Transferencia de Datos a Terceros Países

Este elemento es un complemento de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema.

Tal como constató la Comisión Europea en su Comunicación de 27 de noviembre de 2013, (2) «las transferencias de datos personales son un elemento importante y necesario de la relación transatlántica. Forman parte integrante de los intercambios comerciales entre ambos lados del Atlántico, incluidos los relacionados con los nuevos sectores digitales en crecimiento, tales como las redes sociales o la computación en nube, que implican la transferencia de grandes cantidades de datos de la UE a Estados Unidos».

Los intercambios comerciales son objeto de la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos. Dicha Decisión proporciona una base jurídica para la transferencia de datos personales desde la Unión a empresas establecidas en Estados Unidos que operan conforme al régimen de puerto seguro.

Directiva Europea sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales y a su libre circulación

La Directiva sobre el tratamiento de los datos personales (Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281,p. 31) dispone que en principio solo se pueden transferir dichos datos a un país tercero si éste garantiza un nivel de protección adecuado de dichos datos. También conforme a la Directiva, la Comisión puede declarar que un país tercero garantiza un nivel de protección adecuado en razón de su legislación interna o de sus compromisos internacionales.

Detalles

Por último, la Directiva determina que cada Estado miembro debe designar una o varias autoridades públicas encargadas de controlar la aplicación en su territorio de las disposiciones nacionales adoptadas sobre la base de la Directiva, llamadas dichas autoridades con el nombre de «autoridades nacionales de control»).

La Directiva 95/46/CE prevé, en su capítulo IV, normas relativas a la transferencia de datos personales a países terceros. En dicho capítulo, el artículo 25, apartado 1, de la citada Directiva establece el principio según el cual la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente puede efectuarse cuando el país tercero de que se trate garantice un nivel de protección adecuado.

A sensu contrario, por tanto, tal como señala el legislador de la Unión en el considerando 57 de dicha Directiva, cuando un país tercero no ofrezca un nivel de protección adecuado debe prohibirse la transferencia al mismo de datos personales.

En virtud del artículo 25, apartado 2, de la Directiva 95/46, «el carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países».

De acuerdo con el 25, apartado 6, de esta misma Directiva, la Comisión podrá hacer constar que un país tercero garantiza un nivel de protección adecuado de los datos personales a la vista de su legislación interna o de sus compromisos internacionales. Desde el momento en que la Comisión adopte una Decisión en este sentido, podrá efectuarse la transferencia de datos personales al país tercero de que se trate.

En aplicación de dicha disposición, la Comisión adoptó la Decisión 2000/520. Del artículo 1, apartado 1, de dicha Decisión, resulta que se considerará que «los principios de puerto seguro», aplicados de conformidad con la orientación que proporcionan las «preguntas más frecuentes», (FAQs) garantizan un nivel de protección adecuado de los datos personales transferidos desde la Unión a entidades establecidas en Estados Unidos. En consecuencia, la Decisión 2000/520 autoriza la transferencia de datos personales desde los Estados miembros a empresas establecidas en Estados Unidos que se han comprometido a respetar los principios de puerto seguro.

La Decisión 2000/520 establece, en su anexo I, determinados principios a los que se pueden adherir voluntariamente las empresas, acompañados de ciertos límites y de un sistema de control específico.Entre las Líneas En 2013 eran más de 3.200 las empresas que se habían adherido a lo que puede calificarse como «código de conducta».

Por otro lado, la facultad de las autoridades competentes de los Estados miembros de suspender los flujos de datos está sujeta a varios requisitos previstos en el artículo 3, apartado 1, de la Decisión 2000/250.

