La vuelta al mundo en una transferencia internacional de datos

Síguenos en |     

«¿Acaso la Tierra ha disminuido?

– Sin duda que sí- respondió Gualterio Ralph-. Opino como míster Fogg. La Tierra ha disminuido, puesto que se recorre hoy diez veces más aprisa que hace cien años.”

La vuelta al mundo en 80 días, Capítulo III
Julio Verne

La anterior frase, del genial libro “La vuelta al mundo en 80 días” de Julio Verne, fue publicada en 1872, cuando la Tierra empezaba a quedarse “pequeña”. Hoy un turista puede dar la vuelta al mundo en una semana, la Estación Espacial Internacional tarda aproximadamente hora y media y seguramente nuestros datos personales se propagan a través de todos los servidores del globo en cuestión de minutos. Así que hoy, nuestro querido planeta tiende a diminuto.

Sin embargo, no vamos a hablar hoy de viajes de personas, sino de cómo pueden viajar nuestros datos personales entre los distintos países.

Ahora que se ha cumplido un año de la entrada en vigor del Reglamento General de Protección de Datos (en adelante RGPD), posiblemente una de las norma más importantes de lo que llevamos de siglo, nos vamos a adentrar en una parte muy concreta de ese mundo: las transferencias internacionales de datos.

En primer lugar, repasemos unos cuantos conceptos clave que nos serán de ayuda durante todo el viaje:

1.- Ámbito de aplicación RGPD

Como ya sabemos, el  famoso RGPD se aplica al tratamiento de datos personales y afecta en principio a responsables y encargados de los países miembros del Espacio Económico Europeo, independientemente de que el tratamiento de los datos tenga lugar en la Unión o no.  

Sin embargo, el Reglamento también se aplica a responsables o encargados no establecidos en la Unión cuando las actividades de tratamiento estén relacionadas con:

A) La oferta de bienes o servicios a dichos interesados en la Unión.

B) El control de su comportamiento, en la medida en que este tenga lugar en la Unión.

Sin olvidar aquellos casos en los que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

Con lo cual, el territorio sobre el que se aplicará el RGPD es bastante más amplio – y difuso – de lo que podemos pensar inicialmente.

2.- ¿Qué es una transferencia internacional de datos?

Las transferencias internacionales de datos suponen un flujo de datos personales a terceros países fuera del Espacio Económico Europeo. Es decir, allí donde no se aplica el RGPD.

3.- ¿Pueden realizarse?

Las transferencias internacionales de datos pueden realizarse. Sin embargo, hay supuestos en los que no tendremos nada de qué preocuparnos pues será como si siguiéramos dentro de la Unión, y hay otros casos en los que deberemos ir adoptando una serie de garantías y cautelas.

Así, cada uno de los supuestos tasados es más excepcional que el anterior, funcionando como una especie de “embudo”.  

Algo más o menos así:

transferencia_internacional_ de_datos_01
La transferencia internacional de datos y sus diferentes categorías

¡Y ahora que ya sabemos esto, a coger las maletas!

transferencia_internacional_ de_datos_02

Como vemos, la primera categoría serían los países del Espacio Económico Europeo (es decir, los países de la Unión Europea más Liechtenstein, Islandia y Noruega). Aquí rige el RGPD y por tanto no se requiere ninguna previsión para el intercambio o transferencia de datos dentro de dicho territorio.

Sin embargo, la delimitación no es tan fácil como podría parecer. Resulta que algunos países o territorios en principio ajenos a la Unión tienen una especial vinculación con algún Estado miembro. Son los llamados Territorios Especiales de la Unión Europea, que a su vez engloban otras categorías de territorios.

TERRITORIOS ESPECIALES DE LA UNIÓN EUROPEA

transferencia_internacional_ de_datos_03
Fuente: Elaboración própia

Cada uno de estos territorios tiene un estatus especial que en ocasiones, como veremos a continuación, tiene implicaciones en el tratamiento de datos personales y sus transferencias.

