Global Politics and Law

Análisis juridico global

Protección de Datos Personales

Transferencia internacional de datos personales

por Julio González García | Mar 4, 2025

transferencia internacional de datos
Indice
2
3

Al parecer, un comité de la Cámara de Representantes de EEUU se ha pronunciado a favor de apoyar los esfuerzos del secretario de Estado para alcanzar un compromiso diplomático entre Marruecos y España sobre el futuro de Ceuta y Melilla. Lo de menos es saber qué es exactamente lo que está haciendo ese sujeto. Lo realmente preocupante es que estamos en la antesala de un grave problema, aumentado por la prometida venganza de EEUU por la actitud de España con ocasión de la actual guerra del golfo Pérsico.
Forzoso es comenzar por aceptar que la relación con el reino alauita es aparentemente correcta, pero está plagada de tumores, históricos y presentes, por más que el observador quiera y deba apartar todos los apriorismos negativos que entran en el análisis, pero la realidad es la que es y no ofrece motivos para el optimismo. Hay un primer punto que es obligado destacar: aun aceptando que Trump es un tipejo indeseable, es un grave error buscar el enfrentamiento con él, y, de paso, con USA, con el objetivo prioritario de presentarse ante la izquierda española – y Europea, según delira Sánchez - como máximo adalid del pensamiento progresista y de la gallardía ante el imperialismo belicista.
Las consecuencias son fácilmente previsibles, y ahí tenemos la amenaza de supresión de las bases norteamericanas en España, cosa que la progresía de salón, y algunos más de los socios de Sánchez, consideran una gran noticia, sin reparar en que el gran beneficiado puede ser Marruecos, a cuyo territorio pueden ir a parar las bases con todo lo que eso comporta, lo cual no se limita a la pérdida de unos “inquilinos”, sino que va mucho más allá, alterando gravemente la defensa de los intereses españoles.
Pero Sánchez, agobiado por las encuestas desfavorables, tenía que buscar en el baúl recursos propagandísticos y uno era el del “no a la guerra”, que irá acompañado, de aquí a las elecciones generales, del grito “OTAN no, bases fuera”, que estuvo en boga a comienzos de los 80. La probada frivolidad del actual PSOE y su jefe no detendrá el dislate, pues ningún precio para España es demasiado alto si se trata de los intereses electorales inmediatos.
Me he referido a uno más de los disparates sanchistas, pero el tema de estas notas es la relación con Marruecos. Para la mayoría de los españoles (datos del Real Instituto Elcano) Marruecos es la más grave amenaza exterior de España, muy por encima de Rusia que, en su caso, es un problema que España comparte con toda Europa en tanto que el marroquí es estrictamente español, y si la detección de la opinión se centra en Ceuta o Melilla o, incluso, en Canarias, el nivel de preocupación es mucho mayor.
A la gravedad estratégica de buscar el enfrentamiento con USA ( y con Israel) se suma la baja reacción ante hechos ya acaecidos, como han sido las invasiones incontroladas de inmigrantes ayudados por la Administración marroquí, los apresamientos injustificados de pesqueros españoles, la falta de respeto a las aguas territoriales españolas (determinadas por las Islas Canarias), y la frecuencia con la que diferentes voceros marroquíes se jactan de que el crecimiento demográfico de sus nacionales en España es un arma cargada de futuro, crecimiento que, además, sufraga en buena parte el sistema de seguridad social español.