Sentencia de la Unión Europea sobre Transferencia de Datos Personales a Terceros Países

El Sr. Maximillian Schrems, ciudadano austriaco, es usuario de Facebook desde 2008. Como
ocurre con los demás usuarios que residen en la UE, los datos proporcionados por el Sr. Schrems a Facebook se transfieren total o parcialmente de la filial irlandesa de dicha red social a servidores situados en territorio de los Estados Unidos, donde son objeto de tratamiento. El Sr. Schrems presentó una denuncia ante la autoridad irlandesa de control, considerando que, a la luz de las revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos (en particular, la National Security Agency o «NSA»), la normativa y la práctica de Estados Unidos no garantizaban una protección suficiente de los datos transferidos a ese país frente a las actividades de vigilancia por las autoridades públicas. La autoridad irlandesa desestimó esa reclamación debido en particular a que, en su Decisión de 26 de julio de 2000 (Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América, DO L 215, p. 7), la Comisión había considerado que, en el marco del régimen denominado de «puerto seguro» (el régimen de puerto seguro incluye una serie de principios relativos a la protección de datos personales a los que las empresas estadounidenses pueden suscribirse voluntariamente), Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos.

La High Court de Irlanda (Tribunal Supremo irlandés), que conoce del asunto, desea saber si esa
decisión de la Comisión impide a una autoridad nacional de control investigar una denuncia en la que se alega que un país tercero no garantiza un nivel de protección adecuado y, en su caso,
suspender la transferencia de datos denunciada.

En su sentencia, el Tribunal de Justicia estima que la existencia de una Decisión de
la Comisión que declara que un país tercero garantiza un nivel de protección adecuado de los
datos personales transferidos no puede dejar sin efecto ni limitar las facultades de las que
disponen las autoridades nacionales de control en virtud de la Carta de los Derechos
Fundamentales de la Unión Europea y de la Directiva. El Tribunal de Justicia destaca en ese
sentido el derecho a la protección de los datos personales garantizado por la Carta y la función
que ésta atribuye a las autoridades nacionales de control.

El Tribunal de Justicia de la Unión Europea considera ante todo que ninguna disposición de la Directiva impide que las autoridades nacionales controlen las transferencias de datos personales a terceros países que hayan sido objeto de una decisión de la Comisión. (Tal vez sea de interés más investigación sobre el concepto). Por tanto, incluso ante una Decisión de la Comisión, las autoridades nacionales de control, ante las que se haya presentado una solicitud, deben poder apreciar con toda independencia si la transferencia de los datos de una persona a un país tercero cumple las exigencias establecidas por la Directiva.

No obstante, el Tribunal de Justicia recuerda que es exclusivamente competente para declarar la invalidez de un acto de la Unión –como una decisión de la Comisión. (Tal vez sea de interés más investigación sobre el concepto).

Una Conclusión

Por consiguiente, cuando una autoridad nacional de control o bien la persona que haya presentado una solicitud a ésta consideren que una decisión de la Comisión es inválida, esa autoridad o esa persona deben poder acudir ante los tribunales nacionales para que, en caso de que éstos también duden de la validez de la decisión de la Comisión, puedan plantear una cuestión prejudicial al Tribunal de Justicia. Así pues, corresponde en último término al Tribunal de Justicia decidir si una decisión de la Comisión es válida o no.

El Tribunal de Justicia examina seguidamente la validez de la Decisión de la Comisión de 26 dejulio de 2000, que declara inválida, y cuyas conclusiones se encuentran aquí.

Consecuencias de la Sentencia

Quizás la reacción más inmediata es que las empresas de Estados Unidos que tengan sede en Europa optarán por legitimar la transferencia de datos personales hacia su país de la sede. Para ello, es probable que muchas de ellas recaben el consentimiento inequívoco del usuario para realizar esa transferencia de datos. Habrá que ver si existe una opción para que el usuario pueda consentir con verdadera libertad y optar por otra solución.

Facebook, como Google, Apple y muchas otras empresas digitales americanas están obligadas por la Patriot Act, la ley de seguridad de Estados Unidos que permite a la NSA requerir información.

