lunes, 9 de junio de 2025

IDENTIFICAR A LOS RESPONSABLES, ENCARGADOS Y CO-RESPONSABLES DEL TRATAMIENTO DE DATOS - CNIL

  Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

Resumen

La Comisión Nacional Francesa de Informática y Libertades (CNIL) acaba de publicar un artículo sobre la correcta identificación de las funciones de cada uno de los actores vinculados al tratamiento de datos personales: el Responsable del tratamiento, el Encargado del tratamiento y el Co-responsable del tratamiento.

La CNIL precisa que es esencial determinar sus obligaciones y responsabilidades en virtud del RGPD. Esta clasificación se basa en un análisis de los hechos, no de los contratos a los cuales se encuntran sujetos, documentádose ello para demostrar su cumplimiento. La CNIL destaca los criterios y las consecuencias prácticas.

El Responsable del tratamiento es la persona física o jurídica que determina los fines y los medios del tratamiento de los datos personales. Su principal obligación es el cumplimiento de la normativa del RGPD, incluidas las normas de seguridad.

El Encargado del tratamiento es una persona física o jurídica que trata datos personales en nombre del responsable del tratamiento y sigue sus instrucciones, lo que incluye garantizar la seguridad de los datos e informar a los interesados ​​en caso de infracción. El encargado del tratamiento no determina los fines ni los medios del tratamiento; si lo hiciera, sería corresponsable.

El Co-responsable del tratamiento es la persona física o jurídica que, junto con el responsable, determina los fines y medios del tratamiento y comparte con él el cumplimiento del RGPD, incluida la seguridad, para el tratamiento que realizan conjuntamente, así como la responsabilidad conjunta o subsidiaria.

El presente artículo publicado en francés ha sido traducido al castellano por el suscrito con la ayuda del aplicativo Google Translator,  el enlace al texto íntegro se encuentra en: https://cnil.fr/fr/rgpd-comment-bien-identifier-son-role

Para acceder a normas y estándares europeos similares, las empresas, organizaciones públicas y privadas que deseen beneficiarse de consultoría, formación, estudios, evaluaciones o auditorías sobre este tema sírvanse tomar contacto al correo electrónico siguiente: cferreyros@ferreyros-ferreyros.com

                        _____________________________________________________ 



Responsable del tratamiento de datos, subcontratistas: ¿cómo identificar correctamente su papel?

6 de junio de 2025


Antes de procesar datos personales, es fundamental que las partes interesadas identifiquen sus roles: responsable, encargado del tratamiento o co-responsable del tratamiento. Esta distinción determina las obligaciones de cada parte. La CNIL (Comisión Nacional para la Protección de Datos) recuerda los criterios y sus implicaciones prácticas.


Toda persona física u organismo debe interrogarse sobre su rol y obligaciones antes de recopilar y de procesar datos personales. Ya sea responsable del procesamiento, individualmente o en conjunto con otras organismos o subcontratistas, las partes deben determinar su calificación caso por caso. La elegibilidad no depende de una decisión contractual, sino de hechos: ¿quién decide qué? ¿Quién ejecuta qué?, etc.

Esta clasificación determina concretamente las obligaciones de cada parte. Identificar claramente su rol permite comprender mejor lo qué debe hacer para cumplir con el RGPD, así como su responsabilidad legal. En caso de duda, es importante documentar el razonamiento detrás de esta clasificación y poder justificarla.

Determinar el papel de los actores involucrados

El Comité Europeo de Protección de Datos (CEPD) ha identificado ciertos criterios para determinar si una organismo actúa como responsable del tratamiento, responsable conjunto del tratamiento o encargado del tratamiento en sus directrices del 7 de julio de 2021 .

El organismo es responsable del tratamiento sí…

El responsable del tratamiento es la persona física o jurídica que determina tanto los fines como los medios del tratamiento, es decir, quien decide el “por qué” y el “cómo” del uso de los datos personales.

Cundo hablamos de los medios de tratamiento de datos, debe distinguirse entre los «medios esenciales», decididos por el responsable del tratamiento, y los «medios no esenciales», que pueden dejarse en manos del subcontratista:

·        Los medios esenciales se refieren a decisiones claves: qué datos personales se recopilan y utilizan, durante cuánto tiempo, quiénes son los destinatarios, etc.

