Aunque pueda parecer lo contrario, no son pocas las organizaciones y profesionales que realizan transferencias internacionales de datos personales, en ocasiones sin ser realmente conscientes de ello o de lo que implica en materia de cumplimiento del RGPD.
En este artículo revisamos qué dice el RGPD sobre las transferencias internacionales de datos; ¿cuándo se consideran transferencias internacionales? ¿Y cómo hacerlas de acuerdo a la normativa?
En este artículo hablamos de:
- ¿Qué son las transferencias internacionales de datos?
- ¿Qué artículos del RGPD contienen la regla general de las transferencias internacionales?
- ¿Cuándo se pueden realizar transferencias internacionales de datos?
- Las cláusulas contractuales tipo o SCC
- Normas corporativas vinculantes o BCR
- ¿Cuándo es necesaria la autorización de la AEPD para las transferencias internacionales de datos?
- El caso particular de las transferencias de datos a EE. UU.
- ¿Por qué es necesario un nuevo acuerdo para la transferencia de datos entre la UE y EE. UU.?
- Claves del nuevo acuerdo entre la UE y EE. UU. para la transferencia de datos
- Entonces, ¿se pueden hacer ya transferencias de datos personales a EE. UU.?
- ¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419
¿Qué son las transferencias internacionales de datos?
Las transferencias internacionales de datos personales son tratamientos de datos que implican la transmisión de estos fuera del ámbito de la UE o del EEE (Espacio Económico Europeo), ya sea a una organización pública o privada.
Cabe señalar que el RGPD y la LOPDGDD hace una distinción entre transferencia internacional de datos personales y transferencia transfronteriza de datos personales; en el segundo caso, hablamos de transferencias de datos personales entre organizaciones dentro de la UE y el EEE, de manera que quedan amparadas por la normativa de protección de datos europea.
¿Cuándo se considera transferencia internacional de datos?
Por lo tanto, se considera una transferencia internacional de datos personales cuando el responsable cede estos a un encargado o corresponsable del tratamiento fuera de la UE y del EEE, puesto que el tratamiento que estos realizarán se hará fuera de estos territorios.
Así, son ejemplos de transferencia internacional de datos el uso de Google Analytics, Google Drive o MailChimp.
¿Qué sujetos participan?
En las transferencias internacionales de datos participan dos sujetos, los exportadores y los importadores de datos.
Son exportadores de datos las personas jurídicas o físicas que se encuentren en territorio de la UE y el EEE y que lleven a cabo la transferencia de datos fuera del mismo. Por norma general, serán exportadores el responsable del tratamiento y el encargado del tratamiento.
Son importadores de datos los destinatarios de los datos que se encuentren en un tercer país fuera de la UE y el EEE. Así, pueden ser importadores los terceros ajenos, los encargados de tratamiento, los subencargados (en caso de haberlos) y también los responsables del tratamiento.
¿Por qué se hacen transferencias internacionales de datos?
Las transferencias de datos internacionales se pueden realizar por diferentes motivos, algunos de ellos son:
- Comunicación de datos personales a un tercero
- Que el tratamiento de datos se haga por cuenta del responsable
- Que la sociedad matriz de un mismo grupo empresarial se sitúe fuera del territorio europeo y se requiera la transferencia de datos para las relaciones comerciales o para la gestión del área de Recursos Humanos
- El acceso remoto a datos de trabajadores y clientes por una empresa que esté fuera de la UE
- La realización de copias de seguridad en la nube, a través de plataformas como Google Drive o Dropbox
¿Qué artículos del RGPD contienen la regla general de las transferencias internacionales?
Las condiciones para las transferencias de datos personales en el RGPD las encontramos en su artículo 44 y siguientes y se resumen en lo siguiente:
- Transferencias basadas en una decisión de adecuación (art. 45): el tercer país al que se enviarán los datos está aceptado como destinatario adecuado por decisión de la Comisión Europea, puesto que cuenta con garantías en protección de datos similares a las del RGPD.
