Nuevos criterios en el
marco de las
Transferencias
Internacionales de Datos
Julián Prieto Hergueta Subdirector General del Registro General de Protección de Datos
• DIRECTIVA 95/46 DE PROTECCIÓN DE DATOS. Arts. 25 y 26
• LOPD. Arts. 33 y 34
• REGLAMENTO DE DESARROLLO LOPD. RD 1720/2007
– Título VI. Transferencias Internacionales de datos.
– Título IX. Capítulo V. Procedimientos relacionados con las transferencias internacionales de datos.
• DECISIONES COMISIÓN EUROPEA
− Cláusulas contractuales tipo
Responsable-Responsable (Decisión 2001/497/CE modificada por la Decisión 2004/915/CE)
− Cláusulas contractuales tipo
Responsable-Encargado (Decisión 2010/87/UE)
− Decisiones de nivel adecuado ( Suiza,…, «USA principios de Puerto Seguro»
Safe Harbor -Decisión 2000/520/CE-, Nueva Zelanda)
• OTRAS GARANTÍAS
– Cláusulas contractuales encargado - subencargado
– BCR responsables y BCR encargados
Marco regulador
Transferencias internacionales de datos
Movimientos internacionales de datos
Cesión de datos
Prestación de servicios
Países con Nivel
Adecuado Resto países
Supuestos Art. 34 Autorización Director Garantías contractuales BCR’S • Autonomía de la voluntad • Interés público • Acceso a la información •… Transferencias internacionales EEE •Suiza • Argentina
• USA, Safe Harbor
• …
• Nueva Zelanda
Responsable a
Responsable Responsable a Encargado
Encargado a Subencargado
50 80 167 178 216 475 738 767 277 560 866 952 2008 2010 2012 2013 Total Autorizaciones Responsable-Encargado 2002/16/CE-2010/87/UE Responsable-Responsable 2001/497/CE
• Se han tramitado 2 Autorizaciones de Transferencia Internacional de datos de
Encargado a Subencargado
• Se han tramitado 8 Autorizaciones de Transferencia Internacional de datos sobre la base de las denominadas Reglas Corporativas Vinculantes (“Binding Corporate Rules”)
Situación 31-marzo-2013
AUTORIZACIONES
Transferencias internacionales de datos
A PAÍSES QUE NO OFRECEN UN NIVEL ADECUADO
DE PROTECCIÓN
ESQUEMA CLÁSICO
•
EXPORTADOR RESPONSABLE DEL FICHERO
•
IMPORTADOR, RESPONSABLE O ENCARGADO, SIEMPRE EN
TERCEROS ESTADOS
•
A ESTE ESQUEMA RESPONDEN LAS GARANTÍAS DE LAS
CLÁUSULAS CONTRACTUALES TIPO DE LA COMISIÓN Y LAS
BCR para transferencias entre responsables del tratamiento
•
DESVENTAJA COMPETITIVA EMPRESAS EUROPEAS
LA AEPD HA TRABAJADO EN LA MEJORA DE LA POSICIÓN
DE LOS ENCARGADOS DEL TRATAMIENTO
ESTABLECIDOS EN EUROPA
Transferencias internacionales de datos
ENCARGADO – SUBENCARGADO
•
MODELO PRESENTADO ANTERIOR SESIÓN ANUAL Y PUESTO EN
MARCHA EN 2012 (2 autorizaciones concedidas)
•
ESTRUCTURA EN 2 CONTRATOS VINCULADOS ENTRE SÍ
–
CONTRATO TIPO ENTRE EL RESPONSABLE Y ENCARGADO
DEL TRATAMIENTO, EXPORTADOR DE DATOS
–
CONTRATO
ENTRE
ENCARGADO,
EXPORTADOR,
Y
SUBENCARGADO, IMPORTADOR DE LOS DATOS
(cláusulas
elaboradas por la AEPD y disponibles en su web)
Transferencias internacionales de datos
ENCARGADO – SUBENCARGADO
• CONTENIDO DEL CONTRATO ENTRE RESPONSABLE Y ENCARGADO:
– Tratamiento de datos por el responsable conforme a LOPD
– Instrucciones del responsable
– Autorización del responsable del tratamiento para la
subcontratación y la transferencia de datos
– Medidas de seguridad implantadas por el encargado y exigibles al
importador de datos (subencargado)
– Subcontrataciones ulteriores con autorización del responsable
– Destino de los datos
ENCARGADO – SUBENCARGADO
• CLÁUSULAS CONTRACTUALES (refuerzo de garantías y de la figura del
responsable que no es parte del contrato de TID) vinculadas al contrato tipo:
– Obligaciones exportador (enviar al responsable copias de los
acuerdos de subcontratación ulterior, informar al responsable acceso datos,…)
– Obligaciones importador (suspensión TID por encargado o a
indicación del responsable en caso modificación legislación en destino, auditoría a instancia del exportador, responsable y AEPD,…)
