Una de las cuestiones más planteadas desde que se tuvo noticia del cambio normativo a nivel europeo en materia de protección de datos ha sido la relativa a los posibles cambios en la regulación de las transferencias internacionales. Sin embargo, en este ámbito el RGPD sigue los mismos pasos establecidos por la Directiva 95/46 y por las legislaciones nacionales de trasposición de dicha directiva.
Recordemos, en primer lugar, que se se entiende por transferencia internacional de datos aquella que se realiza fuera del Espacio Económico Europeo (así pues, dentro del EEE no se considera internacional). La transferencia internacional solamente puede tener lugar fuera del EEE si los datos objeto de la transferencia se comunican a países, territorios o sectores específicos o, tal y como ha incluído el RGPD, “organizaciones internacionales” que tengan reconocido un nivel de protección adecuado o hayan ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino. Dichas garantías las debe ofrecer el exportador, ya sea responsable de tratamiento o encargado del mismo.
La Agencia Española de Protección de Datos en su reciente publicación Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento resume las implicaciones del nuevo Reglamento para los responsables y encargados que actualmente están realizando transferencias internacionales. La Agencia, en este sentido, parte de la base de que las decisiones de la Comisión (bien sean de adecuación, bien sea estableciendo cláusulas tipo para los contratos en los que se fijan garantías para las transferencias) y que sean anteriores al RGPD seguirán siendo válidas hasta que la Comisión no las sustituya o derogue. A su vez, continuarán siendo válidas las autorizaciones de transferencias internacionales otorgadas por las autoridades nacionales sobre la base de garantías contractuales, mientras no se revoquen por las mismas.
Si bien el RGPD mantiene en su mayor parte la regulación anterior en el ámbito de las transfenrencias internacionales ¿qué novedades incluye?
Tal y como menciona la Agencia en la citada guía, se amplía la lista de posibles instrumentos para ofrecer garantías (por ejemplo, las Normas Corporativas Vinculantes para responsables y encargados, los códigos de conducta y esquemas de certificación o las cláusulas contractuales modelo que puedan aprobar las autoridades de protección de datos). Además, se incluye una excepción al listado establecido por la Directiva 95/46 relativa a la posibilidad de transferir datos a un país sin un nivel adecuado de protección cuando la transferencia:
- Sea necesaria para satisfacer intereses legítimos imperiosos del responsable
- No sea repetitiva
- Afecte a un número limitado de interesados
- No prevalezcan los derechos, libertades e intereses de los afectados
- Y se comunique a la autoridad de protección de datos
En cualquier caso, aunque la base de la regulación de las transferencias internacionales sea la misma, se recomienda asesoramiento de una consultoría de protección de datos para tener en cuenta las novedades y la futura e inminente modificación de la LOPD cuyo estudio y reforma en curso.