Mientras que eso sucede, Marruecos anuncia sus proyectos de hacerse con las riquezas que atesora el suelo marino en las aguas cercanas a las Canarias y al Sahara Occidental, al que España ha abandonado a su suerte, indiferente a los intereses de sus habitantes, muchos de los cuales son, además, españoles. La tesis marroquí de que las grandes riquezas minerales que se encuentran en esas aguas le “pertenecen”, pretensión que carece de base tanto geográfica como histórica, es vista con mucha comprensión por USA, que, por supuesto, confía en beneficiarse antes o después de las políticas marroquíes de hechos consumados.
Entre tanto, España se limita a protestar, pero sin dar paso alguno en defensa de sus derechos, ya sea por temor al enfrentamiento abierto con Marruecos, ya por no contrariar al Gran Hermano yanqui, al que, paralelamente, Sánchez se permite chulear de cara a la galería, a la vez que su Gobierno, por boca del impresentable Ministro de Asuntos Exteriores, aumenta la marca de sandeces históricas asegurando que no hay ninguna razón para temer consecuencias negativas derivadas de las prohibiciones de uso de las bases de Rota y Morón. Para troncharse de risa.
Da vértigo la facilidad con la que España parece olvidar cómo las gasta Marruecos, y no por su gallardía bélica, sino por su habilidad para aprovechar los malos momentos hispanos. Hay que recordar la marcha verde sobre el Sahara Occidental durante la agonía de Franco, y el idilio de la administración Trump con Rabat es otro escenario malo para España, si, además, se combina con nuestro actual panorama político. Decir que Marruecos podría intentar apoderarse de un zarpazo de Ceuta o Melilla (por supuesto, con la abierta ayuda de USA) suena a idea fantasiosa carente de base, pero es grave imprudencia no querer contemplar esa posibilidad.
La tolerancia con las exigencias marroquíes alcanzó uno de sus puntos culminantes con la escandalosa decisión de reconocer la soberanía de Marruecos sobre el Sahara Occidental, con lo que España traicionaba definitivamente a los que en su momento fueron españoles. Sin que antes hubiera un debate en las Cortes, como sería lo adecuado en tema de esa importancia, Sánchez decidió en abril de 2022 dar la razón a Marruecos en el conflicto del Sahara Occidental, aceptando expresamente que la mejor solución sería la de dotar a aquel territorio de un estatuto de autonomía dentro del reino alauita, zanjando definitivamente la obligación de respetar las resoluciones de Naciones Unidas, que en modo alguno comportaban la integración directa en Marruecos.
Las consecuencias no se harían esperar, comenzando por poner al borde de la ruptura las relaciones con Argelia, dislate mayúsculo por muchos motivos, y entre ellos no es el menor el de la dependencia energética de España, necesitada del gas argelino. La torpeza estratégica y diplomática ha dado lugar a que España dependa ahora del gas que le vende EEUU, que además es peor y más caro que el argelino, según dicen los que saben de estas cosas, además de que, conociendo los cambios de humor de Trump, es altamente peligroso confiar en un suministrador que en cualquier momento puede decidir cerrar el grifo.