Regiones Autónomas Especiales

En primer lugar tenemos las Regiones Autónomas Especiales, las cuales tienen la consideración de territorios de la Unión Europea. De este modo, aunque en algunas materias (por ejemplo respecto a aduanas/fiscalidad) tengamos legislaciones diferentes en cuanto a protección de datos se refiere, no hay ningún caso especial ni excepción, tampoco para una transferencia internacional de datos. Las Regiones Autónomas Especiales serían:

transferencia_internacional_ de_datos_04
Regiones Autónomas Especiales, elaboración propia

Regiones Ultraperiféricas

Las regiones ultraperiféricas (RUP) forman parte de la Unión Europea ya que son parte de algún estado miembro, aunque estén muy alejadas del continente.

Aunque en ocasiones tienen legislaciones específicas en materia aduanera y fiscal, no hay implicaciones en materia de protección de datos y tampoco a la hora de una transferencia internacional de datos. Las regiones ultraperiféricas serían:

transferencia_internacional_ de_datos_05
Regiones Ultraperiféricas, elaboración propia

Sin embargo, hay que estar “atentos” a la lista de regiones ultraperiféricas porque puede ir variando. Así, el artículo 355 del Tratado de Lisboa permite al Consejo Europeo cambiar el estatuto de un determinado país o territorio de la consideración RUP a la categoría de PTU. Donde como veremos si hay implicaciones en materia de transferencias internacionales de datos.

A modo de ejemplo, Saint Barthélemy era una región ultraperiférica, pero en 2012 se convirtió en un País y Territorio de Ultramar (PTU). Y a la inversa sucedió con Mayotte en 2014 que, mediante una Decisión del Consejo pasó de ser un PTU a convertirse en una RUP.

Países y Territorios de Ultramar

Los países y territorios de ultramar son una “rara avis” legislativa a efectos de aplicación del RGPD.

Por un lado, dependen constitucionalmente de cuatro Estados miembros de la Unión Europea (UE): Dinamarca, Francia, los Países Bajos y el Reino Unido.

Ahora bien, esta dependencia constitucional no los convierte en territorio de la UE. Por tanto, no son objeto directamente de la legislación de la UE.

Pero por otro lado, sus nacionales son ciudadanos europeos y se benefician del estado de asociados que se les otorga por el Tratado de Lisboa.

Así que vamos a ir paso a paso.

En primer lugar, hay que tener más o menos en mente a qué países y territorios nos referimos cuando hablamos de Países y Territorios de Ultramar o PTU:

transferencia_internacional_ de_datos_06
Países y Territorios de Ultramar, elaboración propia

En segundo lugar, hay que advertir que como no forman parte de la UE, en principio el RGPD no les resulta aplicable de manera directa.

Sin embargo, el asunto comienza a complicarse con facilidad:

1.- El Tribunal de Justicia (Gran Sala) ha declarado en el Asunto C‑300/04 (M.G. Eman y O.B. Sevinger contra College van burgemeester en wethouders van Den Haag) que:

“Las personas que tienen la nacionalidad de un Estado miembro y que son residentes o están domiciliadas en un territorio perteneciente a los países y territorios de ultramar, en el sentido del artículo 299 CE, apartado 3, pueden invocar los derechos que se reconocen a los ciudadanos de la Unión en la segunda parte del Tratado CE.”

O lo que es lo mismo, se les reconoce la Ciudadanía de la Unión y los derechos contenidos en el TCE.

2.- La condición de asociados de estos países y territorios implica entre otras cosas que:

1) Los Estados miembros aplicarán a sus intercambios comerciales con los países y territorios el régimen que se otorguen entre sí en virtud del presente Tratado.

2) Cada país o territorio aplicará a sus intercambios comerciales con los Estados miembros y con los demás países y territorios el régimen que aplique al Estado europeo con el que mantenga relaciones especiales.

Art. 183 TCE

3.– Varios de los reseñados territorios no tienen legislación propia en materia de protección de datos personales.

