Con el
propósito de asegurar que el nivel de protección de las personas físicas
garantizado por el RGPD no se vea menoscabado cuando se realicen transferencias
a un tercer país, su Capítulo V, integrado por los
artículos 44 a 50, está dedicado a establecer el régimen que deben respetar
tanto los responsables como los encargados cuando realicen tales
transferencias. Es conocido que respecto de los terceros países que no han sido
objeto de una decisión estableciendo que garantizan un nivel de protección
adecuado, las transferencias de datos personales desde la Unión requieren que
el encargado o responsable del tratamiento en cuestión ofrezca garantías
adecuadas y a condición de que los interesados cuenten con derechos exigibles y
acciones legales efectivas, como dispone el artículo 46 RGPD. A falta de
decisión de adecuación y de garantías adecuadas, las transferencias de datos
personales a un tercer país únicamente pueden realizarse cuando concurre
algunas de las excepciones del artículo 49 RGPD. Ahora bien, ese gravoso
régimen aplicable a las transferencias internacionales a terceros Estados
coexiste en el RGPD con la norma relativa a su ámbito de aplicación territorial
(art. 3), en virtud de la cual, con independencia del lugar del mundo en el que
se lleve a cabo un tratamiento de datos personales –incluso si se trata de un
responsable encargado o establecido en un tercer Estado-, cuando el tratamiento
se halla regido por el RGPD conforme a su artículo 3 el encargado o responsable
debe cumplir con lo dispuesto en el RGPD. Datos personales de interesados que
se encuentren en la UE pueden ser tratados en terceros Estados sin que se haya
producido una transferencia internacional en el sentido del artículo 44 RGPD,
por ejemplo, cuando el interesado los facilita al responsable al cumplimentar
un formulario web. En tales situaciones, la exigencia del nivel de protección
establecido en el RGPD respecto del tratamiento que tiene lugar en el tercer
Estado deriva de que el responsable está directamente obligado a cumplir el
RGPD, lo que, conforme al artículo 3 puede ser el caso también en situaciones
en las que carezca de un establecimiento en la UE. Ahora bien, la ausencia de
una transferencia internacional implica que no resulta de aplicación el gravoso
régimen de los artículos 44 y ss. Por otra parte, puede suceder también que un responsable o encargado sujeto respecto de un tratamiento al RGPD, en virtud de su artículo 3, sea destinatario de una transferencia internacional de datos a un tercer país. En este contexto, presentan interés las Directrices 5/2021 del Comité Europeo
de Protección de Datos (CEPD o EDPB) (“Guidelines 05/2021 on the Interplay
between the application of Article 3 and the provisions on international transfers
as per Chapter V of the GDPR”), que complementan la aportación
clave previa en este ámbito, constituida por la célebre sentencia del Tribunal
de Justicia STJCE de 6 de noviembre de 2003, Lindqvist, C-101/01, EU:C:2003:596
(en concreto, sus apartados 56 a 71).
Ciertamente,
el principal propósito de las Directrices es delimitar qué tratamientos
constituyen una transferencia internacional y cuáles no, de modo que estos
últimos no quedan sometidos al régimen del Capítulo V, sin perjuicio de que los
responsables o encargados queden obligados a cumplir con el RGPD aunque el
tratamiento tenga lugar en el extranjero incluidas las medidas específicas que
deban adoptar de cara a asegurar el
cumplimiento del RGPD en tales circunstancias.
Es cierto que
el RGPD, al igual que el régimen previo, no contiene una definición de “transferencia
a un tercer país”. Cabe recordar que en el contexto similar de la normativa
anterior al RGPD, el Tribunal de Justicia abordó esa cuestión en la sentencia Lindqvist. En concreto, analizó si la
mera difusión de datos personales a través de páginas de Internet es con
carácter general susceptible de dar lugar a una transferencia internacional de
datos personales, alcanzando una respuesta negativa. Como argumento práctico el
Tribunal de Justicia puso de relieve que si se considerara que existe una
transferencia de datos a un país tercero cada vez que se publican datos
personales en una página web, como consecuencia del alcance global de Internet,
el régimen especial de transferencia internacional de datos se convertiría en
la práctica en un régimen de aplicación general a las actividades en Internet,
de manera que los Estados miembros estarían obligados prácticamente a impedir
cualquier difusión de los datos personales en Internet, habida cuenta de que la
mayoría de los países del mundo no garantizan un nivel de protección adecuado
conforme a los estándares de la UE (apdo. 69).