En un comunicado sobre la sentencia europea, la Agencia Española de Protección de Datos sostiene que, con ella, se “reafirman la importancia de la intimidad y la protección de datos, derechos fundamentales que deben gozar de las mayores garantías posibles”.

Más Información

Los organismos estatales de protección de datos “han planificado actuaciones de coordinación” para analizar la sentencia, con objeto de que se aplique de manera “consistente” en todos los países de la UE. La Agencia de Protección de Datos reafirma que las autoridades europeas “ya observaron deficiencias en el Puerto Seguro” y así lo plasmaron en “cartas y dictámenes”.

Conclusiones del Abogado General sobre la Sentencia

En sus conclusiones, presentadas el 23 de septiembre de 2015, el letrado considera que un Estado de la Unión Europea podría suspender la transferencia de datos de carácter personal a un tercero si las autoridades nacionales consideran que no es un puerto seguro y que su protección está en duda.

Además, el Abogado General ha sugerido al Tribunal que declare nula la Directiva por la que se considera que Estados Unidos es un puerto seguro para el almacenaje de datos personales de los ciudadanos europeos.

Esto es parte de su argumentación:

• El Sr. Schrems interpuso un recurso ante la High Court contra la decisión del comisario de archivar su denuncia. Tras haber examinado las pruebas aportadas en el procedimiento principal, dicho órgano jurisdiccional constató que la vigilancia electrónica y la interceptación de datos personales responden a finalidades necesarias e indispensables para el interés público, a saber, el mantenimiento de la seguridad nacional y la prevención de delitos graves. La High Court observó, a este respecto, que la vigilancia e interceptación de los datos personales transferidos desde la Unión a Estados Unidos sirven a objetivos legítimos relacionados con la lucha contra el terrorismo.
• Según dicho órgano jurisdiccional, las revelaciones efectuadas por el Sr. Snowden demostraron, sin embargo, que la NSA y otros organismos similares habían cometido excesos considerables. Si bien la Corte de Vigilancia de Inteligencia Extranjera o Foreign Intellingence Surveillance Court («FISC»), que interviene en el marco de la Foreign Intelligence Surveillance Act (Ley relativa a la vigilancia de los servicios de inteligencia extranjeros (referido a las personas, los migrantes, personas que se desplazan fuera de su lugar de residencia habitual, ya sea dentro de un país o a través de una frontera internacional, de forma temporal o permanente, y por diversas razones) de 1978), (véase el artículo 702 de dicha Ley, en su versión modificada por la Ley de 2008 (Foreign Intelligence Surveillance Act of 2008).Entre las Líneas En virtud de dicho artículo la NSA posee una base de datos conocida con el nombre de «PRISM» (véase el «Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection», de 27 de noviembre de 2013)) lleva a cabo tareas de supervisión, el procedimiento que se sustancia ante dicho órgano es secreto y no contradictorio.
  

  Otros Elementos

  Por otro lado, al margen de que las decisiones relativas al acceso a los datos personales deberían adoptarse sobre la base del Derecho estadounidense, los ciudadanos de la Unión no tendrían ningún derecho a ser oídos en relación con la cuestión de la supervisión y la interceptación de sus datos.

• De los voluminosos documentos que acompañan a las declaraciones juradas efectuadas en el procedimiento principal se desprende que no se ha cuestionado la exactitud de buena parte de las revelaciones del Sr. Snowden.
  

  Una Conclusión

  Por consiguiente, la High Court concluyó que una vez que se transfieren datos personales a Estados Unidos, la Agencia Nacional de Seguridad (NSA) y otras agencias de seguridad estadounidenses, tales como el Federal Bureau of Investigation (FBI), pueden acceder a dichos datos en el marco de una vigilancia e interceptación masivas indiscriminadas.

