Transferencias internacionales de datos RGPD UE

Las transferencias internacionales de datos ocurren cuando los responsables o encargados del tratamiento de datos dentro del Espacio Económico Europeo (Estados de la UE, además Noruega, Islandia y Liechtenstein) envían datos personales a terceros países u organizaciones internacionales fuera de dicho ámbito. Esto sucede normalmente cuando una empresa con sede en la UE o en la EEE requiere por razones operativas, administrativas o de otra índole, enviar datos personales de sus clientes o relacionados a una sucursal o filial en una nación no perteneciente a dichos organismos.

Pero, de acuerdo con el Reglamento General de Protección de Datos de la UE, para realizar esta transmisión de información es indispensable cumplir ciertas medidas. Tales pasos garantizan el respeto a los derechos de los usuarios respecto a la gestión de sus datos según el tipo de consentimiento de uso que haya dado al responsable del tratamiento. Veamos cuáles son estas condiciones.

Nivel adecuado de garantías, norma básica para transferencias internacionales de datos

¿Qué es lo más básico que debes considerar como responsable o encargado del tratamiento de datos para hacer transferencias internacionales de datos? Simplemente, asegurarte que los países a los que envíes la información posean un nivel de garantías adecuado en cuanto a la protección de datos personales. El artículo 45 del RGPD es claro al señalar que las transferencias de datos a un tercer país pueden realizarse siempre y cuando la Comisión Europea haya decidido que dicha nación o la organización internacional involucrada garantizan el nivel de protección adecuado.

Para evaluar esta adecuación, la CE tendrá en cuenta una serie de condiciones relacionadas con el Estado de Derecho, la legislación en general y la específica relacionada con la protección de datos y el nivel de acceso a los mismos por parte de las autoridades y todas las medidas aplicadas al tratamiento y transmisión de datos en el país de destino. Al respecto, es conveniente consultar el texto completo del punto 2 del mencionado artículo 45.

En este sentido, la Comisión Europea ha declarado hasta el presente una serie de países y territorios con condiciones apropiadas para la seguridad de la información. Entre ellos están: Suiza, Canadá, Argentina, Andorra, Israel, Nueva Zelanda y Uruguay.

¿Cómo hacer transferencias internacionales de datos a EE.UU.?

Las cosas se complican cuando se trata de transferencias internacionales de datos a Estados Unidos. Esto se debe a que el Tribunal de Justicia de la UE  (TJUE) invalidó el tratado de Escudo de Privacidad (Privacy Shield). Dicha instancia judicial tomó la medida a raíz de la sentencia sobre el caso Schrems. El argumento para esta decisión fue: que los requisitos del Derecho nacional estadounidense, y en particular algunos programas que permiten a las autoridades públicas de los Estados Unidos acceder a los datos personales transferidos desde la UE a los EE.UU. con fines de seguridad nacional, imponen limitaciones a la protección de los datos personales que no están circunscritos de un manera que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión.

En caso de necesitar transferir datos personales a Estados Unidos o a otras naciones sin declaración de adecuación de la CE, es imprescindible cumplir con lo expresado en el artículo 46 del RGPD. Allí se establece que al no existir una decisión de la CE en relación con el país de destino podría realizarse la operación sin mediar autorización de la autoridad de control, si se incluyen:

• Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
• Normas corporativas vinculantes (NCV, ver artículo 47).
• Cláusulas contractuales tipo (CCT) de protección de datos adoptadas por la Comisión por una autoridad de control y aprobadas por la Comisión.
• Códigos de conducta, acompañados por compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de implementar las garantías apropiadas. Incluyendo aquellas que correspondan a los derechos de las personas interesadas.
• Mecanismos de certificación, con las mismas condiciones estipuladas en el punto anterior.

Nuevas cláusulas contractuales tipo (CCT)

El 4 de junio de 2021, la Comisión Europea publicó un conjunto actualizado de cláusulas contractuales tipo. En concreto, la nueva clasificación establece cuatro tipos de transferencia de datos:

• Entre responsable y responsable.
• De responsable a encargado.
• Encargado a encargado.
• De encargado a responsable.

A cada tipo o módulo, se imponen condiciones adecuadas a su caso. Por ejemplo, en la categoría de responsable a responsable (cláusula 8) están previstos requisitos sobre limitación de la finalidad, transparencia, exactitud y minimización de datos. Igualmente, se establecen exigencias en cuanto a limitación del plazo de conservación, seguridad del tratamiento, datos sensibles, etc.

Las nuevas CCT entrarán en vigencia el 27 de septiembre de 2021. A partir de ese día, quedarán derogadas las cláusulas descritas en las Decisiones de la CE 2001/497/CE, 2004/915/CE y 2010/87/UE. Aun así, todo contrato celebrado antes de la fecha indicada será válido hasta el 22 de septiembre de 2022.

