Transferencia de datos a terceros países
Home » RGPD » Principales herramientas y acciones » Transferencia de datos a terceros países

Mikel Recuero Linares (UPV/EHU)

Esta parte de las Directrices ha sido revisada y validada por Marko Sijan, Asesor Superior Especialista, (HR DPA)

 

El RGPD no define expresamente qué se entiende por transferencia de datos a terceros países u organizaciones internacionales (en adelante, “transferencia internacional”). Sin embargo, el régimen de las transferencias internacionales se establece explícitamente en los artículos 44 a 50 del Reglamento. Por lo tanto, la definición de transferencia internacional debe deducirse evaluando cada concepto por separado, lo que dará lugar a la siguiente definición:

La operación de tratamiento por la que un responsable o un encargado del tratamiento dentro del EEE (“exportador de datos”) transfiere (o da acceso a) datos personales a un responsable o encargado del tratamiento fuera del EEE (“importador de datos”) o a una organización internacional.

Estas transferencias son perfectamente aceptables y, a menudo, necesarias, pero no deben socavar el nivel de protección de las personas afectadas dado en la UE o concedido por el RGPD. Por lo tanto, las transferencias a terceros países u organizaciones internacionales deben realizarse en pleno cumplimiento del capítulo V del RGPD.

Requisitos

Las transferencias de datos personales a terceros países y organizaciones internacionales sólo podrán realizarse:

  • Cuando el responsable o el encargado del tratamiento hayan cumplido las demás disposiciones del RGPD[1]. Antes de llevar a cabo la transferencia internacional, también deben cumplirse las disposiciones y requisitos del RGPD. Además de las normas específicas del capítulo V aplicables a las transferencias de datos, el importador y el exportador de datos tendrán que cumplir “las demás disposiciones del presente Reglamento” (por ejemplo, los principios generales, la base jurídica, las excepciones para el tratamiento de datos sensibles, etc.).
  • Cuando el responsable o el encargado del tratamiento cumplan las condiciones específicas establecidas en relación con las transferencias de datos personales. Esto puede llevarse a cabo, principalmente, a través de tres instrumentos, en este orden exacto:

  • Estos principios y requisitos no sólo se aplicarán a la primera transferencia de datos, sino también a las transferencias posteriores a otros responsables o encargados del tratamiento en el mismo país o en otro tercer país u organización[2] internacional.

A) Traslados sobre la base de una decisión de adecuación

En primer lugar, sólo se puede realizar una transferencia si está amparada por una decisión de adecuación. Esta decisión es una resolución de la Comisión Europea que establece que el marco jurídico vigente en ese país, territorio, sector u organización internacional ofrece una protección “adecuada” de los derechos y libertades de las personas para sus datos[3] personales. Una “decisión de adecuación” es un acto de ejecución de la Comisión [4]adoptado con arreglo a un procedimiento de examen [5]y sujeto a una revisión periódica.

La adopción de una decisión de adecuación implica:

  • una propuesta de la Comisión Europea;
  • un dictamen del Comité Europeo de Protección de Datos (CEPD);
  • una aprobación de los representantes de los países de la UE; y
  • La adopción de la decisión por parte de los Comisarios Europeos.

El objetivo de esta decisión es, por tanto, evaluar si un país, territorio, sector u organización internacional ofrece un nivel “adecuado” de protección de los derechos y libertades de las personas (véase Derechos del interesado en la parte II de estas Directrices). Además, el artículo 45, apartado 2, del RGPD enumera los elementos que la Comisión tendrá en cuenta, en particular, al evaluar la adecuación del nivel de protección en un tercer país u organización internacional.

Las ventajas de basarse en las decisiones de adecuación para realizar transferencias internacionales son evidentes. La decisión tendrá efectos en toda la UE [6]y no se necesitará una autorización específica[7]. Sin embargo, este mecanismo también presenta varias deficiencias:

