Las transferencias internacionales de datos personales han aumentado de forma considerable gracias al comercio intercontinental

Las Transferencias internacionales de datos personales /AEPD

¿Una casa nunca se puede empezar por el tejado verdad? Así que comencemos por la base con respecto a las transferencias internacionales de datos personales. 

No tengo una bola mágica para adivinar en qué fase de tu negocio te encuentras ahora mismo. Puede que estés empezando tu camino en el mundo digital. 

O que vengas de una empresa familiar que ahora está en proceso de transformación digital. 

Quizá empezaste monetizando tu blog, creaste cursos y ahora mismo tienes una academia, donde das muchísimo valor ayudando a tus alumnos a potenciar y llevar a un siguiente nivel  sus proyectos. 

Para todo lo que hagas en el mundo digital, vas a necesitar herramientas y aplicaciones online, que te presten servicios para las diferentes funciones de tu negocio. Te pongo algunos ejemplos: si tienes un hosting, herramientas de email marketing, una aplicación para agendar reuniones, herramientas de comunicaciones con tus clientes, usuarios o suscriptores que están fuera de la Unión Europea (UE) o del espacio económico europeo, se está produciendo un transferencia internacional de datos.

Es importante que antes de elegir  una nueva herramienta para el desarrollo de tu negocio te preguntes e investigues: 

¿Dónde está ubicada la sede de su empresa?

¿Sus servidores en qué país se encuentran?

¿Existe una transferencia internacional de datos?

¿Esta herramienta se encuentra en un país seguro?

¿Cumplo con el RGPD cuando utilizo esta herramienta? 

Son muchísimas las interrogantes que se te pueden venir a la mente. 

Acompáñame hasta el final para que despejes tus dudas sobre las transferencias internacionales de datos personales. 

¿Qué partes intervienen y cuáles son las finalidades de una transferencia internacional de datos personales?

Las transferencias internacionales de datos conlleva la circulación de información personal desde España o cualquier otro país de la UE, a destinatarios o prestadores de servicios en territorios fuera de la Unión Europea y el Espacio Económico Europeo. 

Es decir todos los países que conforman la Unión Europea y además Liechtenstein, Islandia y Noruega. 

Es importante tener en cuenta cuándo se producen las transferencias internacionales;  tanto si eres responsable de los datos porque es tu web y negocio, como si tienes la condición de encargado de tratamiento, porque prestas tus servicios y para los mismos tratas datos personales de otros.  

Debes asegurarte de cumplir con las exigencias de la Comisión Europea y de las autoridades de control competentes para que se den las condiciones que garanticen la protección de los datos personales.

Para que lo veas más claro te pongo un ejemplo:

Tienes una academia donde enseñas idiomas y estás en España, pero la herramienta donde se registran tus alumnos, que a su vez son tus clientes está en EE. UU.. 

Con lo que has visto hasta aquí, hay una transferencia internacional de datos. Pero ahora vamos a ver en qué casos estaríamos transfiriendo los datos con todas las garantías necesarias, de tal forma que tus clientes puedan sentirse tranquilos. 

¿Cuál es el nivel adecuado o seguro de protección de datos?

El nivel adecuado para realizar transferencias internacionales cumpliendo con lo regulado en el RGPD, se produce cuando el destinatario de los datos se encuentre en un país declarado de nivel adecuado por la Comisión Europea.  

¿Qué países se consideran seguros respecto a  las transferencias internacionales? 

  • Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
  • Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos.
  • Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003. 
  • Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
  • Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
  • Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo de 2008.
  • Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.
  • Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010.
  • Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.
  • Uruguay. Decisión 2012/484/UE, de la Comisión, de 21 de agosto de 2012.
  • Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012. 
  •   Japón. Decisión de 23 de enero de 2019.
  •   Reino Unido. Decisión de 28 de junio de 2021. 

¿Cuáles son las garantías adecuadas?

Para hacer una transferencia internacional de datos cumpliendo los requisitos del RGPD, se deben tener garantías de adecuación, cuando se transfieran datos a un país no seguro. 

¿Qué garantías serían? 

La Agencia Española de Protección de Datos (AEPD) explica los casos en que se puede hacer una transferencia internacional de datos cuando no se presente la condición de país o región segura entre los que se encuentra: 

  1. Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos. Este supuesto no te afecta, ya que es para instituciones públicas. 
  1. Que existan normas corporativas vinculantes también conocidas como BCR, tampoco estaría vinculado a ti. “Se trata de las políticas de protección de datos asumidas por un responsable o encargado del tratamiento establecido en un Estado miembro para realizar transferencias internacionales de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.”  La AEPD debe aprobar estas normas
  1. Las “Cláusulas contractuales tipo” adoptadas por la Comisión. Estas cláusulas seguramente son de las que más has oído hablar anteriormente,  por lo que voy a profundizar en ellas para que despejes todas tus dudas. 

