RRHH
RRHH
¿Qué son las transferencias internacionales de datos?
Concepto y características.
Cuando se habla de transferencia Internacional de datos, debe tenerse en cuenta que no se trata de un concepto legalmente definido, tal y como ocurre en otros casos. No obstante, atendiendo a la normativa de aplicación, pueden definirse como el tratamiento de datos que suponga una transmisión de los mismos fuera del Espacio Económico Europeo (EEE)
, ya sea una cesión o comunicación, o bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español (una prestación de servicios).
Concretamente, las transferencias internacionales de datos se regulan en los artículos 33 y 34 de la LOPD y en el Título VI del RLOPD, sin perjuicio de que esta normativa se encuentre complementada por las normas de derecho comunitario relativas a la transferencia internacional de datos, principalmente las Decisiones de la Comisión Europea mediante las que se articulan los diferentes modelos y tipos de transferencias internacionales, así como los Dictámenes jurídicos del GT29.
De conformidad con dicha normativa, los responsables de fichero y los encargados/subencargados de tratamiento no pueden llevar a cabo, como regla general, transferencias internacionales de datos personales, ya sean temporales o definitivas.
No obstante, la normativa prevé una serie de situaciones en las que es posible realizar las transferencias internacionales de datos, basadas en alguna de las siguientes fórmulas:
- Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
- Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
- Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
- Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
- Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
- Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
- Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
- Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
- Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
- Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquella sea acorde con la finalidad del mismo.
Es importante tener en cuenta que todos aquellos movimientos de datos dentro del territorio del Espacio Económico Europeo (EEE) no serán considerados transferencias internacionales.
Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.
Países con nivel de seguridad adecuado.
Las transferencias internacionales de datos personales que tengan como destino un país fuera del Espacio Económico Europeo (EEE) que ofrezca un denominado “nivel de protección de datos adecuado” suponen una excepción al régimen general de autorización previsto por el artículo 34 de la LOPD, que rige las transferencias internacionales de datos.
Así, cuando una transferencia en el marco de las funciones legítimas del cedente y del cesionario vaya dirigida a una jurisdicción que no pertenezca al EEE, pero ofrezca el nivel de protección adecuado, habrá de ajustarse al régimen general de las comunicaciones/ cesiones de datos personales.
Se considerará que proporcionan un nivel de protección de datos adecuado, o equiparable al establecido por la LOPD, todos los países del Espacio Económico Europeo (Unión Europea, Islandia, Liechtenstein y Noruega) y aquellos otros países que la Comisión Europea ha declarado como aptos.
Adicionalmente, debe tenerse en consideración la reciente aprobación de la Decisión de 12 de julio de 2016 Pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield, firmada entre Estados Unidos y la Comisión Europea, con el fin de sustituir el extinto Protocolo de Puerto Seguro (Safe Harbor Protocol), por el que será posible realizar transferencias internacionales de datos entre el EEE y organizaciones ubicadas en Estados Unidos sin que sea necesario obtener la preceptiva autorización por parte de las autoridades de control.
No hay que olvidar que en el caso de que la transferencia internacional de datos con destino a uno de estos países sea consecuencia de una prestación de servicios, esta circunstancia no exime de la obligación de tener que suscribir un contrato conforme a lo dispuesto en el artículo 12 de la LOPD.
Países con nivel de seguridad no adecuado.
Según establece el artículo 33 de la LOPD, no podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente ley, salvo que, además de haberse observado lo dispuesto en esta, se obtenga autorización previa del director de la Agencia de Protección de Datos, que solo podrá otorgarla si se obtienen garantías adecuadas.
Por tanto, cuando se pretenda transmitir datos de carácter personal fuera de España hacia países que no proporcionen un nivel de protección equiparable al que presta la LOPD, además de tratar los datos legalmente (notificación de ficheros, aplicación de los principios de la protección de datos, ejercicio de los derechos de las personas, etc.) se debe solicitar y obtener la autorización previa del director de la AEPD.
En aquellos casos en los que sea necesaria la autorización del director de la AEPD para transmisiones de datos fuera del territorio del EEE, la autorización podrá ser otorgada en caso de que, además de observarse lo que establece la LOPD, el exportador aporte las garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.
Obligaciones para regularizar las transferencias internacionales de datos.
Los cesionarios y receptores de las transferencias internacionales de datos de carácter personal deben respetar la normativa de protección de datos de la misma manera que si el tratamiento de datos se produjera dentro del Espacio Económico Europeo, además de obtener la autorización por parte del director de la AEPD.
