En nuestro articulo Transferencias Internacionales de Datos en el RGPD. Novedades respecto de la LOPD, parte I llevamos a cabo un análisis tanto de la normativa, todavía vigente, en materia de Transferencias Internacionales de Datos como de algunas de las novedades que, respecto de esta materia, introduce el Reglamento General Europeo de Protección de Datos (en adelante el RGPD). A este conjunto de normas debemos añadir, tras su publicación en fecha 27 de Junio de 2017, el Anteproyecto de Ley Orgánica de Protección de Datos (en adelante el Anteproyecto), que regula estas transferencias en sus artículos 41 a 44.
Si bien es cierto que el RGPD introduce novedades que afectan a todo el régimen de transferencias internacionales, en el presente artículo nos centraremos en examinar las novedades que afectan al régimen de autorizaciones.
¿Cuál va a ser el futuro de las autorizaciones por parte de la Directora de la Agencia Española de Protección de Datos (en adelante la AEPD)?
Tal y como establece la AEPD en su Guía para Responsables de Tratamiento, el modelo de transferencias internacionales que plantea el RGPD sigue los mismos criterios que el modelo establecido por la Directiva 95/46 del Parlamento Europeo en materia de protección de datos y por las legislaciones nacionales de trasposición; sin embargo, el nuevo régimen de autorizaciones supone un cambio radical con respecto al modelo de la actual normativa.
Ya indicamos que, según la norma actual aplicable, en la actualidad, no pueden realizarse transferencias internacionales de datos a aquellos países, fuera del Espacio Económico Europeo, que no proporcionen un nivel de protección equiparable al nuestro, salvo autorización previa de la directora de la AEPD. Sin embargo, en el marco del RGPD estas transferencias, sí que podrán realizarse, como regla general, sin necesidad de autorización previa, siempre y cuando la Comisión haya adoptado una decisión reconociendo que el tercer país o la Organización Internacional de que se trate ofrecen un nivel de protección adecuado, tal y como indica el artículo 45 del RGPD.
A falta de esta decisión de la Comisión, el responsable o encargado de tratamiento sólo podrá transmitir datos personales a un tercer país u organización internacional si estos ofrecen garantías adecuadas al efecto y siempre a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas (artículo 46 del RGPD).
El artículo 47 del RGPD establece que la autoridad de control competente aprobará cláusulas contractuales tipo y normas corporativas vinculantes para la autorización de transferencias internacionales de datos en aquellas situaciones en las que no se den las garantías suficientes para la protección de dichos datos. Esta función corresponderá, en España, a la AEPD tal y como establece el artículo 42 del Anteproyecto.
Existen, además, una serie de supuestos de transferencias internacionales, que recoge el artículo 43 del Anteproyecto, y que, como excepción a la regla general, deberán ser autorizados previamente por la AEPD para poder efectuarse al no contar ni con la decisión de adecuación aprobada por la Comisión ni estar amparadas por las cláusulas contractuales ni normas corporativas anteriormente mencionadas:
• Cuando la transferencia pretenda fundamentarse en la aportación de cláusulas contractuales que no correspondan a las clausulas tipo previstas en el artículo 46.2 (letras c y d ) del RGPD.
• Cuando la transferencia se lleve a cabo por alguno de los responsables o encargados a los que se refiere el artículo 77.1 del Anteproyecto y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros estados, en particular a memorandos de entendimiento siempre que los mismos incluyan derechos efectivos y exigibles para los afectados.
Por último, indicar que la normativa actual aplicable obliga a los exportadores de datos a notificar a la AEPD las transferencias cuando se dirigen a países que, o bien disponen del nivel adecuado o, se realizan al amparo de alguna de las excepciones previstas en la LOPD. En el marco del RGPD y Anteproyecto, las transferencias se pueden llevar a cabo sin necesidad de notificación a la autoridad de control, salvo que se amparen en la excepción basada en el interés legítimo imperioso del responsable del tratamiento (artículo 44 del Anteproyecto) y se cumplan los demás requisitos que para este supuesto establece el RGPD en su artículo 49.
Como consecuencia de todo lo anterior y tal y como, acertadamente, indica la AEPD estas modificaciones sustantivas respecto del futuro de las autorizaciones van a facilitar las relaciones comerciales y la cooperación internacional al evitar tener que solicitar la autorización de la Agencia en la mayoría de los casos, pero siempre garantizando los derechos de los afectados en la transmisión de los datos fuera de la UE.