  • Hay muy pocos países con decisiones de adecuación válidas en vigor[8].
  • Las decisiones de adecuación en vigor no se aplican necesariamente a y/o cubren todas las operaciones y sectores de transformación.
  • La jurisprudencia del Tribunal de Justicia de la Unión Europea ha disminuido significativamente la solidez y la confianza en estas herramientas. Cabe referirse específicamente a sus [9]sentencias Schrems I[10] y II, que, entre otras cuestiones, anularon las decisiones “Safe Harbour” y “Privacy Shield”, respectivamente:
    • El término “adecuado” debe entenderse como la exigencia de que el tercer país garantice de hecho, en virtud de su Derecho interno o de sus compromisos internacionales, un nivel de protección de los derechos y libertades fundamentales esencialmente equivalente al garantizado en la UE[11], aunque los medios a los que recurra ese tercer país puedan ser diferentes de los empleados en la UE[12].
    • Las autoridades nacionales de control están facultadas para comprobar si una transferencia de datos personales desde su propio Estado miembro a un tercer país se ajusta a las normas[13] europeas de protección de datos. Sin embargo, por regla general, mientras la decisión de la Comisión no sea declarada inválida por el TJUE, los Estados miembros y las autoridades de control no pueden adoptar medidas contrarias a dicha decisión[14]. Esto no puede impedir que las personas cuyos datos personales han sido o podrían ser transferidos a un tercer país presenten una reclamación[15].
    • La legislación que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas debe considerarse que compromete la esencia de los derechos fundamentales de los interesados[16] europeos. Del mismo modo, una legislación que no prevea ninguna posibilidad de que una persona pueda interponer recursos judiciales para tener acceso a los datos personales que le conciernen, o para obtener su rectificación o supresión, no respeta la esencia del derecho fundamental a la tutela[17] judicial efectiva.

B) Transferencias sujetas a las garantías adecuadas

En ausencia de una “decisión de adecuación”, un responsable o un encargado del tratamiento puede transferir datos personales a un tercer país o a una organización internacional sólo si el responsable o el encargado del tratamiento ha proporcionado las garantías adecuadas, y a condición de que se disponga de derechos exigibles de los interesados y de recursos jurídicos efectivos para los mismos[18]. Es decir, si no existe una “decisión de adecuación” sobre el país, el territorio o el sector al que se va a realizar la transferencia, el responsable o el encargado del tratamiento puede elegir entre los mecanismos establecidos en el artículo 46 del RGPD para ofrecer “garantías adecuadas”.

En la aplicación de los mecanismos del artículo 45 no es necesario observar un orden específico. Es posible elegir los mecanismos en función de las necesidades particulares o de la finalidad del tratamiento. Sin embargo, el RGPD clasifica estos mecanismos en función de si requieren o no una autorización específica de una autoridad de control:

  • Mecanismos que no requieren ninguna autorización específica de una autoridad[19] de supervisión:
    • Instrumentos jurídicamente vinculantes y ejecutables entre autoridades u organismos públicos. Por ejemplo, acuerdos administrativos que incluyan derechos individuales exigibles y efectivos
    • Normas corporativas vinculantes (Binding Corporate Rules o BCR). Éstas se utilizan habitualmente para las transferencias de datos dentro de las empresas multinacionales. Las BCR son un código de conducta interno que funciona dentro de un grupo multinacional y que se aplica a las transferencias restringidas de datos personales de las entidades del grupo en el EEE a entidades del grupo fuera del EEE. Hay muchos documentos sobre las BCR adoptados por el Comité Europeo de Protección de Datos y el antiguo Grupo de Trabajo del Artículo 29[20]
    • Cláusulas contractuales tipo adoptadas por la Comisión. También se conocen como cláusulas modelo. Contienen las obligaciones contractuales del exportador de datos y del importador de datos, así como los derechos de las personas. Por lo tanto, deben firmarse entre el exportador de datos (país de las CEA) y el importador de datos (país de las CEA u organización internacional). La Comisión Europea adoptó modelos de CCE para los responsables del tratamiento y para los encargados del mismo[21].
    • Un código de conducta aprobado. La transferencia puede llevarse a cabo si el receptor ha suscrito un código de conducta previamente aprobado por una autoridad de control. El código de conducta debe incluir un contenido y unos requisitos mínimos de conformidad con el artículo 40 del RGPD (es decir, garantías adecuadas para proteger los derechos de las personas). El Comité Europeo de Protección de Datos ha adoptado un conjunto de directrices sobre códigos de conducta.[22] Todavía no se utiliza ningún código aprobado. Sin embargo, muchas instituciones y organizaciones están desarrollando códigos (por ejemplo, el BBMRI-ERIC está desarrollando un Código de Conducta para la Investigación en Salud).[23]
    • Una certificación aprobada. La transferencia puede llevarse a cabo si el receptor dispone de una certificación, en virtud de un régimen aprobado por una autoridad de control. El mecanismo de certificación debe incluir un contenido y unos requisitos mínimos de conformidad con el artículo 40 del RGPD (es decir, garantías adecuadas para proteger los derechos de las personas). El Comité Europeo de Protección de Datos, ha adoptado un conjunto de directrices sobre mecanismos de certificación[24]. Todavía no se utiliza ningún mecanismo de certificación aprobado.
  • Mecanismos que requieren autorización de la autoridad de supervisión competente:
    • Cláusulas contractuales autorizadas por una autoridad de supervisión. Aunque no se utilicen los modelos de cláusulas adoptados por la Comisión Europea, pueden adoptarse otros modelos de CSC si son aprobados previa e individualmente por la autoridad de supervisión competente.
    • Disposiciones que deben incluirse en los acuerdos administrativos entre autoridades u organismos públicos que incluyan derechos exigibles y efectivos de los interesados, por ejemplo, un documento como un memorando de entendimiento.

