Tras la entrada en vigor del RGPD en 2018, las transferencias internacionales de datos personales están reguladas bajo una serie de normas y requisitos de obligado cumplimiento para empresas, autónomos y otras entidades privadas y públicas. En esta entrada vamos a explicar cómo deben realizarse estas transferencias internacionales de datos de acuerdo a la ley.

¿Qué son las transferencias internacionales de datos?

Las transferencias internacionales de datos personales son aquellos tratamientos de datos personales que implican la transmisión de los mismos a un país u organización internacional no perteneciente al Espacio Económico Europeo (EEE), es decir, países fuera de la UE, Liechtenstein, Islandia y Noruega.

Hay que señalar que el RGPD y la LOPDGDD distinguen entre la transferencia internacional de datos personales y las transferencia transfronteriza de datos personales; esta segunda es la que se produce entre organizaciones dentro de los Estados miembros del EEE.

¿Quiénes participan?

En una transferencia internacional de datos participan dos sujetos, los exportadores y los importadores de los datos personales.

Los exportadores pueden ser una persona física o jurídica, pública o privada o un órgano administrativo de un país situado en el EEE que realiza una transferencia de datos de carácter personal a un tercer país fuera del EEE.

Normalmente, el responsable y el encargado del tratamiento serán los exportadores de los datos.

Los importadores a su vez pueden ser una persona física o jurídica, pública o privada o un órgano administrativo del tercer país que recibe los datos personales enviados por el exportador.

Pueden ser importadores el responsable del tratamiento, el encargado del tratamiento o un tercero.

¿Por qué se realizan?

Hay diferentes razones para que una organización necesite realizar una transferencia internacional de datos, entre ellas podemos encontrar las siguientes:

  • Comunicar los datos personales a un tercero.
  • Que la sociedad matriz de un mismo grupo empresarial se encuentra fuera del EEE y sea necesario transferir dados de carácter personal para las relaciones comerciales o para la gestión de Recursos Humanos.
  • El acceso remoto a datos de trabajadores y clientes por una empresa fuera del EEE.
  • El guardado de copias de seguridad de datos de carácter personal o archivos que los tengan en servicios de almacenamiento en la nube en plataformas como Google Drive o Dropbox.

Concepto transferencias internacionales de datos en servicios en la nube

Las transferencias internacionales en el RGPD

De acuerdo al artículo 44 del RGPD, para poder realizar transferencias internacionales de datos personales el responsable y el encargado del tratamiento tienen la obligación de cumplir con las condiciones recogidas en el capítulo V de este Reglamento. De manera que se podrá llevar a cabo la transferencia cuando:

  • Sean transferencias basadas en una decisión de adecuación (art. 45): El tercer país está aceptado como destinatario adecuado en lo que respecta a garantías ofrecidas en materia de protección de datos por una Decisión de la Comisión Europea.
  • Sean transferencias mediante garantías adecuadas (art. 46): Cuando se empleen cláusulas tipo elaboradas por la Comisión Europea, código de conducta o elaboración de códigos tipo. Y cuando, en caso de mediar la autorización de la autoridad de control competente, se utilicen cláusulas contractuales entre el representante y el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país.
  • Se adopten las normas corporativas vinculantes (BCR por sus siglas en inglés) (art. 47): Se trata de los parámetros establecidos por el grupo de empresas para la transmisión de datos personales entre compañías del mismo grupo. Estas normas deben presentarse ante la autoridad de control competente para su aprobación.
  • Podemos acogernos a excepciones específicas: Hay una serie de excepciones reconocidas por el RGPD que permite la transferencia internacional de datos cuando se quedan fuera de los supuestos anteriores:
    • El interesado autoriza expresamente la transferencia.
    • Que la transferencia sea necesaria para la celebración y ejecución de un contrato entre el interesado y el responsable.
    • Que la transferencia sea necesaria por razones de interés público.
    • Para la formulación, el ejercicio o la defensa de reclamaciones.
    • Para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
    • La transferencia se realice desde un registro público.
  • Si no se puede aplicar ninguna de las excepciones del punto anterior, las transferencias internacionales de datos personales solo podrán llevarse a cabo si:
    • No es repetitiva.
    • Solo afecta a un número limitado de interesados.
    • Es necesaria para que el responsable del tratamiento consiga sus fines legítimos, siempre que no prevalezcan sobre los intereses o derechos y libertades del interesado.