4.– Alguno de ellos prevé entre sus fuentes del Derecho que en caso de ausencia de previsión legal propia sea supletorio el derecho del Estado con quien tienen vinculación.

Por tanto, si bien como países y territorios no forman parte de la Unión Europea, sus ciudadanos sí lo son y las relaciones e intercambios con ellos deberán ser iguales que las que ellos mantengan con el “Estado europeo con el que mantenga relaciones especiales.”

De ese modo, aunque no formen parte de la UE ni del EEE en algunos casos:

  • Podría ser aplicable directamente el RGPD.
  • Pueden existir “instrumentos vinculantes” que permitan una transferencia internacional de datos con las suficientes garantías.
  • El RGPD podría ser subsidiariamente aplicable en función de la legislación de un determinado territorio.

Veamos algunos ejemplos para aclararlo algo más:

1.- Transferencia internacional de datos en el caso de Francia

Posiblemente sea el más sencillo, ya que mediante su Ordonnance n° 2018-1125 du 12 décembre 2018 que desarrolla la Loi n° 2018-493 du 20 juin 2018 relativa a la protección de datos , establece una serie de disposiciones relativas a los territorios de ultramar.

Así, su “Titre V  DISPOSITIONS RELATIVES À L’OUTRE-MER” establece en síntesis que las leyes francesas en materia de protección de datos en desarrollo del RGPD son aplicables en dichos territorios.

[table id=11 /]

Con lo cual, y sabiendo que el ámbito de aplicación del RGPD se expande a aquellos territorios donde el Derecho de los Estados miembros sea de aplicación, en estos casos las transferencias internacionales de datos podrán realizarse como si de un Estado de la Unión se tratara.

Etapa del viaje
Ánimo, que ya estamos cerca de concluir la primera etapa del viaje. Una transferencia internacional de datos más y acabamos 🙂

2.- Transferencia internacional de datos en el caso de Groenlandia:

No tiene en principio mucha complejidad. Ya que a solicitud del Gobierno de Groenlandia, se estipuló que la Ley de protección de datos de Dinamarca se aplicara a Groenlandia el 1 de diciembre de 2016.

Sin embargo, existe un acuerdo transitorio que estipula que la notificación y la obtención de permisos para el procesamiento de datos personales de acuerdo con los Capítulos 12 y 13 de la Ley de Datos Personales Danesa, deberá realizarse dentro de un período de tres años a partir de la entrada en vigor de dicha Ley. Es decir, antes del 1 de diciembre de 2019.

De esta forma, actualmente hay un “instrumento vinculante” entre Dinamarca y Groenlandia que debería extenderse al resto de  Estados miembros de la UE. Con lo cual, transitoriamente, se presuponen las mismas garantías para las transferencias de datos que si éstas se produjeran dentro del territorio del EEE. Y a partir del 1 de diciembre de 2019 se entenderá que están regulados por el Derecho Danés y por tanto será de aplicación directa el RGPD.

Sirva como ejemplo la política de privacidad del Gobierno de Groenlandia, que indica que sus servidores se encuentran alojados en la UE:

[table id=10 /]

3.- Transferencia internacional de datos en el caso de los Países Bajos

Aquí el asunto ya es algo más complejo. Por un lado debemos considerar que el parlamento neerlandés aprobó en 2010 la entrada en vigor, día 10 de octubre, del proyecto de ley que modificaba la estructura del Reino.

De esta forma, pasó de estar compuesto por tres países (Países Bajos, Antillas Neerlandesas y Aruba) a cuatro países:

  • Los Países Bajos ( las Islas de Bonaire, San Eustaquio y Saba que son entes territoriales especiales de los Países Bajos )
  • Aruba
  • Curazao
  • San Martín

En cuanto a los territorios de Aruba, Curazao y San Martín, el gobierno de los Países Bajos ha propuesto que puedan optar por la condición de región ultraperiférica. Eso implicaría que podrían pasar a formar parte de la UE, y en consecuencia una transferencia internacional de datos no tendría la consideración de «internacional».

