Las transferencias de datos personales a países fuera del Espacio Económico Europeo (EEE) son a menudo indispensables para el comercio o la cooperación internacional. Es posible que tu PYME tenga que transferir datos personales a un país fuera del EEE en el transcurso de sus actividades, por ejemplo, cuando necesites compartir datos personales con tus socios comerciales o con tus proveedores establecidos fuera del EEE.

El RGPD contiene disposiciones específicas para dichas transferencias. Con estas disposiciones, el RGPD pretende garantizar a los datos personales que se transfieren un nivel de protección equivalente al que disfrutan dentro del EEE.

¿Cuándo se produce una transferencia de datos personales fuera del EEE?

El RGPD no proporciona una definición de tales transferencias. Sin embargo, el CEPD ha identificado los siguientes tres criterios acumulativos para identificar una transferencia fuera del EEE:

  • un responsable o encargado del tratamiento está sujeto al RGPD para el tratamiento en cuestión;
  • este responsable o encargado divulga mediante transmisión o pone los datos personales a disposición de otra organización (responsable del tratamiento o encargado del tratamiento);
  • esta otra organización se encuentra en un país fuera del EEE o es una organización internacional.

¿Cómo transferir datos personales fuera del EEE?

En pocas palabras, el RGPD impone restricciones a la transferencia de datos personales fuera del EEE, a países no pertenecientes al EEE u organizaciones internacionales, para garantizar que el nivel de protección de las personas que otorga el RGPD siga siendo el mismo.

Los datos personales solo pueden transferirse fuera del EEE de conformidad con las condiciones para dichas transferencias establecidas en el capítulo V del RGPD.

Las condiciones para las transferencias deben respetarse además del cumplimiento general de otras normas del RGPD. Por ejemplo, estas condiciones constituyen un requisito adicional a los principios básicos del tratamiento, que también deben respetarse en el contexto de las transferencias internacionales. Al transferir datos personales, debes asegurarte de que dispones de una base legal adecuada para el tratamiento; que se aplican las medidas de seguridad necesarias; que solo tratas los datos personales necesarios para esta actividad de tratamiento concreta (principio de minimización de datos), etc. Si el destinatario de los datos personales actúa como encargado del tratamiento, estás legalmente obligado a firmar un contrato. Al igual que lo harías para un encargado del tratamiento dentro del EEE. 

Según el RGPD, existen, en principio, dos formas principales de transferir datos personales a un país no perteneciente al EEE o a una organización internacional. Las transferencias pueden realizarse sobre la base de una decisión de adecuación o, a falta de tal decisión, sobre la base de garantías adecuadas, incluidos los derechos exigibles y los recursos legales para las personas. A falta de una decisión de adecuación o de garantías adecuadas, el RGPD permite algunas excepciones en determinadas situaciones.
Encontrará más información sobre las diferentes opciones a continuación.

Transferencias de datos sobre la base de una decisión de adecuación

La Comisión Europea tiene la posibilidad de adoptar decisiones de adecuación para confirmar formalmente, con efecto vinculante para los países del EEE, que el nivel de protección de datos en un país no perteneciente al EEE o en una organización internacional es esencialmente equivalente al nivel de protección en el Espacio Económico Europeo.

Al evaluar la adecuación del nivel de protección, la Comisión Europea tiene en cuenta elementos como el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, así como si los derechos de los interesados son o no efectivos y exigibles, la existencia y el funcionamiento efectivo de una autoridad independiente de protección de datos en el país no perteneciente al EEE y los compromisos internacionales que haya suscrito el país u organización internacional.

Si la Comisión Europea decide que el país ofrece un nivel adecuado de protección y se adopta una decisión de adecuación, los datos personales pueden transferirse a otra empresa u organización de ese país no perteneciente al EEE sin que el exportador de datos, es decir, la entidad que transfiera los datos, esté obligado a proporcionar más garantías o esté sujeto a condiciones adicionales relacionadas con las transferencias internacionales. En otras palabras, las transferencias a un país «adecuado» no perteneciente al EEE serán comparables a una transferencia de datos dentro del EEE. Sin embargo, tu organización todavía tendrá que cumplir con los demás principios básicos del RGPD, como se ha explicado anteriormente.

Las decisiones de adecuación pueden abarcar un país en su conjunto o limitarse a una parte del mismo (es decir, a una región). Las decisiones de adecuación pueden abarcar todas las transferencias de datos a un país o limitarse a algunos tipos de transferencias (por ejemplo, en un sector).

Hasta ahora, la Comisión Europea ha adoptado decisiones de adecuación para:

  • Andorra,
  • Argentina,
  • Canadá (organizaciones comerciales),
  • Islas Feroe,
  • Guernsey,
  • Israel,
  • Isla de Man,
  • Japón,
  • Jersey,
  • Nueva Zelanda,
  • República de Corea,
  • Suiza,
  • Reino Unido,
  • Estados Unidos (organizaciones comerciales que participan en el Marco de Privacidad de Datos UE-EE.UU.),
  • y Uruguay.

La Comisión Europea publica la lista de sus decisiones de adecuación en su sitio web.

Los exportadores de datos son responsables de supervisar si las decisiones de adecuación pertinentes para sus transferencias siguen en vigor y no están en proceso de revocación o invalidación.

Tenga en cuenta que las decisiones de adecuación no impiden a los particulares presentar una reclamación. Tampoco impiden que las autoridades de protección de datos (DPA) ejerzan sus competencias en virtud del RGPD.

Transferencias de datos sobre la base de garantías adecuadas

A falta de una decisión de adecuación, las organizaciones también pueden transferir datos personales cuando puedan proporcionarse garantías adecuadas frente a la organización que recibe los datos personales. Además, las personas deben poder ejercer sus derechos y disponer de recursos legales efectivos.

El artículo 46 del RGPD enumera una serie de herramientas de transferencia que contienen «garantías adecuadas» que puedes utilizar para transferir datos personales a países no pertenecientes al EEE en ausencia de decisiones de adecuación. Los principales tipos de herramientas de transferencia del artículo 46 del RGPD, pertinentes para organizaciones privadas, son:

  • Cláusulas contractuales tipo de protección de datos (CCT);
  • Normas corporativas vinculantes (BCR);
  • Códigos de conducta;
  • Mecanismos de certificación;
  • Cláusulas contractuales ad hoc.

Cláusulas contractuales tipo (CCT)

Las cláusulas contractuales tipo son un conjunto de contratos normalizados que permiten a los exportadores de datos ofrecer las garantías adecuadas. Es una herramienta utilizada habitualmente por muchas organizaciones. La Comisión Europea está facultada para adoptar CCT como salvaguardia adecuada para las transferencias de datos personales a países no pertenecientes al EEE en virtud del artículo 46, apartado 2, letra c), del RGPD.

El 4 de junio de 2021, la Comisión Europea adoptó una Decisión de Ejecución sobre las CCT para la transferencia de datos personales a países no pertenecientes al EEE en virtud del RGPD. La Comisión Europea también proporciona un conjunto de cláusulas contractuales tipo en su sitio web. Obtenga más información sobre las cláusulas contractuales tipo. 

Los CCT abordan varios escenarios de transferencia y la complejidad de las cadenas de tratamiento modernas. Los responsables y encargados del tratamiento de datos pueden utilizar varias opciones, en función de las circunstancias específicas de la transferencia, que incluyen:

  • responsable a responsable (C2C);
  • responsable -a-encargado (C2P);
  • encargado a encargado (P2P);
  • encargado a responsable (P2C), el encargado se encuentra en la UE y el responsable del tratamiento en un tercer país.