• Por consiguiente, la High Court indica que, si el caso de autos debiera analizarse exclusivamente a la luz del Derecho irlandés, se plantearía un problema de considerable envergadura en lo que concierne a la cuestión de si Estados Unidos «ofrece un nivel de protección adecuado de la intimidad y de los derechos y libertades fundamentales de las personas», en el sentido del artículo 11, apartado 1, de la Ley de protección de datos. De ello se desprende que, con arreglo al Derecho irlandés, y en particular, a sus criterios constitucionales, el comisario no habría podido archivar la denuncia del Sr. Schrems, sino que tendría que haberla examinado.
• Sin embargo, la High Court constata que el asunto de que conoce versa sobre la aplicación del Derecho de la Unión en el sentido del artículo 51, apartado 1, de la Carta, de manera que la legalidad de la decisión del comisario debe apreciarse con arreglo al Derecho de la Unión.
• La High Court precisa, además, que en el recurso de que conoce, no se formula imputación alguna en relación con las actuaciones de Facebook Ireland ni de Facebook USA en cuanto tales.
• La High Court recalca (…) que (…) se censura (…) que la Comisión haya considerado que la legislación y la práctica estadounidenses en materia de protección de datos ofrecen una protección adecuada, pese a que las revelaciones del Sr. Snowden ponen claramente de manifiesto que las autoridades estadounidenses pueden acceder de un modo masivo e indiferenciado a datos personales de la población residente en territorio de la Unión. (Tal vez sea de interés más investigación sobre el concepto). La High Court indica, a este respecto, que el principal motivo de recurso invocado por el demandante consiste en que, a la luz de las recientes revelaciones del Sr. Snowden y del hecho de que se han suministrado datos personales a los servicios de inteligencia estadounidenses a gran escala, el comisario no podía concluir que en Estados Unidos existe un nivel adecuado de protección.
• En estas circunstancias, la High Court decidió suspender el procedimiento y plantear al Tribunal de Justicia ciertas cuestiones prejudiciales.

Análisis de las Cuestiones Prejudicales Planteadas

• Mediante las dos cuestiones prejudiciales planteadas, la High Court irlandesa solicita al Tribunal de Justicia que precise cuáles son las facultades que tienen atribuidas las autoridades de control nacionales en el marco de la resolución de una denuncia relativa a una transferencia de datos de carácter personal a una empresa establecida en un tercer país en la que se alega como fundamento que dicho tercer país no ofrece una protección adecuada a los datos transmitidos, aun cuando la Comisión haya adoptado, sobre la base del artículo 25, apartado 6, de la Directiva 95/46, una decisión en la que reconoce que dicho tercer país garantiza un nivel de protección adecuado.
• Cabe observar que la denuncia del demandante ante el comisario encierra una doble dimensión. (Tal vez sea de interés más investigación sobre el concepto). Por un lado, censura la transferencia de datos de carácter personal efectuada de Facebook Ireland a Facebook USA. El demandante solicita que se ponga fin a dicha transferencia en la medida en que, en su opinión, Estados Unidos no ofrece un nivel de protección adecuado de los datos de carácter personal que se transfieren en el marco del régimen de puerto seguro. Más concretamente, reprocha a dicho país tercero que haya creado el programa PRISM que permite a la NSA acceder libremente a los datos almacenados en masa en servidores situados en Estados Unidos.Entre las Líneas En este sentido, la denuncia versa específicamente sobre las transferencias de datos personales de Facebook Ireland a Facebook USA, al tiempo que cuestiona en términos más generales el nivel de protección garantizado con respecto a tales datos en el marco del régimen de puerto seguro.
• El comisario consideró que la misma existencia de una decisión de la Comisión por la que se declara que Estados Unidos ofrece, en el marco del régimen de puerto seguro, un nivel de protección adecuado, le impedía investigar dicha denuncia.
• Por consiguiente, conviene examinar conjuntamente las dos cuestiones mediante las que se pretende, en sustancia, determinar si el artículo 28 de la Directiva 95/46, a la luz de los artículos 7 y 8 de la Carta, debe interpretarse en el sentido de que la existencia de una decisión adoptada por la Comisión en virtud del artículo 25, apartado 6, de dicha Directiva, tiene por efecto impedir que una autoridad de control nacional investigue una denuncia en la que se alega que un país tercero no ofrece un nivel de protección adecuado para los datos de carácter personal transferidos y, en su caso, suspenda la transmisión de dichos datos.
• Sobre las facultades de las autoridades de control nacionales en caso de existencia de una decisión de adecuación de la Comisión, consulte también la entrada sobre libre circulación de datos y las autoridades de control nacional en esta Enciclopedia Jurídica. Sobre la validez de la Decisión 2000/520, véase aquí.
• Por otro lado, resulta de la jurisprudencia del Tribunal de Justicia que la comunicación de datos personales a un tercero, ya sea una entidad pública o privada, lesiona el derecho al respeto de la vida privada de los interesados, «sea cual fuere la utilización posterior de los datos comunicados de este modo» (C‑293/12 y C‑594/12, EU:C:2014:238).
  

