Transferencia internacional de datos personales

El gran desarrollo tecnológico que ha permitido crear un mundo completamente interconectado en tiempo real, conocido por muchos como la nueva era digital o la cuarta revolución industrial,  ha supuesto también el descubrimiento de un nuevo recurso de valor estratégico, igual de trascendental en el ámbito económico que los combustibles fósiles o cualquier tipo de depósito mineral, como es el dato de carácter personal y sus infinitas posibilidades para el sector publicitario, al poder personalizar al extremo y para cada persona (publicidad comportamental), los anuncios que se muestren en cualquier sitio web visitado, a través de la gestión masiva, automatizada y anonimizada de datos (Big data).

En el presente artículo se expone, de la manera más explicativa y concisa posible, la cuestión técnico-jurídica denominada trasferencia internacional de datos, centrándose en tres elementos principales a modo de apartados: definición y concreción del fenómeno, regulación, y supuestos que se consideran incluidos.  

¿Qué es la transferencia internacional de datos? 

Se define de una manera pormenorizada en el artículo 5.1.s del Reglamento de la Ley Orgánica de Protección de Datos (RLOPD) como: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español. 

Para poder comprender este asunto, cabe, a su vez, definir los elementos claves que componen este concepto: 

  • Espacio Económico Europeo (EEE): zona geográfica conformada por los estados miembros de la Unión Europea y los integrantes del Tratado Europeo de Libre Comercio European Free Trade Agreement (EFTA): Noruega, Islandia, Liechtenstein y Suiza; aunque esta último, a pesar de ser miembro de esta organización no se encuentra integrado en el espacio económico común. 
  • Cesión o comunicación de datos: tratamiento de datos que supone su revelación a una persona distinta del interesado. El acceso a los datos por parte de un tercero para la prestación de un servicio necesario para el responsable del tratamiento lleve a cabo su labor, no supondría una cesión ya que se encontraría exonerado (Art 12.1 LOPD); por lo que todo aquel que ceda o comunique datos fuera de este supuesto tasado, pasará a ser considerado como responsable (Obligado) de esos datos con respecto a toda la normativa sectorial 
  • Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias
  • Responsable del fichero o del tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente, ya que eso lo lleva a cabo el encargado por cuenta y en nombre del responsable. 

Adicionalmente, se debe mencionar a los sujetos que llevan a cabo la propia transferencia internacional, tanto en el origen, como en el destino: 

  • Exportador: persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realiza una transferencia de datos de carácter personal a un país tercero. 
  • Importador: persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargado del tratamiento o tercero. 

¿Cuál es su regulación?  

A nivel europeo: 

  • Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Artículos 25 y 26 

A nivel nacional:  

¿Qué supuestos se consideran transferencias internacionales de datos? 

Partiendo de la base, expuesta en el primer apartado, de que toda comunicación realizada a un estado incluido en el Espacio Económico Europeo no se considera transferencia internacional, tenemos dos grandes supuestos: 

1) Países con nivel de protección adecuada (Safe Harbor): aquellos estados reconocidos por la Agencia Española o por la Comisión Europea como país con las debidas garantías en materia de protección de datos. A día de hoy, la AEPD nunca ha ejercido esta competencia por lo que es la propia Comisión Europea la que lo determina por vía de Decisión, siguiendo los criterios/requisitos establecidos por el Grupo del trabajo del artículo 29 en su documento WP 12:

  • Existencia de mecanismos de protección de datos en el país de destino. 
  • Existencia de garantías para el ejercicio de los derechos de los afectados. 
  • Existencia de una Autoridad de protección de datos que vele por la legalidad del tratamiento en el país de destino. 
  • Existencia de garantías aceptadas por el destinatario de los datos a través de un contrato. 

Como estados considerados seguros por la Comisión en base a estas previsiones, tenemos  el siguiente listado Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda.  Se excluye Estados Unidos como consecuencia de la anulación de la Decisión de la Comisión Europea en la que se declaraba como seguro, por la Resolución del TJUE – TJCE\2015\324 (Caso Schrems); lo que ha dado lugar al nuevo Tratado entre la Unión Europea y Estados Unidos denominado Privacy Shield, y al que ya se han suscrito las principales multinacionales norteamericanas que operan en Europa. 

2) Autorización de la Autoridad de Control y Supervisión (AEPD) – dos casos: 

  • Autorización de transferencia internacional: para poder realizar una transferencia de datos a un tercer país sin las debidas garantías, se requieren una serie de previsiones: autorización expresa del Director de la AEPD, la presentación de un contrato por escrito, basado en un modelo de cláusulas aprobadas, suscrito entre el exportador y el importador de los datos, junto con su traducción jurada. 
  • Reglas de Cumplimiento Corporativo o Binding Corporate Rules (BCRs): conjunto de normas de procedimiento interno que rigen las transferencias internacionales de datos de carácter personal realizados en el seno de grupos multinacionales de empresas. Para que se realice la autorización por parte del Director de la AEPD se requiere que esos conjuntos de normas sean vinculantes para todas las empresas del grupo, así como exigibles por el ordenamiento jurídico español. 

Excepciones: las recogidas específicamente en el artículo 34 LOPD: a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España. 

b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.

d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica. 

e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista. 

f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado. 

g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado,por el responsable del fichero y un tercero. 

h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público.

Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias. 

i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.

k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado. 

Conclusiones 

  • Por transferencia internacional de datos se entiende toda transmisión de los mismos fuera del espacio económico europeo. 
  • El espacio económico europeo está conformado por el territorio conjunto de los 28 estados miembros de la Unión Europea más Noruega, Islandia y Liechtenstein. 
  • Las transferencias internacionales a países reconocidos como seguros como Suiza, Andorra, Argentina o Canadá, no necesitan ser notificados a la AEPD. El listado de países con esta consideración se reconocen todas aquellas regiones de estados miembros de la Unión Europea, sobre todo el Reino Unido, sometidas a un régimen especial. 
  • En el momento que Gran Bretaña abandone definitivamente la Unión Europea, cabe la posibilidad de que se declare como estado con las debidas garantías o safe harbor vía decisión por la  Comisión Europea. 

Bibliografía 

Fuentes y materiales oficiales 

Agencia Española de Protección de Datos – https://www.agpd.es/portalwebAGPD/index-ides-idphp.php 

Listado de países con garantías – https://www.agpd.es/portalwebAGPD/canalresponsable/transferencias_internacionales/index-ides-idphp.php 

Artículo sobre Internet de las Cosas y Big Data – https://enclavedederecho.com/internet-de-las-cosas-y-big-data/ 

Artículo sobre privacidad en internet (incluido comentario del Privacy Shield) – https://enclavedederecho.com/privacidad-en-internet/ 

Documento de trabajo nº12 (WP 12) del Grupo del Artículo 29 – http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1998/wp12_es.pdf 

Legislación 

Citada e indexada en el apartado de regulación. 

 

Deja un comentario