Dentro de los aspectos que trata el RGPD en el capítulo V, el movimiento internacional de datos, es un supuesto que se está produciendo con más frecuencia de lo que pensamos en nuestra sociedad, motivado fundamentalmente por la frecuencia en la contratación por parte de las empresas de los servicios en la nube, el almacenamiento de archivos con empresas extranjeras como DROPBOX, GOOGLE DRIVE, así como los tradicionales servicios de hosting, correo electrónico y plataforma de comercio electrónico con empresas extranjeras que ofrecen servicios económicamente más rentables. Todo ello convierte a las transferencias internacionales de datos en un elemento clave para la correcta prestación de servicios en una sociedad globalizada.
En este sentido, conforme la normativa de protección de datos para realizar correctamente los movimientos internacionales es necesario que la transferencia se base en una decisión de adecuación (lista de países) o mediante garantías adecuadas, y si éstas no son posibles, se podría aplicar alguna de las excepciones previstas en el artículo 49 del RGPD.
Para analizar a fondo dichas excepciones, es necesario tener en cuenta tanto lo señalado en el RGPD, como lo establecido por las directrices del Comité Europeo de Protección de Datos. En este sentido, entendemos que, en ausencia de una decisión de adecuación o de garantías adecuadas, una transferencia internacional de datos personales se podrá realizar a un tercer país o a una organización internacional solo bajo ciertas condiciones, garantizando un nivel de protección a las personas físicas. Entre las excepciones al principio general, tomando en cuenta lo mencionado en el artículo 49 del RGPD, tenemos:
- el interesado da su consentimiento a la transferencia propuesta, para que sea válida:
- el consentimiento deberá ser específico para la transferencia de datos en particular o para un conjunto de transferencias
- el consentimiento debe ser informado, en particular sobre los posibles riesgos de la transferencia.
- la transferencia sea necesaria para la ejecución de un contrato o para la ejecución de medidas precontractuales, se podrá aplicar cuando:
- Solo para transferencias que sean ocasionales, que no sean repetitivas y que sean necesarias, conexión estrecha y sustancial entre la transferencia y los propósitos del contrato.
- Prueba de necesidad: requiere una conexión estrecha y sustancial entre la transferencia de datos y los propósitos del contrato.
- Transferencias ocasionales: hay que determinar si es una transferencia es ocasional o no y que no ocurran regularmente dentro de una relación estable, puesto que se consideraría sistemática y repetida, por lo que excedería un carácter ocasional.
- Solo para transferencias que sean ocasionales, que no sean repetitivas y que sean necesarias, conexión estrecha y sustancial entre la transferencia y los propósitos del contrato.
- la transferencia sea necesaria para la celebración o ejecución de un contrato, será válida cuando:
- Necesidad de la transferencia de datos y la celebración del contrato, debe existir un vinculo estrecho y sustancial, las mismas deben ser ocasionales y no repetitivas.
- la transferencia sea necesaria por razones importantes de interés público, se podrá invocar:
- Solo sobre interés púbicos reconocidos en el derecho de la unión o en el derecho del estado miembro.
- No aplica cuando se solicite la transferencia por una autoridad de un tercer país, deberá existir un acuerdo o tratado internacional.
- Por entidades privadas
- la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones, se puede aplicar:
- Reclamo legal, independientemente si se tratada de un procedimiento judicial, administrativo o extrajudicial, esto es solo para reclamos presentes no para posibles o futuros.
- Necesidad de la transferencia de datos, finalidad explícita y que sea ocasional y no repetitiva.
- la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando:
- Los datos deben ser transferidos cuando el interesado, que está fuera de la UE necesita atención médica urgente y el exportador de datos debe proporcionar los mismos. Aplica también a la integridad física de una persona.
- Relacionado con el interés individual del interesado o con el interés de otra persona.
- El interesado no puede dar su consentimiento.
- la transferencia se realice desde un registro público, siempre y cuando:
- El registro debe estar acorde con la legislación de la UE o de los estados miembros.
- Intención de proporcionar información al público, registro abierto al público o a cualquier persona que demuestre interés legítimo.
- No aplica a registro privados.
- No se puede incluir la totalidad de los datos personales
- la transferencia es necesaria para los intereses legítimos imperiosos, si:
- No aplica ninguna de las excepciones del artículo 49.1 RGPD.
- Intereses legítimos convincentes, esenciales para el exportador de los datos.
- No repetitivo.
- Número limitado de interesados
- Equilibrio entre el interés legítimo imperioso y los derechos de los interesados.
- Aplicar salvaguardas para minimizar riesgos
- Informar a la AEPD y a los interesados.
Por último, en virtud de lo mencionado y teniendo en cuenta que existen varias excepciones en las que pueden ampararse las empresas para poder realizar movimientos internacionales de datos, es muy importante identificar el escenario y el contexto en las que se las va a realizar, existiendo particularidades en las que se puede aplicar cada una, lo que definirá cual es la aplicable a cada caso. Sin embargo, la excepción que suele utilizarse más es la relativa a las transferencias necesarias para la ejecución o celebración de un contrato, puesto que, en la mayoría de los casos, el movimiento internacional se va a realizar con el objetivo de cumplir con las obligaciones contraídas con el interesado. Un claro ejemplo lo tenemos en el movimiento internacional de datos que hace una agencia de viajes de sus clientes a los hoteles donde se van a hospedar, o en aquellos supuestos en los que el cliente solicita a un banco realizar un pago a una cuenta de otro banco en un país extranjero, siendo por tanto necesario en ambos casos transferir los datos del cliente a la empresa extranjera que prestará el servicio. Para que se apliquen correctamente estos supuestos, es necesario que las transferencias sean ocasionales y que exista una conexión estrecha y sustancial entre movimiento y los propósitos del contrato.
No debemos olvidar que, la utilización de las excepciones descritas anteriormente, solo podrán ser aplicadas ante la ausencia de los mecanismos incluidos en los artículos 45 y 46 del RGPD, las mismas son exenciones al principio general de transferencias, de que los datos personales solo pueden transferirse a terceros países si estos proporcionan un nivel adecuado de protección o si se han establecido salvaguardas apropiadas, esto permitirá a los interesados disfrutar de derechos efectivos y de garantías fundamentales.
Carlos Mogrovejo Riofrío
DPO&ITLaw (Integrado en Club Legal)