Vivimos en un mundo globalizado y es cada vez más frecuente que las sociedades ubicadas en la Unión Europea (UE) tengan que intercambiar no solamente sus productos y servicios a nivel internacional sino también transferir los datos de carácter personal. En este sentido debemos tener en cuenta que todo flujo de datos personales con destino a países fuera del Espacio Económico Europeo (EEE) realizados desde el territorio nacional de un estado miembro de la UE es considerado una transferencia internacional de datos.
Estas transferencias generalmente se pueden dar en el entorno de las sociedades que forman un grupo multinacional, por utilizar soluciones tecnológicas que están en la nube o porque simplemente una empresa ubicada en la UE requiere servicios prestados por proveedores fuera de la EEE.
Saliendo al paso de las actuales necesidades y para ofrecer mayores garantías en las transferencias internacionales, la UE aprobó el Reglamento (UE) 2016/679, de 27 de abril (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Para regular las transferencias internacionales de datos el RGPD establece tres principales supuestos y un bloque de excepciones para situaciones específicas:
- Transferencias internacionales de datos basadas en una decisión de adecuación (artículo 45 RGPD).
- Transferencias mediante garantías adecuadas (artículo 46 RGPD)
- “Binding corporate rules” (artículo 47 RGPD)
- En ausencia de los 3 supuestos anteriormente indicados, una transferencia de datos personales se podrá realizar únicamente si se cumple de alguna de las condiciones excepcionales incluidas en el artículo 49 RGPD.
Transferencias basadas en una decisión de adecuación (art. 45 RGPD).
Conforme al artículo 45 RGPD podrán hacerse transferencias internacionales de datos cuando el tercer país sea aceptado por la Comisión de la UE como destinatario adecuado en cuanto a garantías ofrecidas en materia de protección de datos. En este sentido la decisión favorable de la Comisión depende si además estos países ofrecen las salvaguardas adicionales como:
- conjunto de normas que permitan reducir algunas diferencias entre los diferentes sistemas de protección de datos
- mecanismos de tramitación de reclamaciones con el que se puedan investigar y resolver las reclamaciones de los ciudadanos europeos.
- existencia de Autoridad de control independiente y de otros recursos para supervisar el cumplimiento de la normativa de protección de datos.
Actualmente han sido declarados de nivel de protección adecuado por la Comisión de la UE los siguientes países:
- Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000
- Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos
- Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003
- Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003
- Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004
- Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008
- Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010
- Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010
- Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011
- Uruguay. Decisión 2012/484/UE, de la Comisión de 21 de agosto de 2012.
- Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012
- Japón. Decisión de 23 de enero de 2019.
En caso de Estados Unidos dicho régimen es aplicable exclusivamente a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016.
Transferencias mediante garantías adecuadas (art. 46 RGPD).
Conforme al artículo 46 para las transferencias internacionales no se requiere ninguna autorización expresa de una autoridad de control si se ofrecen las garantías adecuadas como el uso de las cláusulas tipo elaboradas por la Comisión o por una autoridad de control y aprobadas por la Comisión, código de conducta o un mecanismo de certificación aprobado con arreglo al artículo 42 del RGPD.
Siempre que exista autorización de la autoridad de control competente, las garantías adecuadas podrán igualmente ser aportadas, mediante:
- cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o
- disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados
Normas corporativas vinculantes (art. 47 RGPD).
Otro modelo para garantizar el adecuado tratamiento de datos en las transferencias internacionales son las normas corporativas vinculantes (Binding Corporate Rules – BCRs). BCRs realmente son políticas que deben seguir las empresas que formen el grupo empresarial para llevar a cabo las transferencias internacionales entre sí. Estas políticas son asumidas por los Responsables del tratamiento en cada país de su residencia. En todo caso las empresas que adoptan BCRs, antes de su implantación, deben presentar dichas políticas ante la Autoridad de Control de cada país en que están ubicadas para que una vez revisadas pasen a su aprobación.
BCRs es un mecanismo preferido por grupos empresariales o en un conjunto de empresas que se dedican a una actividad económica conjunta que habitualmente realizan flujos de datos internacionales, puesto que adoptan parámetros comunes de la transferencia internacional de datos para todas las empresas del grupo y agilizan su coordinación y prestación de servicios corporativos.
Excepciones para situaciones específicas (art. 49 RGPD).
Asimismo el RGPD prevé que una transferencia internacional de datos podrá realizarse cuando se cumpla alguna de las condiciones específicas como:
- consentimiento explícito e informado del interesado para la transferencia propuesta;
- necesidad para la ejecución de un contrato o precontrato entre el interesado y el responsable
- necesidad para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable y un tercero;
- razones importantes de interés público;
- necesidad de la formulación, el ejercicio o la defensa de reclamaciones;
- necesidad de proteger los intereses vitales del interesado o de otras personas, o cuando el interesado esté incapacitado para dar su consentimiento;
- cuando la transferencia se realice desde un registro público que tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o persona con interés legítimo.
Finalmente, cuando una transferencia no pueda basarse en disposiciones de los artículos 45 o 46 del RGPD, incluidas las disposiciones sobre normas corporativas vinculantes, y no sea aplicable ninguna de las excepciones para situaciones específicas descritas, solo se podrá llevar a cabo si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evaluó todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales.
Para determinar las posibles circunstancias de prevalencia de los intereses legítimos imperiosos se recomienda que el responsable del tratamiento realice una evaluación de impacto a la protección de los datos en virtud del artículo 35. Si una evaluación de impacto mostrase que el tratamiento entraña un alto riesgo para los datos personales debería incluso realizar una consulta a la Autoridad de Control antes de proceder al tratamiento.
En todo caso el responsable del tratamiento tendrá que informar a la autoridad de control de la transferencia. Además de la información a la que hacen referencia los artículos 13 y 14 del RGPD, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos.
Áudea, Seguridad de la Información
Karol Sedkowski
Consultor Legal
www.audea.com