- Transferencias mediante garantías adecuadas (art. 46): se emplean cláusulas contractuales tipo (SCC por sus siglas en inglés) elaboradas por la Comisión Europea, códigos de conducta o códigos tipo. También cuando se emplean cláusulas contractuales entre el representante y el responsable o el encargado y el responsable, encargado o destinatario de los datos personales del tercer país.
- Adopción de normas corporativas vinculantes o BCR (art. 47): son normas establecidas para las transferencias de datos entre compañías de un mismo grupo de empresas. Las BCR deben ser aprobadas por la autoridad de control del Estado miembro.
- Excepciones específicas: el RGPD observa una serie de excepciones a las que se puede recurrir en determinadas circunstancias para poder efectuar una transferencia internacional de datos:
- El consentimiento expreso del interesado
- La transferencia es necesaria para la celebración y ejecución de un contrato entre el interesado y el responsable del tratamiento
- Por razones de interés público
- Formulación, ejercicio o defensa de reclamaciones
- Protección de los intereses vitales del interesado o terceros, cuando el interesado está física o jurídicamente incapacitado para dar su consentimiento
- La transferencia se realice desde un registro público
En el caso de que no se cumplan las condiciones anteriores, las transferencias internacionales de datos personales solo podrán llevarse a cabo cuando:
- No sean repetitivas (es decir, solo se produzca una vez)
- Afecten a un número limitado de interesados
- Es imprescindible para que el responsable del tratamiento pueda conseguir sus fines legítimos, siempre y cuando estos no prevalezcan sobre los derechos y libertades del interesado
Cuando las condiciones que hemos visto recogidas por el RGPD para las transferencias internacionales de datos se cumplan, no será necesario pedir una autorización a la AEPD para realizarlas (Agencia Española de Protección de Datos).
Eso sí, siempre que se vaya a producir una transferencia internacional de datos, el responsable del tratamiento deberá firmar un contrato de encargo de tratamiento con el importador de los datos. Además, deberá informarse a los interesados con antelación de que sus datos serán transferidos a terceros países fuera de la UE y el EEE.
¿Cuándo se pueden realizar transferencias internacionales de datos?
De lo visto en los puntos anteriores, y dejando fuera las transferencias transfronterizas y las excepciones, podemos determinar que hay dos supuestos en los que se pueden realizar transferencias internacionales de datos según el RGPD:
- Países designados por la UE como seguros: Cuando los destinatarios de los datos personales estén en un territorio que la UE haya considerado con un nivel de protección adecuado, es decir, que cuente con garantías similares a las que establece el RGPD. La lista actual de estos países o territorios está formada por:
- Suiza
- Canadá
- Argentina
- Guernsey
- Isla de Man
- Jersey
- Islas Feroe
- Andorra
- Israel
- Uruguay
- Nueva Zelanda
- Japón
- Reino Unido
- Corea del Sur
- Países que no hayan sido catalogados por la UE como seguros, pero que cuenten con unas medidas de seguridad razonables: Se trata de países y territorios que no están incluidos en la lista anterior, pero que cuentan con un nivel de protección suficiente para poder realizar las transferencias internacionales de datos, ahora bien, se deberá garantizar que:
- Se cuente con cláusulas tipo adoptadas por la Comisión o adoptadas por la AEPD y aprobadas por la Comisión Europea
- Se pueda aportar la documentación necesaria que garantice que el responsable/encargado del tratamiento situado en el país objeto de la transferencia, cumple con las garantías adecuadas
Las cláusulas contractuales tipo o SCC
Las cláusulas tipo para transferencia internacional de datos o SCC son cláusulas adoptadas por la Comisión Europea que permiten realizar estas transferencias con terceros países fuera de la UE y el EEE que no hayan sido designados como seguros por esta. A través de las SCC se garantiza un nivel de protección de datos personales adecuado al RGPD.
Durante los años, la Comisión Europea ha aprobado diferentes SCC, las últimas de ellas y que son actualmente válidas (están en vigor desde el 27 de septiembre de 2021), son las correspondientes a la Directiva 2021/914 (puede encontrarse un modelo de estas SCC en el Anexo de la Directiva).
Normas corporativas vinculantes o BCR
Las BCR o normas corporativas vinculantes, son las políticas que asume el responsable y/o el encargado del tratamiento para poder realizar transferencias internacionales de los datos a países terceros, dentro de un grupo de empresas o un conjunto de empresas que se dedican a una actividad económica conjunta.
La empresa redacta unas directrices siguiendo la normativa existente y las entrega en la autoridad de control para que las revise y apruebe.
Consiste en establecer unas políticas determinadas, que deben seguir las empresas que formen el grupo empresarial, para llevar a cabo las transferencias internacionales.
- ¿En qué casos deben ser aprobadas por la autoridad competente?: Estas normas deben ser aprobadas por la autoridad competente, en el caso de España, por la AEPD, cuando:
-
- Vinculen jurídicamente a todos los miembros del grupo empresarial, así como a sus empleados
- Otorguen a los interesados derechos exigibles en relación al tratamiento de sus datos personales
- ¿Qué contenido mínimo tienen que tener estas normas vinculantes? Las normas corporativas vinculantes deben incluir:
- Estructura y datos de contacto del grupo empresarial y de sus miembros
- Categorías de datos, tipo de tratamiento, fines, interesados, países que recibirán la transferencia
- Principios generales de protección de datos. Limitación de la finalidad, minimización de datos, tiempo de conservación, calidad de datos
- El carácter jurídico, a nivel interno y externo
- Ejercicio de los derechos ARSULIPO (antiguos ARCO) de los interesados
- Deber de información de los datos del responsable/encargado de tratamiento
- Funciones del DPO
- Procedimientos de reclamaciones
- Mecanismos necesarios para comunicar a la AEPD las modificaciones, así como mecanismos de cooperación para garantizar el cumplimiento por los miembros del grupo empresarial
¿Cuándo es necesaria la autorización de la AEPD para las transferencias internacionales de datos?
Según la LOPDGDD, será necesaria la autorización para las transferencias internacionales de datos de la AEPD cuando el país destinatario de los datos (donde esté localizado el importador) no garantice una protección similar a la que se determina en la propia normativa de protección de datos, coincidiendo así con lo estipulado en el RGPD.
Esta autorización solamente se otorgará cuando se hubiesen verificado las garantías adecuadas, y no será necesaria cuando:
- Haya convenios o tratados donde España sea parte
- Se haga en base al auxilio judicial internacional
- Sea necesaria para la prevención o diagnóstico médico, asistencia sanitaria o gestión de servicios sanitarios
- Sean transferencias dinerarias
- Se haya obtenido el consentimiento expreso del titular de los datos
- Se requiera para ejecutar un contrato
- Sea exigida para salvaguardar un interés público
- Si es necesaria para que se reconozca, ejerza o defienda un derecho en un proceso judicial
- Se realice a petición de una persona con interés legítimo, desde un Registro Público, y con la misma finalidad
- El país importador sea un Estado miembro de la UE o un Estado que garantice un nivel de protección adecuado
¿Cómo solicitar la autorización de la AEPD?
El sujeto que pretenda realizar la transferencia (el exportador) deberá dirigir la petición a la AEPD. Este procedimiento se llevará a cabo a través de la LPACAP (Ley 39/2015).
El plazo máximo con el que cuenta la AEPD para dictar y notificar la resolución, otorgando o denegando la autorización para la transferencia internacional de datos, es de 3 meses desde que se realiza la solicitud ante la agencia. Si transcurrido ese plazo no hay una resolución expresa, se entiende autorizada la transferencia internacional.
Las autorizaciones que se hubieran otorgado de forma previa al RGPD, son plenamente válidas.
El caso particular de las transferencias de datos a EE. UU.
Habréis visto que en la lista de países considerados seguros por la Comisión Europea para la transferencia internacional de datos no se encuentra EE. UU., sin embargo, es uno de los países a los que más datos se transfieren desde la UE, ya que muchas de las grandes empresas tecnológicas tienen allí su sede y algunas de estas no cuentan con servidores o sedes en suelo europeo (es el caso de Google).