Siempre que se cumplan las condiciones y requisitos anteriores, los responsables y encargados del tratamiento podrán realizar transmisiones internacionales de datos sin necesidad de la autorización de la AEPD (Agencia Española de Protección de datos).

Así, la autorización de la AEPD será necesaria para transferencia internacional de datos cuando las garantías adecuadas para realizarse estén basadas en:

  • Cláusulas contractuales entre el responsable o encargado del tratamiento exportador y el responsable, encargado o destinatario de los datos en el país tercero receptor. Así mimos, deberá someterse también al mecanismo de coherencia del art. 63 del RGPD.
  • Disposiciones que se incorporen a acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

En cualquier caso, será necesario firmar para la transferencia internacional de datos un contrato de encargo de tratamiento entre exportador e importador de los datos. Y será obligatorio que el o los interesados estén informados de la intención del responsable de transferir los datos personales un tercer país u organización internacional.

Infografia transferencias internacionales de datos

Otras leyes aplicables a las transferencias internacionales

Aparte del RGPD, hay otras leyes en materia de protección de datos que deben tenerse en cuenta en las transferencias internacionales de datos personales. Concretamente, en España la normativa aplicable es la siguiente:

  • LOPDGDD (Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales).
  • LPACAP (Ley del Procedimiento Administrativo Común de las Administraciones Públicas).
  • BCR (Binding Corporate Rules).
  • EU-US Privacy Shield.

Los intercambios transnacionales de datos según el grado de seguridad otorgado por la UE

Como hemos comentado un poco más arriba, la Comisión Europea establece qué países son adecuados para ser receptores de transferencias de datos personales según su nivel de protección.

Países seguros

La Comisión Europa considera países o territorios seguros o con una adecuada protección de datos los siguientes países:

  • Suiza
  • Canada
  • Argentina
  • Guernsey
  • Isla de Man
  • Jersey
  • Islas Feroe
  • Andorra
  • Israel
  • Uruguay
  • Nueva Zelanda
  • EE.UU. (solo para las entidades certificadas en el Privacy Shield)
  • Japón

Países con medidas de seguridad razonables

Fuera de la lista anterior, es decir, a falta de adecuación por la Comisión Europea, se entiende que los países cuentan con medidas de seguridad razonables cuando se cuenta con las siguientes garantías:

  • Existe un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
  • Normas corporativas vinculantes.
  • Cláusulas tipo de protección de datos adoptadas por la Comisión:
  • Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
  • Códigos de conducta, junto a compromisos vinculantes y exigibles del responsable o encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.
  • Mecanismos de certificación, junto a compromisos vinculantes y exigibles del responsable o encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

Países no seguros

Finalmente, no se considerarán países seguros en materia de protección de datos aquellos donde no existan las garantías citadas en el punto anterior. En estos casos, solo podrán llevar a cabo transferencias internacionales de datos cuando se cumpla alguna de las excepciones recogidas por el RGPD que señalamos más arriba.

Imagen conceptual de intercambio de datos transferencias internacionales de datos

¿Qué son las Normas Corporativas Vinculantes o BCR?

Las Normas Corporativas Vinculantes o Binding Corporate Rules son políticas que debe asumir el responsable o encargado del tratamiento en una empresa a la hora de transferir datos personales a terceros países.

Estas prácticas se deben establecer en base a la normativa vigente y a las directrices marcadas por las autoridades de control, en el caso de España la Agencia Española de Protección de Datos (AEPD).

Las Normas Corporativas Vinculantes se suelen establecer de forma conjunta dentro de un mismo grupo empresarial, o acordarse entre las empresas que se dedican a una misma actividad empresarial.

