¿Cómo regularizar las transferencias internacionales de datos a Estados Unidos?

Semanas después de la renombrada Sentencia del Tribunal de Justicia de la Unión Europea C-362/2014 de 6 de octubre de 2015 que invalidaba el denominado Safe Harbor en relación con las transferencias internacionales de datos entre Europa y Estados Unidos, llega el momento de que los Responsables de Ficheros, afectados por la misma, procedan a regularizar los diferentes tratamientos de datos que se estaban realizando acogidos a este sistema.

Debemos tener en cuenta en relación con el tratamiento de datos que la propia Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, “LOPD”), lo define como las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias, por lo que dentro del proceso de regularización se encontraran, entre otros, los sistemas cloud o aquellas prestaciones de servicios impliquen un acceso a datos (continuo o potencial).

La LOPD en su artículo 33.1 establece que “no podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas”.

En el mismo sentido la Directiva 95/46 en su artículo 26.2 establece que “los Estados miembros podrán autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado con arreglo al apartado 2 del artículo 25, cuando el responsable del tratamiento ofrezca garantías suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos; dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas”.

En relación con las transferencias internacionales de datos realizadas con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Directora de la Agencia Española de Protección de Datos, salvo aquellos supuestos en los que conforme a la normativa en materia de protección de datos dicha autorización no resulta necesaria, debe recordarse, que pueden ser calificadas como infracciones muy graves (art. 44.4.d LOPD), sancionadas con multa de 300.001 a 600.000 euros.

Adicionalmente, el artículo 49 de la LOPD establece que “en los supuestos constitutivos de infracción grave o muy grave en que la persistencia en el tratamiento de los datos de carácter personal o su comunicación o transferencia internacional posterior pudiera suponer un grave menoscabo de los derechos fundamentales de los afectados y en particular de su derecho a la protección de datos de carácter personal, el órgano sancionador podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, el órgano sancionador podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas”.

Así las cosas, pendientes de las negociaciones entre Europa y Estados Unidos encaminadas a adoptar nuevos mecanismos que posibiliten las transferencias internacionales de datos conforme a los principios y disposiciones de las Directiva Europea, las empresas deberán optar por alguno de los procedimientos que nuestra normativa contempla:

La propia Agencia Española de Protección de Datos está contactando con los Responsables de Ficheros acogidos al extinto sistema Safe Harbor, con el fin de que se proceda a la regularización de las correspondientes transferencias internacionales de datos. En este sentido, las empresas deberán acometer las acciones necesarias para el proceso de regularización, amén de los nuevos mecanismos que puedan ser adoptados por la Unión Europea y los acuerdos que puedan cerrase con Estados Unidos, siempre y cuando los mismos garanticen el cumplimiento de los principios recogidos en la Directiva, en aras a una protección efectiva del derecho a la protección de los datos personales de los ciudadanos.

Deberá darse cumplimiento a las obligaciones establecidas en la LOPD, y acreditar que han sido obtenidas garantías suficientes respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos (e.g. aportando contrato escrito entre el exportador y el importador de datos en el que consten dichas garantías).

  • Transferencias Internacionales entre responsables de tratamiento:
    Reunirían las garantías citadas aquellos contratos celebrados en los términos recogidos en las Decisiones de la Comisión Europea 2001/497/CE, de 15 de junio de 2001, y 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica la anterior. Dichas decisiones contienen cláusulas contractuales tipo, pudiendo optar los Responsables por uno u otro conjunto de cláusulas, no pudiendo modificarlas ni combinarlas.
  • Transferencias Internacionales de responsable a encargado del tratamiento:
    Reunirían dichas garantías aquellos contratos que incluyan las cláusulas contractuales tipo establecidas en la Decisión de la Comisión Europea 2010/87/UE, de 5 de febrero de 2010.
  • Transferencia Internacional de encargado a subencargado del tratamiento:
    Proporcionarán las garantías adecuadas aquellos contratos que incluyan las cláusulas tipo adoptadas en la resolución de la Agencia Española de Protección de Datos de Autorización de Transferencia Internacional de Datos de 16 de octubre de 2012. Junto con el contrato entre el encargado del tratamiento/exportador de los datos e importador/subencargado del tratamiento, se requerirá el contrato marco entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que aquél autorice la subcontratación y la transferencia internacional de datos.

En estos casos, para solicitar la autorización de la Directora de la Agencia Española de Protección de Datos, deberá aportarse, en los casos en los que es solicitada por el Responsable del Fichero:

  • Escrito de solicitud con identificación de los ficheros objeto de la transferencia, indicación del código con el que figura inscrito en el Registro General de Protección de Datos.
  • Contrato basado en las Cláusulas Contractuales Tipo firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español.
  • Poderes suficientes de los firmantes y, en su caso, traducción jurada al español, en este caso la inscripción de los ficheros deberá encontrarse completamente actualizada.

En los casos en los que el exportador tiene la consideración de encargado de tratamiento deberá aportarse:

  • Escrito de solicitud con identificación del exportador-encargado y del importador-subencargado.
  • Contrato basado en las Cláusulas Contractuales firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español.
  • Contrato marco entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que se autorice a éste la subcontratación y la transferencia internacional de datos y, en su caso, traducción jurada al español.
  • Poderes suficientes de los firmantes y, en su caso, traducción jurada al español.

Conforme a la normativa vigente en materia de protección de datos, podrán autorizarse transferencias internacionales entre sociedades/empresas de un mismo grupo multinacional de empresas, siempre que se hubieran adoptado normas internas vinculantes para dichas empresas y exigibles conforme al ordenamiento jurídico español.

En este sentido el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre (en adelante, “RLOPD”) establece (art. 70.4 y el Título IX, Capítulo V) el régimen jurídico aplicable a las mismas. En caso de optar por esta vía deberá tenerse en cuenta los Documentos de Trabajo elaborados por el Grupo del Artículo 29 relativos al contenido de las normas corporativas vinculantes y al procedimiento previo, que se desarrolla entre los diferentes Estados Miembros implicados para la aprobación de éstas.

Para solicitar la correspondiente autorización de la Directora de la Agencia Española de Protección de Datos, deberá aportarse:

  • Escrito de solicitud con identificación de las empresas exportadoras, empresas importadoras y de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.
  • Normas corporativas vinculantes.
  • Copia de la autorización formal otorgada por la Autoridad lider.
  • Poderes suficientes del solicitante.
  • La inscripción de los ficheros deberá encontrarse completamente actualizada.

Adicionalmente, debe recordarse que el artículo 34 de la LOPD y 66.2 del RLOPD establecen una serie de supuestos exceptuados de la autorización previa de la Directora de la Agencia Española de Protección de Datos:

  • Cuando la transferencia internacional resulte de la aplicación de tratados o convenios en los que España sea parte.
  • Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
  • Cuando la transferencia sea necesaria para la prevención/diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
  • Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
  • Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
  • Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
  • Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
  • Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público (transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias).
  • Cuando la transferencia sea necesaria para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.