1660 - Recopilación de transferencias internacionales de datos que pueden ejercerse en el sector público

Las transferencias internacionales de datos que pueden darse en el sector público son las siguientes:

• Transferencias basadas en una decisión de adecuación.
• Transferencias de datos con países que hubiesen ofrecido garantías suficientes.
• Transferencias de datos que requieran autorización previa de las autoridades de control.

Como indica el artículo 44 del RGPD solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del RGPD, el responsable y el encargado del tratamiento cumplen las condiciones dispuestas en el capítulo V del RGPD, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional a fin de asegurar que el nivel de protección de las personas físicas garantizado por el RGPD no se vea menoscabado. 

En este sentido, la Agencia Española de Protección de Datos (AEPD) especifica que «las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega). Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo». 

Transferencias de datos basadas en una decisión de adecuación

El artículo 45 del RGPD dispone que pueden realizarse transferencias de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate, garanticen un nivel de protección adecuado. Lo destacable en estos casos es que no es necesario una autorización específica para la transferencia. 

Para evaluar la adecuación del nivel de protección, la Comisión estimará lo siguiente: 

• El Estado de derecho.
• El respeto de los derechos humanos y las libertades fundamentales. 
• La legislación pertinente, tanto general como sectorial, incluida la relativa a:
  • La seguridad pública.
  • La defensa.
  • La seguridad nacional.
  • La legislación penal.
  • El acceso de las autoridades públicas a los datos personales.
  • La aplicación de dicha legislación.
• Las normas de protección de datos. 
• Las normas profesionales.
• Las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional.
• La jurisprudencia.
• El reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos.
• La existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los EEMM.
• Los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales.

Siguiendo lo pautado en el antedicho artículo, la Comisión:

1. Tras evaluar la adecuación del nivel de protección, podrá decidir, a través de un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan un nivel de protección adecuado de acuerdo con lo establecido en el apartado 2 del artículo 45 del RGPD y, el acto de ejecución:

- Establecerá un mecanismo de revisión periódica, al menos cada cuatro años, que tenga en cuenta todos los acontecimientos relevantes en el tercer país o en la organización internacional.

- Especificará su ámbito de aplicación territorial y sectorial y, en su caso, determinará la autoridad o autoridades de control a que se refiere el apartado 2, letra b), del artículo 45 del RGPD; si bien, el acto de ejecución se adoptará con arreglo al procedimiento de examen a que se refiere el artículo 93, apartado 2 del antedicho reglamento.

2. Supervisará de manera continuada los acontecimientos en países terceros y organizaciones internacionales que puedan afectar a la efectiva aplicación de las decisiones adoptadas de acuerdo con el apartado 3 del artículo 45 del RGPD.
3. Entablará consultas con el tercer país u organización internacional con vistas a poner remedio a la situación que dé lugar a la decisión adoptada de conformidad con el apartado 5 del artículo 45 del RGPD.
4. Publicará en el Diario Oficial de la Unión Europea y en su página web una lista de terceros países, territorios y sectores específicos en un tercer país, y organizaciones internacionales respecto de los cuales haya decidido que se garantiza, o ya no, un nivel de protección adecuado.

Según la AEPD, en la actualidad, los países y territorios declarados como adecuados son:

• Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
• Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001.
• Argentina. Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003.
• Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
• Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
• Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
• Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.
• Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010.
• Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.
• Uruguay. Decisión 2012/484/UE, de la Comisión, de 21 de agosto de 2012.
• Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012.
• Japón. Decisión de 23 de enero de 2019.
• Reino Unido. Decisión de 28 de junio de 2021.

Fuente: web de la AEPD.

A TENER EN CUENTA. Cuando la información disponible, tras la revisión indicada en el apartado tercero del artículo de referencia, muestre que un tercer país, un territorio o un sector específico de ese tercer país, o una organización internacional ya no garantiza un nivel de protección adecuado de acuerdo con el apartado segundo del mismo artículo, la Comisión, mediante actos de ejecución, derogará, modificará o suspenderá, en la medida necesaria y sin efecto retroactivo, la decisión referida en el apartado tercero del artículo 45 del Reglamento de referencia (artículo 45.5 del RGPD).

CUESTIÓN

¿Qué sucederá cuando una autoridad de protección de datos estime que una decisión de la Comisión Europea en materia de transferencias internacionales de datos, de cuya validez dependiese la resolución de un procedimiento concreto, infringiese lo establecido en el RGPD menoscabando el derecho fundamental a la protección de datos?

En base a la D.A. 5.ª de la LOPDGDD, si se diera este caso, la autoridad de protección de datos deberá acordar inmediatamente la suspensión del procedimiento, a fin de solicitar del órgano judicial autorización para declararlo así en el seno del procedimiento del que esté conociendo, dicha suspensión deberá ser confirmada, modificada o levantada en el acuerdo de admisión o inadmisión a trámite de la solicitud de la autoridad de protección de datos dirigida al tribunal competente.

Las decisiones de la Comisión Europea a las que podría aplicarse el antedicho cauce son:

- Las decisiones declarativas del nivel adecuado de protección de un tercer país u organización internacional (artículo 45 del RGPD).

- Las decisiones que aprueben cláusulas tipo de protección de datos para la realización de transferencias internacionales de datos.

