Transferencia internacional de datos personales

El gran desarrollo tecnológico que ha permitido crear un mundo completamente interconectado en tiempo real, conocidopor muchos como la nueva era digital o la cuarta revolución industrial,  ha supuesto también el descubrimiento de un nuevo recurso de valor estratégico, igual de trascendental en el ámbito económico que los combustibles fósiles o cualquier tipo de depósito mineral, como es el dato de carácter personal y sus infinitas posibilidades para el sector publicitario, al poder personalizar al extremo y para cada persona (publicidad comportamental), los anuncios que se muestren en cualquier sitio web visitado, a través de la gestión masiva, automatizada y anonimizada de datos (Big data).

El presente artículo aborda la trasferencia internacional de datos, desde la perspectiva del vigente Reglamento General de Protección de Datos (RGPD), centrándose en las cuestiones siguientes: nociones básicas sobre la trasferencia internacional de datos (concepto, definición del fenómeno,) régimen jurídico aplicable, panorámica internacional, comunicación fuera del EEE y conclusiones sobre lo comentado.


Artículo realizado en colaboración con Daniel Gómez Alonso – enlaces a sus RRSS –  Linkedin y Twitter


¿Qué es la transferencia internacional de datos?

A diferencia de la definición precisa dada por el Reglamento de desarrollo (RLOPD de la  Ley Orgánica de Protección de Datos (LOPD) (todavía vigente en todo aquello que no contradiga al RGPD, y en espera de la tramitación parlamentaria y aprobación del proyecto de nueva LOPD), el RGPD no lo define como tal, pero al no haberse  modificado su naturaleza, podemos partir de la definición dada por el RLOPD al ser muy clara y condensar los dos grandes tratamientos que se van a realizar normalmente: cesiones de datos y supuestos de encargado de tratamiento – Artículo 5.1.s del Reglamento de la Ley Orgánica de Protección de Datos (RLOPD) como: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable, en pocas palabras, una transmisión de datos personales fuera del territorio del Espacio Económico Europeo (EEE)

Para poder comprender este asunto, cabe, a su vez, definir los elementos claves que lo componen:

  • Espacio Económico Europeo (EEE): zona geográfica conformada por los estados miembros de la Unión Europea y los integrantes del Tratado Europeo de Libre Comercio o European Free Trade Agreement (EFTA): Noruega, Islandia, Liechtenstein y Suiza; aunque esta último, a pesar de ser miembro de esta organización no se encuentra integrado en el espacio económico común.
  • Tratamiento de datos: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción
  • Cesión o comunicación de datos: no se define como tal en el RGPD (se incluye dentro de las operaciones de tratamiento recogidas en su definición, mencionada en el punto anterior), y se puede concretar como la comunicación o transmisión de los datos personales a un tercero (persona distinta del interesado o titular del dato). Cabe añadir que aquel supuesto en el que ese “tercero” trate los datos por cuenta y bajo el control de un responsable, este no se considerará como tercero, y no será una cesión, sino un supuesto de encargado de tratamiento.

Dentro de la definición de destinatario, dada en el artículo 4.9 del RGPD, se incluye de una manera velada ambas figuras (se identifica más claramente en el Directrices sobre transparencia del Grupo del Artículo 29, actual Comité Europeo de Protección de Datos): la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero

  • Responsable del fichero o del tratamiento: persona física (persona natural) o jurídica (sociedad), autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento

¿Cuál es su regulación?

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
  • Corrección de errores del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (vigente en aquellos artículos que no contradigan el RGPD) (LOPD)
  • Real Decreto1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 (vigente en aquellos artículos que no contradigan el RGPD) (RLOPD)

Panorámica Internacional

Según lo establecido en el RGPD se pueden realizar, como norma general, trasferencias internacionales en los siguientes supuestos:

  • A países con un nivel adecuado de protección;
  • Cuando se utilicen cláusulas contractuales tipo;
  • Cuando se utilicen normas corporativas vinculantes;
  • Cuando se autorice por las autoridades de control:
  • Al amparo de un código de conducta;
  • Cuando se haga de acuerdo a un mecanismo de certificación

¿CUÁNDO PUEDE COMUNICARSE LOS DATOS FUERA DEL ESPACIO ECONÓMICO EUROPEO?