Para obtener la autorización de la AEPD para la transferencia internacional de datos es necesario aportar las garantías adecuadas de respeto a la protección de la vida privada de los sujetos afectados y a sus derechos y libertades fundamentales, así como al ejercicio de sus respectivos derechos.
De esta forma, de conformidad con la reiterada doctrina mantenida por parte de la AEPD, así como a lo dispuesto en los artículos 70.2 y 70.4 RLOPD, se considerará que se cumple dicho requisito siempre que exportador e importador de datos hayan cumplido con alguno de los siguientes:
- Que se celebre un contrato escrito entre exportador e importador de los datos, empleando las cláusulas tipo aprobadas por la Comisión Europea, en función del tipo de relación de que se trate y según lo anteriormente indicado.
- Que cuando se trate de un grupo multinacional de empresa utilicen para regular el movimiento internacional de datos las conocidas como normas corporativas vinculantes, también conocidas como “Binding Corporate Rules” (BCR).
Por último, y como no podía ser de otra forma, para poder realizar transferencias internacionales de datos fuera del Espacio Económico Europeo, además de obtener la autorización del director de la AEPD, el responsable del fichero o tratamiento debe tener en cuenta los siguientes aspectos relativos al cumplimiento de la normativa vigente:
- Aplicación de la LOPD. El tratamiento de los datos sobre los que se realiza la transferencia internacional debe realizarse aplicando todas las garantías previstas en la LOPD (notificación de ficheros, aplicación de los principios de la protección de datos, ejercicio de los derechos de los sujetos afectados, etc.).
- Información. Es preciso informar a los sujetos afectados acerca de la divulgación de sus datos de carácter personal. Esta información deberá incluir también la relativa al nivel de protección y riesgo específico derivado del hecho de que sus datos se transfieran a un país que no ofrece un nivel de protección adecuado.
- Notificación. Las transferencias internacionales de datos de carácter personal deben ser notificadas a la AEPD, para su inscripción en el Registro General de Protección de Datos.
- Requisitos específicos para la comunicación/cesión de datos personales. Cuando la transferencia internacional de datos se realice con objeto de entregar dichos datos a un tercero para que sea este quien los trate por su cuenta, además de los requisitos anteriores, se deberán aplicar las garantías previstas en la LOPD en relación con la cesión o comunicación de datos. Esto supone que el exportador deberá informar debidamente al titular de la identidad del destinatario, la finalidad de la transferencia y el uso de los datos que podrá hacer el destinatario.
- Requisitos específicos para el acceso de datos por cuenta de terceros. Cuando la transferencia de datos personales se realice para que un tercero preste un servicio al responsable del fichero o tratamiento, además de los requisitos generales de notificación y autorización previa, será necesario formalizar un contrato por escrito en el que se hagan constar los extremos previstos en el artículo 12 de la LOPD.
Procedimiento de solicitud de transferencias internacionales de datos.
La vía más utilizada para adecuar legalmente las transferencias internacionales de datos es la obtención de la correspondiente autorización previa y específica para una o un conjunto de transferencias internacionales del director de la AEPD que, en todo caso, deberá venir precedida del cumplimiento riguroso todos los requisitos relativos a la regulación de dicha transferencia (firma de contratos, verificación del cumplimiento del cesionario, etc.).
A estos efectos, y de conformidad con lo dispuesto en el artículo 5.1.j), debe considerarse exportador de datos la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realiza una transferencia de datos de carácter personal a un país tercero.
Del mismo modo, y de conformidad con lo dispuesto en el artículo 5.1.ñ), se considera importador de datos la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargado del tratamiento o tercero.
Para obtener la autorización de la AEPD para poder llevar a cabo la transferencia internacional de datos es necesario aportar las garantías adecuadas de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales, así como al ejercicio de sus respectivos derechos.
Así, se considera que se aportan las garantías adecuadas:
- Cuando se celebra un contrato escrito entre exportador e importador de datos, empleando las cláusulas contractuales tipo aprobadas por la Comisión Europea.
- En el seno de un grupo multinacional de empresa, cuando se emplean las normas corporativas vinculantes, también conocidas como Binding Corporate Rules (BCR).
Para solicitar la autorización, basada en alguna de las cláusulas contractuales tipo citadas anteriormente, se deberán aportar, en función del tipo de transferencia que vayamos a realizar, determinados documentos.
