Entradas

Abogados protección de datos

Transferencias internacionales de datos. LETRADOX Abogados

Transferencias internacionales de datos. LETRADOX® Abogados

Nuestro Dpto. de Protección de Datos le asesora en las cuestiones internacionales de Protección de Datos.

 

ÍNDICE

1.    Introducción protección de datos España

 

  1. Impacto del tratamiento de datos en las empresas

 

3.    Transferencias internacionales de datos

 

  1. Nuevas cláusulas contractuales tipo

 

4.1.       Estructura

1.     INTRODUCCIÓN PROTECCIÓN DE DATOS ESPAÑA.

La protección de datos personales aparece ya en el artículo 18.4 de la Constitución Española: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

El 28 de enero de 1981, el Consejo de Europa aprueba el convenio 108 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. España no formaba parte de la CEE pero firmó el Convenio.

La Ley Orgánica 5/92 de Regulación del Tratamiento Automatizado de Datos de carácter personal (LORTAD) y la creación de la Agencia Española de Protección de Datos (AEDP) suponen la primera normativa de protección de datos en la legislación española.

La directiva 95/46/CE del Parlamento Europeo se traspuso en España a través de la LO 15/99 de Protección de Datos de carácter personal (LOPD).

A finales de 2018 llegó la vigente LO 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales.

Con anterioridad y fundamental en la regulación está el Reglamento General de Protección de Datos (GDPR) (Reglamento 2016/679) con este reglamento el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea reforzaban y unificaban la protección de datos para todos los individuos dentro de la Unión Europea. También se ocupa de la exportación de datos personales fuera de la UE.

El objetivo principal del GDPR es dar control a los ciudadanos y residentes sobre sus datos personales y simplificar el entorno regulador de los negocios internacionales unificando la regulación dentro de la UE. La aplicación entró en vigor el pasado 25 de mayo de 2018 tras una transición de dos años y, a diferencia de una directiva, no obligó a los gobiernos nacionales a aprobar ninguna legislación habilitante, por lo que es directamente vinculante y aplicable.

El nuevo régimen propuesto de protección de datos de la UE amplía el ámbito de aplicación de la legislación de protección de datos de la UE a todas las empresas extranjeras que procesan datos de residentes de la UE. Proporciona una armonización

de los reglamentos de protección de datos en toda la UE, facilitando así que las empresas no europeas cumplan estas normas.

El GDPR aplica:

A los “controladores” y a los “procesadores” de datos.

Un controlador de datos indica cómo y por qué se procesan los datos personales, mientras que un procesador es la parte que realiza el procesamiento real de los datos. Por lo tanto, el controlador podría ser cualquier organización, desde una empresa con fines de lucro hasta una organización benéfica o un gobierno. Un procesador podría ser una empresa de TI que realice el procesamiento de datos real.

Incluso si los controladores y procesadores están fuera de la UE, el GDPR seguirá aplicándose a ellos siempre y cuando se trate de datos pertenecientes a residentes de la UE.

Es responsabilidad del controlador asegurar que su procesador cumple con la ley de protección de datos y los procesadores deben respetar las reglas para mantener registros de sus actividades de procesamiento. Si los procesadores están involucrados en una violación de datos, son mucho más responsables bajo GDPR que estaban bajo la Ley de Protección de Datos.

Los puntos fundamentales del GDPR

Nueva gestión de los tratamientos: no será necesario notificar los tratamientos a la Agencia Española de Protección de Datos y, en su lugar, se deberá llevar internamente un registro de actividades de tratamiento. Aunque la entidad se pueda acoger a la excepción de menos de 250 trabajadores, por lo menos tendrá que tenerlos identificados.

Categorías especiales de datos: además de los ya existentes, se incluyen los datos genéticos y biométricos.

Base jurídica de los tratamientos: el consentimiento no será ya la causa principal de legalización de los tratamientos, sino que también podrán realizarse por habilitación legal, ejecución de un contrato, en interés vital de interesado o por interés legítimo del responsable. De basarse en el consentimiento, pasa a ser expreso requiriendo una clara acción afirmativa o declaración expresa.

Privacidad por diseño: supone tener presente a la privacidad durante todo el ciclo de vida del dato, desde antes de su obtención, pasando por las diferentes fases de tratamiento, hasta su destrucción.

