Si bien en la práctica reciente del Comité
Europeo de Protección de Datos (EDPB) ha tenido especial repercusión la
publicación anteayer de su Dictamen 28/2024 (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models), me voy a referir en esta reseña a otro de
sus documentos recientes. En concreto, se trata de la versión para consulta pública de sus
Directrices 2/2024, relativas a una disposición del RGPD de redacción un tanto oscura, como es su artículo 48 (Guidelines 02/2024 on Article 48 GDPR).
En concreto el texto
del artículo 48 RGPD, que forma parte de su Capítulo V (Transferencias de
datos personales a terceros países u organizaciones internacionales), es el
siguiente:
“Transferencias o comunicaciones no autorizadas por el Derecho de la
Unión
Cualquier sentencia de un órgano jurisdiccional o decisión de una
autoridad administrativa de un tercer país que exijan que un responsable o
encargado del tratamiento transfiera o comunique datos personales únicamente
será reconocida o ejecutable en cualquier modo si se basa en un acuerdo
internacional, como un tratado de asistencia jurídica mutua, vigente entre el
país tercero requirente y la Unión o un Estado miembro, sin perjuicio de otros
motivos para la transferencia al amparo del presente capítulo.”
Entre los
considerandos del RGPD, el número 115 es el único que aparece dedicado a
proporcionar indicaciones adicionales sobre el significado de ese artículo. Su
contenido es el siguiente:
“Algunos países terceros adoptan leyes, reglamentaciones y otros actos
jurídicos con los que se pretende regular directamente las actividades de
tratamiento de personas físicas y jurídicas bajo jurisdicción de los Estados
miembros. Esto puede incluir sentencias de órganos jurisdiccionales o
decisiones de autoridades administrativas de terceros países que obliguen a un
responsable o un encargado del tratamiento a transferir o comunicar datos
personales, y que no se basen en un acuerdo internacional, como un tratado de
asistencia judicial mutua, en vigor entre el tercer país requirente y la Unión
o un Estado miembro. La aplicación extraterritorial de dichas leyes,
reglamentaciones y otros actos jurídicos puede ser contraria al Derecho
internacional e impedir la protección de las personas físicas garantizada en la
Unión en virtud del presente Reglamento. Las transferencias solo deben
autorizarse cuando se cumplan las condiciones del presente Reglamento relativas
a las transferencias a terceros países. Tal puede ser el caso, entre otros,
cuando la comunicación sea necesaria por una razón importante de interés
público reconocida por el Derecho de la Unión o de los Estados miembros
aplicable al responsable del tratamiento.”
La referencia en el
artículo 48 a que la “sentencia o decisión… únicamente será reconocida o ejecutable en cualquier modo si…” es fuente
de confusión, que se proyecta sobre el propio Dictamen, que como principal
conclusión sobre el objetivo de esa norma afirma en la página 2: “The main
objective of the provision is to clarify that judgments or decisions from third
country authorities cannot automatically and directly be recognised or enforced
in an EU Member State, thus underlining the legal sovereignty vis-a-vis third
country law. As a general rule, recognition and enforceability of
foreign judgements and decisions is ensured by applicable international
agreements.”
En realidad, como resulta del propio Dictamen, esa norma va referida en
gran medida a situaciones en las que normalmente no se plantea propiamente el
reconocimiento ni la ejecución (o declaración de ejecutividad) de una “sentencia
o decisión”, sino tan solo el eventual cumplimiento voluntario por el
responsable o encargado del tratamiento destinatario del requerimiento de
facilitar datos personales objeto de tratamiento por su parte.
Solo en situaciones en las que el responsable
o encargado destinatario del requerimiento se niegue al cumplimiento voluntario
del mismo y quién esté legitimado para ello pretenda que una autoridad de un
Estada miembro obligue al cumplimiento forzoso de ese requerimiento, se planteará
propiamente el reconocimiento o ejecución (o declaración de ejecutividad) de la
resolución extranjera que incluya el requerimiento. Por lo demás, cuando la
resolución que contenga el requerimiento sea una resolución en materia civil y
mercantil, el régimen aplicable será el mismo que al reconocimiento y ejecución
de otras resoluciones en esa materia de ese tercer Estado en el Estado miembro en
el que se pretenda su ejecución. Tal vez la única particularidad de que el
pronunciamiento de que se trate sea un requerimiento de comunicar datos
personales será que lo dispuesto en el RGPD, en particular en su Capítulo V,
incluido el artículo 48, resulta determinante al configurar el orden público como
motivo de denegación del reconocimiento y ejecución o límite a la eficacia de
la resolución extranjera en cualquier Estado miembro de la Unión. Lo anterior no aparece reflejado en el texto
reseñado de las Directrices 2/2024.
