Las transferencias internacionales de datos personales y el RGPD

Tras la entrada en vigor del RGPD en 2018, las transferencias internacionales de datos personales están reguladas bajo una serie de normas y requisitos de obligado cumplimiento para empresas, autónomos y otras entidades privadas y públicas. En esta entrada vamos a explicar cómo deben realizarse estas transferencias internacionales de datos de acuerdo a la ley.

¿Qué son las transferencias internacionales de datos?

Las transferencias internacionales de datos personales son aquellos tratamientos de datos personales que implican la transmisión de los mismos a un país u organización internacional no perteneciente al Espacio Económico Europeo (EEE), es decir, países fuera de la UE, Liechtenstein, Islandia y Noruega.

Hay que señalar que el RGPD y la LOPDGDD distinguen entre la transferencia internacional de datos personales y las transferencia transfronteriza de datos personales; esta segunda es la que se produce entre organizaciones dentro de los Estados miembros del EEE.

¿Quiénes participan?

En una transferencia internacional de datos participan dos sujetos, los exportadores y los importadores de los datos personales.

Los exportadores pueden ser una persona física o jurídica, pública o privada o un órgano administrativo de un país situado en el EEE que realiza una transferencia de datos de carácter personal a un tercer país fuera del EEE.

Normalmente, el responsable y el encargado del tratamiento serán los exportadores de los datos.

Los importadores a su vez pueden ser una persona física o jurídica, pública o privada o un órgano administrativo del tercer país que recibe los datos personales enviados por el exportador.

Pueden ser importadores el responsable del tratamiento, el encargado del tratamiento o un tercero.

¿Por qué se realizan?

Hay diferentes razones para que una organización necesite realizar una transferencia internacional de datos, entre ellas podemos encontrar las siguientes:

• Comunicar los datos personales a un tercero.
• Que la sociedad matriz de un mismo grupo empresarial se encuentra fuera del EEE y sea necesario transferir dados de carácter personal para las relaciones comerciales o para la gestión de Recursos Humanos.
• El acceso remoto a datos de trabajadores y clientes por una empresa fuera del EEE.
• El guardado de copias de seguridad de datos de carácter personal o archivos que los tengan en servicios de almacenamiento en la nube en plataformas como Google Drive o Dropbox.

Las transferencias internacionales en el RGPD

De acuerdo al artículo 44 del RGPD, para poder realizar transferencias internacionales de datos personales el responsable y el encargado del tratamiento tienen la obligación de cumplir con las condiciones recogidas en el capítulo V de este Reglamento. De manera que se podrá llevar a cabo la transferencia cuando:

• Sean transferencias basadas en una decisión de adecuación (art. 45): El tercer país está aceptado como destinatario adecuado en lo que respecta a garantías ofrecidas en materia de protección de datos por una Decisión de la Comisión Europea.
• Sean transferencias mediante garantías adecuadas (art. 46): Cuando se empleen cláusulas tipo elaboradas por la Comisión Europea, código de conducta o elaboración de códigos tipo. Y cuando, en caso de mediar la autorización de la autoridad de control competente, se utilicen cláusulas contractuales entre el representante y el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país.
• Se adopten las normas corporativas vinculantes (BCR por sus siglas en inglés) (art. 47): Se trata de los parámetros establecidos por el grupo de empresas para la transmisión de datos personales entre compañías del mismo grupo. Estas normas deben presentarse ante la autoridad de control competente para su aprobación.
• Podemos acogernos a excepciones específicas: Hay una serie de excepciones reconocidas por el RGPD que permite la transferencia internacional de datos cuando se quedan fuera de los supuestos anteriores:
  • El interesado autoriza expresamente la transferencia.
  • Que la transferencia sea necesaria para la celebración y ejecución de un contrato entre el interesado y el responsable.
  • Que la transferencia sea necesaria por razones de interés público.
  • Para la formulación, el ejercicio o la defensa de reclamaciones.
  • Para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
  • La transferencia se realice desde un registro público.
• Si no se puede aplicar ninguna de las excepciones del punto anterior, las transferencias internacionales de datos personales solo podrán llevarse a cabo si:
  • No es repetitiva.
  • Solo afecta a un número limitado de interesados.
  • Es necesaria para que el responsable del tratamiento consiga sus fines legítimos, siempre que no prevalezcan sobre los intereses o derechos y libertades del interesado.

