Evolución de los movimientos internacionales de datos
Los movimientos internacionales de datos de carácter personal o transferencias internacionales, han significado en los últimos tiempos algún que otro contratiempo para multinacionales que realizan tratamientos de datos a gran escala (véase el “Caso Schrems” o “Caso Facebook”), y han requerido modificaciones y nuevas adaptaciones a la realidad tecnológica que constituye el entorno de los tratamientos, comunicaciones y movimientos de información personal.
Si nos atenemos al concepto estricto de transferencia internacional, tal como destaca la Agencia de Protección de Datos (AEPD), ésta supondría que un exportador de datos (responsable o encargado del tratamiento) situado en el Espacio Económico Europeo (EEE), efectuase una transmisión de datos de carácter personal con destino a un importador de datos (responsable, encargado o subencargado del tratamiento) situado en un tercer país, el cual no necesariamente ha de estar en condiciones de garantizar un nivel adecuado de protección para el tratamiento de los datos personales objeto de la transmisión.
En caso de que dicho nivel de protección no pueda ser garantizado, los riesgos para la seguridad de los datos personales transferidos, y en consecuencia, para la protección de la vida privada de los afectados, pueden llegar a ser muy elevados. Es por ello, que tanto la regulación en el ámbito europeo, a través de la Directiva 95/46/CE, como en el ámbito nacional mediante la propia Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), su reglamento de desarrollo, y la Instrucción 1/2000, de 1 de diciembre, de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos, han intentado configurar un marco jurídico exigente respecto a las garantías a adoptar por los operadores de las transferencias internacionales de datos.
Requisitos exigidos en materia de transferencias internacionales
En relación a los requisitos exigidos en materia de transferencias internacionales, podríamos distinguir tres supuestos fundamentales a tomar en consideración:
1.- Que la transferencia internacional tenga como destinatario a un importador que se encuentra en un tercer país, respecto al cual la Comisión Europea ha declarado que ofrece un nivel adecuado de protección.
Actualmente, la Comisión Europea ha decretado un nivel adecuado de protección, respecto a Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda y Estados Unidos. En el caso particular de Estados Unidos, la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EEUU, ha sentado las nuevas bases jurídicas aplicables a las transferencias realizadas con destino a Estados Unidos, tras el impacto ocasionado por el reseñado “Caso Schrems” y la sentencia dictada a este respecto por parte el TJUE. El Escudo de privacidad proporciona una lista con las entidades certificadas como Puerto Seguro y por tanto, respecto a las cuales se consideraría que aportan o garantizan un nivel adecuado de protección.
2.- Que la transferencia internacional tenga como destinatario un importador situado en un tercer país, respecto al cual la Directora de la Agencia Española de Protección de Datos (AEPD) estime que presenta un nivel adecuado de protección, a la luz de las normas vigentes en dicho Estado, y tras realizar una evaluación sucinta de aspectos tales como la naturaleza de los datos, la finalidad del tratamiento, la duración del mismo, o las medidas de seguridad aplicables y que se encuentren en vigor tanto en el país de origen como en el país de destino de la transferencia de datos personales. Además, ha de tenerse en cuenta que el nivel de protección exigido debe ser equiparable o recíproco al proporcionado por las disposiciones, exigencias y obligaciones fijadas por la LOPD y su reglamento de desarrollo.
3.- Que la transmisión de datos personales tenga como destinatario un importador situado en un tercer país que no ofrece un nivel adecuado de protección, y que dicha transmisión de datos no se encuadre en ninguno de los supuestos excepcionados en virtud del artículo 34 de la LOPD. Entre dichas excepciones, se encontrarían por ejemplo, las transferencias realizadas con consentimiento del afectado o aquellas cuya finalidad sea el ejercicio, reconocimiento o defensa de un derecho en el marco de un proceso judicial.
Por tanto, en aquellos supuestos en los cuales el nivel de seguridad y protección aportado por el Estado o país de destino -respecto a los datos personales afectados- sea suficiente o adecuado, y no podamos acudir a las excepciones recogidas por el artículo 34, deberemos acudir a la regla general fijada por el artículo 33 de la LOPD, que impone la necesidad de obtener una autorización por parte de la Directora de la AEPD.
