Nuevos criterios en el marco de las Transferencias Internacionales de Datos Julián Prieto Hergueta Subdirector General del Registro General de Protección de Datos
Marco regulador DIRECTIVA 95/46 DE PROTECCIÓN DE DATOS. Arts. 25 y 26 LOPD. Arts. 33 y 34 REGLAMENTO DE DESARROLLO LOPD. RD 1720/2007 Título VI. Transferencias Internacionales de datos. Título IX. Capítulo V. Procedimientos relacionados con las transferencias internacionales de datos. DECISIONES COMISIÓN EUROPEA Cláusulas contractuales tipo Responsable-Responsable (Decisión 2001/497/CE modificada por la Decisión 2004/915/CE) Cláusulas contractuales tipo Responsable-Encargado (Decisión 2010/87/UE) Decisiones de nivel adecuado ( Suiza,, «USA principios de Puerto Seguro» Safe Harbor -Decisión 2000/520/CE-, Nueva Zelanda) OTRAS GARANTÍAS Cláusulas contractuales encargado - subencargado BCR responsables y BCR encargados 2
Movimientos internacionales de datos Cesión de datos Prestación de servicios Transferencias internacionales EEE Países con Nivel Adecuado Suiza Argentina USA, Safe Harbor Nueva Zelanda Supuestos Art. 34 Resto países Autonomía de la voluntad Interés público Acceso a la información Garantías contractuales Autorización Director BCR S Responsable a Responsable Responsable a Encargado Encargado a Subencargado 3
AUTORIZACIONES 560 866 952 738 767 Total Autorizaciones Responsable-Encargado 2002/16/CE-2010/87/UE 277 216 50 475 80 167 178 Responsable-Responsable 2001/497/CE 2008 2010 2012 2013 Se han tramitado 2 Autorizaciones de Transferencia Internacional de datos de Encargado a Subencargado Se han tramitado 8 Autorizaciones de Transferencia Internacional de datos sobre la base de las denominadas Reglas Corporativas Vinculantes ( Binding Corporate Rules ) Situación 31-marzo-2013 4
A PAÍSES QUE NO OFRECEN UN NIVEL ADECUADO DE PROTECCIÓN ESQUEMA CLÁSICO EXPORTADOR RESPONSABLE DEL FICHERO IMPORTADOR, RESPONSABLE O ENCARGADO, SIEMPRE EN TERCEROS ESTADOS A ESTE ESQUEMA RESPONDEN LAS GARANTÍAS DE LAS CLÁUSULAS CONTRACTUALES TIPO DE LA COMISIÓN Y LAS BCR para transferencias entre responsables del tratamiento DESVENTAJA COMPETITIVA EMPRESAS EUROPEAS LA AEPD HA TRABAJADO EN LA MEJORA DE LA POSICIÓN DE LOS ENCARGADOS DEL TRATAMIENTO ESTABLECIDOS EN EUROPA 5
ENCARGADO SUBENCARGADO MODELO PRESENTADO ANTERIOR SESIÓN ANUAL Y PUESTO EN MARCHA EN 2012 (2 autorizaciones concedidas) ESTRUCTURA EN 2 CONTRATOS VINCULADOS ENTRE SÍ CONTRATO TIPO ENTRE EL RESPONSABLE Y ENCARGADO DEL TRATAMIENTO, EXPORTADOR DE DATOS CONTRATO ENTRE ENCARGADO, EXPORTADOR, Y SUBENCARGADO, IMPORTADOR DE LOS DATOS (cláusulas elaboradas por la AEPD y disponibles en su web) 6
ENCARGADO SUBENCARGADO CONTENIDO DEL CONTRATO ENTRE RESPONSABLE Y ENCARGADO: Tratamiento de datos por el responsable conforme a LOPD Instrucciones del responsable Autorización del responsable del tratamiento para la subcontratación y la transferencia de datos Medidas de seguridad implantadas por el encargado y exigibles al importador de datos (subencargado) Subcontrataciones ulteriores con autorización del responsable Destino de los datos 7
ENCARGADO SUBENCARGADO CLÁUSULAS CONTRACTUALES (refuerzo de garantías y de la figura del responsable que no es parte del contrato de TID) vinculadas al contrato tipo: Obligaciones exportador (enviar al responsable copias de los acuerdos de subcontratación ulterior, informar al responsable acceso datos, ) Obligaciones importador (suspensión TID por encargado o a indicación del responsable en caso modificación legislación en destino, auditoría a instancia del exportador, responsable y AEPD, ) Cláusula de responsabilidad del exportador, importador e importador ulterior, sin perjuicio de la del responsable según contrato marco y LOPD Legislación aplicable Cooperación con la AEPD, suspensión de la TID en las circunstancias del art. 70.3 RLOPD 8
