Área clientes Área clientes
Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Transferencias internacionales de datos

En los últimos años habrán oído mucho la palabra BREXIT, que se refiere al proceso político por el que se materializó la salida del Reino Unido de la Unión Europea como Estado miembro.

Tras la salida del Reino Unido de la Unión Europea –o mejor dicho del Espacio Económico Europeo, en el que es de aplicación el RGPD, compuesto por los Estados miembro de la Unión Europea junto con Islandia, Liechtenstein y Noruega– el Reino Unido se convierte en un tercer país, y esto significa que la transferencia de datos personales al Reino Unido deberá ofrecer las debidas garantías para el titular de los datos.

El BREXIT no tuvo un camino fácil. La fecha prevista para la salida del Reino Unido de la Unión Europea era el 29 de marzo de 2019, pero no ocurrió. Se pospuso al 12 de abril de 2019. Luego al 31 de octubre de 2019, si bien se materializó el 31 de enero de 2020, estableciéndose un periodo transitorio hasta el 31 de diciembre de 2020, que se prorrogó hasta el 30 de junio de 2021.

La Comisión publicó el 19 de febrero de 2021 el borrador de su Decisión de adecuación. El 13 de abril de 2021 se publicó el informe del Comité Europeo de Protección de Datos y, tras recabar la opinión de los Estados miembros, finalmente, la Comisión Europea aprobó el 28 de junio de 2021 la Decisión de adecuación, que rige las transferencias de datos al Reino Unido, con un plazo de expiración de cuatro años. Transcurrido dicho periodo, la Comisión Europea habrá de decidir si renueva, o no, la Decisión. 

Con motivo del BREXIT voy a explicarles, aunque sea de forma esquemática, los mecanismos previstos para realizar transferencias internacionales de datos a un tercer país u organización internacional.

Evaluación del nivel de adecuación 

La regla general establecida para poder realizar transferencias de datos personales a un tercer país u organización internacional es que estos ofrezcan un nivel de protección sustancialmente equivalente al garantizado en la Unión Europea, lo que no significa que sea idéntico (STJUE de 6 de octubre de 2015, asunto C-362/14 y STJUE de 16 de julio de 2020, asunto C-311/18).

Para evaluar la adecuación del nivel de protección, de acuerdo al artículo 45 del RGPD, la Comisión Europea tendrá en cuenta, a grosso modo, los siguientes elementos:

  1. El Estado de Derecho, el respeto hacia los derechos humanos y las libertades fundamentales, la legislación, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales efectivas.
  2. La existencia y el funcionamiento de una o varias autoridades de control independientes.
  3. Los compromisos internacionales asumidos por ese tercer país u organización internacional, las obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como su participación en sistemas multilaterales o regionales, todo ello en relación con la protección de datos personales.

Hasta la fecha los países y territorios declarados adecuados son:

El 15 de enero de 2024 la Comisión Europea publicó el primer informe de revisión de las decisiones de adecuación. Dicho informe concluye que las once decisiones de adecuación adoptadas antes de la entrada en vigor del RGPD mantienen su vigencia, al tratarse de territorios que aseguran una adecuada protección de los datos personales. Hablamos de las transferencias de datos personales a Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay. Por tanto, los datos pueden continuar fluyendo libremente hacia estas jurisdicciones. El informe no se pronuncia sobre el resto de territorios, esto es, Estados Unidos, Reino Unido, República de Corea y Japón. Honestamente, esperaba más detalles.

A falta de Decisión de adecuación entrarán en juego:

Cláusulas Contractuales Tipo 

Las Cláusulas Contractuales Tipo son aquellas cláusulas contractuales aprobadas por la Comisión con el fin de mantener el necesario flujo de datos entre el Espacio Económico Europeo y terceros países y organizaciones internacionales.

En fecha 7 de junio de 2021 se publicó la Decisión de Ejecución (UE) 2021/914 de la Comisión de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679.

Las Cláusulas Contractuales Tipo de las Decisiones 2001/497/CE, 2004/915/CE y 2010/87/UE quedan derogadas a partir del 27 de septiembre de 2021. Los contratos celebrados con anterioridad a dicha fecha, con arreglo a las cláusulas contractuales tipo de las Decisiones derogadas, gozan de un período transitorio de validez de quince meses, siempre que las operaciones de tratamiento permanezcan inalteradas y las cláusulas contractuales garanticen que la transferencia de datos personales están sujetas a garantías adecuadas. El referido periodo transitorio finaliza el 27 de diciembre de 2022, fecha en la que ya no resultarán válidos los contratos celebrados con arreglo a las Decisiones derogadas, debiéndose proceder a su adaptación a las cláusulas tipo aprobadas por la Decisión 2021/914.

