Transferencias internacionales: qué obligaciones conllevan para las empresas

Una transferencia internacional es un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo. Así, cuando una empresa situada en territorio español contrata cualquier tipo de software o servicio en la nube cuyo proveedor se encuentre situado fuera del Espacio Económico Europeo (por ejemplo, Estado Unidos), estará realizando transferencias internacionales de datos personales.

Por esta razón, el uso de determinadas herramientas cloud por parte de las empresas españolas (como los servicios de almacenamiento de Google, el uso de Gmail o de MailChimp), conlleva la necesidad de adoptar garantías adicionales en materia de protección de datos. Ante el generalizado desconocimiento de estas obligaciones, desde el departamento legal de MICROLAB hemos realizado un decálogo de las principales particularidades que conlleva la realización de estas transferencias internacionales de datos.

1. Identifica el país de destino

No en todas las ocasiones es evidente la ubicación del proveedor del servicio, pues puede prestar el servicio a través de terceros como empresas filiales. Es esencial que, de forma previa a la contratación, se revise el contrato o licencia de software para conocer con exactitud la identidad y ubicación del prestador, así como la ubicación de los servidores donde se alojará la información de la empresa.

2. Identificación de las garantías aportadas por el proveedor

Para garantizar un nivel adecuado de protección de datos, el Reglamento General de Protección de Datos exige la asunción de determinadas garantías por parte del responsable en el momento de realizar una transferencia internacional. Este nivel de adecuación se entenderá adoptado cuando el proveedor se encuentre en un país o territorio que haya sido declarado de nivel de protección adecuado por la Comisión Europea. Esta lista de países se puede encontrar actualizada en la página web de la Agencia Española de Protección de Datos y comprende países como Suiza, Reino Unido o Japón.

En caso de que el país de destino no haya sido declarado de nivel de protección adecuado por la Comisión Europea, el RGPD prevé otros mecanismos o garantías, como las normas corporativas vinculantes o las cláusulas tipo de protección de datos adoptadas por la Comisión Europea (su última versión con fecha 4 de junio de 2021). En cualquier caso, será necesario determinar las garantías aportadas por el proveedor en el contrato de licencia.

3. Autorización expresa de la AEPD

Será necesario contar con una autorización expresa de la Agencia Española de Protección de Datos cuando la aportación de garantías adecuadas se realice mediante cláusulas contractuales que no hayan sido adoptadas por la Comisión Europea o por la Agencia Española de Protección de Datos o, en su caso, por disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para las personas interesadas.

4. Cumplimiento del deber de información

Además de adoptar garantías necesarias en la transferencia, será necesario cumplir el deber de información con los interesados. En consecuencia, se deberá incluir en todas las cláusulas de protección de datos dirigidas a los interesados la intención del responsable de transferir datos personales a un tercer país, la existencia o ausencia de una decisión de adecuación de la Comisión Europea o, en su caso, referencia a las garantías adoptadas y a los medios para obtener una copia de estas.

5. Actualización del registro de actividades de tratamiento

Por último, será necesario actualizar el registro de actividades del tratamiento del responsable para identificar las transferencias realizadas, el país de destino y, en su caso, la documentación de garantías adecuadas.

La designación de un Delegado de Protección de Datos Microlab será fundamental para las empresas en la medida que su labor será tan importante como velar por cumplimiento de la LOPD en todos los procedimientos de la entidad. Si no cuentas con este profesional en tu empresa, lo mejor que puedes hacer es contactar con nuestros expertos en protección de datos para recibir asesoramiento personalizado. Nosotros te guiaremos en la implantación de estrategias dirigidas a garantizar la máxima seguridad de tus procedimientos.