¿Haces transferencias internacionales de datos? El Derecho europeo las prohíbe salvo que reúnas uno de los requisitos que establece. Sigue estos pasos y transfiere datos fuera de la UE cumpliendo con el RGPD.

Infografía de las transferencias internacionales de datos en el RGPD
 
Ver

Qué es una transferencia internacional de datos

Las transferencias internacionales de datos pueden definirse como los flujos transfronterizos de datos personales que se realizan desde un Estado miembro del Espacio Económico Europeo (Estados miembro de la Unión Europea y Liechtenstein, Islandia y Noruega) a un tercer país u organización internacional, así como las comunicaciones ulteriores desde ese tercer país u organización a otro tercer país.

Ahora bien, no todas las comunicaciones fuera del EEE se consideran transferencias internacionales, siendo importante distinguir la transferencia del tránsito. Si los datos personales simplemente son enrutados por varios países terceros pero la transferencia es de un país miembro del EEE a otro país miembro del EEE, los datos habrán estado en tránsito por esos países, pero la transferencia será de un país del EEE a otro país del EEE.

En ocasiones la legislación de los Estados miembros puede definir qué se entiende por una transferencia internacional de datos y precisar el significado. Por ejemplo, en España el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal define las transferencias internacionales de datos como transmisiones de datos fuera del territorio del EEE, independientemente de si se hacen a otro responsable del tratamiento o a un encargado.

Articulo 5.1.s:

Transferencia internacional de datos: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

Qué son las transferencias transfronterizas de datos

El RGPD define el tratamiento transfronterizo en los siguientes términos:

a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o

b) el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro.

De la definición anterior de tratamiento transfronterizo se extrae que una transferencia transfronteriza de datos es:

  1. una comunicación de datos personales a o desde diferentes establecimientos del responsable o encargado del tratamiento, todos ellos localizados en la UE, o
  2. una comunicación de datos personales de interesados que se encuentran en diferentes Estados Miembros a un responsable o encargado cuyo establecimiento se encuentra ubicado en territorio Europeo, siempre que el tratamiento les pueda afectar sustancialmente.

De este modo, las transferencias transfronterizas se distinguen de las transferencias internacionales de datos y no quedan sujetas a ninguna de las restricciones o condiciones expresadas más abajo.

Cómo hacer transferencias internacionales de datos

Para poder realizar transferencias internacionales de datos personales el artículo 44 RGPD impone sobre el responsable y el encargado del tratamiento la obligación de cumplir con las condiciones del capítulo V del Reglamento. Podrá realizarse la transferencia cuando:

  1. exista una decisión de adecuación o;
  2. se hayan otorgado garantías adecuadas o;
  3. se hayan confeccionado y aprobado normas corporativas vinculantes o;
  4. a falta de lo anterior, puedas acogerte a una de las excepciones.

No obstante, antes de verificar si la transferencia de datos que realizas o has previsto realizar está permitida deberías cerciorarte de que el RGPD se aplica a ese tratamiento.

Transferencias internacionales de datos en base a una decisión de adecuación

La Comisión Europea puede decidir que un tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o una organización internacional, garantizan un nivel de protección adecuado. En estos casos podrás realizar una transferencia internacional de datos sin requerir la obtención de ninguna autorización específica.

Hasta la fecha, han sido declarados como países con nivel adecuado de protección los siguientes:

  • Suiza, en 2000;
  • Canadá, en 2002;
  • Argentina, en 2003;
  • Guernsey, en 2003;
  • Isla de Man, en 2004;
  • Jersey, en 2008;
  • Islas Feroe, en 2010;
  • Andorra, en 2010;
  • Israel, en 2011;
  • Uruguay, en 2012;
  • Nueva Zelanda, en 2012;
  • Estados Unidos, en 2016;
  • Japón, en 2019.

En lo que concierne a Canadá, únicamente están cubiertas las transferencias de esos datos regulados por la ley canadiense PIPEDA (Personal Information Protection and Electronic Documents Act).

Respecto a EE.UU, la decisión únicamente es aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU. En la página web del Escudo de privacidad puede accederse a la relación de las entidades certificadas.

Si la entidad a la que transfieres los datos no se encuentra establecida en uno de esos países con los que existe una decisión de adecuación, o la decisión de adecuación no cubre los datos que transfieres, deberás observar la posibilidad de ofrecer garantías adecuadas para transferir los datos legítimamente.