Contenido de las normas BCR

Las normas corporativas vinculantes se han de articular en base a los siguientes contenidos:

  • Organización y datos de contacto de la empresa/grupo empresarial y de todos sus miembros.
  • Registro de datos y categoría.
  • Tipo de tratamiento realizado.
  • Finalidad del tratamiento.
  • Países destinatarios de los datos.
  • Tiempo de conservación de los datos
  • Medios y procesos empleados para garantizar la protección de los datos
  • Ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición.
  • Deberes de los responsables y encargados del tratamiento.
  • Deberes y funciones de los Delegados de Protección de Datos.
  • Vías y procedimientos para efectuar reclamaciones.
  • Mecanismos para comunicar a la AEPD los cambios en las directrices.
  • Líneas de actuación dispuestas para favorecer la cooperación y garantía de cumplimiento de las normas por los miembros de la empresa o grupo empresarial.

¿Cuándo deben ser aprobadas por la AEPD?

La agencia Española de Protección de Datos ha de proceder a la aprobación de las Normas BCR en los siguientes casos:

  • Cuando vinculen jurídicamente a empleados, directivos y todos los miembros de la empresa o grupo empresarial.
  • Si otorgan derechos exigibles acerca del tratamiento de datos personales.

Ejemplos de transferencias internacionales de datos

Por ejemplo, cuando usamos redes sociales con parte de sus servidores en EE.UU., como Twitter o Facebook hay transferencia internacional de datos personales, en estos casos, garantizadas por el Privacy Shield, puesto que ambas compañías están certificadas en él.

Lo mismo ocurre cuando utilizamos servicios de correo electrónico como Gmail u Outlook, ambas compañías tienen sus servidores ubicados en EE.UU., por lo que nuestros datos personales se están transfiriendo a un tercer país fuera del EEE. Cuando creamos nuestra cuenta de correo con estas compañías, dimos nuestro consentimiento para el tratamiento de nuestros datos (aunque muy seguramente no lo leímos).

Si nuestra empresa utiliza alguna plataforma de marketing para gestionar las listas de suscriptores o realizar envíos de publicidad a través de email marketing, y esta plataforma se encuentra fuera del EEE, estaremos realizando transferencias internacionales de datos personales. Esto es lo que ocurre si usamos, por ejemplo, MailChimp, cuya sede está en EE.UU.

Servicios de almacenamiento en la nube como Dropbox o Google Drive también pueden implicar la transferencia internacional de datos personales, puestos que estos servicios tienen sus servidores fuera del EEE.

¿Cuántos casos pueden darse en la transferencia internacional de datos personales?

Tras lo expuesto anteriormente, en la transferencia internacional de datos personales solo pueden darse dos casos:

  • Que se realice con un país tercero que cuente con un nivel adecuado de protección de datos personales. En cuyo caso, no será necesaria la autorización de la AEPD.
  • Que el tercer país no cuente con ese nivel de seguridad necesario para tratar los datos personales que se van a enviar. En este supuesto es necesario seguir la normas expuestas más arriba, en función de la existencia o no de garantías o excepciones específicas.

Alternativas para realizar transferencias internacionales de datos

Las únicas alternativas para realizar transferencias internacionales de datos personales a terceros países considerados no adecuados por la Comisión Europea sin necesidad de recurrir a la autorización de la AEPD es contar con el consentimiento inequívoco del interesado o interesados.

En cualquier otro supuesto, será necesario suscribir un modelo de contrato para la transferencia internacional de datos que incluya las cláusulas tipo legalmente exigibles y solicitar la autorización de la AEPD después.

Anulación del Privacy Shield o Escudo de Privacidad

El Privacy Shield surgió como alternativa al invalidado Safe Harbor, para regular las transferencias internacionales de datos entre la Unión Europea y Estados Unios.

Sin embargo, en julio de 2020 el Tribunal de Justicia de la Unión Europea (TJUE) también ha invalidado el Privacy Shield al considerar que este acuerdo no garantiza una adecuada protección en las transferencias internacionales de datos con EE.UU. La principal razón es que la ley norteamericana contradice al Escudo de Privacidad, permitiendo a las agencias gubernamentales obligar a las empresas del país a facilitar información personal sobre sus usuarios.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Buenas tardes:

    Tengo que enviar un paquete a Venezuela a través de una empresa de transportes y tengo que dar mis datos de remitente y del destinario.

