El Camino de Santiago es una experiencia que recomiendo encarecidamente por numerosas y variadas motivaciones, todas ellas con el mismo nexo de unión,  “el conocimiento de uno mismo como persona”. En este viaje, son múltiples las situaciones vividas. Una de ellas, común en todos los Caminos, es la interacción entre peregrin@s de distintas nacionalidades, de distintas culturas y de distintos credos. Desde una perspectiva empresarial, y abstrayéndonos del principal motivo del Camino,  las posibles interacciones que se podrían dar en caso de hipotéticas relaciones comerciales y/o empresariales con tratamiento de datos personales serían consideradas, en su mayoría como Transferencias Internacionales de Datos (TID). Esta conclusión, que no deja de ser un mero pensamiento de autor, ayuda a plantearse cómo deberíamos de actuar ante TID para conseguir una mayor seguridad jurídica en la protección de datos.

En este sentido, según establece, el Comité Europeo de Protección de Datos (CEPD) en su “Guidelines 07/2022 on certification as a tool for transfers”, versión 2.0 de 14 de febrero de 2023, de conformidad con el artículo 44 del RGPD, cualquier transferencia de datos personales a terceros países u organizaciones internacionales, debe cumplir las condiciones de las demás disposiciones establecidas en el RGPD, además de cumplir con el Capítulo V del RGPD. Por lo tanto, como primer paso, debe garantizarse el cumplimiento de las disposiciones generales del RGPD y, como segundo paso, deben cumplirse las provisiones del Capítulo V.

  • En una primera fase, cada transferencia debe cumplir, entre otras cosas, los principios de protección de datos del artículo 5 del RGPD, ser lícita de conformidad con el artículo 6 del RGPD y cumplir el artículo 9 del RGPD en caso de categorías especiales de datos.
  • En una segunda fase, habrá que identificar los instrumentos de transferencia en los que se está basando, que enumera y prevé el capítulo V del RGPD; artículo 45 del RGPD, decisiones de adecuación y artículo 46 del RGPD, instrumentos de transferencia que contienen las «garantías adecuadas» para que los exportadores pueden utilizar para transferir datos personales a terceros países en ausencia de decisiones de adecuación (cláusulas tipo de protección de datos (CPT); normas corporativas vinculantes (NCV); códigos de conducta; mecanismos de certificación; cláusulas contractuales específicas).

Además, el Tribunal de Justicia de la Unión Europea (TJUE) concluyó en su Sentencia de 16 de julio de 2020, Data Protection Commissioner/Facebook Ireland Limited y Maximillian Schrems, C-311/18, que las transferencias de datos personales a terceros países no puede ser un medio para socavar o reducir la protección otorgada en el EEE y que el nivel de protección en terceros países no tiene por qué ser idéntico al garantizado en el EEE, sino esencialmente equivalente. Indicando que los responsables o encargados del tratamiento, que actúan como exportadores, son responsables de verificar, de manera individualizada y, en su caso, en colaboración con el importador del tercer país, si la legislación o la práctica del tercer país afectan a la eficacia de las garantías apropiadas contenidas en los instrumentos de transferencia del artículo 46 del RGPD, dejando abierta la posibilidad de que los exportadores apliquen medidas complementarias que palíen estas lagunas de protección, a fin de que esta alcance el nivel exigido por el Derecho de la Unión y  subraya que los exportadores tendrán que determinarlas caso por caso.

Todo ello concuerda con el principio de responsabilidad proactiva del artículo 5, apartado 2, del RGPD, que exige que los responsables del tratamiento sean responsables y capaces de demostrar el cumplimiento de los principios del RGPD relativos al tratamiento de datos personales, por lo que deben de:

  • Tratar de respetar el derecho a la protección de datos de manera activa y continua mediante la aplicación de medidas jurídicas, técnicas y organizativas que garanticen su eficacia.
  • Ser capaces de demostrar estos esfuerzos a los interesados, al público en general y a las autoridades de control de la protección de datos.
  • Asegurar un nivel de protección sustancialmente equivalente al garantizado en la Unión por el RGPD.