Transferencias internacionales de datos otorgando garantías adecuadas

A falta de decisión de adecuación, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional ofreciendo garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

El RGPD lista toda una serie de medidas adecuadas y, en función de sus requisitos, es posible distinguir entre las garantías que requieren autorización de una autoridad de control y las que no.

Garantías que no requieren autorización

Las enumera el artículo 46.2 RGPD y son las siguientes:

  1. un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;
  2. normas corporativas vinculantes;
  3. cláusulas tipo de protección de datos adoptadas por la Comisión;
  4. cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión;
  5. un código de conducta;
  6. un mecanismo de certificación.

Por lo que se refiere a las cláusulas tipo de protección de datos adoptadas por la Comisión, existen las siguientes:

Para transferencias entre responsables

Para transferencias de responsable a encargado:

Garantías que sí requieren autorización

También se considerarán garantías adecuadas, con autorización de la autoridad de control, las siguientes:

  1. cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o;
  2. disposiciones que se incorporen en acuerdos administrativos entre las autoridades públicas que incluyan derechos efectivos o exigibles para los interesados.

Transferir datos personales dentro del grupo empresarial: normas corporativas vinculantes

El artículo 4.20 RGPD las define como las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

Ahora bien, para constituir una garantía adecuada deben ser aprobadas por la autoridad de control mediante el mecanismo de coherencia, verificado el cumplimiento con todos los requisitos que establece el artículo 47, que distan de ser simples.

Entre otros, se exige que sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas, incluidos sus empleados. También deben de conferir a los interesados, expresamente, derechos exigibles en relación con el tratamiento de sus datos personales.

Además, su aprobación requerirá de la observancia de los Documentos de Trabajo elaborados por el Grupo del Artículo 29 de la Directiva 95/46/CE y del cumplimiento de esas otras normas que puedan ser aplicables en el Estado miembro al que pertenezca la autoridad de control a la que las submites para su aprobación.

Excepciones para situaciones específicas

En ausencia de una decisión de adecuación o de garantías adecuadas, incluidas las normas corporativas vinculantes, una transferencia internacional de datos podrá realizarse cuando se cumpla alguna de las condiciones siguientes:

  1. consentimiento explícito e informado del interesado para la transferencia propuesta;
  2. sea necesaria para la ejecución de un contrato o precontrato entre el interesado y el responsable;
  3. sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable y un tercero;
  4. sea necesaria por razones importantes de interés público;
  5. sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;
  6. sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté incapacitado para dar su consentimiento;
  7. se realice desde un registro público que tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o persona con interés legítimo.

Último recurso para transferir datos fuera de la UE

Finalmente, cuando nada de lo anterior es posible, el RGPD aún habilita para hacer la transferencia internacional cuando se reúnan todas y cada una de las siguientes condiciones:

  • no sea repetitiva;
  • afecte solo a un número limitado de interesados;
  • sea necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable sobre los que no prevalezcan los intereses o derechos y libertades de los interesados;
  • el responsable haya evaluado todas las circunstancias concurrentes en la transferencia y haya ofrecido garantías apropiadas con respecto a la protección de datos personales.

Además, se exige al responsable informar de la transferencia a la autoridad de control y a los interesados, con mención del contenido obligatorio del deber de informar de los artículos 13 y 14 RGPD y de los intereses legítimos perseguidos.

Ejemplos de transferencias internacionales de datos

Almacenamiento de archivos y servicios de hosting

Dicho de modo simple, una página web no es más que un conjunto de archivos almacenados en un servidor que se transfieren a un usuario de Internet cuando este solicita acceder.

Si el servidor donde se alojan los datos está ubicado en un país fuera del Espacio Económico Europeo, todos los datos personales que incluya nuestra web serán transferidos a ese tercer país.

Publicaciones en webs o blogs

Las webs, blogs o porfolios ponen a disposición del público un conjunto de información. Si esta información son datos personales y tú eres una entidad o un empresario que deba cumplir con el RGPD, es muy probable que estés realizando multitud de transferencias internacionales de datos, y es que cada vez que un usuario accede a los datos personales publicados en tu web desde un tercer país u organización tendrá lugar una transferencia internacional de datos.