La solución
alcanzada por el Tribunal se basó en que la mera difusión de datos a través de
páginas de Internet no debe quedar comprendida con carácter general en la
categoría de transferencias internacionales con respecto a los posibles
usuarios de la información disponible en esas páginas. Además, proporcionó
ciertos criterios de delimitación de las situaciones en las que una revelación
de datos personales debe ser considerada una transferencia de datos, a los
efectos de la eventual consideración de la normativa restrictiva respecto a las
destinadas a países que no ofrecen un nivel de protección adecuado. En este
sentido, el Tribunal excluyó, en primer lugar, que ese tipo de transferencias
tenga lugar cuando la revelación no se produce como consecuencia del envío
automático de la información a personas que no hayan buscado deliberadamente
acceder a la misma, sino que solo está a disposición de quien decida acceder a
la misma mediante la realización a iniciativa propia de ciertas actividades de
consulta de los datos. A la luz de la sentencia, habría transferencia de datos
relevante a los efectos de los artículos 44 y ss. RGPD si existiera una
transferencia directa entre quien revela los datos y quien los recibe, pero no
en situaciones como las que se encuentran en el origen de la sentencia Lindqvist cuando los datos «se han
transmitido con la ayuda de la infraestructura informática del proveedor de
servicios de alojamiento de páginas web donde está almacenada la página» (apdo.
61). Además, el Tribunal pudo de relieve que su respuesta estaba condicionada
por la circunstancia de que la cuestión planteada no contempla las operaciones
realizadas por los proveedores de servicios de alojamiento de páginas web. Ciertamente,
su planteamiento respecto de la difusión de información a través de páginas web
no impide apreciar que entre el titular de la página web y el proveedor de esos
servicios sí existe normalmente una transmisión directa de información y además
el proveedor presta ciertos servicios al titular para lo que ha de acceder a
los datos, lo que justifica su consideración como encargado del tratamiento de
datos personales.
Elemento clave
de las Directrices 05/2021 es establecer que para que un tratamiento de datos
se considere “transferencia (a un tercer país)” a los efectos del Capítulo V
RGPD debe cumplir tres requisitos cumulativos, que son los siguientes.
“1)
A controller or a processor is subject to the GDPR for the given processing.
2) This controller or processor (“exporter”) discloses by transmission
or otherwise makes personal data, subject to this processing, available to
another controller, joint controller or processor (“importer”).
3) The importer is in a third country or is an international
organisation, irrespective of whether or not this importer is subject to the
GDPR in respect of the given processing in accordance with Article 3.”
En síntesis,
el responsable o encargado “exportador” de los datos debe estar sometido al
RGPD (conforme al artículo 3); debe revelar los datos al responsable o
encargado “importador” mediante su transmisión o puesta a disposición por otra
vía; y el “importador” debe estar en un tercer país, sin que resulte relevante
si se halla o no sometido al RGPD para ese concreto tratamiento conforme al
artículo 3 RGPD.
Ciertamente de
estos tres requisitos, el que presenta mayores dificultades de concreción es el
segundo, para cuya clarificación resultan de gran interés los seis ejemplos que
proporcionan las Directrices. En particular, destaca el EDPB que no se cumple
ese requisito cuando los datos son facilitados por el interesado directamente y
por iniciativa propia, por ejemplo, cuando los facilita cumplimentando un
formulario del responsable. Asimismo, pone de relieve que ese requisito tampoco
se cumple en situaciones en las que no están implicadas dos partes (con
independencia de si son responsables o encargados) distintas, de modo que el
tratamiento tiene lugar por el mismo responsable o encargado, como cuando un empleado de la empresa responsable establecida
en la UE se desplaza a un tercer país y
desde allí accede a los datos personales de las bases de datos de la empresa.
Insiste el EDPB en que la no consideración como “transferencia a un tercer país” se complementa con la
necesidad de que el responsable o encargado adopte todas las medidas necesarias
para asegurar el cumplimiento de sus obligaciones bajo el RGPD (incluida la adopción de medidas técnicas u
organizativas conforme a su artículo 32) también cuando ese tratamiento –al que
resulta aplicable el RGPD en virtud de su artículo 3- tiene lugar en el tercer
Estado.
Otra cuestión
de interés que ponen de relieve las Directrices es que la necesidad de
proporcionar garantías adecuadas conforme al artículo 46 RGPD respecto de los
tratamientos calificados como “transferencias a un tercer país” opera también
en aquellas situaciones en las que el responsable o encargado “importador” se
halla sometido respecto de ese tratamiento al RGPD con base en su artículo 3 (por
ejemplo, porque la transferencia va referida a datos que trata un encargado en
la UE relativos a la oferta de productos o servicios en la UE del responsable
establecido en un tercer Estado).
El EDPB destaca que la circunstancia de que el “importador” esté sometido al RGPD respecto de ese
tratamiento implica que las garantías exigibles deban adecuarse a
esa situación, limitando su alcance, para no duplicar las obligaciones que ya
tiene en tanto que responsable o encargado al que le resulta directamente
aplicable el RGPD. Constata el EDPB que eso aconseja el desarrollo de
herramientas específicas de cara al futuro, pues las actuales no lo contemplan.
En particular, cabe reseñar que la Decisión de ejecución (UE) 2021/914 relativa
a las cláusulas contractuales tipo para la transferencia de datos personales a
terceros países no resulta de aplicación a las transferencias a un importador
de datos situado en un tercer pero sujeto respecto de la actividad de
tratamiento en cuestión al RGPD.