– Cláusula de responsabilidad del exportador, importador e
importador ulterior, sin perjuicio de la del responsable según contrato marco y LOPD
– Legislación aplicable
– Cooperación con la AEPD, suspensión de la TID en las
circunstancias del art. 70.3 RLOPD
Transferencias internacionales de datos
ENCARGADO – SUBENCARGADO
PROCEDIMIENTO
REQUISITOS DE LA SOLICITUD
– A instancia de la parte exportadora: encargado del tratamiento
– Contrato con las cláusulas elaboradas por la AEPD (original o
copia compulsada)
– Contrato tipo (suficiente el modelo, no es necesario tenerlo
suscrito con anterioridad)
– Acreditación del poder de los otorgantes del contrato
TRAMITACIÓN con arreglo a lo dispuesto en el RLOPD (arts. 137 – 140)
ENCARGADO – SUBENCARGADO
PROCEDIMIENTO
ASPECTOS A DESTACAR:
– El modelo del contrato tipo
– Al tratarse de una autorización marco cobra especial
importancia la descripción, en el apéndice 1 de las cláusulas, de las características de las transferencias que se realizarían a su amparo, pues van a conformar sus límites:
– Interesados o colectivos
– Categorías de datos, incluyendo, en su caso, los
especialmente protegidos
– Operaciones de tratamiento
– Medidas de seguridad, reflejadas en el apéndice 2
– En los casos hasta ahora tramitados se han planteado por los
exportadores diversas cuestiones sobre estos aspectos, que han sido atendidas por la AEPD
Transferencias internacionales de datos
ENCARGADO – SUBENCARGADO
EFECTOS DE LA AUTORIZACIÓN
• Se trata de una autorización marco, que habilita al encargado-exportador para realizar tantas transferencias como clientes tenga y le hayan autorizado a la subcontratación dentro del marco de la autorización (interesados, categorías de datos, finalidad, operaciones de tratamiento, medidas de seguridad,…) sin necesidad de solicitar una autorización singular por cada uno de los clientes
• Obligación de tener suscrito el contrato tipo con el responsable del tratamiento (a disposición de la AEPD)
• Necesidad de notificar al RGPD los ficheros a los que afecta la
transferencia a realizar al amparo de la resolución con carácter previo (responsable del tratamiento)
• Flexibiliza y agiliza las transferencias internacionales
• Facilita la subcontratación de servicios
NUEVAS MODALIDADES
Especialidades para servicios de cloud
Las cláusulas contractuales 2010/87 deben adaptarse para ofrecer
garantías adecuadas en el modelo de servicios de cloud computing, (Decisión 5/2012 WP 196)
Adecuación de las garantías:
Posibilidad de auditorías por terceros independientes y
certificados o acreditados a elección del prestador de servicios
Acceso al informe de auditoría por el cliente Un único contrato por subcontratista
Identificación de los subcontratistas y su ubicación (a través de una página web, actualizable, posibilidad de finalizar el contrato de tratamiento)
Adecuación de las especificaciones de la transferencia (apéndice 1) al modelo de cloud, que no exigiría una descripción en detalle de los aspectos de la transferencia pues no sería necesarios para proporcionar las garantías adecuadas
Posibilidad de autorización por la AEPD al margen de las garantías aportadas por las cláusulas tipo (arts. 26.2 Directiva 95/46, 33 LOPD, 66 y 70 RLOPD, Decisión 2010/87, considerando 5)
Transferencias internacionales de datos
NUEVAS MODALIDADES
BCR PARA ENCARGADOS DE TRATAMIENTO
Interés de la industria de outsourcing
Grandes prestadores de servicios
Criterios BCR de responsables adecuados a la actividad del
encargado
Transferencias encargado – encargado, ambos parte de la
corporación
Subcontratación con un tercero no amparada por las BCR
Documentos
Tabla de los principales elementos que deben contener las
BCR (WP195)
Modelo de solicitud de aprobación de las BCR
Documento Explicativo de las BCR para encargados del
tratamiento
Actualmente hay 2 BCR en tramitación
www.agpd.es
14
