© 2017    :    Aviso Legal    :    Política de Cookies

Solicite presupuesto (34) 91 790.68.94

MARKETING, INTERNET & COPYRIGHT

RIESTRA ABOGADOS MARKETING LEGAL S.L.P.

B-85803898

Paseo de la castellana, 135 - 7ª planta. 28046 Madrid (Spain)

t- (34) 91 790.68.94 / f- (34) 91 790.68.69

e-mail: info@riestra-abogados.com

Síguenos:

Newsletter

Riestra Abogados. 17 de abril de 2017

 

 

Las transferencias internacionales de datos y todo lo que ello conlleva, siempre ha ocasionado numerosas dudas e incertidumbre tanto en la doctrina, el legislador, como en los responsables de los ficheros. por ello, en el presente artículo vamos a desgranar de forma sencilla la problemática que existe al respecto y cómo actuar cuando nos encontremos ante una transferencia internacional de datos para cumplir con el nuevo reglamento de protección de datos de la ue y, la legislación vigente evitando de esta manera las cuantiosas sanciones impuestas por la agencia española de protección de datos (aepd).

 

Definiciones

 

En primer lugar, procederemos a describir los conceptos básicos a tener en consideración para identificar cuándo nos encontramos ante una transferencia de datos personales y quiénes son los agentes involucrados en la misma.

 

Transferencia internacional de datos: “es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del espacio económico europeo (eee), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español” (art. 5.1.s) reglamento de desarrollo de la ley orgánica de protección de datos).

 

Exportador de datos: “es la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realiza una transferencia de datos de carácter personal a un país tercero” (art. 5.1.j) rlopd).

 

Importador de datos: “es la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargado del tratamiento o tercero.” (art. 5.1.ñ) rlopd).

 

Antecedentes

 

Para comprender las novedades existentes respecto al tema objeto de estudio, es de vital importancia clarificar lo acaecido respecto al “puerto seguro” o también denominado “safe harbour” y, el paso de éste al “privacy shield” o “escudo de privacidad”.

 

El llamado safe harbour data de 1999 cuando se inician las primeras negociaciones entre eeuu y la unión europea con el único fin de alcanzar un nivel adecuado de protección de los datos personales que son transferidos entre ambas zonas, puesto que debido al carácter predominantemente “autorregulador” del mercado estadounidense, no existe una legislación unificada en materia de protección de datos en dicho territorio, con los problemas de seguridad jurídica que ello implica. por consiguiente, el acuerdo de “puerto seguro” no es más que el consenso al que llegaron eeuu y la unión europea respecto al establecimiento de determinados principios básicos sobre los que sustentar las diversas transferencias internacionales de datos personales.

 

Sin embargo, a pesar de la insistente recurrencia a dicho acuerdo para realizar las diversas transferencias internacionales de datos personales, éste empieza a tambalearse con motivo de una denuncia interpuesta por maximiliam schrems contra facebook ante el tribunal supremo irlandés, el cual plantea una cuestión prejudicial al tribunal de justicia de la unión europea, (en adelante tjue) en relación a la fiabilidad que facebook ofrecía respecto a la protección de datos.

 

A raíz de dicha cuestión prejudicial, el tjue publica una sentencia el 6 de octubre de 2015 por la que se invalida el safe harbour en base a dos motivos: “abogar por la prevalencia del interés público sobre los derechos fundamentales a la intimidad y la protección de datos sin facilitar a los ciudadanos europeos medios para ejercitar la tutela efectiva de los mismos, así como no conceder a los estados miembro un período razonable para suspender las transferencias de datos personales en aquellos casos donde se detecte una vulneración de los derechos de los ciudadanos europeos” conforme apunta el letrado.

 

A consecuencia de dicha sentencia, las diferentes agencias de protección de datos europeas emitieron una declaración conjunta en la que especificaban que todas aquellas transferencias de datos que se siguieran llevando a cabo bajo el amparo del acuerdo de puerto seguro, eran declaradas ilegales; a la vez que insistieron en la vital importancia de llegar a acuerdos políticos, soluciones jurídicas y técnicas para dotar de seguridad jurídica aquellas transferencias internacionales salvaguardando los derechos fundamentales de los ciudadanos europeos. dicho comunicado, establecía como fecha última enero del presente año para que se estableciesen nuevos acuerdos y, en caso contrario, las agencias de protección de datos tomarían las medidas pertinentes para cumplir con la ley.

 

Los últimos acuerdos han derivado en el llamado “escudo de privacidad” o “privacy shield” que se sustenta en tres pilares fundamentales según anunció la comisión europea:

 

- se establecen obligaciones más estrictas dirigidas a las empresas que ostenten datos personales de ciudadanos europeos. es decir, se prevé la creación de mecanismos de protección del consumidor y rectificación.

- obligaciones de salvaguardia y transparencia respecto al acceso a los datos por parte del gobierno estadounidense.

- mecanismos de monitorización del cumplimiento por parte de la comisión europea.

 

Unos meses más tarde de la entrada en vigor del privacy shield, el presidente de eeuu donald trump ha aprobado diferentes normativas entre las que se encuentra la siguiente “enhancing public safety in the interior of the united states” que tiene como objetivo facilitar el cumplimiento de la normativa migratoria estadounidense en aras de garantizar la seguridad de estados unidos.

 

Sin embargo, en la cláusula 14 se habilita a las instituciones norteamericanas para que puedan excluir, a todos aquellos ciudadanos que no sean estadounidenses u ostenten residencia legal en eeuu, de la aplicación de la normativa que garantiza su privacidad.

 

Por tanto, podríamos decir que ¿el acuerdo del privacy shield se ha venido abajo con dicha normativa? las autoridades norteamericanas han confirmado que dicha normativa no interferirá en el acuerdo de privacidad firmado con la ue, no obstante, la duda está en el aire.

