Acerca de xribas

– Socio fundador de Ribas y Asociados. – Abogado dedicado al Derecho de las Tecnologías de la Información desde 1987 – Experto en Compliance. – Director del Curso de Compliance Officer de Thomson Reuters Aranzadi. – Director del Curso de DPO – RGPD de Thomson Reuters Aranzadi. – Director del Practicum de Compliance de Thomson Reuters Aranzadi. – Profesor de Compliance Tecnológico de ESADE. – Designado por Expansión como uno de los 25 abogados referentes de España (2013) – Designado por Best Lawyers como el mejor abogado de los años 2013 y 2015 en materia de protección de datos – Designado por Best Lawyers como el mejor abogado del año 2014 en materia de IT Law – Premio 2012 al mejor abogado en Derecho Digital (ICAB – Digital Law World Congress) – Seleccionado por Chambers y Best Lawyers como uno de los mejores abogados en: – Privacy & Data Protection – Information Technology – Intellectual Property – Media – Communications – Director del Máster en Derecho de las TIC, Redes Sociales y Propiedad Intelectual (IT+IP) de ESADE – Socio de PwC (1998-2012) – Responsable de la red internacional de Derecho de las TIC de PwC (2000 – 2004) – Auditor informático CISA (ISACA) – Certified in Risk and Information Systems Control CRISC (ISACA) – Vicepresidente 1º de ENATIC (2012 – 2015) – Autor del libro Aspectos juridicos del comercio electronico en internet – (Editorial Aranzadi 1999). – Asesor Jurídico de BSA (Business Software Alliance) (1988 – 2011) – Miembro de la Comisión de Regulación de la AECE (Asociación Española de Comercio Electrónico) – Miembro de la Junta Directiva de la AUI (1996 – 2003) – Presidente de ARBITEC Asociación Española de Arbitraje Tecnológico (1989 – 2015) – Miembro del Legal Working Group de UNECE – CEFACT en materia de comercio electrónico (ONU) – Autor del Manual Práctico de Contratación Informática CONTRACT-SOFT (1987-2003) 11ª Edición. – Participante en el proyecto LATHE GAMBIT del Mando Aliado de la OTAN, relativo al análisis del entorno legal y la seguridad de Internet en materia de ciberdelitos. – Autor de los paneles de control LOPD – RMS – LSSI – Contratos tecnológicos y Activos inmateriales – Miembro de ISACA – Information Services Audit and Control Association – Colegiado 12.968 del Colegio de Abogados de Barcelona

El principio de obviedad y las sanciones a BBVA y CaixaBank

La década de los 80 sirvió a los jueces españoles para buscar el justo equilibrio entre el respeto de los derechos fundamentales de los imputados en causas penales y la investigación de los presuntos delitos cometidos.

Los primeros pasos de la joven Constitución de 1978 sirvieron de ensayo para unos jueces que tuvieron que adecuarse de forma acelerada al nuevo marco constitucional con el temor a ser tachados de conservadores por la parte más progresista de la doctrina.

No es de extrañar que los primeros autos y sentencias no encontrasen el equilibrio buscado y decantasen excesivamente la balanza a favor del reo, situación a la que le dimos todos la bienvenida después de tantos años, aunque poco a poco nos diésemos cuenta de que no era sostenible en el tiempo.

Algo parecido está pasando con la protección de datos.

La década de los años 20 del siglo XXI debe servir a las autoridades de control europeas para encontrar el justo equilibrio entre los derechos del interesado y los derechos del responsable del tratamiento.

El RGPD, igual que la Constitución española en los 80, todavía está empezando a andar y de estos primeros pasos depende que la protección de datos se convierta en un elemento más del mapa de obligaciones a cumplir o en un obstáculo para la actividad empresarial.

Un punto del RGPD en el que debemos encontrar con urgencia el justo equilibrio reside en la cantidad y la calidad de la información sobre el tratamiento que debe suministrarse al interesado.

El artículo 12 del RGPD exige que la información se facilite de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Pero las dos últimas resoluciones de la AEPD que sancionan al BBVA y a CaixaBank, ponen el listón del detalle de la información en una posición que nos aleja de la concisión, la inteligibilidad, la accesibilidad, la claridad y la sencillez.

