Transferencias internacionales de datos

Transcripción

1 Transferencias internacionales de datos 7 VÍCTOR CAZURRO BARAHONA SUMARIO 1. Transferencias Internacionales de Datos (TID) Los movimientos internacionales de datos y su marco regulador Mapa conceptual transferencias internacionales de datos Excepciones a la norma general de transferencias internacionales de datos Cuándo se considera que se produce una Transferencia Internacional de Datos (TID) Figuras que operan en una transferencia internacional de datos: exportador e importador de datos Requisitos para realizar una transferencia internacional de datos Estados con nivel adecuado de protección Suspensión temporal de las transferencias internacionales de datos Transferencias internacionales de datos a estados que no proporcionen un nivel adecuado de protección Las transferencias internacionales de datos y el formulario nota La transferencia internacional de datos y los principios de la protección de datos Binding Corporate Rules (BCR) o Normas Corporativas Vinculantes (NCV) Procedimiento de elaboración de las BCR Ventajas de las BCR Cloud computing y transferencias internacionales de datos Estándares internacionales de privacidad Encargado del tratamiento y tid. Obligaciones del responsable del fichero que quiera contar con un encargado del tratamiento para la prestación de un servicio, que implique transferir internacionalmente datos Subcontrataciones por parte del encargado del tratamiento y transferencias internacionales de datos Ubicación de la página web y la base de datos de una empresa en un servidor de estados unidos Sanciones por irregularidades en transferencias internacionales de datos

2 Transferencias Internacionales de Datos (TID) 20. Modelo de contrato de TID entre un responsable y un encargado del tratamiento, de conformidad a lo establecido en la decisión de la Comisión Europea de 5 de febrero de 2010 [2010/87/UE] Modelo de contrato para la transferencia de datos personales a los subencargados del tratamiento establecidos en terceros países que no garanticen una adecuada protección de los datos /5 7/10 1. TRANSFERENCIAS INTERNACIONALES DE DATOS (TID) El régimen del movimiento internacional de datos de carácter personal ha sido, desde la aprobación de la derogada Ley Orgánica 5/1992, de 29 de octubre, de regulación del Tratamiento Automatizado de Datos de Carácter Personal (LORTAD), una de las cuestiones que ha suscitado un mayor número de dudas por parte de la doctrina, del legislador y de los responsables de los ficheros en los últimos años. De hecho, la AEPD, en su memoria de 2012, recoge como dato el notabilísimo incremento de las cuestiones relacionadas con las transferencias internacionales de datos, que se multiplican por más de cinco respecto al año anterior. Es probable que estas dudas hayan surgido por el hecho de que las normas reguladoras en esta materia contenidas en la Ley y sus normas de desarrollo hayan debido adaptarse a las incluidas en los artículos 25 y 26 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. En España, a día de hoy, la LOPD no recoge una definición de «Transferencias Internacionales de Datos» (en adelante TID). Sin embargo, en su artículo 3.c), al definir el tratamiento de datos sí se hace referencia a la transferencia como un proceso mediante el cual se produce una cesión de datos [tratamiento de datos: operaciones y procedimientos técnicos (...) así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias]. El RLOPD, en cambio, sí recoge una definición clara del concepto de TID, en su artículo 5.1.s): Artículo 5.1.s). Transferencia internacional de datos: «Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español». La definición del concepto de TID se encontraba en la Norma Primera de la Instrucción 1/2000, de 1 de diciembre, de la Agencia de Protección, relativa a las normas por las que se rigen los movimientos internacionales de datos: «Norma Primera: ámbito de aplicación: La presente Instrucción será de aplicación a cualquier supuesto de transferencia internacional de datos de carácter personal. A tal efecto, se considera transferencia internacional de datos toda transmisión de los mismos fuera del territorio español. En particular, se consideran como tales las que constituyan una cesión o comunicación de datos y las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero». Esta Instrucción 1/2000 fue anulada parcialmente por la Sentencia de fecha 15 de marzo de 2002, dictada en el recurso 3223/02 por Sentencia de la Sala de lo Contencioso- Administrativo de la Audiencia Nacional, confirmada por la sentencia del Tribunal Supremo (Sala de lo Contencioso-Administrativo, Sección 6) de 25 de septiembre de 2006 (RJ 2006, 6438), que definía la transferencia internacional de datos como «toda transmisión de los mismos fuera del territorio español». De este modo, quedaba parcialmente derogada la Instrucción 1/2000, aunque fuera de manera tácita.

