Las Transferencias internacionales de datos personales /AEPD

transferencias de datos internacionales
Kenia Echenique
Kenia Echenique

Máster en Protección de Datos por la AEPD y UNED

Dejar un comentario

Contenidos

¿Una casa nunca se puede empezar por el tejado verdad? Así que comencemos por la base con respecto a las transferencias internacionales de datos personales. 

 

No tengo una bola mágica para adivinar en qué fase de tu negocio te encuentras ahora mismo. Puede que estés empezando tu camino en el mundo digital. 

 

O que vengas de una empresa familiar que ahora está en proceso de transformación digital. 

 

Quizá empezaste monetizando tu blog, creaste cursos y ahora mismo tienes una academia, donde das muchísimo valor ayudando a tus alumnos a potenciar y llevar a un siguiente nivel  sus proyectos. 

 

Para todo lo que hagas en el mundo digital, vas a necesitar herramientas y aplicaciones online, que te presten servicios para las diferentes funciones de tu negocio. Te pongo algunos ejemplos: si tienes un hosting, herramientas de email marketing, una aplicación para agendar reuniones, herramientas de comunicaciones con tus clientes, usuarios o suscriptores que están fuera de la Unión Europea (UE) o del espacio económico europeo, se está produciendo un transferencia internacional de datos.

transferencia de datos

Es importante que antes de elegir una nueva herramienta para el desarrollo de tu negocio te preguntes e investigues: te preguntes, investigues y hagas un análisis de riesgo RGPD: 

 

¿Dónde está ubicada la sede de su empresa?

 

¿Sus servidores en qué país se encuentran?

 

¿Existe una transferencia internacional de datos?

 

¿Esta herramienta se encuentra en un país seguro?

 

¿Cumplo con el RGPD cuando utilizo esta herramienta? 

 

Son muchísimas las interrogantes que se te pueden venir a la mente. 

 

Acompáñame hasta el final para que despejes tus dudas sobre las transferencias de datos personales internacionales. 

¿Qué partes intervienen y cuáles son las finalidades de una transferencia internacional de datos personales?

Las transferencias internacionales de datos conlleva la circulación de información personal desde España o cualquier otro país de la UE, a destinatarios o prestadores de servicios en territorios fuera de la Unión Europea y el Espacio Económico Europeo. 

 

Es decir todos los países que conforman la Unión Europea y además Liechtenstein, Islandia y Noruega. 

 

Es importante tener en cuenta cuándo se producen las transferencias internacionales;  tanto si eres responsable de los datos porque es tu web y negocio, como si tienes la condición de encargado de tratamiento, porque prestas tus servicios y para los mismos tratas datos personales de otros.  

 

Debes asegurarte de cumplir con las exigencias de la Comisión Europea y de las autoridades de control competentes para que se den las condiciones que garanticen la protección de los datos personales.

 

Para que lo veas más claro te pongo un ejemplo:

 

Tienes una academia donde enseñas idiomas y estás en España, pero la herramienta donde se registran tus alumnos, que a su vez son tus clientes está en EE. UU.. 

 

Con lo que has visto hasta aquí, hay una transferencia internacional de datos. Pero ahora vamos a ver en qué casos estaríamos transfiriendo los datos con todas las garantías necesarias, de tal forma que tus clientes puedan sentirse tranquilos. 

¿Cuál es el nivel adecuado o seguro de protección de datos internacionales?

El nivel adecuado para realizar transferencias de datos internacionales cumpliendo con lo regulado en el RGPD, se produce cuando el destinatario de los datos se encuentre en un país declarado de nivel adecuado por la Comisión Europea.

¿Qué países se consideran seguros respecto a las transferencias internacionales de datos?

  • Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
  • Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos.
  • Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003. 
  • Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
  • Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
  • Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo de 2008.
  • Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.
  • Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010.
  • Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.
  • Uruguay. Decisión 2012/484/UE, de la Comisión, de 21 de agosto de 2012.
  • Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012. 
  •   Japón. Decisión de 23 de enero de 2019.
  •   Reino Unido. Decisión de 28 de junio de 2021.
ley europea de protección de datos

¿Cuáles son las garantías adecuadas en cuanto a transferencias internacionales de datos RGPD?

