¿Porqué se realizan las T.I.D.?
Las transferencias internacionales de datos suelen hacerse,principalmente, por dos motivos:
- El intercambio de datos de carácter personal, entre sociedades del mismo grupo, para gestionar la relación comercial con los clientes a la sociedad matriz, que puede situarse fuera de la Unión Europea.
- El acceso por parte de la matriz y/ o envío desde las filiales a la misma sociedad de reports para la gestión integral del área de Recursos Humanos.
Es decir, que el acceso remoto por parte de una sociedad establecida fuera de la UE, a datos de carácter personal de trabajadores o clientes de la UE, está considerado como transferencia internacional de datos.
Este escenario debe situarse en el contexto normativo actual donde la UE ha adoptado el RGPD con el objetivo de armonizar la legislación de los estados miembros y de ofrecer garantías comunes a los ciudadanos.
En este sentido, si bien es cierto que los flujos transfronterizos de datos personales son necesarios para la expansión del comercio y la cooperación internacional, la voluntad de la UE es la de no menoscabar el nivel de protección de las personas físicas, ofreciendo en la Unión las mismas garantías cuando los datos son transferidos fuera de esta.
¿Cuando se realizan las T.I.D.?
Como decíamos en nuestro anterior post, El RGPD establece un régimen basado en:
- Transferencias internacionales de datos basadas en una decisión de adecuación (artículo 45 RGPD).
- Transferencias mediante garantías adecuadas (artículo 46 RGPD)
- “Binding corporate rules” (artículo 47 RGPD)
Vamos a ver cada una de ellas:
Transferencias internacionales basadas en una decisión de adecuación
Una decisión de adecuación es una resolución adoptada por la Comisión que garantiza que la transferencia internacional de datos posee un nivel de protección suficiente.
La Comisión podrá derogar, modificar o suspender cualquier decisión de adecuación sin efecto retroactivo.
Es decir, podrán realizarse transferencias internacionales sin requerir ninguna autorización específica cuando la Comisión de la UE haya tomado una decisión de adecuación en relación con el tercer país o un territorio o un sector especificado del mismo, o con una organización internacional.
La Comisión de la UE también puede formalizar acuerdos de adecuación específicos y vinculantes entre la UE y otros terceros países que ofrezcan garantías adecuadas de protección de datos y del ejercicio de los derechos de los interesados.
El Escudo de Privacidad (Privacy Shield) entre la UE y EEUU, aprobado por la Comisión el 12 de julio de 2016, es un ejemplo.
Países con nivel adecuado de Protección de Datos
El RGPD contempla, en primer lugar, la posibilidad de que se pueda realizar una transferencia internacional de datos cuando la comisión haya decidido que el tercer país, territorio, sectores del país u organización internacional garanticen un nivel adecuado de protección.
En este caso, no se requerirá autorización previa para realizar dicha transferencia.
A día de hoy, la Comisión ha aceptado la transferencia de datos a los siguientes Estados:
| PAÍS | AUTORIZACIÓN |
| Andorra | Decisión 2010/625/UE de la Comisión, de 19 de octubre 2010. |
| Argentina | Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003. |
| Canadá | Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001. |
| Estados Unidos | Solo si la entidad está adherida a “Privacy Shield”. |
| Guernesey | Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003. |
| Isla de Man | Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004. |
| Islas Feroe | Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010. |
| Israel | Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011. |
| Jersey | Decisión 2008/393/CE de la Comisión, de 8 de mayo de 2008. |
| Nueva Zelanda | Decisión 2013/65/UE de la Comisión, de 21 de agosto de 2012. |
| Suiza | Decisión 2000/518/CE de la Comisión, de 26 de julio de 2010. |
| Uruguay | Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012. |
Por otro lado, no hay duda que las decisiones adoptadas con anterioridad a la entrada en vigor del RGPD –la mayoría- son válidas, en virtud del artículo 45.9 RGPD.
Si la transferencia internacional de datos es consecuencia de una prestación de servicios con destino a uno de estos países el encargado del tratamiento debe suscribir un contrato de prestación de servicios por tercero conforme a lo dispuesto en el art. 28 del RGPD.
En este punto hay que citar quizá la resolución judicial más importante que ha adoptado, en materia de protección de datos de carácter personal, el Tribunal de Justicia de la Unión Europea (asunto C-362/14).
Este tribunal consideró ilegal el acuerdo entre Europa y Estados Unidos a raíz de una filtración de Edward Snowden. En concreto, en su nota de prensa posterior al fallo determinó que: “ El Tribunal de Justicia estima que la existencia de una Decisión de la Comisión que declara que un país tercero garantiza un nivel de protección adecuado de los datos personales transferidos, no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control en virtud de la Carta de los Derechos Fundamentales de la Unión Europea”.
A raíz de esta decisión –quizá inesperada- del Tribunal de Justicia de la Unión Europea, la Comisión Europea y los Estados Unidos llegaron a un acuerdo, 8 meses después, en el que se considera que aquellas organizaciones que están adscritas al “Privacy Shield”, cumplen a prori la adecuación exigida.
Transferencias internacionales mediante garantías adecuadas
En ausencia de una decisión de adecuación, solo se podrán realizar transferencias internacionales a terceros países que ofrezcan garantías adecuadas de protección de datos y que dispongan de recursos legales para ejercer los derechos de los interesados.
En estas ocasiones tampoco es necesaria la autorización administrativa de la autoridad de control (en España, la Agencia Española de Protección de Datos).