Privacidad por defecto: supone obtener y tratar sólo aquellos datos necesarios para cumplir con la finalidad del tratamiento.

Responsabilidad proactiva o accountability: el responsable de tratamiento debe cumplir con las obligaciones del RGPD y ser capaz de demostrarlo, por lo que la documentación y trazabilidad son requisitos imprescindibles.

Enfoque basado en el riesgo: los responsables y encargados de tratamiento deberán adoptar medidas técnicas y organizativas apropiadas, para reducir o eliminar los riesgos detectados para los interesados en relación con el tratamiento de sus datos personales. Como el riesgo cero no existe, se debe lograr un riesgo residual aceptable.

Delegado de protección de datos: se deberá nombrar un DPD con carácter obligatorio en las administraciones públicas, cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, y cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o datos de condenas y sanciones penales.

El Proyecto de Ley Orgánica de Protección de Datos, de aprobarse en los términos actuales, permitirá que cuando exista DPD, la Agencia Española de Protección de Datos les pase durante un mes las reclamaciones que presenten los interesados para que intente dar solución a la misma. De no conseguirlo, continuará el procedimiento sancionador o de tutela de derechos correspondiente.

Evaluaciones de impacto en protección de datos: los tratamientos que impliquen un riesgo para los datos personales de los interesados requerirán una evaluación de impacto en protección de datos previa. En concreto lo requerirán el tratamiento a gran escala de categorías especiales de datos y datos de condenas y sanciones penales, la evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o

que les afecten significativamente de modo similar y la observación sistemática a gran escala de una zona de acceso público.

Notificación de violaciones de seguridad de los datos personales: se deberán notificar aquellas violaciones que afecten a la confidencialidad, integridad o disponibilidad de los datos personales a la Agencia Española de Protección de Datos cuando exista un riesgo para los interesados. Si además, existe un alto riesgo para los interesados, se les deberá notificar a estos salvo que se hubieran tomado medidas previas que imposibilitaran el acceso de la información a terceros como el cifrado o se tomen medidas posteriores que eliminen la alta probabilidad de que se materialice ese riesgo.

2.     IMPACTO DEL TRATAMIENTO DE DATOS EN LAS EMPRESAS.

 

La regulación de protección de datos afecta de lleno a las empresas. Estamos en la era de la información y en este momento el GDPR endurece las condiciones para los ciudadanos y lar organizaciones que manejan información personal ajena.

El incumplimiento puede conllevar multas de hasta 20 millones de euros o el 4% de la facturación de la empresa.

Por ejemplo, la autoridad francesa impuso a Google una sanción de 50 millones de euros porque el tratamiento de los datos no estaba bien descrito. En este sentido se establece que para que el consentimiento de uso se considere informado el usuario debe conocer perfectamente para qué se van a emplear, en este caso se consideró que este requisito no estaba bien implementado.

En Alemania la autoridad alemana impuso a la compañía inmobiliaria Deutsche Wohen una sanción de 14,5 millones de euros por incumplimiento de la política de conservación de datos, al conservar éstos más tiempo del necesario.

Por la gravedad de las sanciones y por los derechos protegidos, los principios de privacidad y de respeto a la normativa deben estar integrados en toda la estructura de la empresa desde los departamentos de ventas y marketing a los de gestión y recursos humanos.

3.     TRANSFERENCIAS INTERNACIONALES DE DATOS.

La AEDP señala que las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea, mas Liechtenstein, Islandia y Noruega)

Las personas responsables y encargadas del tratamiento podrán realizar transferencias internacionales de datos sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD y se den los siguientes supuestos:

Destinatario declarado de nivel adecuado por la Comisión Europea. Las personas destinatarias de los datos se encuentres en un país, un territorio o uno o varios sectores específicos de este país u organización internacional que hay sido declarado de nivel de protección adecuado por la Comisión Europea. Hasta la fecha los países y territorios declarados como adecuados son:

  • Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
  • Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de
  • Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de
  • Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de
  • Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
  • Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
  • Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010
  • Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010
  • Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011
  • Uruguay. Decisión 2012/484/UE, de la Comisión, de 21 de agosto de 2012.
  • Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012
  • Estados Unidos. Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016 (Decisión invalidada por el Tribunal de Justicia de la Unión Europea (TJUE) el 17 de julio de 2020).
  • Japón. Decisión de 23 de enero de 2019.
  • Reino Unido. Decisión de 28 de junio de 2021 (versión en inglés).