No obstante, la jurisprudencia derivada de la sentencia Schrems II del Tribunal de Justicia de la Unión Europea ha tenido importantes consecuencias para las cláusulas contractuales tipo y el resto de mecanismos de transferencia de datos a terceros países sobre la base de garantías adecuadas. En primer lugar, porque los interesados cuyos datos personales se transfieren a un tercer país en virtud de las cláusulas contractuales tipo (u otros mecanismos) deben gozar, como en el contexto de una decisión de adecuación, de un nivel de protección esencialmente equivalente al garantizado en la Unión Europea[25]. En segundo lugar, porque esto puede requerir, en función de la posición imperante en un tercer país concreto, la adopción de medidas complementarias por parte del responsable del tratamiento para garantizar el cumplimiento de ese nivel de protección[26]. En consecuencia, si el exportador de datos establecido en la UE no puede adoptar las medidas complementarias adecuadas, está obligado a suspender o prohibir la transferencia de datos personales “en caso de incumplimiento de dichas cláusulas o de imposibilidad de cumplirlas”[27].

C) Excepciones para situaciones específicas

Por último, cuando la transferencia no esté amparada por una decisión de adecuación, ni por un mecanismo de salvaguardia adecuado, sólo se llevará a cabo si está amparada por alguna de las excepciones o situaciones excepcionales establecidas en el artículo 49 del RGPD[28]:

  • Cuando el interesado haya dado su consentimiento explícito a la transferencia propuesta.
  • Cuando la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o la aplicación de medidas precontractuales adoptadas a petición del interesado.
  • Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado en interés del interesado entre el responsable del tratamiento y otra persona física o jurídica.
  • Cuando la transferencia sea necesaria por razones importantes de interés público.
  • Cuando la transferencia sea necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales.
  • Cuando la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o legalmente incapacitado para dar su consentimiento.
  • Cuando la transferencia se realice desde un registro que, según el Derecho de la Unión o de los Estados miembros, esté destinado a proporcionar información al público y que esté abierto a la consulta del público en general o de cualquier persona que pueda demostrar un interés legítimo.

Más información

Grupo de Trabajo de Protección de Datos del Artículo 29. Recomendación sobre la aprobación del formulario de normas corporativas vinculantes para los procesadores. https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51307

Grupo de Trabajo de Protección de Datos del Artículo 29. Recomendación sobre la solicitud estándar de aprobación de normas corporativas vinculantes para el controlador para la transferencia de datos personales. https://edpb.europa.eu/sites/edpb/files/files/file2/wp264_art29_wp_bcr-c_application_form.pdf

Tribunal de Justicia de la Unión Europea. Sentencia de 16 de julio de 2020, Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems, (C-311/18, Schrems II).

Tribunal de Justicia de la Unión Europea. Sentencia de 6 de octubre de 2015, Maximillian Schrems/Comisario de Protección de Datos (C-362/14, Schrems I).

Comisión Europea. Normas Corporativas Vinculantes (BCR). https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en

Comisión Europea. Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo. C/2021/3972. DO L 199 de 7.6.2021, p. 31-61. Disponible en: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj

Comisión Europea. Normas sobre transferencias internacionales de datos. https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/rules-international-data-transfers_en

Comité Europeo de Protección de Datos (CEPD). Directrices 1/2018 sobre la certificación y la identificación de los criterios de certificación de conformidad con los artículos 42 y 43 del Reglamento. https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201801_v3.0_certificationcriteria_annex2_en.pdf

Comité Europeo de Protección de Datos (CEPD). Directrices 1/2019 sobre los códigos de conducta y los organismos de control en virtud del Reglamento 2016/679. https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_en.pdf

Comité Europeo de Protección de Datos (CEPD). Directrices 2/2018 sobre las excepciones del artículo 49 del Reglamento 2016/679. https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf

 

 

  1. Véase el artículo 44 del RGPD “Toda transferencia de datos personales (…) sólo tendrá lugar si, sin perjuicio de las demás disposiciones del presente Reglamento (…)”.
  2. Véase el artículo 44 in fine del RGPD.
  3. Artículo 45(1) del RGPD.
  4. Artículo 45(3) del RGPD.
  5. Artículo 93(2) del RGPD.
  6. Considerando 103 del RGPD.
  7. Artículo 45(1) in fine del RGPD.
  8. Tras la nueva anulación del Escudo de la privacidad por parte del TJUE, actualmente solo hay decisiones en vigor con: Andorra, Argentina, Canadá (organizaciones comerciales), Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, Suiza y Uruguay.
  9. Tribunal de Justicia de la Unión Europea. Sentencia de 6 de octubre de 2015, Maximillian Schrems/Comisario de Protección de Datos (C-362/14, Schrems I).
  10. Tribunal de Justicia de la Unión Europea. Sentencia de 16 de julio de 2020, Comisario de Protección de Datos contra Facebook Ireland Ltd, Maximillian Schrems, (C-311/18, Schrems II)
  11. Tribunal de Justicia de la Unión Europea. Sentencia de 6 de octubre de 2015, Maximillian Schrems contra el Comisario de Protección de Datos (C-362/14, Schrems I). Parag. 73.
  12. Ibid. parag. 74.
  13. Ibid. parag. 47.
  14. Ibid. parag. 52.
  15. Ibid. parag. 53 y 66.
  16. Sentencia del TJUE de 16 de julio de 2020, Comisario de Protección de Datos contra Facebook Ireland Ltd, Maximillian Schrems, (C-311/18, Schrems II) Parag. 185.
  17. Ibid. parag. 197 y 198.
  18. Art. 46 del RGPD.
  19. En virtud del art. 46.2 del RGPD.
  20. CE. Normas corporativas vinculantes. En: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en Consultado el 12 de mayo de 2020.
  21. Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo. C/2021/3972. DO L 199 de 7.6.2021, p. 31-61. Disponible en: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
  22. Comité Europeo de Protección de Datos (CEPD). Directrices 1/2019 sobre los códigos de conducta y los organismos de supervisión en virtud del Reglamento 2016/679 Versión 2.0 4 de junio de 2019. En: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_en.pdf Consultado el 12 de mayo de 2020
  23. BBMRI-ERIC, Code of conduct for health research: taking up speed & calling for your input, En: https://www.bbmri-eric.eu/news-events/code-of-conduct-for-health-research/ Consultado el 12 de mayo de 2020
  24. Comité Europeo de Protección de Datos (CEPD). Directrices 1/2018 sobre la certificación y la identificación de los criterios de certificación de conformidad con los artículos 42 y 43 del Reglamento Versión 3.0 4 de junio de 2019. En: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201801_v3.0_certificationcriteria_annex2_en.pdf. Consultado: 12 de mayo de 2020.
  25. Tribunal de Justicia de la Unión Europea. Sentencia de 16 de julio de 2020, Comisario de Protección de Datos contra Facebook Ireland Ltd, Maximillian Schrems, (C-311/18, Schrems II). Parag. 96.
  26. Ibid. Parag. 132 y 125.
  27. Ibid. Parag. 134 y 135.
  28. Más información sobre el art. 49 derogaciones y excepciones se puede encontrar en el Comité Europeo de Protección de Datos (CEPD), Directrices 2/2018 sobre las derogaciones del artículo 49 en virtud del Reglamento 2016/679 Adoptado el 25 de mayo de 2018, En: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf Accedido: 14 de mayo de 2020

 

Ir al contenido