¿Qué es el nivel adecuado?
El nivel adecuado de protección de datos es un concepto que ni estaba definido en la derogada Directiva 95/46/CE, ni lo está en el Reglamento (UE) 2016/679 o en la LOPDGDD. No obstante, a diferencia de la Directiva, que se limitaba a hacer referencia al nivel adecuado, el Reglamento sí indica expresamente cuáles son los factores a tener en consideración para evaluar si un tercer país tiene un nivel adecuado o no.
El nivel adecuado, en lo fundamental, es uno de los supuestos de garantías adecuadas, o suficientes, para poder llevar a cabo una transferencia internacional de datos desde la Unión Europea. Es así que, cuando un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional tiene reconocido el nivel adecuado, se podrá llevar a cabo una transferencia de datos desde la Unión Europea, sin perjuicio de los demás requisitos que tengan que cumplirse, como norma general, conforme al Reglamento (UE) 2016/679.
En caso de que se garantice un nivel adecuado, lo que requiere una decisión de adecuación de la Comisión Europea, no será ninguna autorización específica, es decir, no hará falta una autorización de la autoridad competente de protección de datos personales. Y esto sin perjuicio de que puedan darse otras garantías para la transferencia internacional de datos.
Sobre el concepto de nivel adecuado, considerando la sentencia del Tribunal de Justicia de la Unión Europea (TJUE), de 6 de octubre de 2015, en el asunto C-362/14, caso Schrems, hay que atender a que "es el ordenamiento jurídico del tercer país al que se refiere la decisión de la Comisión el que debe garantizar un nivel de protección adecuado. Aunque los medios de los que se sirva ese tercer país para garantizar ese nivel de protección pueden ser diferentes de los aplicados en la Unión para garantizar el cumplimiento de las exigencias derivadas de esa Directiva entendida a la luz de la Carta, deben ser eficaces en la práctica para garantizar una protección sustancialmente equivalente a la garantizada en la Unión" (apartado 74).
Lo que queda claro es que el nivel adecuado, exigido a un tercer país u organización internacional, en los términos previstos en el Reglamento (UE) 2016/679, significa, como ha expresado el TJUE en la sentencia ya citada, que lo que se "exige que ese tercer país garantice efectivamente, por su legislación interna o sus compromisos internacionales, un nivel de protección de las libertades y derechos fundamentales sustancialmente equivalente al garantizado en la Unión por laDirectiva 95/46, entendida a la luz de la Carta" (apartado 73).
¿Qué factores hay que considerar para evaluar el nivel adecuado?
En relación con esta cuestión, la sentencia del TJUE ya citada indica que "al valorar el nivel de protección ofrecido por un tercer país la Comisión está obligada a apreciar el contenido de las reglas aplicables en ese país, derivadas de la legislación interna o de los compromisos internacionales de éste, así como la práctica seguida para asegurar el cumplimiento de esas reglas, debiendo atender esa institución a todas las circunstancias relacionadas con una transferencia de datos personales a un tercer país" (apartado 75).
Es decir, lo fundamental es que no se requiere el mismo (idéntico) nivel adecuado de protección de datos, sino un nivel "equivalente", en los términos que explica la sentencia del TJUE, ya citada, y que se encuentran también en el considerando 105 del Reglamento (UE) 2016/679, que indica "Aparte de los compromisos internacionales adquiridos por el tercer país u organización internacional, la Comisión debe tener en cuenta las obligaciones resultantes de la participación del tercer país u organización internacional en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales, y el cumplimiento de esas obligaciones. En particular, debe tenerse en cuenta la adhesión del país al Convenio del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y su Protocolo adicional. La Comisión debe consultar al Comité al evaluar el nivel de protección existente en terceros países u organizaciones internacionales.".
En este sentido, es relevante considerar que el Comité Europeo de Protección de Datos, ya que hizo como suyos los documentos publicados por el Grupo de Trabajo del Artículo 29, publicó el Documento de trabajo sobre la adecuación referencial (Working document on Adequacy Refeferential), WP 254 rev.01, adoptado el 6 de febrero de 2018, ha indicado que lo que se requiere es un contenido básico y mecanismos procedimentales y de cumplimiento, tales como una autoridad independiente de protección de datos, en materia de protección de datos. Además, es necesario que el tercer país u organización internacional proporcione garantías esenciales por lo que se refiere a la posibilidad de acceso a los datos personales por las autoridades de cumplimiento y de seguridad nacional, ya que es necesario que se garantice que no se produce una vulneración del derecho fundamental a la protección de datos.