·    Los medios no esenciales, por otro lado, son más bien una cuestión de implementación técnica, como por ejemplo la elección del programa informático (software).

Incluso si un agente elige un tratamiento estándar, definido de antemano, puede ser considerado responsable del tratamiento de datos siempre que tome esta decisión en función de sus necesidades y de las características del dispositivo, de los cuales habrá tenido conocimiento, por ejemplo, en un proceso de contratación pública. En ciertos casos, el proveedor de servicios no será simplemente un subcontratista, sino que podrá ser considerado co-responsable del tratamiento, por ejemplo, si se establece que su función va más allá de la mera prestación del servicio.

A tener en cuenta: no es necesario que el responsable del tratamiento tenga acceso efectivo a los datos para ser considerado responsable del tratamiento.

Ejemplos de responsables del tratamiento de datos:

·        Un asegurador es responsable del tratamiento relacionado con la ejecución de un contrato de seguro o de asistencia individual.
 

·        Un empleador es considerado responsable del tratamiento de datos cuando decide crear e implementar el tratamiento para satisfacer sus propias necesidades de contratación mediante la recopilación, clasificación, almacenamiento y, en última instancia, la eliminación de los datos de los candidatos y la determinación de los términos de este tratamiento (por ejemplo: naturaleza de los datos recopilados sobre los candidatos – CV, cartas de motivación, certificados de trabajo -, duración de la conservación de los datos, definición de las personas autorizadas a acceder a la información sobre los candidatos).
 

·        Un desarrollador de aplicaciones es responsable del tratamiento cuándo él cruzan los datos de diferentes aplicaciones para ofrecer nuevos servicios.

El organismo es co-responsable del tratamiento sí…

Cuando dos o más responsables del tratamiento determinan conjuntamente las finalidades y los medios del tratamiento, ellos serán considerados responsables conjuntos.

Esta responsabilidad conjunta se puede traducir en:

            ·        una decisión conjunta; o 

      ·    decisiones separadas pero complementarias, que resulten en un tratamiento conjunto.

Lo que importa es que el tratamiento no tendría lugar sin la participación activa de cada parte: el tratamiento de cada parte es inseparable de aquel del otro, es decir, están estrechamente ligados.

Ejemplos de co-responsables de tratamiento:

·        Los hospitales universitarios que desarrollan un sistema de IA para analizar datos de imágenes médicas optan por utilizar el mismo protocolo de aprendizaje federado. Esto les permite utilizar datos de los que inicialmente son responsables independientes, evitando así ser receptores mutuos. Determinan conjuntamente el objetivo (entrenar un sistema de IA para imágenes médicas) y los medios de este tratamiento (a través de la elección del protocolo y la determinación de los datos que utilizan): por lo tanto, son co-responsables de este proceso de aprendizaje.
 

·        Varias autoridades locales han decidido desarrollar conjuntamente una plataforma local común para la apertura de sus datos, diseñada para promover, mediante un punto de acceso único a la información pública que poseen, la reutilización de estos datos y la creación de nuevas ofertas de servicios en la región. En este caso, son co-responsables del tratamiento.

El organismo es un subcontratista sí…

Un subcontratista es una persona física u organismo que trata datos personales por la cuenta del responsable del tratamiento. El debe seguir siempre las instrucciones dadas por este. En ocasiones, podrá elegir los medios técnicos que considere más adecuados, siempre que cumplan con los objetivos del responsable.

Por otro lado, si el subcontratista del tratamiento decide por sí mismo los fines y medios del tratamiento, sin seguir las instrucciones del responsable, se excede en sus funciones. En este caso, se le considera responsable del tratamiento y puede ser sancionado.

Bajo ciertas condiciones, el subcontratista podrá reutilizar los datos que le han sido confiados para sus propios fines.

·        Para profundizar  : Subcontratistas: la reutilización de datos confiados por un responsable del tratamiento

Ejemplos de subcontratistas:

·        El desarrollador de una aplicación móvil debe ser clasificado como subcontratista cuando realiza operaciones sobre datos alojados en el servidor de la aplicación con fines de mantenimiento o externalización de la aplicación.
 