Sin embargo, por lo pronto no pertenecen a la UE. De modo que las transferencias de datos con ellos seguirán previsiones similares a las del caso de Groenlandia.

Veamos por ejemplo el caso de Aruba. Su REGLAMENTO DEL PAÍS de 19 de mayo de 2011 para la protección de la privacidad de datos personales prevé, en el apartado segundo de su artículo 23 dedicado a “aspectos internacionales”, que pese a estar prohibidas las transferencias internacionales de datos, se otorgarán excepciones para allí donde exista protección equivalente en materia de privacidad.

[table id=12 /]

En su caso, y con respecto a los Países Bajos, eso es automático. En consecuencia, y según estipula el Tratado de la Unión, esta especial relación deberá ampliarse al resto de la UE.

Las otras tres islas (Bonaire, San Eustaquio y Saba) son entes territoriales especiales de los Países Bajos. Esto implica que sólo tienen las competencias de un municipio y están sujetas a la constitución y legislación neerlandesa y por tanto, al igual que en los casos de los territorios franceses, será de aplicación el RGPD.

Así se recoge en concreto en la Ley de 16 de mayo de 2018, que contiene normas en aplicación del Reglamento (UE) 2016/679 de El Parlamento Europeo y el Consejo de 27 de abril, estipulando que:

Las transferencias de datos personales a estos tres territorios no deben tener la consideración internacionales, ni requerir decisión de adecuación, instrumentos vinculantes o la presunción de garantías suficientes.

4.- Transferencia internacional de datos en el caso de Reino Unido

Quizás sea el caso más enrevesado, ya que cada una de las dependencias de la Corona, al igual que los territorios de ultramar, están interpretando la aplicación del RGPD de manera distinta. Es decir, desde la misma premisa alcanzan soluciones distintas.

Sirva como adelanto algunas de las cuestiones comentadas en en nuestro blog en materia de transferencia internacional de datos en el caso de Brexit.

Pero veamos los diferentes casos con más detenimiento.

Por un lado, el equivalente británico a nuestra AEPD, la ICO (Information Commissioner’s Office), ha declarado en relación con las Transferencias Internacionales de Datos que quedan excluidos de la aplicación del RGPD las dependencias de la Corona, los territorios de ultramar y Gibraltar, aunque con éste último se permitirán. (Posteriormente trataremos de manera individualizada el caso de Gibraltar).

[table id=13 /]

Sobre esta base que parece bastante clara, algunos territorios han decidido desarrollar su propia legislación y solicitar una “adecuación” a la Unión Europea, otros han interpretado que el RGPD les resulta directamente aplicable, y otros no tienen ninguna legislación en materia de protección de datos y por tanto se aplica el derecho consuetudinario británico de manera subsidiaria.

Veamos algunos ejemplos:

En el caso de Bermudas han desarrollado y publicado su propia normativa en materia de protección de datos personales, la “PIPA”.

Esta PERSONAL INFORMATION PROTECTION ACT 2016 de Bermudas, que por cierto es muy muy similar al RGPD, recoge en su artículo 3 que su aplicación quedará circunscrita al territorio de Bermuda y en el art. 15 establece las condiciones para transferencias a terceros países.

Así mismo, el Dr. Excmo. E. Grant Gibbons, Ministro de Desarrollo Económico de Bermudas explicó, y así se recoge en la propia web del gobierno de Bermudas, que:

«Con la PIPA creemos que hemos logrado desarrollar una legislación de privacidad informativa pragmática y moderna, que cumple con las mejores prácticas internacionales y equilibra la protección integral con una regulación razonable, que es apropiada para Bermudas y las organizaciones locales e internacionales. Operando así, es nuestra intención presentar una solicitud a la Unión Europea para una evaluación de «Adecuación» para que podamos unirnos a la red de jurisdicciones en las que se puede confiar para proteger la información personal”.

