Protección Data

BLOG

PARA ESTAR AL TANTO DE LA REGULACIÓN Y NOVEDADES EN PROTECCIÓN DE DATOS

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Transferencias Internacionales

En los últimos años es seguro que habrán oído mucho la palabra BREXIT, que es el proceso político por el que se materializó la salida del Reino Unido de la Unión Europea como Estado miembro. No ha sido un camino fácil. El 29 de marzo de 2019 era la fecha inicialmente prevista para dicha salida, pero no ocurrió. Se pospuso al 12 de abril de 2019 y luego al 31 de octubre, si bien se materializó el 31 de enero de 2020. No obstante, hubo un periodo transitorio hasta el 31 de diciembre de 2020, en el que el Reino Unido se mantuvo en el mercado europeo. A partir de entonces las relaciones comerciales se rigen por el Acuerdo de Comercio y Cooperación. 

Tras la salida del Reino Unido de la Unión Europea, o mejor dicho del Espacio Económico Europeo (compuesto por los Estados miembro de la Unión Europea y los miembros de la Asociación Europea de Libre Comercio que vienen a ser Islandia, Liechtenstein y Noruega) el Reino Unido se convierte, a todos los efectos, en un tercer país y esto significa que la transferencia de datos personales al Reino Unido deberá ofrecer las debidas garantías para el titular de los datos personales so pena de infringir la normativa.  

Con motivo del BREXIT voy a explicarles, aunque sea de forma esquemática, los mecanismos previstos para realizar transferencias internacionales de datos a un tercer país u organización internacional.

En materia de transferencias internacionales, la regla general es que para poder llevarlas a cabo es necesario que el tercer país u organización internacional ofrezca un nivel adecuado de protección equivalente o similar, lo que no significa que sea idéntico, al de la Unión Europea. Lo que se exige es que el tercer país u organización internacional garantice un nivel de protección de las libertades y derechos fundamentales sustancialmente equivalente al garantizado en la Unión Europea (STJUE de 6 de octubre de 2015, en el caso Schrems, asunto C-362/14 y STJUE de 16 de julio de 2020 en el caso Schrems II, asunto C-311/18).

La evaluación de la adecuación del nivel de protección de datos corresponde a la Comisión Europea. Hasta la fecha los países y territorios declarados como adecuados son:

A falta de decisión de adecuación de la Comisión Europea entrarán en juego:

1º) Cláusulas Contractuales Tipo

Las denominadas “Cláusulas Contractuales Tipo” (CCT) son cláusulas contractuales aprobadas por la Comisión con el fin de mantener el necesario flujo de datos entre el Espacio Económico Europeo y terceros países y organizaciones internacionales.

Hasta la fecha, están disponibles las siguientes:

Cuando la transferencia se base en cláusulas contractuales diferentes a las CCT aprobadas por la Comisión, la autoridad de control competente tendrá que otorgar su autorización con carácter previo. 

2º) Normas Corporativas Vinculantes (NCV o BCR por sus siglas en inglés Binding Corporate Rules)

El artículo 4 apartado 20 del RGPD define las NCV como «políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta». 

En definitiva, son normas corporativas jurídicamente vinculantes establecidas dentro de un grupo empresarial o una unión de empresas con la finalidad de ofrecer garantías suficientes y adecuadas para las transferencias de datos dentro del grupo o unión empresarial.

El contenido mínimo viene especificado en el artículo 47 apartado 2 del RGPD y para su aplicación deben ser aprobadas, previamente, por la autoridad nacional de control competente. 

De conformidad con el mecanismo de coherencia establecido en el artículo 63 del RGPD, al igual que ocurre con las CCT, cuando una autoridad de control vaya a aprobar unas NCV tendrá que comunicar al Comité Europeo de Protección de Datos su proyecto de decisión para que emita un dictamen al respecto. La autoridad de control podrá modificar su proyecto de decisión de acuerdo al dictamen del Comité o mantener el texto original alegando los motivos correspondientes.

Las autoridades nacionales de control de veintiún países del Espacio Económico Europeo (Alemania, Austria, Bélgica, Bulgaria, Chipre, Eslovenia, Eslovaquia, España, Estonia, Francia, Irlanda, Islandia, Italia, Letonia, Liechtenstein, Luxemburgo, Malta, Noruega, Países Bajos, Reino Unido y República Checa) han implementado el reconocimiento mutuo, de forma que cuando unas NCV han sido aprobadas por la autoridad de uno de esos países, las autoridades de control del resto de países participantes en el procedimiento de reconocimiento mutuo considerarán que dichas NCV cumplen con los requisitos necesarios sin necesidad de volver a evaluarlas.  