- Las decisiones declarativas de validez de los códigos de conducta a tal efecto.

Sin embargo, la referida autorización únicamente podrá ser concedida si, previo planteamiento de cuestión prejudicial de validez (artículo 267 del TFUE), la decisión de la Comisión Europea cuestionada fuera declarada inválida por el TJUE.

Transferencias de datos con aquellos países que hubieran ofrecido garantías adecuadas

De no darse la decisión de adecuación, el responsable o encargado del tratamiento puede transmitir datos personales a un tercer país u organización internacional, como fija el artículo 46 del RGPD, si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas. Estas garantías podrán ser aportadas, sin que sea necesaria autorización expresa de una autoridad de control, por:

• Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
• Normas corporativas vinculantes (artículo 47 del RGPD).
• Cláusulas tipo de protección de datos adoptadas por la Comisión de acuerdo con el procedimiento de examen referido en el apartado segundo del artículo 93 del RGPD.
• Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión de acuerdo con el procedimiento de examen referido en el apartado segundo del artículo 93 del RGPD.
• Códigos de conducta aprobado de conformidad con el artículo 40 del RGPD, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas (incluidas la relativas a los derechos de los interesados).
• Mecanismos de certificación aprobados de acuerdo con el artículo 42 del RGPD, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas (incluidas la relativas a los derechos de los interesados).

Si existe autorización de la autoridad de control competente, las anteriores garantías adecuadas pueden ser aportadas también por medio de:

• Cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional.
• Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

Además, la autoridad de control aplicará a estos medios el mecanismo de coherencia indicado en el artículo 63 del RGPD. 

Cabe traer a colación la reflexión recogida en la STJUE n.º C-311/18, de 16 de julio de 2020, ECLI:EU:C:2020:559, sobre el artículo 46, apartado 1 y 2, letra c) del RGPD:

«El artículo 46, apartados 1 y apartado 2, letra c), del Reglamento 2016/679 debe interpretarse en el sentido de que las garantías adecuadas, los derechos exigibles y las acciones legales efectivas requeridas por dichas disposiciones deben garantizar que los derechos de las personas cuyos datos personales se transfieren a un país tercero sobre la base de cláusulas tipo de protección de datos gozan de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión Europea por el referido Reglamento, interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión Europea. A tal efecto, la evaluación del nivel de protección garantizado en el contexto de una transferencia de esas características debe, en particular, tomar en consideración tanto las estipulaciones contractuales acordadas entre el responsable o el encargado del tratamiento establecidos en la Unión Europea y el destinatario de la transferencia establecido en el país tercero de que se trate como, por lo que atañe a un eventual acceso de las autoridades públicas de ese país tercero a los datos personales de ese modo transferidos, los elementos pertinentes del sistema jurídico de dicho país y, en particular, los mencionados en el artículo 45, apartado 2, del referido Reglamento».

Transferencias que requieren autorización previa de las autoridades de protección de datos 

La LOPDGDD recoge en su artículo 42 que las transferencias internacionales de datos a países u organizaciones internacionales que no cuenten con decisión de adecuación aprobada por la Comisión o que no se amparen en alguna de las garantías establecidas en el artículo 41 del mismo texto legal y en el apartado segundo del artículo 46 del RGPD necesitarán autorización previa de la AEPD (o, en su caso, autoridades autonómicas de protección de datos), que podrá otorgarse cuando:

• La transferencia pretenda basarse en la aportación de garantías adecuadas con fundamento en cláusulas contractuales que no correspondan a las cláusulas tipo establecidos en el artículo 46, apartado 2, letras c) y d), del RGPD.
• La transferencia se realice por alguno de los responsables o encargados a los que se refiere el apartado primero del artículo 77 de la LOPDGDD y se base en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados (incluidos los memorandos de entendimiento).

A TENER EN CUENTA. La autorización quedará sometida a la emisión por el Comité Europeo de Protección de Datos del dictamen indicado en los artículos 64, apartado 1, e) y f), y 65, apartado 1 c), del RGPD (artículo 42.1 de la LOPDGDD).

CUESTIÓN

¿Cuánto durará el procedimiento de referencia?

El procedimiento tendrá una duración máxima de 6 meses (artículo 42.1 de la LOPDGDD).

Supuestos sometidos a información previa a la autoridad de protección de datos competente

Conforme al artículo 43 de la LOPDGDD, los responsables del tratamiento deben informar a:

• La AEPD o, en su caso, a las autoridades autonómicas de protección de datos, de cualquier transferencia internacional de datos que pretendan efectuar sobre la base de su necesidad para fines relacionados con intereses legítimos imperiosos perseguidos por aquellos y la concurrencia del resto de los requisitos establecidos en el último párrafo del apartado primero del artículo 49 del RGPD.
• Los afectados de la transferencia y de los intereses legítimos imperiosos perseguidos.

A TENER EN CUENTA. El artículo 43 de la LOPDGDD no se aplicará a las actividades realizadas por las autoridades públicas en el ejercicio de sus poderes públicos, de conformidad con el apartado tercero del artículo 49 del RGPD.

CUESTIÓN

¿Cuándo deberá facilitarse la anterior información?

Dicha información tendrá que facilitarse con carácter previo a la realización de la transferencia.