Cuando trasmitimos datos personales fuera de los países que integran la Unión Europea, Islandia, Liechtenstein y Noruega, tanto a través de una comunicación o cesión de datos, como si encargamos un servicio a una tercera persona o entidad, estaremos realizando una transferencia internacional de datos personales.
El RGPD ha introducido una novedad con respecto a la legislación anterior, y es que, el transmisor/exportador de los datos podrá ser tanto responsable como encargado del tratamiento.
¿Cómo se regulan y cuándo se pueden realizar sin necesidad de autorización por parte de la Agencia Española de Protección de Datos /AEPD?
El RGPD establece que la Comisión Europea velará porque estas Transferencias Internacionales se realicen con la mayor seguridad jurídica, para evitar que se transmitan datos personales de manera que vulnere nuestra privacidad y entrañe riesgos para los derechos y libertades fundamentales y, en su caso, para la libre circulación de datos personales dentro de la Unión.
Es por ello que el RGPD establece una serie de requisitos que se han de ir cumpliendo para poder realizar transferencias internacionales de datos de carácter personal. Es decir, no las prohíbe, pero sí que se regulan de forma muy clara.
Para poder hacer una transferencia internacional de datos de carácter personal (ya sea como responsables o como encargados del tratamiento) sin necesidad de autorización por parte de la Agencia Española de Protección de Datos, el RGPD establece cuatro supuestos:
– El primer supuesto sería cuando el país al que irán destinados los datos haya sido declarado de nivel adecuado por la Unión Europea. La Comisión europea ha declarado que los siguientes países y territorios tienen un nivel adecuado de protección: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda y Estados Unidos. Referente a este último se debe atender a lo dispuesto en la lista de empresas con escudo de seguridad: https://www.privacyshield.gov/list.
– En segundo lugar, en caso de no haber sido declarado de nivel adecuado por la Comisión Europea, para poder enviar los datos se deberán implementar una serie de garantías: que exista un instrumento jurídicamente vinculante, la aprobación de normas corporativas vinculantes (la propia empresa es quien, siguiendo los requisitos exigidos por la normativa vigente, elabora estas normas y las presenta a la Autoridad de Control en materia de Protección de Datos para su aprobación), el establecimiento de cláusulas tipo (de la Comisión o una autoridad de control), estar sujeto a un código de conducta o disponer de mecanismo de certificación.
– El tercero de los supuestos, en caso de que no se den ninguna de las circunstancias anteriores, el RGPD prevé una serie de supuestos donde se podrán realizar las transferencias internacionales de datos sin que se den los supuestos anteriores tales como: que el interesado haya autorizado expresamente la transferencia, que la transferencia sea necesaria para la celebración y ejecución de un contrato entre el interesado y el responsable, o que sea por razones importantes de interés público.
– En cuarto lugar, en caso de no ser posible ninguno de los tres supuestos anteriores, habrá que atender a otros requisitos, como son: que la transferencia no sea repetitiva, que afecte solo a un número limitado de interesados y que sea necesaria para los fines de intereses legítimos perseguidos por el responsable del tratamiento.
Así, el RGPD delimita los supuestos en los que se podrán hacer transferencias internacionales y, en todo caso, establece cómo deberán realizarse. En todos los demás supuestos no previstos en los párrafos anteriores, el responsable o encargado del tratamiento deberá solicitar autorización ante la autoridad de control competente, que en España es la Agencia Española de Protección de Datos.