Porque podemos hablar con un lenguaje claro y cercano: “Registraremos la forma en que utilizas nuestro servicios para conocerte mejor, personalizarlos y adaptarlos a tus preferencias” o con un lenguaje más técnico y menos accesible: “Registraremos en nuestro CRM los parámetros generados en el uso de los productos de financiación y de inversión con el fin de determinar tu solvencia económica, el nivel de aversión al riesgo, scoring, rentabilidad, fidelidad y mora, con el fin de asegurar un nivel alto de coincidencia entre estos datos y los productos de financiación y de inversión que te podamos ofrecer”.

La cantidad y la calidad de la información a suministrar van asociadas a un concepto que acuñé hace años, al que llamo el principio de obviedad. Este principio defiende la idea de que no es necesario informar de los detalles del tratamiento que resultan obvios para el interesado.

Por ejemplo, si un proveedor me envía regularmente un mensaje de correo electrónico con su factura no espero ver un texto informativo al final del mensaje diciendo que tiene mi dirección de correo electrónico y que la está utilizando para enviarme un mensaje que escribirá en un ordenador portátil, introduciendo mi dirección en una aplicación de correo electrónico, haciendo posteriormente clic en un botón que ordenará a la aplicación el tratamiento de la dirección de correo electrónico para enviar el mensaje. Es además innecesario indicar que el mensaje se fragmentará en diversos paquetes IP, y que como fruto de esta conversión, que también es un tratamiento, cada paquete sabrá dónde tiene que ir, y pasará por múltiples servidores y rúters hasta llegar a mi proveedor de Internet, que recopilará los paquetes IP, recompondrá el mensaje y lo dejará en mi buzón de entrada.

Tampoco le informo de que es posible que imprima la factura en la que aparecen sus datos personales.

No se suministra esta información porque es obvio que todo esto va a pasar y el interesado ya lo sabe, lo intuye o no le interesa tener ese nivel de detalle.

Lo más cercano al principio de obviedad, aunque no coincida plenamente, lo encontramos en los artículos 13 y 14 del RGPD, que exoneran al responsable del tratamiento de todas sus obligaciones de información cuando el interesado ya disponga de la información.

El artículo 13.4 indica concretamente que las disposiciones de los apartados 1, 2 y 3 (el resto del artículo) no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.

El artículo 4.2 del RGPD define el concepto tratamiento como cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

¿Cuántos contratos, políticas de privacidad, condiciones generales de contratación y textos informativos informan con carácter exhaustivo de todos los tratamientos que tendrán lugar durante el ciclo de vida de un dato?

¿En alguno de estos textos se informa, por ejemplo, del proceso de imprimir?

¿Por qué razón? ¿Porque tenemos que ser concisos, por un olvido o porque es obvio que alguna vez imprimiremos?

Lo mismo sucede al informar de los datos a tratar. Si un interesado cumplimenta un formulario con 25 campos, ¿es necesario informarle dos veces de que disponemos de esos datos? Vamos a informarle de la finalidad y de la necesidad de tratar esos datos pero no vamos a repetir con todo detalle que tenemos los datos que el interesado acaba de introducir en el formulario porque es obvio, el interesado ya dispone de esta información y sería un insulto para su inteligencia.

Aunque por cuestiones de cultura de prevención de riesgos podría ser posible en EEUU, en Europa no podemos imaginar un ascensor en el que cada botón numérico tenga al lado una leyenda sobre su función: “Pulse este botón con el número 1 si desea ir a la planta 1. Pulse este botón con el número 2 si desea ir a la planta número 2”. ¿Quién no sentiría que están tratándolo de inútil en un ascensor como éste?

La obviedad, como el interés legítimo, responde a criterios subjetivos, evidentemente. Lo que es obvio para uno no lo es para otro. Pero hay detalles del tratamiento que forman parte de la cultura y de los usos de cada sector, del umbral de percepción creado justamente por la protección de datos por defecto. Y se pueden acreditar.

Debe llegar el momento en que se alcance un justo equilibrio entre la información que el interesado debe recibir y el detalle que el responsable del tratamiento debe suministrar de forma concisa y clara. Y las autoridades de control tienen un importante papel en normalizar este proceso para que no sea un obstáculo para la actividad empresarial.

Al mismo tiempo, el nivel de madurez y de experiencia se incrementará en el responsable del tratamiento y en el interesado, de manera que el proceso de información se irá adaptando y haciéndose natural. Tan natural como la información que nos suministra el bar que conoce perfectamente nuestras rutinas y preferencias: “¿El café como siempre?”.

RIESGOS 2021

Si deseas colaborar en el ranking de riesgos de 2021 sólo tienes que indicar los tres principales riesgos que consideras que las empresas de un sector determinado deben tener en cuenta en 2021.

