La
adopción por el Comité Europeo de Protección de Datos (CEPD o EDPB) de la
versión 2.0 de sus Directrices 5/2021 (“Guidelines 05/2021 on the Interplay
between the application of Article 3 and the provisions on international
transfers as per Chapter V of the GDPR”, v. 2.0), de 14 de febrero de 2023,
con ciertas precisiones y ejemplos adicionales, justifica volver sobre esta compleja
cuestión, que resulta clave con respecto a la dimensión internacional del RGPD, tomando
como punto de partida la entrada que dediqué a la versión inicial de las
Directrices. Este documento recoge los criterios básicos para delimitar el
concepto de “transferencias de datos personales a terceros países”, como
categoría determinante de la aplicación del régimen de garantías y
restricciones previstas en el Capítulo V del RGPD, así como los fundamentos de
su interacción con el ámbito de aplicación territorial del RGPD, que determina,
en particular, el sometimiento al conjunto del RGPD de los responsables o
encargados no establecidos en la Unión cuando concurren las circunstancias establecidas
en su artículo 3.2.
Cabe recordar que el Capítulo V del RGPD, integrado por los artículos 44 a 50, está dedicado a establecer el régimen que deben respetar tanto los responsables como los encargados cuando realicen transferencias a un tercer país, con el propósito de asegurar que el nivel de protección de las personas físicas garantizado por el RGPD no se vea menoscabado cuando consecuencia de tales transferencias. Es conocido que respecto de los terceros países que no han sido objeto de una decisión estableciendo que garantizan un nivel de protección adecuado, las transferencias de datos personales desde la Unión requieren que el encargado o responsable del tratamiento en cuestión ofrezca garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas, como dispone el artículo 46 RGPD. A falta de decisión de adecuación y de garantías adecuadas, las transferencias de datos personales a un tercer país únicamente pueden realizarse cuando concurre algunas de las excepciones del artículo 49 RGPD.
Ahora
bien, ese gravoso régimen aplicable a las transferencias internacionales a
terceros Estados coexiste en el RGPD con la norma relativa a su ámbito de
aplicación territorial (art. 3), en virtud de la cual, con independencia del
lugar del mundo en el que se lleve a cabo un tratamiento de datos personales
–incluso si se trata de un responsable encargado o establecido en un tercer
Estado-, cuando el tratamiento esté regido por el RGPD conforme a su artículo 3
el encargado o responsable debe cumplir con lo dispuesto en el RGPD. Como se detalla
en las Directrices, datos personales de interesados que se encuentren en la UE
pueden ser tratados en terceros Estados sin que se haya producido una
transferencia internacional en el sentido del artículo 44 RGPD, por ejemplo,
cuando el interesado los facilita al responsable al cumplimentar un formulario
web. En tales situaciones, la exigencia del nivel de protección establecido en
el RGPD respecto del tratamiento que tiene lugar en el tercer Estado es
aplicable en la medida en que el responsable esté directamente obligado a
cumplir el RGPD, lo que, conforme al artículo 3.2 puede ser el caso también en
situaciones en las que carezca de un establecimiento en la UE. Ahora bien, la ausencia
de una transferencia internacional implica que no resulta de aplicación el
gravoso régimen de los artículos 44 y ss, que sí lo será cuando ese responsable
transfiera los datos a un responsable o encargado situado en un tercer país (incluso
aunque sea el mismo país).
El
principal propósito de las Directrices es delimitar qué tratamientos
constituyen una transferencia internacional y cuáles no, de modo que estos
últimos no quedan sometidos al régimen del Capítulo V, sin perjuicio de que los
responsables o encargados aunque situados en un tercer Estados puedan estar
obligados a cumplir con el RGPD, en la medida en que éste resulte aplicable con
respecto a tales tratamientos con base en su artículo 3.2 Se trata de
situaciones que pueden exigir la adopción de medidas específicas de cara a asegurar el cumplimiento del RGPD en
tales circunstancias que generan riesgos específicos al tener lugar el
tratamiento de los datos personales en un país tercero. Por ejemplo, tal puede
ser el caso en relación con el eventual acceso por las autoridades del tercer
país en cuestión a los datos personales tratados en ese país por un responsable
o encargado allí establecido en circunstancias en las que el RGPD le es
aplicable conforme a su artículo 3.2, como se analiza en los apartados 31 a 34
de las Directrices.