Y sobre esto, además de la ya citada sentencia del Tribunal de Justicia de la Unión Europea, de 6 de octubre de 2015, en el asunto C-362/14, caso Schrems, el TJUE dicta una nueva sentencia Schrems II, de 16 de julio de 2020 (asunto C-311/18), en la que invalida la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU (Privacy Shield) mientras que declara que la Decisión 2010/87 de la Comisión, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, es válida (siempre que otorgue un nivel equivalente de protección de datos al RGPD).
La Decisión sobre el Escudo de Privacidad servía como fundamento jurídico para las relaciones de transferencia de datos entre Europa y Estados Unidos. A este respecto, el Tribunal de Justicia señala que la referida Decisión reconoce, al igual que sucedía con la Decisión de puerto seguro (Safe Harbour), la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, posibilitando de este modo injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país. Sin embargo, el Tribunal de Justicia subraya que ese tipo de tratamiento por parte de las autoridades de un país tercero no puede significar que la referida transferencia quede fuera del ámbito de aplicación del RGPD, puesto que la equivalencia en el respeto del derecho es el elemento fundamental para la existencia de esta regulación, que permite la transferencia de datos si el nivel de protección es similar al que hay en Europa.
¿Quién decide sobre el nivel adecuado?
Es la Comisión Europea la que decide sobre el nivel adecuado de un "tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado" (apartado 1 del artículo 45 del Reglamento (UE) 2016/679). Y lo hace a través de una decisión de adecuación, que desde el punto de vista del ordenamiento jurídico europeo, es una decisión unilateral de ejecución por la que se constata dicho nivel de adecuación.
En concreto, la Comisión Europea, conforme a lo indicado en el apartado 2 del artículo 45 del Reglamento (UE) 2016/679, considerará los siguientes elementos concretos al evaluar si el tercer país u organización internacional proporciona un nivel adecuado:
"a) el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos;
b) la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los Estados miembros, y
c) los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales."
Por último, la Comisión Europea, en virtud de lo previsto en el apartado 4 del artículo 45 del Reglamento (UE) 2016/679, tendrá que supervisar cualesquiera "acontecimientos en países terceros y organizaciones internacionales que puedan afectar a la efectiva aplicación de las decisiones adoptadas", con la finalidad de asegurarse que pueden mantenerse en los términos en que fueron adoptadas o, si por el contrario, es necesario modificarlas.
¿Qué países tienen un nivel adecuado?
A lo largo de los años la Comisión Europea ha emitido diversas decisiones de adecuación relativas a terceros países. La lista actual de terceros países con nivel adecuado, en orden alfabético, es la siguiente:
- • Andorra: Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la adecuada protección de los datos personales en Andorra.
- • Argentina: Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección de los datos personales en Argentina.
- • Guernsey: Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003, relativa al carácter adecuado de la protección de los datos personales en Guernsey.
- • Isla de Man: Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004, relativa al carácter adecuado de la protección de los datos personales en la Isla de Man.
- • Islas Feroe: Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada dada en la Ley de las Islas Feroe sobre el tratamiento de datos personales.
- • Israel: Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por el Estado de Israel en lo que respecta al tratamiento automatizado de los datos personales.
- • Jersey: Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales en Jersey.
- • Nueva Zelanda: Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por Nueva Zelanda.
- • Suiza: Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa al nivel de protección adecuado de los datos personales en Suiza.
- • Uruguay: Decisión de Ejecución 2012/484/UE de la Comisión, de 21 de agosto de 2012, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por la República Oriental del Uruguay en lo que respecta al tratamiento automatizado de datos personales.
Estas decisiones fueron modificadas por la Decisión de Ejecución (UE) 2016/2295 de la Comisión, de 16 de diciembre de 2016, por la que se modifican las Decisiones 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE, 2011/61/UE, y las Decisiones de Ejecución 2012/484/UE y 2013/65/UE, relativas a la protección adecuada de los datos personales por determinados países, en aplicación del artículo 25, apartado 6, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo. Con esta decisión se llevó a cabo la revisión de las citadas con la finalidad de garantizar el derecho fundamental a la protección de datos personales.
Además, dada sus especialidades, ya que se trata de adecuaciones parciales bien sea por el ámbito de aplicación de la ley correspondiente o por el mecanismo de que se trata, es necesario atender también a:
Recuerde que...
- • El nivel de protección de datos en un tercer país u organización internacional, se refiere a una protección equivalente a la que proporciona la UE del derecho a la protección de datos.
- • El reconocimiento del nivel adecuado a un tercer país u organización internacional corresponde a la Comisión Europea, que lo hará a través de una decisión de adecuación.
- • En lo fundamental, se requiere que un tercer país u organización internacional cumpla con principios y garantías esenciales en materia de protección de datos y tenga una autoridad independiente de protección de datos.