También puedes indicar riesgos transversales para todos los sectores.

Esta iniciativa se enmarca en el proyecto Mapa de riesgos 2021 de Campus Ribas y tiene como objetivo identificar los principales riesgos de cada sector en 2021.

Los riesgos deben pertenecer a las siguientes categorías de riesgo:

  1. Riesgos de negocio que pueden generar riesgos de cumplimiento.
  2. Riesgos de cumplimiento que pueden generar riesgos de negocio.

Los riesgos se pueden comunicar a través de los siguientes canales:

  1. Post ”Ranking de riesgos 2021” de Xavier Ribas en LinkedIn.
  2. Tweet ”Ranking de riesgos 2021” de Xavier Ribas en Twitter.
  3. Mensaje de correo electrónico a xavier.ribas@ribastic.com.

Muchas gracias por participar.

Cifrado de datos en tránsito por EEUU – Opinión del CEPD

El punto 84 de las recomendaciones del CEPD relativas a las medidas adicionales a aplicar a las transferencias a terceros países, especialmente a EEUU, toca el delicado tema del enrutamiento.

En este punto 84 se describe el escenario cotidiano del responsable del tratamiento que envía datos personales a través de internet, a un país que garantiza una adecuada protección, siguiendo una ruta que pasa por un tercer país como EEUU.

Todos sabemos que la función de los rúters es la de encaminar paquetes IP a través de una red en la que el camino más rápido no es necesariamente el más corto. De manera parecida a las calles y las carreteras, Internet también tiene sus horas punta, en las que es más rápido utilizar rutas alternativas que son más largas que la ruta directa al destino propuesto.

En el artículo titulado “Qué ruta sigue un correo que enviamos de Jaén a Madrid” se explica muy bien cómo se establece una ruta en Internet, y cómo puede darse el caso muy habitual de que el mensaje siga la ruta Jaén-Estados Unidos-Reino Unido-Madrid.

El punto 84 de las recomendaciones del CEPD reconoce la posibilidad de que los datos transmitidos a través de Internet sean encaminados a través de un país que no suministre una protección equivalente. La probabilidad de que este país sea EEUU es muy alta, dado el control que las empresas norteamericanas tienen sobre la infraestructura de transporte de Internet.

El CEPD analiza el cifrado de la capa transporte como una posible solución, pero recomienda que los protocolos de cifrado utilizados sean de última generación y que proporcionen una protección eficaz contra los ataques activos y pasivos que las autoridades públicas del tercer país puedan realizar con los recursos conocidos que tienen a su disposición.

El descifrado de los datos sólo debe ser posible fuera del tercer país en cuestión.

Las partes implicadas en la comunicación deben acordar el uso de una autoridad certificadora de clave pública o de una infraestructura confiables.

Deben utilizarse medidas específicas de protección de última generación contra los ataques activos y pasivos contra el cifrado de la capa de transporte.

En caso de que el cifrado de la capa transporte no proporcione por sí misma la seguridad adecuada debido a las vulnerabilidades de la infraestructura o el software utilizado, los datos personales también deben ser cifrados de extremo a extremo en la capa de aplicación usando métodos de cifrado de última generación.

Debe utilizarse un algoritmo de cifrado y parametrización (longitud de la clave, simetría de la clave y restantes elementos operativos) que sean conformes con el estado del arte y que puedan considerarse robustos contra un análisis criptográfico llevado a cabo por las autoridades públicas del tercer país, teniendo en cuenta los recursos y capacidades técnicas  disponibles para ellas. Por ejemplo, la potencia de proceso para ataques de fuerza bruta.

La potencia de cifrado debe ser adecuada para el período de tiempo específico durante el cual debe preservarse la confidencialidad de los datos personales cifrados.

El algoritmo de cifrado debe aplicarse mediante programas informáticos debidamente mantenidos cuya conformidad con la especificación del algoritmo elegido se ha verificado, por ejemplo, mediante certificación.

El exportador de los datos tiene que verificar que no existan puertas traseras en el hardware y en el software utilizado.

Las claves deben ser gestionadas de manera fiable (generadas, administradas, almacenadas, si procede, vinculadas a la identidad del destinatario previsto, y revocadas), por el exportador o por una entidad en la que éste confía bajo una jurisdicción que ofrece un nivel de protección esencialmente equivalente.

Si se cumplen todos estos requisitos, el CEPD considera que el cifrado de la capa de transporte, si es necesario en combinación con el cifrado del contenido de extremo a extremo, proporciona una medida adicional eficaz.

