Transferencias internacionales y RGPD: cambios a la vista

Entre las muchas novedades introducidas por el Reglamento General de Protección de Datos (RGPD), el Capítulo V regula las que afectan a las transferencias de datos personales a terceros países u organizaciones internacionales. Este post lo vamos a dedicar a señalar los principales cambios previstos en el RGPD, respecto de la regulación actual compuesta por la LOPD 15/1999 y su reglamento de desarrollo (Real Decreto 1720/2007, RLOPD).

Recordamos, antes de nada, que dichos cambios no serán efectivos hasta el 25/05/2018, fecha a partir de la cual será aplicable el RGPD.

Exportador de datos: tanto el Responsable como el Encargado

La primera novedad relevante consiste en que el RGPD incorpora a su articulado la confirmación de que no sólo pueden realizar transferencias internacionales de datos los Responsables, sino también los Encargados del tratamiento. De esta manera, se convalida la iniciativa de la Agencia Española de Protección de Datos (AEPD), que elaboró un Modelo de cláusulas contractuales para transferencias entre un Encargado establecido en España y un subencargado situado en un tercer país.

30.jpg

 

TI basadas en decisión de adecuación

El RGPD mantiene el criterio ya establecido en la LOPD, por el cual son permitidas las transferencias de datos a terceros países que garanticen un nivel adecuado de protección. No obstante, con el RGPD ya no será necesario notificar la transferencia a la AEPD.

Por otra parte, el RGPD sólo reconoce a la Comisión UE capacidad para otorgar las correspondientes decisiones de adecuación, mientras que el RLOPD también atribuye dicha facultad al Director de la AEPD.

Por último, las decisiones de adecuación adoptadas hasta la fecha por la Comisión mantienen su validez.

TI mediante garantías adecuadas

Es en este tipo de transferencias donde se aprecian los cambios de mayor calado, al ampliar el RGPD el catálogo de garantías habilitantes, y reducir los requisitos formales previstos en la LOPD.

A falta de decisión de adecuación, la LOPD contempla la posibilidad de basar la transferencia en la aportación de garantías adecuadas (consistentes en cláusulas contractuales tipo o en normas corporativas vinculantes),  sujeta a la obtención de autorización previa de la AEPD.

Con el RGPD, las transferencias basadas en las siguientes garantías adecuadas ya no requieren de autorización previa por parte de la AEPD:

-               instrumentos jurídicamente vinculantes entre autoridades públicas;

-               Normas corporativas vinculantes;

-               cláusulas tipo adoptadas por la Comisión;

-               cláusulas tipo adoptadas por una autoridad de control y aprobadas por la Comisión

-               un código de conducta

-               un mecanismo de certificación

Conforme al RGPD, únicamente será necesario obtener la autorización previa de la AEPD, si las garantías aportadas consisten en cláusulas contractuales ad hoc entre exportador/importador, o en acuerdos administrativos entre autoridades públicas.

TI para situaciones específicas

En ausencia de decisión de adecuación o de garantías adecuadas, el art. 49 del RGPD establece un listado de excepciones que habilitan la TI sin necesidad de autorización ni de notificación, de forma muy similar al art. 34 de la LOPD (que sí exigía notificación a la AEPD).

Las 2 novedades principales son:

      -  que el consentimiento del interesado pasa de ser inequívoco (LOPD) a explícito (RGPD), con deber de informarle de los posibles riesgos;

      -  que se permite una transferencia basada en el interés legítimo imperioso del Responsable del tratamiento, siempre que no sea repetitiva, afecte a un número limitado de interesados, no prevalezcan los derechos del interesado y se ofrezcan garantías apropiadas. En este caso, la transferencia debe notificarse a la AEPD.

En resumen y como muestra la siguiente Tabla, podemos concluir que el RGPD facilitará las transferencias internacionales, al reducir los casos que requieren de autorización previa de la autoridad de control  y/o notificación a la misma, y ampliarse las garantías habilitantes. 

 
Tabla post 2.jpg