Las transferencias internacionales de datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica y sus normas de desarrollo aprobadas por el Gobierno, y en las circulares de la Agencia Española de Protección de Datos y de las autoridades autonómicas de protección de datos, en el ámbito de sus respectivas competencias.
En todo caso se aplicarán a los tratamientos en que consista la propia transferencia las disposiciones contenidas en dichas normas, en particular las que regulan los principios de protección de datos.
1. Principio General: Prohibición de Transferencias Internacionales sin Garantías Adecuadas
El RGPD establece que los datos personales solo pueden ser transferidos a un país tercero (fuera del EEE) si se asegura un nivel de protección adecuado para los derechos y libertades de las personas físicas. Esto significa que, por defecto, las transferencias internacionales están prohibidas a menos que se cumplan una serie de condiciones o excepciones específicas.
2. Bases Legales para la Transferencia Internacional de Datos
a. Países con un Nivel Adecuado de Protección
La Comisión Europea puede determinar que un país tercero, un territorio o uno o varios sectores específicos dentro de ese país ofrecen un nivel adecuado de protección para los datos personales. En estos casos, las transferencias de datos a esos países no requieren ninguna autorización específica.
- Ejemplos de países con nivel adecuado: Japón, Suiza, Uruguay, entre otros.
b. Garantías Adecuadas
Si un país no ha sido declarado como que tiene un nivel adecuado de protección, la transferencia solo puede realizarse si el responsable o encargado del tratamiento ha proporcionado garantías adecuadas. Las principales garantías incluyen:
- Cláusulas Contractuales Tipo (CCT): Contratos preaprobados por la Comisión Europea que establecen las obligaciones de las partes respecto al tratamiento de datos.
- Normas Corporativas Vinculantes (BCR): Políticas de protección de datos adoptadas por un grupo empresarial para permitir transferencias internacionales dentro del mismo grupo.
- Códigos de Conducta y Mecanismos de Certificación: Estos también pueden proporcionar garantías adecuadas si están acompañados de compromisos vinculantes y exigibles por parte del receptor de los datos en el tercer país.
c. Excepciones para Situaciones Específicas
En ausencia de una decisión de adecuación o garantías adecuadas, el RGPD permite las transferencias internacionales de datos en ciertos casos excepcionales, como:
- Consentimiento explícito: El interesado ha dado su consentimiento explícito para la transferencia, habiendo sido informado de los posibles riesgos.
- Ejecución de un contrato: La transferencia es necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento, o para la aplicación de medidas precontractuales adoptadas a petición del interesado.
- Intereses públicos importantes: La transferencia es necesaria por razones de un interés público importante reconocido por el Derecho de la Unión o de un Estado miembro.
- Defensa de reclamaciones legales: La transferencia es necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
- Protección de intereses vitales: La transferencia es necesaria para proteger los intereses vitales del interesado o de otra persona, y el interesado no es capaz de dar su consentimiento.
- Transferencia desde un registro público: Cuando la transferencia se realiza desde un registro que, según las leyes de la UE o del Estado miembro, está destinado a proporcionar información al público y está abierto a la consulta del público en general o de cualquier persona que pueda demostrar un interés legítimo.
3. Procedimiento para Transferencias en Ausencia de Garantías o Excepciones
Si ninguna de las condiciones anteriores se cumple, la transferencia solo podrá realizarse bajo circunstancias excepcionales y previa autorización de la autoridad de protección de datos, como la AEPD en España. Esta autorización es necesaria cuando las transferencias no pueden basarse en las condiciones ya mencionadas, y se requiere una evaluación específica de la situación para determinar si se puede permitir la transferencia.
4. Responsabilidad del Responsable del Tratamiento
El responsable del tratamiento debe asegurarse de que la transferencia internacional cumple con las disposiciones del RGPD y la LOPDGDD. Esto incluye:
- Evaluación de riesgos: Determinar si el país de destino ofrece garantías adecuadas y, en su caso, implementar medidas complementarias para mitigar riesgos.
- Transparencia: Informar al interesado sobre la transferencia de sus datos a un tercer país, incluidos los riesgos asociados y las garantías aplicadas.
- Documentación: Mantener un registro de las transferencias internacionales realizadas y la base legal utilizada para cada una.
5. Implicaciones del Caso Schrems II
El fallo del Tribunal de Justicia de la Unión Europea en el caso Schrems II (julio de 2020) tuvo un impacto significativo en el régimen de transferencias internacionales, especialmente en relación con los Estados Unidos. El Tribunal invalidó el Privacy Shield, un acuerdo que permitía la transferencia de datos entre la UE y EE.UU., debido a preocupaciones sobre el acceso de las agencias de inteligencia estadounidenses a los datos personales europeos. Como resultado, las empresas que transferían datos a EE.UU. tuvieron que recurrir a otras garantías, como las Cláusulas Contractuales Tipo, pero con una evaluación exhaustiva de los riesgos y la implementación de medidas adicionales si fuese necesario.
6. Supervisión y Control por Parte de la AEPD
La AEPD juega un papel crucial en la supervisión de las transferencias internacionales de datos:
- Investigaciones y sanciones: La AEPD puede investigar transferencias internacionales realizadas sin las garantías adecuadas o sin cumplir con las excepciones previstas en la normativa, y puede imponer sanciones administrativas.
- Consultas y recomendaciones: La AEPD puede proporcionar orientación y responder consultas sobre la legalidad de ciertas transferencias internacionales.