Las transferencias internacionales de datos personales no son cualquier exportación de un país a cualquier otro país sino, exclusivamente, las que tienen su origen en el espacio compuesto por los países la Unión Europea más Liechtenstein, Islandia y Noruega y su destino a un estado u organización internacional situado fuera de dichos territorios.
La razón por la que esto es así es porque una transferencia internacional de datos personales parte de un concepto jurídico definido legalmente, por lo que su definición y alcance serán el que les dota previamente una norma y no tiene por qué corresponderse exactamente, en cambio, con el significado común del lenguaje social. Dicho de otro modo, mientras que, por ejemplo, comúnmente por transferencia internacional de dinero entenderíamos simplemente la producida entre dos países como, por ejemplo, entre Francia y España, cuando se aplican normas de protección de datos personales esto no es así, de modo que la transferencia de datos entre España y Francia no se consideraría internacional, mientras que la que tendría su origen en España y su destino en Méjico sí lo sería.
Ciertamente, esta mera discrepancia entre el lenguaje social y la terminología legal pone de relieve que la elección del término por el legislador no es afortunada del todo poque obliga a realizar más aclaraciones de las que serían deseables. En este aspecto, habría sido más conveniente probablemente referirse a estos supuestos de transacciones de datos entre determinados territorios como transferencias extracomunitarias, por ejemplo.
Transferencias internacionales de datos personales: marco legal
El marco legal de las transferencias internacionales de datos personales se encuentra regulado en el Capítulo V, del Título I del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (En adelante, el Reglamento general de protección de datos o RGPD). Es decir, su régimen legal básico se encuentra previsto a partir del artículo 44 y siguientes del RGPD.
Dicho precepto establece el principio rector de las transferencias extra comunitarias al disponer que que solo se realizarán transferencias de datos personales a un tercer país u organización internacional si, a reserva de las demás disposiciones del Reglamento, se cumplen las condiciones establecidas en el RGPD. Esto significa que las transferencias de datos personales extra comunitarias solamente serán legales si cumplen con los requisitos regulados por el RGPD a continuación, de modo que serán ilegales, y no deberían hacerse, todas las que no cumplan con los requerimientos reglamentarios.
La gravedad de esta exigencia queda reforzada posteriormente por dos importantes puntualizaciones adicionales que realiza el mismo artículo 44 del RGPD.
En primer lugar, establece que su régimen normativo se aplicará también a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Por ejemplo, el RGPD se seguirá aplicando a una transmisión de datos que tiene su origen en la Unión Europea y como destino a Méjico, pero que luego continua en un proceso posterior desde este segundo territorio a otro tercer territorio como podría ser Costa Rica. El supuesto típico sería aquel en el que una empresa europea contrata un servicio en la nube situado en Méjico y la plataforma mejicana, a su vez, subcontrata a una empresa que requiere el uso de datos personales para darle soporte, pero está situada en Costa Rica. La razón de esta vis expansiva de la norma es cautelar en el sentido de que el régimen legal no pueda ser soslayado en transmisiones internacionales de datos personales sucesivas, pues, en tal caso, sería fácil saltarse la norma de forma fraudulenta.
En segundo lugar, el artículo 44 establece que el fundamento del régimen legal de transferencias extra comunitarias de datos que regula tiene por finalidad asegurar que el nivel de protección de las personas físicas garantizado por el propio Reglamento no se vea menoscabado. Es decir, reitera aplicado a este proceso el objetivo del RGPD que siempre es proteger el derecho fundamental de las personas a la protección de sus datos personales y, en concreto, en relación a este supuesto específico de transmisión extra comunitaria para prevenir que sea soslayado, tal y como hemos explicado en el apartado anterior.
La conclusión que se deriva de este principio es que las organizaciones no pueden tratar datos personales que salgan del espacio extra comunitario (normalmente mediante la contratación de un servicio o por el intercambio de datos entre entidades pertenecientes a una misma agrupación o la cesión de datos a socios y afiliados estratégicos) sin haber comprobado previamente si la que pretenden realizar se encuentra entre los supuestos legales admitidos o se cumplen los requisitos legales requeridos.
Es fundamental, por tanto, analizar si es legal la acción que se pretende realizar y que implica una transferencia internacional de datos, según sus circunstancias y las herramientas jurídicas que el propio RGPD pone a disposición del responsable. No todos los casos serán posibles o viables tras analizar cuál sea el destinatario; los instrumentos legales facilitados y, en su caso, las condiciones contractuales que lo ampararían. Una labor que exige un discernimiento jurídico intenso.
Algunos servicios como el uso de Mailchimp o Google Analytics ya se han declarado ilegales en diversos casos, pese a que su uso se encuentre muy extendido, normalmente por ignorancia sobre cómo se aplica la normativa de protección de datos personales y también de las sanciones que pueden imponerse.
MÁS INFORMACIÓN SOBRE ASESORAMIENTO DE PROTECCIÓN DE DATOS PERSONALES | DESPACHO DE ABOGADOS ESPECIALISTAS EN PROTECCIÓN DE DATOS EN MADRID