La
necesidad de proporcionar garantías adecuadas conforme al artículo 46 RGPD
respecto de los tratamientos calificados como “transferencias a un tercer país”
opera también en aquellas situaciones en las que el responsable o encargado
“importador” se halla sometido respecto de ese tratamiento al RGPD con base en
su artículo 3 (por ejemplo, porque la transferencia va referida a datos que
trata un encargado en la UE relativos a la oferta de productos o servicios en
la UE del responsable establecido en un tercer Estado). La circunstancia de que
el “importador” esté sometido al RGPD respecto del tratamiento en cuestión
implica que las garantías exigibles con base en el Capítulo V (art. 46 RGPD)
deban adecuarse a esa situación, limitando su alcance, para no duplicar las
obligaciones que ya tiene en tanto que responsable o encargado al que le
resulta directamente aplicable el RGPD (apdo. 29 de las Directrices). Constata
el EDPB que eso aconseja el desarrollo de herramientas específicas de cara al
futuro, pues las actuales no lo contemplan. En particular, la Decisión de
ejecución (UE) 2021/914 relativa a las cláusulas contractuales tipo para la
transferencia de datos personales a terceros países no resulta de aplicación a
las transferencias a un importador de datos situado en un tercer pero sujeto
respecto de la actividad de tratamiento en cuestión al RGPD.
Con
respecto a la delimitación de qué tratamientos constituyen una transferencia
internacional, punto de partida es que el RGPD carece de una definición de
“transferencia a un tercer país”. Se trata de una cuestión que el TJUE abordó
en su sentencia Lindqvist, C-101/01, EU:C:2003:596, en la que estableció
que la mera difusión de datos a través de páginas de Internet no debe quedar
comprendida con carácter general en la categoría de transferencias
internacionales con respecto a los posibles usuarios de la información
disponible en esas páginas. Además, proporcionó ciertos criterios de
delimitación de las situaciones en las que una revelación de datos personales
debe ser considerada una transferencia de datos, a los efectos de la eventual
consideración de la normativa restrictiva respecto a las destinadas a países
que no ofrecen un nivel de protección adecuado. En este sentido, el Tribunal
excluyó, en primer lugar, que ese tipo de transferencias tenga lugar cuando la
revelación no se produce como consecuencia del envío automático de la
información a personas que no hayan buscado deliberadamente acceder a la misma,
sino que solo está a disposición de quien decida acceder a la misma mediante la
realización a iniciativa propia de ciertas actividades de consulta de los
datos. A la luz de la sentencia, habría transferencia de datos relevante a los
efectos de los artículos 44 y ss. RGPD si existiera una transferencia directa
entre quien revela los datos y quien los recibe, pero no en situaciones como
las que se encuentran en el origen de la sentencia Lindqvist cuando los
datos «se han transmitido con la ayuda de la infraestructura informática del
proveedor de servicios de alojamiento de páginas web donde está almacenada la
página» (apdo. 61). Además, el Tribunal puso de relieve que su respuesta estaba
condicionada por la circunstancia de que la cuestión planteada no contempla las
operaciones realizadas por los proveedores de servicios de alojamiento de
páginas web. Ciertamente, su planteamiento respecto de la difusión de
información a través de páginas web no impide apreciar que entre el titular de
la página web y el proveedor de esos servicios sí existe normalmente una
transmisión directa de información y además el proveedor presta ciertos
servicios al titular para lo que ha de acceder a los datos, lo que justifica su
consideración como encargado del tratamiento de datos personales.
