Cuando hablamos de transferencia internacional de datos nos referimos al tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.
La regla general es que no pueden transferirse de ninguna manera datos de carácter personal que han sido objeto de tratamiento o recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable al de la legislación española, salvo que se obtenga autorización previa del Director de la AEPD.
La transferencia internacional de datos es libre, y por tanto no requiere de la autorización de la AEPD, cuando tenga como destino:
a)un Estado miembro de la UE
b)un Estado respecto del cual la AEPD o la Comisión Europea hayan declarado que ofrece un nivel adecuado de protección de datos.
Cuándo la transferencia de datos se realiza a un país respecto del que ni la propia AEPD ni la Comisión Europea han declarado que tiene un nivel adecuado de protección es necesaria la autorización del Director de la AEPD. En tal caso, la autorización puede ser otorgada cuando el responsable del fichero aporta un contrato escrito celebrado entre el exportador y el importador de los datos, en el que consten las necesarias garantías de respecto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales, y se garantice el ejercicio de sus respectivos derechos.
Una especialidad de las transferencias internacionales de datos la encontramos cuándo estas se realizan a Estados Unidos. Las entidades norteamericanas pueden obtener un sello de certificación a través de un sistema denominado Privacy Shield (“ escudo de privacidad ”), aprobado en julio de 2016, a fin de poder importar datos de carácter personal sin necesidad de que las entidades europeas exportadoras tengan que solicitar la autorización previa de las Autoridades Europeas en materia de Protección de Datos.
Este sistema de “Privacy Shield” fue creado tras la anulación del sistema anterior, el Safe Harbor (“ puerto seguro ”), por sentencia del Tribunal de Justicia de la Unión Europea el 6 de octubre de 2015.
El nuevo marco normativo intenta solventar algunas de las deficiencias identificadas por el TJUE al anular el acuerdo de Safe Harbor, como la excesiva capacidad de actuación de las autoridades estadounidenses en la intervención de los datos.
El Privacy Shield implica una mayor transparencia en el acceso a datos por parte de la Administración norteamericana, y es que la vigilancia indiscriminada de datos que realizan las autoridades estadounidenses está sujeta a limitaciones. Además, la Secretaría de Estado norteamericana introdujo la posibilidad de que los ciudadanos europeos puedan recurrir el tratamiento de sus datos a través de un sistema de mediación.
Asimismo los ciudadanos europeos disponen de diversos instrumentos para defender su derecho a la protección de datos personales frente a la actuación de entidades privadas norteamericanas.
La aprobación del Privacy Shield impone a las empresas que deseen certificarse bajo su protocolo, obligaciones formales que equiparan el nivel de protección y mecanismos de control público para asegurar su cumplimiento por parte de las compañías interesadas en recibir datos de empresas establecidas en Estados Unidos.
Así, aunque el Privacy Shield no es un sistema revolucionario con respecto al Safe Harbor, al menos permite que las empresas americanas que se adhieran puedan contratar servicios basados en Estados Unidos que requieren la transferencia internacional de datos de carácter personal, sin necesidad de obtener una autorización por parte de la Dirección de la Agencia Española de Protección de Datos.
Yamil Doval
Sistemius
