Transferencia internacional de datos: Qué es, ejemplos y regulación

Las transferencias internacionales de datos se producen de manera más habitual de la que muchos piensan; por ejemplo, usar Google Analytics o Mailchimp ya supone realizar una transferencia internacional de datos.

En este artículo ahondamos y explicamos todo lo que necesitas saber sobre la transferencia internacional de datos en la LOPD y el RGPD, para hacerlas de acuerdo a la ley.

¿Qué es una transferencia internacional de datos?

Una transferencia internacional de datos es la cesión o comunicación de datos por parte de responsables o encargados del tratamiento ubicados en España a otro responsable o encargado del tratamiento situados fuera del EEE (que incluye a los países de Unión Europea más Liechtenstein, Islandia y Noruega).

La AEPD define las transferencias internacionales de datos como:

[…] un flujo de datos personales desde territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo.

Por ejemplo, se produce una transferencia internacional de datos personales cuando una empresa española comunica datos personales de sus clientes a una empresa en Brasil, para que la empresa brasileña pueda prestarle un servicio determinado.

Cabe señalar que el RGPD y la LOPD hacen una distinción entre transferencia internacional de datos personales y transferencia transfronteriza de datos personales; en el segundo caso, hablamos de transferencias de datos personales entre organizaciones dentro del EEE, de manera que quedan amparadas por la normativa de protección de datos europea.

Transferencias internacionales de datos en RGPD y LOPD (Condiciones y procedimiento)

Tanto el RGPD como la LOPD establecen las condiciones y el procedimiento para una transferencia internacional de datos fuera del EEE. Así mismo, las autoridades de control también tienen potestad para decidir sobre determinados aspectos antes de realizar una transferencia internacional de datos (cómo veremos más adelante).

Según la normativa, se pueden realizar transferencias internacionales de datos a terceros países cuando existan garantías adecuadas de protección equivalentes a las de la normativa europea, una autorización de la autoridad de control correspondiente o concurra alguna de las excepciones que veremos más adelante.

Las condiciones y el procedimiento para las transferencias internacionales de datos están reguladas entre los artículos 45 y 49, que establecen que solo podrán realizarse este tipo de transferencias de datos cuando se basen en alguno de los siguientes supuestos:

• Transferencias basadas en una decisión de adecuación (art. 45): el tercer país al que se enviarán los datos está aceptado como destinatario adecuado por decisión de la Comisión Europea, puesto que cuenta con garantías en protección de datos similares a las del RGPD. Son países seguros:
  •     Suiza
  •     Canadá
  •     Argentina
  •     Guernsey
  •     Isla de Man
  •     Jersey
  •     Islas Feroe
  •     Andorra
  •     Israel
  •     Uruguay
  •     Nueva Zelanda
  •     Japón
  •     Reino Unido
  •     Corea del Sur
  •     EE. UU.
• Transferencias mediante garantías adecuadas (art. 46): se emplean cláusulas contractuales tipo (SCC por sus siglas en inglés) elaboradas por la Comisión Europea (las más recientes son las correspondientes a la Directiva 2021/914 y establecen un nivel de protección de datos similar al europeo), códigos de conducta o códigos tipo. También cuando se emplean cláusulas contractuales entre el representante y el responsable o el encargado y el responsable, encargado o destinatario de los datos personales del tercer país.
• Adopción de normas corporativas vinculantes o BCR (art. 47): son normas establecidas para las transferencias de datos entre compañías de un mismo grupo de empresas. Las BCR deben ser aprobadas por la autoridad de control del Estado miembro cuando:
  • Vinculen jurídicamente a todos los miembros del grupo empresarial, así como a sus empleados
  • Otorguen a los interesados derechos exigibles en relación al tratamiento de sus datos personales

Además de lo anterior, también se deben tener en cuenta las normas de desarrollo de la ley de protección de datos y las circulares de la AEPD y de las autoridades autonómicas de protección de datos.

Así mismo, los artículos 40 a 43 de la LOPD regulan los supuestos de adopción de cláusulas contractuales tipo por parte de la AEPD y las autoridades de control autonómicas, la duración y condiciones del procedimiento de adopción y los supuestos sometidos a autorización previa de la AEPD.

