Transferencias internacionales de datos: Requisitos y normativa

¿Qué son y cómo deben hacerse la transferencias internacionales de datos? ¿Qué países se consideran seguros para exportar datos de clientes? En este artículo te hablamos de este tema, sobre el que existe un desconocimiento generalizado.

¿Qué es una transferencia internacional de datos?

Las transferencias de datos internacionales consisten en la transmisión de información de carácter personal a países que se encuentran fuera de la Unión Europea y el Espacio Económico Europeo.

La transmisión de datos a estos países está supeditada a una serie de requisitos, recogidos en el Título VI de la LOPDGDD sobre la libre circulación de datos personales. A continuación profundizamos en este tema, empezando por las normativas de aplicación.

Normativa aplicable

A nivel europeo:

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (deroga la Directiva 95/46/CE.

En España:

• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
• Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

¿Qué partes intervienen en las transferencias internacionales de datos?

En una transferencia internacional de datos intervienen dos sujetos:

• Exportadores: es la parte que se encuentra en territorio español (o del Espacio Económico Europeo) y que realiza la transferencia de datos. Pueden ser los responsables o encargados del tratamiento.
• Importadores: son los destinatarios de la información, los cuáles se encuentran fuera del EEE. Pueden ser los responsables o encargados del tratamiento, o terceros ajenos.

¿Cuál es la finalidad?

Una transferencia de datos internacional se puede realizar con diversos objetivos.

• Comunicación datos a un tercero, por ejemplo, una empresa asociada.
• Tratamiento de datos a cuenta del responsable.
• Transmisión de datos imprescindibles para las relaciones comerciales dentro de un grupo empresarial cuya empresa principal se encuentra fuera de la Unión Europea.
• Gestión de Recursos Humanos en compañías transnacionales son sedes fuera de la UE.
• Transferencias de datos internacionales de trabajadores o clientes para su acceso remoto.
• Creación de ficheros o copias de seguridad en la nube.

Requisitos para transferir datos a países fuera del Espacio Económico Europeo

El Reglamento Europeo determina los requisitos necesarios para las transmisiones de datos internacionales. Estas condiciones pueden variar dependiendo del nivel de seguridad de los países de destino.

Si existen garantías

Se considera que un país de fuera del Espacio Económico Europeo ofrece garantías para las transferencias de datos internacionales si cuenta con las siguientes herramientas:

• Normativa jurídica vinculante obligatoria y compartida entre organismos públicos y autoridades de control.
• Normas corporativas vinculantes o BCR.
• Cláusulas válidas en relación a protección de datos, adoptadas por la Comisión Europea.
• Cláusulas válidas en relación a protección de datos, adoptadas por una autoridad de control y aprobadas por la Comisión Europea.
• Compromisos vinculantes y códigos de conducta exigibles a responsables y encargados del tratamiento.
• Mecanismos y organismos de certificación.

Si no existen garantías

En caso de que el país importador de la información de clientes o trabajadores no cumpla los requisitos anteriores, solo se podrán realizar las transferencias internacionales de datos en los siguientes casos:

• Existe consentimiento explícito por el interesado.
• La transmisión de datos es requisitos imprescindible para la celebración de un contrato en el que ya hay acuerdo entre las partes.
• Se trata de transferencias de datos de interés público.
• La transferencia internacional de esta información es necesaria para efectuar reclamaciones o que el interesado pueda ejercer su defensa.
• Son datos necesarios para los intereses vitales del usuario (no es necesario consentimiento explícito si el interesado se encuentra incapacitado).
• Es información provenientes de registros de acceso público, cuyo objetivo es facilitar el acceso, libre o mediante acreditación, a dicha información.

Con autorización expresa de la AEPD

Por otra parte, se requiere una autorización por parte de la Agencia Española de Protección de Datos (AEPD) en los siguientes supuestos:

• Transferencia internacionales de datos necesarias para la elaboración de cláusulas contractuales entre responsables y encargados (o subencargados, en caso de haberlos) que no están recogidas por la Comisión Europea.
• Acuerdos entre organismos públicos o autoridades de control que incorporen derechos y obligaciones para los interesados.