Otros aspectos importantes de los CCT incluyen:

  • la posibilidad de que más de dos partes se adhieran a las cláusulas;
  • la posibilidad, con algunas excepciones, de utilizar CCT cuando transfiera datos personales a un subencargado del tratamiento en un país no perteneciente al EEE;
  • la posibilidad, con algunas excepciones, de que los particulares invoquen las cláusulas como terceros beneficiarios;
  • las normas de responsabilidad entre las partes en caso de vulneración de los derechos de los particulares;
  • El derecho de los particulares a ser indemnizados por los daños sufridos cuando se hayan vulnerado sus derechos como terceros beneficiarios;
  • la obligación de llevar a cabo una «evaluación de impacto de la transferencia» que documente las circunstancias específicas de la transferencia, las leyes del país de destino y las garantías adicionales establecidas para proteger los datos personales;
  • obligaciones en caso de acceso de las autoridades públicas a los datos transferidos, por ejemplo, la obligación de facilitar información a los exportadores de datos y de impugnar las  solicitudes ilegales.

Normas corporativas vinculantes (BCR)

Las normas corporativas vinculantes (BCR) ayudan a garantizar un nivel adecuado de protección de los datos intercambiados dentro de un grupo de empresas ubicadas tanto dentro como fuera del EEE, y son más adecuadas para un grupo multinacional de empresas que realiza un gran número de transferencias de datos.

Los BCR son normas internas adoptadas por un grupo de empresas, que establecen su política global para la transferencia de datos personales. Estas normas deben ser vinculantes y respetadas por todas las entidades del grupo, independientemente del país de acogida. Además, deben conferir expresamente derechos exigibles a las personas físicas en relación con el tratamiento de sus datos personales.

Las condiciones que deben respetarse para que la autoridad de protección de datos competente apruebe BCR se enumeran en el artículo 47 del RGPD y se explican con más detalle en las recomendaciones adoptadas por el Grupo de Trabajo 29 y aprobadas por el CEPD. Se establece un conjunto diferente para los responsables del tratamiento BCR y los encargados del tratamiento BCR.

Códigos de conducta

El RGPD introduce esta nueva herramienta para las transferencias de datos. Contrariamente a las BCR, que pueden ser elaboradas directamente por grupos individuales de empresas, los códigos de conducta son sectoriales y desarrollados por asociaciones que representan a categorías de organizaciones. Debe establecerse un sistema de organismos acreditados que supervisen el cumplimiento del código de conducta. El CEPD ha tomado la iniciativa de aclarar las condiciones en las que los códigos de conducta pueden ser utilizados y aprobados por las autoridades competentes. Además, el CEPD también se encarga de garantizar la coherencia de las condiciones en las que  pueden acreditarse los organismos de supervisión.

Certificación

El RGPD introduce esta nueva herramienta para la transferencia de datos a organizaciones que hayan sido certificadas por organismos de certificación o APD del EEE.
El CEPD ha adoptado directrices para aclarar las condiciones en las que puede establecerse un mecanismo de certificación. Esta herramienta todavía está en fase de desarrollo.
El CEPD también se encarga de garantizar la coherencia de las condiciones para acreditar a los organismos de certificación.

Cláusulas contractuales ad hoc

Si los responsables del tratamiento o los encargados del tratamiento deciden no utilizar las cláusulas contractuales tipo de la Comisión Europea, pueden redactar sus propias cláusulas contractuales («cláusulas ad hoc») que ofrezcan garantías suficientes de protección de datos. Antes de cualquier transferencia de datos, dichas cláusulas contractuales ad hoc deben ser autorizadas por la autoridad nacional de protección de datos competente, de conformidad con el artículo 46, apartado 3, letra a), del RGPD, previo dictamen del CEPD.

Medidas complementarias posteriores a la sentencia Schrems II

En su sentencia C-311/18 (Schrems II) de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) subrayó la posible necesidad de que las organizaciones ofrezcan medidas complementarias además de las garantías adecuadas, a la hora de transferir datos personales fuera del EEE. 

