Transferencias de datos, normas corporativas vinculantes y situaciones específicas de tratamiento

Autor:Lucrecio Rebollo
Páginas:153-173
 
ÍNDICE
EXTRACTO GRATUITO

Page 153

Concepto de transferencia

La preocupación respecto a las transferencias internacionales fue pronto denominador común en los diversos textos legislativos europeos en materia de protección de datos. hoy ningún país occidental, ni ninguna economía basada en el libre comercio puede limitar la transferencia internacional de datos de forma radical. De hacerlo, supondría la asfixia de muchos sectores económicos, que si no pueden desarrollarse en el interior de la unión buscarán otras ubicaciones más favorables en el mundo, con lo que ello representa de menor riqueza y empleo. En un mundo globalizado como es el nuestro, es impensable la ausencia de relaciones de todo tipo entre todos los países del mundo. Por ello es necesario una regulación que contemple esta circunstancia tan esencial desde la perspectiva de la protección de datos.

La Directiva 95/46/CE regula la cuestión dándole un carácter ejecutivo, y consagra el principio general, de la prohibi-

Page 154

ción de realizar transferencias temporales o definitivas de datos con destino a países que no proporcionen un nivel de protección equiparable al otorgado en la unión Europea. En cuanto que los datos constituyen bienes integrados en el sistema de libertad de circulación de la unión, el concepto transferencia internacional se refiere en exclusiva a los supuestos en los que el país de destino sea un tercer Estado no miembro de la unión, puesto que el art. 1.2 de la Directiva establecía que “los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros…”. Por su parte, la regulación troncal venía establecida en el art. 25.1, que especificaba que únicamente podrá efectuarse una transferencia internacional de datos cuando el país tercero de que se trate garantice un nivel de protección adecuado. Esta prohibición es mucho más dura de lo que podría parecer, ya que el grupo de países reconocidos por la Comisión que poseen un nivel de protección adecuado es muy reducido: Suiza, Estados unidos (principios de puerto seguro), Canadá (en cuanto a su Personal Information and Electronic Documents Act), Argentina, Guernesey, Isla de Man, jersey, Islas feroe, Andorra, Israel y uruguay. En el artículo 26.2 se aportaba una nueva vía para poder efectuar una transferencia internacional de datos personales a un país que no garantice un nivel de protección adecuado y que se establecía en el responsable del tratamiento ofreciera garantías suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos. En particular estas garantías podrán derivarse de cláusulas contractuales apropiadas.

El RGPD abunda en esta regulación. La primera laguna que colma es la de una clara definición de transferencia, que viene establecida en el art.4, en su apartado 23) bajo la denominación de «tratamiento transfronterizo», entendiendo por tal cuando:

  1. el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en

    Page 155

    más de un Estado miembro de un responsable o un encargado del tratamiento en la unión, si el responsable o el encargado está establecido en más de un Estado miembro, o

  2. el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro.

    Como puede comprobarse la delimitación de este concepto de tratamiento transfronterizo tiene un carácter interno referido a la unión Europea, de tal forma que no englobaría las transferencias a terceros países, por lo que hemos de reservar el uso del término, conforme al Reglamento, para los movimientos de datos entre Estados miembros de la unión Europea. Complementa este concepto en su delimitación, la definición que el apartado 16) del art. 4 realiza respecto a «establecimiento principal» dado que lo de define como:

  3. en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal;

  4. en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la unión o, si careciera de esta, el establecimiento del encargado en la unión en el que se realicen las principales actividades de tratamiento en el contexto de las activida-

    Page 156

    des de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento.

    De esta forma para encontrar una delimitación del concepto de transferencias de datos personales a terceros países u organizaciones internacionales hay que acudir al art. 44 del RGPD, en virtud del cual, “Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional”.

    De esta forma hay que distinguir tres claros conceptos en el Reglamento, tratamiento transfronterizo, queda restringido al ámbito interno de la unión Europea, transferencias basadas en una decisión adecuada y transferencias mediante garantías adecuadas, siendo estos dos últimos identificables con transferencias a terceros países u organizaciones internacionales.

    Otra circunstancia que contempla el Reglamento es la posibilidad inversa, es decir, en el supuesto de que un tercer país reclame la transferencia de datos a un Estado miembro o a la unión Europea. El art. 48 establece a este respecto que “ Cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo”.

    Page 157

Transferencias basadas en una decisión de adecuación

Reguladas en el art. 45, pueden realizarse cuando “… la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado”. En estos supuestos la transferencia no requiere ninguna autorización específica. En definitiva, esta actividad se centra en que la Comisión elabora un listado de países a los cuales pueden transferirse datos sin requisitos añadidos, en virtud de que tienen un nivel adecuado de protección de los derechos y libertades fundamentales, entre los que se encuentra la protección de datos de carácter personal. No obstante, el Reglamento delimita a la Comisión los requisitos que deben cumplir estos países, y que se concretan en los siguientes:

  1. el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos;

  2. la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y

    Page 158

    hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la unión y de los Estados miembros, y

  3. los...

Para continuar leyendo

SOLICITA TU PRUEBA