De modo que actualmente las transferencias de datos con dicho territorio se considerarán internacionales. Y en espera de la decisión de adecuación, deberán realizarse bajo los supuestos que el RGPD prevé para estos casos y que posteriormente trataremos.

El caso de las Islas Caimán es muy similar al de Bermudas.

Han redactado su propia legislación, también similar al RGPD y llamada THE DATA PROTECTION LAW, 2017. Y claramente tienen el objetivo de lograr un estado de adecuación a los ojos de la UE para permitir el libre intercambio de datos personales entre la UE y Caimán sin necesidad de mecanismos adicionales.

Sin embargo, la entrada en vigor de esta norma, prevista para el pasado enero, ha sido pospuesta a septiembre de 2019.

De este modo, las transferencias de datos personales a este territorio tendrán la consideración de internacionales. Y deberemos esperar a que entre en vigor su normativa y haya decisión de adecuación para realizarlas normalmente. Mientras tanto, se deberán realizar sólo en las formas tasadas y excepcionales que el RGPD contempla.

El caso de Montserrat es totalmente opuesto.

Su Ministerio de Comunicaciones está alentando a las empresas en Montserrat a cumplir con el RGPD.

Desde su “especial” perspectiva han concluido que el reglamento afecta a los 28 países miembros de la UE, que incluyen el Reino Unido (por ahora). Y por lo tanto, según su interpretación, Montserrat y otros territorios británicos de ultramar ahora también tendrán que cumplir con la UE-RGPD.

Desde nuestra óptica creemos que no puede considerarse que la adopción del RGPD de manera “unilateral” implique que las transferencias de datos se vean automáticamente amparadas. Otra cuestión sería que adoptasen la legislación británica como propia y no requieran ni decisión de adecuación ni garantías.

En cuanto a las Islas Malvinas, su asamblea legislativa el 26 de Julio valoró la adopción de la legislación británica (the Data Protecction Act 2018). Sin embargo, resolvieron que no se haría de momento.

[table id=14 /]

Así se recoge al folio 19 del acta de la asamblea:

De ese modo, las transferencias de datos se considerarán internacional, igual que en los anteriores casos. Debemos considerar además que sin adoptar la legislación británica ni legislar al respecto, difícil será que haya decisión de adecuación.

Por otro lado,  el Gobierno de South Georgia y de las Islas Sandwich del Sur (GSGSSI), – que para hacer las cosas algo más difíciles está asentado en las Islas Malvinas – ha declarado que la información personal puede ser transmitida fuera de Georgia del Sur e Islas Falkland, ya que están sujetos a las leyes del Reino Unido, incluida la Ley de protección de datos inglesa de 1998 y el Reglamento general de protección de datos de la Unión Europea (UE 2016/679).

Desde nuestro punto de vista, al igual que el caso de Montserrat, poca validez tiene esa declaración. La transferencia de datos se considerará internacional al menos hasta que adopten la vigente normativa Británica o exista una decisión de adecuación.

Finalmente, las Islas Vírgenes Británicas (BVI) no han promulgado una legislación formal para regular la protección de datos.

Y aunque se espera que BVI promulgue una legislación propia en esta materia en un futuro próximo para adaptarse a los estándares reconocidos internacionalmente hoy, nada hay en tal sentido hasta ahora.

Además, tampoco se aplica la ley británica de manera supletoria, con lo cual las transferencias de datos a las Islas Vírgenes Británicas sólo deberían hacerse en casos excepcionales.

Sirva como anécdota que la empresa ExpressVPN, uno de los servicios VPN más populares y que se comercializa como una herramienta de privacidad y seguridad, está afincada allí, «un país sin ley».

TRANSFERENCIA INTERNACIONAL DE DATOS EN CASOS ESPECIALES

Estos territorios que hemos denominado “casos especiales” no son parte de la UE, pero mantienen vinculaciones muy fuertes con la misma, de modo que la aplicación del RGPD y las transferencias internacionales de datos serán frecuentes.

transferencia_internacional_ de_datos_07
Territorios Especiales de la UE, elaboración propia

Estos territorios no pertenecen a la UE ni al EEE, de modo que en principio el RGPD no sería de aplicación. Sin embargo, las especiales relaciones que mantienen con la Unión Europea hace que debamos analizar cada caso.