Para que la autorización pueda ser otorgada, se deberán aportar garantías suficientes que permitan asegurar la salvaguarda y protección de la vida privada, los derechos y libertades fundamentales, de los titulares de los datos personales afectados. La forma más idónea para aportar dichas garantías, será la suscripción de un contrato entre el exportador y el importador de datos, en el cual se podrán emplear -con el fin de suplir las posibles deficiencias que presentase la transferencia- las denominadas Cláusulas Contractuales Tipo.
En virtud de si la transferencia se da entre dos responsables del tratamiento, entre un responsable y un encargado del tratamiento, o entre un encargado situado en territorio español y un subencargado del tratamiento, las Cláusulas Contractuales Tipo a utilizar para suscribir los contratos experimentarán variaciones, tal y como se refleja a continuación:
- Así pues, para el primer caso, serán aplicables las Cláusulas Contractuales Tipo previstas en la Decisión de la Comisión Europea 2001/497/CE, de 15 de junio de 2001, y la Decisión 2004/915/CE, de 27 de diciembre de 2004, debiendo el exportador y el importador optar en bloque únicamente por uno de los dos conjuntos de cláusulas.
- Para el segundo supuesto, se aplicarán las cláusulas contenidas en la Decisión de la Comisión Europea 2010/87/UE, de 5 de febrero de 2010, además de lo dispuesto en la norma sexta de la Instrucción 1/2000 de la AEPD y en el artículo 12 de la LOPD, puesto que al estar ante un tratamiento de datos por cuenta del responsable del fichero o tratamiento, deberán hacerse constar en el contrato las obligaciones atribuidas al encargado del tratamiento.
- Finalmente, para el tercer supuesto se podrán incluir en el contrato a suscribir por ambas partes, las cláusulas adoptadas por la Agencia Española de Protección de Datos, en su resolución de Autorización de Transferencia Internacional de Datos de 16 de octubre de 2012. Complementariamente, se requerirá además la suscripción de un acuerdo entre el responsable y el encargado del tratamiento, en virtud del cual se autoricen tanto la contratación del subencargado del tratamiento, como la realización de la transferencia internacional.
Si bien el marco señalado hasta el momento es el que actúa como referencia en nuestro país y continúa vigente hasta que no se produzcan modificaciones en el Derecho nacional a raíz de la futura aplicación del nuevo Reglamento Europeo de Protección de Datos (RGPD), éste ha introducido ciertos cambios en la configuración de las transferencias internacionales.
El RGPD contempla tres mecanismos fundamentales para permitir la realización de un movimiento internacional de datos personales: que se haya declarado un país o territorio con nivel de protección adecuado por parte de la Comisión Europea; que exista autorización por parte de una autoridad de control y se aporten garantías suficientes mediante contratos “ad hoc” o acuerdos administrativos entre las autoridades de control; o que no exista autorización, pero se aporten garantías suficientes mediante cláusulas tipo, certificaciones, adhesión a códigos de conducta, reglas corporativas vinculantes (binding corporate rules) o instrumentos jurídicos vinculantes entre autoridades u organismos públicos.
Complementariamente, el RGPD hace referencia a varios motivos de excepción a los criterios anteriormente destacados, para permitir de igual modo una transferencia internacional de datos. Tales motivos se relacionarían con la existencia del consentimiento del interesado, un interés legítimo, la necesaria celebración o ejecución de un contrato, la salvaguarda de un interés público etc.
En definitiva, parece que el nuevo RGPD pretende reducir al mínimo los supuestos en los que las transferencias internacionales deban regirse por el principio de autorización de la autoridad de control. Está aún todavía por ver, cómo la normativa nacional adaptará su contenido y la AEPD su funcionamiento, a las posibles modificaciones introducidas por el RGPD en una etapa de cambio para la privacidad y la protección de datos personales a nivel europeo y global.
