¿Que es una Transferencia Internacional de Datos o TID?

 

 

Las transferencias internacionales de datos son, hoy en día y en una sociedad globalizada, un elemento clave e imprescindible para la prestación de servicios.

Se produce cuando los datos personales que son tratados por un responsable o un encargado del tratamiento en el Espacio Económico Europeo (países de la Unión Europea, Islandia, Liechtenstein y Noruega) son enviados a un tercer país u organización internacional, fuera de dicho territorio.

En la actualidad, con las mejoras informáticas y todas las herramientas en la nube, es imprescindible que la regulación de la protección de datos no deje desprotegidos aquellos datos más allá de nuestras fronteras comunitarias.

Así pues, podríamos decir que la transferencia internacional de datos es uno de los elementos más importantes de la ley y, en un futuro, quizá será el mayor.

Una pequeña pero importante novedad en el RGPD es que  el exportador de los datos podrá ser tanto el responsable como encargado del tratamiento.

Con esta apreciación, se elimina la barrera que habían puesto algunos Estados Miembros en los que el exportador debía ser siempre el responsable.

 

¿Cuando se puede realizar una TID?

 

 

Solo se podrán realizar transferencias internacionales de datos si el Responsable o Encargado del tratamiento pueden asegurar que el nivel de protección de datos está garantizado mediante:

  • Transferencias internacionales de datos basadas en una decisión de adecuación (artículo 45 RGPD).
  • Transferencias mediante garantías adecuadas (artículo 46 RGPD)
  • “Binding corporate rules” (artículo 47 RGPD)

En cualquier caso, se deberá suscribir el correspondiente contrato con el receptor de datos, sea Destinatario de datos o Encargado del tratamiento, especificando en el mismo las garantías apropiadas de protección de datos en que se basa la transferencia.

 

Obligaciones en transferencias internacionales de datos

 

 

 

Registro de las actividades del tratamiento (artículo 30, apartado 1.e)

El Responsable o Encargado del tratamiento tendrán la obligación de llevar y conservar actualizado un Registro de las actividades del tratamiento cuando:

  • Emplee a un mínimo de 250 personas
  • Pueda suponer un riesgo para los derechos y libertades del interesado y no tenga un carácter ocasional
  • Se traten categorías especiales de datos
  • Se traten datos relativos a condenas y delitos penales

El Registro de actividades deberá contener, entre otra información, la identificación de las transferencias internacionales de datos a terceros países o a organizaciones internacionales con documentación de las garantías adecuadas de protección que se hayan adoptado.

 

Información y comunicación a los interesados (artículo 13, apartado 1.f)

 

 

El Responsable del tratamiento deberá informar al interesado de la intención de realizar transferencias internacionales, detallando la existencia o ausencia de una decisión de adecuación con una referencia a las garantías adecuadas y a los medios para obtener copia de ellas o al momento en que se hayan facilitado las mismas.

 

Ejercicio de los derechos de los interesados (artículo 15, apartado 2)

 

 

Cuando exista una comunicación de datos a un Destinatario ubicado fuera de la UE, el Responsable del tratamiento posibilitará y dará curso al ejercicio del derecho de acceso informando al interesado de los Destinatarios o categorías de destinatarios internacionales.

Cuando exista un encargo del tratamiento a una organización ubicada fuera de la UE, el Responsable del tratamiento posibilitará y dará curso al ejercicio del derecho de acceso informando de las garantías adecuadas de protección de datos aplicadas.

 

¿Se pueden transferir datos personales a países no seguros con la autorización del interesado?

 

 

El Responsable del tratamiento podrá realizar transferencias de datos personales a terceros países u organizaciones internacionales que no posean una decisión de suficiencia de la UE, cuando el tratamiento sea por interés del interesado y éste haya dado explícitamente su consentimiento para una finalidad específica y se le informe adecuadamente de los posibles riesgos debidos a la ausencia de una decisión de suficiencia o de garantías apropiadas.

Por tanto, el interés del interesado para realizar dichas transferencias solo será lícito si el tratamiento se realiza para:

  • La ejecución de un contrato o pre-contrato entre el interesado y el Responsable del tratamiento.
  • La ejecución de un contrato por interés del interesado, entre el Responsable del tratamiento y otra persona física o jurídica.
  • Proteger los intereses vitales del interesado u otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.

 

¿Se debe especificar la transferencia internacional en la estructura del fichero?

 

 

Cuando una transferencia se realiza  exclusivamente por interés del interesado y contempla los supuestos lícitos antes citados, no se debe comunicar en la notificación del fichero a la AEPD.

El sistema NOTA solo permite registrar las transferencias a terceros países diferenciando si tienen un nivel adecuado de protección según decisión de la U.E. o con autorización de la AEPD.

Si la transferencia se considera una comunicación de datos a un DESTINATARIO, se debería anotar en el apartado de cesiones de datos como “otras cesiones”.

Si la transferencia se considera un tratamiento por cuenta del Responsable, no se detallará en la estructura del fichero porque se trata de una prestación de servicios. Deberá añadirse al registro de Encargados de tratamiento y suscribir el correspondiente contrato de protección de datos.

 

Autorización para realizar la transferencia internacional de datos

 

 

Sólo será necesaria la autorización de la Agencia Española de Protección de Datos para realizar una transferencia internacional cuando las garantías adecuadas para realizarla se basen en:

  • Cláusulas contractuales entre el responsable o encargado y el responsable, encargado o destinatario de los datos en el país u organización internacional. Deberá someterse también al mecanismo de coherencia del art. 63 del RGPD.
  • Disposiciones que se incorporen a acuerdo administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.
Procedimiento de solicitud de autorización para realizar la transferencia internacional de datos
  1. El procedimiento se inicia a solicitud del exportador interesado en realizar la trasferencia.
  2. Se podrá requerir al solicitante que complete o modifique la documentación presentada en el plazo de 10 días LPACAP.
  3. Trámite de información pública con carácter potestativo (10 días).
  4. La Directora de la AEPD resolverá, si resuelve autorizar la transferencia se procederá a su inscripción.
  5. El plazo máximo para dictar y notificar resolución es de 3 meses desde la fecha de entrada de la solicitud en la agencia. Si no se hubiese distado y notificado resolución expresa en dicho plazo, se entenderá autorizada la transferencia internacional.
Autorizaciones anteriores a la aplicación del RGPD

Las autorizaciones otorgadas por la AEPD antes de la aplicación del RGPD siguen siendo válidas, mientras que la agencia no proceda a la derogación, sustitución o modificación de las mismas.

En cualquier caso, si se quisiera realizar una nueva transferencia internacional por entidades autorizadas previamente, se aplicarán las reglas que contempla el RGPD al respecto.