Otra medida interesante, a pesar de sus limitaciones, es la configuración del enrutamiento por parte del exportador de los datos. Ejemplo en Gmail.

Teniendo en cuenta estas recomendaciones y el hecho de que un simple correo electrónico enviado de Europa a Europa puede contener datos personales que viajen por rúters y segmentos de la red controlados por terceros países como EEUU, cabe preguntarse si las administraciones públicas europeas, las autoridades de control e incluso los activistas que más han luchado contra las transferencias sin garantías adecuadas a EEUU, están aplicando estas medidas.

IINFORMACIÓN ADICIONAL

Seguridad de la capa de transporte.
Capa de aplicación.
Cifrado de extremo a extremo.
Configuración del enrutamiento en Gmail.
Cifrado del correo electrónico con S/MIMEE en Gmail.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Cifrado de datos almacenados en un servidor en EEUU – Opinión del CEPD

En las recomendaciones sobre transferencias a terceros países el CEPD menciona el cifrado de datos como una medida técnica adecuada para complementar las medidas del artículo 46 del RGPD. Esta medida es especialmente útil en el casos de las transferencias a EEUU.

El CEPD distingue entre los datos que se encuentran almacenados en un servidor controlado por una empresa norteamericana y los que se encuentran en tránsito y van a pasar por un tercer país.

Los requisitos para los primeros son los siguientes.

Cifrado de datos almacenados

1. El cifrado de los datos debe realizarse con un sistema de cifrado fuerte antes del envío de los datos.

2. Debe utilizarse un algoritmo de cifrado y parametrización (longitud de la clave, simetría de la clave y restantes elementos operativos) que sean conformes con el estado del arte y que puedan considerarse robustos contra un análisis criptográfico llevado a cabo por las autoridades públicas del país de destino, teniendo en cuenta los recursos y capacidades técnicas  disponibles para ellas. Por ejemplo, la potencia de proceso para ataques de fuerza bruta.

3. La potencia de cifrado debe ser adecuada para el período de tiempo específico durante el cual debe preservarse la confidencialidad de los datos personales cifrados.

4. El algoritmo de cifrado debe aplicarse mediante programas informáticos debidamente mantenidos cuya conformidad con la especificación del algoritmo elegido se ha verificado, por ejemplo, mediante certificación.

5. Las claves deben gestionarse de manera fiable (se generan, administran, almacenan y se revocan).

6. Las claves deben conservarse únicamente bajo el control del exportador de datos.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Cuarto paso para transferir datos a terceros países según el CEPD

El Comité Europeo de Protección de Datos menciona las siguientes acciones a realizar en sus recomendaciones sobre la cuarta fase en materia de transferencias a terceros países, especialmente a EEUU.

4.1 Identificar las medidas aplicables a cada caso.

4.2 Verificar la eficacia potencial a cada caso de las medidas identificadas.

4.3 Seleccionar las medidas contractuales, técnicas u organizativas más adecuadas.

4.4 Tener en cuenta que las medidas contractuales y organizativas no impedirán el acceso de las agencias de inteligencia a los datos en la mayoría de los casos.

4.5 Lista de factores a tener en cuenta a la hora de seleccionar las medidas adicionales a aplicar:

  • Formato de los datos a transferir.
  • Categoría de datos.
  • Duración y complejidad del tratamiento.
  • Número de actores implicados en el tratamiento.
  • Transferencias sucesivas al mismo país o a otros terceros países.

4.6 Ejemplos de medidas técnicas válidas

  • Cifrado de datos almacenados.
  • Cifrado de datos en tránsito.
  • Seudonimización.
  • Fragmentación – Tratamiento dividido entre varios encargados.
  • Destinatario protegido.

4.7 Ejemplos de medidas técnicas insuficientes

  • Servicios de cloud computing en los que el proveedor necesita tener acceso en claro a los datos para poder prestar el servicio.
  • Servicios de cloud computing o de hosting en los que el proveedor tiene acceso a la clave de cifrado.
  • Acceso de remoto del proveedor a un servidor en el EEE del responsable del tratamiento europeo.

En sucesivos artículos hablaremos de las medidas contractuales y organizativas.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Abogado del año en protección de datos

Esta semana hemos recibido en el despacho un mensaje del CEO de Best Lawyers con el reconocimiento “Lawyer of the Year” en materia de protección de datos (Privacy & Data Protection Law) para la zona geográfica en la que desplegamos nuestra actividad profesional. Creo que es la cuarta vez.

