RGPD (II): Transferencia internacional de datos

Albert-e1365639133164Por Albert Noguer

Las transferencias internacionales de datos son, hoy en día y en una sociedad globalizada, un elemento clave e imprescindible para la prestación de servicios. En la actualidad, con las mejoras informáticas y todas las herramientas en la nube, es imprescindible que la regulación de la protección de datos no deje desprotegidos aquellos datos más allá de nuestras fronteras comunitarias. Así pues, podríamos decir que la transferencia internacional de datos es uno de los elementos más importantes de la ley y, en un futuro, quizá será el mayor.

El Reglamento (UE) 2016/679, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), que ya introdujimos en el artículo anterior, aporta novedades en este aspecto. Como resulta lógico y evidente, es necesario un texto normativo que actualice y regule las transferencias internacionales de datos personales en una sociedad tecnológica como la actual.

Una pequeña pero importante novedad es que, después de este RGPD, el exportador de los datos podrá ser tanto responsable como encargado del tratamiento. Con esta apreciación, se elimina la barrera que habían puesto algunos Estados Miembros en los que el exportador debía ser siempre el responsable.

Por otro lado, el artículo 3 RGPD determina que “El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no”. En resumen, casi la totalidad de tratamientos de datos personales de nuestros datos estarán sujetos a este Reglamento comunitario.

Esta vocación universal de la protección de datos por parte del legislador estatal y comunitario en el RGPD no difiere, en absoluto, de la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), en tanto que su artículo 2 también regula supuestos de movimientos internacionales de datos de la misma forma que la Directiva 95/46/CE.

La diferencia radica, pues, en el régimen de funcionamiento de la transferencia internacional de datos.

En la actualidad, el artículo 33.1 LOPD establece que: “No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en éste, se obtenga autorización previa del Director/a de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si obtienen garantías adecuadas”.  El simple hecho de pedir autorización administrativa –y esperar la aprobación de AEPD- supone un gravísimo obstáculo administrativo a la circulación de datos y al tráfico mercantil si bien es cierto que el artículo 34 LOPD establece un gran abanico de excepciones.

El futuro RGPD hace un giro de 180 grados, dejando la autorización administrativa a casos realmente excepcionales. En otras palabras, la autorización administrativa pasa ser la norma general a ser una excepción muy aislada.

El RGPD establece un régimen basado en:

  • Transferencias internacionales de datos basadas en una decisión de adecuación (artículo 45 RGPD).
  • Transferencias mediante garantías adecuadas (artículo 46 RGPD)
  • “Binding corporate rules” (artículo 47 RGPD)
  1. Transferencias internacionales basadas en una decisión de adecuación

El artículo 45 RGPD determina que se podrá realizar una transferencia de datos personales a un tercer país u organización internacional, sin ninguna autorización administrativa previa “cuando la Comisión haya decidido que el tercer país, un territorio o varios sectores específicos de ese tercer país (…) garantizan un nivel de protección adecuado”.

A día de hoy, la Comisión ha aceptado la transferencia de datos a los siguientes Estados:

PAÍS AUTORIZACIÓN
Andorra Decisión 2010/625/UE de la Comisión, de 19 de octubre 2010.
Argentina Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003.
Canadá Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001.
Estados Unidos Solo si la entidad está adherida a “Privacy Shield”.
Guernesey Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
Isla de Man Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
Islas Feroe Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.
Israel Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.
Jersey Decisión 2008/393/CE de la Comisión, de 8 de mayo de 2008.
Nueva Zelanda Decisión 2013/65/UE de la Comisión, de 21 de agosto de 2012.
Suiza Decisión 2000/518/CE de la Comisión, de 26 de julio de 2010.
Uruguay Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012.

Por otro lado, no hay duda que las decisiones adoptadas con anterioridad a la entrada en vigor del RGPD –la mayoría- son válidas, en virtud del artículo 45.9 RGPD.

En este punto hay que citar quizá la resolución judicial más importante que ha adoptado, en materia de protección de datos de carácter personal, el Tribunal de Justicia de la Unión Europea (asunto C-362/14). Este tribunal consideró ilegal el acuerdo entre Europa y Estados Unidos a raíz de una filtración de Edward Snowden. En concreto, en su nota de prensa posterior al fallo determinó que: “El Tribunal de Justicia estima que la existencia de una Decisión de la Comisión que declara que un país tercero garantiza un nivel de protección adecuado de los datos personales transferidos, no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control en virtud de la Carta de los Derechos Fundamentales de la Unión Europea”.

A raíz de esta decisión –quizá inesperada- del Tribunal de Justicia de la Unión Europea, la Comisión Europea y los Estados Unidos llegaron a un acuerdo, 8 meses después, en el que se considera que aquellas organizaciones que están adscritas al “Privacy Shield”, cumplen a prori la adecuación exigida.

  1. Transferencias internacionales mediante garantías adecuadas

A diferencia de la actual LOPD, el RGPD prevé que se podrán efectuar transferencias a terceros países u organizaciones que no cuenten con el visto bueno de la Comisión Europea si se cumplen unas determinadas garantías tasadas reglamentariamente. En estas ocasiones tampoco es necesaria la autorización administrativa de la autoridad de control (en España, la Agencia Española de Protección de Datos).

En resumen, el artículo 46 RGPD prevé que, en los casos indicados reglamentariamente, se entenderá –iuris tantum, en la mayoría de supuestos- que la transferencia tiene garantías adecuadas como las que se realizarían dentro de territorio común.

  1. Binding corporate rules” o normas corporativas vinculantes

El RGPD también prevé el supuesto de los grupos empresariales con empresas en distintos países (ej. España – Perú). ¿Sería lógico que empresas del mismo grupo no se pudieran traspasar determinada información o que se deba pedir autorización administrativa? ¿Cómo podemos regular este supuesto?

El legislador comunitario ha entendido que una forma para hacerlo es mediante las “Binding corporate rules” o normas corporativas vinculantes. En este sentido, el artículo 47 RGPD establece que la autoridad de control aprobará normas corporativas de carácter vinculante a las que se podrán unir los grupos de empresas, permitiendo salvaguardar la transferencia de datos.

Es importante destacar que es la primera vez que, en materia de protección de datos, las “Binding corporate rules” tienen rango legal, porque el Grupo de Trabajo del Artículo 29 (en adelante, GT 29, que es un órgano consultivo creado por la Directiva 95/46/CE e integrado dentro de las Autoridades de Protección de Datos de todos los países miembros) ya las adoptó tiempo atrás y ha ido actualizando sus posicionamientos.

Los elementos imprescindibles de las futuras normas corporativas vinculantes tendrán tres requisitos esenciales. El primero de ellos es que son jurídicamente vinculantes y deben ser cumplidas por todos los miembros del grupo empresarial o unión de empresas. Además, deben conferir a los interesados derechos exigibles y, por último, deben cumplir unas formalidades tasadas en el artículo 47.2 RGPD.

En último lugar, el RPGD prevé en su artículo 49 en qué supuestos se podrán mover los datos personales de forma internacional sin cumplir ninguna de las tres situaciones anteriores (ej. consentimiento tras ser informado de los riesgos, transferencia necesaria para la ejecución de un contrato, por interés público, etc.).

Como vemos, el RGPD es el resultado de un avance legislativo de la antigua legislación comunitaria, adentrándose en un mundo completamente global y digitalizado. Las transferencias internacionales de datos son la pieza clave que pivotan el giro de paradigma de este Reglamento: por un lado, buscan la protección del individuo y, por otro, el correcto tráfico mercantil de una sociedad y economía del siglo XXI.

4 comments

  1. Albert, muchas gracias por tu articulo. Me gustaría preguntarte una duda. Nuestra empresa tiene obras (construcciones) en Chile. Y según te leo y de acuerdo con la nueva RGPD: “podrán efectuar transferencias a terceros países u organizaciones que no cuenten con el visto bueno de la Comisión Europea si se cumplen unas determinadas garantías tasadas reglamentariamente”

    Me podrías aconsejar de como proceder en este escenario? Tengo que pedir permiso a la AEPD o no sería necesario?

    Moltes gràcies!

  2. Hola Albert, Muchas gracias por tu información. Quisiera saber si es necesaria alguna autorización especial para la transferencia de datos personales a un socio de Turquía. tanto la organización española como la turca cumplen con la EU GDPR.
    Muchas gracias,
    Rosario

  3. Muy interesante e ilustrativo, lo único que me gustaría anotar es que el Privacy Shield ya no es constitutivo de ser suficientemente seguro tras una resolución del Parlamento Europeo.

    Gracias.

    1. Si yo tengo una empresa textil cuya empresa matriz esta en España y me dispongo a centralizar la gestión de los recursos humanos de todas sus filiales europeas en Turquía, con el fin de abaratar costes.
      ¿Se trata de una transferencia internacional de datos?
      ¿Estaría sometida a la autorización del Director de la Agencia Española de Protección de Datos?
      Gracias

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *