Un martes más seguimos con el Ciclo de artículos hacia la cuenta atrás del nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas por el que se deroga la Directiva 95/46/CE (en adelante, RGPD). Cada vez tenemos más cerca el esperado 25 de mayo, día en el cual el reglamento pasará a ser de aplicación obligatoria. Esta vez es el turno de las Transferencias Internacionales de Datos, reguladas en el RGPD en el Capítulo V.
>Contexto
La era actual puede cualificarse como la era digital. Vivimos en una sociedad globalizada de manera que las transferencias internacionales de datos son clave para la prestación de servicios entre países y empresas. Así pues, también es necesario establecer una regulación para mantener nuestros datos protegidos tanto en ámbito nacional como internacional. Por lo tanto, como no podía ser menos, el nuevo RGPD introduce novedades, las cuales vamos a analizar a continuación.
>Lugares de comunicación de los Datos
Los datos solo podrán ser comunicados fuera del Espacio Económico Europeo en los tres casos siguientes:
- A países, territorios o sectores específicos (el RGPD incluye también organizaciones internacionales) sobre los cuales la Comisión haya adoptado una decisión de reconocimiento que ofrezca un nivel de protección adecuado.
- Cuando se hayan ofertado garantías adecuadas sobre la protección que los datos recibirán en su destinación.
- Cuando se aplique alguna de las excepciones que permiten transferir los datos sin garantías de protección adecuada por razones de necesidad vinculadas al propio interés del titular de los datos o a intereses generales.
>La decisión de adecuación
La decisión de adecuación se ha llevado a cabo por los siguientes países:
- Suiza: Decisión 2000/518/CE de la Comisión, de 26 de julio de 2010.
- Canadá: Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001
- Argentina: Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003.
- Guernesey: Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
- Isla de Man: Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
- Jersey: Decisión 2008/393/CE de la Comisión, de 8 de mayo de 2008.
- Islas Feroe: Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.
- Andorra: Decisión 2010/625/UE de la Comisión, de 19 de octubre 2010.
- Israel: Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.
- Uruguay: Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012.
- Nueva Zelanda: Decisión 2013/65/UE de la Comisión, de 21 de agosto de 2012.
- Estados Unidos: Solo si la entidad está adherida a “Privacy Shield”.
Por lo tanto, esto quiere decir que aún habiendo en esta lista países que no están dentro del Espacio Económico Europeo, sea porque tienen leyes que se asimilan a las nuestras o sea porque existen convenios internacionales, se considera que tiene un nivel adecuado de protección y por tanto se podrán también en este caso transferir datos personales a empresas establecidas en estos.
Debe haber la autorización de las transferencias por parte de las Autoridades de control además de decidir elaborar normas corporativas vinculantes, cláusulas contractuales tipos, códigos de conducta y esquemas de certificación.
>Principales cambios
El nuevo RGPD establece un seguido de cambios respecto de la regulación actual compuesta por la LOPD 15/1999 y su reglamento de desarrollo el Real Decreto 1720/2007 RLOPD. Así pues, son las siguientes:
- Exportador de datos: tanto el Responsable como el Encargado podrán realizar transferencias internacionales de datos.
- Notificación de la transferencia a la AEPD: la LOPD ya prevé la posibilidad de transferir datos a terceros países, pero el nuevo RGPD incorpora la obligación de notificar dicha transferencia.
- TI mediante garantías adecuadas: el RGPD establece que las transferencias basadas en un conjunto de garantías dejan de requerir la autorización previa por parte de la AEPD y son las siguientes:
- Instrumentos jurídicamente vinculantes entre autoridades públicas
- Normas corporativas vinculantes
- Cláusulas tipo adoptadas por la Comisión
- Cláusulas tipo adoptadas por una autoridad de control y aprobadas por la Comisión
- Un código de conducta
- Un mecanismo de certificación
- TI para situaciones específicas: en este supuesto hay dos novedades relevantes que son:
- Que el consentimiento del interesado pasa a de ser inequívoco a explícito con el deber de informarle de los posibles riesgos.
- Se permite una transferencia basada en el interés legítimo imperioso del Responsable del tratamiento, siempre que no sea repetitiva, afecte a un número limitado de interesados, no prevalezcan los derechos del interesado y se ofrezcan garantías apropiadas. En este caso, la transferencia debe notificarse a la AEPD.