Siempre que se cumplan las condiciones y requisitos anteriores, los responsables y encargados del tratamiento podrán realizar transmisiones internacionales de datos sin necesidad de la autorización de la AEPD (Agencia Española de Protección de datos).

Así, la autorización de la AEPD será necesaria para transferencia internacional de datos cuando las garantías adecuadas para realizarse estén basadas en:

• Cláusulas contractuales entre el responsable o encargado del tratamiento exportador y el responsable, encargado o destinatario de los datos en el país tercero receptor. Así mimos, deberá someterse también al mecanismo de coherencia del art. 63 del RGPD.
• Disposiciones que se incorporen a acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

En cualquier caso, será necesario firmar para la transferencia internacional de datos un contrato de encargo de tratamiento entre exportador e importador de los datos. Y será obligatorio que el o los interesados estén informados de la intención del responsable de transferir los datos personales un tercer país u organización internacional.

Otras leyes aplicables a las transferencias internacionales

Aparte del RGPD, hay otras leyes en materia de protección de datos que deben tenerse en cuenta en las transferencias internacionales de datos personales. Concretamente, en España la normativa aplicable es la siguiente:

• LOPDGDD (Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales).
• LPACAP (Ley del Procedimiento Administrativo Común de las Administraciones Públicas).
• BCR (Binding Corporate Rules).
• EU-US Privacy Shield.

Los intercambios transnacionales de datos según el grado de seguridad otorgado por la UE

Como hemos comentado un poco más arriba, la Comisión Europea establece qué países son adecuados para ser receptores de transferencias de datos personales según su nivel de protección.

Países seguros

La Comisión Europa considera países o territorios seguros o con una adecuada protección de datos los siguientes países:

• Suiza
• Canadá
• Argentina
• Guernsey
• Isla de Man
• Jersey
• Islas Feroe
• Andorra
• Israel
• Uruguay
• Nueva Zelanda
• EE. UU. (solo para las entidades certificadas en el Privacy Shield)
• Japón

Países con medidas de seguridad razonables

Fuera de la lista anterior, es decir, a falta de adecuación por la Comisión Europea, se entiende que los países cuentan con medidas de seguridad razonables cuando se cuenta con las siguientes garantías:

• Existe un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
• Normas corporativas vinculantes.
• Cláusulas tipo de protección de datos adoptadas por la Comisión:
  • Decisión 2001/497/CE
  • Decisión 2004/915/CE
  • Decisión 2010/87/UE
• Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
• Códigos de conducta, junto a compromisos vinculantes y exigibles del responsable o encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.
• Mecanismos de certificación, junto a compromisos vinculantes y exigibles del responsable o encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

Países no seguros

Finalmente, no se considerarán países seguros en materia de protección de datos aquellos donde no existan las garantías citadas en el punto anterior. En estos casos, solo podrán llevar a cabo transferencias internacionales de datos cuando se cumpla alguna de las excepciones recogidas por el RGPD que señalamos más arriba.

¿Qué son las Normas Corporativas Vinculantes o BCR?

Las Normas Corporativas Vinculantes o Binding Corporate Rules son políticas que debe asumir el responsable o encargado del tratamiento en una empresa a la hora de transferir datos personales a terceros países.

Estas prácticas se deben establecer en base a la normativa vigente y a las directrices marcadas por las autoridades de control, en el caso de España la Agencia Española de Protección de Datos (AEPD).

Las Normas Corporativas Vinculantes se suelen establecer de forma conjunta dentro de un mismo grupo empresarial, o acordarse entre las empresas que se dedican a una misma actividad empresarial.

