A partir de Mayo de año 2018 entró en vigencia el Reglamento General de Protección de Datos, 2016/679 (RGPD), del 27 de abril de 2016.

reglamento general protección de datos
reglamento general protección de datos

¿Qué son los Datos?

Cuando nos referimos a “Datos”  hablamos de información personal vinculada a personas físicas que se encuentren en el territorio de la Comunidad Europea, mediante la cual una persona física – un ser humano –  puede ser determinado (identificado) o es determinable (identificable) en virtud de la calidad de esos datos.

¿A quién beneficia esta legislación?

El Parlamento Europeo y el Consejo dictaron este reglamento a efectos de proteger los datos personales de los individuos (Datos) y su circulación. Por tal motivo, denomina a las personas beneficiarias de esta legislación como “interesados”.

¿Quienes están obligados a su cumplimiento?

El ámbito territorial del RGPD comprende el Espacio Económico Europeo (EEE), integrado por los 28 Estados Miembros de la Unión Europea y por los miembros de la Asociación Europea de Libre Comercio (Islandia, Liechtenstein y Noruega), excluida Suiza – debido a su voto en contra de su adhesión. Por lo tanto, todos los países señalados deben observar su correcto cumplimiento.

¿De qué hablamos cuando decimos transferencia internacional de Datos (TI)?

La TI de los Datos tiene lugar cuando los responsables de tratamientos de Datos, o los encargados de realizar alguna tarea de tratamiento de esos Datos (que son quienes trabajan haciendo uso de los Datos de los Interesados, mediante almacenamiento, análisis predictivo o conductual de los individuos, segmentación por distintos criterios, etc.), ceden o transfieren los mismos a terceros foráneos a la EEE.

La transferencia reviste carácter internacional cuando los Datos se transmiten fuera del ámbito de aplicación del RGPD, es decir, del EEE. Por ello, para que la TI se encuentre permitida podrá realizarse solo bajo determinadas condiciones; caso contrario, la eficacia de las disposiciones del RGPD se vería frustrada por no poder mediar control sobre el efectivo cumplimiento de sus disposiciones.

¿En qué casos está permitida la TI sin autorización previa?

El RGPD permite las TI sin autorización específica solo a terceros países u organizaciones internacionales cuando la Comisión Europea – el órgano que detenta el poder ejecutivo de la Unión Europea – haya dictaminado que el tercero destinatario de esos Datos garantiza a los interesados un nivel de protección adecuada de sus derechos protegidos mediante el RGPD. Ese dictamen se denomina “decisión de adecuación” (Decisión).

A efectos adoptar una Decisión, la Comisión evalúa que los países o territorios fuera del EEE cumplan con ciertas exigencias de un Estado de Derecho. Es decir, los interesados -y sus datos-, cuentan con un nivel adecuado de respeto de sus derechos humanos y libertades fundamentales.

¿Cuáles son los indicadores evaluados por la Comisión Europea para arribar a una decisión de adecuación?

La Comisión evalúa respecto de esos terceros, que en sus territorios estén vigentes y se cumplan las normas relativas a protección de datos personales así como medidas de seguridad; que existan normas regulatorias de posteriores transferencias hacia otros terceros, así como la efectiva vigencia de derechos administrativos y acciones judiciales a favor de los interesados que los habilite al correcto ejercicio de toda su gama de derechos garantizados mediante el RGPD.

Asimismo, la Comisión – previo a tomar la Decisión – evalúa que en esos terceros países existan mecanismos y organismos de control independientes, que permitan a los interesados el ejercicio de sus derechos y la cooperación con las autoridades de control de la Unión Europea y sus estados miembros.

¿Quién puede ser admitido en una decisión de adecuación?

Esta “decisión de adecuación” de la Comisión puede comprender tanto países, territorios como sectores específicos de un tercer país u organización internacional. Una vez dictada la Decisión, la Comisión debe revisarla de manera periódica – al menos cada cuatro años – para garantizar que las condiciones inicialmente evaluadas continúan vigentes a lo largo del tiempo. Cuando las circunstancias consideradas para la adopción de una decisión de adecuación varían, entonces ésta podrá ser consecuentemente derogada, modificada o suspendida, sin efecto retroactivo, para garantizar así la seguridad jurídica en las transacciones ya ejecutadas.

En general las decisiones de adecuación comprenden a los principales países con quienes el EEE mantiene vínculos comerciales.

¿Dónde se publican las Decisiones (de adecuación)?

El Diario Oficial de la Unión Europea es quien publica las Decisiones así como su derogación, modificación o suspensión.

¿Quienes pueden recibir una TI sin autorización previa?

A la fecha (Agosto de 2019) cada uno de siguientes países cuenta con una Decisión de nivel de adecuación al RGPD: Suiza, EEUU, Canadá, Argentina, Guernsey,  Isla de Man, Bailía de Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda y Japón.

Respecto a Estados Unidos, este país no cuenta con una Decisión a su favor. Rige para estos casos un acuerdo denominado Escudo de Privacidad UE-EEUU (PS, o Privacy Shield). Este acuerdo permite a las entidades certificarse a efectos de recibir la TI. Las entidades certificadas pueden ser consultadas en https://www.privacyshield.gov/list.

¿Y qué sucede si el territorio, entidad o país al cual se desea realizar una TI no se encuentra incluido en una Decisión o certificado?

En nuestra Parte II de esta entrega analizamos otros supuestos. Adelantamos que existen circunstancias en que el RGPD permite la TI sin autorización previa, si median determinados extremos que allí analizaremos. Además se puede tramitar una autorización específica ante la Comisión.  Y por último pero no menos, veremos otro mecanismo similar al PS, denominado BCR (siglas de Bindig Corporates Rules o Normas Corporativas Vinculantes) .