Las transferencias internacionales de datos consisten en la transmisión de datos de carácter personal fuera del Espacio Económico Europeo, es decir, suponen un flujo de datos personales desde el territorio europeo a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).
Existen diferentes motivos por los que pueda resultar necesario llevar a cabo una transferencia internacional de datos.
Puede ser necesario transferir datos fuera del Espacio Económico Europeo cuando la sociedad matriz de un grupo empresarial se encuentre fuera del territorio europeo, cuando una empresa precisa que un tercero situado fuera del territorio europeo acceda en remoto a datos de trabajadores o clientes, o cuando se utilizan plataformas como Dropbox o Google Drive para la realización de copias de seguridad en la nube, por ejemplo.
Para que las transferencias internacionales de datos puedan llevarse a cabo legalmente, es preciso que cumplan una serie de requisitos jurídicos.
Norma para la materia de transferencias internacionales
A nivel europeo, la normativa que regula las transferencias internacionales de datos es el Reglamento General de Protección de datos o RGPD.
A nivel español, le resultan de aplicación la Ley de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) y la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP).
También resultan de aplicación las normas corporativas vinculantes (o BCR por sus siglas en inglés) que son “ las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”.
Partes involucradas en la transferencia internacional de datos
Cuando se lleva a cabo una transferencia internacional de datos están implicados dos tipos de sujetos: la persona física o jurídica que se encuentra en el territorio europeo y exporta los datos fuera del mismo y la persona física o jurídica destinataria de los mismos que los recibe e importa en el tercer país.
Lo más común es que las personas que exportan datos fuera del territorio europeo sean los responsables o los encargados del tratamiento de dichos datos.
Por su parte, es común que los destinatarios de los datos en el tercer país sean encargados o subencargados del tratamiento, aunque también es posible que sean los responsables.
Transferencias internacionales de datos y la RGPD
Las transferencias internacionales de datos se regulan a nivel europeo en el artículo 45 y siguientes del RGPD.
El artículo 45 señala que podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.
Es decir, el RGPD confiere a la Comisión Europea la facultad de determinar si los territorios fuera del ámbito europeo al que se desee realizar transferencias internacionales garantizan un nivel de protección adecuado, en cuyo caso, será posible llevar a cabo la transferencia sin ninguna autorización específica.
Nivel adecuado de protección de datos y su finalidad
Para evaluar la adecuación del nivel de protección, la Comisión tiene en cuenta (i) el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales del país destinatario (ii) la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país y (iii) los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate.
En base a esos criterios la Comisión ha elaborado un listado de países que garantizan un nivel adecuado de protección a los que puede llevarse a cabo transferencias internacionales de datos sin cumplir ningún requisito adicional.
Si el territorio al que deseamos transferir datos no se encuentra en el listado de países elaborado por la Comisión, el encargado o responsable del tratamiento sólo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas, siendo estas:
a) Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
b) Normas corporativas vinculantes.
c) Cláusulas tipo de protección de datos adoptadas por la Comisión.
d) Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
e) Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas.
f) Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas.
A falta de figurar en el listado de la Comisión y de ofrecer las garantías adecuadas mencionadas, únicamente se podrán llevar a cabo transferencias internacionales si se cumplen una serie de condiciones.
Asimismo, existen dos supuestos en los que será necesario contar con autorización expresa de la Agencia Española de Protección de Datos para poder llevar a cabo la transferencia.
Será necesaria esta autorización cuando las garantías adecuadas se aporten mediante:
a) cláusulas contractuales entre el responsable o el encargado y el responsable, y el encargado y subencargado, que no hayan sido adoptadas por la Comisión Europea o
b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para las personas interesadas.
Si precisas llevar a cabo transferencias internacionales de datos a terceros países fuera del territorio europeo y tienes dudas sobre las garantías necesarias o el proceso para su correcta realización no dudes en contactarnos.
En Type of Legal somos abogados expertos en protección de datos y privacidad y estaremos encantados de ayudarte.
