Conociendo el nivel de protección de datos y como atienden a la problemática en Estados Unidos, nos hemos dado cuenta que la cesión de datos de las empresas europeas en general y españolas en concreto, necesitan una revisión.

Cómo es el Sistema actual

En virtud de la Directiva 95/46/CE  (y su transposición por la Ley orgánica 15/1999 española), se exige una autorización de la autoridad nacional, en España es la Agencia Española de Protección de Datos, para transferir datos a un tercer país. Sin embargo, no es necesaria cuando el país ajeno  a la UE tiene un nivel esencialmente equivalente de protección de datos[1] y la comisión se lo reconoce. De hecho la Comisión Europea hasta hoy ha adoptado once decisiones por las que ha declarado que otros tantos países cuentan con un nivel similar de protección de datos y pueden hacerse transferencias sin autorización a: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda.

La Comisión reconoció (Decisión 2000/520/CE) que no era necesaria la autorización para ceder datos a las empresas norteamericanas Micorsoft, Apple, Dropbox, Google, y así hasta 5.478 empresas, que se habían comprometido a cumplir con los principios de puerto seguro o “Safe Harbour”. Este principio de Safe Harbour, recoge siete principios según la directiva 95/46/CE, que deben cumplir las organizaciones que quieran ostentar este calificativo:

  1. Información
  2. Elección
  3. Transferencia progresiva
  4. Seguridad
  5. Integridad de los datos
  6. Acceso
  7. Ejecución
Caso Schrems o como cuestionar el sistema de cesión de datos entre empresas

El Tribunal de Justicia de la Unión Europea (TJUE) se ha cuestionado la validez de la transferencia internacional de datos basada en el “safe Harbour Agreement” debido a una denuncia de un ciudadano austriaco (Schrems) ante la Comisión de Protección de Datos de Irlanda. El ciudadano entendió que Facebook no garantizaba el nivel de protección de datos necesario en la transferencia a EEUU,. La sentencia de 6 de octubre de 2015 (TJUE) declara ilegal la transferencia de datos posterior basada en las normas de puerto seguro.

La sentencia fundamenta la invalidez en:

  • Insuficiente protección;
  • Necesidad de iinaplicación en caso de conflicto con exigencias de seguridad nacional, interés público y cumplimiento de la ley ya que tienen menor relevancia.

La sentencia desmonta el sistema especial que daba cobertura a las transferencias de datos de millones de ciudadanos y empresas europeas con empresas de EEUU.

Alternativas a la luz de la sentencia

La Agencia Española de Protección de Datos no se ha posicionado sobre cuál es la mejor opción y el Grupo 29, qué engloba, entre otros, a las Autoridades de protección de datos de los estados miembros de la UE, ha mostrado su preocupación por el cumplimiento de la sentencia. Las autoridades se han comprometido a adoptar medidas apropiadas y necesarias de aplicación de la ley (enforcement).

Entonces, que hacer?:

Existen dos posibles vías para transferir datos a EEUU:

1 Cláusulas contractuales tipo

Autorización del Director de la Agencia con la aportación de un contrato entre las partes cláusulas contractuales tipo o SCC Que son Cláusulas reguladas en distintas Decisiones dentro de las cuáles cabe destacar la Decisión 2001/497/CE, la Decisión 2004/915/CE así como la Decisión 2010/87/UE. Estas clausulas se utilizan en dos supuestos:

  • Transferencia internacional de datos entre responsables de tratamiento.
  • Transferencia internacional entre un responsable y un encargado de tratamiento.

Asimismo, a pesar de mencionar únicamente datos de carácter personal es posible incluir en ellas cualquier otro dato sobre cuestiones relacionadas con el contrato.

2 “Binding Corporate Rules”

Las “Binding Corporate Rules” (normas internas de cada grupo de empresas) posibilitan la transferencia internacional de datos internos del propio grupo empresarial a condición de que se hubieran adoptado reglas para las empresas conformes al régimen jurídico español. La Resolución de 9 de junio de 2009 afirma que para que se consideren garantía suficiente tienen que contener:

  • Delimitación del ámbito de aplicación (siempre intra grupo).
  • Alcance de transferencias que se pueden llevar a cabo.
  • Incorporación de garantías para el respeto y la protección de la vida privada y el derecho a la protección de datos.
  • El carácter vinculante para las empresas del grupo y la forma de exigirlo conforme al ordenamiento español.

No obstante, hay que tener en cuenta las excepciones que recoge el artículo 34 de la Ley Orgánica de Protección de Datos entre las que se encuentra el consentimiento inequívoco del afectado, las excepciones a este artículo son:

Las excepciones que recoge el artículo son:

a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España;

b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional;

c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios;

d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica;

e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista;

f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado;

g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero;

h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias;

i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;

j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo;

k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado”.

Por otra parte, se prevé que a finales de 2015 se apruebe el nuevo Reglamento Comunitario de protección de datos que tendrá sin duda en cuenta esta decisión.

En conclusión:

Para transferir datos a empresas tanto dentro de la Unión Europa como Norteamericanas, hay dos vías:

  1. incluyendo clausulas contractuales tipo:
  • Transferencia internacional de datos entre responsables de tratamiento.
  • Transferencia internacional entre un responsable y un encargado de tratamiento.
  1. Binding Corporate Rules (normas internas de empresa o grupo empresarial)
Jose María Dutilh

Jose María Dutilh

Socio Director de la Firma de Abogados LeQuid, especializada en Derecho de los Negocios y de las Empresas Sociales, estoy plenamente convencido de que el desarrollo empresarial rentable y eficiente no sólo es compatible sino que necesita la ética empresarial. En la actualidad, desde LeQuid colaboro con empresarios que necesitan una segunda oportunidad a través de estos procesos; Apoyo legal en el día a día, Re emprendimiento socialmente responsable, Fusiones y Adquisiciones, Reestructuración y Refinanciación de empresas o Concurso de acreedores entre otros.

More Posts - Website

Follow Me:
TwitterFacebookLinkedIn

Pin It on Pinterest

Share This