3 7. Transferencias internacionales de datos 391 La definición que recogía la Instrucción 1/2000, sumado a lo recogido en el artículo 34.k) de la LOPD, llevó a muchos a considerar como «transferencias internacionales de datos» cualesquiera comunicación de datos fuera del territorio español; sin embargo, únicamente las transferencias a terceros países que no pertenecen al Espacio Económico Europeo se deben considerar como transferencias internacionales de datos en sentido estricto (P. Fernández-Longoria y J. Fernández-Samaniego, Comentarios a la Ley Orgánica de Protección de Datos Personales, Pamplona 2010, Thomson Reuters, p. 1779). La LOPD dedica su Título V al Movimiento internacional de datos, y recoge en su artículo 33, apartado 1, la norma general aplicable a las TID: «1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas». Conforme a este precepto, sólo se pueden realizar, libremente y sin autorización alguna, las TID que tengan como destinatario un país que ofrezca un nivel de protección equiparable al que se presta en la LOPD. Por tanto, el factor clave en la realización de un movimiento internacional de datos es la evaluación del nivel de protección que ofrece el país destinatario. El exportador de los datos debe comprobar si este nivel de protección es equiparable al que se ofrece en la LOPD, y si es así, si podrá efectuar la TID. Y cómo se evalúa el nivel de protección del país en el que se encuentra el importador de los datos? El artículo 33.2 LOPD dice lo siguiente: «2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países». Significa esto que la AEPD debe analizar cada supuesto de TID? Aparte de ser una solución poco viable, la práctica demuestra que lo que se hace es evaluar si el país de destino ha sido declarado como un país que ofrece un nivel adecuado de protección. 2. LOS MOVIMIENTOS INTERNACIONALES DE DATOS Y SU MARCO RE- GULADOR El marco regulador de las TID parte, en primer lugar, de los artículos 25 y 26 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la libre circulación de estos datos, que contemplan los principios y las excepciones, respectivamente, de la transferencia de datos personales a países terceros. La LOPD, por su parte, regula lo que denomina en su Título V como «Movimiento Internacional de Datos», que incluye los artículos 33 y 34, que abordan la «norma general» y las «excepciones», respectivamente, del asunto. El RLOPD incide y regula de manera más detallada, en su Título VI, las Transferencias Internacionales de Datos, y en su Título IX, Capítulo V, los Procedimientos relacionados con las transferencias internacionales de datos. Completan la normativa citada las Decisiones de la Comisión Europea, concretamente la Decisión 2001/497/CE, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país (modificada por la Decisión 2004/915/CE); la Decisión 2010/87/UE de la Comisión, de 5 de febrero de 7/15

4 Mapa conceptual transferencias internacionales de datos 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo; y las Decisiones que declaran a determinados países como países con nivel adecuado de protección: de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos. 3. MAPA CONCEPTUAL TRANSFERENCIAS INTERNACIONALES DE DA- TOS Aportado por Prieto Hergueta, J., Subdirector General del Registro General de Protección de Datos. Transferencias Internacionales de Datos: las garantías de las normas corporativas vinculantes (BCR). 7ª Sesión anual abierta de la AEPD. Teatro Real de Madrid, 21 de abril de 2015.

