Cada vez es más frecuente que las empresas contraten con proveedores que ofrecen soluciones para gestionar y hacer más fácil su tarea diaria en relación con el tratamiento de datos personales que realizan como, por ejemplo, servicios de almacenamiento en la nube, gestión de bases de datos, etc. Sin embargo, es importante conocer el lugar donde van a estar almacenados los datos de carácter personal que manejemos, puesto que si están localizados en países que no pertenecen al Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega) nos encontraríamos ante una transferencia internacional de datos.
¿Cómo actuar si nuestro proveedor se encuentra fuera del Espacio Económico Europeo o si los datos personales viajan fuera de este?
Lo primero que debemos hacer es regular la relación entre el responsable y el encargado del tratamiento. Dicha regulación debe establecerse a través de un contrato o de un acto jurídico similar que vincule a ambos. El contrato o acto jurídico debe constar por escrito, inclusive en formato electrónico. Además de lo anterior, debe cumplir con los requisitos mínimos establecidos en el artículo 28 del Reglamento Europeo de Protección de Datos (en adelante, RGPD).
En relación con las transferencias internacionales de datos, se podrán realizar sin necesidad de una autorización de la Agencia Española de Protección de Datos (AEPD) siempre que el tratamiento de datos observe lo dispuesto en el RGPD y los destinatarios de los datos se encuentren en un país, un territorio o uno o varios sectores específicos de ese país u organización internacional que haya sido declarado de nivel de protección adecuado por la comisión europea. Hasta la fecha, los países y territorios que están declarados como adecuados son: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda, Estados Unidos (Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE. UU) y Japón.
¿Y si los destinatarios de los datos no se encuentran en un país, un territorio o uno o varios sectores específicos de ese país u organización internacional que haya sido declarado de nivel de protección adecuado por la comisión europea?
En este supuesto, también se permitirían las transferencias internacionales de datos siempre y cuando el tercer país u organización internacional ofrezca garantías adecuadas. Las garantías adecuadas podrán ser aportadas, sin que se requiera ninguna autorización expresa de la AEPD, por:
a) Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
b) Normas corporativas vinculantes.
c) Cláusulas tipo de protección de datos adoptadas por la Comisión.
d)Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
e) Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.
f) Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.
No obstante lo anterior, se necesitará autorización expresa de la agencia española de protección de datos cuando las garantías adecuadas se aporten mediante:
a) Cláusulas contractuales entre el responsable o el encargado y el responsable, y el encargado y subencargado, que no hayan sido adoptadas por la comisión europea o
b) Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.
En este sentido, lo mas habitual es la firma de las cláusulas tipo de protección de datos adoptadas por la Comisión, pero se puede dar el caso de que no contemos ni con una decisión de adecuación ni con las debidas garantías. Entonces, ¿hay alguna forma de efectuar dicha transferencia internacional?
La respuesta a la pregunta anterior es que, a falta de decisión de adecuación y de garantías adecuadas, de conformidad con lo manifestado en el articulo 49 del RGPD, únicamente se podrán realizar si se cumple alguna de las condiciones siguientes:
a) El interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas.
b) La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
c) La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica.
d) La transferencia sea necesaria por razones importantes de interés público.
e) La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
f) La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
g) La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.
Sin embargo, hay que ser cauteloso al usar estas excepciones. Según lo manifestado por el Comité Europeo de Protección de Datos (EDPB) en las directrices 2/2018, adoptadas en relación con estas excepciones, estas deben ser interpretadas de manera restrictiva para que la excepción no se convierta en la regla. Dichas excepciones no proporcionan una adecuada protección para los datos personales transferidos y, además, no se requiere ningún tipo de autorización previa por parte de las autoridades de supervisión. Por este motivo, la transferencia de datos personales a terceros países sobre la base de las excepciones conlleva un aumento de los riesgos para los derechos y libertades de los interesados. Asimismo, el Comité realiza una interpretación específica de las disposiciones del artículo 49. En este sentido, merece la pena señalar que, en relación con el supuesto en que la transferencia es necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado, a la vista del considerando 111 del RGPD, las transferencias de datos en virtud de esta excepción pueden tener lugar cuando la transferencia es ocasional y necesaria en relación con un contrato. En general, aunque las excepciones relativas a la ejecución de un contrato pueden parecer bastante amplias, se deben limitar por los criterios de necesidad y de ocasionalidad.
¿Es necesario cumplir con alguna obligación mas?
Los interesados deben ser informados de la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, la referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
Asimismo, se deben incluir, en el Registro de Actividades del Tratamiento, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 (RGPD), apartado 1, párrafo segundo, la documentación de garantías adecuadas.
¿Qué ocurre si no cumplo con el régimen establecido para las transferencias internacionales de datos personales?
En relación con el régimen sancionador del RGPD, la infracción de las disposiciones establecidas para las transferencias internacionales de datos personales se sancionarán, con multas administrativas de 20 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Cristina Retamar Yagüe
Asesora Jurídica y Delegada de Protección de Datos certificada bajo el Esquema AEPD-DPD en Picón & Asociados Abogados.