Nuestro despacho no cree en estos reconocimientos porque siempre van asociados a la sospecha de que son de pago o derivan de una recogida de votos por parte de agencias de comunicación especializadas. Por eso nunca presentamos nuestra candidatura a premios o reconocimientos, ni realizamos pagos a rankings ni a agencias de comunicación. Tampoco pedimos a nadie que nos vote.

No conozco la metodología, pero si el mensaje indica que la selección la hacen los “peers” entiendo que en este caso concreto no se presentan candidaturas, y las votaciones las realizan los despachos de abogados del país en el que radica el despacho.

Adicionalmente, también se ha reconocido nuestro trabajo en Communications Law, Corporate Governance and Compliance Practice, Information Technology Law, Intellectual Property Law, Media Law and Privacy & Data Protection Law.

Agradezco, en nombre del despacho, la confianza y el soporte de los compañeros que nos han seleccionado un año más. Es obvio que el reconocimiento va dirigido al magnífico equipo que forma el despacho. Mi agradecimiento también para nuestros clientes y para nuestras sacrificadas familias, que nos han acompañado en los buenos y en los malos años y que son la principal motivación de nuestro trabajo. 

Quiero transmitir nuestro compromiso y esfuerzo para seguir mereciendo vuestra confianza.

Muchas gracias.

PD: Creo que no figuramos en el directorio de bestlawyers.com (o al menos, yo no he sabido encontrar la referencia) . Entiendo que al seguir la política de no pagar a rankings, ni siguiera tenemos perfil. Si ello se confirma, se daría la paradoja de que el reconocimiento va dirigido a alguien que no figura en el directorio. Me disculpo si es un error mío y si ello perjudica a alguien.

Tercer paso para transferir datos a terceros países según el CEPD

3.1 Verificar que el instrumento de transferencia del artículo 46 del RGPD escogido consigue un nivel de protección equivalente al del EEE.

3.2 Verificar si existe alguna norma en el tercer país que impida al importador de los datos cumplir las obligaciones establecidas en el instrumento de transferencia del artículo 46 del RGPD escogido.

3.3 Utilizar fuentes de información apropiadas para valorar los obstáculos para el cumplimiento del RGPD establecidos en la normativa del tercer país. Por ejemplo:

  • Jurisprudencia del TJUE.
  • Jurisprudencia del TEDH.
  • Decisiones de adecuación relativas al país de destino.
  • Resoluciones e informes del Consejo de Europa y otras organizaciones intergubernamentales.
  • Resoluciones e informes de organismos y agencias de la ONU en materia de derechos humanos.
  • Jurisprudencia nacional.
  • Resoluciones de las autoridades administrativas nacionales competentes en materia de protección de datos.
  • Informes de instituciones académicas.

3.4 Extender el alcance de la evaluación a todos los actores implicados en la transferencia de datos, incluyendo:

  • Responsables del tratamiento.
  • Encargados del tratamiento.
  • Subencargados del tratamiento.

3.5 Analizar las características de la transferencia con mayor impacto jurídico. En particular:

  • La finalidad de la transferencia.
  • El tipo de entidades involucradas en el tratamiento.
  • El sector.
  • Las categorías de datos personales transferidos.
  • La ubicación de los datos y el tipo de acceso a ellos.
  • El formato de los datos a transferir: texto plano, datos seudonimizados o cifrados.
  • Las transferencias sucesivas a otros países.

3.6 Verificar si la normativa del país de destino genera algún obstáculo para el ejercicio de los derechos por parte de los interesados.

3.7 Prestar especial atención a las normas del país de destino que establecen la obligación de revelar datos personales a las autoridades públicas o que otorgan a esas autoridades públicas facultades de acceso a los datos personales (por ejemplo, en materia de derecho penal, supervisión regulatoria y seguridad nacional.

3.8 Las normas de la UE, como los artículos 47 y 52 de la Carta de los Derechos Fundamentales de la UE, deben utilizarse como referencia para evaluar si ese acceso de las autoridades públicas se limita a lo que es necesario y proporcionado en una sociedad democrática y si se ofrece a los interesados una reparación efectiva.

3.9 La existencia de una ley general de protección de datos o de una autoridad independiente de protección de datos, así como la adhesión a los instrumentos internacionales que prevean salvaguardias de protección de datos, pueden contribuir a garantizar la proporcionalidad de la injerencia del gobierno.