Cada vez que un usuario accede a los datos personales publicados en tu web desde un tercer país u organización tendrá lugar una transferencia internacional de datos

Gmail y otros servicios de correo electrónico

El modo de funcionar de Gmail u otros servicios de correo electrónico en la nube implica que tus correos sean recibidos,almacenados y enviados desde un servidor externo, que es además al que te conectas cada vez que deseas visualizar o utilizar tu correo electrónico.

Entre esta información hay, sin lugar a dudas, datos personales, por ejemplo, las direcciones del remitente y del destinatario cuando identifiquen a personas físicas y no a empresas, los metadatos del correo y todo el contenido del mensaje cuando sea información sobre una persona física.

Cuando el servidor esté ubicado en un tercer país u organización, como Google, en EEUU, en el caso de Gmail (gmail.com), o Microsoft, en EEUU, en el caso de Outlook (outlook.com, live.com, hotmail.com y msn.com), estarás transfiriendo datos fuera de la UE.

En ocasiones, estas grandes corporaciones se encuentran establecidas en más de un país y la entidad responsable del tratamiento de tus datos personales no será la entidad donde la compañía tenga su sede central (en EEUU en el ejemplo anterior), sino una entidad en territorio Europeo.

Esto es algo que es necesario tener en cuenta, pues si la entidad responsable del tratamiento se encuentra establecida en territorio Europeo y esta no transfiere los datos las otras empresas del grupo, entonces es posible que no existan transferencias internacionales de datos.

WhatsApp, Skype y otros servicios de mensajería instantánea y videollamadas

Nombres y apellidos, números de teléfono, correos electrónicos, hora y fecha de la comunicación y el contenido de los mensajes son datos personales que registran las compañías que te ofrecen esos servicios.

En el caso de WhatsApp, empresa de Facebook, los servicios te los prestará WhatsApp Inc (empresa americana) o WhatsApp Ireland Limited (empresa irlandesa) en función del país en que residas.

En líneas generales, si resides en la UE los servicios te los prestará la compañía irlandesa y, en principio, no estarás haciendo transferencias internacionales de datos al usar WhatsApp.

No obstante, debido a que WhatsApp comparte la información con el resto de empresas del grupo Facebook, utilizar WhatsApp conlleva transferir datos personales fuera del EEE.

Debido a que WhatsApp comparte la información con el resto de empresas del grupo Facebook, utilizar WhatsApp conlleva transferir datos personales fuera del EEE.

Para más información acerca de cómo WhatsApp utiliza tus datos, consulta su política de privacidad.

Por lo que respecta al uso de Skype, este es un producto de Microsoft y, del mismo modo que sucede al utilizar Outlook, en estos casos también transferirás tus datos y los de tus contactos a EEUU.

MailChimp y otras plataformas de marketing

Utilizar plataformas de marketing para gestionar tus listas de suscriptores y realizar envíos de publicidad también puede conllevar una transferencia internacional de datos cuando las empresas que ofrezcan esos servicios estén ubicadas fuera del territorio del EEE.

Así ocurre, por ejemplo, en el caso de MailChimp, nombre del producto de la empresa norteamericana Rocket Science Group LLC.

MailChimp tratará los datos que tu le envíes acerca de tus suscriptores, como los nombres y apellidos, direcciones de correo electrónico y números de teléfono, así como todos esos datos que decidas incluir en los formularios de contacto. Además, MailChimp también captura datos acerca de los dispositivos y aplicaciones que tus contactos usan para abrir los correos electrónicos, así como datos acerca de sus interacciones, por ejemplo, en qué fecha y momento abrieron los correos o cómo navegan por Internet.

Puedes consultar la política de privacidad de MailChimp aquí.

Quizás también te interese…

Entidades y empresas obligadas a cumplir con el RGPD
Representante del RGPD en la UE. Protección de datos personales y privacidad. Unión Europea
Delegado de protección de datos en el RGPD (DPO - DPD). Cuando debe designarse, requisitos, funciones y salario.
Cómo transferir datos fuera de la UE transferencias internacionales de datos
Principios de protección de datos en el RGPD
Guía del registro de actividades del tratamiento del RGPD
Datos sensibles en el RGPD
Cómo atender los derechos del RGPD
Evaluación de impacto de protección de datos en el RGPD. EIPD o DPIA.
Requisitos de seguridad de la información en el RGPD
Multas y sanciones del rgpd
RGPD y blockchain, problemas y soluciones para el cumplimiento normativo