Las Cláusulas Contractuales Tipo y otras herramientas de transferencia mencionadas en el artículo 46 del RGPD no de forma independiente. El TJUE declaró que los responsables o encargados del tratamiento, que actúan como exportadores, son responsables de verificar, caso por caso, si la legislación o la práctica del país no perteneciente al EEE afecta, por ejemplo, debido a la legislación que impone el acceso a los datos, sobre la eficacia de las garantías adecuadas contenidas en las herramientas de transferencia del artículo 46 del RGPD.

Para ayudar a los exportadores en la compleja tarea de evaluar a los países receptores de los datos y determinar las medidas complementarias adecuadas en su caso, el CEPD ha adoptado recomendaciones.

Transferencias de datos sobre la base de excepciones

Además de las decisiones de adecuación y las herramientas de transferencia del artículo 46 del RGPD, el RGPD contiene una tercera vía que permite la transferencia de datos personales en determinadas situaciones. Sujeto a condiciones específicas, es posible que pueda transferir datos personales sobre la base de una excepción enumerada en el artículo 49 del RGPD.

El artículo 49 del RGPD tiene carácter excepcional. Las excepciones deben interpretarse de un modo que no contradiga su propia naturaleza como excepciones a la norma según la cual los datos personales no pueden transferirse a un país no perteneciente al EEE, a menos que dicho país prevea un nivel adecuado de protección de datos o, alternativamente, se establezcan garantías adecuadas. Las excepciones no pueden convertirse en «la norma» en la práctica, sino que deben limitarse a situaciones específicas.

Sobre la base del artículo 49 del RGPD, se puede realizar una transferencia o conjunto de transferencias cuando la transferencia sea:

  • realizada con el consentimiento explícito de la persona;
  • necesaria para la ejecución de un contrato entre la persona y la organización o para las medidas precontractuales adoptadas a petición de la persona;
  • necesaria para la ejecución de un contrato celebrado en interés de la persona física entre el responsable del tratamiento y otra persona;
  • necesaria por razones importantes de interés público;
  • necesaria para el establecimiento, el ejercicio o la defensa de reclamaciones;
  • necesaria para proteger los intereses vitales de la persona en cuestión u otras personas, cuando la persona está física o legalmente incapacitada para dar su consentimiento; o
  • elaborada a partir de un registro que, en virtud de la legislación nacional de un país del EEE o de la legislación de la UE, esté destinado a proporcionar información al público (y que esté abierto a consulta por el público en general o por aquellos que puedan demostrar un interés legítimo en consultarlo).

Debe aplicarse una «prueba de necesidad» para evaluar la necesidad de la transferencia. Esta prueba requiere una evaluación de si una transferencia de datos personales puede considerarse necesaria para la finalidad específica de la excepción en cuestión.

Cuando ninguna de las excepciones anteriores sea aplicable a una situación específica, será posible transferir datos por razones imperiosas para los intereses legítimos del responsable del tratamiento.

Sin embargo, tales transferencias solo se permiten cuando la transferencia:

  • no sea repetitiva (no se realizan regularmente transferencias similares);
  • se refiera a datos relacionados solo con un número limitado de personas;
  • sea necesaria a efectos de los intereses legítimos de la organización (siempre que los intereses de la persona no prevalezcan);
  • se realice con las garantías adecuadas establecidas por la organización (a la luz de una evaluación de todas las circunstancias que rodean la transferencia) para proteger los datos personales; y
  • no la realice una autoridad pública en el ejercicio de sus poderes públicos.
  • En estos casos, las organizaciones están obligadas a informar a la APD pertinente de la transferencia y proporcionar información adicional a los particulares.

En general, las excepciones solo deben utilizarse como último recurso para definir una transferencia de datos; las organizaciones deben evaluar en primer lugar si no es posible utilizar una decisión de adecuación o una garantía adecuada.

Al acogerte a las excepciones del artículo 49 del RGPD, debes tener en cuenta que las organizaciones que transfieren datos también deben cumplir con otras disposiciones del RGPD (tener una base legal para la comunicación de datos, implementar medidas de seguridad, minimizar los datos, firmar un contrato si el destinatario es un procesador de datos, etc.).