¿Por qué ahora se habla tanto de las Cláusulas Contractuales tipo (CCS) o (SCC)? 

Las Cláusulas contractuales tipo CCS o SCC conocidas por sus siglas en inglés y en español, son una de las garantías principales para las transferencias internacionales de datos a EE. UU.. 

¿Cómo se han convertido las CCS o SSC en la principal garantía para hacer transferencias internacionales si utilizas herramientas que están en EE. UU.? 

Haremos un recorrido cronológico rápido para situarnos en el 2021. 

Con la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) el 25 de mayo de 2018, para hacer transferencias internacionales de datos y cumplir con las exigencias de privacidad y protección de datos, las empresas con sedes en EE. UU. debían estar dentro del Escudo de Privacidad, conocido como Privacy Shield

En julio de 2020 este Escudo de Privacidad quedó invalidado por una Sentencia del Tribunal de Justicia de la Unión Europea. Caso Schrems II.

Con fecha 4 de junio de 2021, la Comisión Europea ha publicado el nuevo conjunto de cláusulas contractuales tipo que, además de sustituir a sus predecesoras, pretenden poder enmarcar un abanico de transferencias ya sea entre responsable y responsable, entre responsable y encargado, entre encargados o entre encargado y responsable.

Para resumirlo de una manera sencilla, estas nuevas cláusulas permitirán a las pymes a que los datos fluyan, siempre que la protección fluya con ellos y, con la nueva aprobación, se ofrece una solución necesaria en un mundo digital interconectado, donde la transferencia de datos se realiza con uno o dos “clics”.

Las nuevas CCT sustituyen a los modelos vigentes de 2001 y 2010 e integran el principio de responsabilidad proactiva, que significa que las partes deben demostrar el cumplimiento de la normativa, e imponen al importador, en ocasiones, la obligación de documentar las actividades de tratamiento que realiza por cuenta del exportador.

Análisis de Idoneidad

¿Son las CCT el único requisito que deben cumplir las empresas para transferir datos a Estados Unidos u otros países «no adecuados»? No.

Las cláusulas tipo son solo una parte del procedimiento legal necesario.

La otra, que también resulta imprescindible es el análisis de idoneidad del país o las circunstancias en las que se produce el envío, para asegurarse de que se producen con los estándares de seguridad que exige la normativa europea.

Tras la publicación de estos nuevos modelos, las antiguas CCT tendrán aún un plazo de vigencia de tres meses.

A partir de ese momento, se abre un periodo de 15 meses para que exportadores e importadores suscriban las nuevas versiones contractuales actualizadas.

Finalmente, debes saber que son dos los grandes tipos de empresas que deben prestar especial atención a este cambio.

En primer lugar, las tecnológicas que presten servicios a empresas o ciudadanos europeos, pero que tengan sus sedes fuera de la UE y por tanto remitan allí sus datos.

Y, en segundo término, compañías europeas de fuerte componente tecnológico, pero que tienen servicios descentralizados y tienen copias espejo en países como Estados Unidos, India o Rusia.

¿Existen excepciones para situaciones específicas?

En los casos en que no exista una decisión de adecuación y  tampoco se den ninguna garantía que posibilite hacer una transferencia internacional de datos segura. Se podrían realizar las transferencias si se cumplen alguno de estos requisitos: 

  •  La persona interesada haya dado explícitamente su consentimiento
  • Que la transferencia sea necesaria para la ejecución de un contrato entre la persona interesada y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud de la persona interesada.
  • Otra condición podría ser que la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés de la  persona interesada, entre la  persona responsable del tratamiento y otra persona física o jurídica.
  • La transferencia es necesaria por razones importantes de interés público.   
  • Que la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones
  • El último requisito que se podría dar es que la transferencia sea necesaria para proteger los intereses vitales de la persona interesada o de otras personas, cuando la  persona interesada esté física o jurídicamente incapacitada para dar su consentimiento.

Tienes todos los elementos para asegurarte de hacer transferencias internacionales seguras. Te recomiendo que en los casos que utilices una herramienta fuera del Espacio Económico Europeo, y no sea un país seguro, o no tengas garantías para hacer esta transferencia de datos. Pongas en una balanza si merece la pena exponer los datos de tus clientes o suscriptores. Protegiendo sus datos, también te estás protegiendo a ti y tu negocio. 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable: Luz Soluciones TIC, S.L (Legal Box Plus)
Finalidad: Moderar y responder comentarios de usuarios.
Legitimación: Consentimiento del interesado.
Destinatarios: No se cederán a terceros salvo obligación legal.

Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus.

Información adicional: Puedes consultar la información adicional y detallada obre Protección de Datos aquí: política de privacidad.

X