Con la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos (RGPD 2016/679) el 25 de mayo de 2018 se produce una novedad relevante en el régimen jurídico aplicable a las transferencias internacionales de datos.
Hasta el momento, cualquier transferencia internacional de datos que no estuviere legitimada por la vía del consentimiento inequívoco e informado del afectado, y salvo que se encontrarse amparada en alguna de las demás excepciones previstas por el artículo 34 de la LOPD 15/1999 (Escudo de Privacidad, solicitud o prestación de auxilio judicial internacional, etc.) requería ser autorizada por el Director de la Agencia Española de Protección de Datos, además de ser necesaria la firma de “Cláusulas Contractuales Tipo” (CCT) entre el exportador e importador de los datos.
No obstante, con la nueva regulación europea y tras su entrada en vigor, ya no será necesaria la preceptiva autorización de la autoridad de supervisión, siempre que entre el exportador e importador de los datos se firmen unas “Cláusulas Contractuales Tipo” (CCT) aprobadas por la Comisión Europea, todo ello por considerarse que dicha transferencia internacional cuenta con garantías adecuadas. Este cambio normativo simplificara enormemente el actual procedimiento de solicitud de autorización previa a la Transferencia Internacional al Director de la Agencia de Protección de Datos.
Supuestos de autorización previa por parte de la AEPD
En cualquier caso, y tras la aprobación de la LOPDGDD 3/2018, la AEPD reserva el derecho de someter a su previa autorización aquellas transferencias de datos a países u organizaciones internacionales que no cuenten con decisión de adecuación aprobada por la Comisión o que no se amparen en alguna de las garantías previstas en el artículo 41 LOPDGDD y en el artículo 46.2 del RGPD. Los supuestos sobre los cuales se podrá otorgarse esta autorización son:
- Cuando la transferencia pretenda fundamentarse en la aportación de garantías adecuadas con fundamento en cláusulas contractuales que no correspondan a las cláusulas tipo previstas en el artículo 46.2, letras c) y d), del Reglamento (UE) 2016/679.
- Cuando la transferencia se lleve a cabo por alguno de los responsables o encargados a los que se refiere el artículo 77.1 de la LOPDGDD y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.
La duración máxima del procedimiento será de seis meses a partir de su inicio.
Otros supuestos que requieren la información previa a la AEPD
Asimismo, la LOPDGDD contempla unos supuestos sometidos a información previa a la autoridad de protección de datos competente. Los responsables del tratamiento deberán informar a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, de cualquier transferencia internacional de datos que pretendan llevar a cabo sobre la base de su necesidad para fines relacionados con intereses legítimos imperiosos perseguidos por aquéllos y la concurrencia del resto de los requisitos previstos en el último párrafo del artículo 49.1 del Reglamento (UE) 2016/679. Asimismo, informarán a los afectados de la transferencia y de los intereses legítimos imperiosos perseguidos. Esta información deberá facilitarse con carácter previo a la realización de la transferencia.