Pero ¿Cómo saber si debo de aplicar medidas complementarias y cumplir con el principio de responsabilidad proactiva o de rendición de cuentas?

Siguiendo las directrices establecidas por el CEPD en la Guidelines 01/2020, Recomendaciones sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE”, adoptadas el 10 de noviembre de 2020, es necesario un Plan de trabajo con las medidas que deben tomarse para averiguar si el exportador de datos (responsable o encargado del tratamiento) debe instaurar medidas complementarias para poder transferir datos legalmente fuera del EEE.

Hoja de Ruta. Plan de Trabajo. Camino.

  • Paso 1: conocer sus transferencias. Catalogar todas las transferencias de datos personales a terceros países. Comprobar que los datos transferidos sean adecuados y pertinentes y se limiten a lo necesario en relación con los fines para los que se transfieren y tratan en el tercer país. Garantizar el cumplimiento de las disposiciones generales del RGPD en todas las TID
  • Paso 2: determinar los instrumentos de transferencia en los que se está basando. Verificar el instrumento en el que se basa la transferencia de entre los enumerados en el capítulo V del RGPD. Comprobar si existe decisiones de adecuación válidas en virtud del artículo 45 del RGPD. En ausencia de una decisión de adecuación, hay que recurrir a uno de los instrumentos de transferencia enumerados en el artículo 46 del RGPD para las transferencias que sean periódicas y repetitivas. Solo en algunos casos de transferencias ocasionales y no repetitivas podrá acogerse a alguna de las excepciones previstas en el artículo 49 del RGPD, si cumple las condiciones.
  • Paso 3: evaluar si el instrumento de transferencia del artículo 46 del RGPD en el que se está basando es eficaz a la luz de todas las circunstancias de la transferencia. Evaluar si hay algo en la legislación o la práctica del tercer país que pueda afectar a la eficacia de las garantías adecuadas de los instrumentos de transferencia en los que se basa, en el contexto de su transferencia específica. Su evaluación debe centrarse principalmente en la legislación de terceros países que sea pertinente para su transferencia y en el instrumento de transferencia del artículo 46 del RGPD en el que se está basando y que puede socavar su nivel de protección.
  • Paso 4: adoptar medidas complementarias. Determinar y adoptar las medidas complementarias necesarias para que el nivel de protección de los datos transferidos se ajuste a la norma de equivalencia esencial de la UE. Este paso solo es necesario si su evaluación revela que la legislación del tercer país afecta a la eficacia del instrumento de transferencia del artículo 46 del RGPD en el que se basa o al que tiene intención de recurrir en el contexto de su transferencia. En los casos en los que no sea adecuada ninguna medida complementaria, se deberá evitar, suspender o poner fin a la transferencia para no comprometer el nivel de protección de los datos personales.
  • Paso 5: fases del procedimiento si ha determinado medidas complementarias eficaces. Adoptar cualquier fase de procedimiento formal que pueda requerir su medida complementaria, en función del instrumento de transferencia del artículo 46 del RGPD en el que se esté basando.
  • Paso 6: volver a evaluar a intervalos adecuados el nivel de protección de los datos que transfiere a terceros países y supervisar si ha habido o se producirá algún cambio que pueda incidir en él. El principio de responsabilidad proactiva exige una vigilancia continua del nivel de protección de los datos personales.

Esta Hoja de Ruta, este Plan de Trabajo, es una herramienta fundamental como medida de implantación y cumplimiento normativo en materia de protección de datos en tratamientos con transferencias de datos personales a terceros países u organizaciones internacionales, y requiere de un equipo profesional de especialistas que den garantías y seguridad jurídica en todo el proceso, en todo el Camino. Ultreia¡

Antonio Urbano Fernández

Abogado. Economista. Delegado de Protección de Datos.

Abbantia Law Firm