Cada vez es más frecuente que las empresas españolas transfieran datos de carácter personal a empresas situadas fuera de la Unión Europea para llevar a cabo su actividad habitual.
Estas transferencias de datos suelen hacerse principalmente por dos motivos:
a) El intercambio de datos de carácter personal entre sociedades del mismo grupo para gestionar la relación comercial con los clientes a la sociedad matriz que puede situarse fuera de la Unión Europea.
b) El acceso por parte de la matriz y/ o envío desde las filiales a la misma sociedad de reports para la gestión integral del área de Recursos Humanos.
Hay que destacar que el acceso remoto por parte de una sociedad establecida fuera de la UE a datos de carácter personal de trabajadores o clientes está considerado como transferencia internacional de datos.
Este escenario debe situarse en el contexto normativo actual donde la UE ha adoptado el RGPD con el objetivo de armonizar la legislación de los estados miembros y de ofrecer garantías comunes a los ciudadanos. En este sentido, si bien es cierto que los flujos transfronterizos de datos personales son necesarios para la expansión del comercio y la cooperación internacional, la voluntad de la UE es la de no menoscabar el nivel de protección de las personas físicas, ofreciendo en la Unión las mismas garantías cuando los datos son transferidos fuera de esta.
Una transferencia internacional de datos únicamente se podrá realizar si se cumplen los requisitos establecidos en el Reglamento:
a) Transferencias basadas en una decisión de adecuación (art. 45 RGPD).
El artículo 45 RGPD establece que podrán hacerse transferencias internacionales de datos cuando el tercer país sea aceptado como destinatario adecuado en cuanto a garantías ofrecidas en materia de protección de datos por una Decisión de la Comisión Europea.
b) Transferencias mediante garantías adecuadas (art. 46 RGPD).
El artículo 46 prevé una serie de supuestos donde se permitirán las transferencias internacionales mediante mecanismos como el uso de cláusulas tipo elaboradas por la Comisión, código de conducta, elaboración de códigos tipo.
En caso de mediar la autorización de la autoridad de control competente, podrán utilizarse cláusulas contractuales entre el representante y el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país.
c) Adopción de las normas corporativas vinculantes (art. 47 RGPD).
Las normas corporativas vinculantes (Binding Corporate Rules) son la herramienta elegida por la mayoría de empresas con flujos de datos internacionales habituales, dado que establecen los parámetros para la transferencia internacional de datos de forma única para todas las empresas de la compañía en todas las transferencias de datos de carácter personal. De esta forma, es la empresa es quien, siguiendo los requisitos exigidos por la normativa vigente, elabora estas normas y las presenta a la Autoridad de Control en materia de Protección de Datos para su aprobación.
Las normas corporativas vinculantes no son fruto del nuevo RGPD, sin embargo, su contenido ha devenido más claro y exigente.
d) Excepciones para situaciones específicas.
El RGPD prevé una serie de supuestos donde se podrán realizar las transferencias internacionales de datos sin que se den los supuestos anteriores tales como: que el interesado haya autorizado expresamente la transferencia, que la misma sea necesaria para la celebración y ejecución de un contrato entre el interesado y el responsable, que la transferencia sea necesaria por importantes razones de interés público, etc.)
Finalmente, si bien es cierto que dentro del mercado español ha habido un alto porcentaje de cumplimiento y preocupación entorno a las obligaciones contenidas en la nueva normativa, la realidad es que muchas empresas aún desconocen la necesidad de regulación de estos aspectos que conforman una más de las obligaciones exigibles por la normativa europea.