    En este caso existe transferencia internacional de datos o como el objeto del servicio es el envío del paquete no existe transferencia internacional?

    Gracias

    1. Hola Juan, el movimiento del paquete físico no tiene mayor relevancia desde el punto de vista LOPD, lo que hay que ver es el «movimiento» de los datos. Entonces habría que examinar las condiciones de ese envío, si la empresa que entrega en destino es la misma que recoje en origen o una sucursal o una tercera completamente independiente; si esta tercera tiene su sede central en un país del espacio económico europeo o con protección equivalente; qué se dice en las cláusula del contrato de prestación de servicios que deberá existir entre ambas empresas, etc…

  2. David: desde el punto de vista de la empresa española el contrato deberá cumplir las condiciones exigidas por la LOPD. Por otro lado la empresa alemana puede exigir a su vez el firmado de otras cláusulas en cumplimiento de su propia legislación. En ese caso la empresa española deberá confirmar que tales condiciones son conformes con nuestra ley (que seguro que sí al tratarse de legislaciones armonizadas).

  3. Buenos días:

    Mi consulta es la siguiente:

    Un encargado del tratamiento situado en España que subcontrata un servicio por cuenta del responsable de los ficheros a una empresa radicada en Alemania, no se considera según la LOPD estrictamente transferencia internacional de datos, al pertenecer la empresa cesionaria a un país de la Unión europea.
    La cuestión es que se deberá suscribir por ambas partes la cedente y cesionaria un contrato de cesión de datos, pero con arreglo a que legislación a la española o a la alemana?.

    Muchas gracias

  4. Hola Jesús, mi consulta es:

    Una empresa de traducciones contrata con clientes traducción de textos de todo tipo que pueden contener todo tipo de datos personales. Esta empresa a su vez tiene contratos con encargados de tratamiento (traductores)por todo el mundo que realizan los trabajos de traducción.
    Los envíos de los trabajos a los encargados ¿se consideran transferencias internacionales aunque haya un contrato entre la empresa y el cliente, y la empresa y el encargado de tratamiento? La empresa es la responsable de los datos?, y, si se envían por e-mail, deben de tomarse algunas precauciones específicas aparte de las elementales?
    Gracias Jesús, de antemano por dedicarme algo de tu tiempo, pero es que creo que este caso es bastante especial, y del texto de la Ley no consigo sacar una conclusión clara,aunque yo creo que al formar parte de una relación contractual, no es necesaria autorización previa. Corrígeme si me equivoco.
    Rafa.

    1. Rafa: si que es un asunto interesante.

      En mi opinión que haya contrato no tiene nada que ver con si se trata o no de una transferencia internacional. La existencia de contrato entre responsable y encargado es una condición ineludible e independiente. Por otro lado, para saber si es necesaria autorización previa habría que estudiar la localización física de los traductores y ver si residen dentro del espacio común europeo o en un país de legislación equivalente o en una empresa suscrita al Puerto Seguro, etc… Aunque también podría ser que trabajaran directamente conectados a una intranet y no tuvieran acceso a la posibilidad de descargar los originales con lo que se abrirían otras opciones.

      Respecto a los envíos por email habría que ver el nivel de seguridad exigido a los datos. Con el nivel bajo no habría problema, pero por encima se exige comunicaciones electrónicas cifradas, con lo que un simple email no sería suficiente y habría que estudiar opciones tecnológicas mas complejas y seguras.

  5. Gracias Jesús por tu respuesta.

    Reconozco que es un asunto bastante complejo, y no tengo claro por donde entrarle. Puedo decirte que la localización física de los traductores está en muchos países por lo que se dan todos los casos posibles y el contenido de las traducciones es igualmente muy diverso, pudiendo contener datos de cualquier nivel.
    Yo me acojo a que el cliente firma un contrato con la empresa traductora, y en virtud de dicho contrato se hace responsable de los datos que suministra y autoriza la cesión de dichos datos a un tercero para su traducción.

