Transferencias internacionales de datos: normas y requisitos

Autor: Dudatis.com

Transferencias internacionales de datos: normas y requisitos

Tras la entrada en vigor del RGPD en 2018, las transferencias internacionales de datos personales están reguladas bajo una serie de normas y requisitos de obligado cumplimiento para empresas, autónomos y otras entidades privadas y públicas. En esta entrada vamos a explicar cómo deben realizarse estas transferencias internacionales de datos de acuerdo a la ley.

¿Qué son las transferencias internacionales de datos?

Las transferencias internacionales de datos personales son aquellos tratamientos de datos personales que implican la transmisión de los mismos a un país u organización internacional no perteneciente al Espacio Económico Europeo (EEE), es decir, países fuera de la UE, Liechtenstein, Islandia y Noruega.

Hay que señalar que el RGPD y la LOPDGDD distinguen entre la transferencia internacional de datos personales y las transferencia transfronteriza de datos personales; esta segunda es la que se produce entre organizaciones dentro de los Estados miembros del EEE.

¿Quiénes participan?

En una transferencia internacional de datos participan dos sujetos, los exportadores y los importadores de los datos personales.

Los exportadores pueden ser una persona física o jurídica, pública o privada o un órgano administrativo de un país situado en el EEE que realiza una transferencia de datos de carácter personal a un tercer país fuera del EEE.

Normalmente, el responsable y el encargado del tratamiento serán los exportadores de los datos.

Los importadores a su vez pueden ser una persona física o jurídica, pública o privada o un órgano administrativo del tercer país que recibe los datos personales enviados por el exportador.

Pueden ser importadores el responsable del tratamiento, el encargado del tratamiento o un tercero.

¿Por qué se realizan?

Hay diferentes razones para que una organización necesite realizar una transferencia internacional de datos, entre ellas podemos encontrar las siguientes:

  • Comunicar los datos personales a un tercero.
  • Que la sociedad matriz de un mismo grupo empresarial se encuentra fuera del EEE y sea necesario transferir dados de carácter personal para las relaciones comerciales o para la gestión de Recursos Humanos.
  • El acceso remoto a datos de trabajadores y clientes por una empresa fuera del EEE.
  • El guardado de copias de seguridad de datos de carácter personal o archivos que los tengan en servicios de almacenamiento en la nube en plataformas como Google Drive o Dropbox.

Las transferencias internacionales en el RGPD

De acuerdo al artículo 44 del RGPD, para poder realizar transferencias internacionales de datos personales el responsable y el encargado del tratamiento tienen la obligación de cumplir con las condiciones recogidas en el capítulo V de este Reglamento. De manera que se podrá llevar a cabo la transferencia cuando:

  • Sean transferencias basadas en una decisión de adecuación (art. 45): El tercer país está aceptado como destinatario adecuado en lo que respecta a garantías ofrecidas en materia de protección de datos por una Decisión de la Comisión Europea.
  • Sean transferencias mediante garantías adecuadas (art. 46): Cuando se empleen cláusulas tipo elaboradas por la Comisión Europea, código de conducta o elaboración de códigos tipo. Y cuando, en caso de mediar la autorización de la autoridad de control competente, se utilicen cláusulas contractuales entre el representante y el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país.
  • Se adopten las normas corporativas vinculantes (BCR por sus siglas en inglés) (art. 47): Se trata de los parámetros establecidos por el grupo de empresas para la transmisión de datos personales entre compañías del mismo grupo. Estas normas deben presentarse ante la autoridad de control competente para su aprobación.

Otras leyes aplicables a las transferencias internacionales

Aparte del RGPD, hay otras leyes en materia de protección de datos que deben tenerse en cuenta en las transferencias internacionales de datos personales. Concretamente, en España la normativa aplicable es la siguiente:

  • LOPDGDD (Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales).
  • LPACAP (Ley del Procedimiento Administrativo Común de las Administraciones Públicas).
  • BCR (Binding Corporate Rules).
  • EU-US Privacy Shield.

Los intercambios transnacionales de datos según el grado de seguridad otorgado por la UE

Como hemos comentado un poco más arriba, la Comisión Europea establece qué países son adecuados para ser receptores de transferencias de datos personales según su nivel de protección.

Países seguros

La Comisión Europa considera países o territorios seguros o con una adecuada protección de datos los siguientes países:

  • Suiza
  • Canadá
  • Argentina
  • Guernsey
  • Isla de Man
  • Jersey
  • Islas Feroe
  • Andorra
  • Israel
  • Uruguay
  • Nueva Zelanda
  • EE. UU. (solo para las entidades certificadas en el Privacy Shield)
  • Japón

Países con medidas de seguridad razonables

Fuera de la lista anterior, es decir, a falta de adecuación por la Comisión Europea, se entiende que los países cuentan con medidas de seguridad razonables cuando se cuenta con las siguientes garantías:

  • Existe un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
  • Normas corporativas vinculantes.
  • Cláusulas tipo de protección de datos adoptadas por la Comisión.
  • Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
  • Códigos de conducta, junto a compromisos vinculantes y exigibles del responsable o encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.
  • Mecanismos de certificación, junto a compromisos vinculantes y exigibles del responsable o encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

Países no seguros

Finalmente, no se considerarán países seguros en materia de protección de datos aquellos donde no existan las garantías citadas en el punto anterior. En estos casos, solo podrán llevar a cabo transferencias internacionales de datos cuando se cumpla alguna de las excepciones recogidas por el RGPD.

