Transferencias internacionales, BCR y Códigos de conducta en materia de protección de datos en el RGPD y en la LOPDGDD

Un elemento esencial en el tratamiento de datos es el alcance territorial de estas operaciones. Es importante su valoración puesto que no debe admitirse cualquier tipo de cesión o transferencia internacional, por el perjuicio que ello podría generar en los interesados ya que no todas las entidades, organizaciones o países ofrecen el mismo nivel de garantía del cumplimiento de la legislación. 

Los considerandos (108), (110) y (111) del RGPD disponen respecto a la transferencia de datos que:

(108) «(...) Las transferencias también pueden realizarlas autoridades o entidades públicas con entidades o autoridades públicas de terceros países o con organizaciones internacionales con competencias o funciones correspondientes, igualmente sobre la base de disposiciones incorporadas a acuerdos administrativos, como un memorando de entendimiento, que reconozcan derechos exigibles y efectivos a los interesados».

(110) «Todo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta debe tener la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Unión a organizaciones dentro del mismo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta, siempre que tales normas corporativas incorporen todos los principios esenciales y derechos aplicables con el fin de ofrecer garantías adecuadas para las transferencias o categorías de transferencias de datos de carácter personal».

(111) «Se debe establecer la posibilidad de realizar transferencias en determinadas circunstancias, de mediar el consentimiento explícito del interesado, si la transferencia es ocasional y necesaria en relación con un contrato o una reclamación, independientemente de tratarse de un procedimiento judicial o un procedimiento administrativo o extrajudicial, incluidos los procedimientos ante organismos reguladores. También se debe establecer la posibilidad de realizar transferencias cuando así lo requieran razones importantes de interés público establecidas por el Derecho de la Unión o de los Estados miembros, o cuando la transferencia se haga a partir de un registro establecido por ley y se destine a consulta por el público o por personas que tengan un interés legítimo. En este último caso la transferencia no debe afectar a la totalidad de los datos personales o de las categorías de datos incluidos en el registro y, cuando el registro esté destinado a su consulta por personas que tengan un interés legítimo, la transferencia solo debe efectuarse a petición de dichas personas o, si estas van a ser las destinatarias, teniendo plenamente en cuenta los intereses y los derechos fundamentales del interesado».

Como predispone el artículo 44 del RGPD,solo se podrán realizar transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional cuando el responsable y el encargado cumplan las condiciones que el RGPD recoge a tal efecto en su capítulo V, siempre con el fin de asegurar la protección de las personas físicas. 

Con carácter previo, hemos de hacer referencia a las Garantías para las transferencias de datos personales a terceros países u organizaciones internacionales aportadas en la página web de la AEPD, que reconoce que las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo. Los responsables y encargados del tratamiento podrán realizar transferencias internacionales de datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD y se den los siguientes supuestos:

• El destinatario se encuentre en un país o territorio declarado de nivel adecuado por la Comisión Europea (decisión de adecuación).
• Se aporten garantías adecuadas tales como:
  • Instrumentos jurídicamente vinculantes y exigibles entre las autoridades u organismos públicos.
  • Normas corporativas vinculantes.
  • Clausulas tipo adoptadas por la Comisión.
  • Códigos de conducta.
  • Mecanismos de certificación.
• Se cumple alguna de las siguientes condiciones:
  • Consentimiento explícito del interesado.
  • Necesidad de la transferencia para la ejecución de un contrato o para su celebración.
  • Necesidad de la transferencia por razones de interés público.
  • Necesidad de la transferencia para la formulación, el ejercicio o la defensa de reclamaciones.
  • Necesidad de la transferencia para proteger los intereses vitales de otras personas, cuando no puedan dar su consentimiento por razones físicas o jurídicas.
  • Realización de la transferencia desde un registro público cuyo objeto sea facilitar información al público, siempre que se cumplan las condiciones establecidas por el derecho de la Unión o de los Estados miembros para la consulta. 
  • La transferencia no es repetitiva, afecta a un número limitado de interesados, es necesaria a los intereses legítimos del responsable de tratamiento —siempre que no prevalezcan sobre los intereses y derechos de la persona interesada— y que este, evaluando la transferencia de datos, ofrezca las garantías adecuadas con respecto a la protección de datos personales. 
• Se haya autorizado de forma expresa por la Agencia Española de Protección de Datos, cuando las garantías adecuadas se aporten mediante:
  • Cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o subencargado, que no hayan sido adoptadas por la Comisión Europea.
  • Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

Pueden adoptarse por la AEPD medidas provisionales y de garantía de derechos, como por ejemplo, el bloqueo de datos y la cesación de tratamiento e inmovilización (en defecto de cumplimiento de la primera), al amparo del artículo 69 de la LOPDGDD, para los casos en que estas transferencias comporten menoscabo grave del derecho a protección de datos personales. 

Las normas corporativas vinculantes (o más conocidas por sus siglas en inglés BCR —Binding Corporate Rules—) se definen en el artículo 4, apartado 20) del RGPD, que establece que son «las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta». Estas normas corporativas deberán cumplir los requisitos y contenidos recogidos en el artículo 47 del RGPD, tal y como se analizará. 

Por otro lado, los códigos de conducta constituyen una muestra de lo que se denomina como autorregulación, como describe la AEPD, la «capacidad de las entidades, instituciones y organizaciones para regularse a sí mismas a partir de la normativa establecida. Son mecanismos de cumplimiento voluntario en los que se establecen reglas específicas de protección de datos para categorías de responsables o encargados del tratamiento». Los artículos 40 y 41 del RGPD son los encargados de regular este concepto, así como el artículo 38 de la LOPDGDD. Estos códigos se podrán elaborar por las asociaciones y otros organismos representativos de categorías de responsables y encargados, para los que serán vinculantes una vez se adhieran a ellos.

En cuanto a la LOPDGDD, el título VI se rotula bajo la rúbrica «Transferencias internacionales de datos», procediendo a la adaptación de lo previsto en el RGPD, y se refiere a las especialidades relacionadas con los procedimientos a través de los cuales las autoridades de protección de datos pueden aprobar modelos contractuales o normas corporativas vinculantes, y supuestos de autorización o información previa de una determinada transferencia, de las autoridades de protección de datos competentes. 

A TENER EN CUENTA. La infracción de los artículos 44 a 49 del RGPD, reguladores de las transferencias de datos personales a terceros países u organizaciones internacionales, será tipificada como infracción muy grave y sancionada con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior. Así lo contemplan el artículo 83, apartado 5, del RGPD y el artículo 72 de la LOPDGDD.