Normas Corporativas Vinculantes 

Al respecto de las Normas Corporativas Vinculantes (NCV), el Considerando 110 del RGPD establece: «Todo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta debe tener la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Unión a organizaciones dentro del mismo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta, siempre que tales normas corporativas incorporen todos los principios esenciales y derechos aplicables con el fin de ofrecer garantías adecuadas para las transferencias o categorías de transferencias de datos de carácter personal».

El artículo 4.20 del RGPD define las Normas Corporativas Vinculantes como «las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta». 

Las NCV son, en definitiva, normas corporativas jurídicamente vinculantes, establecidas dentro de un grupo empresarial o una unión de empresas, con la finalidad de ofrecer garantías suficientes y adecuadas para las transferencias de datos dentro del grupo o unión empresarial. En la práctica, son una alternativa a los contratos tipo.

El contenido mínimo viene especificado en el artículo 47 apartado 2 del RGPD y para su aplicación deben ser aprobadas, previamente, por la autoridad nacional de control competente. 

De acuerdo al mecanismo de coherencia, previsto en el artículo 63 del RGPD, al igual que ocurre con las CCT, cuando una autoridad de control vaya a aprobar unas NCV tendrá que comunicar al Comité Europeo de Protección de Datos su proyecto de decisión para que este emita un dictamen al respecto. La autoridad de control podrá modificar su proyecto de decisión de acuerdo al dictamen del Comité o mantener el texto original alegando los motivos correspondientes.

Las autoridades nacionales de control de veintiún países del Espacio Económico Europeo (Alemania, Austria, Bélgica, Bulgaria, Chipre, Eslovenia, Eslovaquia, España, Estonia, Francia, Irlanda, Islandia, Italia, Letonia, Liechtenstein, Luxemburgo, Malta, Noruega, Países Bajos, Reino Unido y República Checa) han implementado el reconocimiento mutuo, de forma que cuando unas NCV han sido aprobadas por la autoridad de uno de esos países, las autoridades de control del resto de países participantes en el procedimiento de reconocimiento mutuo considerarán que dichas NCV cumplen con los requisitos necesarios sin necesidad de volver a evaluarlas.  

A falta de Decisión de Adecuación y Garantías Adecuadas

A falta de una decisión de adecuación y de garantías adecuadas, al amparo del artículo 49 del RGPD, se podrán realizar transferencias a terceros países en los siguientes casos:

  • Cuando el interesado haya dado su consentimiento explícito a la transferencia propuesta, después de haber recibido la información necesaria sobre los riesgos asociados con la transferencia, debido a la ausencia de una decisión de adecuación y de garantías adecuadas. 
  • Cuando la transferencia internacional sea necesaria:
    • Para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
    • Para la celebración o ejecución de un contrato, en beneficio del interesado, entre el responsable del tratamiento y otra persona física o jurídica. 
    • La existencia de un acuerdo o tratado internacional. Aquellos acuerdos celebrados antes del 24 de mayo de 2016 que cumplan lo dispuesto en el Derecho de la Unión Europea aplicable antes de dicha fecha, seguirán en vigor hasta que sean modificados, sustituidos o revocados (artículo 96 RGPD).
    • Por razones importantes de interés público.
    • Para la formulación, el ejercicio o la defensa de reclamaciones, o 
    • Para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento. 
  • Cuando la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Si no caben las excepciones, solo se podrá llevar a cabo una transferencia internacional de datos personales si esta no es repetitiva, afecta a un número limitado de interesados, es necesaria para fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los derechos, intereses y libertades de los interesados, habiendo evaluado previamente las circunstancias concurrentes y adoptadas las garantías apropiadas con respecto a la protección de datos personales. En todo caso, antes de realizar la transferencia internacional, será necesario informar a la autoridad de protección de datos competente y a los afectados, incluyendo en este último caso la información relativa a los intereses legítimos perseguidos.

Régimen sancionador

Llevar a cabo una transferencia internacional de datos personales sin cumplir los requisitos aplicables implicaría una infracción, que podría ser sancionada con multa de hasta veinte millones de euros (20.000.000 €) o, tratándose de una empresa, con una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Índice de artículos
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).