 

Supuestos legalmente excepcionados de autorización.

 

Conforme se establece en el art. 34 lopd y en el art. 66.2 rlopd no será necesaria la autorización de forma previa por parte de la directora de la agencia española de protección de datos:

 

- cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte españa.

- cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional

- cuando se refiera a transferencias dinerarias conforme a su legislación específica.

- cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

- cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

- cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

- cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

- cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un registro público y aquélla sea acorde con la finalidad del mismo.

- (…)

 

En este mismo sentido gira lo establecido por el nuevo reglamento de protección de datos de la ue, en su art. 49.

 

Supuestos que requieren autorización de la autoridad competente.

 

Conforme se recoge en el art. 47 del nuevo reglamento de protección de datos de la ue, la comisión establece que las autoridades de control competentes, en el caso español la agencia de protección de datos, deberán establecer normas corporativas vinculantes para la autorización de transferencias internacionales de datos personales cuando no existen garantías suficientes para la protección de dichos datos.

 

Por tanto, en aquellos supuestos en los que sea necesaria la autorización de la directora de la agencia española de protección de datos para transmisiones de datos fuera del territorio del espacio económico europeo, “la autorización podrá ser otorgada en caso de que, además de observarse lo que establece la lopd, el exportador aporte las garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.

 

De conformidad con lo dispuesto en el artículo 33 de la lopd, la autorización de transferencia internacional de datos a un país que no ha sido declarado como país con un nivel adecuado de protección sólo podrá otorgarse si se obtienen garantías suficientes. así, podrá ser otorgada si el responsable del fichero aporta un contrato escrito, celebrado entre el exportador y el importador de datos, en el que consten las necesarias garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos”1.

 

1 https://www.agpd.es/portalwebagpd/canalresponsable/transferencias_internacionales/index-ides-idphp.php (consultado el 03/04/2017)

 

Transferencias internacionales de datos entre responsables de tratamiento

 

Según la agencia de protección de datos, para este tipo de transferencias se considerarán que “reúnen las garantías adecuadas los contratos celebrados en los términos previstos en las decisiones de la comisión europea 2001/497/ce, de 15 de junio de 2001, y 2004/915/ce, de 27 de diciembre de 2004, por la que se modifica la anterior” 2.

 

2https://www.agpd.es/portalwebagpd/canaldocumentacion/legislacion/union_europea/decisiones/common/pdfs/dec_2004_915_ce_271204_vers_consoli.pdf (consultado el 03/04/2017)

 

Transferencias internacionales de datos de responsable a encargado del tratamiento

 

Por otro lado, cuando la transferencia de datos se realice entre un responsable y un encargado del tratamiento se considerarán según la agencia de protección de datos que reúnen las garantías adecuadas “los contratos que incluyan las cláusulas contractuales tipo establecidas en la decisión de la comisión europea 2010/87/ue, de 5 de febrero de 2010”.

 

Transferencia internacional de datos de encargado a subencargado del tratamiento

 

Por último, se podrán autorizar transferencias internacionales de datos entre un encargado del tratamiento/exportador de datos, establecido en españa, y un subencargado del tratamiento/importador de datos, ubicado en un país que no garantiza un nivel adecuado de protección, siempre que “por el exportador de datos se aporten las garantías suficientes de respeto a la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos”.

 

Para ello, se considerará que proporcionan las garantías adecuadas los contratos que incluyan “las cláusulas tipo adoptadas por la agencia española de protección de datos en su resolución de autorización de transferencia internacional de datos de 16 de octubre de 2012.

 

Además del contrato entre el encargado del tratamiento/exportador de los datos e importador/subencargado del tratamiento, se requiere el contrato marco entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que aquél autorice la subcontratación y la transferencia internacional de datos”3

 

3https://www.agpd.es/portalwebagpd/resoluciones/autorizacion_transf/common/pdfs/modelo-definitivo-aepd_contrato-encargado-subencargado-21-03-2012.pdf (consultado el 03/04/2017)

 

 

Conclusión

 

Con motivo de la globalización existente en los mercados y el auge de los sistemas informáticos, las transferencias internacionales de datos han adquirido tal relevancia que ya no son únicamente los titulares de dichos datos de carácter personal los únicos involucrados e interesados en las numerosas transferencias internacionales que se realizan a diario, sino que también se ven afectadas las empresas y/u organizaciones que llevan a cabo las mismas.

 

Por ello, como hemos podido observar, la realización de una transferencia internacional de datos lleva consigo determinadas exigencias que debemos tener en consideración a la hora de emprender dicha acción, siendo la agencia española de protección de datos la encargada de supervisar que se cumplen las garantías adecuadas y la transparencia requerida en los procedimientos para su autorización.

 

Por tanto, a modo de conclusión si tuviéramos que destacar un elemento clave a tener en consideración antes de realizar una transferencia internacional de datos es el nivel de protección que ofrece el país de destino puesto que de ello derivará el proceso a seguir para realizar dicho movimiento de datos de forma segura, conforme a lo establecido por la normativa legal vigente y por el nuevo reglamento de protección de datos de la ue mediante el cual, la comisión hace especial hincapié en las medidas de seguridad en cuanto a protección de datos que brindan terceros países para permitir la realización de una transferencia internacional de datos y favorecer la cooperación internacional en este ámbito conforme se recoge en el art. 50 del nuevo reglamento de protección de datos.

 

Transferencias internacionales de datos personales.

(LOPD / Nuevo Reglamento de Protección de Datos)

Suscribase a nuestro Newsletter y reciba periódicamente novedades de marketing legal.

ENVIAR BORRAR