Elemento
clave de las Directrices 05/2021 es establecer que para que un tratamiento de
datos se considere “transferencia (a un tercer país)” a los efectos del
Capítulo V RGPD debe cumplir tres requisitos cumulativos: 1) el
responsable o encargado “exportador” de los datos debe estar sometido al RGPD, conforme
al artículo 3, respecto al tratamiento en cuestión; 2) debe revelar los datos
al responsable o encargado “importador” mediante su transmisión o puesta a
disposición por otra vía; y 3) el “importador” debe estar en un tercer país,
sin que resulte relevante si se halla o no sometido al RGPD para ese concreto
tratamiento conforme al artículo 3 RGPD.
La
principal aportación de las Directrices tiene que ver con la precisión del
segundo de esos requisitos. En particular, destaca el EDPB que no se cumple ese
requisito cuando los datos son facilitados por el interesado directamente y por
iniciativa propia, por ejemplo, cuando los facilita cumplimentando un
formulario del responsable. Asimismo, pone de relieve que ese requisito tampoco
se cumple en situaciones en las que no están implicadas dos partes (con
independencia de si son responsables o encargados) distintas, de modo que el
tratamiento tiene lugar por el mismo responsable o encargado, como cuando un
empleado de la empresa responsable establecida en la UE se desplaza a un tercer
país y desde allí accede a los datos personales de las bases de datos de la
empresa. Insiste el EDPB en que la no consideración como “transferencia a un
tercer país” se complementa con la necesidad de que el responsable o encargado
adopte todas las medidas necesarias para asegurar el cumplimiento de sus
obligaciones bajo el RGPD (incluida la adopción de medidas técnicas u
organizativas conforme a su artículo 32) también cuando ese tratamiento –al que
resulta aplicable el RGPD en virtud de su artículo 3- tiene lugar en el tercer
Estado.
En
todo caso, a la luz del primero de los requisitos antes señalados, resulta
determinante si el responsable o encargado “exportador” está o no sometido al
RGPD. A modo de ejemplo, si un responsable establecido en EEUU recaba datos
personales de quienes se encuentran en la UE en circunstancias en las que no
queda sometido al RGPD conforme al artículo 3.2, las ulteriores transferencias
por su parte de esos datos a responsables o encargados situados en EEUU u otros
terceros países quedan por completo al margen del régimen del RGPD. Por el
contrario, si ese responsable establecido en EEUU recaba datos de quienes se
encuentra en la UE en circunstancias en las que está sometido al RGPD,
cualquier transferencia ulterior de tales datos (desde EEUU a otro responsable
o encargado que se encuentre en EEUU o en un tercer Estado) queda sometida al
régimen del Capítulo V RGPD.
Por
consiguiente, la delimitación del ámbito de aplicación territorial del RGPD
conforme a su artículo 3.2 resulta determinante a esos efectos. Se trata de una
cuestión que no es objeto específico de estas Directrices, que optan por plantear
ejemplos en los que supuestamente esa cuestión no resulta controvertida, si bien
lo cierto es que alguno de esos ejemplos sirve para ilustrar que en muchas
situaciones puede existir en la práctica una significativa incertidumbre al respecto,
en la medida en que la delimitación de las situaciones comprendidas en el
ámbito de aplicación del RGPD en virtud de su artículo 3.2 puede resultar
difusa. Como punto de partida, cabe reproducir -introduciendo ciertos
subrayados- el texto del ejemplo 3 del documento (en el que este texto se acompaña
de un gráfico ilustrativo).
“Example 3: Controller in a third country receives data directly from a
data subject in the EU (but not under Article 3(2) GDPR) and uses a processor
outside the EU for some processing activities
Maria, living
in Italy, decides to book a room in a hotel in New York using a form on the
hotel website. Personal data are collected directly by the hotel which does
not target/monitor individuals in the EEA. In this case, no transfer
takes place since data are passed directly by the data subject and directly
collected by the controller. Also, since no targeting or monitoring activities
of individuals in the EEA are taking place by the hotel, the GDPR will not
apply, including with regard to any processing activities carried out by
non-EEA processors on behalf of the hotel.”
