RGPD: transferencias internacionales de datos

Las transferencias internacionales de datos son, en nuestra sociedad globalizada, un elemento clave para la prestación de servicios por lo que no es de extrañar que el nuevo Reglamento General de Protección de Datos (RGPD) se haya encargado  de regular este flujo de datos.

El capítulo V del RGPD regulas las transferencias internacionales de datos. Se considera transferencia internacional de datos el flujo de datos personales desde el territorio español a destinatarios establecidos fuera del Espacio Económico Europeo, es decir, los países de la UE más Liechtenstein, Islandia y Noruega.

El principio general de las transferencias internacionales de datos determina que los responsables y encargados del tratamiento sólo realizarán transferencias internacionales de datos a un país y organización internacional si cumplen con las previsiones establecidas en el RGPD, de tal forma que el nivel de protección de los derechos y libertades de las personas físicas que garantiza el Reglamento no se vea menoscabado.

El RGPD contempla, en primer lugar, la posibilidad de que se pueda realizar una transferencia internacional de datos cuando la comisión haya decidido que el tercer país, territorio, sectores del país u organización internacional garanticen un nivel adecuado de protección. En este caso, no se requerirá autorización previa  para realizar dicha transferencia.

En segundo lugar, el responsable y el encargado del tratamiento pueden transferir datos a un tercer país u organización internacional, a falta de la citada decisión, si se han establecido las garantías adecuadas y los afectados cuentan con los derechos exigibles y acciones legales efectivas.

Las garantías adecuadas exigibles podrán ser aportadas, sin necesidad de autorización previa por:

1. Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
2. Normas corporativas vinculantes.
3. Cláusulas tipo de protección de datos adoptadas por la Comisión.
4. Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
5. Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados,
6. Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

Por último, en ausencia de decisión adecuada o de garantías adecuadas, se podrá realizar la transferencia internacional de datos si cumple con alguna de las previsiones establecidas en el art. 49 del RGPD:

1. El interesado haya dado su consentimiento explícitamente.
2. La transferencia es necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
3. La transferencia es necesaria para la ejecución o celebración de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica.
4. La transferencia es necesaria por razones importantes de interés público.
5. La transferencia es necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
6. La transferencia es necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté incapacitado física o jurídicamente para dar su consentimiento.
7. La transferencia se realiza desde un registro público que, con arreglo al derecho de la unión o de los estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Cuando una transferencia internacional no pueda basarse en las disposiciones de los artículos 45 y 46 y no sea aplicable ninguna de estas excepciones, sólo se podrá llevar a cabo si no es repetitiva, afecta a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos o libertades del interesado, y el responsable del tratamiento evalúe todas las circunstancias concurrentes de la transferencia y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales.

El responsable del tratamiento deberá de informar a la Autoridad de control de la transferencia efectuada, además informará de la transferencia al interesado y de los fines imperiosos perseguidos.

Autorización para realizar la transferencia internacional de datos

Sólo será necesaria la autorización de la Agencia Española de Protección de Datos para realizar una transferencia internacional cuando las garantías adecuadas para realizarla se base en:

• Cláusulas contractuales entre el responsable o encargado y el responsable, encargado o destinatario de los datos en el país u organización internacional. Deberá someterse también al mecanismo de coherencia del art. 63 del RGPD.
• Disposiciones que se incorporen a acuerdo administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

Procedimiento de solicitud de autorización para realizar la transferencia internacional de datos

Sigue vigente lo dispuesto en el Reglamento de desarrollo de la LOPD mientras no se apruebe la nueva Ley Orgánica de Protección de Datos:

1. El procedimiento se inicia a solicitud del exportador interesado en realizar la trasferencia.
2. Se podrá requerir al solicitante que complete o modifique la documentación presentada en el plazo de 10 días LPACAP.
3. Trámite de información pública con carácter potestativo (10 días).
4. La Directora de la AEPD resolverá, si resuelve autorizar la transferencia se procederá a su inscripción.
5. El plazo máximo para dictar y notificar resolución es de 3 meses desde la fecha de entrada de la solicitud en la agencia. Si no se hubiese distado y notificado resolución expresa en dicho plazo, se entenderá autorizada la transferencia internacional.

Autorizaciones anteriores a la aplicación del RGPD

Las autorizaciones otorgadas por la AEPD antes de la aplicación del RGPD siguen siendo válidas, mientras que la agencia no proceda a la derogación, sustitución o modificación de las mismas.

En cualquier caso, si se quisiera realizar una nueva transferencia internacional por entidades autorizadas previamente, se aplicarán las reglas que contempla el RGPD al respecto.

Países con nivel adecuado de Protección de Datos

Hasta la fecha se han sido declarados como países con un nivel adecuado de protección a efectos del artículo 45 del RGPD los siguientes:

• Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
• Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos.
• Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003.
• Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
• Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
• Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
• Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.
• Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010.
• Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.
• Uruguay. Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012.
• Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012.
• Estados Unidos (entidades certificadas en el marco del Escudo de privacidad UE-EE.UU). Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016.

Si la transferencia internacional de datos es consecuencia de una prestación de servicios con destino a uno de estos países el encargado del tratamiento debe suscribir un contrato de prestación de servicios por tercero conforme a lo dispuesto en el art. 28 del RGPD.