Para entenderlo mejor, hagamos un pequeño viaje por ellos:

En el Estado de la Ciudad del Vaticano ninguna ley específica ha sido adoptada por el Sumo Pontífice, la Comisión Pontificia u otra Autoridad legítima en relación con el derecho fundamental a la privacidad de personas físicas y jurídicas.

Sí es cierto que el Canon 220 del Código de Derecho Canónico se refiere a “la protección de una buena reputación y de la intimidad”. Pero éste no proporciona reglas específicas relacionadas con la protección de datos personales, sino que solo contiene principios generales que deben ser articulados en Reglamentos más específicos.

De esta forma, en ausencia de legislación propia en la materia la Ley Vaticana de Fuentes del Derecho (N. LXXI) prevé en su artículo tercero que serán de aplicación directa las leyes italianas.

[table id=15 /]

Por lo tanto, parece factible concluir que la Ley Italiana de Protección de Datos Personales debera ser de aplicación automática con carácter subsidiario en el Estado de la Ciudad del Vaticano. Y del mismo modo, será de aplicación el RGPD al ser aplicable donde el Derecho de los Estados miembros sea de aplicación.

De igual forma ocurre con las Tierras Antárticas Francesas. Las cuales no forman parte de la UE, pero que la  Ordonnance n° 2018-1125 du 12 décembre 2018 que desarrolla la Loi n° 2018-493 du 20 juin 2018 relativa a la protección de datos las incluye entre los territorios donde será de aplicación la Ley Francesa y por tanto el RGPD.

Así que ya sabéis, ¡sin problemas para enviar datos a la Antártida! :p

» La nieve había caído, durante la noche, con bastante abundancia; pero, mezclada con lluvia, medio derretida, no podía estorbar la marcha del tren» La vuelta al mundo en 80 días, Julio Verne

Algo similar ocurre en el caso de Gibraltar. Un territorio que no pertenece a la Unión Europea pero que por vinculación con Gran Bretaña asume parte de su legislación.

De este modo, actualmente la legislación en materia de protección de datos de Gibraltar está compuesta por:

[table id=16 /]

Un caso extraño (aunque sin mucha relevancia) es el de las Sovereign Base Areas de Acrotiri y Dhekelia. Estos territorios son dependientes de Gran Bretaña pero con autonomía legislativa.

Según hemos podido comprobar actualmente no tiene legislación propia en materia de protección de datos. Y tal y como se recoge en el listado de legislación británica aplicable a las bases soberanas , tampoco reconocen la respectiva legislación británica. Así que las transferencias de datos a estos territorios tendrán la consideración de internacionales y deberán realizarse bajo las especialidades que en las siguientes etapas del viaje trataremos.

Por otro lado, tenemos territorios que están legislando activamente a fin de obtener una decisión de adecuación:

Así, en Mónaco, tras unas jornadas informativas del Gobierno, se concluyó que era necesario adaptar su legislación para obtener una decisión de adecuación.

[table id=17 /]

De la misma forma en San Marino, cuya LEGGE PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI es prácticamente idéntica al RGPD, incluso en la numeración de los artículos.

No parece por tanto descabellado pensar que próximamente estos territorios tendrán su correspondiente “Decisión de Adecuación”.

Finalmente están aquellos países como Andorra, la Isla de Mann, las Islas del Canal y las Islas Feroe, que ya disponen de su propia decisión de adecuación.

Transferencias Internacionales de Datos

Ya hemos concluido las primeras etapas de nuestro viaje. Así que ahora que tenemos más clara la aplicación directa del RGPD, analizaremos cómo deben realizarse las transferencias de datos al resto del mundo. Es decir, aquellas que sin duda serán consideradas “internacionales”.