–    A falta de decisión de adecuación, con las siguientes garantías:

  1. Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
  2. Normas corporativas
  3. Cláusulas tipo de protección de datos adoptadas por la Comisión, las cuales abordaremos en el apartado
  4. Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
  5. Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas
  6. Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas

A falta de decisión de adecuación y de garantías. Únicamente se podrán realizar si se cumple alguna de las condiciones siguientes:

  1. La persona interesada haya dado explícitamente su

  1. La transferencia sea necesaria para la ejecución de un contrato entre las personas interesada y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud de la persona
  2.  sea necesaria para la celebración o ejecución de un contrato, en interés de la persona interesada, entre la persona responsable del tratamiento y otra persona física o jurídica.
  3. o por razones importantes de interés público.

  1. La transferencia sea necesaria para la formulación, el ejercicio o la defensa de

  1.    proteger   los   intereses   vitales   de la persona interesada o de otras personas, cuando la persona interesada esté física o jurídicamente incapacitada para dar su consentimiento.
  2.  se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la

Cuando tampoco sea aplicable ninguna de estas excepciones, solo se podrá llevar a cabo una transferencia si (1) no es repetitiva, (2) afecta solo a un número limitado de personas interesadas, (3) es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades de la persona interesada, y (4) el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofrezca garantías apropiadas con respecto a la protección de datos personales.

En este supuesto el responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14 del RGPD, el responsable del tratamiento informará a la persona interesada de la transferencia y de los intereses legítimos imperiosos perseguidos.

Cuándo se necesita una autorización expresa. Se necesitará autorización expresa de la agencia española de protección de datos cuando las garantía adecuadas se aporten mediante:

  • Cláusulas contractuales entre el responsable o el encargado y el responsable, y el encargado y subencargado, que no hayan sido adoptadas por la Comisión Europea o
  • Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para las personas

Las autorizaciones otorgadas por la Agencia Española de Protección de Datos previamente a la aplicación del RGPD seguirán siendo válidas.

4.     NUEVAS CLÁUSULAS CONTRACTUALES TIPO

 

Con fecha 4 de junio de 2021, la Comisión Europea ha publicado el nuevo conjunto de cláusulas contractuales tipo que, además de sustituir a sus predecesoras, pretenden poder enmarcar un abanico de transferencias ya sea entre responsable y responsable, entre responsable y encargado, entre encargados o entre encargado y responsable.

Las nuevas   cláusulas   se   adaptan   al   RGPD   incorporando   los   principios   de

«accountability» y tratan de adoptar los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II. No obstante, sigue siendo necesario que el exportador, en su caso ayudado por el importador, analice el impacto que la legislación del país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo. Además, adicionalmente, deberán tenerse en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente.

Las cláusulas contractuales de las Decisiones de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE quedarán derogadas a partir del 27 de septiembre de 2021. No obstante, los contratos celebrados antes de dicha fecha con arreglo a las anteriores Decisiones serán válidos hasta el 27 de septiembre de 2022, siempre que las operaciones de tratamiento permanezcan inalteradas y las cláusulas contractuales garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas.

Los contratos que utilicen las cláusulas contractuales de 2001/497/CE, 2004/915/CE o la Decisión 2010/87/UE tendrán un período de 15 meses para su adaptación a las nuevas cláusulas.

Las cuestiones más relevantes son:

4.1  Estructura

 

Tienen una estructura modular, siendo su redactado diferente dependiendo del escenario en el que se utilicen. En este sentido, contemplan cuatro escenarios diferentes de transferencias internacionales de datos:

  1.  responsable a responsable (R-R);
  2.  responsable a encargado (R-E);

  1.  encargado a responsable (E-R); y
  2.  encargado a encargado (E-E).

La estructura modular de las nuevas cláusulas en cuanto escenarios diferentes tiene en cuenta dos escenarios que no se contemplaban con las anteriores (E-R y E-E). De esta manera, las nuevas reflejan mejor la diversidad de escenarios presentes en la realidad.

Así, las cláusulas para todos los escenarios se dividen en cuatro secciones diferentes:

Una primera sección introductoria con cláusulas generales sobre interpretación y jerarquía.