Estos documentos son:
- Cuando el exportador es el responsable del fichero:
- Escrito de solicitud con identificación de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.
- Contrato basado en las cláusulas contractuales tipo firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español.
- Poderes suficientes de los firmantes y, en su caso, traducción jurada al español.
- La inscripción de los ficheros deberá encontrarse completamente actualizada (apartados relativos a los “Colectivos” y a las “Medidas de Seguridad”).
- Cuando el exportador de los datos es el encargado del tratamiento:
- Escrito de solicitud con identificación del exportador-encargado y del importador-subencargado.
- Contrato basado en las cláusulas contractuales firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español.
- Contrato marco entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que se autorice a este la subcontratación y la transferencia internacional de datos y, en su caso, traducción jurada al español.
- Poderes suficientes de los firmantes y, en su caso, traducción jurada al español.
Para solicitar la autorización basada en las reglas corporativas vinculantes se deberá:
- Elaborar y presentar un escrito de solicitud con identificación de las empresas exportadoras, empresas importadoras y de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.
- Facilitar una copia de las normas corporativas vinculantes (BCR).
- Facilitar una copia de la autorización formal otorgada por la autoridad líder.
- Garantizar que el solicitante tiene poderes suficientes.
- Llevar a cabo la inscripción de los ficheros, que deberá encontrarse completamente actualizada (apartados relativos a los “Colectivos” y a las “Medidas de Seguridad”).
- Todos los documentos deberán ser aportados, en caso de encontrarse en otro idioma diferente al español, con su debida traducción jurada al español.
Por último, debe tenerse en cuenta que la autorización de transferencias internacionales de datos se debe tramitar en el Registro General de Protección de Datos conforme al procedimiento establecido en la sección primera del Capítulo V del Título IX del RLOPD:
- El procedimiento se inicia a solicitud, siempre, del exportador que pretenda llevar a cabo la transferencia.
- En su caso, se podrá requerir al solicitante para que complete o modifique la documentación presentada en el plazo de 10 días, establecido en el artículo 71.1 de la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y Procedimiento Administrativo Común. Si transcurrido dicho plazo no se hubiera recibido su notificación, se le tendrá por desistido de su petición, procediéndose al archivo de su solicitud.
- Trámite de información pública con carácter potestativo (10 días).
- Cumplidos los requisitos legalmente exigibles, el director de la Agencia resolverá autorizar la transferencia internacional de datos, y se dará traslado de la resolución de autorización al Registro General de Protección de Datos, a fin de proceder a su inscripción.
- El Registro General de Protección de Datos inscribirá de oficio la autorización de transferencia internacional.
- El plazo máximo para dictar y notificar resolución será de tres meses desde la fecha de entrada en la Agencia Española de Protección de Datos de la solicitud.
- Si en dicho plazo no se hubiese dictado y notificado resolución expresa, se entenderá autorizada la transferencia internacional de datos.
La petición de autorización debe contener, al menos:
- La identificación del fichero afectado por la transferencia, con indicación de su denominación y código de inscripción del fichero en el Registro General de Protección de Datos.
- La transferencia sobre la que se solicita la autorización y la finalidad que la justifica.
- La documentación que incorpore las garantías necesarias para la obtención de la autorización, es decir:
- Las BCR, junto con la documentación que acredite su carácter vinculante y su eficacia dentro del grupo empresarial, así como toda aquella documentación que acredite la posibilidad de que el sujeto afectado o la AEPD puedan exigir la responsabilidad que corresponda en caso de perjuicio del afectado o vulneración de las normas de protección de datos por parte de cualquier empresa importadora.
- El contrato de transferencia internacional de datos de carácter personal, que incluya las cláusulas contractuales tipo que le correspondan, acreditándose, además, la concurrencia de poder suficiente en sus otorgantes.
Durante la tramitación del expediente de solicitud de autorización para la transferencia internacional de datos personales, la AEPD puede abrir un periodo de información pública, que debe ser anunciado en el BOE, con objeto de que cualquier persona física o jurídica pueda examinar el procedimiento, y en su caso, presentar las alegaciones correspondientes.
El plazo para las alegaciones, en este caso, es de diez días desde la publicación en el BOE. Transcurrido dicho plazo, si se han recibido alegaciones, la AEPD debe dar traslado de las mismas al solicitante de la autorización quien, en el mismo plazo (10 días), puede alegar lo que considere oportuno.
Comentarios