Puede que pienses que en el desarrollo de la actividad de tu empresa, no llevas a cabo ningún tipo de transferencia internacional de datos personales, pero lo cierto es que es muy probable que sí lo hagas. ¿Usas Google Analytics? ¿O Google Drive? ¿Empleas una plataforma de email marketing como Mailchimp? Si has respondido sí a alguna de esas preguntas, entonces, como mínimo, estás realizando una transferencia internacional de datos.
En este artículo explicamos qué son las transferencias internacionales de datos y cuándo y cómo deben realizarse de acuerdo al RGPD y la LOPDGDD.
En este artículo hablamos de:
- ¿Qué es una transferencia internacional de datos?
- ¿Qué artículo del RGPD contiene la regla general de las transferencias internacionales?
- ¿Qué partes intervienen en una transferencia internacional de datos?
- Ejemplos de transferencias internacionales de datos
- ¿Cuántos casos se pueden dar para la transferencia internacional de datos?
- ¿Cuándo se puede realizar una transferencia internacional de datos personales?
- Sanciones por no cumplir con la normativa en las transferencias internacionales de datos
- Excepciones para situaciones específicas
- Autorización AEPD para realizar transferencias internacionales de datos
- ¿Realizas transferencias internacionales de datos? Grupo Atico34 te ayuda a cumplir con la Ley
¿Qué es una transferencia internacional de datos?
De acuerdo a la AEPD (Agencia Española de Protección de Datos):
Las transferencias internacionales de datos personales suponen un flujo de datos personales desde territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (EEE).
En otras palabras, una transferencia de datos internacional consiste en la cesión o comunicación de datos por parte de responsables o encargados del tratamiento ubicados en España a otro responsable o encargado del tratamiento situados fuera del EEE (que incluye a los países de Unión Europea más Liechtenstein, Islandia y Noruega).
Por ejemplo, se produce una transferencia internacional de datos personales cuando una empresa española comunica datos personales de sus clientes a una empresa en Brasil, para que la empresa brasileña pueda prestarle un servicio determinado.
Cabe señalar que el RGPD y la LOPDGDD hace una distinción entre transferencia internacional de datos personales y transferencia transfronteriza de datos personales; en el segundo caso, hablamos de transferencias de datos personales entre organizaciones dentro del EEE, de manera que quedan amparadas por la normativa de protección de datos europea.
¿Qué artículo del RGPD contiene la regla general de las transferencias internacionales?
Las transferencias internacionales de datos están reguladas en el RGPD entre los artículos 44 y 49:
- Artículo 44: Principio general de las transferencias.
- Artículo 45: Transferencias basadas en una decisión de adecuación.
- Artículo 46: Transferencias mediante garantías adecuadas.
- Artículo 47: Normas corporativas vinculantes.
- Artículo 48: Transferencias o comunicaciones no autorizadas por el Derecho de la Unión.
- Artículo 49: Excepciones para situaciones específicas.
En conjunto, estos artículos del RGPD regulan cuándo y cómo se puede realizar una transferencia de datos internacional con todas las garantías que se contemplan en el Reglamento o en que circunstancias excepcionales se permite realizar este tipo de transferencia de datos.
La transferencia internacional de datos según la LOPDGDD nos remite a la regulación establecida en el RGPD, así como en las normas de desarrollo de la Ley y las circulares de la AEPD y de las autoridades autonómicas de protección de datos. En cualquier caso, en la Ley española la encontramos en el Título VI (artículos 40 a 43).
¿Qué partes intervienen en una transferencia internacional de datos?
En las transferencias internacionales de datos participan dos sujetos, los exportadores y los importadores de datos.
Son exportadores de datos las personas jurídicas o físicas que se encuentren en territorio del EEE y que lleven a cabo la transferencia de datos fuera del mismo. Por norma general, serán exportadores el responsable del tratamiento y el encargado del tratamiento.
Son importadores de datos los destinatarios de los datos que se encuentren en un tercer país fuera del EEE. Así, pueden ser importadores otros responsables o encargados del tratamiento, los subencargados (en caso de haberlos) y otros terceros ajenos.
Ejemplos de transferencias internacionales de datos
Para ilustrar lo visto hasta ahora, vemos algunos ejemplos de transferencia internacional de datos:
- Usar Google Drive para almacenar las copias de seguridad de la empresa, entre cuyos archivos haya datos personales.
- Utilizar Google Analytics para medir la audiencia de tu página web.
- Utilizar Mailchimp para enviar correos electrónicos a tus clientes o usuarios.
- Utilizar cualquier servicio de cloud computing cuya sede y servidores estén ubicados fuera del EEE, a través del cual se gestionen o traten datos personales.
- Contratar un servicio con una empresa fuera del EEE, que requiera de la comunicación de datos personales.
¿Cuántos casos se pueden dar para la transferencia internacional de datos?
Generalmente, solo pueden darse dos casos en la transferencia internacional de datos personales:
- Aquellas transferencias internacionales de datos que se hacen con terceros países que tienen un nivel adecuado de protección de datos (más adelante explicaremos en qué consiste) y que no requieren la autorización de la AEPD.
- Aquellas transferencias que se hacen a terceros países que no cuentan con un nivel de protección de datos adecuado al del Reglamento europeo, en cuyo caso se abren diferentes posibilidades para poder realizar la transferencia de datos personales con las garantías necesarias según la normativa.
¿Cuándo se puede realizar una transferencia internacional de datos personales?
De acuerdo al RGPD y la LOPDGDD, se pueden realizar transferencias internacionales de datos a terceros países cuando existan garantías adecuadas de protección equivalentes a las de la normativa europea, una autorización de la autoridad de control correspondiente o concurra alguna de las excepciones que veremos más adelante.