Cabe preguntarse
si el hecho sencillamente de que la página web del hotel esté -además de en inglés-
en español, francés, alemán, italiano y portugués (unido a que varios centenares
de clientes todos los años reserven sus habitaciones desde la UE a través de su
página web) debe bastar por sí solo para entender que las actividades de
tratamiento del titular de la página están relacionadas con la oferta de bienes
o servicios a dichos en la Unión a los efectos de que quede sometido al RGPD
conforme a su artículo 3.2. En principio, la respuesta debería ser afirmativa,
pues se trata de situaciones en las que es posible apreciar que el responsable
de la página web en cuestión dirige la actividad comercial en el marco de la
que trata el servicio, entre otros, a países de la UE (de hecho, la formulación
en los ejemplos 1 y 2 en el sentido de que el RGPD es aplicable con base en el
artículo 3.2 cuando el responsable “specifically targets the EU market” no
excluye apreciar que lo es en el conjunto de situaciones en las que el
tratamiento esté relacionado con la oferta de bienes o servicios a interesados
en algunos países de la Unión junto con otros países, como claramente resulta del considerando 23 del RGPD.
Ahora bien, cabe apreciar una cierta insistencia del EDPB en utilizar como ejemplo de situaciones en las que entiende que no concurre la circunstancia exigida en el artículo 3.2.a) RGPD, casos en los que quien recaba los datos desde el extranjero lo hace en relación con la prestación de servicios que requieren el desplazamiento al tercer Estado (véase también el ejemplo 16 de las Directrices 3/2018 relativas al ámbito territorial del RGPD -pág. 21- en relación con servicios educativos y su cuestionable argumentación para sostener que en un caso de ese tipo "no puede establecerse que la universidad suiza tenga la intención de dirigirse a estudiantes de Estados miembros concretos de la UE", sin valorar que ciertos elementos que pueden concurrir en un caso de ese tipo pueden resultar determinantes para alcanzar un resultado distinto, como que sistemáticamente un número elevado de los estudiantes participantes en el programa en cuestión procedan de la UE).
En este contexto, cabe plantearse si resulta adecuado al interpretar el artículo 3.2.a) RGPD adoptar un criterio restrictivo de su alcance en situaciones en las que el tratamiento está relacionado con la oferta en la Unión de servicios que el responsable presta no en la Unión sino exclusivamente en el país tercero en el que está establecido siendo para ello necesario que el interesado se desplace hasta ese país. Podría resultar relevante la idea de que el fundamento que inspira el artículo 6.4.a) del Reglamento (CE) 593/2008 sobre la ley aplicable a las obligaciones contractuales (Roma I), en relación con la no aplicación de las normas sobre protección de consumidores a los contratos de prestación de servicios en los que los servicios se presten al consumidor, exclusivamente, en un país distinto de aquel en que el mismo tenga su residencia habitual, puede también ser tomado en consideración en el marco de la interpretación del artículo 3.2.a) RGPD. Se trata de situaciones en las que la particular conexión del servicio contratado con el país tercero en el que será prestado, y al que necesariamente tiene que desplazarse el interesado destinatario del servicio, puede ser una circunstancia a tener en cuenta en la interpretación del mencionado artículo 3.2, para alcanzar un resultado equilibrado. En todo caso, sería solo una circunstancia más a tomar en consideración junto con el resto de las que concurran al proceder en el caso concreto al análisis casuístico que exige la aplicación del artículo 3.2. Por lo demás, en el plano práctico será relevante que los datos que el interesado facilite con ocasión de su estancia en el país tercero en el que se le presta el servicio deberían quedar en las situaciones típicas al margen del ámbito de aplicación del RGPD.