En otro plano se sitúan las relaciones humanas. Si comenzamos por los datos peores es obligado recordar que entre la población extranjera de las prisiones españolas el porcentaje mayor corresponde a marroquíes, es un mero hecho estadístico, pero puede ser valorado cuando se trata de la integración, pero el tema es, según creo, más grave:
Antes me he referido a la cuestión demográfica, y la abierta invocación que desde Marruecos se hace a la fuerza que suponen los vientres de las mujeres marroquíes inmigrantes, que traen sin cesar nuevos habitantes a España, país al que muchos de ellos nunca tendrán como propio, aunque haya crecientes excepciones que es obligado reconocer. En paralelo, las tasas de natalidad propias no paran de descender. Se trata de una “invasión lenta pero inexorable”, que se conjuga con la nula voluntad de integración de una gran mayoría de los marroquíes, que propenden a relacionarse exclusivamente entre ellos. Se dice, y algo de cierto hay en ello, que España no podría prescindir de la mano de obra extranjera en general y, en particular, marroquí, pero eso no es razón suficiente para no exigir comportamientos más respetuosos con España en tanto que país de acogida.
El tema de la integración ha tenido recientemente un importante momento crítico, provocado por la decisión del alcalde de Lérida de prohibir el velo integral (el burka y el niqab) en los espacios públicos. Su argumento es sencillo y, en mi opinión, contundente: es necesaria esa prohibición para la defensa de los derechos fundamentales de las mujeres. Las reacciones no se han hecho esperar, comenzando por el propio PSOE, Partido al que, vía PSC, pertenece el alcalde, y, por supuesto, una legión de progres de diferentes pelajes que se han lanzado a la defensa de la libertad de cultos y costumbres. No ha faltado tampoco quien ha acusado a la medida de “discriminatoria y racista”. ¡Cuánta necedad!
Esas reacciones ponen de manifiesto algo mucho más grave, como es la subestimación de lo que es el islamismo radical y lo que puede suponer, error imperdonable, especialmente si se tienen presentes episodios trágicos como los atentados de Atocha o los de las Ramblas de Barcelona. Pero según los defensores de la posición “respetuosa” con la singularidad islámica, una prohibición de esa clase interfiere la libertad de las mujeres musulmanas que decidan ocultar su rostro.
Ese problema se vivió hace años en Francia, donde la población musulmana es mucho más numerosa que en España, dando lugar a grades controversias, que no impidieron que en 2004 se prohibieran los signos religiosos ostensibles en la escuela pública. Unos años después, en 2010, se prohibió el burka con un argumento también simple y tajante: no se puede permitir que nadie circule por las calles enmascarado. La reacción de rechazo del islamismo fue la esperable, poniendo de manifiesto algo que a fuer de evidente no es valorado: las democracias occidentales son laicas, mientras que los Estados islámicos no lo son, y esa diferencia de partida explica la incapacidad islámica para comprender (y respetar) el modo de vida de los países libres.
Ese razonamiento, perfectamente trasportable a España, y va más allá de la cuestión de la supuesta “libertad de elección” de las mujeres (sin entrar en que esa libertad es indemostrable, siendo, en cambio, seguro el ambiente de control y presión en el que viven las musulmanas). Es absurdo invocar las libertades individuales, sin antes pararse a contemplar la cantidad de violencia contra las mujeres que entraña la imposición de vestimentas.
Haríamos bien los españoles en no olvidar que el islamismo (del que participan muchos marroquíes) pretende que sus propias leyes sean respetadas en Estados de Derecho en los que rigen otras, y para lograr ese objetivo no ha dudado en hacer correr la sangre, en España y en otros Estados europeos.
He comenzado hablando de la difícil relación con Marruecos y termino extendiendo el tema a la presencia del islamismo en nuestro país y en nuestra vida cotidiana. El riesgo de violencia existe y ojalá nunca pase de ser solo un riesgo, igual que sucede con el peligro de un indeseable conflicto bélico con Marruecos, que debe evitarse a toda costa, pero sin arrodillar a España.

Table of Contents
2
3

Transferencia internacional de datos personales

 

Planteamiento

La economía del siglo XXI es la de los datos personales. Incluso, parafraseando lo que Karl Marx señala en “El Capital”, se podría decir que, en el mundo del siglo XXI, el ciudadano no es un agente libre y su vampiro hoy es una variante del capital que son los captadores de datos; que no cesan en su empeño, mientras quede una gota de sangre, un dato, que chupar. Es el capitalismo de la supervisión de datos personales a que hace referencia Zuboff.

Podríamos señalar, incluso, que Europa es una isla de protección de datos personales dentro de un mundo en el que la vigilancia y la captación de datos personales está mucho más flexibilizado y no existen las garantías que tenemos en nuestro ordenamiento jurídico. Sí, ese RGPD que la Administración Trump-Musk ha puesto como aparente objetivo. No obstante, habría que recordar que las notas básicas del RGPD están recogidas en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea.

Este capitalismo de los datos es, además, un capitalismo de datos que se desarrolla en un mundo globalizado.

En la actualidad estamos transfiriendo datos personales fuera de nuestras fronteras a diario y sin darnos cuenta.  Un correo electrónico que envíe cualquiera de nosotros a sus estudiantes pasa por unos servidores de Google que pueden ubicarse en cualquier país del mundo. La localización de los usuarios de Android se remite automáticamente a los servidores de la misma empresa y sirven para tener la seguridad de que el bar al que vamos está más o menos concurrido... y para crear sesgos de comportamiento, claro. Cuando se recurre a un centro de atención telefónica deslocalizado y se accede a nuestros datos, se está realizando una transferencia internacional. El espacio que hemos adquirido a cualquier operador de cloud estará previsiblemente gestionado por una entidad domiciliada en los Estados Unidos, Israel, China o la India y los datos, por nimios que sean, circulan por la red a diario entre servidores que hacen pantalla para mejorar la latencia. Y qué decir cuándo hacemos operaciones financieras un tanto complejas incluso en la aplicación del banco que tenemos en nuestro dispositivo.

Incluso, cuando hacemos referencia a la ciberdelincuencia, estamos aludiendo a un problema normalmente de naturaleza internacional. Un problema que tiene consecuencias desde la perspectiva del Derecho interno, a tenor de lo que señala el Reglamento DORA (Digital Operational Resilience Act), esto es el Reglamento (UE) 2022/2554 del Parlamento europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 , cuyo ámbito se va a extender en un futuro lejano.

Más allá de la realidad práctica, el problema que genera la transferencia internacional de datos es sencillo: no hay un estándar común en todo el mundo y esto genera disfunciones, que la normativa europea quiere corregir, aunque, como veremos, resulta dificultoso. Entre otras cosas porque no hay suficiente percepción por parte de la opinión pública.

Desde la perspectiva de los proveedores de servicios vinculados a los datos, la percepción de los estándares legales sirve sólo para hacer de la competencia entre ordenamientos un elemento esencial de su devenir empresarial, buscando aquél que resulte más laxo. Y este es un factor que el ciudadano, por regla general, no conoce, o incluso tiene impresiones equivocadas: por tomar un dato simple, no importa que el servidor de Google esté domiciliado en Zaragoza, sino que, desde una perspectiva regulatoria, ese servidor es de una empresa sometida a la legislación de los EE.UU.

Nos encontramos, desde esta perspectiva, en una asimetría en el conocimiento que repercute negativamente en los derechos de los titulares de los datos personales.

Los titulares de los datos suelen vivir en un mundo de placebo hasta el momento en que les llega alguna comunicación indeseable y se preguntan quién y cómo ha tenido conocimiento de sus datos. No es consciente, por ejemplo, de cuáles son las cláusulas de remisión de archivos a través de whatsapp o Gmail y como quedan desguarnecidos. No es conveniente, en este sentido, meternos en el dark web para ver si hay algo nuestro. Seguro que sí.

Y teniendo en cuenta el elemento netamente tecnológico, nos podemos plantear si los órganos jurisdiccionales están en condiciones técnicas para resolver problemas cotidianos.

Hay, en consecuencia, un gran problema de distancia entre el derecho formal, el del RGPD y las normas complementarias, y la realidad. Vivimos, además, en un contexto en el que tenemos la legislación de máxima protección de los datos que no va de la mano de tener la mayor innovación en industrias y tecnologías de gestión de los datos. No hay más que recordar que el mercado de cloud está copado por tres empresas, las tres estadounidenses.

Concepto

Teniendo en cuenta la relevancia que tiene la transferencia internacional de datos, parece conveniente comenzar el análisis de la normativa europea con el propio concepto, algo que no está recogido en el RGPD.

No obstante, en el Segundo Informe de la Comisión sobre la aplicación del RGPD se asume la definición que se ha dado en el Comité Europeo sobre la Protección de Datos y, en consecuencia, se considera que existe una transferencia internacional cuando nos encontremos ante “toda comunicación de datos personales por parte de un responsable o encargado del tratamiento sujeto al RGPD a otro responsable o encargado del tratamiento en un tercer país, independientemente de que el tratamiento por parte de este último esté o no sujeto al RGPD”.  

Obviamente, el marco de la internacionalidad aquí no es por comparación con el territorio de los Estados sino del territorio de la Unión Europea.