·      Una empresa organizadora de una feria comercial puede considerarse subcontratista cuando lanza una campaña de correo electrónico de agradecimiento a los candidatos que enviaron sus CV directamente a una empresa presente en la feria, a petición de esta última y a partir del archivo que la empresa ha creado con los CV enviados directamente por los candidatos en su stand. La empresa, por su parte, puede ser considerada responsable del archivo de todos los candidatos que enviaron sus CV.

Referencia del documento

Directrices del SEPD

·     Diagrama para la aplicación práctica de los conceptos de responsable, encargado del tratamiento y co-responsables del tratamiento

Formalizar los roles y obligaciones de los diferentes actores

Elegir y supervisar cuidadosamente a sus subcontratistas: una responsabilidad clave

Antes de confiar el tratamiento de datos personales a un proveedor de servicios, el responsable del tratamiento debe asegurarse de que este subcontratista ofrece todas las garantías necesarias para cumplir con el RGPD (artículo 28 del RGPD).

Esto se refiere en particular a:

       ·        su experiencia técnica (por ejemplo: en ciberseguridad, gestión de incidentes);

·                  su fiabilidad;

       ·        sus recursos humanos y técnicos; o 

       ·        su adhesión a un código de conducta o certificación  GDPR .

Se requiere un contrato escrito, u otro documento legal, entre el responsable y el encargado del tratamiento. Este contrato debe ser específico, claro y vinculante. Puede negociarse libremente o basarse en cláusulas contractuales estándar .

El contrato no debe limitarse a reproducir el RGPD. Debe explicar con precisión cómo se implementarán las obligaciones, incluido el nivel de seguridad requerido para el tratamiento de datos personales.

Nota  : Incluso en caso de desequilibrio de poder (un pequeño responsable frente a un gran proveedor de servicios), el responsable no puede eximirse de sus obligaciones con el RGPD. Debe verificar que las cláusulas cumplan y, si acepta el servicio, sigue siendo responsable del cumplimiento de la normativa.

Gestores conjuntos: definir claramente quién hace qué

Los co-responsables del tratamiento deben definir conjuntamente, por escrito y de forma transparente, la distribución de las obligaciones que les impone el RGPD (artículo 26 del RGPD). En particular, deben definir:

       ·        quién responde a las solicitudes de los interesados ​​y les informa;

       ·        ¿Quién gestiona la seguridad, las fugas de datos o los análisis de impacto de la           protección de datos, etc.?

Esta distribución no disminuye la responsabilidad de cada parte. Sobre todo, garantiza una buena coordinación y una mejor protección de las personas.

El contrato debe ponerse a su disposición para garantizar una transparencia total. Incluso si el acuerdo divide las funciones, los interesados ​​pueden ejercer sus derechos ante cualquier corresponsable del tratamiento.

Nota  : Compartir la responsabilidad del tratamiento no implica que todos sean igualmente responsables. Las partes co-responsables pueden intervenir en diferentes etapas del tratamiento de datos y con distintos grados de responsabilidad. Por lo tanto, su nivel de responsabilidad debe evaluarse en función de las circunstancias específicas del caso y especificarse en el contrato.

¿Cómo cumplir?

 Determinar el papel de los actores involucrados en el tratamiento de datos personales , a raíz de un análisis concreto de los métodos de creación e implementación del tratamiento.

 Rastrear , en la documentación interna que sustenta, la reflexión realizada y la justificación utilizada para determinar la calificación de los actores.

 Establecer un contrato o cualquier otro documento legal con los subcontratistas y controladores conjuntos con el fin de aclarar y determinar los roles y obligaciones de cada uno.

 Informar a los interesados ​​de la identidad del responsable del tratamiento de datos.

 Para recibir apoyo en el análisis del estatus del actor en cuestión, hable con el responsable de protección de datos de la organismo , si se ha designado uno.

 Pregunte a sus subcontratistas si tienen certificación o si se adhieren a un código de conducta .

¿Cuál es el papel de la CNIL en materia de cualificación?

