Las transferencias internacionales de datos ¿cómo me afectan?

Es una pregunta que, en principio, podría tener sentido pero que, bajo la óptica del Nuevo Reglamento de Protección de Datos, no tanto.

En primer lugar, y dado que el ámbito de aplicación del Reglamento es europeo, ya no hablaremos más de transferencias internacionales de datos (perdón por el titular) como cuando se regulaba sólo por la LOPD, ahora nos referiremos a terceros países, entendiendo por éstos aquellos que no pertenecen a la Unión Europea. Por tanto, solo se consideran las transferencias internacionales los tratamientos transfronterizos realizados a países no miembros de la Unión, a los que llamamos países terceros, o a organizaciones internacionales que operan fuera de ella.

El segundo aspecto importante, y es lo que más nos afecta, es el que acabo de mencionar, las organizaciones internacionales, ya que dentro de esta consideración figuran muchas empresas cuyos servicios hoy en día son muy habituales en la actividad empresarial como Dropbox, Mailchimp, Linkedin, etc.

Para transferir datos a un país tercero o a una organización internacional, por regla general, necesitamos el consentimiento expreso del interesado o la autorización previa de la Agencia de Protección de Datos. Sin embargo, hay una serie de excepciones.

Hay países que la Comisión considera que ofrecen un nivel de protección adecuado y, a efectos de transferencia de datos, los considera como si fuesen de la Unión. Dentro de la lista están Suiza, Canadá, Argentina, Israel, Uruguay y otros más.

También hay organizaciones internacionales que operan en países que no están en la lista pero que ofrecen también garantías suficientes. Son las organizaciones que se han adherido al acuerdo Escudo de Privacidad UE-EE.UU. Hay una larga lista de organizaciones norteamericanas adheridas entre las que encontramos, aparte de las que he mencionado antes, otras tan conocidas como Google, Facebook, Amazon, Microsoft, etc.

Por último, el Reglamento establece una serie de excepciones que son importantes. Destacamos, por ser las que más nos pueden afectar, la ejecución de un contrato entre el afectado y el responsable, como sería el caso de una agencia de viajes, que debe facilitar nuestros datos al hotel al que vamos a ir en un país exótico y, por supuesto, fuera de la lista, o las transferencias bancarias, que necesariamente han facilitar los datos del ordenante al banco receptor independientemente del país donde se encuentre.

En definitiva y a efectos prácticos, antes de contratar servicios informáticos o en la nube, debemos asegurarnos que la empresa que contratamos puede tratar los datos sin necesidad de tener que cumplir con obligaciones muy gravosas o incluso tener que solicitar autorizaciones, que resultan muy complicadas y costosas de obtener.

Como siempre, recordaros que en la página web de la Agencia Española de Protección de Datos (www.agpd.es), tenéis información con herramientas y consejos para cumplir con la Ley.