Transferencia internacional de datos personales

Cuando trasmitimos los datos personales fuera de los países que integran la Unión Europea, Islandia, Liechtenstein y Noruega, tanto a través una comunicación o cesión de datos, como si encargamos un servicio a una tercera persona o entidad, se está realizando una transferencia internacional de datos personales.

El aumento del comercio internacional que supone la globalización permite importantes flujos internacionales de datos personales, tanto a países u organizaciones internacionales que conforman la Unión Europea, como los no pertenecientes a la misma, pero con el peligro en muchas ocasiones, de carecer de medidas técnicas u organizativas para el control de dichas transferencias internacionales de datos personales, sin contar con la sanción económica a la que se exponen.

El Reglamento General de Protección de Datos (UE) 2016/679 , al igual que ya ocurría en la LOPD anterior, regula esta materia en su Capítulo V y establece que la Comisión Europea velará porque estas Transferencias Internacionales se realicen con la mayor seguridad jurídica, para evitar que se transmitan datos personales de manera que vulnere nuestra privacidad y entrañe riesgos para los derechos y libertades fundamentales y, en su caso, para la libre circulación de datos personales dentro de la Unión.

Por lo tanto, es la Comisión Europea quién declara la denominada “Decisión de Adecuación”, es decir que declara aquellos países que cuentan con nivel adecuado de protección. De esta manera, no será necesaria ninguna autorización específica.

La Decisión de Adecuación con mayor repercusión, es la que dio como resultado el llamado “Escudo de Privacidad UE-EEUU( Privacy Shield), un marco que permite a las empresas transferir datos personales transoceánicos a través de este acuerdo  http://europa.eu/rapid/press-release_IP-16-2461_es.htm

Y ahora la pregunta sería la siguiente: ¿qué haríamos si no existe esa Decisión de Adecuación pero necesitamos realizar operaciones comerciales con un determinado país, sector u organización internacional?

La nueva normativa europea ofrece otras soluciones y permite como alternativas aplicables, tanto al Responsable como al Encargado del Tratamiento, adoptar lo que denomina en su artículo 46 (RGPD) “Garantías Adecuadas”, que al igual que la Decisión de Adecuación, tampoco  requieren ninguna autorización expresa de la autoridad de control en materia de datos personales, pero con la condición de que los interesados estén protegidos y cuenten con derechos exigibles y acciones legales efectivas, para evitar los riesgos que se puedan generar contra los derechos y libertades fundamentales.

Esta Garantías Adecuadas pueden ser aportadas por cualquiera de estos requisitos:

1/ Un instrumento jurídicamente vinculante y exigible entre autoridades u organismos públicos.

2/ Normas Corporativas Vinculantes, también conocidas por las siglas BCR (Binding Corporate Rules), se aplican  principalmente a los grupos empresariales o multinacionales

3/ Cláusulas Tipo de protección de datos adoptadas por la Comisión conforme un procedimiento especifico de examen.

4/ Cláusulas Tipo de protección de datos adoptadas por una autoridad de control, pero aprobadas por la Comisión Europea.

5/ Los Códigos de Conducta.

6/ Los mecanismos de Certificación

Los servicios que contratamos en la nube (computación en la nube) implican, en la mayoría de los casos, una Transferencia Internacional, puesto que el usuario comparte todos o gran parte de los datos personales de su actividad comercial o profesional con un proveedor en la nube a fin de que almacene los datos, pero a su vez, dicho proveedor puede subcontratar este servicio con otro proveedor, por lo que se genera un movimiento por varios países de los cuales unos si contarán con medidas que garantizan la protección de datos, pero otros países no gozarán de esa misma protección y, precisamente para evitar estas situaciones de riesgo, es preciso que se realicen las transferencias de datos cumpliendo con una serie de requisitos legales.[1] y [2]

Por último, ¿cómo podríamos realizar una transferencia Internacional de datos si no existiera ni “Decisión de Adecuación”, ni “Garantías Adecuadas”? Pues solamente si se cumplen algunas de las siguientes excepcionales: [3]

• Que el interesado haya prestado Consentimiento explícito, después de haberle informado de los riesgos.
• Que sea necesaria para la ejecución de un contrato o medida precontractual.
• Que sea necesaria en Interés del interesado para la celebración o ejecución de un contrato.
• Por razones importantes de Interés Público.
• Para la formulación, ejercicio o la defensa de reclamaciones.
• Para proteger los intereses vitales del interesado o de otras personas, cuando haya incapacidad física o jurídica para prestar el consentimiento.
• Se realice desde un Registro Público para ofrecer información al público y esté abierto a la consulta del público en general o de cualquier persona que tenga un interés legítimo, y solo en determinadas condiciones.

A modo de conclusión nos podemos encontrar con alguna de estas situaciones posibles:

A/ Si realizamos una comunicación de datos dentro del Espacio Económico Europeo, NO tiene la consideración de Transferencia Internacional de Datos.

B/ Si los datos se transmiten a otro país u organización internacional que tiene un nivel adecuado según una Decisión de Adecuación de la Comisión Europea, tampoco necesitaremos autorización de la autoridad de control.

C/ Que los datos personales se encuentren o se exporten a un proveedor que a su vez subcontrate con otro proveedor que transfiere información a un país u organización Internacional que NO ofrece garantías adecuadas de protección de datos, sí deberemos cumplir unos requisitos legales para poder realizar las transferencias internacionales de datos.

Carmen López Belda, Letrada.

Asociada de ENATIC

LB PRIVACY, consultora en privacidad

@lopezbelda

***************

1 Dictamen 05/2012 sobre la Computación en nube, del Grupo de Trabajo del Artículo 29, en su documento de trabajo WP 196.

2 Decisión de la Comisión 2010/87/ UE., que establece que debe contener cláusulas contractuales tipo específicas sobre el subtratamiento por un encargado del tratamiento de datos establecido en un tercer país (el importador de datos) de sus servicios de tratamiento a otros encargados (subencargados del tratamiento de datos) establecidos en terceros países.

3 Artículo 49 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de Abril de 2016.