Cabe destacar que estas nuevas cláusulas se ajustan al RGPD mediante los principios de “accountability”. Las mismas buscan adaptarse a los criterios expresados por el TJUE en su fallo sobre el caso Schrems. Además, también es aconsejable que los responsables y encargados del tratamiento de datos, valoren si la legislación sobre tratamiento de datos del país receptor ofrece las mismas condiciones de protección del marco europeo. Dicha evaluación objetiva debe hacerse tanto en la nación de origen como en la de destino. De igual manera, es fundamental acatar las directrices del Comité Europeo de Protección de Datos, en relación a las medidas suplementarias que se llevan a cabo para asegurar un estándar de protección equivalente.

Transferencias internacionales de datos sin garantías ni decisión de adecuación

En caso de no contar con una decisión de adecuación o de garantías apropiadas, el artículo 49 del RGPD establece una serie de excepciones para validar las transferencias internacionales de datos personales:

• Si el interesado da su consentimiento explícito a la transferencia de datos planteada, tras informarle debidamente de los eventuales riesgos de tales operaciones por la falta de una decisión de adecuación y/o de garantías adecuadas.
• También cuando la transferencia de datos sea necesaria para ejecutar un contrato entre el usuario y el responsable del tratamiento. Al igual que para la ejecución de medidas precontractuales aplicadas a solicitud del interesado.
• Asimismo, cuando la transferencia sea indispensable para la celebrar o ejecutar un contrato de interés para el usuario, entre el responsable del tratamiento y una tercera persona física o jurídica.
• Si el envío de datos es vital por razones de interés público.
• En la misma línea, la transferencia de datos puede realizarse con el objetivo de la formulación, el ejercicio o la defensa de reclamaciones.
• Por igual, es procedente la transferencia si permite proteger los intereses vitales del usuario o de otros individuos, si se trata de personas física o jurídicamente incapacitadas para dar su consentimiento.
• Puede efectuarse la transferencia desde un registro público que, en conformidad con el Derecho de la Unión o de los Estados miembros, tenga como propósito facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que acredite un interés legítimo.

Conviene leer en su totalidad esta disposición para conocer más a fondo los detalles de estas excepciones.

¿Cuándo se requiere una autorización de la Agencia Española de Protección de Datos?

La autorización expresa de la Agencia Española de Protección de Datos es obligatoria cuando las garantías adecuadas estén basadas en:

• Cláusulas contractuales tipo entre el responsable o el encargado y el responsable, y el encargado y subencargado, que no sean adoptadas por la Comisión Europea.
• Cláusulas contractuales tipo incorporadas en acuerdos administrativos entre autoridades u organismos públicos que involucren derechos efectivos y exigibles para los interesados.

¿Aplica lo mismo para transferir datos entre la UE y Reino Unido?

Tras su retiro formal de la Unión Europea, como consecuencia del Brexit, el Reino Unido es considerado ahora un “tercer país” a efectos del RGPD. Esta afirmación deriva del comunicado publicado por el Comité Europeo de Protección de Datos (CEPD) el 15 de diciembre de 2020. En resumen, la declaración especifica que Gran Bretaña dejará de aplicar el RGPD para asumir una legislación propia.

Sin embargo, el CEPD aclara que el Reino Unido ha tomado elementos del Reglamento europeo para su regulación nacional. Por esta razón, ambos instrumentos podrían tener coincidencias. Aun así, la CE no ha declarado al territorio británico como zona con condiciones apropiadas para la seguridad de datos.

Mientras tanto, los intercambios de datos con Reino Unido serán transferencias internacionales de datos a una tercera nación. En consecuencia, aplicarán todas las previsiones del RGPD en esta materia.

¿Cuáles son las sanciones por infringir estas disposiciones?

Según el artículo 83.5.c del RGDP, quienes infrinjan lo dispuesto en el capítulo correspondiente a las transferencias internacionales de datos personales a un destinatario en un tercer país (artículos 44 a 49) serán sancionados con multas administrativas. La cantidad de esta penalización será de 20 millones de euros como máximo. Pero si se trata de una empresa, la sanción será equivalente “al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.

¿Alguna duda sobre las transferencias internacionales de datos? ¡Consúltanos!

En Legal Veritas somos consultores líderes en materia de protección de datos y transferencias internacionales de datos. Por tanto, podemos asesorarte y ayudar a tu empresa a cumplir con el RGPD europeo y con  legislaciones nacionales como la LOPD y la LSSICE. Para ello, disponemos de profesionales cualificados así como de soluciones tecnológicas aplicadas. Contáctanos y conoce todos nuestros servicios relacionados con la adaptación de tus canales web a los mencionados reglamentos.