5 7. Transferencias internacionales de datos EXCEPCIONES A LA NORMA GENERAL DE TRANSFERENCIAS INTER- NACIONALES DE DATOS El artículo 34 de la LOPD excluye el trámite de solicitar la autorización del Director de la AEPD, y no será de aplicación la norma general dispuesta en el artículo 33 LOPD en los siguientes supuestos de transferencia internacional de datos: Cuando el afectado haya dado, previamente, su consentimiento inequívoco a la transferencia prevista. Debe ser un consentimiento específico, es decir, debe darse para una transferencia o una categoría concreta de TID. Además, este consentimiento debe ser informado, lo cual debe incluir la finalidad, identificación de los datos objeto de transferencia internacional, identidad del receptor y, según el Grupo de Trabajo del Artículo 29, debe informarse, en su caso, acerca del riesgo que resulta del hecho de que los datos van a tener como destino un Estado que no proporciona una protección adecuada. Cuando la TID resulte de la aplicación de tratados o convenios en los que sea parte España. El instrumento internacional que vincula a España, en esta materia, es el Convenio nº 108 del Consejo de Europa, de 28 de enero de 1981 (ratificado por España el 27 de enero de 1984). Su aplicación se limita a los Estados no miembros del Espacio Económico Europeo y que no hayan sido objeto de Decisión favorable de la Comisión Europea. La Disposición Transitoria Primera de la LOPD, bajo el título «Tratamientos creados por Convenios internacionales», establece que la AEPD es el organismo competente para la protección de los datos de las personas físicas respecto de los tratamientos establecidos en cualquier Convenio Internacional del que sea parte España que atribuya a una autoridad nacional de control esta competencia. Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional. En el Ordenamiento Jurídico español, la regulación de la cooperación jurisdiccional internacional se encuentra recogida en los artículos 276, 277 y 278 de la Ley Orgánica del Poder Judicial. En este sentido, y a modo de ejemplo, el artículo 7.4 del Real Decreto 190/1996, de 9 de febrero, por el que se aprueba el Reglamento Penitenciario, dispone a estos efectos que «Las transferencias internacionales de datos de carácter personal contenidos en los ficheros informáticos penitenciarios se efectuarán en los supuestos de prestación de auxilio judicial internacional, de acuerdo con lo establecido en los tratados o convenios en los que sea parte España». Resultan esenciales en materia de asistencia judicial internacional reglamentos como el (CE) nº 1348/2000, relativo a la notificación y al traslado en los Estados miembros de documentos judiciales y extrajudiciales en materia civil o mercantil, el (CE) nº 1206/2001, que especifica la cooperación entre los Estados miembros para la obtención de pruebas en materia civil o mercantil, y el Convenio de Asistencia Judicial en materia penal entre los Estados Miembros del año Por otro lado, dentro de la Conferencia de La Haya de Derecho Internacional Privado se presta una especial importancia a la problemática de la sustracción internacional de menores, existiendo una base de datos especializada en tal materia (con jurisprudencia en la materia de todos los estados) y que es la base de datos INCADAT, cuya dirección web es la siguiente: Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. Así, por ejemplo, cuando la empresa matriz de un grupo multinacional, establecida en un país tercero, sea demandada por un empleado del grupo destinado en una de sus filiales europeas. En este caso, la excepción permite a la empresa solicitar legalmente a la filial europea la transferencia de algunos datos relacionados con el empleado si estos datos son necesarios para su defensa. En cualquier caso, esta excepción no se puede utilizar para justificar la transferencia de todos los archivos del empleado a la empresa matriz del grupo por la posibilidad de que algún día tenga lugar dicho procedimiento judicial. Debe tenerse en cuenta que esta excepción sólo se puede aplicar si se han cumplido las normas que rigen los procedimientos penales o civiles aplicables a este tipo de situación internacional (Convenio de La Haya de 18 de marzo de 1970, de obtención de 7/20 7/25 7/30

