¿Qué es una transferencia internacional de datos?

 

Una transferencia internacional de datos se produce cuando los datos personales que son tratados por un responsable o un encargado del tratamiento en el Espacio Económico Europeo (países de la Unión Europea, Islandia, Liechtenstein y Noruega) son enviados a un destinatario situado en un tercer país u a una organización internacional, fuera del citado territorio.

Los responsables y encargados del tratamiento podrán realizar una transferencia internacional de datos personales sin necesidad de una autorización de la Agencia Española de Protección de Datos (en adelante, AEPD), siempre que el tratamiento de datos observe lo dispuesto en el Reglamento General de Protección de Datos (en adelante,  RGPD), y se den los siguientes supuestos que, desde Grupo Adaptalia expertos por más de 15 años en consultoría de protección de datos,  te exponemos a continuación.

 

1. Decisión de adecuación

 

Puede llevarse a cabo una transferencia internacional de datos sin necesidad de autorización, en aquellos casos en los cuales  la Comisión haya decidido que ese tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate, garantizan un nivel de protección adecuado.

Hasta la fecha, la Comisión ha declarado los siguientes territorios como adecuados para la realización de una transferencia internacional de datos:

 

  • Suiza, conforme a la “Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000”.

 

  • Canadá, de acuerdo con la “Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos”.

 

  • Argentina, con base en la  “Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003”.

 

  • Guernsey, conforme a la  “Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003”.

 

  • Isla de Man, siguiendo lo establecido en la  “Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004”.

 

  • Jersey, de acuerdo con la “Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008”.

 

  • Islas Feroe, en conformidad con la “Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010”.

 

  • Andorra, conforme a la “Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010”.

 

  • Israel, con base en la “Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011”.

 

  • Uruguay, de acuerdo con la «Decisión 2012/484/UE, de la Comisión de 21 de agosto de 2012».

 

  • Nueva Zelanda, siguiendo lo señalado en la “Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012”.

 

  • Estados Unidos. Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU., de acuerdo con la “Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016”.

 

  • Japón, de reciente pronunciación, conforme a la “Decisión de 23 de enero de 2019”.

 

2. Garantías adecuadas

 

A falta de decisión de adecuación, el responsable o el encargado del tratamiento solo podrá llevar a cabo una transferencia internacional de datos personales, a un tercer país u organización internacional que ofrezca garantías adecuadas y siempre que los interesados cuenten con derechos exigibles y acciones legales efectivas.

Las garantías adecuadas pueden ser aportadas mediante:

 

  • Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.

 

  • La existencia de normas corporativas vinculantes.

 

  • La utilización de cláusulas tipo de protección de datos adoptadas por la Comisión Europea o por la autoridad de protección de datos que sea competente de control y aprobadas por la Comisión.

 

  • La existencia de códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

 

  • La existencia de mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

 

3. Excepciones para situaciones específicas

 

Cuando no exista una decisión de nivel adecuado o concurra alguna otra garantía adecuada, en los términos ya mencionados, se podrá  realizar una transferencia internacional de datos si se cumple una de las siguientes excepciones:

 

  • El interesado haya dado su consentimiento explicito, tras haber sido informado de los posibles riesgos que tendría para él la transferencia internacional debido a la ausencia de una decisión de adecuación o de otras garantías adecuadas.

 

Transferencia internacional de datos

La transferencia internacional de datos se podrá realizar, en otras excepciones, si es necesaria para la celebración/ejecución de un contrato entre el responsable y otra persona física o jurídica.

 

  • La transferencia internacional de datos sea necesaria:
    • para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;
    • para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;
    • por razones importantes de interés público;
    • para la formulación, el ejercicio o la defensa de reclamaciones, o
    • para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.

 

  • La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

 

Si una transferencia internacional de datos no puede basarse en garantías adecuadas o en alguna de estas excepciones para situaciones específicas, sólo podrá llevarse a cabo si se cumplen los siguientes requisitos de forma acumulativa:

 

  • No es repetitiva,
  • Afecta únicamente a un número limitado de interesados,
  • Es necesaria para fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado.
  • El responsable del tratamiento ha evaluado todas las circunstancias concurrentes en la transferencia y ofrece garantías apropiadas en materia de protección de datos.
  • El responsable ha informado previamente a la autoridad de protección de datos, es decir, antes de llevar a cabo dicha transferencia internacional de datos.

 

En este caso, antes de realizar la transferencia, será necesario informar a la autoridad de protección de datos competente, así como a los afectados, incluyendo en este último caso también la información relativa a los intereses legítimos imperiosos perseguidos.

 

4. Autorización expresa de la AEPD

 

Las garantías adecuadas, siempre que exista una autorización previa de la autoridad de protección de datos, podrán darse también a través de uno de los siguientes mecanismos:

 

  • Cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional.

 

  • Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

 

Respecto a esta cuestión, la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LOPDGDD), indica que la autoridad de control competente tendrá que otorgar una autorización previa cuando la transferencia se base en cláusulas contractuales que no correspondan a las cláusulas tipo previstas en el RGPD.

O bien cuando se lleve a cabo por alguno de las entidades enumeradas el artículo 77.1 LOPDGDD y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.

En estos dos casos, la autoridad de protección de datos tendrá se aplicará el mecanismo de coherencia cuya duración máxima son seis meses. Si bien la remisión del expediente al Comité Europeo de Protección de Datos conllevará la suspensión del plazo indicado, hasta que no se notifique de nuevo a la AEPD o a la autoridad autonómica competente a través de aquella.

Contacte con Grupo Adaptalia para consultarnos cualquier duda al respecto de la transferencia internacional de datos personales.