El pasado 23 de enero de 2019 la Comisión Europea adoptó la decisión de adecuación en materia de protección de datos relativa a Japón, que entró en vigor ese mismo día; acuerdo basado en el pacto de libre comercio al que se llegó entre la Unión Europea y Japón en julio del año pasado. En consecuencia, se crea la mayor área mundial de flujo de datos seguros.
El RGPD[1] aplica al tratamiento de datos personales de las actividades de un establecimiento de las partes de un contrato en la UE, independientemente de que el tratamiento tenga lugar en la UE o no.
De acuerdo con ello, esta decisión tiene repercusiones en la confección y redacción de todos aquellos contratos en los que intervengan, directa o indirectamente, empresas situadas en Japón, a los efectos de prever correctamente los aspectos de protección de datos.
La base normativa con la que nos encontramos es la siguiente:
- El RGPD regula expresamente que sólo se realizarán transferencias de datos personales que sean objeto de tratamiento, o vayan a serlo tras su transferencia, a un tercer país u organización internacional fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega), si las partes involucradas en dicho tratamiento aseguran que el nivel de protección garantizado por el RGPD no va a ser menoscabado.
- En sus artículos 13 y 14 establece la obligación del responsable del tratamiento de proceder de acuerdo con el derecho a la información que la normativa otorga a los interesados, siempre que obtuviera por primera vez datos de carácter personal.
- Esta información deberá incluir necesariamente, en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión. En caso de disponer de ella, no se requerirá ninguna autorización específica en este sentido.
- De forma alternativa, para las transferencias no amparadas por una decisión de adecuación, se establecen en los artículos 46, 47 y el artículo 49, apartado 1, párrafo segundo, las garantías adecuadas o apropiadas y los medios para obtener una copia de éstas o del hecho de que se hayan prestado (cláusulas tipo aprobadas por las autoridades de Control y/o la Comisión, normas corporativas vinculantes, código de conducta aprobado de acuerdo con el RGPD junto con compromisos vinculantes de aplicar garantías adecuadas, mecanismo de certificación aprobado de acuerdo con el RGPD, cláusulas contractuales, consentimiento explícito del interesado tras haber sido informado de los riesgos, etc.). Asimismo, dicho art. 49 establece excepciones como la necesidad contractual y el interés legítimo, sujetas a determinados requisitos.
La normativa de protección de datos ofrece protección también a los datos de carácter personal asociados a los cargos profesionales, esto es, los datos personales, entre otros, de los representantes personas físicas de las personas jurídicas que intervienen en la firma o ejecución de un contrato, concretándose, no obstante, en la nueva Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (LOPD) que dicha comunicación se encontrará amparada por el interés legítimo (art. 6.1.f) RGPD).
En este sentido, si una de las partes firmantes o involucradas de un contrato es una empresa japonesa, ésta obtendrá en todo caso los datos de carácter personal del firmante de la parte contraria, junto con otros datos de terceros si el contrato los incluyera.
En consecuencia, se dará una transferencia internacional de datos fuera del EEE.
Así pues, ante la necesidad de prever en el contrato siempre los datos necesarios para garantizar el derecho a la información, de acuerdo con lo establecido en el art. 13 RGPD, se deberá informar al firmante de lo siguiente:
a) La información prevista en el art. 13 RGPD para todos los casos, exista o no transferencia internacional de datos.
b) La intención del responsable de transferir los datos a un tercer país fuera del EEE.
c) Y, a partir del 23 de enero de 2019, todos los contratos que lo requieran -en las casuísticas contempladas en este artículo- podrán simplificar enormemente sus previsiones en materia de protección de datos indicando simplemente la existencia de una decisión de adecuación de la Comisión de 23 de enero de 2019 para atender a los requisitos exigidos por la normativa en lo referente a la transferencia internacional de datos de carácter personal.
Tal como indica el art. 45.1 del RGPD, en adelante, ya no se requerirá ninguna autorización específica adicional.
Andreas Terán
Vilá Abogados
Para más información, contacte con:
va@vila.es
8 de febrero de 2019
[1] REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).