El nuevo Reglamento y las transferencias internacionales

14/02/2017

El Reglamento General de Protección de Datos introduce novedades importantes en el régimen de autorización y notificación previa de las transferencias internacionales de datos

Las transferencias internacionales de datos de carácter personal adquirieron una mayor relevancia pública tras las revelaciones de Snowden y, sobre todo, con la sentencia del Tribunal de Justicia de la Unión Europea, de octubre de 2015, que invalidó la Decisión de Puerto Seguro de la Comisión Europea que consideraba que las entidades de EEUU adheridas a dicho sistema proporcionaban un nivel adecuado de protección. Esta sentencia dio lugar a que muchos responsables de ficheros adquirieran consciencia de que estaban realizando transferencias internacionales con motivo de la contratación de determinados servicios, fundamentalmente de cloud computing.

Puerto Seguro fue sustituido por Escudo de la Privacidad como sistema para poder transmitir datos a los EEUU, pero no vamos a centrarnos en él sino en las novedades que el Reglamento General de Protección de Datos (RGPD) establece en la regulación de las transferencias internacionales de datos. 

El RGPD parte de los criterios ya establecidos en la Directiva 95/46 e incorporados en la legislación interna española, es decir, que sólo se podrán transmitir datos a aquellos países, territorios, sectores u organismos internacionales respecto de los que la Comisión Europea haya considerado que disponen de un nivel adecuado de protección o, en otro caso, se aporten garantías suficientes o se den algunas de las circunstancias previstas como excepciones, y siempre y cuando se observen los demás requisitos del Reglamento.

El RGPD introduce novedades que afectan a todo el régimen de transferencias internacionales, pero vamos a fijarnos en las que hacen referencia al régimen de autorizaciones que supone un cambio radical con el modelo de la actual normativa.

La primera cuestión es que el RGPD establece sin duda alguna que el exportador de datos puede ser tanto un responsable como un encargado del tratamiento, precisión con la que definitivamente se pone fin a las restricciones legales de determinados Estados miembros en los que el exportador ha de ser siempre el responsable del tratamiento. Ello da lugar a que los prestadores de servicio establecidos en terceros países se encuentren en mejor situación a la hora de subcontratar en esos u otros terceros países que los prestadores de servicios establecidos en la UE. Situación que, en nuestro ámbito, fue abordada por la Agencia Española de Protección de Datos mediante la adopción de un modelo de cláusulas contractuales que ofrecen las garantías adecuadas para las transferencias internacionales de encargados establecidos en España a subencargados en terceros países.

Asimismo, se amplía el abanico de instrumentos en los que se pueden incluir y aportar las garantías adecuadas para proteger los derechos de los afectados como consecuencia de la transferencia de datos. Se incorporan los códigos de conducta y los mecanismos de certificación como instrumentos que pueden incorporar esas garantías, además de las Normas Corporativas Vinculantes (conocidas por sus siglas en inglés, BCR) para los grupos multinacionales que, aunque en la práctica ya están operativas, merced al trabajo del Grupo de Trabajo del Artículo del 29 (GT29), por primera vez se reconocen con rango legal, lo que va a posibilitar su uso en aquellos Estados miembros que hasta la fecha no las consideran válidas al derivar la vinculación no sólo de la vía contractual sino también de declaraciones unilaterales. Esta gama más amplia de instrumentos tendría que facilitar la labor de los exportadores al disponer de más entre los que elegir.

Pero donde más evidente son las novedades que introduce el RGPD es en el régimen de autorización y notificación previa de las transferencias internacionales, que quedan reducidas a muy pocos supuestos.

La actual normativa aplicable obliga a los exportadores de datos a solicitar de la Agencia Española de Protección de Datos una autorización previa para poder transferir datos a importadores establecidos en países que no cuentan con un nivel adecuado de protección, siempre que aporten las garantías suficientes, y a notificarle las transferencias cuando se dirigen a países que sí disponen de dicho nivel adecuado o, en otro caso, se realizan al amparo de alguna de las excepciones previstas en el artículo 34 de la Ley Orgánica de Protección de Datos. En el marco del RGPD las transferencias se pueden llevar a cabo sin necesidad de autorización previa, salvo que las garantías se aporten a través de un contrato ad hoc o de un acuerdo administrativo entre autoridades públicas, ni de notificación a la autoridad de control, salvo que se amparen en la excepción basada en el interés legítimo imperioso del responsable del tratamiento y se cumplan los demás requisitos que para este supuesto establece el RGPD.

Modificaciones sustantivas que, sin duda, van a facilitar las relaciones comerciales y la cooperación internacional al evitar tener que solicitar la autorización de la Agencia en la mayoría de los casos, pero al mismo tiempo garantizando los derechos de los afectados en la transmisión de los datos fuera de la UE.