Transferencia internacional de datos
Nacho Martínez Alonso

Transferencia internacional de datos

La Transferencia internacional de datos (TID) a día de hoy es un elemento clave que soportamos a diario con nuestros datos, en una globalización como la que vivimos, ¿quién no le da sus datos a Facebook? ¿Y a google? ¿Y al periódico digital? Un sin fin de ejemplos que podríamos delimitar.

Pero, ¿qué es un TID? Nuestra normativa no la define, ni RGPD ni LOPDGDD dicen nada al respecto, pero podemos definirla como la transferencia de datos fuera del Espacio Económico Europeo, sea una cesión o una transferencia de datos, que tenga por objeto un tratamiento por cuenta del responsable del fichero establecido en territorio español.

Es decir, para saber si existe una transferencia internacional de datos se deben dar dos características:

1. Una transmisión fuera del Espacio Económico Europeo.
2. Una cesión o un tratamiento de datos por cuenta de terceros.

Un ejemplo de TID son las llamadas de las compañías telefónicas para vender sus productos, que generalmente se realizan fuera del Espacio Económico Europeo pero cuyos datos (nuestros números de teléfono) se encuentran dentro de España.

En nuestro ordenamiento jurídico se encuentra regulada en los artículos 44 y ss. del RGPD y en los artículos 40 y ss. de la LOPDGDD. Esta normativa permite la realización de TIDs con toda la protección legal en tres supuestos diferentes:

  1. Declaración de un nivel adecuado de protección de datos por la Comisión Europea.
  2. Garantías específicas de los artículos 46 y 47 RGPD.
  3. Excepciones del artículo 49 RGPD.

En estos tres casos, aún existiendo una transferencia fuera del Espacio Económico Europeo o una cesión o tratamiento por cuenta de terceros, la Comisión Europea considera que la transferencia internacional es similar a haberla realizado dentro del EEE, es decir, es segura.

1) Declaración de un nivel adecuado de protección de datos.

Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.

En este caso, la Comisión ha establecido una serie de países que tienen un nivel similar de protección de datos al europeo y por ende gozan de gran seguridad y la transferencia de datos con los mismos se considera segura. Ello es debido a que cuentan con los siguientes factores:

a)Tienen principios equivalentes a los de nuestra normativa.

Entre los que podemos destacar que respeten los principios de licitud, legitimidad, limitación de la finalidad, de proporcionalidad de calidad, así como el principio de transparencia de los datos.

b)Cuentan con una serie de mecanismos de seguridad.

En este sentido, la Comisión también valora que el país goce de diferentes medidas de seguridad y control de los datos, que se pueden englobar en dos categorías:

  • Por un lado, que existan autoridades de control competentes e independientes, la cuales supervisan y garantizan la protección de datos en el país.
  • Por otro, que el sistema de protección de datos garantice un buen nivel de cumplimiento, como bien puede ser una responsabilidad proactiva así como sanciones suficientes y disuasorias.

¿Qué países tienen actualmente reconocido un nivel adecuado?

  • Suiza
  • Canadá
  • Argentina
  • Guernsey
  • Isla de Man
  • Jersey
  • Islas Feroe
  • Andorra
  • Israel
  • Uruguay
  • Nueva Zelanda
  • Japón

Este nivel adecuado está establecido por una serie de Decisiones de la Comisión Europea, la cuales se pueden consultar en el siguiente enlace de la AEPD.

1.2. Privacy Shield

Dentro de estas decisiones, encontramos una relativa a los Estados Unidos, es el denominado "Privacy Shield", que no es más que un acuerdo por el cual se garantiza que en las transferencias de datos entre Europa y Estados Unidos se cumple la normativa de protección de datos europea. Es decir, es específicamente para aquellas entidades que se encuentren establecidas en Estados Unidos.

A este acuerdo se pueden unir las entidades que respeten una serie de criterios y principios en relación a la protección de datos. Uno de los ejemplos es la empresa Mailchimp, para el envío automatizado de correos electrónicos que se encuentra dentro del mismo.

Se puede visitar su página web para conocer que entidades se encuentran adheridas a dicho escudo de privacidad.

2) Garantías específicas de los artículos 46 y 47 RGPD:

A falta de lo anterior, el Reglamento considera que la transferencia fuera del EEE cuenta con las garantías adecuadas y puede llevarla acabo sin necesidad de autorización expresa siempre y cuando cuente con:

a) un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
b) normas corporativas vinculantes de conformidad con el art. 47.
c) cláusulas tipo de protección de datos adoptadas por la Comisión o por una autoridad de control aprobadas por la Comisión.
d) un código de conducta o un mecanismo de certificación aprobado conforme al RGPD.
3) Excepciones del artículo 49:######

En ausencia de las anteriores, y de manera residual, una transferencia de datos personales a un tercer país u organización internacional únicamente se realizará si se cumple alguna de las siguientes condiciones:

a) el interesado haya dado explícitamente su consentimiento a la transferenciapropuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas.
b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
c) la transferencia sea necesaria para diversos actos tales como la ejecución de un contrato, razones de interés público, defensa de reclamaciones, entre otros.
d)la transferencia se realice desde un registro público que tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo.

En definitiva, se considera que existe una transferencia internacional de datos cuando se transfieran los datos fuera del Espacio Económico Europeo, aunque la Comisión ha elaborado una serie de excepciones con las cuales se consideran asimiladas a transferir dichos datos dentro del EEE, la cuales deberán ser tratadas según cada caso.

May 27, 2019