Recientemente, la polémica generada por el denominado “Caso Schrems” o “Caso Facebook”-enmarcado en el litigio iniciado por el estudiante y activista austriaco Maximilliam Schrems contra Facebook Ireland Ltd., por considerar que las transferencias internacionales de datos personales que dicha entidad realizaba a Estados Unidos no garantizaban un nivel adecuado de protección sobre sus derechos- contribuyó a fijar el foco de atención sobre los movimientos internacionales de datos. Asimismo, obligó a que las autoridades europeas se replanteasen la eficacia de algunas de las bases jurídicas que hasta entonces articulaban su regulación, especialmente después de que el Tribunal de Justicia de la Unión Europea (TJUE) declarase inválida mediante Sentencia de 6 de octubre de 2015 (asunto C-362/14), la Decisión 2000/520/CE, de la Comisión, de 26 de julio de 2000, que consideraba a Estados Unidos como un Puerto Seguro (Safe Harbour) en relación a las transmisiones internacionales de datos de carácter personal con destino a este país.
La sentencia dictada por el TJUE, implicó renegociar las condiciones en materia de privacidad y seguridad de datos que debían regir en las transferencias internacionales UE-EEUU, con el fin de neutralizar cualquier posible riesgo que aquellas pudieran suponer para la protección de la vida privada, los derechos y las libertades fundamentales de los titulares de los datos personales. Sin embargo, las consecuencias derivadas del “Caso Schrems” son únicamente un ejemplo dentro de las múltiples garantías que ya se venían exigiendo a la hora de realizar esta clase de movimientos internacionales de datos.
Si nos atenemos al concepto estricto de transferencia internacional, esta supondría que un exportador de datos (responsable o encargado del tratamiento) situado en el Espacio Económico Europeo (EEE), efectuase una transmisión de datos de carácter personal con destino a un importador de datos (responsable, encargado o subencargado del tratamiento) situado en un tercer país, el cual no necesariamente ha de estar en condiciones de garantizar un nivel adecuado de protección para el tratamiento de los datos personales objeto de la transmisión.
En caso de que dicho nivel de protección no pueda ser garantizado, los riesgos para la seguridad de los datos personales transferidos, y en consecuencia, para la protección de la vida privada de los afectados, pueden llegar a ser muy elevados. Es por ello, que tanto la regulación en el ámbito europeo, a través de la Directiva 95/46/CE, como en el ámbito nacional mediante la propia Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), su reglamento de desarrollo, y la Instrucción 1/2000, de 1 de diciembre, de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos, han intentado configurar un marco jurídico exigente respecto a las garantías a adoptar por los operadores de las transferencias internacionales de datos. En relación a los requisitos exigidos en materia de transferencias internacionales, podríamos distinguir tres supuestos fundamentales a tomar en consideración:
1.- Que la transferencia internacional tenga como destinatario a un importador que se encuentra en un tercer país, respecto al cual la Comisión Europea ha declarado que ofrece un nivel adecuado de protección.
Actualmente, la Comisión Europea ha decretado un nivel adecuado de protección, respecto a Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda y Estados Unidos. En el caso particular de Estados Unidos, la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EEUU, ha sentado las nuevas bases jurídicas aplicables a las transferencias realizadas con destino a Estados Unidos, tras el impacto ocasionado por el reseñado “Caso Schrems” y la sentencia dictada a este respecto por parte el TJUE. El Escudo de privacidad proporciona una lista con las entidades certificadas como Puerto Seguro y por tanto, respecto a las cuales se consideraría que aportan o garantizan un nivel adecuado de protección.
2.- Que la transferencia internacional tenga como destinatario un importador situado en un tercer país, respecto al cual la Directora de la Agencia Española de Protección de Datos (AEPD) estime que presenta un nivel adecuado de protección, a la luz de las normas vigentes en dicho Estado, y tras realizar una evaluación sucinta de aspectos tales como la naturaleza de los datos, la finalidad del tratamiento, la duración del mismo, o las medidas de seguridad aplicables y que se encuentren en vigor tanto en el país de origen como en el país de destino de la transferencia de datos personales. Además, ha de tenerse en cuenta que el nivel de protección exigido debe ser equiparable o recíproco al proporcionado por las disposiciones, exigencias y obligaciones fijadas por la LOPD y su reglamento de desarrollo.
Es preciso señalar, que en cualquiera de los dos casos precedentes, será necesario proceder a la notificación de la transferencia internacional frente a la AEPD y a su consiguiente inscripción en el Registro General de Protección de Datos (RGPD). Complementariamente, en caso de que las relaciones entre el exportador y el importador impliquen un acceso a datos personales derivado de la prestación de un servicio -en los términos fijados por el artículo 12 de la LOPD-, será igualmente necesario suscribir un contrato de encargo de tratamiento de datos personales, siendo por supuesto de obligado cumplimiento el resto de disposiciones de la LOPD y su reglamento de desarrollo.
3.- Que la transmisión de datos personales tenga como destinatario un importador situado en un tercer país que no ofrece un nivel adecuado de protección, y que dicha transmisión de datos no se encuadre en ninguno de los supuestos excepcionados en virtud del artículo 34 de la LOPD. Entre dichas excepciones, se encontrarían por ejemplo, las transferencias realizadas con consentimiento del afectado o aquellas cuya finalidad sea el ejercicio, reconocimiento o defensa de un derecho en el marco de un proceso judicial.