    Desde esta premisa,que no sé si será correcta, podría acogerse a uno de los supuestos del art. 66.2 rlopd en virtud de los cuales no sería necesaria autorización previa del director de la AEPD:
    «Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.»

    Respecto a los e-mail estoy de acuerdo en que en cuanto contengan datos de nivel medio-alto deben de enviarse cifrados.

    De todos modos voy a estudiar con detenimiento los contratos que firma el cliente con la traductora, y esta con los traductores.

    Si se tratara de transferencias que hay que autorizar, sería casi imposible por la cantidad y diversidad de paises implicados.

    Creo que ya formamos parte del mismo grupo de Linkedin, y quizá sería buena idea plantear la cuestión en dicho grupo para conocer la opinión de otros compañeros.

    En cualquier caso, te vuelvo a dar las gracias por el interés tomado en tu contestación.
    Un cordial saludo. Rafa.

    1. Rafa: hay que tener cuidado en esta cuestión porque a mi entender el «afectado» en este proceso sería la persona física de la que se incluyan datos personales en los documentos a traducir, y tal y como lo entiendo con esa persona no se firma contrato.

      Sí que sería interesante someterlo al debate en LinkedIn.

  6. Gracias Jesús:

    Yo también creo que hay que tener bastante cuidado con este tema. Además, estamos hablando de todo tipo de informes confidenciales, incluidos informes médicos, que aunque se firme contrato con el cliente, son un tema muy delicado,y se reciben colgándolos en la nube o por e-mail.

    Será mejor someterlo a debate en Linkedin, tal como me sugieres.

    Pues muchas gracias, y nos veremos en Linkedin. Un cordial saludo.

  7. Hola Jesús, la consulta que te planteo es:

    Estoy iniciando nueva actividad como consultor de marketing online, al plantear un servicio de email marketing me han surgido dudas respecto al cumplimiento de la LOPD. El servicio consiste en crear campañas de email marketing para pymes y gestionar el envío a los suscritos.
    Las partes intervientes y tareas desempeñadas son las siguientes:

    1. Yo me encargo de crear el fichero en Mailchimp y gestionar los datos (nombre y dirección email) para su envío.
    2. La prestación del servicio de suscripción por correo electrónico y envío de newsletter se efectúa desde las instalaciones de la empresa MailChimp de origen estadunidense, con instalaciones que se ubican en este mismo país. Mailchimp se encuentra adherida a los principios de “Puerto Seguro” (Safe Harbor).

    Mis dudas son:

    1. Mi clinte (pyme) es la responsable del fichero y por lo tanto así se debe hacer constar al inscribir el fichero en la AEPD.
    2. Yo soy el encargado del fichero y hacer constar esta situación en el formulario de inscripción.
    3. La empresa Mailchimp tiene también el papel de encargada del fichero y particularidades de estar en Estados Unidos.

    Un saludo

    1. José: los puntos 1 y 3 son correctos, y utilizar Mailchimp no genera problemas.
      Respecto al punto 2 hay que matizar dos cosas:
      1.- tu serías «encargado del tratamiento», y como tal has de firmar un contrato de tratamiento de datos con tu cliente pyme: https://ayudaleyprotecciondatos.es/2010/03/24/el-contrato-de-tratamiento-de-datos.
      2.- en el formulario de inscripción (ni en ningún otro documento con los afectados) no hay porqué hacer constar el nombre del encargado del tratamiento

  8. Buenas tardes,

    Mi consulta sería la siguiente:

    La empresa «X» contrata con empresa «Y», que es una de las entidades de un Grupo de empresas. «Y» presta servicios a «X», y en el contrato quiere incluir una clausula en la que pide autorización para transmitir datos internacionalmente a través de la red mundial de su Grupo (teniendo empresas en Pakistan, Afganistan…etc.) con el fin de gestionar las relaciones profesionales. En el presente caso sería la empresa «X» que tiene la obligación de pedir autorización del Director de la Agencia Española de Protección de Datos presentando el Contrato entre el exportadpr («Y») y los importadores (entidades del Grupo de empresas de «Y»)? Gracias. Un saludo

    1. Adel: la autorización la solicita la empresa responsable del fichero, por tanto en el ejemplo propuesto se entiende que efectivamente sería responsabilidad de «X». Sin embargo el contrato clave en este caso sería el que une a «X» con «Y», en el que a su vez se señalarían las condiciones en las que «Y» puede ceder los datos a otras empresas de su grupo.