Los datos pueden ser comunicados fuera del EEE en los siguientes supuestos:

  1. Cuando se trate de territorios o sectores específicos sobre los cuales la comisión haya adoptado una decisión reconociendo que ofrecen un nivel adecuado de protección.
    • Entre estos países se encuentran: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda y Estados Unidos ( Aplicable a las entidades certificadas en el marco del escudo de privacidad UE-EEUU). En el caso de este último, se marcó por parte del Parlamento Europeo la fecha de límite del 1 de septiembre para que Estados Unidos se pronuncie y no anular el acuerdo por considerarlo completamente ineficaz.
    • El 5 de septiembre del presente 2018, se adoptó por la Comisión Europea la Decisión de Adecuación que determina que Japón es un país con las debidas garantías. Actualmente se está en proceso de negociación con Corea del Sur.
  1. Cuando se hayan ofrecido una serie de garantías adecuadas sobre la protección que los datos recibirán en su destino.
    • El nuevo RGPD amplía el abanico de instrumentos en los que se pueden incluir y aportar las garantías adecuadas para proteger los derechos de los afectados a consecuencia de la trasferencia de datos. Se Incorporan:
      • Códigos de conducta
      • Mecanismos de certificación
      • Normas corporativas vinculantes (Conocidas por sus siglas en inglés como Binding Corporate Rules)
  1. Cuando se aplique alguna de las excepciones que permiten transferir los datos sin garantías de protección adecuada por razones de necesidad vinculadas al interés del titular de los datos o intereses generales. Estas excepciones son las siguientes:
    • Que el interesado, previamente informado de los riegos que implica para su persona la realización de la trasferencia debido a la ausencia de una decisión de adecuación y de garantías adecuadas, haya dado su consentimiento explícito.
    • Que la trasferencia sea necesaria:
      • Para la ejecución de un contrato entre el interesado y el responsable del tratamiento.
      • Para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento u otra persona física o jurídica.
      • Por razones de interés público.
      • Para la formulación, el ejercicio o la defensa de reclamaciones.
      • Para proteger los intereses vitales del interesado o de otras personas, cuando el interesado este física o jurídicamente incapacitado para dar su consentimiento.
    • Que la trasferencia se realice desde un registro público que, conforme al Derecho de la Unión o de los Estados Miembros, tenga por objeto facilitar la información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo.

La autorización queda supeditada a la emisión del correspondiente dictamen por  el Comité Europeo de Protección de Datos.

Destacar que el RGPD añade una excepción al listado que en su momento estableció la Directiva 95/46. Existe la posibilidad de que el responsable pueda trasferir datos a un país sin el nivel adecuado de protección cuando esa trasferencia sea necesaria para satisfacer intereses legítimos imperiosos del responsable y la trasferencia no sea repetitiva y afecte a sólo a número limitado de interesados.

Conclusiones

  • Por transferencia internacional de datos se entiende toda transmisión de los mismos fuera del espacio económico europeo.
  • El espacio económico europeo está conformado por el territorio conjunto de los 28 estados miembros de la Unión Europea más Noruega, Islandia y Liechtenstein.
  • Las transferencias internacionales a países reconocidos como seguros como Suiza, Andorra, Argentina, Israel o Canadá, no necesitan ser notificados a la AEPD. El listado de países con esta consideración se reconocen todas aquellas regiones de estados miembros de la Unión Europea, sobre todo el Reino Unido, sometidas a un régimen especial.
  • En el momento que Gran Bretaña abandone definitivamente la Unión Europea, cabe la posibilidad de que se declare como estado con las debidas garantías o safe harbor vía decisión por la Comisión Europea.
  • Japón se une al grupo de países con las debidas garantías en materia de protección de datos

 

Bibliografía

Fuentes oficiales

Agencia española de protección de datos  https://www.agpd.es/portalwebAGPD/index-ides-idphp.php

Listado de países con garantías – https://www.agpd.es/portalwebAGPD/canalresponsable/transferencias_internacionales/index-ides-idphp.php

Directrices de transparencia RGPD Grupo del artículo 29 – http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227

Legislación

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999

Deja una respuesta