El RGPD establece que cualquier transferencia de datos personales fuera del EEE a un tercer país deberá llevarse a cabo con garantías. A pesar de ello, distintos proveedores de servicios tecnológicos no cumplen con las necesarias para realizar transferencias interncionales de datos.
Así lo recoge APECDATA en su informe, “Elección de proveedores de cloud y sus implicaciones en materia de transferencias internacionales de datos” donde se analiza las principales cuestiones legales y técnicas en relación a la elección de proveedores de cloud y sus implicaciones en materia de protección de datos personales.
La compañía recuerda que sólo se podrán transmitir datos a aquellos países, territorios, sectores u organismos internacionales respecto de los que la Comisión Europea haya considerado que disponen de un nivel adecuado de protección.
Riesgos legales, técnicos y de seguridad
El tratamiento de datos por parte de proveedores que tengan su matriz o algún factor de conexión con EE.UU., a pesar de tener su ubicación física dentro del EEE, supone ciertos riesgos, tanto legales como a nivel técnico y de seguridad de los sistemas utilizados.
Desde el punto de vista legal, se podría dar la situación de que datos personales de europeos alojados en servidores de entidades estadounidenses con sede en Europa, fueran tratados por autoridades estadounidenses de acuerdo con su normativa y, por tanto, implicar una transferencia internacional no conforme con la normativa europea.
Se da la circunstancia de que en EE.UU. el Cloud Act, una de las fuentes que regulan la legislación en las disposiciones aplicables a proveedores allí ubicados, permite el acceso de las autoridades a los datos almacenados en servidores de empresas estadounidenses con independencia de su ubicación.
En línea con lo anterior, en virtud de esta norma se podrían producir transferencias internacionales de datos con destino a EE.UU. (cuando exista una orden judicial justificada por motivos de seguridad nacional), sin tener en cuenta acuerdos internacionales existentes.
Transferencia de datos personales fuera de la EEE, así tiene que ser el proceso
Posibles sanciones administrativas
APECDATA destaca también que la realización de transferencias internacionales de datos personales que no adopten las garantías necesarias podría dar lugar a multas administrativas de hasta 20 millones de euros.
Para evitar este tipo de sanciones, se recomienda que para la contratación de estos servicios se tengan en cuenta de forma prioritaria cuestiones como la ubicación del proveedor y dónde se tratarán de forma efectiva los datos, las medidas de seguridad aplicadas y las garantías contractuales que pudiera ofrecer el proveedor de cloud.
Garantías para la transferencia de datos
Según se desprende del informe, la transferencia internacional de datos podrá tener lugar, siempre y cuando se ofrezcan “garantías adecuadas”:
- disposición de instrumentos jurídicamente vinculantes y exigibles entre autoridades
- normas corporativas vinculantes
- cláusulas tipo en materia de protección de datos personales que sean adoptadas por la Comisión
Asimismo, deberá ser exigible que tanto el Importador como el Exportador de los datos se encuentren adheridos a algún código de conducta aprobado por parte de alguna autoridad nacional de protección de datos, junto con compromisos vinculantes y exigibles de Importador y Exportador, incluidos los de los derechos de los interesados.
Por último, APECDATA pone de relieve la importancia de que tanto el Importador como el Exportador se encuentren adheridos a mecanismos de certificación oficiales, ya sea por vía contractual o mediante instrumento jurídicamente vinculante para aplicar las garantías.