Una segunda sección con las obligaciones de las partes.

Una tercera sección sobre obligaciones de análisis de normas locales y acceso a datos por parte de las autoridades.

Una cuarta sección con cláusulas finales como pueden ser, la cláusula de ley aplicable o la de jurisdicción. Asimismo, los escenarios R-R y E-R contienen dos anexos sobre características del tratamiento y medidas técnicas y organizativas, mientras que los escenarios R-E y E-E contienen un anexo adicional para listar a los subencargados del tratamiento.

Adicionalmente, las nuevas cláusulas contienen toda la información requerida para la contratación de encargados del tratamiento. Por lo tanto, en la medida en la que aplique, no será necesario firmar un contrato de encargo de tratamiento adicional a las cláusulas.

Estas cláusulas actualizadas tratan de solucionar las anteriores deficiencias implementando obligaciones que emanan de la GDPR. Destacando:

  • Se incorporan apartados expresamente previstos en el RGPD como la gestión de brechas de seguridad o la referencia a las medidas técnicas y organizativas del artículo 32 del RGPD. Las partes deben describir las medidas de seguridad técnicas y organizativas aplicadas, que incluirán las medidas adoptadas para ayudar a responder a las solicitudes de los

  • Se integra el principio de responsabilidad proactiva al obligar a las partes a demostrar el cumplimiento del contenido de las

  • Se crean obligaciones más detalladas en comparación con las establecidasen las anteriores CCT, lo que aumenta sustancialmente el nivel de diligencia debida para evaluar el impacto potencial de las leyes locales sobre los En este sentido, se incorporan algunas de las obligaciones señaladas por el TJUE en “Schrems II” y apoyadas por el CEPD.

La suscripción de las CCT actualizadas está condicionada a la realización previa de un análisis de impacto de la transferencia para verificar si el marco legislativo del país de destino es esencialmente equivalente al del país de origen de los datos. La Comisión ha introducido cierta flexibilidad en relación con los diferentes elementos que pueden tenerse en cuenta para realizar este análisis. Puede analizarse desde la jurisprudencia e informes de organismos de supervisión independientes hasta la experiencia practica documentada del exportador y/o del importador de datos.

  • Se refuerzan obligaciones como el deber del importador de notificar el al exportadorante una solicitud de divulgación de datos personales por parte de una autoridad, o el deber del importador de impugnar dicha solicitud y de, incluso, solicitar medidas cautelares si considera que existen razones suficientes para hacerlo. Asimismo, si un importador notifica al exportador la imposibilidad de cumplir con las CCT actaulizadas, el exportador puede identificar medidas adicionales para mitigar el riesgo del Si las medidas adicionales no permiten mitigar debidamente los riesgos, el exportador deberá suspender la transferencia

  • Se admiten las transferencias ulteriores por parte de importadores de datos a otros destinatarios para el ejercicio de reclamaciones legales relacionadas con procedimientos administrativos, judiciales o reglamentarios, así como para proteger intereses vitales del interesado u otra persona física.

  • Se admiten las transferencias ulteriores por parte de importadores de datos a otros destinatarios para el ejercicio de reclamaciones legales relacionadas con procedimientos administrativos, judiciales o reglamentarios, así como para proteger intereses vitales del interesado u otra persona física.

  • Con respecto al derecho del exportador de datos a obtener, previa solicitud, una copia de los contratos de subencargo del importador, se aclara que el importados puede reservarse la facultad de redactar el contrato de forma que proteja sus secretos comerciales u otra información confidencial. Se trata de una mejora con respecto a las anteriores que preveían la obligación de proporcionar copias sobre información comercial sin autorización.

  • Se prevé la adhesión de partes adicionales a las cláusulas ya suscritas, si bien esta cláusula es voluntaria y está sujeta a la aceptación por las partes contratantes y al cumplimiento de los anexos y medidas técnicas y organizativas de las cláusulas por parte del tercero.

 

Para adaptar su empresa a la normativa de protección de datos o bien consultarnos su caso sobre transferencias internacionales datos :

LETRADOX ABOGADOS

Tlf. 912980061 / 645958948

email: info@letradox.es

https://www.letradox.com

Transferencias internacionales de datos. LETRADOX® Abogados