Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Transferencias internacionales de datos

En los últimos años, habrán oído mucho la palabra BREXIT, que se refiere al proceso político por el que se materializó la salida del Reino Unido de la Unión Europea como Estado miembro.

Tras la salida del Reino Unido de la Unión Europea –o mejor dicho del Espacio Económico Europeo, en el que es de aplicación el RGPD, compuesto por los Estados miembro de la Unión Europea junto con Islandia, Liechtenstein y Noruega– el Reino Unido se convierte en un tercer país, y esto significa que la transferencia de datos personales al Reino Unido deberá ofrecer las debidas garantías para el titular de los datos.

El BREXIT no tuvo un camino fácil. La fecha prevista, inicialmente, para la salida del Reino Unido de la Unión Europea era el 29 de marzo de 2019, pero no produjó. Se pospuso, primero, al 12 de abril de 2019 y luego al 31 de octubre de 2019. Finalmente,se materializó el 31 de enero de 2020, con un periodo transitorio hasta el 31 de diciembre de 2020.

La Comisión publicó el 19 de febrero de 2021 el borrador de su Decisión de adecuación. El 13 de abril de 2021 se publicó el dictamen del Comité Europeo de Protección de Datos y, tras recabar la opinión de los Estados miembros, finalmente, la Comisión Europea aprobó el 28 de junio de 2021 la Decisión de adecuación, que rige las transferencias de datos al Reino Unido, con un plazo inicial de vigencia de cuatro años (hasta el 27 de junio de 2025). Ese plazo se extendió hasta el 27 de diciembre de 2025 para evaluar cambios en la legislación británica. El 19 de diciembre de 2025, la Comisión Europea renovó la decisión por seis años adicionales, extendiéndola hasta el 27 de diciembre de 2031, con posibilidad de renovación futura.

Con motivo del BREXIT, les explicaré, aunque sea de forma esquemática, los mecanismos previstos para realizar transferencias internacionales de datos a un tercer país u organización internacional.

Evaluación del nivel de adecuación 

La regla general establecida para poder realizar transferencias de datos personales a un tercer país u organización internacional es que estos ofrezcan un nivel de protección sustancialmente equivalente al garantizado en la Unión Europea, lo que no significa que sea idéntico (STJUE de 6 de octubre de 2015, asunto C-362/14 y STJUE de 16 de julio de 2020, asunto C-311/18).

Para evaluar la adecuación del nivel de protección, de acuerdo al artículo 45 del RGPD, la Comisión Europea tendrá en cuenta, a grandes rasgos, los siguientes elementos:

  1. El Estado de Derecho, el respeto a los derechos humanos y las libertades fundamentales, la legislación relevante (incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional), la jurisprudencia, así como el reconocimiento a los interesados de derechos efectivos y exigibles, junto con recursos administrativos y acciones judiciales efectivas.
  2. La existencia y el funcionamiento efectivo de una o varias autoridades de control independientes.
  3. Los compromisos internacionales asumidos por ese tercer país u organización internacional, las obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como su participación en sistemas multilaterales o regionales, todo ello en relación con la protección de datos personales.

Hasta la fecha, los países y territorios declarados adecuados son:

El 15 de enero de 2024 la Comisión Europea publicó el primer informe de revisión de las decisiones de adecuación. Dicho informe concluye que las once decisiones de adecuación adoptadas antes de la entrada en vigor del RGPD mantienen su vigencia, al tratarse de territorios que aseguran una adecuada protección de los datos personales. Hablamos de las transferencias de datos personales a Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay. Por tanto, los datos pueden continuar fluyendo libremente hacia estas jurisdicciones. El informe no se pronuncia sobre el resto de territorios, esto es, Estados Unidos, Reino Unido, República de Corea y Japón. 

A falta de Decisión de adecuación entrarán en juego:

Cláusulas Contractuales Tipo 

Las Cláusulas Contractuales Tipo son aquellas cláusulas contractuales aprobadas por la Comisión Europea con el fin de mantener el necesario flujo de datos entre el Espacio Económico Europeo y terceros países u organizaciones internacionales.

En fecha 7 de junio de 2021 se publicó la Decisión de Ejecución (UE) 2021/914 de la Comisión de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679.