Por lo tanto, lo que regula la norma, básicamente, son las circunstancias en las
que el responsable o encargado puede transmitir los datos personales en
cuestión al tercer país cuando media un requerimiento en virtud de una sentencia
o decisión de ese país. Ciertamente, se puede tratar de una situación comprometida
para el responsable o encargado en cuestión, quien de negarse a cumplir la
sentencia o decisión puede exponerse a importantes consecuencias negativas en
el tercer Estado. En ese contexto, el artículo 48 RGPD pretende asegurar que no
tengan lugar en tales situaciones transferencias de datos personales que
vulneren el estándar de protección del derecho fundamental a la protección de
datos que el RGPD, y en particular su Capítulo V, establecen.
En la práctica, puede resultar apropiado que
la respuesta del responsable o encargado destinatario en la Unión de un requerimiento
de ese tipo sea remitir a la autoridad extranjera en cuestión a que recurra a las
vías de cooperación jurídica internacional previstas en los tratados
internacionales o en la legislación interna para solicitar la cooperación a
través de las autoridades del Estado miembro en el que se encuentre el
responsable o encargado en cuestión.
Las Directrices 2/2024 sí dejan claro que el
artículo 48 RGPD resulta de aplicación a las situaciones en las que el requerimiento
de información no se dirige al responsable o encargado en cuestión, sino a las
autoridades de un Estado miembro. Precisamente, esa comunicación entre
autoridades de los países implicados, es lo habitual cuando resulta de
aplicación un tratado de asistencia jurídica mutua, del tipo mencionado
expresamente en el propio artículo 48 RGPD, si bien hay algunas situaciones en
las que sí se contempla en el marco de alguno de esos tratados la formulación
de requerimientos directamente a entidades privadas o particulares (como con
respecto a entidades que prestan servicios de registro de nombres de dominio
contempla en el marco del Consejo de Europea en relación con procesos penales
el Second Additional Protocol to the Convention on Cybercrime on enhanced
cooperation and disclosure of electronic evidence, que mencionan las
Directrices en su nota a pie 3).
Las
Directrices parten de la constatación de que, si un responsable o encargado del
tratamiento en la UE recibe un requerimiento de datos personales de una
autoridad de un tercer país y decide darle cumplimiento, estará llevando a cabo
una transferencia a un tercer país objeto de regulación en el Capítulo V del
RGPD. Lo anterior implica que debe cumplir la exigencia de que ese tratamiento
se funde en alguna de las bases de licitud del artículo 6 RGPD y que, además,
exista un fundamento para esa transferencia a un tercer país de conformidad con
las disposiciones del capítulo V.
Como caso particular que debe ser objeto de
atención previa conforme a lo dispuesto en el artículo 48 RGPD, contempla que
en el caso concreto la “sentencia o decisión” del tercer país se base en un
acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente
entre el país tercero requirente y la Unión o un Estado miembro. En tales situaciones
debe analizarse, en primer lugar, si el tratado internacional en cuestión
proporciona una base de licitud del tratamiento de conformidad con el RGPD,
especialmente en virtud del artículo 6.1.c) (cumplimiento de una obligación
legal aplicable al responsable del tratamiento) o del artículo 6.1.e) (cumplimiento
de una misión realizada en interés público o en el ejercicio de poderes
públicos conferidos a ese responsable). En segundo lugar, para que la
transferencia de datos personales al tercer país pueda tener lugar, será
preciso comprobar que el tratado internacional constituye un instrumento jurídicamente
vinculante y exigible entre las autoridades u organismos públicos que ofrece
garantías adecuadas a los efectos del artículo 46.2.a).
Cuando la sentencia
o decisión del tercer país que requiere la transferencia de datos personales no
se funde en un tratado internacional que satisfaga esos requisitos, el responsable
o encargado únicamente podrá realizar la transferencia cuando ello sea
conforme con el régimen general de transferencias de datos personales a
terceros países. Primero, el
tratamiento debe basarse en alguna de las condiciones de licitud del artículo 6
RGPD y, en segundo lugar, debe existir un fundamento para esa transferencia conforme
al capítulo V del RGPD.