Dichas garantías deberán ser demostradas mediante:
- Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
- Normas corporativas vinculantes.
- Cláusulas tipo de protección de datos adoptadas por la Comisión.
- Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
- Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas laS relativas a los derechos de los interesados,
- Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.
“Binding corporate rules” o normas corporativas vinculantes
Las normas corporativas vinculantes (Binding Corporate Rules) son la herramienta elegida por la mayoría de empresas con flujos de datos internacionales habituales, dado que establecen los parámetros para la transferencia internacional de datos de forma única para todas las empresas de la compañía en todas las transferencias de datos de carácter personal.
De esta forma, es la empresa es quien, siguiendo los requisitos exigidos por la normativa vigente, elabora estas normas y las presenta a la Autoridad de Control en materia de Protección de Datos para su aprobación.
Las normas corporativas vinculantes no son fruto del nuevo RGPD, sin embargo, su contenido ha devenido más claro y exigente.
En este sentido, el artículo 47 RGPD establece que la autoridad de control aprobará normas corporativas de carácter vinculante a las que se podrán unir los grupos de empresas, permitiendo salvaguardar la transferencia de datos.
Los elementos imprescindibles de las futuras normas corporativas vinculantes tendrán tres requisitos esenciales.
- ser cumplidas por todos los miembros del grupo empresarial o unión de empresas
- conferir a los interesados derechos exigibles
- cumplir las formalidades tasadas en el artículo 47.2 RGPD.
Excepciones para situaciones específicas
El RGPD prevé una serie de supuestos donde se podrán realizar las transferencias internacionales de datos sin que se den los supuestos anteriores tales como:
-El interesado ha dado su consentimiento explícitamente
Debe haber sido informado fehacientemente de los riesgos debidos a la ausencia de garantías adecuadas de protección de datos.
Algunos ejemplos de transferencias internacionales de datos por interés del interesado pueden ser los servicios en la nube (Internet), los seguros de viaje, los tratamientos médicos en países fuera de la UE, etc.
-Es necesaria para la ejecución de un contrato o pre-contrato entre el Responsable y el interesado.
-Es necesaria para la ejecución de un contrato por interés del interesado, entre el Responsable y otra persona física o jurídica.
-Es necesaria para proteger los intereses vitales del interesado u otras personas, cuando esté física o jurídicamente incapacitado para dar su consentimiento.
-La transferencia es necesaria por razones importantes de interés público.
- Sea necesaria para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.
- Se realice desde un registro público legal que tenga por objeto facilitar información al público en general o a cualquier persona que pueda acreditar un interés legítimo y no implique la consulta de la totalidad de los datos personales o de las categorías de datos.
- La transferencia es necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
-Por interés legítimo e imperioso del Responsable o Encargado del tratamiento
Las transferencias internacionales podrán ser lícitas por un interés legítimo e imperioso del Responsable o Encargado del tratamiento, siempre y cuando se cumplan todas las siguientes condiciones:
- La transferencia no sea repetitiva y afecte un número limitado de interesados.
- El interés legítimo del Responsable no quede anulado por los intereses o derechos y libertades del interesado.
- Se realice una evaluación de impacto y se hayan puesto en práctica las garantías adecuadas de protección.
- El responsable del tratamiento deberá de informar a la Autoridad de control de la transferencia efectuada, además informará de la transferencia al interesado y de los fines imperiosos perseguidos.
Como vemos, el RGPD es el resultado de un avance legislativo de la antigua legislación comunitaria, adentrándose en un mundo completamente global y digitalizado.
Las transferencias internacionales de datos son la pieza clave que pivotan el giro de paradigma de este Reglamento: por un lado, buscan la protección del individuo y, por otro, el correcto tráfico mercantil de una sociedad y economía del siglo XXI.
Finalmente, si bien es cierto que dentro del mercado español ha habido un alto porcentaje de cumplimiento y preocupación en relación con las obligaciones contenidas en la nueva normativa, la realidad es que muchas empresas aún desconocen la necesidad de regulación de estos aspectos que conforman una más de las obligaciones exigibles por la normativa europea.
Ejemplo práctico
Cuando contratamos un seguro internacional de viaje, la aseguradora podrá ceder nuestros datos personales a las empresas que nos den la cobertura en el país de destino?
Al contratar un seguro facilitamos nuestros datos a la aseguradora.
Por lo tanto, ésta será la empresa Responsable del tratamiento de nuestros datos.
Las empresas re aseguradoras o que ofrezcan la cobertura de los siniestros asegurados deberán tener un contrato como Encargadas del tratamiento con la aseguradora que nos ofrece el servicio.
Hasta aquí todo correcto, porque la ley permite este trámite en países donde la Comisión de la UE establece que existen garantías apropiadas de protección de datos, con la única condición de informar al interesado (persona que contrata el seguro) de la finalidad del tratamiento y de la cesión de datos a otros destinatarios ubicados en estos países para dar cobertura a los siniestros asegurados.
¿Qué pasa cuando los países de destino están ausentes de una decisión de adecuación de la Comisión de la EU?
En este caso, sólo se podrán hacer transferencias internacionales de datos cuando:
- este tratamiento se refleje en un documento jurídicamente vinculante
- documento firmado por ambas partes
- documento donde el interesado dé su consentimiento a la transferencia de sus datos a estos países
- documento donde se informe al interesado claramente de los riesgos debidos a la ausencia de una decisión de adecuación de la UE o de garantías adecuadas de protección ofrecidas por los destinatarios de los datos.