  Otros Elementos

  Además, en su sentencia Digital Rights Ireland y otros, (Apartado 35) el Tribunal de Justicia confirmó que el hecho de autorizar el acceso de las autoridades nacionales competentes a dichos datos constituye una injerencia adicional y distinta en ese derecho fundamental (Apartado 36).

  Basado en la experiencia de varios autores, mis opiniones y recomendaciones se expresarán a continuación:

  Otros Elementos

  Además, toda forma de tratamiento de datos personales está incluida en el alcance del artículo 8 de la Carta y constituye una injerencia en el derecho a la protección de datos de carácter personal (Apartado 7, letra b), de la resolución de remisión).

• El acceso que los servicios de inteligencia estadounidenses tienen a los datos transferidos es, por consiguiente, también constitutivo de una injerencia en el derecho fundamental a la protección de datos personales garantizado por el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, por cuanto que tal acceso constituye un tratamiento de dichos datos.
• Tal y como constató el Tribunal de Justicia en dicha sentencia, la injerencia detectada resulta de gran magnitud y debe considerarse especialmente grave, habida cuenta del elevado número de usuarios afectados y de las cantidades de datos transferidos. Dichos elementos, asociados al carácter secreto del acceso por parte de las autoridades estadounidenses a los datos personales transferidos a empresas establecidas en Estados Unidos, hacen que la injerencia resulte sumamente grave.
• A ello se añade la circunstancia de que los ciudadanos de la Unión, usuarios de Facebook, no están informados de que las agencias de seguridad estadounidenses podrán acceder de manera general a sus datos personales.
• Conviene asimismo hacer hincapié en que el órgano jurisdiccional remitente declaró que, en Estados Unidos, los ciudadanos de la Unión no tienen un derecho efectivo a ser oídos en relación con la vigilancia y la interceptación de sus datos. Pese a que el Tribunal de Vigilancia de Inteligencia Extranjera competente ejerce cierta supervisión, el procedimiento que se sustancia ante ella es secreto y no contradictorio (Véase, en este sentido, la sentencia Digital Rights Ireland y otros, C‑293/12 y C‑594/12, EU:C:2014:238, apartados 39 y 40). Considera el Abogado General que en este caso se trata de una injerencia en el derecho de los ciudadanos de la Unión a la tutela judicial efectiva amparado por el artículo 47 de la Carta de los Derechos Fundamentales de la Unión Europea.
• Véase también el análisis de la Justificación y Proporcionalidad de la Injerencia llevada a cabo en esta Enciclopedia, que recoge diversos argumentos del Abogado General.

