El Reglamento Europeo de Protección de Datos paso a paso IX: Transferencias internacionales de datos

por Jorge Campanillas Ciaurriz

publicado el 15 septiembre 2016

Categorías: Abogado / Abogados / Abogados LOPD / Abogados nuevas tecnologías / Agencia Proteccion Datos / Derechos Fundamentales / Instituciones Públicas y Organismos / Protección de Datos / Tecnología

El Reglamento Europeo de Protección de Datos paso a paso IX: Transferencias internacionales de datos Retomamos la serie de publicaciones sobre el reglamento que comenzamos antes del verano y que ya vamos terminando a falta de comentar cómo se regulan las transferencias internacionales de datos y, dejando para el final de la serie las infracciones y sanciones. Os recuerdo que hemos ido analizando los aspectos más importantes del Reglamento Europeo de Protección de Datos: Códigos de conducta y certificaciones en materia de protección de datos, la Evaluación de Impacto relativa a la protección de datos, la importante figura del Delegado de Protección de Datos (DPO), las brechas de seguridad, el responsable y el encargado de tratamiento, la privacidad de datos desde el diseño y por defecto, los derechos a la limitación del tratamiento y a la portabilidad de los datos, los principios de consentimiento e información y de los derechos de acceso y supresión o derecho al olvido.

En cuanto a las transferencias internacionales de datos no se producen muchos cambios de los sistemas actuales que ya conocíamos: como eran la determinación por parte de la Comisión del los países denominados como «puertos seguros«, transferencias a través de garantías adecuadas o normas corporativas vinculantes, incluso del propio consentimiento del afectado, pero sí que se incluye una posible transferencia en casos de «intereses legítimos imperiosos» del responsable del tratamiento que veremos en que se traduce ello.

Quisiera detenerme sobre todo en los 2 últimos aspectos puesto que son los que considero más relevante, más allá de las luchas existentes en la actualidad, para aprobar, por ejemplo el «privacy shield» sucesor de «safe harbor» y lo que tendrá que decir al respecto, si es que sucede, el Tribunal de Justicia de la Unión Europea, o la regulación y aprobación de las demás herramientas como las cláusulas tipo para la transferencia o la autorización de las normas corporativas vinculantes. Reitero que considero más interesante 2 excepciones que establece el Reglamento para una posible transferencia de datos internacionales.

El reglamento establece que a falta de los instrumentos anteriores comentados, se podrá realizar transferencias de datos a países sin un nivel adecuado de protección si se cumplen alguno de los siguientes requisitos, es decir nos encontramos ante posibles excepciones para la transferencia, y no se tienen que dar todas las exigencias sino con una de ellas ya sería válida; entre ellos, podemos destacar como siempre, el consentimiento, pero en este caso un consentimiento reforzado: el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas. Debemos entender que no valdrá un simple párrafo, como sucede en la actualidad, donde se otorga un consentimiento para una cesión, sino que deberá ser más detallada la información a otorgar al afectado e incluso, diriá yo, un posible «check box» para que podamos probar dicho consentimiento explícito con los riesgos que conlleva la transferencia.

A su vez el artículo 49 nos otorga otras posibilidades de transferencias como son: la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado; la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica; la transferencia sea necesaria por razones importantes de interés público; la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones.

Es interesante como este artículo 49 en su apartado segundo abre otra vía como posible cajón desastre cuando no encontramos un encuadre en ningún de las opciones establecidas, introduce la figura de los «intereses legítimos imperiosos«:

Cuando una transferencia no pueda basarse en disposiciones de los artículos 45 o 46, incluidas las disposiciones sobre normas corporativas vinculantes, y no sea aplicable ninguna de las excepciones para situaciones específicas a que se refiere el párrafo primero del presente apartado, solo se podrá llevar a cabo si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evaluó todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales. El responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos.

Eso sí, como vemos es un posibilidad muy condicionada y en la que debemos ponderar muy mucho los intereses legítimos con los derechos de los interesados. Posibilidad que puede darse si se cumplen todos los requisitos, esto es:

• No repetitiva, es decir, que se produzca una única vez.
• Número ilimitado de personas
• Se informe a la autoridad de control correspondiente
• Se informe a los interesados sobre la transferencia y los intereses legítimos en los que se basa la misma.

Será interesante que se considera por la autoridad de control este «interés legítimo imperioso» y si va más allá de los casos que conocemos en la actualidad como acceso a ficheros de solvencia, publicación de información en web, etc.