Las transferencias internacionales de datos es uno de los puntos más controvertidos y discutidos de las normativas europeas de protección. El Reglamento General de Protección de Datos sienta las bases para actuar en este tipo de operativas, hoy estratégicas para muchas compañías y organizaciones. Se trata de un conocimiento de gran importancia para los profesionales de la protección de datos.

Debemos partir de lo siguiente: el Reglamento General de Protección de Datos (RGPD), naturalmente, admite la transferencia de datos más allá de las fronteras de la Unión Europea. ¿Qué condición debe cumplirse obligatoriamente? Básicamente, la Comisión debe entender que el territorio de destino (incluyendo a las organizaciones o estructuras productivas que demandan la transferencia) pueda garantizar el adecuado nivel de protección.

Incluso, el artículo 45 del nombrado Reglamento General de Protección de Datos reduce todo el problema de las autorizaciones si se cumplen tales niveles de protección. Ahora bien, ¿y si no existe el concepto favorable de la Comisión? El equipo o el profesional al frente de la responsabilidad sobre la protección de los datos podría tomar la decisión de permitir la transferencia internacional a un tercer territorio o país, pero debe también garantizarse que los dueños de esos datos podrán ejercer sus derechos o, en su defecto, realizar cualquier acción legal necesaria para salvaguardarlos (es lo que podemos encontrar en el artículo 46, por ejemplo).

Sin embargo, la pregunta que surge con frecuencia es cómo estructurar y presentar las garantías necesarias en el citado tercer país o territorio. La respuesta tiene varios factores a considerar. En primer lugar, debe articularse una herramienta jurídica vinculante que resulte efectiva ante las autoridades competentes.

En segundo lugar, necesitaremos normativas internas y códigos de conducta traducidos en culturas corporativas coherentes con el artículo 40 (garantía a los derechos por parte del responsable de proteger los datos en el país de destino) y 47. Al hilo de lo anterior, es necesaria la incorporación de cláusulas protectoras “homologables” a las aprobadas en la Comisión.

Por supuesto, la autoridad competente española, la Agencia Española de Protección de Datos (AEPD), también orienta sobre la importancia de implementar los mecanismos de certificación, donde puedan verificarse los derechos de los interesados.

Es importante, igualmente, explicar que la transferencia podrá realizarse (inclusive sin el establecimiento claro de todas las garantías) únicamente si existe el consentimiento explícito del interesado, luego de ser exhaustivamente informado de los riesgos que entraña una operación de transferencia de datos que no cuenta con todas las verificaciones.

Este extremo se extiende a situaciones donde dicha transferencia es necesaria para la ejecución de servicios o contratos entre las partes, también cuando esa ejecución involucra a un tercero (físico o jurídico).

Existen otros supuestos importantes, donde la transferencia internacional de datos debería ser posible, por ejemplo, cuando existe un claro interés público o es necesario el desarrollo de procedimientos legales, reclamaciones, etc. Estos escenarios comprenden momentos donde la transferencia es necesaria para proteger los derechos de un sujeto (físico o jurídico) que por algún motivo no puede otorgar su consentimiento.

En relación a estas cuestiones cabe destacar que la transferencia internacional de datos sigue siendo posible aunque no se cumplan las condiciones anteriormente nombradas, siempre y cuando sea puntual y no implique a un gran número de afectados. En esos casos, el profesional o equipo responsable del tratamiento puede generar y ofrecer las garantías necesarias para lograr una protección de datos acorde con las normativas de la Unión Europea y los estados miembros.
En este caso, el citado responsable del tratamiento tendrá que informar a la autoridad competente, en nuestro caso la Agencia Española de Protección de Datos (AEPD), como a los interesados.

Los procedimientos e implicaciones de las transferencias internacionales de datos desde el territorio donde rige el Reglamento General de Protección de Datos (RGPD) hasta un tercer país o territorio es una de las cuestiones estudiadas en el programa superior en protección de datos puesto en marcha por la UNED (Universidad Nacional de Educación a Distancia) y la AEPD.