Otros Argumentos del Abogado General

• Cabe recordar que una decisión adoptada por la Comisión en base a dicha disposición tiene por objeto hacer constar que un país tercero «garantiza» un nivel de protección adecuado de los datos personales que son transferidos a dicho país tercero. El término «garantiza», conjugado en presente de indicativo, implica que, para que se pueda mantener, tal decisión debe referirse a un país tercero que, tras la adopción de dicha decisión, siga garantizando un nivel de protección adecuado.
• Según el considerando 57 de la Directiva 95/46, «cuando un país tercero no ofrezca un nivel de protección adecuado debe prohibirse la transferencia al mismo de datos personales».
• En virtud del artículo 25, apartado 4, de dicha Directiva, «cuando la Comisión compruebe, con arreglo al procedimiento establecido en el apartado 2 del artículo 31, que un tercer país no garantiza un nivel de protección adecuado con arreglo al apartado 2 del presente artículo, los Estado miembros adoptarán las medidas necesarias para impedir cualquier transferencia de datos personales al tercer país de que se trate».
  

  Otros Elementos

  Además, el artículo 25, apartado 5, de la Directiva 95/46 dispone que «la Comisión iniciará en el momento oportuno las negociaciones destinadas a remediar la situación que se produzca cuando se compruebe este hecho en aplicación del apartado 4».

• De esta última disposición resulta que, en el sistema establecido por el artículo 25 de la Directiva 95/46, las negociaciones entabladas con un país tercero tienen por objeto subsanar la falta de adecuación del nivel de protección constatada de conformidad con el procedimiento previsto en el artículo 31, apartado 2, de dicha Directiva.Entre las Líneas En el caso de autos, la Comisión no hizo constar expresamente, de conformidad con dicho procedimiento, que el régimen de puerto seguro ya no garantizaba un nivel de protección adecuado.
  

  Puntualización

  Sin embargo, la decisión de la Comisión de entablar negociaciones con Estados Unidos, se debió, sin duda, a que previamente consideró que el nivel de protección garantizada por dicho país tercero ya no era adecuado.

• Si bien tenía conocimiento de la existencia de disfunciones en la aplicación de la Decisión 2000/520, la Comisión ni la suspendió ni la adaptó, lo que dio lugar a la violación continuada de los derechos fundamentales de las personas cuyos datos de carácter personal fueron y siguen siendo transferidos en el marco del régimen de puerto seguro.
• Pues bien, el Tribunal de Justicia ya ha declarado, si bien en otro contexto, que corresponde a la Comisión velar por que se adapte la normativa a los nuevos datos. Si bien el Tribunal de Justicia consideró en su sentencia T. Port (C‑68/95, EU:C:1996:452) que «el Tratado no ha previsto la posibilidad de una remisión mediante la cual un órgano jurisdiccional nacional pueda solicitar al Tribunal de Justicia que declare con carácter prejudicial la omisión de una Institución» (apartado 53), aparentemente adoptó una postura más favorable frente a dicha posibilidad en su sentencia Ten Kate Holding Musselkanaal y otros (C‑511/03, EU:C:2005:625), apartado 29.

Transferencia Internacional de Datos Europeos

Este elemento es un complemento de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema.

Puede darse alguno de los siguientes supuestos:

▷ Noticias internacionales de hoy (abril, 2024) por nuestros amigos de la vanguardia:

• EE.UU. veta el ingreso de Palestina como miembro de pleno derecho en la ONU
• EE.UU. acepta que Israel ataque Rafah si contiene su represalia a Irán
• Detienen a un hombre por apuñalar a dos niñas en el noreste de Francia
• El ultraderechista alemán Björn Höcke, a juicio por utilizar un lema nazi
• Israel negocia con EE.UU. entrar en Rafah a cambio de contención contra Irán

Los destinatarios de los datos se encuentren en un País, un territorio o uno o varios sectores específicos de ese país u organización internacional que haya sido declarado de nivel de protección adecuado por la Comisión Europea