¡Empieza la segunda etapa del viaje! La siguiente transferencia internacional de datos está al caer 🙂

En primer lugar encontramos las denominadas:

“Transferencias Internacionales de datos basadas en una decisión de adecuación (art. 45 RGPD)”.

Estas decisiones de la Comisión permiten realizar transferencias de datos personales a terceros países, territorios o sectores específicos de los mismos. Ya que para la concesión de la Decisión se debe acreditar una legislación y nivel de protección adecuado.

A día de hoy, la Comisión ha aceptado la transferencia de datos a 13 Estados. Y como las listas son algo amargas de leer, os dejamos un mapa para que lo veáis mejor :

Debemos resaltar así mismo que entre las “decisiones de adecuación” adoptadas hasta la fecha una de ellas es un caso “especial”, el de Estados Unidos.

Decisión sobre Estados Unidos

Transferencias Internacionales de Datos
«Ocean to Ocean» (de Océano a Océano)- así dicen los americanos- y esas tres palabras debían ser la denominación general de la gran línea que atraviesa los Estados Unidos de América en su mayor anchura, La vuelta al mundo en 80 días, Julio Verne

El Tribunal de Justicia de la Unión Europea –asunto C-362/14– consideró en 2015 ilegal el acuerdo entre Europa y Estados Unidos a raíz de una filtración de Edward Snowden.

En concreto, en su nota de prensa posterior al fallo determinó que:

“El Tribunal de Justicia estima que la existencia de una Decisión de la Comisión que declara que un país tercero garantiza un nivel de protección adecuado de los datos personales transferidos, no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control en virtud de la Carta de los Derechos Fundamentales de la Unión Europea”.

A raíz de esta decisión del TJUE, la Comisión Europea y Estados Unidos llegaron a un nuevo acuerdo. Mediante el mismo se considera que aquellas organizaciones que están adscritas al “Privacy Shield” cumplen a prori la adecuación exigida.

De este modo, no todas las transferencias de datos a Estados Unidos podrán estar basadas en la Decisión de Adecuación; sino solo aquellas que tengan como destinatario alguna de las organizaciones adscritas al “Privacy Shield” o Escudo de Privacidad.

Finalmente, de cara al futuro debemos tener en cuenta que:

  • Desde 2017 se encuentra en negociación una decisión relativa a Corea del Sur, y se estudian países de América Latina o la India.
Transferencias Internacionales de Datos
¡Ya llevamos la mitad del viaje! 🙂

Por otro lado, para aquellos países que no cuentan con una Decisión de Adecuación, se podrán efectuar transferencias si se cumplen unas determinadas garantías. Son las llamadas:

Transferencias internacionales de datos mediante garantías adecuadas” (art. 46 RGPD).

En estos casos no es necesaria la autorización administrativa de la autoridad de control.

transferencia_internacional_ de_datos_08
Una transferencia internacional de datos mediante garantías adecuadas, elaboración propia.

Como vemos, las garantías requeridas pueden agruparse en cuatro grandes grupos que deberemos revisar antes de realizar la pretendida transferencia de datos.

  • Los instrumentos vinculantes

Los instrumentos internacionales pueden dividirse en dos categorías: instrumentos vinculantes, también llamados ‘hard law’, y documentos no vinculantes o ‘soft law’.

La primera categoría la componen los Tratados (que pueden presentarse en forma de Convenciones, Pactos y Acuerdos) y supone por parte de los Estados un reconocimiento de obligación legal hacia estos instrumentos.

  • Los códigos de conducta

Los códigos de conducta son una buena muestra de lo que se denomina “autorregulación”. Es decir, la capacidad de las entidades y organizaciones para regularse a sí mismas a partir de la normativa establecida y pueden servir –entre otras muchas cosas– para demostrar el cumplimiento de las obligaciones de los responsables en contextos de  transferencia de datos personales a terceros países y organizaciones internacionales.