Las Cláusulas Contractuales Tipo de las Decisiones 2001/497/CE, 2004/915/CE y 2010/87/UE quedaron derogadas a partir del 27 de septiembre de 2021. Los contratos celebrados con anterioridad a dicha fecha, con arreglo a las cláusulas contractuales tipo de las Decisiones derogadas, gozaron de un período transitorio de validez de quince meses, siempre que las operaciones de tratamiento permanecieran inalteradas y las cláusulas contractuales garantizaran que las transferencias de datos personales estaban sujetas a garantías adecuadas. El periodo transitorio finalizó el 27 de diciembre de 2022, fecha en la que ya no resultarán válidos los contratos celebrados con arreglo a las Decisiones derogadas, debiéndose proceder a su adaptación a las cláusulas tipo aprobadas por la Decisión 2021/914.

Normas Corporativas Vinculantes 

En cuanto a las Normas Corporativas Vinculantes (NCV), el Considerando 110 del RGPD establece: «Todo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta debe tener la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Unión a organizaciones dentro del mismo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta, siempre que tales normas corporativas incorporen todos los principios esenciales y derechos aplicables con el fin de ofrecer garantías adecuadas para las transferencias o categorías de transferencias de datos de carácter personal».

El artículo 4.20 del RGPD define las Normas Corporativas Vinculantes como «las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta». 

Las NCV son, en definitiva, normas corporativas jurídicamente vinculantes, establecidas dentro de un grupo empresarial o una unión de empresas, con la finalidad de ofrecer garantías suficientes y adecuadas para las transferencias de datos dentro del grupo o unión empresarial. En la práctica, representan una alternativa a las cláusulas contractuales tipo.

El contenido mínimo viene especificado en el artículo 47, apartado 2, del RGPD, y para su aplicación deben ser aprobadas previamente por la autoridad nacional de control competente. 

De acuerdo con el mecanismo de coherencia, previsto en el artículo 63 del RGPD –al igual que ocurre con las CCT– cuando una autoridad de control vaya a aprobar unas NCV, tendrá que comunicar al Comité Europeo de Protección de Datos su proyecto de decisión para que este emita un dictamen al respecto. La autoridad de control podrá modificar su proyecto de decisión de acuerdo al dictamen del Comité o mantener el texto original alegando los motivos correspondientes.

Las autoridades nacionales de control de veintiún países del Espacio Económico Europeo (Alemania, Austria, Bélgica, Bulgaria, Chipre, Eslovenia, Eslovaquia, España, Estonia, Francia, Irlanda, Islandia, Italia, Letonia, Liechtenstein, Luxemburgo, Malta, Noruega, Países Bajos, Reino Unido y República Checa) han implementado el reconocimiento mutuo, de forma que, cuando unas NCV han sido aprobadas por la autoridad de uno de esos países, las autoridades de control del resto de países participantes en el procedimiento de reconocimiento mutuo considerarán que dichas NCV cumplen con los requisitos necesarios sin necesidad de volver a evaluarlas.  

A falta de decisión de adecuación y garantías adecuadas

A falta de una decisión de adecuación y de garantías adecuadas, al amparo del artículo 49 del RGPD, se podrán realizar transferencias a terceros países en los siguientes casos:

  • Cuando el interesado haya dado su consentimiento explícito a la transferencia propuesta, después de haber recibido la información necesaria sobre los riesgos asociados con la transferencia, debido a la ausencia de una decisión de adecuación y de garantías adecuadas. 
  • Cuando la transferencia internacional sea necesaria:
    • Para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
    • Para la celebración o ejecución de un contrato, en beneficio del interesado, entre el responsable del tratamiento y otra persona física o jurídica. 
    • Por la existencia de un acuerdo o tratado internacional. Aquellos acuerdos celebrados antes del 24 de mayo de 2016 que cumplan lo dispuesto en el Derecho de la Unión Europea aplicable antes de dicha fecha, seguirán en vigor hasta que sean modificados, sustituidos o revocados (artículo 96 RGPD).
    • Por razones importantes de interés público.
    • Para la formulación, el ejercicio o la defensa de reclamaciones, o 
    • Para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento. 
  • Cuando la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero solo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Si no caben las excepciones, solo se podrá llevar a cabo una transferencia internacional de datos personales si esta no es repetitiva, afecta a un número limitado de interesados, es necesaria para fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los derechos, intereses y libertades de los interesados, habiendo evaluado previamente las circunstancias concurrentes y adoptadas las garantías apropiadas con respecto a la protección de datos personales. En todo caso, antes de realizar la transferencia internacional, será necesario informar a la autoridad de protección de datos competente y a los afectados, incluyendo en este último caso la información relativa a los intereses legítimos perseguidos.

Régimen sancionador

Llevar a cabo una transferencia internacional de datos personales sin cumplir los requisitos aplicables implicaría una infracción, que podría ser sancionada con multa de hasta 20.000.000 € o, tratándose de una empresa, con una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es