Para hacer una transferencia internacional de datos cumpliendo los requisitos del RGPD, se deben tener garantías de adecuación, cuando se transfieran datos a un país no seguro. 

 

¿Qué garantías serían? 

 

La Agencia Española de Protección de Datos (AEPD) explica los casos en que se puede hacer una transferencia internacional de datos personales cuando no se presente la condición de país o región segura entre los que se encuentra: 

 

  •  Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos. Este supuesto no te afecta, ya que es para instituciones públicas. 

 

  • Que existan normas corporativas vinculantes también conocidas como BCR, tampoco estaría vinculado a ti. “Se trata de las políticas de protección de datos asumidas por un responsable o encargado del tratamiento establecido en un Estado miembro para realizar transferencias internacionales de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.”  La AEPD debe aprobar estas normas

 

  • Las “Cláusulas contractuales tipo” adoptadas por la Comisión. Estas cláusulas seguramente son de las que más has oído hablar anteriormente,  por lo que voy a profundizar en ellas para que despejes todas tus dudas. 

¿Por qué ahora se habla tanto de las Cláusulas Contractuales tipo (CCS) o (SCC) en las transferencias de datos personales internacionales?

Las Cláusulas contractuales tipo CCS o SCC conocidas por sus siglas en inglés y en español, son una de las garantías principales para las transferencias internacionales de datos a EE. UU.. 

¿Cómo se han convertido las CCS o SSC en la principal garantía para hacer transferencias de datos internacionales si utilizas herramientas que están en EE. UU.?

Haremos un recorrido cronológico rápido para situarnos en el 2021. 

 

Con la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) el 25 de mayo de 2018, para hacer transferencias de datos internacionales y cumplir con las exigencias de privacidad y protección de datos, las empresas con sedes en EE. UU. debían estar dentro del Escudo de Privacidad, conocido como Privacy Shield

 

En julio de 2020 este Escudo de Privacidad quedó invalidado por una Sentencia del Tribunal de Justicia de la Unión Europea. Caso Schrems II.

 

Con fecha 4 de junio de 2021, la Comisión Europea ha publicado el nuevo conjunto de cláusulas contractuales tipo que, además de sustituir a sus predecesoras, pretenden poder enmarcar un abanico de transferencias ya sea entre responsable y responsable, entre responsable y encargado, entre encargados o entre encargado y responsable.

 

Para resumirlo de una manera sencilla, estas nuevas cláusulas de protección de datos permitirán a las pymes a que los datos fluyan, siempre que la protección fluya con ellos y, con la nueva aprobación, se ofrece una solución necesaria en un mundo digital interconectado, donde la transferencia de datos se realiza con uno o dos “clics”.

 

Las nuevas CCT sustituyen a los modelos vigentes de 2001 y 2010 e integran el principio de responsabilidad proactiva, que significa que las partes deben demostrar el cumplimiento de la normativa, e imponen al importador, en ocasiones, la obligación de documentar las actividades de tratamiento de datos que realiza por cuenta del exportador.

Análisis de Idoneidad

¿Son las CCT el único requisito que deben cumplir las empresas para transferir datos a Estados Unidos u otros países «no adecuados»? No.

 

Las cláusulas tipo son solo una parte del procedimiento legal necesario.

 

La otra, que también resulta imprescindible es el análisis de idoneidad del país o las circunstancias en las que se produce el envío, para asegurarse de que se producen con los estándares de seguridad que exige la normativa europea.

 

protección de datos

Tras la publicación de estos nuevos modelos, las antiguas CCT tendrán aún un plazo de vigencia de tres meses.

 

A partir de ese momento, se abre un periodo de 15 meses para que exportadores e importadores suscriban las nuevas versiones contractuales actualizadas.

Finalmente, debes saber que son dos los grandes tipos de empresas que deben prestar especial atención a este cambio.

 

En primer lugar, las tecnológicas que presten servicios a empresas o ciudadanos europeos, pero que tengan sus sedes fuera de la UE y por tanto remitan allí sus datos.

Y, en segundo término, compañías europeas de fuerte componente tecnológico, pero que tienen servicios descentralizados y tienen copias espejo en países como Estados Unidos, India o Rusia.

