¿Cuál es la norma general en materia de transferencias internacionales?
Una transferencia internacional de datos fuera del Espacio Económico Europeo (EEE), es decir, los países de la Unión Europea e Islandia, Liechtenstein y Noruega, solo puede llevarse a cabo cuando el tercer país u organización internacional tiene un nivel adecuado o se dan otras garantías adecuadas en materia de protección de datos personales.
Se trata de que cuando los datos personales salen fuera del territorio europeo y del EEE, donde se aplica la normativa sobre protección de datos personales a los responsables o encargados del tratamiento que realizan la transferencia, se sigan dando garantías adecuadas para garantizar el derecho fundamental a la protección de datos personales de las personas físicas cuyos datos personales son objeto de tratamiento.
Estas garantías tienen que darse incluso cuando los datos personales fueran a ser transferidos ulteriormente, desde un tercer país u organización internacional a otro tercer país u organización internacional. Por ejemplo, esta situación se podría dar cuando los datos personales se transfieren a un prestador de servicios de nube que está establecido en Estados Unidos y a su vez una persona que proporciona asistencia técnica a dicho prestador de servicios de nube accede a los datos personales desde la India.
En cualquier caso, para poder llevar a cabo una transferencia internacional de datos es necesario que, por una parte, se cumpla con las exigencias de la normativa sobre protección de datos personales, como en el caso de cualquier otro tratamiento de datos personales, y, por otra parte, que dicha transferencia internacional se haga cuando se den garantías adecuadas.
¿Qué partes intervienen y cuáles son las finalidades de una transferencia internacional de datos?
En toda transferencia internacional de datos las partes pueden ser responsables y/o encargados del tratamiento. Una de ellas estará establecida en el ámbito de la Unión Europea o en el territorio del Espacio Económico Europeo y la otra estará en un tercer país o será una organización internacional.
Las transferencias internacionales de datos pueden consistir tanto en una comunicación de datos personales entre dos responsables del tratamiento, de manera que cada uno de ellos decide sobre el tratamiento de los datos personales, o en el acceso a los datos personales por un encargado del tratamiento para prestar un servicio que implique o consista en el tratamiento de datos personales.
Es así que una transferencia internacional de datos puede llevarse a cabo entre: a) dos responsables del tratamiento, uno establecido en el EEE y otro establecido en un tercer país o ser una organización internacional, b) un responsable y un encargado del tratamiento, estando establecido el responsable del tratamiento en el territorio del EEE y el encargado del tratamiento fuera del mismo, o c) dos encargados del tratamiento, al igual que en los casos anteriores, uno en el territorio del EEE y otro fuera del mismo.
Por tanto, al igual que en cualquier otro tratamiento de datos personales, aunque no implique una transferencia internacional de datos, esta última puede consistir en una comunicación de datos entre dos responsables del tratamiento o en el acceso a los datos personales por un encargado del tratamiento para prestar un servicio al responsable del tratamiento.
¿Cuál es el nivel adecuado de protección de datos?
El nivel adecuado en materia de protección de datos implica que un tercer país o una organización internacional tengan que proporcionar un nivel equivalente o similar, lo que no significa que sea un nivel idéntico, al de la Unión Europea en materia de protección de datos personales.
Lo que se exige es que el tercer país u organización internacional garantice efectivamente, por su legislación interna o sus compromisos internacionales, un nivel de protección de las libertades y derechos fundamentales sustancialmente equivalente al garantizado en la Unión Europea (Tribunal de Justicia de la Unión Europea, Sala Gran Sala, Sentencia de 6 Oct. 2015, C-362/2014 y STJUE de 16 de julio de 2020, en el caso Schrems II (asunto C-311/18)).
La evaluación de la adecuación del nivel de protección de datos corresponde a la Comisión Europea que, a través de una decisión, que es un acto de ejecución, constatará que un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan un nivel de protección adecuado.
El nivel adecuado ha sido otorgado en los casos de Andorra (Decisión 2010/625/UE de la Comisión, de 19 de octubre), Argentina (Decisión 2003/490/CE de la Comisión, de 30 de junio), Canadá (Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001), Guernsey (Decisión 2003/821/CE de la Comisión, de 21 de noviembre), Isla de Man (Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004), Islas Feroe (Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010), Israel (Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011), Jersey (Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008), Nueva Zelanda (Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012), Suiza (Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000), y Uruguay (Decisión de Ejecución 2012/484/UE de la Comisión, de 21 de agosto de 2012).
Además, la Comisión Europea ha adoptado también otras decisiones relativas a tratamientos de datos personales por autoridades competentes de terceros países en los casos de registros de nombres de pasajeros (Passenger Name Record, PNR) y de un programa de seguimiento de la financiación del terrorismo (Terrorist Financing Tracking Programme, TFTP).
¿Cuáles son las garantías adecuadas?