La cualificación de las partes interesadas es un paso esencial para garantizar el cumplimiento efectivo del RGPD. De acuerdo con el principio de rendición de cuentas, corresponde en primer lugar a las propias partes interesadas identificar sus respectivas funciones. Para apoyar este proceso, la CNIL ofrece ejemplos concretos sectoriales en su sitio web , lo que permite a las partes interesadas comprender mejor los criterios a considerar para una correcta cualificación.

La cualificación no es una simple formalidad: determina las obligaciones legales de cada actor, ya sea por ejemplo llevar un registro, gestionar a los subcontratistas, informar a las personas o responder a sus derechos ( véase la tabla en la guía de contratación de la CNIL ).

En caso de auditoría, la CNIL no está vinculada por las cualificaciones contractuales establecidas entre las partes; analiza las responsabilidades de los actores a la luz de las justificaciones aportadas y su influencia en el tratamiento de datos. Por lo tanto, puede reclasificar las funciones de los actores si considera que la cualificación establecida no refleja la realidad, con posibles consecuencias en términos de sanciones. Esto justifica la importancia crucial de una cualificación rigurosa y documentada desde la fase de diseño de una operación de tratamiento.

Texto de referencia

Para profundizar

·     Directrices del CEPD 07/2020 sobre los conceptos de responsable y encargado del tratamiento en el RGPD - CEPD (PDF - 1,5 MB)

·     Trabajar con un subcontratista

Texto de referencia

Texto de referencia

·     El Reglamento General de Protección de Datos

 

·     #Responsable del tratamiento de datos #Subcontratistas #Calificación jurídica de los actores

_____________________


sábado, 7 de junio de 2025

DIRECTRICES EUROPEAS SOBRE LAS SOLICITUDES DE TRANSFERENCIA DE DATOS DE TERCEROS PAISES - ARTICULO 48 DEL RGPD.

  Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

Resumen

Las Directrices europeas relativas a las solicitudes de transferencia de datos desde terceros países, en particular en lo que respecta al artículo 48 del Reglamento General de Protección de Datos (RGPD), han sido esclarecidas por el Supervisor Europeo de Protección de Datos (CEPD) las mismas que han sido publicadas en diciembre de 2024. 

El artículo 48 del RGPD pretende aclarar que las decisiones o sentencias emitidas por autoridades de terceros países (no pertenecientes a la UE) no pueden reconocerse ni ejecutarse automáticamente en un Estado miembro de la UE. El reconocimiento o la ejecución de dichas decisiones solo es posible si se basan en un acuerdo internacional vigente, como un tratado de asistencia jurídica mutua, entre el tercer país solicitante y la UE o un Estado miembro.

Incluso en presencia de un acuerdo internacional, cualquier transferencia o divulgación de datos personales debe cumplir con las condiciones del Artículo 6 (base jurídica del tratamiento) y el Capítulo V del RGPD (transferencias internacionales).

Finalmente, las directrices ofrecen recomendaciones a los responsables y encargados del tratamiento en la UE para evaluar y procesar las solicitudes de transferencia o divulgación de datos personales procedentes de terceros países.

El presente artículo publicado en francés ha sido traducido al castellano por el suscrito con la ayuda del aplicativo Google Translator,  el enlace al texto íntegro se encuentra en: https://www.edpb.europa.eu/system/files/2024-12/edpb_guidelines_202402_article48_en.pdf

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com

_____________________________________________________


Directrices 02/2024 sobre el artículo 48 del RGPD,

versión 2.0,
adoptadas el 4 de junio de 2025

Historial de versiones

 

Versión 1.0

2 de diciembre de 2024

Adopción de las Directrices para la consulta pública

Versión 2.0

4 de junio de 2025

Adopción de las Directrices tras consulta pública


RESUMEN EJECUTIVO

El artículo 48 del RGPD establece que: «Cualquier sentencia de un tribunal o cualquier decisión de una autoridad administrativa de un tercer país que requiera a un responsable o encargado del tratamiento transferir o divulgar datos personales solo podrá ser reconocida o ejecutable de alguna manera si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, en vigor entre el tercer país solicitante y la Unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia con arreglo al presente capítulo».