Por tanto, en aquellos supuestos en los cuales el nivel de seguridad y protección aportado por el Estado o país de destino -respecto a los datos personales afectados- sea suficiente o adecuado, y no podamos acudir a las excepciones recogidas por el artículo 34, deberemos acudir a la regla general fijada por el artículo 33 de la LOPD, que impone la necesidad de obtener una autorización por parte de la Directora de la AEPD. Dicha autorización será preceptiva para poder llevar a cabo la transmisión internacional de datos, y de hecho, la elusión de este requisito obligatorio constituirá una infracción de carácter muy grave, tal y como prevé el artículo 44.4.d) de la LOPD.
Para que la autorización pueda ser otorgada, se deberán aportar garantías suficientes que permitan asegurar la salvaguarda y protección de la vida privada, los derechos y libertades fundamentales, de los titulares de los datos personales afectados. La forma más idónea para aportar dichas garantías, será la suscripción de un contrato entre el exportador y el importador de datos, en el cual se podrán emplear -con el fin de suplir las posibles deficiencias que presentase la transferencia- las denominadas Cláusulas Contractuales Tipo.
En virtud de si la transferencia se da entre dos responsables del tratamiento, entre un responsable y un encargado del tratamiento, o entre un encargado situado en territorio español y un subencargado del tratamiento, las Cláusulas Contractuales Tipo a utilizar para suscribir los contratos experimentarán variaciones, tal y como se refleja a continuación:
- a) Así pues, para el primer caso, serán aplicables las Cláusulas Contractuales Tipo previstas en la Decisión de la Comisión Europea 2001/497/CE, de 15 de junio de 2001, y la Decisión 2004/915/CE, de 27 de diciembre de 2004, debiendo el exportador y el importador optar en bloque únicamente por uno de los dos conjuntos de cláusulas.
- b) Para el segundo supuesto, se aplicarán las cláusulas contenidas en la Decisión de la Comisión Europea 2010/87/UE, de 5 de febrero de 2010, además de lo dispuesto en la norma sexta de la Instrucción 1/2000 de la AEPD y en el artículo 12 de la LOPD, puesto que al estar ante un tratamiento de datos por cuenta del responsable del fichero o tratamiento, deberán hacerse constar en el contrato las obligaciones atribuidas al encargado del tratamiento. Dichas obligaciones harán especial referencia al seguimiento de las instrucciones aportadas por el responsable del tratamiento, a la devolución o destrucción de los datos una vez finalizada la prestación del servicio que vincula a ambas partes, y a las medidas de seguridad que aquél deberá adoptar respecto a los datos personales, que no serán otras que las exigidas al exportador conforme a la legislación española en materia de protección de datos.
- c) Finalmente, para el tercer supuesto se podrán incluir en el contrato a suscribir por ambas partes, las cláusulas adoptadas por la Agencia Española de Protección de Datos, en su resolución de Autorización de Transferencia Internacional de Datos de 16 de octubre de 2012. Complementariamente, se requerirá además la suscripción de un acuerdo entre el responsable y el encargado del tratamiento, en virtud del cual se autoricen tanto la contratación del subencargado del tratamiento, como la realización de la transferencia internacional. Se articularía en este supuesto una doble relación a regular y acreditar, que vincula por una parte a responsable y encargado, y por otra, a encargado y subencargado. A pesar de que esta última relación sería la realmente relevante a la hora de efectuar la transferencia internacional, ha de incardinarse necesariamente en el contrato-relación marco entre el responsable y el encargado del tratamiento.
Por último, una vez señalados los tres principales supuestos a los que aplicar las denominadas Cláusulas Contractuales Tipo, mención aparte requerirían las denominadas Binding Corporate Rules (BCR). Las BCR o reglas corporativas vinculantes, son normas internas a adoptar e implementar por las empresas pertenecientes a un mismo Grupo, entre las cuales vaya a tener lugar una transferencia internacional de datos personales. La estructura, los elementos y requisitos que han de tener las BCR han sido específicamente abordados por el Grupo de Trabajo del Artículo 29 -también conocido como GT29- en calidad de órgano consultivo independiente creado por la Directiva 95/46/CE. Este sistema podría resultar eficaz para los supuestos de transmisión de datos personales, por ejemplo, entre las sedes de las empresas multinacionales que se hallen establecidas en la UE y su matriz en EEUU, lo cual sucede en el caso de la mayor parte de las grandes multinacionales del sector tecnológico, incluidas empresas como Facebook o Google.
En definitiva, tal y como pone de manifiesto la sucinta regulación legal de las transferencias internacionales en nuestro país, así como la azarosa readaptación a la que se han visto sometidas las autoridades europeas en relación a las transmisiones internacionales de datos con destino a Estados Unidos, no estamos en ningún caso ante una cuestión sencilla, sino más bien ante todo lo contrario. La complejidad actual en la que se subsumen los diferentes flujos de información, especialmente acrecentada por la influencia de Internet y las Redes Sociales, tiene como resultado la creación de un entramado sobre el cual en multitud de ocasiones, los afectados conocen solamente una mínima parte de los riesgos potenciales a los que su información personal se ve expuesta. El fortalecimiento de los derechos de información de los afectados, la concienciación sobre el uso responsable de las nuevas tecnologías, y la constante revisión y adaptación de los niveles de exigencia impuestos a las compañías exportadoras e importadoras de datos personales en el marco de las transferencias internacionales, serán probablemente condiciones ineludibles para que uno de los grandes retos a los que se enfrentan las autoridades en materia de protección de datos, haga prevalecer la protección de los derechos fundamentales sin dejar de lado el avance tecnológico y la libertad empresarial.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación