26 nov. Transferencias internacionales de datos personales
El mes de noviembre ha venido acompañado de una interesante novedad en materia de Protección de Datos, en aquello relacionado con las trasferencias internacionales de datos personales. La presente circular pretende abordar los requisitos exigidos para llevar a cabo este tipo de transferencias y analizar las novedades introducidas por la Comisión Europea en el presente ámbito.
Se entiende por “transferencia internacional de datos personales” el envío de datos desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).
Para poder realizar este tipo de transferencias debe solicitarse una autorización expresa de la autoridad de control competente (la Agencia Española de Protección de Datos en el caso de España). No obstante, cabe la posibilidad de eludir dicha obligación si se cumplen las condiciones previstas en el Capítulo V del Reglamento (UE) 2016/679, de 27 de abril de 2016 (en adelante, también “RGPD”).
La primera condición que debe concurrir para poder realizar una transferencia internacional, sin requerir ninguna autorización específica, es que el destinatario de los datos personales se encuentre en un país que la Comisión haya decidido que garantiza un nivel de protección adecuado (art. 45 RGPD). A tal efecto, la Comisión mantiene pública una lista de dichos países[1] en el Diario Oficial de la Unión Europea y en su página web.
A falta de la anterior decisión de adecuación por parte de la Comisión, el tratamiento de los datos debería presentar alguna de las siguientes garantías (art. 46.2 RGPD):
1 – un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;
2 – normas corporativas vinculantes (art. 47 RGPD);
3 – cláusulas tipo de protección de datos adoptadas por la Comisión;
4 – cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión;
5 – código de conducta (aprobado con arreglo al artículo 40 RGPD);
6 – un mecanismo de certificación (aprobado con arreglo al artículo 42).
A falta de una decisión de adecuación por parte de la Comisión y de las citadas garantías, sólo podrá realizarse una transferencia internacional de datos si concurre alguna de las condiciones recogidas en el art. 49 RGPD (p.ej.: que el interesado haya prestado explícitamente su consentimiento a la transferencia). De lo contrario, deberá solicitarse autorización expresa de la Agencia Española de Protección de Datos.
La novedad más reciente en el ámbito de las transferencias internacionales de datos es la publicación, en el mes de noviembre, de la Decisión de la Comisión Europea sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países (versión borrador sometida a consulta pública hasta el 10 de diciembre). La Decisión prevé un Anexo que recoge las cláusulas contractuales a incluir en los contratos de tratamiento de datos que impliquen la realización de transferencias internacionales, a fin de cumplir con la garantía del art. 46.2 letra c) RGPD.
La publicación de dicha Decisión viene motivada por la sentencia del Tribunal de Justicia de la Unión Europa, de 16 de julio de 2020, en el asunto C-311/18 (sentencia Schrems II), que ha declarado inválido el Escudo de Privacidad (Privacy Shield) para la realización de transferencias internacionales de datos a los EE. UU. (Decisión 2016/1250). En este sentido, la sentencia del TJUE obliga a revisar los contratos de tratamiento perfeccionados entre los exportadores de datos situados en la UE y los importadores ubicados en los EE. UU., a efectos de garantizar que estos cumplen con las garantías exigidas legalmente a nivel europeo.
Por ello, cinco meses después del pronunciamiento del TJUE, se publica el citado borrador de la Decisión sobre cláusulas contractuales tipo para transferencias internacionales, a fin de fomentar su uso y, de este modo, garantizar el elevado nivel de protección exigido en el Capítulo V del Reglamento (UE) 2016/679.
[1] Consulte el siguiente enlace para conocer los terceros países reconocidos por la Comisión Europea, hasta el momento, como seguros en el ámbito de la protección de los datos de carácter personal: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
No Comments