¿Qué es una transferencia internacional? ¿Habrá nuevas cláusulas contractuales tipo?

El pasado 19 de noviembre de 2021, el Comité Europeo de Protección de Datos (en adelante, CEPD) publicó el borrador Directrices 05/2021 sobre la interacción entre la aplicación del artículo 3 y las disposiciones sobre transferencias internacionales del capítulo V del RGPD. Las citadas directrices analizan la relación existente entre el artículo 3 del Reglamento General de Protección de Datos (en adelante, RGPD); en el cual se regula el ámbito territorial de la normativa, y el capítulo V del RGPD, que regula las transferencias de datos a terceros países u organizaciones internacionales. El borrador puede ser objeto de comentarios hasta el próximo 31 de enero, encontrándose en fase de consulta pública.

Regulación y antecedentes

El artículo 3 del RGPD, introdujo una novedad frente a las regulaciones precedentes: la aplicación extraterritorial de la normativa. 

De esta forma, se aseguraba la aplicación de la normativa a encargados o responsables ubicados fuera del territorio de la Unión Europea. En este sentido, debemos traer a colación el texto del apartado 2, por el cual, la normativa se aplica a responsables o encargados no establecidos en el territorio europeo si sus actividades de tratamiento consisten en: 

“a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o

 b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión”.

Por su parte, el capítulo V, establece las garantías que se deben utilizar para asegurar que el territorio destino de los datos transferidos, ofrece una protección equivalente al RGPD. 

Ha de destacarse que el RGPD no define qué se considera por transferencia a terceros países y organizaciones internacionales. Con la resolución Schrems II, se esperaba que el Tribunal de Justicia de la Unión Europea (en adelante, TJUE) arrojase luz sobre el concepto legal de transferencia internacional a efectos del RPGD y la relación existente entre la aplicación extraterritorial indicada y la utilización de garantías. Sin embargo, el TJUE evitó tratar estas cuestiones que pretende clarificar ahora el CEPD.

Criterios acumulativos de toda transferencia internacional

El CEPD sostiene que deben cumplirse tres requisitos acumulativos para encontrarnos ante una transferencia internacional de datos en el sentido del capítulo V del RGPD

  1. La existencia de un responsable o un encargado sujeto al RGPD, por el citado tratamiento. 

En este sentido, el CEPD destaca que toda transferencia internacional de datos ha de estar sujeta a las normas del capítulo V, independientemente de si los destinatarios no se encuentran en el territorio de la Unión, pero les es igualmente aplicable la normativa por la extraterritorialidad indicada anteriormente. 

  1. Que el citado responsable o encargado de tratamiento (“exportador”) ponga a disposición de otro responsable, corresponsable o encargado (“importador”); los datos personales. 

Se hace hincapié en la existencia de dos partes diferenciadas para poder hablar de transferencia internacional:

  1. Al respecto el CEPD indica que no existe transferencia internacional de datos si el interesado comunica directamente la información al encargado o responsable situado fuera del territorio de la Unión: al no existir la figura de exportador no podemos hablar de transferencia entre dos. 
  2. Que no existe transferencia si los datos no salen de la organización (EJ.: tratamiento de datos fuera del territorio europeo por encontrarnos de viaje laboral). En este tipo de casos, el CEPD manifiesta que bastaría con implementar unas medidas técnicas y organizativas adecuadas, de conformidad con el artículo 32 del RGPD. 

En línea con lo expuesto, el CEPD aclara que pueden ocurrir transferencias internacionales intragrupo, al ser consideradas las organizaciones del grupo empresarial como diferentes responsables o encargados dentro de un mismo tratamiento. 

  1. Que el importador esté ubicado en un tercer país o en una organización internacional, independientemente de si este importador está sujeto o no al RGPD con respecto al tratamiento, de acuerdo con el Artículo 3 del RGPD.

El tercer criterio requiere que el importador se encuentre geográficamente en un país fuera de la UE o en una organización internacional. 

Conclusiones del CEPD

-Si se cumplen los tres criterios establecidos nos encontraremos ante el concepto de transferencia internacional a efectos del RGPD. 

-Toda transferencia internacional ha de realizarse cumpliendo con las garantías reguladas en el capítulo V del RGPD. 

-El contenido de estas garantías ha de adaptarse a cada situación. Por ello, para la transferencia de datos a un importador ya sujeto al RGPD por la extraterritorialidad del artículo 3.2, no deberían usarse las cláusulas contractuales tipo recientemente aprobadas (en adelante SCC), ya que las mismas no fueron pensadas para este tipo de casos. En su lugar, deberían existir unas nuevas SCC centradas en aquellos elementos que “faltan”.

El CEPD parece sugerir que estas SCC adicionales, deberían ser una versión "ligera" de las SCC actuales. Esto tiene sentido, ya que muchas obligaciones en las SCC actuales ya son directamente aplicables a los importadores de datos cuyos tratamientos está dentro del ámbito territorial del RGPD por la aplicación del artículo 3.2.

Carlos Cuesta Hernández, Senior Privacy Counsel, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias