Per Albert Noguer
Les transferències internacionals de dades són, avui dia i en una societat globalitzada, un element clau i imprescindible per a la prestació de serveis. En l’actualitat, amb les millores informàtiques i totes les eines en el núvol, és imprescindible que la regulació de la protecció de dades no deixi desprotegits aquelles dades més enllà de les nostres fronteres comunitàries. Així doncs, podríem dir que la transferència internacional de dades és un dels elements més importants de la llei i, en un futur, potser serà el major.
El Reglament (UE) 2016/679, de 27 d’abril, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE (d’ara endavant, RGPD), que ja vam introduir en l’article anterior, aporta novetats en aquest aspecte. Com a resulta lògic i evident, és necessari un text normatiu que actualitzi i reguli les transferències internacionals de dades personals en una societat tecnològica com l’actual.
Una petita però important novetat és que, després d’aquest RGPD, l’exportador de les dades podrà ser tant el responsable com l’encarregat del tractament. Amb aquesta apreciació, s’elimina la barrera que havien posat alguns Estats Membres en els quals l’exportador havia de ser sempre el responsable.
D’altra banda, l’article 3 RGPD determina que “El present Reglament s’aplica al tractament de dades personals en el context de les activitats d’un establiment del responsable o de l’encarregat en la Unió, independentment que el tractament tingui lloc a la Unió o no”. En resum, gairebé la totalitat de tractaments de dades personals de les nostres dades estaran subjectes a aquest Reglament comunitari.
Aquesta vocació universal de la protecció de dades per part del legislador estatal i comunitari en el RGPD no difereix, en absolut, de l’actual Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal (d’ara endavant, LOPD), ja que el seu article 2 també regula suposats de moviments internacionals de dades de la mateixa forma que la Directiva 95/46/CE.
La diferència radica, doncs, en el règim de funcionament de la transferència internacional de dades.
En l’actualitat, l’article 33.1 LOPD estableix que: “No podran realitzar-se transferències temporals ni definitives de dades de caràcter personal que no proporcionin un nivell de protecció equiparable al que presta la present Llei, tret que, a més d’haver-se observat allò que es disposa en aquesta, s’obtingui autorització prèvia del Director/a de l’Agència Espanyola de Protecció de Dades, que només podrà atorgar-la si obtenen garanties adequades”. El simple fet de demanar autorització administrativa –i esperar l’aprovació de l’AEPD- suposa un gravíssim obstacle administratiu a la circulació de dades i al tràfic mercantil, si bé és cert que l’article 34 LOPD estableix un gran ventall d’excepcions.
El futur RGPD fa un gir de 180 graus, deixant l’autorització administrativa per casos realment excepcionals. En altres paraules, l’autorització administrativa passa de ser la norma general a ser una excepció molt aïllada.
El RGPD estableix un règim basat en:
- Transferències internacionals de dades basades en una decisió d’adequació (article 45 RGPD).
- Transferències mitjançant garanties adequades (article 46 RGPD)
- “Binding corporate rules” (article 47 RGPD)
- Transferències internacionals basades en una decisió d’adequació
L’article 45 RGPD determina que es podrà realitzar una transferència de dades personals a un tercer país o organització internacional, sense cap autorització administrativa prèvia “quan la Comissió hagi decidit que el tercer país, un territori o diversos sectors específics d’aquest tercer país (…) garanteixen un nivell de protecció adequat”.
A dia d’avui, la Comissió ha acceptat la transferència de dades als següents Estats:
| PAÍS | AUTORITZACIÓ |
| Andorra | Decisió 2010/625/UE de la Comissió, de 19 d’octubre del 2010. |
| Argentina | Decisió 2003/490/CE de la Comissió, de 30 de juny del 2003. |
| Canadà | Decisió 2002/2/CE de la Comissió, de 20 de desembre del 2001. |
| Estats Units | Només si l’entitat està adherida al “Privacy Shield”. |
| Guernsey | Decisió 2003/821/CE de la Comissió, de 21 de novembre del 2003. |
| Illa de Man | Decisió 2004/411/CE de la Comissió, de 28 d’abril de 2004. |
| Illes Feroès | Decisió 2010/146/UE de la Comissió, de 5 de març del 2010. |
| Israel | Decisió 2011/61/UE de la Comissió, de 31 de gener del 2011. |
| Jersey | Decisió 2008/393/CE de la Comissió, de 8 de maig del 2008. |
| Nova Zelanda | Decisió 2013/65/UE de la Comissió, de 21 d’agost del 2012. |
| Suïssa | Decisió 2000/518/CE de la Comissió, de 26 de juliol del 2010. |
| Uruguai | Decisió 2012/484/UE de la Comissió, de 21 d’agost del 2012. |
D’altra banda, no hi ha dubte que les decisions adoptades amb anterioritat a l’entrada en vigor del RGPD –la majoria- són vàlides, en virtut de l’article 45.9 RGPD.
En aquest punt cal citar potser la resolució judicial més important que ha adoptat, en matèria de protecció de dades de caràcter personal, el Tribunal de Justícia de la Unió Europea (assumpte C-362/14). Aquest tribunal va considerar il·legal l’acord entre Europa i Estats Units arran d’una filtració d’Edward Snowden. En concret, en la seva nota de premsa posterior a la decisió va determinar que: “El Tribunal de Justícia estima que l’existència d’una Decisió de la Comissió que declara que un país tercer garanteix un nivell de protecció adequat de les dades personals transferides no pot deixar sense efecte ni limitar les facultats de les quals disposen les autoritats nacionals de control en virtut de la Carta dels Drets Fonamentals de la Unió Europea”.
Arran d’aquesta decisió –potser inesperada- del Tribunal de Justícia de la Unió Europea, la Comissió Europea i els Estats Units van arribar a un acord, 8 mesos després, pel qual es considera que aquelles organitzacions que estan adscrites al “Privacy Shield”, compleixen a prori l’adequació exigida.
- Transferències internacionals mitjançant garanties adequades
A diferència de l’actual LOPD, el RGPD preveu que es podran efectuar transferències a tercers països o organitzacions que no comptin amb el vistiplau de la Comissió Europea si es compleixen unes determinades garanties taxades reglamentàriament. En aquestes ocasions tampoc és necessària l’autorització administrativa de l’autoritat de control (a Espanya, l’Agència Espanyola de Protecció de Dades).
En resum, l’article 46 RGPD preveu que, en els casos indicats reglamentàriament, s’entendrà –iuris tantum, en la majoria de supòsits- que la transferència té garanties adequades com les que es realitzarien dins del territori comú.
- “Binding corporate rules” o normes corporatives vinculants
El RGPD també preveu el supòsit dels grups empresarials amb empreses en diferents països (ex. Espanya – Perú). Seria lògic que empreses del mateix grup no es poguessin traspassar determinada informació o que s’hagi de demanar autorització administrativa? Com podem regular aquest supòsit?
El legislador comunitari ha entès que una forma per fer-ho és mitjançant les “Binding corporate rules” o normes corporatives vinculants. En aquest sentit, l’article 47 RGPD estableix que l’autoritat de control aprovarà normes corporatives de caràcter vinculant a les quals es podran unir els grups d’empreses, permetent salvaguardar la transferència de dades.
És important destacar que és la primera vegada que, en matèria de protecció de dades, les “Binding corporate rules” tenen rang legal, perquè el Grup de Treball de l’Article 29 (d’ara endavant, GT 29, que és un òrgan consultiu creat per la Directiva 95/46/CE i integrat dins de les Autoritats de Protecció de Dades de tots els països membres) ja les va adoptar temps enrere i ha anat actualitzant els seus posicionaments.
Els elements imprescindibles de les futures normes corporatives vinculants tindran tres requisits essencials. El primer d’ells és que són jurídicament vinculants i han de ser complertes per tots els membres del grup empresarial o unió d’empreses. A més, han de conferir als interessats drets exigibles i, finalment, han de complir unes formalitats taxades en l’article 47.2 RGPD.
En últim lloc, el RPGD preveu en el seu article 49 en quins supòsits es podran moure les dades personals de forma internacional sense complir cap de les tres situacions anteriors (ex. consentiment després de ser informat dels riscos, transferència necessària per a l’execució d’un contracte, per interès públic, etc.).
Com veiem, el RGPD és el resultat d’un avanç legislatiu de l’antiga legislació comunitària, endinsant-se en un món completament global i digitalitzat. Les transferències internacionals de dades són la peça clau que pivoten el gir de paradigma d’aquest Reglament: d’una banda, busquen la protecció de l’individu i, per una altra, el correcte tràfic mercantil d’una societat i economia del segle XXI.