  9. Hola Jesús,

    He estado leyendo tu web, y he visto que mailChimps no da problemas, pero otros blogs dicen lo contrario.
    Estoy pensando hacer una campaña de MailChimps con los suscriptores de mi web, ¿eso requiere autorización de la AGPD?
    Tengo mi web totalmente adaptada y los ficheros notificados, pero estoy demorando esto precisamente por la inseguridad que me está creando.

    Gracias de antemano, y enhorabuena por la web.

    Un saludo

  10. Hola Jesús.

    De antemano quiero dejar claro que aquí el profesional de LOPD no soy precisamente yo. Ahora bien, por circunstancias, me está tocando estudiar el tema y es por esto esta consulta o aclaración.

    Con respecto a la última consulta de este post que te plantea Rosario, yo tenía entendido que las campañas que se hacen a través de MailChimp, si bien se consideran seguras y por ello están adheridas al protocolo “Safe Harbour” , sí se consideran transferencias internacionales de datos pero que están exentas de solicitar autorización por parte del Director de la AGPD.

    Esto quiere decir que si una empresa realiza mailings a través de MailChimp, está obligada a declarar un fichero ante la AGPD. Cuando se declare este fichero, se dejará constancia de que se realizan transferencias internacionales de datos. De lo único que excluye el estar adherido al protocolo “Safe Harbour” es de solicitar la autorización del Director de la AGPD para realizar dicha transferencia.

    Así tenía entendido que era. ¿Me equivoco o en qué parte me he confundido?

    Gracias Jesús. Tu blog me está resultando de gran utilidad para formarme en esto de la lopd

  11. Laura: la obligación de inscribir un fichero no procede del uso de Mailchimp o cualquier otra herramienta, sino del mero hecho de tener esos datos personales.
    Disculpa su no me extiendo mas, pero estoy de vacaciones rurales sin ordenador y conexión bajo mínimos con el movil.

  12. Hola Jesús, tras leer lo de MailChimp no me ha quedado muy claro el tema de la transferencia de datos internacionales.

    Colaboro con una AMPA de una escuela pública y tenemos tres archivos registrados en la AEPD: asociados, proveedores y nóminas. En ninguno aparece la cesión internacional.

    Leyendo tus respuestas, parece ser que podríamos usar MailChimp para realizar los envíos y comunicados internos a los «asociados». ¿Es eso cierto?

    Muchas gracias de antemano.
    Saludos.

  13. ¿Al final como ha quedado la cosa del acuerdo de puerto seguro? Lo de la Transferencia internacional de datos tal cual está planteado es una pantomima…si la AEPD no tiene un papel activo en la verificación continua y periodica con acuerdos verdadedores de comprobación con otros estados…Esto sirve para poco.

    Buen Blog

    1. El acuerdo de puerto seguro o Safe Harbor ha sido sustituido por Privacy Shield. Privacy Shield protegerá los derechos fundamentales de los europeos cuando sus datos de carácter personal se transfieren a las empresas estadounidenses. Además, los ciudadanos tendrán la posibilidad de presentar demandas a través de un mecanismo de contenciosos que será gratuito para ellos, y las empresas que hayan tratado sus datos tendrán unos plazos límites para responder a las quejas. https://ayudaleyprotecciondatos.es/2016/04/26/acuerdo-privacy-shield-lopd-definicion/
      Veremos hasta qué punto se va a aplicar esta normativa.
      Muchas gracias por leer nuestro blog y por tu comentario