Madrid
El Segundo Informe de la Comisión Europea (en adelante "la Comisión") relativo a la aplicación del Reglamento General de Protección de Datos ("RGPD") fue publicado el 25 de julio de 2024. Entre otras cuestiones relevantes, la Comisión presenta algunas consideraciones sobre las transferencias internacionales de datos dada la importancia de los flujos de datos para la transformación digital en la que nos encontramos inmersos.
En su Segundo Informe sobre la aplicación del RGPD, publicado mediante una Comunicación de la Comisión al Parlamento Europeo y al Consejo (COM(2024) 357 final), el 25 de junio de 2024, la Comisión dedica un amplio y detallado apartado a las transferencias internacionales de datos.
Tras destacar la relevancia de las transferencias internacionales de datos para la transformación digital de la sociedad y de la globalización de la economía, la Comisión pone de manifiesto, con carácter general, que desde su informe de 2020 se "han aclarado aún más los requisitos para las transferencias de datos" y el conjunto de instrumentos dichas transferencias, tales como las cláusulas contractuales tipo u otros, "ha seguido evolucionando".
Aplicado en la práctica, el informe de la Comisión explica que cuando una entidad del sector privado va a realizar una transferencia internacional de datos fuera del Espacio Económico Europeo ("EEE") es importante tener en cuenta los aspectos que se indican a continuación:
1. Definición de transferencia internacional de datos: Aunque el RGPD no define el concepto de transferencia internacional de datos, lo que crea incertidumbre jurídica; la Comisión, siguiendo los criterios dados por el Comité Europeo de Protección de Datos, lo define de la siguiente manera: "abarca toda comunicación de datos personales por parte de un responsable o encargado del tratamiento sujeto al RGPD a otro responsable o encargado del tratamiento en un tercer país, independientemente de que el tratamiento por parte de este último esté o no sujeto al RGPD" (Directrices 05/2021 sobre la interacción entre la aplicación del artículo 3 y las disposiciones sobre transferencias internacionales de conformidad con el capítulo V del RGPD, adoptadas el 14 de febrero de 2023).
2. Garantizar un nivel de protección sustancialmente equivalente al garantizado dentro de la UE: El exportador de los datos, ya sea responsable o encargado del tratamiento, es quien está obligado a garantizar que la transferencia internacional de los datos proporcione un nivel de protección sustancialmente equivalente al garantizado dentro de la UE, para lo que tendrá que evaluar las circunstancias específicas de cada transferencia que vaya a llevar a cabo. Así lo ha establecido el Tribunal de Justicia de la Unión Europea en el asunto C-311/18, caso Schrems II.
3. Las decisiones de adecuación siguen siendo "una solución sencilla y exhaustiva para las transferencias de datos": La Comisión destaca que desde 2020 ha aumentado el número de decisiones de adecuación y que, en el caso de Estados Unidos, su Gobierno ha adoptado salvaguardias en el ámbito de la seguridad nacional que permiten facilitar tanto su uso como el de otros instrumentos para las transferencias internacionales. También apunta que durante el verano de 2024 se llevaría a cabo una primera revisión del Marco de Privacidad de Datos y que los próximos países en contar con una decisión de adecuación podrían ser Brasil y Kenia.
4. Las cláusulas contractuales tipo siguen siendo el instrumento más utilizado: Tal como se había anunciado en su informe de 2020, en 2021 la Comisión adoptó sus cláusulas contractuales tipo modernizadas, que fueron aprobadas mediante la Decisión de Ejecución (UE) 2021/914 de la Comisión. Entre otras novedades, la Comisión indica que se está trabajando en la adopción de cláusulas contractuales tipo para las transferencias de datos a importadores de datos de terceros países cuyas operaciones de tratamiento estén directamente sujetas al RGPD.
5. Las normas corporativas vinculantes siguen utilizándose ampliamente para transferencias entre miembros de grupos empresariales o entre empresas que realizan una actividad económica conjunta: La Comisión señala que el Comité Europeo de Protección de Datos ha adoptado ochenta dictámenes favorables sobre decisiones nacionales por las que se aprueban normas corporativas vinculantes y que se están preparando orientaciones actualizadas sobre las normas corporativas vinculantes para los encargados del tratamiento.
6. Los códigos de conducta y la certificación como instrumentos para las transferencias internacionales de datos: En este caso la Comisión indica que, desde el informe de 2020, el Comité Europeo de Protección de Datos ha adoptado directrices específicas, que son las Directrices 4/2021 sobre códigos de conducta como herramienta para las transferencias y las Directrices 07/2022 sobre la certificación como herramienta para las transferencias.
A la vista de lo anterior, si bien durante los últimos cuatro años, desde el informe de 2020 de la Comisión, se ha producido una evolución de los instrumentos para las transferencias internacionales de datos, sigue siendo necesario que tanto los responsables como los encargados del tratamiento velen por cumplir con el RGPD y poder demostrar el cumplimiento en virtud del principio de responsabilidad proactiva ("accountability").
