FLUJO DE DATOS AL REINO UNIDO EN UN ESCENARIO DE BREXIT SIN ACUERDO
Desde que el Reino Unido decidió activar su salida de la Unión Europea, activando el coloquialmente conocido Brexit, los expertos en protección de datos sabemos que ello traería consecuencias en los flujos de datos personales que se realizan al Reino Unido puesto que al dejar de pertenecer a la Unión Europea los movimientos internacionales de datos serán considerados transferencia internacional de datos, y de alguna manera tendrán que regularizarse utilizando alguno de los instrumentos previstos en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
La perspectiva de un Brexit sin acuerdo, ha encendido las alarmas tanto en la Unión Europea como en el Reino Unido debido al problema sobrevenido de como regularizar esos movimientos internacionales de datos presentes en las relaciones económicas que se realizan entre los diferentes Estados.
Hay que tener presente que una transferencia internacional de datos no se produce sólo con un movimiento internacional de datos stricto sensu, sino que puede materializarse con un mero alojamiento de datos en modalidad nube o cloud computing, si el prestador de ese servicio, sus servidores o alguna de las copias redundantes de seguridad se almacenan en servidores propios o subcontratados alojados en el Reino Unido.
La posibilidad de que no exista acuerdo, como indicábamos es tan grave, que tanto desde la autoridad de control de protección de datos del Reino Unido, el Information Commissioner`s Office con sus Guidance and resources for organisations after Brexit, como por parte del Consejo Europeo de Protección de Datos que acaba de publicar una Nota informativa sobre transferencias de datos en virtud del RGPD en el caso de un Brexit sin acuerdo. En dicha Nota analiza las obligaciones que deben implementar los responsables y encargados de tratamiento (exportadores de datos) tanto a nivel interno como hacia los destinatarios de la transferencia internacional de datos (importadores de datos) tal y como puede comprobarse en esta imagen que reproducimos literalmente:
A continuación, la Nota analiza las diferentes opciones y posibilidades que tiene el exportador de datos para legalizar la transferencia internacional de datos conforme al RGPD. Pero antes de realizar una serie de valoraciones sobre su contenido vamos a analizar las garantías que deben cumplirme de acuerdo con el RGPD para considerar que una transferencia internacional es acorde con el mismo.
Las transferencias internacionales de datos a terceros Estados (fuera de la Unión Europea y del Espacio Económico Europeo) solo podrán realizarse si cuentan con garantías suficientes conforme a lo previsto en el RGPD a tenor de los dispuesto en su artículo 44:
“Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado”.
Para que pueda efectuarse una transferencia internacional, deberá ampararse en alguno de los siguientes supuestos:
1. Que el Estado haya sido considerado por la Unión Europea como país que ofrece un nivel adecuado de protección. Este sistema ya estaba previsto en la Directiva 95/46 y el RGDP mantiene su validez mientas no no sean derogadas, anuladas o modificadas, siendo actualmente los Estados que cumplen esta condición los siguientes:
- Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000
- Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos
- Argentina. Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003
- Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003
- Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004
- Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008
- Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010
- Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010
- Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011
- Uruguay. Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012
- Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012
- Estados Unidos (Privacy Shield). Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016. La relación de entidades certificadas puede consultarse en https://www.privacyshield.gov/list
- Japón. Decisión de 23 de enero de 2019. Debe indicarse que es la primera Decisión de nivel adecuado de protección realizada conforme al RGPD.
2. Que la transferencia contenga instrumentos jurídicos que ofrezcan garantías adecuadas. En concreto el RGPD contempla los siguientes:
- Sin necesidad de solicitar autorización previa a la autoridad de control:
a) instrumentos jurídicamente vinculante y exigible entre las autoridades u organismos públicos;
b) normas corporativas vinculantes de conformidad previstas en el artículo 47; Requieren aprobación por parte de la autoridad de control competente.
c) cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 93, apartado 2 del RGPD (pendientes de desarrollo y vigentes las aprobadas durante la Directiva 95/46 mientras no sean derogadas, anuladas o modificadas). En base a la Directiva se aprobaron las siguientes decisiones:
– Decisión 2001/497/CE, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales entre responsables del tratamiento a un tercer país y
– Decisión 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica la Decisión 2001/497/CE en lo relativo a la introducción de un conjunto alternativo de cláusulas contractuales tipo para la transferencia de datos personales a terceros países
– Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo
d) cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 93, apartado 2 (pendientes de desarrollo).
e) códigos de conducta aprobados con arreglo al artículo 40, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o
f) mecanismos de certificación aprobados con arreglo al artículo 42, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.
- Con autorización previa de la autoridad de control:
a) cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional.
b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados
3. Se ampare en alguna de las excepciones previstas en el apartado 1 del artículo 49 del RGPD:
a) el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas;
b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;
c) la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;
d) la transferencia sea necesaria por razones importantes de interés público;
e) la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;
f) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento;
g) la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.
4. Si la transferencia no puede ampararse en ninguno de los supuestos anteriores, sólo podrá realizarse si:
- No es repetitiva.
- Afecta solo a un número limitado de interesados.
- Es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evaluó todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales.
En estos supuestos el responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos.
Pero volviendo a la Nota del Consejo Europeo de Protección de Datos, debemos indicar que existen una serie de aspectos que requieren comentario:
- Seguramente el Reino Unido conseguirá que se apruebe una Decisión en la que se apruebe su nivel adecuado de protección, pero mientras eso llega debemos legalizar las transferencias internacionales con otros instrumentos previstos en el RGPD.
- Actualmente las certificaciones y los códigos de conducta no son instrumentos adecuados puesto que a día de hoy todavía no ha sido creado y aprobado ninguno.
- En relación con las excepciones del art 49 del RGPD el propio Consejo Europeo de Protección de Datos en sus Guidelines 2/2018 ha indicado que sólo pueden utilizarse subsidiariamente cuando NO cabe otra alternativa. Además, si optamos por la excepción del consentimiento puede ser inviable cuando haya que recabar un gran número de ellos.
- Las normas corporativas vinculantes están pensadas para grupos de empresas y las relaciones entre las filiales entre sí y su matriz, por lo que siendo el instrumento mas recomendable cuando se trata de grupos empresariales internacionales, sólo estos pueden crearlas y solicitar su aprobación a la autoridad de control por lo que es un instrumento exclusivo para este tipo de empresas.
- En relación con las cláusulas contractuales, tenemos dos opciones, las que requieren autorización de la autoridad de control al ser clausulas pactadas y creadas por el importador y exportador de protección de datos y aquellas que son clausulas contractuales tipo aprobadas por la Comisión Europea o por la autoridad de control de protección de datos. Si optamos por las primeras, requieren autorización como comentábamos anteriormente y este trámite tiene unos tiempos y unos plazos por lo que no debe dejarse para el último momento. Pero si optamos por las que no requieren autorización, tenemos otro problema añadido ya que ni la Comisión Europea ni la Agencia Española de Protección de Datos han elaborado aún las cláusulas contractuales tipo y como continúan vigentes las de la Directiva 95/46 son las únicas que a día de hoy se pueden utilizar. El propio CEPD las da por válidas pero como bien indica, cualquier enmienda o modificación sobre las mismas las convertiría en cláusulas ad hoc lo que requerirá su autorización por parte de la autoridad de control.
Francisco Ramón González-Calero Manzanares
Lead Advisor en Govertis
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.