David CauchiEl rápido desarrollo de las nuevas tecnologías y su rápida integración en el modelo de negocio ha cambiado la forma de funcionar las empresas, por lo que es conveniente y rentable tratar, intercambiar e incluso almacenar datos personales, en localizaciones distintas.
Sin embargo, las implicaciones legales involucradas al almacenar o transferir datos personales en otros lugares tienden a pasarse por alto. El Reglamento General de Protección de Datos (RGPD) contiene un capítulo específico sobre transferencias de datos. En pocas palabras, las transferencias a jurisdicciones no pertenecientes a la UE con legislación y recursos de protección de datos insuficientes o inexistentes darán como resultado un menor nivel de protección de datos, a menos que existan las garantías adecuadas.
¿Qué ocurre con el RGPD?
En el Reglamento General de Protección de datos (RGPD), los legisladores de la UE intentan abordar este fenómeno mediante reglas más claras, más prescriptivas y armonizadas para las transferencias fuera de la UE. Además, el RGPD también pretende proteger los datos de los ciudadanos de la UE aplicando un ámbito territorial más amplio en comparación con el marco actual de protección de datos de la UE. De hecho, las entidades no pertenecientes a la UE que ofrecen bienes o servicios, o que hacen un seguimiento del comportamiento de las personas físicas con sede en la UE, también estarán sujetas al RGPD.
Transferencias dentro de la UE
Para transferencias dentro de la UE, no se requerirían medidas adicionales con respecto a la aplicabilidad directa del RGPD. Sin embargo, cuando un responsable contrate a un proveedor de servicios que actúa como encargado, la relación debe estar regida por un contrato y está sujeta a los criterios mínimos establecidos bajo el RGPD en estas circunstancias. Puede conocer más sobre las entidades responsables según el RGPD en el artículo Responsable vs encargado en RGPD UE – ¿Cuáles son las diferencias?
Pasos para la transferencia de datos fuera de la UE
En el caso de las transferencias de datos fuera de la UE, la ley establece situaciones específicas cuando tales transferencias pueden llevarse a cabo. Las organizaciones necesitarán considerar si existe una decisión de adecuación de la Comisión de la UE y, de no ser así, proporcionar garantías adicionales mediante acuerdos contractuales. Para saber por qué el RGPD no está reservado solo para los países de la UE revise el artículo ¿Qué es el RGPD UE y por qué es aplicable en todo el mundo?
1) ¿Hay una decisión de adecuación de la Comisión de la UE?
La Comisión de la UE puede emitir decisiones favorables sobre el nivel de protección de datos en un país no perteneciente a la UE o incluso en sectores específicos, como, por ejemplo, el escudo de privacidad UE-EE.UU. Estas decisiones se basan en una evaluación exhaustiva de la adecuación de la protección de datos en el tercer país y en el principio de que dicho país ofrece garantías suficientes que son esencialmente equivalentes a las de la UE. Una decisión de adecuación elimina cualquier barrera para la transferencia de datos a tales jurisdicciones o sectores.
Una lista actualizada de las decisiones de adecuación bajo el marco actual está disponible en la página web de la Comisión de la UE.
2) Transferencias sujetas a salvaguardias adecuadas
En la ausencia de una decisión de adecuación, las entidades de la UE deben considerar una de las siguientes opciones:
Cláusulas Contractuales Estándar. Son contratos modelo adoptados por la Comisión de la UE con el objetivo de facilitar que los responsables de la UE brinden garantías suficientes cuando transfieran datos personales a un responsable o encargado no perteneciente a la UE. Bajo el RGPD, las Autoridades de Control también pueden adoptar cláusulas estándar. Estas cláusulas, sin embargo, requieren la aprobación de la Comisión.
Esta herramienta ya está disponible bajo el marco legal actual, y seguirá siendo válida hasta que sea modificada o revisada por la Comisión. Los responsables de datos de la UE suelen utilizar estas cláusulas estándar, ya sea como contratos ad-hoc o como parte de un nivel de servicio más amplio o acuerdos comerciales, tanto con otras entidades dentro del grupo, como con organizaciones externas con sede fuera de la UE.
Reglas Corporativas Vinculantes (RCV). Existe un conjunto de reglas internas definidas por las organizaciones multinacionales para regular la transferencia y el tratamiento posterior de los datos personales dentro de las entidades del grupo, incluidas las ubicadas fuera del territorio de la UE. La ventaja significativa de las RCV, en comparación con las cláusulas contractuales estándar, es que la aprobación se obtiene una vez que la autoridad supervisora lidera el proceso de autorización. A su vez, esto implica la adecuación del marco de protección de datos adoptado por una multinacional. Esto permitirá todas las futuras transferencias dentro del grupo, independientemente de la jurisdicción, y sin ninguna formalidad adicional.
El Artículo 29 (Grupo de Trabajo), compuesto por las Autoridades de Control de la UE, ha emitido directrices específicas para ayudar a las multinacionales a garantizar que las normas contengan los principios esenciales de protección de datos, pero también mecanismos efectivos y vinculantes necesarios para garantizar un nivel adecuado de protección de datos.
Salvaguardas adicionales. Los mecanismos de certificación y códigos de conducta, ambas novedades introducidas en el RGPD, pueden también servir como un instrumento de adecuación para las transferencias de datos en el futuro.
3) Excepciones en las transferencias de datos
En ausencia de una decisión de adecuación o salvaguardas apropiadas, el RGPD todavía proporciona algunas excepciones por las cuales se puede realizar una transferencia. Estas excepciones incluyen transferencias de datos que son:
- efectuadas con el consentimiento explícito del interesado
- necesarias para la ejecución o conclusión de un contrato que involucre al interesado
- basadas en razones importantes de interés público
- necesarias para el establecimiento, ejercicio, o defensa de reclamaciones legales
- necesarias para los intereses vitales del interesado u otras personas
- realizadas desde un registro destinado a proporcionar información al púbico, sujeto a las condiciones establecidas por la Unión o la legislación del Estado Miembro.
Próximos pasos para su organización
Principalmente, las organizaciones deben identificar aquellos procesos que involucran transferencias de datos fuera de la UE. En ausencia de una decisión de adecuación, tendrían que considerar y establecer salvaguardas apropiadas (Cláusulas Contractuales Estándar o RCVs). No debe subestimarse la utilidad de los esquemas de certificación y códigos de conducta como posibles instrumentos de legitimación de transferencias. Si bien las excepciones también son una opción posible, se consideran excepciones a la regla y deben utilizarse en circunstancias limitadas (por ejemplo, transferencias puntuales o urgentes) cuando no es posible recurrir a otras salvaguardias.
Descargue aquí gratuitamente Cláusulas Contractuales Estándar para la Transferencia a Encargados y Cláusulas Contractuales Estándar para la Transferencia a Responsables.