¿Existen excepciones para situaciones específicas en cuanto a transferencias internacionales de datos RGPD?

En los casos en que no exista una decisión de adecuación y  tampoco se den ninguna garantía que posibilite hacer una transferencia internacional de datos segura. Se podrían realizar las transferencias si se cumplen alguno de estos requisitos: 

 

  •  La persona interesada haya dado explícitamente su consentimiento
  • Que la transferencia sea necesaria para la ejecución de un contrato entre la persona interesada y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud de la persona interesada.
  • Otra condición podría ser que la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés de la  persona interesada, entre la  persona responsable del tratamiento y otra persona física o jurídica.
  • La transferencia es necesaria por razones importantes de interés público.   
  • Que la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones
  • El último requisito que se podría dar es que la transferencia sea necesaria para proteger los intereses vitales de la persona interesada o de otras personas, cuando la  persona interesada esté física o jurídicamente incapacitada para dar su consentimiento.

Tienes todos los elementos para asegurarte de hacer transferencias de datos personales internacionales seguras. Te recomiendo que en los casos que utilices una herramienta fuera del Espacio Económico Europeo, y no sea un país seguro, o no tengas garantías para hacer esta transferencia de datos. Pongas en una balanza si merece la pena exponer los datos de tus clientes o suscriptores. Protegiendo sus datos, también te estás protegiendo a ti y tu negocio. 

¿Cuándo es necesario la autorización de la AEPD para realizar una transferencia internacional de datos?

Según el AEPD y el artículo 46 apartado 3 del RGPD es necesaria la autorización para realizar una transferencia de datos internacional cuando las garantías adecuadas para realizar la transferencia internacional se basen en:

 

  • Cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional. 
  • Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados. 

Asimismo, en el primer caso deberá someterse también al mecanismo de coherencia del artículo 63 del RGPD (artículo 46 apartado 4 del RGPD).

red de internet

Además, la Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) establece en su artículo 42 los casos en los que se necesitará una autorización previa de las autoridades de protección de datos como la AEPD para poder llevar a cabo transferencias internacionales de datos personales: 

  • Las transferencias internacionales de datos a países u organizaciones internacionales que no cuenten con decisión de adecuación aprobada por la Comisión o que no se amparen en alguna de las garantías previstas en el artículo anterior y en el artículo 46.2 del Reglamento (UE) 2016/679, requerirán una previa autorización de la Agencia Española de Protección de Datos o, en su caso, autoridades autonómicas de protección de datos, que podrá otorgarse en los siguientes supuestos:
  • Cuando la transferencia pretenda fundamentarse en la aportación de garantías adecuadas con fundamento en cláusulas contractuales que no correspondan a las cláusulas tipo previstas en el artículo 46.2, letras c) y d), del Reglamento (UE) 2016/679.
  • Cuando la transferencia se lleve a cabo por alguno de los responsables o encargados a los que se refiere el artículo 77.1 de esta ley orgánica y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.

LEGAL BOX, la herramienta que te ayudará en la transferencia de datos legales

Con Legal Box podrás estar tranquilo y hacer un tratamiento de datos personales de tus clientes con la máxima seguridad y legalidad. 

 

No lo olvides y contrata ya la mejor herramienta legal de 2022. 

 

Si tienes alguna duda sobre las transferencias de datos internacionales no dudes en dejar un comentario y te responderemos encantados. 

QUIERO DESCUBRIR MÁS

Si quieres descargarte la guía (GRATIS), sólo tienes que rellenar este formulario

Responsable: Luz Soluciones TIC, S.L(Legal Box Plus) Finalidad: Gestionar y enviar información de boletines y promociones a través de correo electrónico. Legitimación: Consentimiento del interesado. Destinatarios: No se cederán a terceros salvo obligación legal. Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus. Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí en nuestra Política de Privacidad

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable: Luz Soluciones TIC, S.L (Legal Box Plus)
Finalidad: Moderar y responder comentarios de usuarios.
Legitimación: Consentimiento del interesado.
Destinatarios: No se cederán a terceros salvo obligación legal.

Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus.

Información adicional: Puedes consultar la información adicional y detallada obre Protección de Datos aquí: política de privacidad.

Carrito de compra