A efectos de poder llevar a cabo una transferencia internacional de datos, los artículos 45 y 46 del Reglamento (UE) 2016/679 (en adelante, RGPD) prevén como garantías adecuadas las siguientes:
- • Una decisión de adecuación de la Comisión Europea en virtud de la que se haya decidido que un tercer país, un territorio o uno o varios sectores específicos del tercer país, o una organización internacional garantizan un nivel de protección adecuado;
- • Un instrumento jurídicamente vinculante y exigible, por ejemplo, un convenio vinculante, cuando la transferencia internacional se produce entre autoridades u organismos públicos, es decir, Administraciones Públicas;
- • Las normas corporativas vinculantes, aprobadas por la autoridad de protección de datos competente;
- • Las cláusulas contractuales tipo de protección de datos adoptadas por la Comisión Europea o por la autoridad de protección de datos que sea competente;
- • Un código de conducta aprobado en virtud del RGPD, acompañado por compromisos vinculantes y exigibles al responsable o encargado del tratamiento en el tercer país de aplicar garantías adecuadas en materia de protección de datos, en particular las relativas al ejercicio de los derechos de los interesados cuyos datos personales se tratan, o
- • Una certificación aprobada en virtud del RGPD, acompañado por compromisos vinculantes y exigibles al responsable o encargado del tratamiento en el tercer país de aplicar garantías adecuadas en materia de protección de datos, en particular las relativas al ejercicio de los derechos de los interesados cuyos datos personales se tratan.
En estos casos no se requiere una autorización de la autoridad de protección de datos personales para poder realizar la transferencia internacional de datos.
¿Se necesita autorización de la autoridad de protección de datos?
Cuando no se dé alguna de las garantías adecuadas ya indicadas se requiere obtener una autorización de la autoridad de protección de datos personales para poder llevar a cabo la transferencia internacional de datos.
Las garantías adecuadas, siempre que exista una autorización de la autoridad de protección de datos, podrán darse también a través de cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional (art. 46.3.a del RGPD), o disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados (art. 46.3.b del RGPD).
Al respecto, la LOPDGDD indica que la autoridad de control competente tendrá que otorgar una autorización previa cuando la transferencia internacional sea base en cláusulas contractuales que no correspondan a las cláusulas tipo previstas en el RGPD o cuando se lleve a cabo por alguno de las entidades enumeradas el artículo 77.1 LOPDGDD y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.
En estos dos casos, la autoridad de protección de datos tendrá que aplicar el mecanismo de coherencia que implica la cooperación entre las autoridades de protección de datos con la finalidad para la aplicación del RGPD en la Unión Europea. Y el procedimiento tendrá una duración máxima de seis meses, si bien la remisión del expediente al Comité Europeo de Protección de Datos conllevará la suspensión del plazo indicado hasta que no se notifique de nuevo a la Agencia Española de Protección de datos o a la autoridad autonómica competente a través de aquélla.
¿Existen excepciones para situaciones específicas?
Cuando no exista una decisión de nivel adecuado o concurra alguna otra garantía adecuada, en los términos ya mencionados, se podrá recurrir a alguna de las siguientes excepciones (art. 49.1 del RGPD):
- a) El consentimiento explícito del interesado, siempre que se le informe de los posibles riesgos que tendría para él la transferencia internacional debido a la ausencia de una decisión de adecuación o de otras garantías adecuadas;
- b) La transferencia internacional de datos es necesaria:
- a. para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;
- b. para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;
- c. por razones importantes de interés público;
- d. para la formulación, el ejercicio o la defensa de reclamaciones, o
- e. para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento,
- c) La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.
Sin perjuicio de estas excepciones, si una transferencia internacional de datos no puede basarse en garantías adecuadas o en alguna de estas excepciones para situaciones específicas solo podrá llevarse a cabo si se cumplen los siguientes requisitos: a) no es repetitiva, b) afecta únicamente a un número limitado de interesado, c) es necesaria para fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, d) el responsable del tratamiento ha evaluado todas las circunstancias concurrentes en la transferencia y ofrece garantías apropiadas en materia de protección de datos y, e) ha informado previamente a la autoridad de protección de datos, es decir, antes de llevar a cabo dicha transferencia internacional de datos. En este caso, antes de realizar la transferencia internacional, será necesario informar a la autoridad de protección de datos competente, así como a los afectados, incluyendo en este último caso también la información relativa a los intereses legítimos imperiosos perseguidos.
¿Qué infracciones se pueden cometer en materia de transferencias internacionales?
Llevar a cabo una transferencia internacional de datos sin cumplir con los requisitos aplicables en virtud del art. 83.5.c RGPD, implicaría una infracción que, en el caso de una empresa, podría ser sancionada con una multa administrativa (económica) para el responsable o encargado del tratamiento del sector privado de veinte millones de euros (20.000.000 €) o una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
En el caso de las Administraciones Públicas, en España, este incumplimiento podría dar lugar a una resolución de la autoridad de protección de datos que declare la infracción, salvo por lo que se refiere a los tribunales en el ejercicio de su función judicial.
Recuerde que…
- • Una transferencia internacional de datos consiste en que los datos personales son enviados a un tercer país, fuera del EEE, o a una organización internacional.
- • Toda transferencia internacional de datos requiere que se den garantías adecuadas, cuyo objeto es garantizar el derecho fundamental a la protección de datos personales.
- • Asimismo, puede que la transferencia se base en alguna de las excepciones basadas en garantías para situaciones específicas.
- • La Comisión Europea evaluará el nivel adecuado de protección del país u organización internacional y lo declarará a través de una decisión de adecuación.