El Reglamento Europeo de Protección de Datos (976/2016), en adelante, RGPD, especifica como Principio general de las transferencias en su art. 44 que: “sólo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado”.

Pero, ¿qué es una transferencia internacional? Su definición, la encontramos en el Real Decreto 1720 del 2007: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

Siempre que se realice una transferencia internacional de datos y dependiendo del país donde se encuentren, nos deberán proporcionar garantías jurídicas adecuadas de la protección de datos personales.

Ejemplos de transferencias internacionales: Cuando nos planteamos contratar un freelance que trabaja fuera de la Unión Europea o tenemos una sucursal en otro país o contratamos un servicio Cloud que almacena datos fuera de la Unión Europea. Todos estos casos, nos provocarán realizar transferencias internacionales de Datos Personales. Pero, ¿qué debemos tener en cuenta para poder cumplir con el RGPD y la Ley Orgánica 3/2018?

  • Hay una serie de países, territorios, o sectores específicos de actividad que la Comisión Europea ha declarado de nivel adecuado de protección, y, por lo tanto, se podrán llevar a cabo las transferencias internacionales de datos con la única obligación de incluirlas en el registro de actividades de tratamiento (art. 30 RGPD). También se incluyen las empresas establecidas en Estados Unidos que se encuentren certificadas en el esquema del Escudo de Privacidad UE- EE.UU, que obliga a las empresas a proteger los datos personales de modo acorde con los «Principios de privacidad».

Los países declarados con un nivel adecuado se pueden consultar en la página web de la Agencia Española de Protección de Datos (AEPD). Y para consultar las entidades certificadas con el Escudo de Privacidad, se puede acceder a la página web del Escudo de Privacidad, o bien, también a través de la página web de la AEPD.

  • En cualquier otro caso deberán ofrecerse garantías adecuadas, lo que se podrá hacer mediante diferentes instrumentos. Ahora vamos a ver las diferentes opciones:

A falta de decisión de adecuación

Se podrán realizar transferencias internacionales, pero con las siguientes garantías:

  1. a) Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos
  2. b) Normas corporativas vinculantes, (o BCR por sus siglas en inglés) son “las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”.

La autoridad de control aprobará normas corporativas vinculantes de conformidad con el mecanismo de coherencia establecido en el art. 63 del RGPD.

  1. c) Cláusulas tipo de protección de datos adoptadas por la Comisión que siguen siendo válidas
  1. d) Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión
  2. e) Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados
  3. f) Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

A falta de decisión de adecuación y de garantías

Únicamente se podrán realizar si se cumple alguna de las condiciones siguientes:

  • a) El interesado haya dado explícitamente su consentimiento
  • b) La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado
  • c) La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica
  • d) La transferencia sea necesaria por razones importantes de interés público
  • e) La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones
  • f) La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento
  • g) La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Cuando tampoco sea aplicable ninguna de estas excepciones, solo se podrá llevar a cabo una transferencia si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofrezca garantías apropiadas con respecto a la protección de datos personales.

En este supuesto el responsable del tratamiento informará a la Agencia Española de Protección de Datos de la transferencia. Además de la información a que hacen referencia los art. 13 y 14 del RGPD, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos.

¿Cuándo se necesita una autorización expresa?

Se necesitará autorización expresa de la Agencia Española de Protección de datos cuando las garantías adecuadas se aporten mediante:

  • a) cláusulas contractuales entre el responsable o el encargado y el responsable, y el encargado y subencargado que no hayan sido adoptadas por la Comisión Europea o
  • b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

Otro aspecto a tener en cuenta, es que las autorizaciones otorgadas por la Agencia Española de Protección de Datos previamente a la aplicación del RGPD seguirán siendo válidas.

Cosas a tener en cuenta

  • ¿Hacemos o queremos hacer transferencias internacionales de datos?
  • ¿A qué países, a qué organizaciones?
  • ¿Son adecuados por ser reconocidos por la Comisión Europea o disponen del Escudo de Privacidad?
  • ¿Qué riesgos supone y qué impacto tendrían?

Más información en https://www.aepd.es/es y https://apdcat.gencat.cat/