Sigue siendo habitual localizar en los contratos y en las políticas de privacidad publicadas en los portales web de las empresas la regulación de las transferencias internacionales de datos que tengan lugar entre la Unión Europea y Estados Unidos a través del Escudo de privacidad o Privacy Shield, pese a haber quedado sin validez a raíz de la sentencia de 16 de julio de 2020 del Tribunal de Justicia de la Unión Europea.
Pensemos, por ejemplo, en una empresa española que contrate el servicio de alojamiento de datos a un proveedor cuyos servidores se ubiquen en Estados Unidos, lo que implicaría una transferencia internacional de datos.
No obstante, la certificación de Privacy Shield ya no sería una garantía de cumplimiento de la normativa europea de protección de datos, debiendo recurrir, para su regulación, al resto de supuestos que a continuación se exponen.
¿Qué es una transferencia internacional de datos?
Esta tiene lugar cuando los datos personales tratados por un responsable o un encargado del tratamiento en el Espacio Económico Europeo (países de la Unión Europea, Islandia, Liechtenstein y Noruega) que intervendría como exportador de datos, son enviados a un tercer país u organización internacional establecido fuera del Espacio Económico Europeo indicado, que sería el importador de datos.
En el Reglamento General de Protección de Datos se refuerzan las garantías sobre el derecho fundamental a la protección de datos personales, debiendo cumplirse una serie de condiciones previamente a que pueda tener lugar una transferencia internacional de datos.
Los supuestos en los que podrán tener lugar transferencias internaciones de datos, son los siguientes:
- Que el importador sea un destinatario declarado de nivel adecuado por la Comisión Europea.
- Que el exportador y el importador aporten garantías adecuadas. Entre dichas garantías, se encuentran las cláusulas tipo de protección de datos adoptadas por la Comisión, aprobadas el pasado 4 de junio de 2021.
- Que concurra alguno de los supuestos regulados en el art. 49 del Reglamento General de Protección de Datos, que amparen transferencias internacionales de datos (por ej.: con el consentimiento del interesado; por razones importantes de interés público; para la formulación, ejercicio o defensa de reclamaciones…). Asimismo, si no se da ninguno de los supuestos regulados en el citado artículo, solo podrá tener lugar una transferencia si no es repetitiva, afecta a un número limitado de interesados, sea necesaria a los fines de intereses legítimos del responsable sobre los que no prevalezcan los del interesado y el responsable haya efectuado una evaluación determinando las garantías apropiadas, en cuyo caso informará previamente a la autoridad de control además de proporcionar a los interesados la información pertinente sobre los detalles de la transferencia.
- Con autorización previa de la autoridad de control, cuando las transferencias se amparen en garantías que incorporen cláusulas contractuales no adoptadas o aprobadas por la Comisión o cuando las disposiciones incorporadas en acuerdos administrativos entre entes públicos incluyan derechos efectivos y exigibles para los interesados.
Por tanto, cuando las empresas contraten servicios a proveedores externos que puedan implicar trasferencias internacionales de datos, es importante revisar su regulación, ya que deberá estar actualizada, de forma que se cumpla con las garantías exigidas en la normativa de protección de datos.
Autora: S. Torres