Ejemplos de transferencias internacionales de datos

Para ilustrar lo visto hasta ahora, vemos algunos ejemplos de transferencias internacionales de datos:

• Usar Google Drive para almacenar las copias de seguridad de la empresa, entre cuyos archivos haya datos personales.
• Utilizar Google Analytics para medir la audiencia de tu página web.
• Utilizar Mailchimp para enviar correos electrónicos a tus clientes o usuarios.
• Utilizar cualquier servicio de cloud computing cuya sede y servidores estén ubicados fuera del EEE, a través del cual se gestionen o traten datos personales.
• Contratar un servicio con una empresa fuera del EEE, que requiera de la comunicación de datos personales.

Excepciones específicas en cumplimiento de las transferencias internacionales de datos

El artículo 49 del RGPD observa una serie de excepciones a las que se puede recurrir en determinadas circunstancias para poder efectuar una transferencia internacional de datos:

• El consentimiento expreso del interesado.
• La transferencia es necesaria para la celebración y ejecución de un contrato entre el interesado y el responsable del tratamiento.
• Por razones de interés público.
• Formulación, ejercicio o defensa de reclamaciones.
• Protección de los intereses vitales del interesado o terceros, cuando el interesado está física o jurídicamente incapacitado para dar su consentimiento.
• La transferencia se realice desde un registro público.

En el caso de que no se cumplan las condiciones anteriores, las transferencias internacionales de datos personales solo podrán llevarse a cabo cuando:

• No sean repetitivas (es decir, solo se produzca una vez).
• Afecten a un número limitado de interesados.
• Es imprescindible para que el responsable del tratamiento pueda conseguir sus fines legítimos, siempre y cuando estos no prevalezcan sobre los derechos y libertades del interesado.

Autorización AEPD para realizar transferencias internacionales de datos

Para la autorización de transferencias internacionales de datos según la LOPD, será necesaria la autorización de la AEPD cuando el país destinatario de los datos (donde esté localizado el importador) no garantice una protección similar a la que se determina en la propia normativa de protección de datos, coincidiendo así con lo estipulado en el RGPD.

Esta autorización solamente se otorgará cuando se hubiesen verificado las garantías adecuadas.

Cabe señalar que en la transferencia internacional de datos según la LOPD no será de aplicación la autorización de la AEPD cuando:

• Haya convenios o tratados donde España sea parte.
• Se haga en base al auxilio judicial internacional.
• Sea necesaria para la prevención o diagnóstico médico, asistencia sanitaria o gestión de servicios sanitarios.
• Sean transferencias dinerarias.
• Se haya obtenido el consentimiento expreso del titular de los datos.
• Se requiera para ejecutar un contrato.
• Sea exigida para salvaguardar un interés público.
• Si es necesaria para que se reconozca, ejerza o defienda un derecho en un proceso judicial.
• Se realice a petición de una persona con interés legítimo, desde un Registro Público, y con la misma finalidad.
• El país importador sea un Estado miembro de la UE o un Estado que garantice un nivel de protección adecuado.

Para solicitar la autorización para la transferencia internacional de datos, el responsable que vaya a realizar debería dirigirse su petición a la AEPD. Este procedimiento se llevará a cabo a través de la LPACAP (Ley 39/2015).

El plazo máximo con el que cuenta la AEPD para dictar y notificar la resolución, otorgando o denegando la autorización para la transferencia internacional de datos, es de 3 meses desde que se realiza la solicitud ante la agencia. Si transcurrido ese plazo no hay una resolución expresa, se entiende autorizada la transferencia internacional.

Las autorizaciones que se hubieran otorgado de forma previa al RGPD, son plenamente válidas.

¿Realizas transferencias internacionales de datos? Grupo Atico34 te ayuda a cumplir con la Ley

Ahora que ya sabes qué es y cómo regulan el RGPD y la LOPD la transferencia internacional de datos, es muy posible que te hayas dado cuenta de que en tu empresa las realizáis también. Para evitar denuncias y sustos en forma de sanción por parte de la AEPD, debes asegurarte que las transferencias internacionales de datos que realiza tu empresa son acordes a la normativa, tal y como hemos explicado a lo largo de este artículo.

Si tienes dudas sobre cómo cumplir con las obligaciones en materia de transferencias internacionales de datos o no terminas de tenerlo todo claro, no dudes en ponerte en contacto con Grupo Atico34; nuestro equipo de expertos en protección de datos te ayudarán a resolver cualquier duda o problema respecto a las transferencias internacionales de datos y cualquier otro tema de la normativa.