Así, la normativa recoge las siguientes condiciones para poder realizar las transferencias de datos internacionales:
- Transferencias basadas en una decisión de adecuación (art. 45): el tercer país al que se enviarán los datos está aceptado como destinatario adecuado por decisión de la Comisión Europea, puesto que cuenta con garantías en protección de datos similares a las del RGPD. Son países seguros:
- Suiza
- Canadá
- Argentina
- Guernsey
- Isla de Man
- Jersey
- Islas Feroe
- Andorra
- Israel
- Uruguay
- Nueva Zelanda
- Japón
- Reino Unido
- Corea del Sur
- EE. UU.
- Transferencias mediante garantías adecuadas (art. 46): se emplean cláusulas contractuales tipo (SCC por sus siglas en inglés) elaboradas por la Comisión Europea (las más recientes son las correspondientes a la Directiva 2021/914 y establecen un nivel de protección de datos similar al europeo), códigos de conducta o códigos tipo. También cuando se emplean cláusulas contractuales entre el representante y el responsable o el encargado y el responsable, encargado o destinatario de los datos personales del tercer país.
- Adopción de normas corporativas vinculantes o BCR (art. 47): son normas establecidas para las transferencias de datos entre compañías de un mismo grupo de empresas. Las BCR deben ser aprobadas por la autoridad de control del Estado miembro cuando:
- Vinculen jurídicamente a todos los miembros del grupo empresarial, así como a sus empleados
- Otorguen a los interesados derechos exigibles en relación al tratamiento de sus datos personales
Sanciones por no cumplir con la normativa en las transferencias internacionales de datos
Hacer una transferencia internacional de datos personales sin las debidas garantías, tal y como establecen el RGPD y la LOPDGDD, es una infracción muy grave, que puede ser sancionada con multas desde 300.001 euros a 20 millones de euros (o el 4% del volumen de facturación anual, la cuantía que resulte superior).
Excepciones para situaciones específicas
Cómo decíamos más arriba, el RGPD observa una serie de excepciones a las que se puede recurrir en determinadas circunstancias para poder efectuar una transferencia internacional de datos:
- El consentimiento expreso del interesado.
- La transferencia es necesaria para la celebración y ejecución de un contrato entre el interesado y el responsable del tratamiento.
- Por razones de interés público.
- Formulación, ejercicio o defensa de reclamaciones.
- Protección de los intereses vitales del interesado o terceros, cuando el interesado está física o jurídicamente incapacitado para dar su consentimiento.
- La transferencia se realice desde un registro público.
En el caso de que no se cumplan las condiciones anteriores, las transferencias internacionales de datos personales solo podrán llevarse a cabo cuando:
- No sean repetitivas (es decir, solo se produzca una vez).
- Afecten a un número limitado de interesados.
- Es imprescindible para que el responsable del tratamiento pueda conseguir sus fines legítimos, siempre y cuando estos no prevalezcan sobre los derechos y libertades del interesado.
Autorización AEPD para realizar transferencias internacionales de datos
Para la autorización de transferencias internacionales de datos según la LOPDGDD, será necesaria la autorización de la AEPD cuando el país destinatario de los datos (donde esté localizado el importador) no garantice una protección similar a la que se determina en la propia normativa de protección de datos, coincidiendo así con lo estipulado en el RGPD.
Esta autorización solamente se otorgará cuando se hubiesen verificado las garantías adecuadas, y no será necesaria cuando:
- Haya convenios o tratados donde España sea parte.
- Se haga en base al auxilio judicial internacional.
- Sea necesaria para la prevención o diagnóstico médico, asistencia sanitaria o gestión de servicios sanitarios.
- Sean transferencias dinerarias.
- Se haya obtenido el consentimiento expreso del titular de los datos.
- Se requiera para ejecutar un contrato.
- Sea exigida para salvaguardar un interés público.
- Si es necesaria para que se reconozca, ejerza o defienda un derecho en un proceso judicial.
- Se realice a petición de una persona con interés legítimo, desde un Registro Público, y con la misma finalidad.
- El país importador sea un Estado miembro de la UE o un Estado que garantice un nivel de protección adecuado.
Para solicitar la autorización para la transferencia internacional de datos, el responsable que vaya a realizar debería dirigirse su petición a la AEPD. Este procedimiento se llevará a cabo a través de la LPACAP (Ley 39/2015).
El plazo máximo con el que cuenta la AEPD para dictar y notificar la resolución, otorgando o denegando la autorización para la transferencia internacional de datos, es de 3 meses desde que se realiza la solicitud ante la agencia. Si transcurrido ese plazo no hay una resolución expresa, se entiende autorizada la transferencia internacional.
Las autorizaciones que se hubieran otorgado de forma previa al RGPD, son plenamente válidas.
¿Realizas transferencias internacionales de datos? Grupo Atico34 te ayuda a cumplir con la Ley
Ahora que ya sabes qué es una transferencia internacional de datos, es muy posible que te hayas dado cuenta de que en tu empresa las realizáis también. Para evitar denuncias y sustos en forma de sanción por parte de la AEPD, debes asegurarte que las transferencias internacionales de datos que realiza tu empresa son acordes a la normativa, tal y como hemos explicado a lo largo de este artículo.
Si tienes dudas sobre cómo cumplir con las obligaciones en materia de transferencias internacionales de datos o no terminas de tenerlo todo claro, no dudes en ponerte en contacto con Grupo Atico34; nuestro equipo de expertos en protección de datos te ayudarán a resolver cualquier duda o problema respecto a las transferencias internacionales de datos y cualquier otro tema de la normativa.