Artículo elaborado por Pablo Uslé (@UslePR), abogado de Abanlex.
Tras la publicación de la Sentencia C-362/14 del Tribunal de Justicia de la Unión Europea, que ha declarado inválida la Decisión de la Comisión 2000/520/CE y, por tanto, el Acuerdo sobre Puerto Seguro que legitimaba la transferencia de datos personales a las entidades estadounidenses adheridas, las diferentes Autoridades de protección de datos a nivel comunitario (DPAs) han comenzado a lidiar con las consecuencias que tal invalidez supone en la práctica.
El pasado día 16 de octubre, el Grupo de Trabajo del Artículo 29 (compuesto por todas las DPAs) emitió una nota de prensa en la que analizaba preliminarmente el impacto de la sentencia.
En este sentido, la Agencia Española de Protección de Datos se está dirigiendo a todos los Responsables del Fichero a quienes sea aplicable la normativa española de protección de datos para comunicarles el protocolo de actuación que deben llevar a cabo en caso de que deseen continuar realizando tales transferencias internacionales.
Descartada la legitimación que ofrecía la Decisión 2000/520/CE, la AEPD está indicando a los Responsables que pueden valerse de los siguientes procedimientos:
- Cláusulas Contractuales tipo adoptadas por las Decisiones de la Comisión 2001/497/CE, 2004/915/CE (versión consolidada) (diseñadas para transferencias internacionales entre Responsables) y 2010/87/UE (diseñada para transferencias internacionales entre Responsable y Encargado). A pesar de que la propia AEPD ha publicado un modelo de cláusulas contractuales para realizar transferencias entre Encargado y Subencargado, no está haciendo referencia a este instrumento en sus comunicaciones a los Responsables.
- Excepciones previstas en el artículo 34 de la LOPD:
- a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
- b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
- c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
- d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
- e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
- f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
- g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
- h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
- i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
- j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.
Asimismo, la AEPD requiere a los Responsables para que antes del 29 de enero de 2016 informen al Registro General de Protección de Datos (RGPD) de la eventual continuidad de las transferencias internacionales y de la vía que han utilizado para legitimarlas.
Para notificar a la AEPD estas cuestiones, los Responsables podrán hacerlo (i) a través de la Sede Electrónica de la AEPD o (ii) por medio de correo postal.
Puede consultarse una de las comunicaciones enviadas por la AEPD haciendo click en la siguiente imagen: