Actualmente y con plenos efectos hasta mayo 2018, si queremos realizar una transferencia internacional de datos, debemos tener presente tanto lo establecido en nuestra Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) y en nuestro RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, (en adelante RD 1720/2007) ambas normas en vigor y de plena aplicación.
A día de hoy, las transferencias/movimientos internacionales de datos se regulan en los artículos 65 a 70 de la LOPD y en los artículos 33 y 34 del RD 1720/2007, y tenemos como principio general que no pueden realizarse transferencias internacionales de datos con destino a países fuera del Espacio Económico Europeo (EEE) que no proporcionen un nivel de protección equiparable nuestro, salvo autorización previa de la Directora de la Agencia Española de Protección de Datos, (en adelante AEPD).
Según la AEPD países, fuera del EEE, que proporcionan un nivel adecuado de protección son actualmente: Suiza, Guernsey, Isla de Man, Jersey e Islas Feroe, Canadá, Argentina, Andorra, Israel, Uruguay, Nueva Zelanda y EEUU pero sólo aplicable a las entidades estadounidenses adheridas a los principios del vigente Privacy Shield aprobado en julio 2016 y que busca proteger los derechos fundamentales de cualquier ciudadano europeo cuyos datos personales se transfieran a los Estados Unidos, así como aportar claridad jurídica para las entidades que dependen de transferencias internacionales de datos. (Para ver la lista completa de entidades en https://www.privacyshield.gov/list).
Como excepción a la regla general nos encontramos con supuestos legalmente excluidos de la autorización de la Directora de la Agencia Española de Protección de Datos, a modo de resumen:
– Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
– Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
– Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
– Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
¿Cómo se regulan las transferencias internacionales en el RGPD?
EL RGPD regula las transferencias internacionales de datos personales a terceros países u organizaciones internacionales en el Capítulo V (artículos 44 a 50).
Al igual que la LOPD y el RDLOPD, el RGPD base de un principio general que reza que sólo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el RGPD.
Como primera novedad, el RGPD menciona específicamente tanto a responsable como encargado de tratamiento, como bien ha mencionado la propia AEPD este hecho pone fin a las restricciones legales de determinados Estados miembros en los que el exportador de datos debe ser siempre el responsable del tratamiento. Situación que en nuestro caso fue abordada por la Agencia Española de Protección de Datos mediante la adopción de un modelo de cláusulas contractuales que ofrecen las garantías adecuadas para las transferencias internacionales de encargados establecidos en España a subencargados en terceros países.
Como excepciones a la regla general, el RGPD establece diferentes habilitaciones a las transferencias en base a:
1. una decisión de adecuación por parte de la Comisión.
2. establecimiento de garantías adecuadas.
¿Y qué sucede con las autorizaciones por parte por parte de las Autoridades de control, en nuestro caso la Directora de la Agencia Española de Protección de Datos?
En nuestro próximo artículo analizaremos las habilitaciones legales y el futuro de las autorizaciones por parte de la Directora de la AEPD.
