Transferències internacionals de dades personals: com dur-les a terme sense incomplir el RGPD a propòsit de l’anul·lació del “Privacy Shield”

Gerard Espuga

Muchas empresas y organizaciones realizan transferencias internacionales de datos, en muchas ocasiones, sin estar al corriente de ello. El caso más habitual es la prestación de servicios de ·hosting· o de ·cloud computing· en los que, aunque el proveedor esté localizado en España, los servidores utilizados por el mismo, y por tanto la localización de los datos, se encuentran en terceros países fuera de la UE, o por ejemplo cuando se transfieren datos entre empresa matriz y las filiales y una de ellas se encuentra fuera de la UE.

A estos efectos, debe tenerse en cuenta que el pasado mes de julio el Tribunal de Justicia de la UE (TJUE) invalidó la decisión 2016/1250 relativa a la adecuación a la normativa europea de protección de datos del Escudo de Privacidad entre la UE y los EE.UU. En base al Escudo de Privacidad, las organizaciones europeas podían realizar transferencias de datos a las sociedades adheridas al mismo sin incumplir lo dispuesto en el RGPD, puesto que éstas cumplían con los estándares de seguridad europeos.

Pues bien, el TJUE consideró, finalmente, que el Escudo de Privacidad no cumplía con unos estándares adecuados de protección de los datos teniendo en cuenta el acceso y utilización de esos datos que se podían producir por parte de las autoridades estadounidenses en base a sus programas de vigilancia.

Así las cosas, las empresas pueden seguir realizando transferencias internacionales siempre que cumplan con lo establecido en los arts. 44 a 50 del RGPD y considerandos 101 a 116, siendo por tanto posible realizar las transferencias a terceros países u organizaciones cuando las mismas se basen en: a) una decisión de adecuación, b) en garantías adecuadas o c) en algunas de las excepciones previstas en el art. 49 del RGPD.

a) Transferencias basadas en una decisión de adecuación:

Podrá realizarse la transferencia cuando la Comisión Europea decida que el tercer país o un territorio del mismo, la organización internacional que se trate o algunas empresas, garantizan un nivel de protección adecuado, no requiriéndose por lo tanto ninguna autorización específica adicional. En este supuesto se encontraba el citado ·Privacy Shield· o Escudo de Privacidad, invalidado a raíz de la Sentencia del caso Schrems contra Facebook.

b) Transferencias mediante garantías adecuadas:

A falta de decisión de adecuación, el responsable o encargado del tratamiento sólo podrá transmitir los datos personales si hubiera ofrecido garantías adecuadas y con el condicionante de que los interesados cuenten con mecanismos y acciones para hacer efectivos sus derechos.

Se distinguen dos grupos de garantías adecuadas, las que requieren autorización de una autoridad de control y las que no, esto es:

b.1) Garantías adecuadas sin autorización de la autoridad de control:

Las garantías adecuadas sin autorización pueden ser adoptadas cuando se cuente con un instrumento jurídicamente vinculante y exigible entre autoridades u organismos públicos, esto es, en base a acuerdos administrativos, mediante normas corporativas vinculantes (BCRs), es decir, políticas de protección de datos personales dentro de un grupo empresarial, previamente aprobadas por la autoridad de control.

Asimismo, también se pueden realizar las transferencias sin autorización mediante cláusulas tipo ya sean adoptadas por la comisión, por una autoridad de control o aportadas por las partes y aprobadas por una autoridad de control, mediante códigos de conducta junto con compromisos del tercer país de aplicar las garantías adecuadas o mediante mecanismos de certificación con los mismos compromisos.

b.2) Garantías adecuadas con autorización de la autoridad de control:

En este supuesto podemos englobar las cláusulas contractuales entre responsables y encargados o las disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos siempre y cuando exista autorización de la autoridad de control.

c) Excepciones que pueden legitimar la transferencia internacional de datos:

Las siguientes excepciones legitiman las transferencias internacionales sin necesidad de contar con autorización de la autoridad de control, no obstante, el responsable debe informar al interesado y a la autoridad de control acerca de la transferencia. Las excepciones son las siguientes:

– Que el interesado haya dado su consentimiento de manera explícita siendo previamente informado acerca de los riesgos.

– Que la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la adopción de medidas precontractuales o para la ejecución de in contrato, en interés del interesado, entre el responsable y otra persona.

– Que la transferencia sea necesaria para la formulación, ejercicio o defensa de reclamaciones.

– Que la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas.

– Supuestos de transferencias de datos realizadas desde un registro público.

En cualquier caso, desde BETA LEGAL recomendamos verificar si desde su organización se están realizando o no transferencias internacionales de datos y, en su caso, verificar si se cumplen o no los requisitos para llevarlas a cabo, a los efectos evitar las sanciones que se pudieran imponer.

BETA LEGAL ASSESSORS, S.L.