Sin embargo, durante un tiempo EE. UU. sí formó parte de esa lista, primero gracias al acuerdo Safe Harbor y después mediante el acuerdo Privacy Shield, pero ambos acuerdos fueron tumbados por el Tribunal de Justicia de la UE (TJUE) en las conocidas Sentencias «Schrems I» y «Schrems II», que, en resumen, venían a decir que en EE. UU. no se podía garantizar el mismo nivel de privacidad y seguridad para los datos personales que en la UE.
Esto se debe a que las leyes estadounidenses permiten a las agencias de inteligencia (FBI, NSA, etc.) requerir los datos personales a sus empresas, independientemente de las leyes de protección de los países de origen, invocando razones de seguridad nacional y sin necesidad de orden judicial.
Así, desde julio de 2020, las transferencias internacionales de datos con EE. UU. deben hacerse bajo el amparo de las SCC o las BCR, para que estas puedan considerarse válidas. Sin embargo, ya ha habido varias autoridades de control que han dictado resoluciones contra algunas tecnológicas (Google o Meta), diciendo que las SCC empleadas son insuficientes para garantizar la privacidad de los datos y que deben acompañarse de medidas complementarias para ello.
¿Por qué es necesario un nuevo acuerdo para la transferencia de datos entre la UE y EE. UU.?
Un nuevo acuerdo para las transferencias internacionales de datos entre la UE y EE. UU. es necesario porque al no tenerlo, muchos de los servicios que usan las empresas en su actividad diaria podrían declararse como contrarios al RGPD y eso puede derivar en la imposición de sanciones, tanto para la empresa que ofrece los servicios como para la empresa que los contrata, ya que no estaría protegiendo los datos personales de sus clientes de manera adecuada.
Es lo que está ocurriendo con Google Analytics, que ya ha visto a dos autoridades de control europeas (Austria y Francia) declarar su uso como ilegal, puesto que incumple el RGPD y las Sentencias «Schrems I y II».
Sin un acuerdo entre la UE y EE. UU. y con las autoridades de control pronunciándose en contra del uso de determinadas plataformas y servicios, las empresas europeas que usan estos servicios podrían enfrentar sanciones o perder competitividad.
Pero ese acuerdo podría estar más cerca de hacerse una realidad, ya que a finales de marzo de 2022, EE. UU. y la UE anunciaron un principio de acuerdo para la transferencia de datos, del que dieron sus puntos clave.
Claves del nuevo acuerdo entre la UE y EE. UU. para la transferencia de datos
Las claves del nuevo acuerdo entre la UE y EE. UU. para la transferencia de datos entre ambos territorios se basa en cinco principios:
- Las transferencias entre organismos de la UE y EE. UU. que se adhieran al acuerdo serán legítimas y seguras.
- Se creará un nuevo conjunto de normas y garantías para limitar el acceso a los datos personales de ciudadanos europeos por parte de las agencias de inteligencia estadounidenses, que se basará en el principio de proporcionalidad. Así, las agencias deberán adoptar procedimientos que garanticen una supervisión eficaz de los estándares de privacidad y libertades civiles.
- Creación de un tribunal de revisión de protección de datos, que investigará y resolverá las reclamaciones de los interesados europeos sobre el acceso a sus datos por parte de las agencias de inteligencia estadounidenses.
- Las organizaciones estadounidenses deberán adherirse al nuevo acuerdo para poder recibir datos personales desde la UE.
- Se establecerán mecanismo de control y revisión específicos.
Por el momento, se trata solo de un acuerdo inicial, cuyas medidas, mecanismos y procedimientos deberán negociarse en los próximos meses. Una vez se publique el texto final y las partes lo firmen, quedará por ver si no incurre en los mismos fallos en que lo hicieron Safe Harbor y Privacy Shield y no acaba siendo anulado también por el TJUE.
Entonces, ¿se pueden hacer ya transferencias de datos personales a EE. UU.?
Como ya indicamos más arriba, las transferencias de datos personales a EE. UU. se pueden hacer actualmente, siempre que la privacidad y seguridad de los datos se garantice a través de las SCC o las BCR correspondientes.