Transferencia internacional de datos personales

Planteamiento

La economía del siglo XXI es la de los datos personales. Incluso, parafraseando lo que Karl Marx señala en “El Capital”, se podría decir que, en el mundo del siglo XXI, el ciudadano no es un agente libre y su vampiro hoy es una variante del capital que son los captadores de datos; que no cesan en su empeño, mientras quede una gota de sangre, un dato, que chupar. Es el capitalismo de la supervisión de datos personales a que hace referencia Zuboff.

Podríamos señalar, incluso, que Europa es una isla de protección de datos personales dentro de un mundo en el que la vigilancia y la captación de datos personales está mucho más flexibilizado y no existen las garantías que tenemos en nuestro ordenamiento jurídico. Sí, ese RGPD que la Administración Trump-Musk ha puesto como aparente objetivo. No obstante, habría que recordar que las notas básicas del RGPD están recogidas en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea.

Este capitalismo de los datos es, además, un capitalismo de datos que se desarrolla en un mundo globalizado.

En la actualidad estamos transfiriendo datos personales fuera de nuestras fronteras a diario y sin darnos cuenta.  Un correo electrónico que envíe cualquiera de nosotros a sus estudiantes pasa por unos servidores de Google que pueden ubicarse en cualquier país del mundo. La localización de los usuarios de Android se remite automáticamente a los servidores de la misma empresa y sirven para tener la seguridad de que el bar al que vamos está más o menos concurrido… y para crear sesgos de comportamiento, claro. Cuando se recurre a un centro de atención telefónica deslocalizado y se accede a nuestros datos, se está realizando una transferencia internacional. El espacio que hemos adquirido a cualquier operador de cloud estará previsiblemente gestionado por una entidad domiciliada en los Estados Unidos, Israel, China o la India y los datos, por nimios que sean, circulan por la red a diario entre servidores que hacen pantalla para mejorar la latencia. Y qué decir cuándo hacemos operaciones financieras un tanto complejas incluso en la aplicación del banco que tenemos en nuestro dispositivo.

Incluso, cuando hacemos referencia a la ciberdelincuencia, estamos aludiendo a un problema normalmente de naturaleza internacional. Un problema que tiene consecuencias desde la perspectiva del Derecho interno, a tenor de lo que señala el Reglamento DORA (Digital Operational Resilience Act), esto es el Reglamento (UE) 2022/2554 del Parlamento europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 , cuyo ámbito se va a extender en un futuro lejano.

Más allá de la realidad práctica, el problema que genera la transferencia internacional de datos es sencillo: no hay un estándar común en todo el mundo y esto genera disfunciones, que la normativa europea quiere corregir, aunque, como veremos, resulta dificultoso. Entre otras cosas porque no hay suficiente percepción por parte de la opinión pública.

Desde la perspectiva de los proveedores de servicios vinculados a los datos, la percepción de los estándares legales sirve sólo para hacer de la competencia entre ordenamientos un elemento esencial de su devenir empresarial, buscando aquél que resulte más laxo. Y este es un factor que el ciudadano, por regla general, no conoce, o incluso tiene impresiones equivocadas: por tomar un dato simple, no importa que el servidor de Google esté domiciliado en Zaragoza, sino que, desde una perspectiva regulatoria, ese servidor es de una empresa sometida a la legislación de los EE.UU.

Nos encontramos, desde esta perspectiva, en una asimetría en el conocimiento que repercute negativamente en los derechos de los titulares de los datos personales.

Los titulares de los datos suelen vivir en un mundo de placebo hasta el momento en que les llega alguna comunicación indeseable y se preguntan quién y cómo ha tenido conocimiento de sus datos. No es consciente, por ejemplo, de cuáles son las cláusulas de remisión de archivos a través de whatsapp o Gmail y como quedan desguarnecidos. No es conveniente, en este sentido, meternos en el dark web para ver si hay algo nuestro. Seguro que sí.

Y teniendo en cuenta el elemento netamente tecnológico, nos podemos plantear si los órganos jurisdiccionales están en condiciones técnicas para resolver problemas cotidianos.