El propósito de estas directrices es aclarar la razón de ser y el objetivo de este artículo, incluida su interacción con las demás disposiciones del Capítulo V del RGPD, y proporcionar recomendaciones prácticas para los responsables y encargados del tratamiento en la UE que puedan recibir solicitudes de autoridades de terceros países para divulgar o transferir datos personales.

El objetivo principal de esta disposición es aclarar que las sentencias o decisiones de autoridades de terceros países no pueden reconocerse ni ejecutarse automática y directamente en un Estado miembro de la UE, lo que subraya la soberanía jurídica respecto del Derecho de terceros países. Por regla general, el reconocimiento y la ejecución de las sentencias y decisiones extranjeras están garantizados por los acuerdos internacionales aplicables.

Independientemente de si existe un acuerdo internacional aplicable, si un responsable o encargado del tratamiento en la UE recibe y responde a una solicitud de una autoridad de un tercer país para datos personales, dicho flujo de datos es una transferencia según el RGPD y debe cumplir con el Artículo 6 y las disposiciones del Capítulo V.

Un acuerdo internacional puede prever tanto una base jurídica (en virtud del artículo 6(1)(c) o 6(1)(e)) como un motivo para la transferencia (en virtud del artículo 46(2)(a)).

En ausencia de un acuerdo internacional, o si este no establece una base jurídica conforme al artículo 6(1)(c) o 6(1)(e), podrían considerarse otras bases jurídicas. De igual modo, si no existe un acuerdo internacional o este no establece las garantías adecuadas conforme al artículo 46(2)(a), podrían aplicarse otros motivos para la transferencia, incluidas las excepciones del artículo 49.


Tabla de contenido

1          Introducción ............................................................. 5

2          ¿Cuál es el alcance de estas directrices.................. 6

3          ¿Cuál es el objetivo del artículo 48? ........................ 7

4          ¿En qué situaciones es aplicable el artículo 48? ..... 7

5          ¿En qué condiciones pueden los responsables y encargados del tratamiento responder a las solicitudes de las autoridades de terceros países? .................................... 8

     5.1            Cumplimiento del artículo 6 del RGPD ............ 8

 5.2            Cumplimiento del Capítulo V del RGPD.......... 11

Anexo - Pasos prácticos...................................................................................................... 13


El Comité Europeo de Protección de Datos

Visto el artículo 70 (1)(e) del Reglamento 2016/679/UE del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, «RGPD»),

Visto el Acuerdo EEE y, en particular, su anexo XI y su Protocolo 37, modificado por la Decisión del Comité Mixto del EEE n.º 154/2018, de 6 de julio de 2018 [1], cuenta el artículo 12 y el artículo 22 de su Reglamento,

HA ADOPTADO LAS SIGUIENTES DIRECTRICES

1 INTRODUCCIÓN

1. El artículo 48 del RGPD, titulado «Transferencias o divulgaciones no autorizadas por el Derecho de la Unión», establece que: «Toda sentencia de un tribunal o cualquier decisión de una autoridad administrativa de un tercer país que exija a un responsable o encargado del tratamiento transferir o divulgar datos personales solo podrá ser reconocida o ejecutable en modo alguno si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el tercer país solicitante y la Unión o un Estado miembro, sin perjuicio de otros motivos de transferencia con arreglo al presente capítulo».

2. El propósito de estas directrices es aclarar la razón de ser y el objetivo del Artículo 48 del RGPD, incluida su interacción con las demás disposiciones del Capítulo V del RGPD, y proporcionar recomendaciones prácticas para los responsables y encargados del tratamiento en la UE que puedan recibir solicitudes de autoridades de terceros países para divulgar o transferir [2] datos personales.

3.  Esta disposición forma parte del Capítulo V del RGPD, relativo a las «Transferencias de datos personales a terceros países u organizaciones internacionales». Esto significa que debe interpretarse en conjunción con el Artículo 44 del RGPD, que establece claramente que «todas las disposiciones de este Capítulo se aplicarán para garantizar que no se menoscabe el nivel de protección de las personas físicas garantizado por el RGPD ». Además, el Artículo 48 debe interpretarse en conjunción con el Considerando 102 del RGPD, que establece claramente que el RGPD « (...) se entiende sin perjuicio de los acuerdos internacionales celebrados entre la Unión y terceros países que regulan la transferencia de datos personales, incluidas las garantías adecuadas para los interesados».