Contenido de las normas BCR

Las normas corporativas vinculantes se han de articular en base a los siguientes contenidos:

• Organización y datos de contacto de la empresa/grupo empresarial y de todos sus miembros.
• Registro de datos y categoría.
• Tipo de tratamiento realizado.
• Finalidad del tratamiento.
• Países destinatarios de los datos.
• Tiempo de conservación de los datos
• Medios y procesos empleados para garantizar la protección de los datos
• Ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición.
• Deberes de los responsables y encargados del tratamiento.
• Deberes y funciones de los Delegados de Protección de Datos.
• Vías y procedimientos para efectuar reclamaciones.
• Mecanismos para comunicar a la AEPD los cambios en las directrices.
• Líneas de actuación dispuestas para favorecer la cooperación y garantía de cumplimiento de las normas por los miembros de la empresa o grupo empresarial.

¿Cuándo deben ser aprobadas por la AEPD?

La agencia Española de Protección de Datos ha de proceder a la aprobación de las Normas BCR en los siguientes casos:

• Cuando vinculen jurídicamente a empleados, directivos y todos los miembros de la empresa o grupo empresarial.
• Si otorgan derechos exigibles acerca del tratamiento de datos personales.

Ejemplos de transferencias internacionales de datos

Por ejemplo, cuando usamos redes sociales con parte de sus servidores en EE.UU., como Twitter o Facebook hay transferencia internacional de datos personales, en estos casos, garantizadas por el Privacy Shield, puesto que ambas compañías están certificadas en él.

Lo mismo ocurre cuando utilizamos servicios de correo electrónico como Gmail u Outlook, ambas compañías tienen sus servidores ubicados en EE.UU., por lo que nuestros datos personales se están transfiriendo a un tercer país fuera del EEE. Cuando creamos nuestra cuenta de correo con estas compañías, dimos nuestro consentimiento para el tratamiento de nuestros datos (aunque muy seguramente no lo leímos).

Si nuestra empresa utiliza alguna plataforma de marketing para gestionar las listas de suscriptores o realizar envíos de publicidad a través de email marketing, y esta plataforma se encuentra fuera del EEE, estaremos realizando transferencias internacionales de datos personales. Esto es lo que ocurre si usamos, por ejemplo, MailChimp, cuya sede está en EE.UU.

Servicios de almacenamiento en la nube como Dropbox o Google Drive también pueden implicar la transferencia internacional de datos personales, puestos que estos servicios tienen sus servidores fuera del EEE.

¿Cuántos casos pueden darse en la transferencia internacional de datos personales?

Tras lo expuesto anteriormente, en la transferencia internacional de datos personales solo pueden darse dos casos:

• Que se realice con un país tercero que cuente con un nivel adecuado de protección de datos personales. En cuyo caso, no será necesaria la autorización de la AEPD.
• Que el tercer país no cuente con ese nivel de seguridad necesario para tratar los datos personales que se van a enviar. En este supuesto es necesario seguir la normas expuestas más arriba, en función de la existencia o no de garantías o excepciones específicas.

Alternativas para realizar transferencias internacionales de datos

Las únicas alternativas para realizar transferencias internacionales de datos personales a terceros países considerados no adecuados por la Comisión Europea sin necesidad de recurrir a la autorización de la AEPD es contar con el consentimiento inequívoco del interesado o interesados.

En cualquier otro supuesto, será necesario suscribir un modelo de contrato para la transferencia internacional de datos que incluya las cláusulas tipo legalmente exigibles y solicitar la autorización de la AEPD después.

Anulación del Privacy Shield o Escudo de Privacidad

El Privacy Shield surgió como alternativa al invalidado Safe Harbor, para regular las transferencias internacionales de datos entre la Unión Europea y Estados Unios.

Sin embargo, en julio de 2020 el Tribunal de Justicia de la Unión Europea (TJUE) también ha invalidado el Privacy Shield al considerar que este acuerdo no garantiza una adecuada protección en las transferencias internacionales de datos con EE.UU. La principal razón es que la ley norteamericana contradice al Escudo de Privacidad, permitiendo a las agencias gubernamentales obligar a las empresas del país a facilitar información personal sobre sus usuarios.