Esta transferencia no requerirá ninguna autorización específica.Entre las Líneas En el mismo artículo se indican los elementos que la Comisión tendrá en cuenta para evaluar la adecuación del nivel de proteción. (Tal vez sea de interés más investigación sobre el concepto). Además se establece un mecanismo de revisión periódica al menos cada 4 años, y si se considera que ya no se garantiza un nivel adecuado, se podrá derogar, modificar o suspender en la medida necesaria y sin efecto retroactivo. Hasta la fecha los países y territorios que están declarados como adecuados son los siguientes:

Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000
Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la norma (generalmente por los organismos y autoridades públicas, incluido las fuerzas y cuerpos de seguridad y orden público) canadiense de protección de datos
Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003
Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003
Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004
Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008
Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010
Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010
Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011
Uruguay. Decisión 2012/484/UE, de la Comisión de 21 de agosto de 2012.
Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012
Estados Unidos. Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016.Entre las Líneas En la página web del Escudo de Privacidad (Privacy Shield) se encuentra una relación actualizada de las entidades certificadas.

A falta de decisión de adecuación, con garantías

Deben darse las siguientes garantías, sin que se requiera ninguna autorización expresa de autoridad de control:

• Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
• Normas corporativas vinculantes o BCR.
• Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
• Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.
• Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.
• Cláusulas tipo de protección de datos adoptadas por la Comisión que siguen siendo válidas

Las cláusulas tipo de protección de datos adoptadas por la Comisión, a la que se ha hecho referencia en el último punto, se encuentran en:

• Decisión 2001/497/CE, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales entre responsables del tratamiento a un tercer país, y
• Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo

Siempre que exista una autorización de la Agencia Española de Protección de Datos, las garantías adecuadas se podrán aportar mediante:

• cláusulas contractuales entre el responsable o el encargado y el responsable, y el encargado y subencargado, que no hayan sido adoptadas por la Comisión Europea, o
• disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

Las autorizaciones otorgadas previamente a la aplicación del RGPD seguirán siendo válidas, hasta que hayan sido modificadas, sustituidas o derogadas en caso necesario por la autoridad de control

A falta de decisión de adecuación y de garantías, si se cumplen algunas de las siguientes condiciones

Así, únicamente se podrán realizar si se cumplen algunas de las siguientes condiciones:

• El interesado haya dado explícitamente su consentimiento, tras haber sido informado de los posibles riesgos para él debido a la ausencia de decisión de adecuación y de garantías (no serán aplicable a las actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos).
• La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado (no serán aplicable a las actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos).
• La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica (no serán aplicable a las actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos).
• La transferencia sea necesaria por razones importantes de interés público reconocido por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.
• La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
• La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
• La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero solo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta. No abarcará la totalidad de los datos personales ni categorías enteras de datos personales contenidos en el registro. Si la finalidad del registro es la consulta por parte de personas que tengan un interés legítimo, la transferencia solo se efectuará a solicitud de dichas personas o si estas han de ser las destinatarias.

Cuando tampoco sea aplicable ninguna de estas excepciones, solo se podrá llevar a cabo una transferencia si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofrezca garantías apropiadas con respecto a la protección de datos personales.Entre las Líneas En este supuesto el responsable del tratamiento informará a la autoridad de control de la transferencia.

Observación

Además de la información a que hacen referencia los artículos 13 y 14 del RGPD, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos.

En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el Derecho de la Unión o de los Estados miembros podrá, por razones importantes de interés público, establecer expresamente límites a la transferencia de categorías específicas de datos a un tercer país u organización internacional. Los Estados miembros notificarán a la Comisión dichas disposiciones.

En España, el artículo 48 del RGPD señala expresamente que “cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales, únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la Unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo”.

La autorización quedará sometida a la emisión por el Comité Europeo de Protección de Datos del dictamen al que se refieren los artículos nacionales correspondientes (en España: 64.1.e), 64.1.f) y 65.1.c) del RGPD).

▷ Esperamos que haya sido de utilidad. Si conoce a alguien que pueda estar interesado en este tema, por favor comparta con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.