AD+
¿Estoy realizando Transferencias Internacionales de Datos?
En base a la noticia que ha circulado estos días sobre la advertencia de Meta, matriz de Facebook, de cerrar el acceso a las redes sociales que gestiona ya que el Tribunal de Justicia de la UE anuló la norma ‘Privacy Shield’, surge el interés por realizar un análisis en cuanto a la legitimación en la transferencia internacional de datos de carácter personal.
En nuestro día a día, cuando realizamos la pregunta a un responsable o encargado del tratamiento, a priori, su contestación es: “no, nosotros no realizamos transferencias internacionales”. Es en ese momento, cuando nos cuestionamos si realmente tienen conocimiento de lo que significa una transferencia internacional en materia de protección de datos.
Por tanto, antes de continuar es necesario saber, ¿Cuándo se considera que se está realizando una transferencia internacional fuera del territorio español?
Se considera que se está realizando una transferencia internacional de datos cuando la misma supone un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).
Entonces, la siguiente pregunta sería ¿en qué supuestos es legítimo realizar transferencias internacionales de datos?
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, “LOPDGDD”), en su Título VI sobre “Transferencias internacionales de datos” nos remite al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”). Es en este último, en su artículo 44, en donde se recoge el principio general de las transferencias:
“Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.”
Por tanto, solamente se pueden realizar transferencias legítimas si el responsable y encargado del tratamiento cumplen con las siguientes condiciones establecidas por el RGPD:
A) Transferencias basadas en una decisión de adecuación cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado (artículo 45 del RGPD). Listado de países seguros.
B) Transferencias mediante garantías adecuadas cuando el responsable o el encargado del tratamiento hubieran ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas (artículo 46 del RGPD):
- Las garantías adecuadas podrán ser aportadas sin autorización expresa de la autoridad de control mediante (artículo 46):
- instrumentos jurídicamente vinculantes;
- normas corporativas vinculantes (artículo 47 del RGPD);
- cláusulas tipo adoptadas por la Comisión (artículo 93.2 del RGPD);
- cláusulas tipo adoptadas por la autoridad de control y aprobadas por la Comisión (artículo 93.2 del RGPD);
- código de conducta aprobado conforme al artículo 40 del RGPD, junto con compromisos vinculante y exigibles del responsable o encargados;
- mecanismos de certificación según el artículo 42 del RGPD.
- Siempre que exista autorización de la autoridad de control las garantías adecuadas podrán ser aportadas mediante:
- cláusulas contractuales entre responsables y encargados;
- disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.
Existen las siguientes excepciones a los casos establecidos en los artículos 45 y 46 del RGPD (artículo 49 del RGPD):
A. consentimiento expreso por parte del interesado siempre que haya sido informado de los riesgos por la ausencia de adecuación o garantías adecuadas;
B) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;
C) la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado;
D) interés público;
E) formulación, el ejercicio o la defensa de reclamaciones;
F) protección de intereses vitales del interesado o de otras personas autorizadas;
G) la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.
Asimismo, cuando la transferencia no pueda basarse en las condiciones establecidas en los artículos 45 y 46 del RGPD ni en las excepcionas mencionadas:
“…solo se podrá llevar a cabo si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evaluó todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales. El responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos.”
Es importante recordar que el RGPD define tratamiento como:
“cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.
Si regresamos a la pregunta inicial en cuanto a saber si realmente estamos realizando transferencias internacionales de datos, tanto el responsable como el encargado de tratamiento tienen la obligación de tener el conocimiento sobre la ubicación de los datos, por ejemplo, en el caso de servidores en la nube. Aquí radica la importancia y obligación de verificar previamente con un posible proveedor de servicios, el cumplimiento de la normativa en materia de protección de datos para garantizar un tratamiento legítimo y seguro.
Como recomendación, la elaboración de un cuestionario de cumplimiento previo a la contratación es una medida proactiva que se debería implementar como procedimiento en las entidades que realicen tratamiento de datos de carácter personal.
Fuentes:
- REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Agencia Española de Protección de Datos.
Daiana Lamela
11 de febrero de 2022
Socia en I+D Abogados
Nuevas Tecnologías/Privacidad/DPO
Miembro de la Asociación Profesional Española de Privacidad – APEP
