Transferencias internacionales de datos. Qué son y cómo realizarlas.
Las transferencias internacionales de datos, son aquellas transmisiones de datos personales que realizamos fuera del Espacio Económico Europeo (EEE), es decir, nuestra empresa conserva datos personales de clientes, trabajadores y proveedores, y debemos enviarlos a una de nuestras filiales fuera de la UE, a un proveedor de servicios que no está aquí (consultores, auditores, marketing) o simplemente porque los datos los alojamos en servidores de otros países (cloud computing, archivos compartidos en Dropbox, etc).
No todas estas transferencias pueden realizarse libremente. La nueva normativa de protección de datos (Reglamento General de Protección de Datos o “RGPD”), obliga a la existencia de una autorización, al reconocimiento de nivel adecuado de protección del país receptor, a la existencia de garantías adecuadas o; al consentimiento del titular, en caso de que no se cumpla ninguna de las anteriores exigencias.
En primer lugar, deberemos saber si nuestra empresa guarda datos personales, recuerda que los datos corporativos o de personas jurídicas, no son datos de carácter personal, y no te afecta la normativa.
Si manejamos datos personales, deberemos identificar los países donde los enviamos y conocer su nivel de protección. Las transmisiones de datos en el territorio europeo no presentan problemas puesto que se aplica el RGPD de forma generalizada y homogénea, donde tendremos dudas será en las transmisiones fuera de la UE.
Existen países a los que la Comisión ha reconocido un grado óptimo de privacidad, por lo que existe un reconocimiento de nivel adecuado de seguridad para el envío de datos. La Comisión publica en el Diario Oficial de la Unión Europea (DOUE), un listado de países donde se garantiza un nivel de protección adecuado, por lo que recomiendo su revisión de forma periódica.
También es posible que existan garantías adecuadas de protección como, por ejemplo; Normas Corporativas vinculantes (en inglés “Binding Corporate Rules”), que consisten en una serie de normas (como un Código de Conducta) que establecen las empresas multinacionales que regulan la forma y protección en las transferencias de datos personales que realicen a otros estados fuera de la UE que no tengan reconocido un nivel adecuado de seguridad.
Estas normas son obligatorias para todo el grupo empresarial, todos los empleados hasta las más altas escalas.
Gracias a esta aprobación, su empresa, podrá remitir los datos personales de sus clientes, proveedores empleados y clientes europeos a las filiales del grupo que no cuenten con nivel adecuado de protección o autorización de la Comisión.
Destacamos las transferencias internacionales realizadas a Estados Unidos. En Estados Unidos, se establece el sistema de “Privacy Shield” (en inglés: Escudo de privacidad). Es un conjunto de obligaciones que deben cumplir las empresas que decidan adherirse. Se trata de un nuevo protocolo aprobado por la Comisión con garantías adecuadas para hacer transferencias de datos personales entre Europa y USA, que deroga al anterior Safe Harbour.
Por último, y en ausencia de los escenarios anteriores, nos queda contar con el consentimiento del titular de los datos, quien sí, informado de los riesgos de realizar la transferencia de sus datos a un país sin nivel adecuado de protección o sin contar con garantías adecuadas, decide prestar su consentimiento, no tendríamos mayor problema en realizarla.
Como resumen, esta normativa te afecta si eres empresario que trata datos personales de personas físicas. Si no transfieres datos personales a países fuera del Espacio Económico Europeo tampoco debes de preocuparte.
Recuerda que debes cumplir con el resto de disposiciones de privacidad sobre los daros de trabajadores, clientes y proveedores que almacenas o usas. Las transferencias internacionales son solo una pequeña parte del cumplimiento.