Transferencia internacional de datos
Como especialistas en LOPD, Seguridad de la información y privacidad, desde Daxia hemos preparado este informe como orientación sobre cómo afrontar y decidir qué acciones realizar ante la situación tras la abolición del Safe Harbor.
¿Cuál es la nueva situación en las transferencias internacionales de datos? ¿Somos conscientes de que en nuestra empresa estamos realizando transferencias internacionales de datos? ¿Son seguras?
Según el art.5.1.s) del Reglamento de desarrollo de la LOPD, "Una transferencia internacional de datos, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español".
Transferencia internacional de datos: cómo hacerla
Tenemos que saber que cuando almacenamos ficheros con datos personales en Dropbox o Google Drive, utilizamos servidores de Google para guardar emails de personas físicas o realizamos campañas de mail marketing utilizando Mailchimp, estamos realizando transferencias internacionales de datos.
Hasta ahora, estas transferencias estaban amparadas por el Acuerdo de Safe Harbor o Puerto Seguro establecido entre la UE y EEUU, al que estaban adheridas las empresas que podían ofrecer un nivel de protección de los datos personales adecuado al nivel que exige la normativa de la Unión Europea. Sin embargo, en octubre de 2015, dicho Acuerdo queda derogado por el Tribunal de Justicia de la Unión Europea. Los argumentos puedes encontrarlos en esta página de la AGPD.
Como consecuencia de la derogación del Acuerdo, la Agencia Española de Protección de Datos envió una comunicación a todas las empresas que tuvieran notificada en sus ficheros inscritos en el Registro General de Protección de Datos la transferencia de datos a EEUU como Puerto Seguro, requiriéndoles para que adecuaran sus transferencias internacionales a la normativa o cesaran en las mismas. Puedes leer la carta aquí.
¿Qué hacer para que las transferencias de datos a EEUU estén legitimadas?
Solicitar Autorización a la Directora de la Agencia Española de Protección de Datos, salvo que la transferencia se ampare en alguna de las excepciones establecidas en el artículo 34 de la LOPD.
Supuestos legalmente excepcionados de la autorización de la Directora de la Agencia Española de Protección de Datos.
El artículo 34 de la LOPD y 66.2 del RLOPD establecen los supuestos en los que no será necesaria la autorización previa de la Directora de la Agencia Española de Protección de Datos:
- Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
- Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional
- Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
- Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
- Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
- Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
- Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
- Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
- Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
- Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.
Además deberá concertarse un Contrato entre el Responsable de los Ficheros (exportador de datos) y el Encargado de Tratamiento (importador de datos). Se considerará que este contrato reúne las garantías adecuadas cuando incluya las Cláusulas contractuales tipo establecidas en la Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010 para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.
Por último, deberá notificarse a la AGPD que se realizan transferencias internacionales de datos a través de la correspondiente inscripción actualizada de los ficheros.
Documentación
La documentación que se debe aportar a la AGPD para solicitar la autorización en el caso de que el exportador sea el responsable del fichero es:
- Escrito de solicitud con identificación de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.
- Contrato basado en las Cláusulas Contractuales Tipo firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español.
- Poderes suficientes de los firmantes y, en su caso, traducción jurada al español.
- La inscripción de los ficheros deberá encontrarse completamente actualizada (apartados relativos a los "Colectivos" y a las "Medidas de Seguridad").
Si en dicho plazo no se hubiese dictado y notificado resolución expresa, se entenderá autorizada la transferencia internacional de datos.
¿Qué alternativas tengo a este trámite?
Como hemos indicado anteriormente, la solicitud de autorización a la Directora de la AGPD no será necesaria cuando nos acojamos a alguno de los supuestos del artículo 34 de la LOPD. Y en concreto, al del apartado e): " cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista".
(* El criterio de la AGPD respecto de lo que se considera "consentimiento inequívoco" es que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento).
Es decir, podremos evitar el trámite de solicitar autorización a la AGPD si recabamos el consentimiento inequívoco del afectado, pero sí habrá que firmar con el proveedor de los servicios un contrato de encargado de tratamiento adecuado a lo establecido en el artículo 12 de la LOPD. ". Este contrato se guardará a disposición de la AGPD pero no será necesario aportarlo como requisito previo a la transferencia internacional.
En todo caso, hay que actualizar la inscripción de los ficheros, suprimiendo la referencia "Puerto Seguro"
Infracción y sanción
Constituye falta muy grave, de acuerdo con lo dispuesto en el artículo 44.4.e) de la LOPD, "La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria".
La sanción será de 300.001 euros a 600.000 euros.
Trámite de legalización de transferencias internacionales de datos
Lo más recomendable dependerá de lo que la empresa estime más conveniente en cuanto a agilidad, eficacia y costes.
Si nos acogemos a la excepción del apartado e) del art.34 de la LOPD, evitamos la solicitud de autorización a la Directora de la AGPD.
Si nos resulta difícil o complicado recabar el consentimiento inequívoco del afectado, tendremos que seguir el trámite de solicitud de autorización con la obligación de aportar la documentación requerida por la AGPD.
Si nos resulta complicado seguir un trámite u otro, tendremos que dejar de operar con las empresas que almacenen datos en EEUU y buscar un proveedor de servicios cuyos servidores alojen datos dentro del Espacio Económico Europeo.
Los consultores profesionales no podemos decidir por tí. pero podremos ayudarte a tomar la decisión que más convenga a tu empresa y ofrecerte servicio en cualquiera de las opciones que elijas.
Dicho todo lo anterior, nuestra experiencia nos dice que antes o después se llegará a un acuerdo que mejore el existente anteriormente, porque ya sabíamos que se estaba buscando dicho acuerdo, y no es coherente frenar y cortar el cable entre dos continentes, por lo que suponemos que en breve, tendremos que proceder de manera diferente a la expuesta anteriormente. Hasta que eso se produzca, que se producirá, estamos a vuestra disposición.
Ver también:
Compliance officer: beneficios para la empresa
Consultores de Protección de Datos
El Delegado de Protección de Datos en la empresa