6 Excepciones a la norma general de transferencias... pruebas en el extranjero en materia civil o mercantil; y Convenio de La Haya de 25 de octubre de 1980, destinado a facilitar el acceso internacional a la justicia). 7/35 7/40 7/45 Cuando la transferencia sea necesaria para la prevención o para el diagnóstico o tratamiento médico, la prestación de asistencia sanitaria o la gestión de servicios sanitarios. El Grupo de Trabajo del artículo 29 interpreta que la TID debe ser necesaria para diagnósticos primordiales, para tratar el caso particular del interesado, y no para investigaciones médicas generales. Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero, o para la adopción de medidas precontractuales adoptadas a petición del afectado. Un ejemplo típico se da, en materia de personal y recursos humanos, en el seno de una empresa multinacional. Una TID se podrá incluir en esta excepción si se puede probar la verdadera necesidad para los objetivos del contrato. Según el Grupo del Artículo 29 esta excepción constituiría una base jurídica aceptable para la transferencia por parte de agencias de viaje de datos personales relativos a sus clientes individuales a hoteles y otros socios comerciales que intervendrían en la organización de la estancia de estos clientes. Por el contrario, emplear esta excepción no es adecuado si se pretende transferir datos de empleados de una filial a una empresa matriz, ni lo sería para justificar una transferencia de datos de pasajeros de líneas aéreas a las autoridades de los EE.UU. Conviene señalar aquí el Documento de trabajo WP 114 sobre una interpretación común del artículo 26 (1) de la Directiva 95/46/CE, de 24 de octubre de 1995, del Grupo de Trabajo del Artículo 29: «... El Grupo de Trabajo es consciente de que, independientemente de la interpretación general del artículo 26(1) (...), esta "prueba de necesidad", como tal, puede limitar el número de casos en los que se puede recurrir a las distintas excepciones del artículo 26(1) que se refieren a este concepto de "necesidad" (Artículo 26(1) apartados b al e). (...) Esta "prueba de necesidad" requiere una conexión cercana y sustancial entre el interesado y los objetivos del contrato. De este modo, a algunos grupos internacionales les gustaría poder servirse de esta excepción para transferir datos de sus empleados de una filial a la empresa matriz, por ejemplo, para centralizar las funciones de gestión de pagos y recursos humanos del Grupo. Creen que dichas transferencias pueden considerarse necesarias para la ejecución del contrato laboral celebrado entre el empleado y el responsable de tratamiento. El Grupo de Trabajo sostiene que esta interpretación es excesiva, ya que es muy cuestionable si el concepto de contrato laboral puede interpretarse de manera tan amplia, puesto que no existe ningún vínculo directo y objetivo entre la ejecución de un contrato laboral y una transferencia de datos semejante. Además, una interpretación estricta de esta excepción implica que la transferencia de datos debe ser realmente necesaria para la ejecución de dicho contrato, de dichas medidas precontractuales. Por esta razón, en su opinión PNR del 24 de octubre de 2002, el Grupo de Trabajo rechazó adoptar el punto de vista de que esta condición podría aplicarse a las transferencias de datos de pasajeros de líneas aéreas a las autoridades de Estados Unidos, debido al ámbito de los datos transferidos, algunos de los cuales no se pueden considerar "necesarios" para la ejecución del contrato de transporte. Por el contrario, esta excepción constituiría una base jurídica aceptable para la transferencia por parte de agencias de viaje de datos personales relativos a sus clientes individuales a hoteles y otros socios comerciales que intervendrían en la organización de la estancia de estos clientes». Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado, o por celebrar, en interés del afectado, por el responsable del fichero y un tercero. Al igual que en el supuesto anterior, esta excepción no puede esgrimirse salvo que se considere realmente necesaria para la celebración de un contrato en interés del interesado. El Grupo 29 es muy restrictivo a la hora de considerar esta excepción, insistiendo en que en estos casos se debe acudir a los instrumentos permitidos por el artículo 26 de la Directiva 95/46, como por ejemplo la suscripción de Normas Corporativas Vinculantes o cláusulas contractuales tipo.