2 ¿CUÁL ES EL ALCANCE DE ESTAS DIRECTRICES?

4.  Estas directrices se centran en las solicitudes destinadas a la cooperación directa entre una autoridad de un tercer país y una entidad privada de la UE (a diferencia de otros casos en los que los datos personales se intercambian directamente entre autoridades públicas de la UE y de terceros países, respectivamente, por ejemplo, en virtud de un tratado de asistencia jurídica mutua). Dichas solicitudes pueden proceder de todo tipo de autoridades públicas, incluidas las que supervisan al sector privado, como los reguladores bancarios y las autoridades fiscales, así como las autoridades encargadas de la aplicación de la ley y la seguridad nacional [3].

5. Estas directrices   cubren la situación en la que dichas solicitudes se dirigen a controladores o procesadores en la UE y cuyo procesamiento de datos personales está sujeto al Artículo 3.1 del RGPD.

6. El artículo 48 no distingue entre responsables y encargados del tratamiento, privados o públicos, que reciben una solicitud de datos personales de autoridades de terceros países. Sin embargo, a efectos de estas directrices, el siguiente análisis se centra en las solicitudes directas a entidades privadas en la UE, considerando que este parece ser el escenario más común de aplicación del artículo 48 y que las solicitudes a autoridades públicas suelen enmarcarse en un marco de cooperación internacional establecido en acuerdos internacionales.


7. El CEPD destaca que, además de los requisitos del RGPD, la cooperación con las autoridades públicas de terceros países pu'de regirse por normas adicionales[4]. Dichos requisitos no se abordan en las presentes directrices.


¿CUÁL ES EL OBJETIVO DEL ARTÍCULO 48?

8.  Según el artículo 48, las sentencias y decisiones de las autoridades de terceros países que exijan a un responsable o encargado del tratamiento en la UE la transferencia o divulgación de datos personales solo podrán reconocerse y ejecutarse si se basan en un acuerdo internacional aplicable[5] como un tratado de asistencia jurídica mutua (MLAT) vigente entre el país solicitante y la UE o un Estado miembro [6], sin perjuicio de otros motivos de transferencia con arreglo al capítulo V del RGPD. Este artículo regula el acceso a los datos personales sujetos a la protección del RGPD por parte de los tribunales y autoridades de terceros países. El considerando 115 aclara que la disposición tiene por objeto proteger los datos personales de la aplicación extraterritorial de la legislación de terceros países que «pueda infringir el Derecho internacional e impedir el logro de la protección de las personas físicas garantizada en la Unión por el [RGPD]».

9. Por lo tanto, cuando los datos procesados en la UE se transfieren o divulgan en respuesta a una solicitud directa de una autoridad de un tercer país, dicha divulgación está sujeta al RGPD y constituye una transferencia en el sentido del Capítulo V. Esto significa que, como para cualquier transferencia sujeta al RGPD, tiene que haber una base legal para el procesamiento en el Artículo 6 y un motivo para la transferencia en el Capítulo V.

10. El CEPD reafirma que una solicitud de una autoridad extranjera no constituye en sí misma una base jurídica para el procesamiento ni un motivo para la transferencia[7].

 

4. ¿EN QUÉ SITUACIONES ES APLICABLE EL ARTÍCULO 48?

11. El Artículo 48 se aplica en situaciones en las que un responsable o encargado del tratamiento en la UE recibe una decisión o sentencia de una autoridad administrativa o un tribunal de un tercer país que exige la transferencia o divulgación de datos personales. La terminología de la disposición, «tribunal», «tribunal» y «autoridad administrativa», se refiere a un organismo público de un tercer país. El CEPD considera que la terminología utilizada por el organismo del tercer país para calificar su solicitud como «decisión» o «sentencia» no es determinante para la aplicación del Artículo 48, siempre que se trate de una solicitud oficial de una autoridad de un tercer país.