3º) Códigos de conducta 

Los Códigos de conducta se regulan en los artículos 40 y 41 del RGPD y podemos definirlos como el conjunto de directrices en las que se regula el comportamiento de una empresa u organización en relación a una o varias prácticas dentro de su sector de su actividad. 

Los Códigos de conducta deben ser aprobados por la autoridad de control y la adhesión a los mismos es voluntaria.

Sin perjuicio de los poderes de la autoridad de control, su cumplimiento vendrá supervisado por un organismo independiente con el nivel adecuado de pericia.

Hasta la fecha son pocos los Códigos aprobados. Pueden consultarlos en el siguiente enlace:

https://edpb.europa.eu/our-work-tools/accountability-tools/register-codes-conduct-amendments-and-extensions-art-4011_es

4º) Mecanismos de certificación

Las certificaciones se regulan en los artículos 42 y 43 del RGPD y sirven para acreditar frente a terceros el grado de cumplimiento de la normativa de protección de datos.

La certificación la conceden organismos independientes acreditados por la autoridad de control y es válida durante un plazo máximo de tres años, renovables en las mismas condiciones. La concesión o renovación de la certificación debe comunicarse previamente a la autoridad de control que, llegado el caso, puede denegarla. Asimismo, se podrá retirar en cualquier momento si dejan de cumplirse los requisitos exigidos.

5º) Excepciones para situaciones específicas 

A falta de decisión de adecuación y de garantías adecuadas, al amparo del artículo 49 del RGPD, se podrán realizar transferencias a terceros países en los siguientes casos:

  • Cuando el interesado haya dado su consentimiento explícito a la transferencia propuesta después de haber recibido toda la información necesaria sobre los riesgos asociados con la transferencia debido a la ausencia de una decisión de adecuación y de garantías adecuadas. 
  • Cuando la transferencia internacional sea necesaria:
    • Para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
    • Para la celebración o ejecución de un contrato, en beneficio del interesado, entre el responsable del tratamiento y otra persona física o jurídica. 
    • Por razones importantes de interés público.
    • Para la formulación, el ejercicio o la defensa de reclamaciones, o 
    • Para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento. 
  • Cuando la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Si no caben las excepciones, solo se podrá llevar a cabo una transferencia internacional de datos si ésta no es repetitiva, afecta solo a un número limitado de interesados, es necesaria para fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los derechos, intereses y libertades del interesado, habiendo evaluado previamente las circunstancias concurrentes y adoptadas las garantías apropiadas con respecto a la protección de datos personales. En todo caso, antes de realizar la transferencia internacional, será necesario informar a la autoridad de protección de datos competente, así como a los afectados, incluyendo en este último caso también la información relativa a los intereses legítimos imperiosos perseguidos.

Volviendo al caso de Reino Unido, lo previsible es que la Comisión termine adoptando una Decisión de adecuación. Por el momento, el Reino Unido ya exige el nombramiento de un representante ubicado en su territorio con capacidades técnicas, legales y administrativas para llevar a cabo las tareas encargadas. Por el momento, los flujos de datos entre el EEE y el Reino Unido continúan y se mantienen seguros gracias a un régimen provisional condicional que expira el 30 de junio de 2021.

Llevar a cabo una transferencia internacional de datos sin cumplir con los requisitos aplicables implicaría una infracción, que podría ser sancionada con multa de hasta veinte millones de euros (20.000.000 €) o, tratándose de una empresa, con una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

El tema de las transferencias internacionales es extremadamente complejo y daría para una tesis doctoral, pero con que hayan entendido los mecanismos básicos previstos para poder realizarlas, me conformo. 

ACTUALIZACIÓN IMPORTANTE

El pasado 28 de junio de 2021 la Comisión Europea publicó su Decisión de adecuación para la libre transmisión de datos entre el EEE y Reino Unido, que pueden consultar haciendo clic aquí

La referida Decisión de adecuación tiene una vigencia limitada en el tiempo a cuatro años a partir de su entrada en vigor.

 

 

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual