La Agencia Española de Protección de Datos ha emitido una resolución, a través de la cual se autoriza a Google para realizar transferencias internacionales de datos a Estados Unidos por la prestación de los servicios de computación en Nube (Cloud Platform y G-Suite).
A raíz de esta noticia, así como por el tipo de consultas que nos hacen los clientes queremos aprovechar la ocasión para comentar la importancia que vienen adquiriendo las transferencias internacionales de datos.
Comenzamos por explicar que una trasferencia internacional de datos consiste en la realización de un tratamiento y que debido a dicho tratamiento, los datos son exportados fuera del territorio del Espacio Económico Europeo.
Recordamos que las Transferencias Internacionales de Datos deben ser autorizadas por la Autoridad de Control competente con algunas excepciones:
- Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
- Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional
- Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
- Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
- Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
- Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
- Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
- Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
- Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
- Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.
Existen algunos países que aun estando fuera del Espacio Económico Europeo (EEE) demuestran tener unos estándares altos en cuanto a la seguridad de los datos y por ende se consideran países con un nivel adecuado y se pueden equiparar al nivel de protección que el Espacio Económico Europeo ofrece. Para realizar Transferencias Internacionales a estos países, no será necesaria la autorización de la Autoridad de Control.
Entre estos países podemos encontrar: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda.
Asimismo otra de las vías a través de la cual podríamos realizar una Transferencia Internacional de forma legal a EEUU, es a través del Privacy Shield, del cual hemos hablado anteriormente en nuestro Blog.
Pero en este caso Google optó por obtener la Autorización de la Agencia Española de Protección de Datos, por lo que vamos a analizar qué se precisa para obtener dicha Autorización.
Para ello, se deberá reunir una serie de requisitos en caso de que el exportar sea el responsable del tratamiento:
- Escrito de solicitud con identificación de los ficheros objeto de la transferencia con indicación del código con el que el fichero figura inscrito en el Registro General de Protección de Datos.
- Contrato basado en las Cláusulas Contractuales Tipo firmado por las partes (copia original o fotocopia compulsada) y, en su caso, traducción jurada al español.
- Poderes suficientes de los firmantes y, en su caso, traducción jurada al español.
- La inscripción de los ficheros deberá encontrarse completamente actualizada (apartados relativos a los “Colectivos” y a las “Medidas de Seguridad”).
Es muy importante tener un equipo de profesionales expertos en esta materia, pues adaptar y redactar la documentación que hemos indicado es un proceso complejo, y en muchas ocasiones tedioso, puesto que por el mínimo detalle, la Agencia Española de protección de datos puede denegar la transferencia y tener que iniciar el proceso de nuevo.
Según los datos estadísticos de la Agencia, en los últimos años se han multiplciado las solicitudes para realizar Transferencias Internacionales de Datos. Debemos tener en cuenta que actualmente la mayoría de servidores para el almacenaje de datos en la nube se encuentran en EEUU. Y ya no solo para el almacenaje y conservación de millones de datos, si no para el análisis a gran escala de estos datos. ¿Quiénes son los grandes analistas de datos? Entre ellos Google y Facebook, cuyas sedes se ubican en EEUU.
Por último, queremos comentar otra de las vías a través de la cual se podría realizar Transferencias Internacionales, y son las Reglas Corporativas Vinculantes o Binding Corporate Rules (BCR), con palabras de la propia Agencia Española de Protección de Datos “un mismo grupo multinacional de empresas, cuando hubieran sido adoptadas normas o reglas internas vinculantes para las empresas del Grupo y exigibles conforme al ordenamiento jurídico español”. Trataremos en otro Post estas Reglas Vinculantes, puesto que tiene un desarrollo muy particular y complejo.
Comentarios
No hay comentarios