“Tras el Safe Harbor los Responsables de Ficheros deberán optar por el Safe Data”

 

Tras la Sentencia del Tribunal de Justicia de la Unión Europea C-362/2014 de 6 de octubre de 2015 que invalidaba el denominado Protocolo Safe Harbor en relación con las transferencias internacionales de datos entre Europa y Estados Unidos, los Responsables de Ficheros deben proceder a regularizar los tratamientos de datos que se estaban realizando acogidos a este sistema, tal y como está notificando la propia Agencia Española de Protección de Datos durante los últimos días.

En relación con las transferencias internacionales de datos realizadas con destino a países que no proporcionen un nivel de protección equiparable  sin autorización de la Directora de la Agencia Española de Protección de Datos, salvo aquellos supuestos en los que conforme a la normativa en materia de protección de datos dicha autorización no resulta necesaria, debe recordarse, que pueden ser calificadas como infracciones muy graves (art. 44.4.d LOPD), sancionadas con multa de 300.001 a 600.000 euros.

Así las cosas, pendientes de las negociaciones entre Europa y Estados Unidos encaminadas a adoptar nuevos mecanismos que posibiliten las transferencias internacionales de datos conforme a los principios y disposiciones de laDirectiva Europea (Safe Harbor 2.0), cualquier empresa que lleve a cabo transferencias internacionales de datos personales a Estados Unidos (ya fuera a entidades de su mismo grupo empresarial, o a prestadores de servicios -encargados de tratamiento-), deberán proceder a regularizar ante la Agencia Española de Protección de Datos, dichas transferencias internacionales.

Para ello, los responsables de ficheros deberán adoptar alguna de las siguientes opciones, siguiendo las propias recomendaciones realizadas en el comunicado emitido el pasado día seis de noviembre de 2015 por la propia Comisión Europea:

1) Autorización de la Directora de la Agencia Española de Protección de Datos:

Deberá darse cumplimiento a las obligaciones establecidas en la LOPD, y acreditar que han sido obtenidas garantías suficientes respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos (e.g. aportando contrato escrito entre el exportador y el importador de datos en el que consten dichas garantías).

a)   Transferencias Internacionales entre responsables de tratamiento: deberán reunir las garantías citadas aquellos contratos celebrados en los términos recogidos en las Decisiones de la Comisión Europea 2001/497/CE, de 15 de junio de 2001, y 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica la anterior. Dichas decisiones contienen cláusulas contractuales tipo, pudiendo optar los Responsables por uno u otro conjunto de cláusulas, no pudiendo modificarlas ni combinarlas.

b)  Transferencias Internacionales desde responsable de fichero a encargado del tratamiento: reunirían dichas garantías aquellos contratos que incluyan las cláusulas contractuales tipo establecidas en la Decisión de la Comisión Europea 2010/87/UE, de 5 de febrero de 2010.

c)   Transferencia Internacional de encargado a subencargado del tratamiento: proporcionarán las garantías adecuadas aquellos contratos que incluyan las cláusulas tipo adoptadas en la resolución de la Agencia Española de Protección de Datos de Autorización de Transferencia Internacional de Datos de 16 de octubre de 2012. Junto con el contrato entre el encargado del tratamiento/exportador de los datos e importador/subencargado del tratamiento, se requerirá el contrato marco entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que aquél autorice la subcontratación y la transferencia internacional de datos.

En estos casos, para solicitar la autorización de la Directora de la Agencia Española de Protección de Datos, deberá aportarse, en los casos en los que es solicitada por el Responsable del Fichero: (i) Escrito de solicitud con identificación de los ficheros objeto de la transferencia, indicación del código con el que figura inscrito en el Registro General de Protección de Datos, (ii) Contrato basado en las Cláusulas Contractuales Tipo firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español, (iii) Poderes suficientes de los firmantes y, en su caso, traducción jurada al español, en este caso la inscripción de los ficheros deberá encontrarse completamente actualizada.

En los casos en los que el exportador tenga la consideración de encargado de tratamiento deberá aportarse: (i) Escrito de solicitud con identificación del exportador-encargado y del importador-subencargado, (ii) Contrato basado en las Cláusulas Contractuales firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español, (iii) Contrato marco entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que se autorice a éste la subcontratación y la transferencia internacional de datos y, en su caso, traducción jurada al español, y (iv) Poderes suficientes de los firmantes y, en su caso, traducción jurada al español.

Conforme a la normativa vigente en materia de protección de datos, podrán autorizarse transferencias internacionales entre sociedades/empresas de un mismo grupo multinacional de empresas, siempre que se hubieran adoptado normas internas vinculantes para dichas empresas y exigibles conforme al ordenamiento jurídico español. En este sentido el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre (en adelante, RLOPD) establece (art. 70.4 y el Título IX, Capítulo V) el régimen jurídico aplicable a las mismas.

En caso de optar por esta vía deberá tenerse en cuenta los Documentos de Trabajo elaborados por el Grupo del Artículo 29 relativos al contenido de las normas corporativas vinculantes y al procedimiento previo, que se desarrolla entre los diferentes Estados Miembros implicados para la aprobación de éstas.

2) Excepciones a la autorización de la Directora de la Agencia:

Adicionalmente, debe recordarse que el artículo 34 de la LOPD y 66.2 del RLOPD establecen una serie de supuestos exceptuados de la autorización previa de la Directora de la Agencia Española de Protección de Datos:

  • Cuando la transferencia internacional resulte de la aplicación de tratados o convenios en los que España sea parte.
  • Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
  • Cuando la transferencia sea necesaria para la prevención/diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
  • Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
  • Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
  • Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
  • Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
  • Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público (transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias).
  • Cuando la transferencia sea necesaria para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.

Debemos recordar que la propia Agencia Española de Protección de Datos está contactando con los Responsables de Ficheros acogidos al extinto sistema Safe Harbor, con el fin de que se proceda a la regularización de las correspondientes transferencias internacionales de datos.

Dicho lo cual es necesario tener en cuenta, que a pesar de que se lleve a cabo la regularización de las transferencias internacionales de datos tal y como se ha descrito, si el receptor de la información es una entidad ubicada en territorio de Estados Unidos o de nacionalidad norteamericana la autoridades estadounidenses podrán exigir, de conformidad con la normativa vigente en Estados Unidos, el acceso indiscriminado a la información, tal y como la propia sentencia del TJUE reconoce, habiéndose declarado por el propio tribunal la no adecuación a la normativa de protección de datos Europea dicho tipo de accesos indiscriminado y sin justificación previa adecuada.

En este sentido, las empresas deberán acometer las acciones necesarias para el proceso de regularización, amén de los nuevos mecanismos que puedan ser adoptados por la Unión Europea y los acuerdos que puedan alcanzarse con Estados Unidos, siempre y cuando los mismos garanticen el cumplimiento de los principios recogidos en la Directiva, en aras a una protección efectiva del derecho a la protección de los datos personales de los ciudadanos.

 

 

 

Área de Information Technology ECIJA

Si desea acceder a la infografía, click aquí.

Si desea acceder a la nota en formato PDF, click aquí.