¿Son válidas las autorizaciones otorgadas por la AEPD con anterioridad a la entrada en vigor del RGPD? SÍ.

Destinatarios con niveles de protección adecuados

Los países o territorios que la Comisión Europea ha designado como seguros para las transferencias internacionales de datos son los siguientes:

• Suiza
• Canadá
• Argentina
• Guernsey
• Isla de Man
• Jersey
• Islas Feroe
• Andorra
• Israel
• Uruguay
• Nueva Zelanda
• Estados Unidos
• Japón

¿Cómo deben hacerse las transferencias internacionales de datos?

Las condiciones para cumplir la normativa en las transferencias internacionales de datos son:

• Cumplir con todas las obligaciones previstas por la ley, incluyendo la del deber de informar.
• Comunicar la transmisión de datos a la AEPD, indicando el destinatario y la base legal del tratamiento.
• Aportar, si así se solicita, toda la documentación necesaria para garantizar que se cumple el deber de información, consentimiento, cláusulas contractuales o acceso a la información por parte de terceros. En encargado de brindar dicha información será el responsable del fichero.

Cooperación internacional en el tratamiento de datos

El artículo 50 del Reglamento (UE) 2016/679 establece una serie de pautas para fomentar la cooperación entre países, organizaciones, Comisión Europea y autoridades de control en cuanto a la transferencia de datos internacionales.

• Poner en marcha mecanismos de cooperación que faciliten la aplicación de la normativa de protección de datos.
• Colaborar a escala internacional mediante la notificación e intercambio de información, elaboración de reclamaciones, asistencia en investigaciones y, en definitiva, el ejercicio y respeto de las garantías y libertades fundamentales.
• Establecer debates destinados a mejorar la cooperación internacional en los que estén presentes las partes interesadas.
• Facilitar el intercambio entre países de documentación relativa a la legislación sobre protección de datos, principalmente cuando existan diferencias o conflictos en la jurisdicción.

Normas Corporativas Vinculantes

Las normas corporativas vinculantes o BCR se definen como “ las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”.

Es decir, son normas sobre protección de datos que asumen los grupos empresariales por su propia iniciativa. Para ello, deben solicitar previamente información previamente a la Agencia Española de Protección de Datos.

Contenido

Estas normas corporativas vinculantes para el tratamiento de datos internacionales deben incluir lo siguiente:

• Identificación y estructura del grupo empresarial, incluyendo sus datos de contacto.
• Categorías de datos.
• Tipos de tratamiento.
• Finalidad del tratamiento.
• Interesados.
• Destinatarios de los datos.
• Limitación del tratamiento.
• Medidas de seudonimización o minimización del tratamiento.
• Tiempo de conservación.
• Base legal y carácter jurídico de los datos.
• Ejercicio de derechos ARCO o ARSULIPO.
• Deber de información.
• Identificación del Delegado de Protección de Datos y funciones.
• Canales de reclamación para los interesados.
• Vías para comunicar modificaciones a la AEPD.
• Mecanismos de control interno para asegurar el cumplimiento de las normas por los miembros del grupo empresarial.

Sanciones por no cumplir la normativa sobre transferencias de datos internacionales

Las sanciones por no cumplir la normativa de transferencias internacionales de datos consisten en una multa administrativa que puede llegar a lo 20 millones de euros o al 4% de la facturación anual del último ejercicio.

Contrato de transferencia internacional en PDF y Word

A continuación te dejamos un modelo de ejemplo de transferencia internacional de datos personales entre empresas.

• Contrato de transferencia internacional de datos en PDF
• Contrato de transferencia internacional de datos en Word

Ejemplo de transferencia de datos internacional

¿En cuál de estas situaciones no se puede hacer una transferencia internacional de datos?

1. El destinatario se encuentra en un país que ofrece las garantías adecuadas para la Comisión Europea.
2. El destinatario no ofrece garantías adecuadas pero se trata de datos de interés público.
3. El destinatario no ofrece las garantías adecuadas y el interesado no ha dado su consentimiento expreso.

Repasa el artículo para saber la respuesta correcta.

Te recomendamos que si quieres saber más sobre el tema, visites nuestra sección sobre protección de datos.