Un breve apunte sobre el Derecho aplicable a la transferencia internacional de datos.

La situación que he descrito, de cierta indefensión por parte del titular de los datos personales, no es la consecuencia de la falta de normativa. De hecho, podemos decir que la normativa es abundante, ya sea a la hora de reconocer derechos, ya sea a la de prever protocolos, ya sea a la hora de remediar ataques a los datos personales.

Los datos personales surgen en buena parte de los negocios jurídicos; sin lugar a duda en todos los de e-commerce internacional. Hay datos personales cuando pedimos una camiseta a un operador chino, que la trae en un azaroso viaje en barco, que llega al puerto de Algeciras, para que lo recoja un operador de paquetería, que lo cede a un operador autónomo que lo lleva a nuestro domicilio. Hay datos cuando prestamos o nos prestan un servicio. Todos estos datos están vinculados a la actividad principal, a la que se aplica, con sus complementos, el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos. Y esto se aplica también cuando estamos adquiriendo criptoactivos en una máquina parecida a las de vending, como la que hay en centros comerciales.

Pero, al mismo tiempo, cuando hacemos una llamada a través de Whatsapp estamos también generando datos, o incluso con una llamada telefónica normal, Aquí podemos encontrar la protección que nos proporciona la legislación de telecomunicaciones, que tienen un capítulo de usuarios finales de telecomunicaciones, con sus derechos. A todos nos han vulnerado ese derecho a no ser molestado, en una llamada para vendernos un nuevo paquete, que por el más castellano intuimos que se ha producido en otro lugar del mundo.

Y más aún, el Reglamento DORA, sobre la ciberdelincuencia, contiene también una regulación que afecta a nuestros datos personales. Un elemento complementario que proporciona derechos a la ciudadanía en los casos de ataques que captan nuestros datos.

Por tanto, en este océano normativo tenemos que concretar el régimen básico, que es el que nos proporciona la legislación general de protección de datos.

El marco general del RGPD. De los aspectos formales del RGPD a los aspectos reales de una relación triangular

Ahora bien, cuando nos encontramos ante una transferencia internacional de datos, ¿podemos afirmar realmente que la relación afecta sólo a dos países, el país en donde esté domiciliado el emisor de los datos y el país donde esté domiciliado el receptor de los datos? O, dicho de otro modo, ¿es válido un esquema de transferencia sencilla de bienes o hay que dar un paso más, derivado de las peculiaridades de los datos?

La solución no es única, porque los medios a través de los cuales se realiza la transferencia no son únicos.

El esquema previsto en los artículos 44 y siguientes del RGPD puede ser válido en aquellos casos en los que la transferencia se realice a través de un soporte físico; un disco duro en donde estén almacenados los datos objeto de la transferencia y siempre que estos datos se almacenen en servidores domiciliados en el país de destino y sin que estén sometidos a una legislación diferente. En estos casos, el dato pasa de un ordenador a otro y, por ello, el marco de lo previsto en el RGPD parece adecuado. Pero, realmente, no es lo usual.

La cuestión es que, desde el momento en que se utilizan redes de telecomunicaciones y se almacenan los datos dentro de un cloud; hay que incluir en la relación siempre al país en donde radique el domicilio de la entidad prestadora de este servicio. Esta realidad práctica, que supera el marco jurídico formal del RGPD, es tanto más relevante cuanto que las legislaciones de países prestadores de estos servicios de cloud suele ser expansiva en su aplicabilidad, vinculada aparentemente a problemas de seguridad nacional. Es éste el marco práctico en el que se ha comprobar el cumplimiento de la regla de la protección equivalente. Pensemos en estos supuestos en donde siempre habrá transferencia de datos: almacenamiento de datos en servidores ubicados en el exterior o bajo el dominio de una empresa extranjera; contratación de servicios de procesamiento de datos con proveedores externos o el acceso a bases de datos corporativos desde sedes internacionales.

Por ello, a pesar de que aparentemente el mecanismo más razonable dentro de los previstos en el RGPD es el de las decisiones de adaptación, en la práctica será un procedimiento insuficiente; debiendo ser potenciado por el de los instrumentos contractuales; que están reforzados por las cláusulas contractuales tipo que ha aprobado la Comisión europea en su decisión de 4 de junio de 2021.

Regla general

El artículo 44 del RGPD y la jurisprudencia comunitaria han establecido que la transferencia de datos personales fuera del marco comunitario requiere que se cumpla con el principio de equivalencia de la protección para que resulte válido.

Una regla sencilla de formular pero que obliga a que se articule una investigación previa sobre el marco de referencia del Estado al que se van a dirigir los datos. Y, en consecuencia, hay que examinar los medios a través de los cuales se puede llegar a esa conclusión. En este sentido, tal como señaló el Tribunal de Justicia en Schremers II, “a tal efecto, la evaluación del nivel de protección garantizado en el contexto de una transferencia de esas características debe, en particular, tomar en consideración tanto las estipulaciones contractuales acordadas entre el responsable o el encargado del tratamiento establecidos en la Unión Europea y el destinatario de la transferencia establecido en el país tercero de que se trate como, por lo que atañe a un eventual acceso de las autoridades públicas de ese país tercero a los datos personales de ese modo transferidos, los elementos pertinentes del sistema jurídico de dicho país y, en particular, los mencionados en el artículo 45, apartado 2, del referido Reglamento”.

Decisiones de adecuación de los Estados

El marco legal del RGPD

Como se acaba de indicar, el marco más sencillo es el de las decisiones de adaptación. La decisión, de acuerdo con lo previsto en el artículo 45 RGPD supone que “la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica”.

En este momento hay once países que tienen estas decisiones adoptadas. Unas decisiones que deben ser reexaminadas con el transcurso del tiempo para comprobar que el marco sigue siendo válido de acuerdo con el marco comunitario de protección.

De acuerdo con lo previsto en el artículo 45, tres son los elementos primordiales de análisis por parte de la Comisión europea antes de dictar una decisión de esta naturaleza:

  1. En primer lugar, las condiciones generales de funcionamiento del Estado en lo relevante a las cláusulas de Estado de derecho, la normativa de seguridad pública, el acceso de las autoridades y cómo se está aplicando la normativa de protección de datos. Protección de derechos fundamentales y el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos constituyen elementos esenciales.
  2. En segundo lugar, el propio funcionamiento del modelo de protección de datos del país de destino. En particular, la existencia de una autoridad de control independiente, que garantice el cumplimiento de las normas, que asesore en el ejercicio de los derechos y que coopere con las autoridades de protección de datos de la Unión y sus estados miembros.
  3. El modelo de funcionamiento en materia de transferencia internacional de protección de datos.

El problema en la práctica

Las decisiones de adecuación pueden constituir un mecanismo adecuado para la protección de los derechos. No obstante, el papel lo aguanta todo, o casi todo. Me sorprende, a bote pronto, que se haya dictado una decisión en 2011 en relación con Israel, a pesar de que dispone de una normativa similar a la que provocó el rechazo a los Estados Unidos por parte del Tribunal de Justicia. Sobre la cuestión de los Estados Unidos volveré con posterioridad.

Me resulta sorprendente, en segundo lugar, que 11 de las 15 decisiones de adecuación sean anteriores al Reglamento General de Protección de Datos, más allá de que .

Pero más aún me sorprende cómo las decisiones de adecuación no recogen el problema más grave que tienen las empresas que manejan datos de carácter personal y que afectan al estándar europeo de protección: que es el de la subcontratación de infraestructuras o servicios -yendo a lo más simple, los servicios de atención al cliente- en terceros países. Y cito uno en concreto: la India; sobre el que no hay decisión de adecuación, pero sobre el cual recae buena parte de la actividad con datos que se recoge en este momento en el mundo.

El problema permanente e irresoluble de los Estados Unidos

Sin lugar a duda, Estados Unidos constituye el punto más conflictivo de la transferencia internacional de datos. Conflictividad que deriva de dos factores: la mayor parte de los datos personales circulan a través de infraestructuras de empresas de aquel país y, en segundo lugar, su legislación no deja de provocar sustos en relación con los estándares de protección de datos europeos. En un contexto político como el actual, la dificultad resulta especialmente significativa.

Como resulta conocido, las relaciones con los estadounidenses en materia de protección de datos han estado marcadas por las decisiones en las que se ha considerado que no son puerto seguro a los efectos de la transferencia de datos. Las dos sentencias Schrems II han venido considerando que los Estados Unidos no constituye un territorio seguro. El problema, sin discusión, consiste en qué se ha hecho desde Europa en ejecución de la sentencia cuando los datos siguen pasando por las infraestructuras de Amazon, Azure y Google. Francia, eso sí, prohibió la utilización de los sistemas de Microsoft en las instituciones francesas fruto precisamente de este problema.

Durante el mandato del presidente Biden hubo dos hechos significativos:

Por un lado, emitió en 2022 una orden ejecutiva (que hoy ha desaparecido de la página web de la Casa Blanca) en la que se comprometía a adoptar las garantías necesarias para que las actividades de investigación estadounidenses implementaran determinados compromisos de minimización y garantías en materia de protección de datos. Unos compromisos que permitieron la decisión de adecuación suscrita por la Comisión europea en 2023.

Pero, por el otro, la promulgación de la Ley de Reforma de la Inteligencia y Seguridad de Estados Unidos (RISAA, por sus siglas en inglés), que permite el control policial de modalidades de comunicaciones, e impone a, por ejemplo, los operadores de cloud (los que usamos todos, Amazon, Google o Microsoft, que son los vendedores mundiales de espacio cloud) que puedan comunicar ciertas comunicaciones que se realizan a través de sus servidores.

Resultan paradójico, en este sentido, tres elementos: a) que, a pesar de que la CLOUD ACT -la norma que permite revisar los datos que estén en servidores de empresas estadounidenses, estén donde estén éstos, sigue en vigor; se haya dictado una decisión de adecuación en el año 2023; b) que, a pesar de la promulgación de la RISAA, no se haya producido ninguna modificación ni análisis de la Comisión europea sobre el impacto que tiene dicha disposición en el ámbito de lo recogido en la decisión de adecuación; y c) que la AEPD haya considerado que Microsoft sea un sitio seguro a estos efectos de la transferencia de datos para sus clientes.

Aportación de garantías adecuadas

La adopción de una decisión de adecuación constituye el elemento más adecuado, pero no el único para permitir esta transferencia internacional de datos. Si tomamos lo que se dispone en el RGPD y en la práctica, nos encontramos con los siguientes elementos complementarios que nos proporcionan garantías adecuadas y equivalentes a las de las decisiones. Un marco que es el que está funcionando en la práctica en la mayor parte de los supuestos.

Los que están recogidos son los siguientes:

  1. Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.

Estos acuerdos deben cumplir con una serie de principios: a) Principio de limitación de la finalidad; b) Principios de exactitud y minimización de datos; c) Principio de limitación del plazo de conservación y d) Seguridad y confidencialidad de los datos.

  1. Normas corporativas vinculantes; “las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”. Estas normas tienen un contenido básico en el artículo 47 RGPD, esencialmente en relación con los derechos de los titulares de los datos personales.

Estos acuerdos tienen que estar autorizados por las autoridades de control más cercano a la toma de decisión sobre el acuerdo.

  1. Cláusulas tipo de protección de datos adoptadas por la Comisión:
    Con fecha 4 de junio de 2021, la Comisión Europea ha publicado el nuevo conjunto de cláusulas contractuales tipo que, además de sustituir a sus predecesoras, pretenden poder abarcar las transferencias entre responsables, entre responsable y encargado, entre encargados y entre encargado y responsable.

No obstante, sigue siendo necesario que el exportador de los datos, en su caso ayudado por el importador, analice el impacto que la legislación y/o la práctica vigente en el país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo. Además, adicionalmente, deberán tenerse en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente.
Decisión de Ejecución (UE) 2021/914 DE LA COMISIÓN de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo

  1. Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión
  2. Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas
  3. Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas.

La característica más relevante que tienen estas garantías adecuadas está constituida por el hecho de que están sometidos a un régimen de autorización administrativa previa por parte de la AEPD.

Excepciones para situaciones específicas

Junto con los mecanismos anteriores, que se pueden considerar los ordinarios, existen excepciones que permiten la transferencia en circunstancias específicas. Concretamente, el artículo 49 prevé los siguientes, que tienen, eso sí, la categoría de elementos supletorios frente a los otros:

  1. Consentimiento, previo conocimiento de los riesgos derivados de que el tercer país no proporciona garantías suficientes.
  2. Vinculación entre los datos y la ejecución de un contrato en que el titular de los derechos sea parte o se realice por interés del titular del derecho.
  3. Que la transferencia se realice por razones de interés públicos.
  4. Que resulte necesario para el ejercicio de derechos, incluida la presentación de reclamaciones
  5. Cuando se trate de proporcionar protección a los intereses vitales de los interesados en caso de discapacidad.
  6. Cuando se realice desde un lugar cuyo objeto sea proporcionar información.

La característica más relevante que tienen estas garantías adecuadas está constituida por el hecho de que están sometidos a un régimen de comunicación previa a la AEPD.

Consideraciones finales

El problema al que nos enfrentamos en la actualidad es el de la competencia de ordenamientos y cómo hay una presión para que el consenso se haga a la baja, como mecanismo para incrementar la apropiación de beneficios por parte de las empresas que gestionan los datos personales. Especialmente, en el ámbito europeo se están recibiendo numerosas presiones, derivadas de ese lugar común de que Europa no progresa ni innova como consecuencia del RGPD.

El Bolero de Ravel es una parábola de esta competencia de ordenamientos: si Europa cede, a la larga se equipararán a la baja estos requisitos para volver a iniciar, como en el segundo movimiento de la composición un nuevo desarrollo bajo acordes más bajos.

El problema, creo, no lo debemos situar ahí sino dónde radican los aspectos básicos de protección; que no pueden estar en un texto normativo sino en una política de protección de datos que persiga la protección de la ciudadanía. Recordemos que, como se señaló en su momento, al otro lado del Atlántico tenemos un Datahocolic, en Asia, de forma más sutil y callada, otro tanto de lo mismo. Y en el fondo del darkweb todos aquellos archivos digitales que creímos borrados de nuestros dispositivos móviles. Somos nosotros quienes decidimos.

Paradójicamente, sólo En Francia, por el contrario, se está empezando a desarrollar un debate público en relación con esta cuestión, aunque se quede en la cuestión fiscal. Se ha hablado, de este modo, de arbitrar un mecanismo de cobro de impuestos por el beneficio obtenido por el trabajo gratuito de los internautas. En esta línea, se empieza a abrir el debate en este país sobre la vinculación de los datos personales a la cuestión de la soberanía digital de los países; lo que sirve, entre otras cosas, para arbitrar mecanismos de cese en su acceso con carácter lucrativo. De hecho, no podemos olvidar el dato de que ingentes cantidades de información de todo tipo está siendo traspasada desde Europa a los EE.UU., ya que las 5 grandes empresas que he citado con anterioridad está domiciliadas en aquél país.

Este es el texto es el contenido de mi intervención en el Congreso Internacional "Desafíos pendientes en la digitalizacion de los mercados financieros", dirigido por Isabel Fernández Torres y celebrado en la Facultad de Derecho de la UCM los días 4, 5 y 6 marzo de 2025.

Autor

¿Necesita asesoramiento especializado en Derecho administrativo?

 

Consultar en GPLaw.es →

ARTICULOS RELACIONADOS.