Transferencias internacionales de datos y el Reglamento europeo de Protección de Datos

1515
empresas acogidas al privacy shield

¿Somos conscientes de que al guardar nuestros datos en la nube estamos realizando transferencias internacionales de datos? ¿Son seguras esas transferencias? ¿Cuál es la situación actual de las transferencias internacionales de datos?

Y es que en la era de Internet, los datos se consideran la materia prima más deseada. Y no sólo para las empresas, que mediante el análisis de la información de sus clientes consiguen una oportunidad para aumentar sus negocios, sino también para los usuarios que, por primera vez, se han dado cuenta de que su rastro, la huella que dejan al navegar por Internet, puede utilizarse como moneda de cambio para conseguir ciertos servicios.

Transferencias internacionales y el nuevo Reglamento europeo de Protección de Datos

Tenemos que comprender que cuando guardamos ficheros con datos personales en Dropbox o Google Drive, usamos servidores de Google para guardar emails de personas físicas o efectuamos campañas de mail marketing usando Mailchimp, realizamos transferencias internacionales de datos.

Hasta el momento, estas transferencias se regulaban por el Acuerdo de Safe Harbor o Puerto Seguro dispuesto entre la UE y EEUU, al que estaban incorporadas las empresas que ofrecían un nivel de protección de los datos personales conforme al nivel exigido por las regulaciones de la Unión Europea. No obstante, en octubre de 2015, ese Acuerdo queda anulado por el Tribunal de Justicia de la Unión Europea.

Como consecuencia de la derogación del Acuerdo, la Agencia Española de Protección de Datos comunicó a todas las empresas que hubieran comunicado en los ficheros que inscribieron en el Registro General de Protección de Datos la transferencia de datos a EEUU como Puerto Seguro, exigiéndoles que adaptaran sus transferencias internacionales a la normativa o interrumpieran las mismas.

¿Cómo adaptar las transferencias internacionales de datos a la normativa?

Para adaptar esas transferencias de datos a EE.UU. es necesario pedir autorización a la AEPD, salvo que esa transferencia se encuentre en alguno de los supuestos excluidos de autorización por la LOPD.

También será necesario firmar un contrato entre el responsable de los ficheros (exportador) y el encargado del tratamiento (importador). Este contrato debe cumplir las Cláusulas contractuales tipo recogidas en la Decisión 2010/87/UE de la Comisión para la transferencia de datos personales a encargados del tratamiento que se encuentren en terceros países.

Excepciones a la necesidad de autorización

Los supuestos en los que no se necesitará el permiso previo del Director de la AEPD son:

  • Cuando la transferencia internacional de datos personales sea resultado de la aplicación de tratados o convenios ratificados por España.
  • Cuando la transferencia se realice con el fin de brindar o requerir auxilio judicial internacional
  • Cuando la transferencia sea precisa para la prevención o para el dictámen médicos, el servicio de asistencia sanitaria o tratamiento médico o la administración de servicios sanitarios.
  • Cuando aluda a transferencias dinerarias según su legislación aplicable.
  • En caso de que el afectado haya otorgado su consentimiento expreso a esa transferencia.
  • Cuando se requiera la transferencia para el cumplimiento de un contrato entre el afectado y el responsable del fichero o para imponer medidas precontractuales a solicitud del afectado.
  • Cuando la transferencia sea necesaria para la firma o cumplimiento de un contrato firmado o por firmar, en interés del afectado, por el responsable del fichero y un tercero.
  • Si esa transferencia es necesaria o legalmente exigida para amparar un interés público. Será considerada como tal la transferencia exigida por una Administración fiscal o aduanera para el desempeño de sus funciones.
  • En caso de que la transferencia sea imprescindible para el reconocimiento, ejercicio o protección de un derecho en un procedimiento judicial.
  • Si la transferencia se realiza, a petición de persona legítimada, desde un Registro público y aquélla sea conforme a la finalidad del mismo.

Situación tras el Reglamento europeo de Protección de Datos

En las transferencias internacionales de datos no se producen cambios significativos de los sistemas actuales ya conocidos como la determinación por parte de la Comisión del los países designados como “puertos seguros“, transferencias mediante garantías adecuadas o normas corporativas vinculantes, incluso del propio consentimiento del afectado, pero sí que se incorpora una transferencia en casos de “intereses legítimos imperiosos” por parte del responsable del tratamiento que veremos en que se traduce.

El Reglamento indica que a falta de los instrumentos anteriores, se podrá realizar transferencias de datos a países sin un nivel adecuado de protección si se observan alguna de las siguientes condiciones, es decir estamos ante probables excepciones para la transferencia, y no tienen que concurrir todos los requerimientos sino que con uno de ellos ya sería válida; entre ellos, podemos recalcar como siempre, el consentimiento, pero aquí sería un consentimiento reforzado: el interesado haya consentido expresamente esa transferencia planteada, después de ser informado de los eventuales riesgos para él de esas transferencias a causa de la ausencia de una decisión de adecuación y de garantías adecuadas.