3.10 Las recomendaciones del CEPD sobre Garantías Esenciales Europeas (EEG) proporcionan elementos que deben evaluarse para determinar si el marco jurídico que rige el acceso a los datos personales por parte de las autoridades públicas de un tercer país, puede considerarse una injerencia justificable y, por lo tanto, no afecta a los compromisos asumidos por el importador de los datos en el instrumento de transferencia del artículo 46 del RGPD.

3.11 Documentar todo el proceso y obtener evidencias que demuestren las acciones realizadas por el responsable del tratamiento que exporta los datos.

MEDIDAS ESPECÍFICAS PARA ESTADOS UNIDOS

El TJUE sostiene que la Sección 702 de la FISA de los Estados Unidos no respeta las garantías mínimas resultantes del principio de proporcionalidad en virtud de la legislación de la Unión Europea y no puede considerarse limitado a lo estrictamente necesario. 

Esto significa que el nivel de protección de los programas autorizados por la Sección 702 de la FISA no es esencialmente equivalente a las garantías exigidas por la legislación de la UE. 

En consecuencia, si el importador de datos o cualquier otro receptor al que el importador de datos pueda revelar los datos está comprendido en el ámbito de aplicación de la Sección 702 de la FISA, la transferencia de datos sólo se podrá basar en la Cláusulas Contractuales Tipo o en otros instrumentos de transferencia del artículo 46 del RGPD si las medidas técnicas complementarias adicionales hacen imposible o ineficaz el acceso a los datos transferidos.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Segundo paso para transferir datos a terceros países según el CEPD

2.1 Decisiones de adecuación (Artículo 45 RGPD)

Podrá realizarse una transferencia de datos personales a un tercer país cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.

2.2 Garantías adecuadas (Artículo 46 RGPD)

En el artículo 46 del RGPD se enumeran una serie de instrumentos de transferencia que contienen garantías adecuadas que los exportadores pueden utilizar para transferir datos personales a terceros países en ausencia de decisiones de adecuación:

  • Cláusulas contractuales tipo.
  • Normas corporativas vinculantes.
  • Códigos de conducta.
  • Mecanismos de certificación.
  • Cláusulas contractuales ad hoc.

La situación en el tercer país al que se realiza la transferencia de datos puede requerir que se complementen estos instrumentos de transferencia y las garantías que contienen con medidas complementarias para garantizar un nivel de protección esencialmente equivalente. Este es el caso de EEUU de acuerdo con la sentencia Schrems II.

2.3 Excepciones para situaciones específicas (Artículo 49 RGPD)

Antes de acogerse a una excepción del artículo 49 del PBIR, debe comprobarse si la transferencia cumple las estrictas condiciones que esta disposición establece para cada una de ellas.

  • Consentimiento explícito del interesado.
  • La transferencia es necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
  • La transferencia es necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica.
  • La transferencia es necesaria por razones importantes de interés público.
  • La transferencia es necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
  • La transferencia es necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
  • La transferencia se realiza desde un registro público.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Primer paso para transferir datos a terceros países según el CEPD

El Comité Europeo de Protección de Datos (CEPD) ha abierto el plazo de consulta pública de sus Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la UE después de la sentencia Schrems II que invalida el Privacy Shield.

El CEPD propone una hoja de ruta basada en un esquema de 6 pasos destinado a aplicar el principio de responsabilidad proactiva a las transferencias de datos a terceros países.

Los seis pasos se han repartido en varios artículos con el fin de desglosar los puntos que componen cada paso de forma exhaustiva y añadir, en su caso nuestras recomendaciones:

PASO 1 – Conoce tus transferencias

1.1 Identificar todas las transferencias a terceros países.

1.2 Identificar las transferencias sucesivas de los encargados a los subencargados del tratamiento.

1.3 Verificar si los subencargados se encuentran en el mismo país del encargado o en otro.

1.4 Incluir en el RAT las transferencias identificadas.

1.5 Realizar un mapa de ubicaciones en las que los datos pueden estar almacenados o ser objeto de tratamiento.

1.6 En el caso que haya muchas transferencias la recomendación de Ribas es crear un registro o mapa de transferencias con una hoja Excel o con una aplicación como Compliance 3.0.

1.7 Tratar como transferencia a un tercer país el acceso remoto del proveedor extranjero a los datos ubicados en el Espacio Económico Europeo.

1.8 Actualizar el registro de encargados y subencargados del tratamiento con la información obtenida en relación con las transferencias identificadas.

1.9 Verificar que se está informando a los interesados sobre todas las transferencias identificadas.

1.10 Verificar que se aplica el principio de minimización de datos y que los datos transferidos son adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.