domicilio físico de las plataformas. El juez constitucional tiene el deber de intervenir cuando la conducta en el ciberespacio produce efectos claros y relevantes sobre los derechos fundamentales de los residentes locales.

No obstante, la aplicación extraterritorial encuentra límites significativos, como se evidencia en la colisión entre el RGPD y el Cloud Act estadounidense, resuelta solo parcialmente por la jurisprudencia Schrems II. Por ello, los esfuerzos unilaterales son insuficientes.

Finalmente, resulta imperativo avanzar hacia la adopción de un tratado internacional vinculante que estandarice los niveles de protección, redefina la responsabilidad extraterritorial de las ETN y resuelva los conflictos de leyes mediante cláusulas de prevalencia de los derechos humanos. Solo mediante una armonización global que trascienda los bloques regionales será posible garantizar que el internet sea un espacio de libertad y no de impunidad.

VIII. Bibliografía (completa y verificada)

Fuentes normativas e internacionales

  • Agencia Española de Protección de Datos [AEPD], Guía sobre el uso de las cookies (mayo 2024).
  • Agência Nacional de Proteção de Dados [ANPD] (Brasil), Resolución CD/ANPD Nº 19 de 23 de agosto de 2024 (Reglamento de Transferencia Internacional de Datos).
  • Consejo de Europa, Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal (Convenio 108), 28 de enero de 1981.
  • Consejo de Europa, Protocolo de enmienda al Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal (Convenio 108+), junio de 2018.
  • Congreso de la República de Colombia, Ley Estatutaria 1581 de 2012, 17 de octubre de 2012.
  • Global Privacy Assembly, Resolution on Data Free Flow with Trust and an effective regulatory framework, noviembre de 2024.
  • Parlamento Europeo y Consejo de la Unión Europea, Reglamento (UE) 2016/679 (RGPD), 27 de abril de 2016.
  • Red Iberoamericana de Protección de Datos [RIPD], Estándares de Protección de Datos Personales para los Estados Iberoamericanos, 2017.

Fuentes jurisprudenciales

  • Corte Constitucional de Colombia, Sentencia C-1147/01.
  • Corte Constitucional de Colombia, Sentencia C-748/11.
  • Corte Constitucional de Colombia, Sentencia T-067 de 2025.
  • Corte Constitucional de Colombia, Sentencia T-256 de 2025.
  • Superintendencia de Industria y Comercio [SIC] (Colombia), Resolución 53593 de 2020 (Caso Google LLC).
  • Tribunal de Justicia de la Unión Europea [TJUE] (Gran Sala), Sentencia de 1 de octubre de 2019, Asunto C-673/17 (Planet49).
  • Tribunal de Justicia de la Unión Europea [TJUE] (Gran Sala), Sentencia de 16 de julio de 2020, Asunto C-311/18 (Schrems II).

Fuentes doctrinales e institucionales

  • Banchio, P. R., El Convenio 108+ del Consejo de Europa y la protección de datos personales en la era digital, Zenodo (2024).
  • Brian Nougrères, A. (Relatora Especial de la ONU), Informe sobre el derecho a la privacidad: recolección internacional de datos personales, Documento A/HRC/61/48, 12 de enero de 2026.
  • Kuner, C., Transborder Data Flows and Data Privacy Law, Oxford University Press (2013).
  • Remolina Angarita, N., Recolección internacional de datos: un reto del mundo post internet, Editorial Ibáñez / Universidad de los Andes, Bogotá (2015).
  • Serna Molina, N. & Murillo Quiroz, I., La protección de datos personales en Colombia respecto a las empresas transnacionales a propósito del caso Google vs Superintendencia de Industria y Comercio, Universidad EAFIT, Medellín (2025).

Artículos relacionados

Próximamente más análisis relacionados.