¿Cuáles son las novedades del nuevo reglamento en relación a las transferencias internacionales de datos?

La transferencia internacional de datos aparece definida en la Norma Primera de la Instrucción 1/2000 de 1 de diciembre de la Agencia de Española de Protección de Datos como "toda transmisión de los mismos fuera del territorio español. En particular, se consideran como tales las que constituyan una cesión o comunicación de datos y las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero".

El nuevo reglamento sigue en el tema de la trasferencia internacional de datos la línea de la LOPD y de la Instrucción ya mencionada, sobre todo en cuanto, a la autorización del Director de la AEPD en los casos necesarios, las excepciones del artículo 34 LOPD, la notificación de la transferencia al Registro General de Protección de Datos en cualquier caso y los países con nivel adecuado al que exige la LOPD.

El RLOPD regula detalladamente en su Título IX (artículos 65 a 70), el cual hace referencia a los Procedimientos tramitados por la Agencia Española de Protección de Datos, todo lo relacionado con las transferencias internacionales de datos.

Como primera novedad destacable introduce dos conceptos nuevos y los define son los de importador y exportador de datos personales.

El importador de datos personales es la persona física o jurídica, pública o privada u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento o encargada del fichero o tercero.

El exportador de datos personales es la persona física o jurídica, pública o privada u órgano administrativo situado en territorio español que realice, conforme a lo dispuesto en el presente Reglamento, una transferencia de datos de carácter personal a un país tercero.

Otra novedad es que las resoluciones del Director de la Agencia por las que se determine que un país proporciona un nivel adecuado de protección de datos serán publicadas en el Boletín Oficial del Estado, además de darle publicidad a través de medio telemáticos.

También se aclaran los supuestos en los que se podrían autorizar la transferencia internacional de datos en grupos multinacionales de empresas por parte del Director de la Agencia de Protección de Datos incluyendo los códigos internos de conducta cuyo incumplimiento puede ser denunciado ante la Agencia.

Además se introduce la opción de suspensión o revocación de una determinada transferencia que hubiera sido previamente autorizada por parte del Director cuando posteriormente haya incumplimiento o falta de garantías.

En relación con la iniciación del procedimiento para la obtención de la autorización: la solicitud será incoada a solicitud del exportador, quien deberá identificar el fichero con nombre y número de inscripción en el RGPD, la transferencia que se solicita y su finalidad, así como, la aportación de la documentación que incorpore las garantías exigibles para la obtención de la autorización.

En la fase de instrucción del procedimiento, el Director de la Agencia podrá acordar la apertura de un período de información pública. En este momento, tendrá audiencia el interesado en el caso de que existan alegaciones.

Si la decisión de la AEPD es positiva, se dará traslado al Registro General de la AEPD para la inscripción de la transferencia y al Ministerio de Justicia para que se lo comunique a la Comisión Europea.

Por lo que se refiere a los plazos y en caso de falta de resolución, desde la entrada de la solicitud en el Registro General de la AEPD, la transferencia debe quedar tramitada en un plazo máximo de tres meses, el silencio será positivo en caso de falta de resolución.

El RLOPD prevé la suspensión temporal de transferencias internacionales de datos a través de acuerdo motivado del Director, informando al exportador y dándole audiencia. Con la resolución del Director, se informará al Registro General de la AEPD para que inscriba la decisión y se informará al Ministerio de Justicia, como antes se ha descrito. En cualquier caso, tan pronto como cesen las causas que la hubieran provocado, podrá cesarse en la suspensión, mediante resolución del Director de la AEPD, informando al exportador, al Registro General de la AEPD y al Ministerio de Justicia.