ENCARGADO SUBENCARGADO PROCEDIMIENTO REQUISITOS DE LA SOLICITUD A instancia de la parte exportadora: encargado del tratamiento Contrato con las cláusulas elaboradas por la AEPD (original o copia compulsada) Contrato tipo (suficiente el modelo, no es necesario tenerlo suscrito con anterioridad) Acreditación del poder de los otorgantes del contrato TRAMITACIÓN con arreglo a lo dispuesto en el RLOPD (arts. 137 140) 9
ENCARGADO SUBENCARGADO PROCEDIMIENTO ASPECTOS A DESTACAR: El modelo del contrato tipo Al tratarse de una autorización marco cobra especial importancia la descripción, en el apéndice 1 de las cláusulas, de las características de las transferencias que se realizarían a su amparo, pues van a conformar sus límites: Interesados o colectivos Categorías de datos, incluyendo, en su caso, los especialmente protegidos Operaciones de tratamiento Medidas de seguridad, reflejadas en el apéndice 2 En los casos hasta ahora tramitados se han planteado por los exportadores diversas cuestiones sobre estos aspectos, que han sido atendidas por la AEPD 10
ENCARGADO SUBENCARGADO EFECTOS DE LA AUTORIZACIÓN Se trata de una autorización marco, que habilita al encargado-exportador para realizar tantas transferencias como clientes tenga y le hayan autorizado a la subcontratación dentro del marco de la autorización (interesados, categorías de datos, finalidad, operaciones de tratamiento, medidas de seguridad, ) sin necesidad de solicitar una autorización singular por cada uno de los clientes Obligación de tener suscrito el contrato tipo con el responsable del tratamiento (a disposición de la AEPD) Necesidad de notificar al RGPD los ficheros a los que afecta la transferencia a realizar al amparo de la resolución con carácter previo (responsable del tratamiento) Flexibiliza y agiliza las transferencias internacionales Facilita la subcontratación de servicios 11
NUEVAS MODALIDADES Especialidades para servicios de cloud Las cláusulas contractuales 2010/87 deben adaptarse para ofrecer garantías adecuadas en el modelo de servicios de cloud computing, (Decisión 5/2012 WP 196) Adecuación de las garantías: Posibilidad de auditorías por terceros independientes y certificados o acreditados a elección del prestador de servicios Acceso al informe de auditoría por el cliente Un único contrato por subcontratista Identificación de los subcontratistas y su ubicación (a través de una página web, actualizable, posibilidad de finalizar el contrato de tratamiento) Adecuación de las especificaciones de la transferencia (apéndice 1) al modelo de cloud, que no exigiría una descripción en detalle de los aspectos de la transferencia pues no sería necesarios para Transferencias internacionales de datos proporcionar las garantías adecuadas Posibilidad de autorización por la AEPD al margen de las garantías aportadas por las cláusulas tipo (arts. 26.2 Directiva 95/46, 33 LOPD, 66 y 70 RLOPD, Decisión 2010/87, considerando 5) 12
NUEVAS MODALIDADES BCR PARA ENCARGADOS DE TRATAMIENTO Interés de la industria de outsourcing Grandes prestadores de servicios Criterios BCR de responsables adecuados a la actividad del encargado Transferencias encargado encargado, ambos parte de la corporación Subcontratación con un tercero no amparada por las BCR Documentos Tabla de los principales elementos que deben contener las BCR (WP195) Modelo de solicitud de aprobación de las BCR Documento Explicativo de las BCR para encargados del tratamiento Actualmente hay 2 BCR en tramitación 13
www.agpd.es 5ª sesión anual abierta de la Agencia Española de Protección de Datos 14