Dentro de los aspectos que trata el RGPD en el capítulo V, el movimiento internacional de datos, es un supuesto que se está produciendo con más frecuencia de lo que pensamos en nuestra sociedad, motivado fundamentalmente por la frecuencia en la contratación por parte de las empresas de los servicios en la nube, el almacenamiento de archivos con empresas extranjeras como DROPBOX, GOOGLE DRIVE, así como los tradicionales servicios de hosting, correo electrónico y plataforma de comercio electrónico con empresas extranjeras que ofrecen servicios económicamente más rentables. Todo ello convierte a las transferencias internacionales de datos en un elemento clave para la correcta prestación de servicios en una sociedad globalizada.
En este sentido, conforme la normativa de protección de datos para realizar correctamente los movimientos internacionales es necesario que la transferencia se base en una decisión de adecuación (lista de países) o mediante garantías adecuadas, y si éstas no son posibles, se podría aplicar alguna de las excepciones previstas en el artículo 49 del RGPD.
Para analizar a fondo dichas excepciones, es necesario tener en cuenta tanto lo señalado en el RGPD, como lo establecido por las directrices del Comité Europeo de Protección de Datos. En este sentido, entendemos que, en ausencia de una decisión de adecuación o de garantías adecuadas, una transferencia internacional de datos personales se podrá realizar a un tercer país o a una organización internacional solo bajo ciertas condiciones, garantizando un nivel de protección a las personas físicas. Entre las excepciones al principio general, tomando en cuenta lo mencionado en el artículo 49 del RGPD, tenemos:
Por último, en virtud de lo mencionado y teniendo en cuenta que existen varias excepciones en las que pueden ampararse las empresas para poder realizar movimientos internacionales de datos, es muy importante identificar el escenario y el contexto en las que se las va a realizar, existiendo particularidades en las que se puede aplicar cada una, lo que definirá cual es la aplicable a cada caso. Sin embargo, la excepción que suele utilizarse más es la relativa a las transferencias necesarias para la ejecución o celebración de un contrato, puesto que, en la mayoría de los casos, el movimiento internacional se va a realizar con el objetivo de cumplir con las obligaciones contraídas con el interesado. Un claro ejemplo lo tenemos en el movimiento internacional de datos que hace una agencia de viajes de sus clientes a los hoteles donde se van a hospedar, o en aquellos supuestos en los que el cliente solicita a un banco realizar un pago a una cuenta de otro banco en un país extranjero, siendo por tanto necesario en ambos casos transferir los datos del cliente a la empresa extranjera que prestará el servicio. Para que se apliquen correctamente estos supuestos, es necesario que las transferencias sean ocasionales y que exista una conexión estrecha y sustancial entre movimiento y los propósitos del contrato.
No debemos olvidar que, la utilización de las excepciones descritas anteriormente, solo podrán ser aplicadas ante la ausencia de los mecanismos incluidos en los artículos 45 y 46 del RGPD, las mismas son exenciones al principio general de transferencias, de que los datos personales solo pueden transferirse a terceros países si estos proporcionan un nivel adecuado de protección o si se han establecido salvaguardas apropiadas, esto permitirá a los interesados disfrutar de derechos efectivos y de garantías fundamentales.
Carlos Mogrovejo Riofrío
Comments are closed.
Twitter