  • Las cláusulas tipo

Es importante resaltar que actualmente siguen vigentes las cláusulas tipo siguientes:

  • Finalmente, las normas corporativas vinculantes (NCV o BCR) recogidas en el artículo 47 del RGPD

Éstas, previa aprobación de la autoridad de control, permiten a los grupos de empresas dotarse de unas normas corporativas de uso interno vinculantes. Y así dotar de garantías suficientes las transferencias de datos a responsables o encargados sitos en terceros países.

Es importante destacar que es la primera vez que en materia de protección de datos, las “Binding Corporate Rules” tienen rango legal.

Transferencias Internacionales de Datos

Si seguimos sin estar dentro de los casos anteriormente expuestos, todavía nos queda alguna opción.

Ya que podremos realizar la transferencia de datos si cumplimos alguna de las condiciones del artículo 49 del RGPD, que podemos esquematizar así:

transferencia_internacional_ de_datos_09
Una transferencia internacional de datos bajo determinadas condiciones, elaboración propia.
Transferencias Internacionales de Datos
¡Penúltima etapa!

Cuando tampoco sea aplicable ninguna de las excepciones anteriores – y entonces quizás deberíamos plantearnos si de verdad tenemos que hacer el viaje -,  solo se podrá llevar a cabo una transferencia si:

  • No es repetitiva
  • Afecta solo a un número limitado de interesados
  • Es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento
  • No prevalezcan los intereses o derechos y libertades del interesado
  • Y el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y ofrezca garantías apropiadas.
transferencia_internacional_ de_datos_10
Una transferencia internacional de datos por interés imperioso, elaboración propia.

Además, en este supuesto el responsable del tratamiento informará a la autoridad de control de la transferencia, proporcionando la información de los artículos 13 y 14 del RGPD, pero el responsable también informará al interesado de la transferencia y de los intereses imperiosos perseguidos.

Transferencias Internacionales de Datos
¡Fin de viaje!

Finalmente, existe una última excepción para cuando se realicen transferencias internacionales de datos basadas en garantías adecuadas distintas de las reglamentariamente tasadas. Así, necesitaremos una autorización expresa cuando las garantías “adecuadas” se aporten mediante:

a) Cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, que no hayan sido adoptadas por la Comisión Europea.

b) Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

*Las autorizaciones otorgadas por la Agencia Española de Protección de Datos previamente a la aplicación del RGPD seguirán siendo válidas.

Este procedimiento:

A) Tendrá una duración máxima de 6 meses.

B) Se regirá según lo previsto en la sección primera del capítulo V del título IX del RLOPD.

C) Quedará sometida a la emisión de dictamen por el Comité Europeo de Protección de Datos [64.1.e), 64.1.f) y 65.1.c)] del RGPD.

CONCLUSIONES

1.- La aplicación del Reglamento es más expansiva de lo que inicialmente puede parecer.

2.- No solo en el EEE el RGPD es de aplicación directa, lo puede dificultar conocer su concreta aplicación. Por ello quizás hubieran sido de agradecer determinadas previsiones normativas dentro del propio cuerpo legislativo.

3.- Ante una transferencia internacional de datos deberemos verificar la relación entre el territorio receptor y los Estados Miembros.

4.- Parece que lo lógico es que el número de Decisiones de Adecuación vaya creciendo con los años.

5.- Los mecanismos de autorregulación (códigos de conducta o normas corporativas) permiten solventar la falta de adecuación de algunos países. Aunque la burocracia de su inscripción hace que no haya muchos inscritos todavía.

6.- En un mundo “tan pequeño” y que cada vez presenta mayores riesgos a nivel de ciberseguridad, sin duda el RGPD era necesario.


“Tres días antes, Phileas Fogg era un criminal que la policía perseguía sin descanso, y ahora era el caballero más honrado, que estaba cumpliendo matemáticamente su excéntrico viaje alrededor del mundo.”

La vuelta al mundo en 80 días, Capitulo XXXVI, Julio Verne.

Alberto F. Bonet

FIN