Hay, en consecuencia, un gran problema de distancia entre el derecho formal, el del RGPD y las normas complementarias, y la realidad. Vivimos, además, en un contexto en el que tenemos la legislación de máxima protección de los datos que no va de la mano de tener la mayor innovación en industrias y tecnologías de gestión de los datos. No hay más que recordar que el mercado de cloud está copado por tres empresas, las tres estadounidenses.

Concepto

Teniendo en cuenta la relevancia que tiene la transferencia internacional de datos, parece conveniente comenzar el análisis de la normativa europea con el propio concepto, algo que no está recogido en el RGPD.

No obstante, en el Segundo Informe de la Comisión sobre la aplicación del RGPD se asume la definición que se ha dado en el Comité Europeo sobre la Protección de Datos y, en consecuencia, se considera que existe una transferencia internacional cuando nos encontremos ante “toda comunicación de datos personales por parte de un responsable o encargado del tratamiento sujeto al RGPD a otro responsable o encargado del tratamiento en un tercer país, independientemente de que el tratamiento por parte de este último esté o no sujeto al RGPD”.  

Obviamente, el marco de la internacionalidad aquí no es por comparación con el territorio de los Estados sino del territorio de la Unión Europea.

Un breve apunte sobre el Derecho aplicable a la transferencia internacional de datos.

La situación que he descrito, de cierta indefensión por parte del titular de los datos personales, no es la consecuencia de la falta de normativa. De hecho, podemos decir que la normativa es abundante, ya sea a la hora de reconocer derechos, ya sea a la de prever protocolos, ya sea a la hora de remediar ataques a los datos personales.

Los datos personales surgen en buena parte de los negocios jurídicos; sin lugar a duda en todos los de e-commerce internacional. Hay datos personales cuando pedimos una camiseta a un operador chino, que la trae en un azaroso viaje en barco, que llega al puerto de Algeciras, para que lo recoja un operador de paquetería, que lo cede a un operador autónomo que lo lleva a nuestro domicilio. Hay datos cuando prestamos o nos prestan un servicio. Todos estos datos están vinculados a la actividad principal, a la que se aplica, con sus complementos, el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos. Y esto se aplica también cuando estamos adquiriendo criptoactivos en una máquina parecida a las de vending, como la que hay en centros comerciales.

Pero, al mismo tiempo, cuando hacemos una llamada a través de Whatsapp estamos también generando datos, o incluso con una llamada telefónica normal, Aquí podemos encontrar la protección que nos proporciona la legislación de telecomunicaciones, que tienen un capítulo de usuarios finales de telecomunicaciones, con sus derechos. A todos nos han vulnerado ese derecho a no ser molestado, en una llamada para vendernos un nuevo paquete, que por el más castellano intuimos que se ha producido en otro lugar del mundo.

Y más aún, el Reglamento DORA, sobre la ciberdelincuencia, contiene también una regulación que afecta a nuestros datos personales. Un elemento complementario que proporciona derechos a la ciudadanía en los casos de ataques que captan nuestros datos.

Por tanto, en este océano normativo tenemos que concretar el régimen básico, que es el que nos proporciona la legislación general de protección de datos.

El marco general del RGPD. De los aspectos formales del RGPD a los aspectos reales de una relación triangular

Ahora bien, cuando nos encontramos ante una transferencia internacional de datos, ¿podemos afirmar realmente que la relación afecta sólo a dos países, el país en donde esté domiciliado el emisor de los datos y el país donde esté domiciliado el receptor de los datos? O, dicho de otro modo, ¿es válido un esquema de transferencia sencilla de bienes o hay que dar un paso más, derivado de las peculiaridades de los datos?

La solución no es única, porque los medios a través de los cuales se realiza la transferencia no son únicos.

El esquema previsto en los artículos 44 y siguientes del RGPD puede ser válido en aquellos casos en los que la transferencia se realice a través de un soporte físico; un disco duro en donde estén almacenados los datos objeto de la transferencia y siempre que estos datos se almacenen en servidores domiciliados en el país de destino y sin que estén sometidos a una legislación diferente. En estos casos, el dato pasa de un ordenador a otro y, por ello, el marco de lo previsto en el RGPD parece adecuado. Pero, realmente, no es lo usual.

La cuestión es que, desde el momento en que se utilizan redes de telecomunicaciones y se almacenan los datos dentro de un cloud; hay que incluir en la relación siempre al país en donde radique el domicilio de la entidad prestadora de este servicio. Esta realidad práctica, que supera el marco jurídico formal del RGPD, es tanto más relevante cuanto que las legislaciones de países prestadores de estos servicios de cloud suele ser expansiva en su aplicabilidad, vinculada aparentemente a problemas de seguridad nacional. Es éste el marco práctico en el que se ha comprobar el cumplimiento de la regla de la protección equivalente. Pensemos en estos supuestos en donde siempre habrá transferencia de datos: almacenamiento de datos en servidores ubicados en el exterior o bajo el dominio de una empresa extranjera; contratación de servicios de procesamiento de datos con proveedores externos o el acceso a bases de datos corporativos desde sedes internacionales.

Por ello, a pesar de que aparentemente el mecanismo más razonable dentro de los previstos en el RGPD es el de las decisiones de adaptación, en la práctica será un procedimiento insuficiente; debiendo ser potenciado por el de los instrumentos contractuales; que están reforzados por las cláusulas contractuales tipo que ha aprobado la Comisión europea en su decisión de 4 de junio de 2021.

Regla general

El artículo 44 del RGPD y la jurisprudencia comunitaria han establecido que la transferencia de datos personales fuera del marco comunitario requiere que se cumpla con el principio de equivalencia de la protección para que resulte válido.

Una regla sencilla de formular pero que obliga a que se articule una investigación previa sobre el marco de referencia del Estado al que se van a dirigir los datos. Y, en consecuencia, hay que examinar los medios a través de los cuales se puede llegar a esa conclusión. En este sentido, tal como señaló el Tribunal de Justicia en Schremers II, “a tal efecto, la evaluación del nivel de protección garantizado en el contexto de una transferencia de esas características debe, en particular, tomar en consideración tanto las estipulaciones contractuales acordadas entre el responsable o el encargado del tratamiento establecidos en la Unión Europea y el destinatario de la transferencia establecido en el país tercero de que se trate como, por lo que atañe a un eventual acceso de las autoridades públicas de ese país tercero a los datos personales de ese modo transferidos, los elementos pertinentes del sistema jurídico de dicho país y, en particular, los mencionados en el artículo 45, apartado 2, del referido Reglamento”.

Decisiones de adecuación de los Estados

El marco legal del RGPD

Como se acaba de indicar, el marco más sencillo es el de las decisiones de adaptación. La decisión, de acuerdo con lo previsto en el artículo 45 RGPD supone que “la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica”.

En este momento hay once países que tienen estas decisiones adoptadas. Unas decisiones que deben ser reexaminadas con el transcurso del tiempo para comprobar que el marco sigue siendo válido de acuerdo con el marco comunitario de protección.

De acuerdo con lo previsto en el artículo 45, tres son los elementos primordiales de análisis por parte de la Comisión europea antes de dictar una decisión de esta naturaleza:

1. En primer lugar, las condiciones generales de funcionamiento del Estado en lo relevante a las cláusulas de Estado de derecho, la normativa de seguridad pública, el acceso de las autoridades y cómo se está aplicando la normativa de protección de datos. Protección de derechos fundamentales y el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos constituyen elementos esenciales.
2. En segundo lugar, el propio funcionamiento del modelo de protección de datos del país de destino. En particular, la existencia de una autoridad de control independiente, que garantice el cumplimiento de las normas, que asesore en el ejercicio de los derechos y que coopere con las autoridades de protección de datos de la Unión y sus estados miembros.
3. El modelo de funcionamiento en materia de transferencia internacional de protección de datos.

El problema en la práctica

Las decisiones de adecuación pueden constituir un mecanismo adecuado para la protección de los derechos. No obstante, el papel lo aguanta todo, o casi todo. Me sorprende, a bote pronto, que se haya dictado una decisión en 2011 en relación con Israel, a pesar de que dispone de una normativa similar a la que provocó el rechazo a los Estados Unidos por parte del Tribunal de Justicia. Sobre la cuestión de los Estados Unidos volveré con posterioridad.

Me resulta sorprendente, en segundo lugar, que 11 de las 15 decisiones de adecuación sean anteriores al Reglamento General de Protección de Datos, más allá de que .

Pero más aún me sorprende cómo las decisiones de adecuación no recogen el problema más grave que tienen las empresas que manejan datos de carácter personal y que afectan al estándar europeo de protección: que es el de la subcontratación de infraestructuras o servicios -yendo a lo más simple, los servicios de atención al cliente- en terceros países. Y cito uno en concreto: la India; sobre el que no hay decisión de adecuación, pero sobre el cual recae buena parte de la actividad con datos que se recoge en este momento en el mundo.

El problema permanente e irresoluble de los Estados Unidos

Sin lugar a duda, Estados Unidos constituye el punto más conflictivo de la transferencia internacional de datos. Conflictividad que deriva de dos factores: la mayor parte de los datos personales circulan a través de infraestructuras de empresas de aquel país y, en segundo lugar, su legislación no deja de provocar sustos en relación con los estándares de protección de datos europeos. En un contexto político como el actual, la dificultad resulta especialmente significativa.

Como resulta conocido, las relaciones con los estadounidenses en materia de protección de datos han estado marcadas por las decisiones en las que se ha considerado que no son puerto seguro a los efectos de la transferencia de datos. Las dos sentencias Schrems II han venido considerando que los Estados Unidos no constituye un territorio seguro. El problema, sin discusión, consiste en qué se ha hecho desde Europa en ejecución de la sentencia cuando los datos siguen pasando por las infraestructuras de Amazon, Azure y Google. Francia, eso sí, prohibió la utilización de los sistemas de Microsoft en las instituciones francesas fruto precisamente de este problema.

Durante el mandato del presidente Biden hubo dos hechos significativos:

Por un lado, emitió en 2022 una orden ejecutiva (que hoy ha desaparecido de la página web de la Casa Blanca) en la que se comprometía a adoptar las garantías necesarias para que las actividades de investigación estadounidenses implementaran determinados compromisos de minimización y garantías en materia de protección de datos. Unos compromisos que permitieron la decisión de adecuación suscrita por la Comisión europea en 2023.

Pero, por el otro, la promulgación de la Ley de Reforma de la Inteligencia y Seguridad de Estados Unidos (RISAA, por sus siglas en inglés), que permite el control policial de modalidades de comunicaciones, e impone a, por ejemplo, los operadores de cloud (los que usamos todos, Amazon, Google o Microsoft, que son los vendedores mundiales de espacio cloud) que puedan comunicar ciertas comunicaciones que se realizan a través de sus servidores.

Resultan paradójico, en este sentido, tres elementos: a) que, a pesar de que la CLOUD ACT -la norma que permite revisar los datos que estén en servidores de empresas estadounidenses, estén donde estén éstos, sigue en vigor; se haya dictado una decisión de adecuación en el año 2023; b) que, a pesar de la promulgación de la RISAA, no se haya producido ninguna modificación ni análisis de la Comisión europea sobre el impacto que tiene dicha disposición en el ámbito de lo recogido en la decisión de adecuación; y c) que la AEPD haya considerado que Microsoft sea un sitio seguro a estos efectos de la transferencia de datos para sus clientes.

Aportación de garantías adecuadas

La adopción de una decisión de adecuación constituye el elemento más adecuado, pero no el único para permitir esta transferencia internacional de datos. Si tomamos lo que se dispone en el RGPD y en la práctica, nos encontramos con los siguientes elementos complementarios que nos proporcionan garantías adecuadas y equivalentes a las de las decisiones. Un marco que es el que está funcionando en la práctica en la mayor parte de los supuestos.

Los que están recogidos son los siguientes:

1. Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.

Estos acuerdos deben cumplir con una serie de principios: a) Principio de limitación de la finalidad; b) Principios de exactitud y minimización de datos; c) Principio de limitación del plazo de conservación y d) Seguridad y confidencialidad de los datos.

1. Normas corporativas vinculantes; “las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”. Estas normas tienen un contenido básico en el artículo 47 RGPD, esencialmente en relación con los derechos de los titulares de los datos personales.

Estos acuerdos tienen que estar autorizados por las autoridades de control más cercano a la toma de decisión sobre el acuerdo.

1. Cláusulas tipo de protección de datos adoptadas por la Comisión:
   Con fecha 4 de junio de 2021, la Comisión Europea ha publicado el nuevo conjunto de cláusulas contractuales tipo que, además de sustituir a sus predecesoras, pretenden poder abarcar las transferencias entre responsables, entre responsable y encargado, entre encargados y entre encargado y responsable.

No obstante, sigue siendo necesario que el exportador de los datos, en su caso ayudado por el importador, analice el impacto que la legislación y/o la práctica vigente en el país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo. Además, adicionalmente, deberán tenerse en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente.
Decisión de Ejecución (UE) 2021/914 DE LA COMISIÓN de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo

1. Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión
2. Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas
3. Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas.

La característica más relevante que tienen estas garantías adecuadas está constituida por el hecho de que están sometidos a un régimen de autorización administrativa previa por parte de la AEPD.

Excepciones para situaciones específicas

Junto con los mecanismos anteriores, que se pueden considerar los ordinarios, existen excepciones que permiten la transferencia en circunstancias específicas. Concretamente, el artículo 49 prevé los siguientes, que tienen, eso sí, la categoría de elementos supletorios frente a los otros:

1. Consentimiento, previo conocimiento de los riesgos derivados de que el tercer país no proporciona garantías suficientes.
2. Vinculación entre los datos y la ejecución de un contrato en que el titular de los derechos sea parte o se realice por interés del titular del derecho.
3. Que la transferencia se realice por razones de interés públicos.
4. Que resulte necesario para el ejercicio de derechos, incluida la presentación de reclamaciones
5. Cuando se trate de proporcionar protección a los intereses vitales de los interesados en caso de discapacidad.
6. Cuando se realice desde un lugar cuyo objeto sea proporcionar información.

La característica más relevante que tienen estas garantías adecuadas está constituida por el hecho de que están sometidos a un régimen de comunicación previa a la AEPD.

Consideraciones finales

El problema al que nos enfrentamos en la actualidad es el de la competencia de ordenamientos y cómo hay una presión para que el consenso se haga a la baja, como mecanismo para incrementar la apropiación de beneficios por parte de las empresas que gestionan los datos personales. Especialmente, en el ámbito europeo se están recibiendo numerosas presiones, derivadas de ese lugar común de que Europa no progresa ni innova como consecuencia del RGPD.

El Bolero de Ravel es una parábola de esta competencia de ordenamientos: si Europa cede, a la larga se equipararán a la baja estos requisitos para volver a iniciar, como en el segundo movimiento de la composición un nuevo desarrollo bajo acordes más bajos.

El problema, creo, no lo debemos situar ahí sino dónde radican los aspectos básicos de protección; que no pueden estar en un texto normativo sino en una política de protección de datos que persiga la protección de la ciudadanía. Recordemos que, como se señaló en su momento, al otro lado del Atlántico tenemos un Datahocolic, en Asia, de forma más sutil y callada, otro tanto de lo mismo. Y en el fondo del darkweb todos aquellos archivos digitales que creímos borrados de nuestros dispositivos móviles. Somos nosotros quienes decidimos.

Paradójicamente, sólo En Francia, por el contrario, se está empezando a desarrollar un debate público en relación con esta cuestión, aunque se quede en la cuestión fiscal. Se ha hablado, de este modo, de arbitrar un mecanismo de cobro de impuestos por el beneficio obtenido por el trabajo gratuito de los internautas. En esta línea, se empieza a abrir el debate en este país sobre la vinculación de los datos personales a la cuestión de la soberanía digital de los países; lo que sirve, entre otras cosas, para arbitrar mecanismos de cese en su acceso con carácter lucrativo. De hecho, no podemos olvidar el dato de que ingentes cantidades de información de todo tipo está siendo traspasada desde Europa a los EE.UU., ya que las 5 grandes empresas que he citado con anterioridad está domiciliadas en aquél país.

Este es el texto es el contenido de mi intervención en el Congreso Internacional “Desafíos pendientes en la digitalizacion de los mercados financieros”, dirigido por Isabel Fernández Torres y celebrado en la Facultad de Derecho de la UCM los días 4, 5 y 6 marzo de 2025.