Читать книгу Derecho digital - José F. Estévez - Страница 37

En caso de que los datos de nuestros clientes, empleados, proveedores, usuarios o de cualquier otro colectivo vayan a ser comunicados o sean accesibles desde ubicaciones fuera del Espacio Económico Europeo, estaremos ante un supuesto de transferencia internacional de datos de carácter personal.

Dicha comunicación o acceso a los datos no podrá realizarse sin adoptar previamente medidas de protección que podemos resumir en que los datos sean accedidos, almacenados, tratados o manejados en las mismas condiciones que se realizarían en España u en otro Estado Miembro de la Unión Europea. Asimismo, recordaremos como la LOPD, establecía como regla general, para efectuar transferencias internacionales de datos, la obtención de la Autorización del Director General de la AEPD.

Como medio para obtener dichas garantías, existía la posibilidad de alcanzar acuerdos entre el exportador e importador de los datos con este objeto. Así, la autorización era otorgada si se aportaba junto con la solicitud un contrato entre exportador e importador de los datos que incluyese garantías suficientes de respeto a la protección de la vida privada de los afectados por la transferencia y se garantice el ejercicio de sus respectivos derechos, de conformidad con las clausulas tipo aprobadas por la Comisión Europea que comentamos más adelante.

Cabe destacar que el RGPD recoge como principio general que solo es posible realizar transferencias internacionales de datos cuando el responsable y el encargado cumplan lo previsto en los artículos 44 a 50 del Reglamento.

Ahora bien, los supuestos en los que se permite realizar la transferencia son similares a los previstos en la derogada LOPD. De este modo, se permiten las transferencias internacionales:

a) Basadas en una decisión de adecuación : esto es que la Comisión haya declarado que el país de destino garantiza un nivel de protección adecuado.

b) Basadas en garantías adecuadas : Solo se podrán transferir los datos cuando el Responsable y/o encargado del tratamiento y el destinatario hubieran ofrecido garantías adecuadas del tratamiento en el país de destino y a condición de que los interesados cuenten con derechos exigibles y acciones legales para hacer efectivos los mismos.

A este respecto, a lo largo de los años, la Comisión Europea había aprobado modelos de cláusulas que considera que aportan estas garantías. Recordemos que la comunicación de los datos, puede ser tanto una cesión de datos, en cuyo caso, los datos se comunican entre responsables, como un acceso a datos por cuenta de terceros, en cuyo caso, los datos se comunican entre responsable del fichero y encargado del tratamiento.

Por este motivo, la Comisión había aprobado los siguientes tipos de cláusulas estándar:

- Cláusulas tipo a suscribir cuando la transferencia internacional se lleva a cabo entre Responsables del Tratamiento aprobadas mediante las Decisiones de la Comisión Europea 2001/497/CE, de 15 de junio de 2001, y 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica la anterior.

- Cláusulas tipo a suscribir cuando la transferencia internacional tiene lugar entre un Responsable y un Encargado del Tratamiento aprobadas a través de la Decisión de la Comisión Europea 2010/87/UE, de 5 de febrero de 2010.

No obstante lo anterior, las cláusulas tipo aprobadas por la Comisión Europea no recogían todos los supuestos en los que se pueden producir transferencias internacionales, fenómeno cada vez más habitual debido a la globalización de la economía y el crecimiento de empresas multinacionales que desarrollan sus actividades en diferentes países. En este sentido, cabe destacar que, muchas veces, son los encargados del tratamiento los que realizan la transferencia. Un ejemplo típico, es la contratación por el Responsable de servicios de mantenimiento u out-sourcing informático y su proveedor de servicios subcontrata la prestación de servicios con entidades situadas en terceros países.

De acuerdo con la Resolución de Autorización de Transferencia Internacional de Datos de 16 de octubre de 2012, la AEPD autorizaba las transferencias entre encargados y sub-encargados en aquellos supuestos en los que el encargado aporte garantías suficientes de que se respetarán los derechos de los afectados anteriormente mencionados. Para estos casos, la AEPD ha aprobado clausulas tipo a celebrar entre el encargado y sub-encargado que se considera que aportan dichas garantías.

Si bien, anteriormente, la firma de las clausulas tipo requería adicionalmente la solicitud de autorización ante la AEPD, con el RGPD su firma se considera garantía suficiente para realizar la transferencia. También constituyen dicha garantía la firma de instrumentos jurídicos vinculantes entre las partes, normas corporativas vinculantes, adhesión a códigos de conducta o mecanismos de certificación junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados. La principal novedad es que todos estos medios no requieren de posterior autorización por parte de la Autoridad de Control Nacional, en nuestro caso, la AEPD.

a) Basadas en la autorización de la autoridad de control : El RGPD también contempla la posibilidad de solicitar a la Autoridad de Control autorización para realizar la transferencia, en cuyo caso se podrán aportar como garantía:

- cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional;

- disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

Al igual que, con la normativa de protección de datos anterior, el artículo 49 del RGPD, se contemplan excepciones al régimen general, tales como que:

a) el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas;

b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;

c) la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del afectado, entre el responsable del tratamiento y otra persona física o jurídica;

d) la transferencia sea necesaria por razones importantes de interés público;

e) la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;

f) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento;

g) la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero solo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

En definitiva, el régimen aprobado es similar al actual, si bien, se simplifica, puesto que ya no será necesario obtener la autorización del Director General de la AEPD en aquellos supuestos en los que se hayan suscrito las clausulas tipo o contemos con Normas Corporativas Vinculantes.