También acepta las transferencias de datos cuando sea precisa para poder ejecutar un acuerdo entre el interesado y el responsable del tratamiento; cuando sea necesaria para la realización o ejecución de un contrato, en beneficio del interesado, entre el responsable del tratamiento y una tercera persona física o jurídica; cuando sea necesaria por razones importantes de interés público; o si es necesaria para la presentación, el ejercicio o la defensa de reclamaciones.

Finalmente, abre otra vía como posible cajón desastre cuando no se ajusten a ninguna de las opciones establecidas, y menciona la figura de los “intereses legítimos imperiosos“. De acuerdo a esto, podrían efectuarse transferencias internacionales de datos cuando no reúnan los requisitos anteriores si: No sea repetitiva, es decir, que se produzca una única vez.; afecta a un número ilimitado de personas; Se informa a la autoridad de control correspondiente y se informa a los interesados sobre la transferencia y los intereses legítimos en los que se basa la misma.

Aprobación del Privacy Shield

El día 12 de julio la Comisión Europea aprueba un nuevo marco normativo entre Europa y Estados Unidos en materia de protección de datos llamado “Escudo de Privacidad”, donde proclama como correctas las transferencias internacionales efectuadas a empresas en Estados Unidos siempre que estas se adapten a ese marco normativo.

Así, las empresas norteamericanas que lo deseen podrán certificarse a partir del 1 de agosto de 2016 y podrán importar datos de carácter personal sin necesidad de que las entidades europeas exportadoras necesiten pedir autorización a las distintas Autoridades Europeas en materia de Protección de Datos.

Efectos del Privacy Shield

  • Obligaciones más rigurosas para las empresas que traten datos personales: El Departamento de Comercio Estadounidense estará autorizado a realizar exámenes y modificaciones regulares a las entidades adheridas al Escudo de Privacidad para garantizar que se adaptan al marco normativo. Como novedad se indica que en el supuesto de transferencias siguientes a terceras empresas desde una entidad incorporada al Escudo de Privacidad, esos terceros deberán asegurar el mismo nivel de protección.
  • Mayor claridad en el acceso a datos por parte de la Administración norteamericana. La supervisión indiscriminada de datos que se efectúa por las autoridades americanas se someterá a limitaciones, garantías y mecanismos de supervisión. Además, la Secretaría de Estado norteamericana ha incluido la posibilidad de que los ciudadanos europeos puedan reclamar el tratamiento de sus datos personales por las autoridades americanas a través de un procedimiento de arbitraje integrado en el Departamento de Estado e independiente de las Agencias Nacionales de Seguridad norteamericanas.
  • Protección real de los derechos individuales de los ciudadanos europeos con varias opciones de recurso frente a entidades privadas, entre las que están: Ante la propia entidad incorporada al Escudo de Privacidad, que debe solventar en un plazo máximo de 45 días; Mediante un sistema extrajudicial y gratuito de resolución de litigios; Ante las Autoridades nacionales europeas de protección de datos, que cooperarán con la Comisión Federal de Comercio norteamericana para garantizar que las reclamaciones presentadas por los ciudadanos europeos son investigadas y solucionadas; De forma complementaria, si no se ha resuelto por los mecanismos anteriores, se dispone un mecanismo de arbitraje.
  • Verificación conjunta anual de la eficacia del Escudo de Privacidad por la Comisión Europea y el Departamento de Comercio de Estados Unidos.

Con Privacy Shield se pretende fortalecer las condiciones para las transferencias internacionales de datos a terceros, asegurando el mismo nivel de protección que en el caso de una empresa afiliada al acuerdo. Si las empresas no observan las cláusulas harán frente a duras sanciones e incluso a ser excluidas del marco del convenio.

Transferencias internacionales de datos y el Reglamento europeo de Protección de Datos
4.5 (90%) 8 votos

2 Comentarios

  1. Hola,

    Si el encargado de tratamiento de los datos es una empresa americana pero los servidores físicos están en un país del Espacio Económico Europeo, ¿se trataría de una transferencia internacional de datos si o no? Poniendo un ejemplo, el caso del servicio de Amazon S3, dónde puedes escoger dónde alojar los datos (servidor europeo), pero claro, ellos son una compañía de EEUU. Entonces eso es lo que me crea duda.

    Gracias.

    • Buenas tardes Anna,

      Aunque los servidores estén en la UE existe una transferencia internacional de datos siempre que los datos salgan del país. Tanto los países del Espacio Económico Europeo como EE.UU. proporcionan un nivel adecuado de protección (de momento). Gracias a ti por leer el blog y por tu consulta

Dejar respuesta