¿Qué son las Normas Corporativas Vinculantes o BCR?

Las Normas Corporativas Vinculantes o Binding Corporate Rules son políticas que debe asumir el responsable o encargado del tratamiento en una empresa a la hora de transferir datos personales a terceros países.

Estas prácticas se deben establecer en base a la normativa vigente y a las directrices marcadas por las autoridades de control, en el caso de España la Agencia Española de Protección de Datos (AEPD).

Las Normas Corporativas Vinculantes se suelen establecer de forma conjunta dentro de un mismo grupo empresarial, o acordarse entre las empresas que se dedican a una misma actividad empresarial.

Contenido de las normas BCR

Las normas corporativas vinculantes se han de articular en base a los siguientes contenidos:

  • Organización y datos de contacto de la empresa/grupo empresarial y de todos sus miembros.
  • Registro de datos y categoría.
  • Tipo de tratamiento realizado.
  • Finalidad del tratamiento.
  • Países destinatarios de los datos.
  • Tiempo de conservación de los datos.
  • Medios y procesos empleados para garantizar la protección de los datos.
  • Ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición.
  • Deberes de los responsables y encargados del tratamiento.
  • Deberes y funciones de los Delegados de Protección de Datos.
  • Vías y procedimientos para efectuar reclamaciones.
  • Mecanismos para comunicar a la AEPD los cambios en las directrices.
  • Líneas de actuación dispuestas para favorecer la cooperación y garantía de cumplimiento de las normas por los miembros de la empresa o grupo empresarial.

¿Cuándo deben ser aprobadas por la AEPD?

La agencia Española de Protección de Datos ha de proceder a la aprobación de las Normas BCR en los siguientes casos:

  • Cuando vinculen jurídicamente a empleados, directivos y todos los miembros de la empresa o grupo empresarial.
  • Si otorgan derechos exigibles acerca del tratamiento de datos personales.

Ejemplos de transferencias internacionales de datos

Por ejemplo, cuando usamos redes sociales con parte de sus servidores en EE.UU., como Twitter o Facebook hay transferencia internacional de datos personales, en estos casos, garantizadas por el Privacy Shield, puesto que ambas compañías están certificadas en él.

Lo mismo ocurre cuando utilizamos servicios de correo electrónico como Gmail u Outlook, ambas compañías tienen sus servidores ubicados en EE.UU., por lo que nuestros datos personales se están transfiriendo a un tercer país fuera del EEE. Cuando creamos nuestra cuenta de correo con estas compañías, dimos nuestro consentimiento para el tratamiento de nuestros datos.

Si nuestra empresa utiliza alguna plataforma de marketing para gestionar las listas de suscriptores o realizar envíos de publicidad a través de email marketing, y esta plataforma se encuentra fuera del EEE, estaremos realizando transferencias internacionales de datos personales. Esto es lo que ocurre si usamos, por ejemplo, MailChimp, cuya sede está en EE.UU.

Servicios de almacenamiento en la nube como Dropbox o Google Drive también pueden implicar la transferencia internacional de datos personales, puestos que estos servicios tienen sus servidores fuera del EEE.

¿Cuántos casos pueden darse en la transferencia internacional de datos personales?

Tras lo expuesto anteriormente, en la transferencia internacional de datos personales solo pueden darse dos casos:

  1. Que se realice con un país tercero que cuente con un nivel adecuado de protección de datos personales. En cuyo caso, no será necesaria la autorización de la AEPD.
  2. Que el tercer país no cuente con ese nivel de seguridad necesario para tratar los datos personales que se van a enviar. En este supuesto es necesario seguir la normas expuestas más arriba, en función de la existencia o no de garantías o excepciones específicas.

Alternativas para realizar transferencias internacionales de datos

Las únicas alternativas para realizar transferencias internacionales de datos personales a terceros países considerados no adecuados por la Comisión Europea sin necesidad de recurrir a la autorización de la AEPD es contar con el consentimiento inequívoco del interesado o interesados.

En cualquier otro supuesto, será necesario suscribir un modelo de contrato para la transferencia internacional de datos que incluya las cláusulas tipo legalmente exigibles y solicitar la autorización de la AEPD después.

Anulación del Privacy Shield o Escudo de Privacidad

El Privacy Shield surgió como alternativa al invalidado Safe Harbor, para regular las transferencias internacionales de datos entre la Unión Europea y Estados Unios.

Sin embargo, en julio de 2020 el Tribunal de Justicia de la Unión Europea (TJUE) también ha invalidado el Privacy Shield al considerar que este acuerdo no garantiza una adecuada protección en las transferencias internacionales de datos con EE.UU. La principal razón es que la ley norteamericana contradice al Escudo de Privacidad, permitiendo a las agencias gubernamentales obligar a las empresas del país a facilitar información personal sobre sus usuarios.


0 Comentarios

En Dudatis.com, nos encanta que participes y expreses tus opiniones. Tu voz es importante para nosotros. Siéntete libre de comentar y compartir tus ideas. Esperamos con interés tus comentarios.


Deja un comentario

Tu dirección de correo electrónico no será publicada. Apreciamos tu participación, y te pedimos que respetes nuestras normas. Recuerda que los campos marcados con * son obligatorios.