12. El CEPD considera que la redacción del artículo 48 abarca todas las formas posibles en que un responsable o un encargado del tratamiento en la UE podría hacer que los datos personales sean accesibles a una autoridad de un tercer país.

13. El artículo 48 no limita los fines para los cuales la autoridad de un tercer país puede solicitar datos. Por lo tanto, las solicitudes de autoridades de terceros países emitidas en diferentes contextos y para diferentes fines estarían comprendidas en el ámbito de aplicación de la disposición, por ejemplo, las solicitudes de las fuerzas de seguridad o autoridades de seguridad nacional, reguladores financieros o autoridades públicas responsables de aprobar productos farmacéuticos, dispositivos médicos, etc.


14.  El artículo 48 no distingue entre la situación en la que una autoridad de un tercer país solicita a un responsable o encargado del tratamiento en la UE la transferencia o divulgación de datos personales, y el responsable o encargado del tratamiento puede negarse a cumplir la solicitud sin consecuencias jurídicas adversas en virtud de la legislación de la UE o del tercer país, y la situación en la que la negativa puede dar lugar a sanciones por incumplimiento. El CEPD recuerda que, en todos los casos, se debe aplicar una "prueba de dos pasos" en lo que respecta a cualquier transferencia de datos personales a terceros países: "en primer lugar, debe existir una base jurídica para el tratamiento de datos, junto con todas las disposiciones pertinentes del RGPD; y, en segundo lugar, deben cumplirse las disposiciones del Capítulo V. Por lo tanto, el tratamiento, es decir, la transferencia o divulgación de datos personales, debe adherirse a los principios generales del artículo 5 y basarse en una base jurídica, como se establece en el artículo 6 del RGPD " [8].

 

5 ¿EN QUÉ CONDICIONES PUEDEN LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO RESPONDER A LAS SOLICITUDES DE LAS AUTORIDADES DE TERCEROS PAÍSES?

15. El artículo 48 forma parte del capítulo V del RGPD, relativo a las «Transferencias de datos personales a terceros países u organizaciones internacionales», y debe interpretarse en conjunción con el artículo 44 del RGPD, que establece que « toda transferencia de datos personales que estén siendo objeto de tratamiento o que estén destinados a serlo tras su transferencia a un tercer país o a una organización internacional solo tendrá lugar si, con arreglo a las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las transferencias ulteriores de datos personales desde el tercer país o una organización internacional a otro tercer país u otra organización internacional ». Además, el considerando 115 del RGPD aclara que las transferencias solo deben permitirse cuando se cumplan las condiciones del RGPD. Esto significa que cualquier transferencia o divulgación de datos personales en respuesta a una solicitud de la autoridad de un tercer país requiere una base jurídica para el tratamiento (artículo 6 del RGPD) y el cumplimiento de los requisitos para las transferencias de datos personales a terceros países u organizaciones internacionales (capítulo V del RGPD).

16. Como ya se ha mencionado, además de garantizar el cumplimiento del RGPD, un responsable o encargado del tratamiento puede tener que cumplir con requisitos adicionales derivados de otros instrumentos jurídicos, por ejemplo, normas procesales nacionales o acuerdos internacionales que prevean la cooperación con la autoridad de un tercer país.


5.1 Cumplimiento del artículo 6 del RGPD

17. De acuerdo con el artículo 44 del RGPD, la transferencia de datos personales a un tercer país solo tendrá lugar si, sin perjuicio de las demás disposiciones del RGPD, se cumplen las condiciones del capítulo V. Por lo tanto, la transferencia de datos personales a terceros países u organizaciones internacionales también debe cumplir las condiciones de las demás disposiciones del RGPD.

18. El artículo 5(1) del RGPD establece los principios generales y obligatorios para el tratamiento de datos personales. Según el artículo 5(2), el responsable del tratamiento es responsable del cumplimiento de las obligaciones establecidas en el apartado 1 (esto también aplica cuando las actividades de tratamiento se realizan a través de un encargado del tratamiento). Según el artículo 5(1), todo tratamiento de datos personales debe tener una base jurídica conforme al artículo 6. Por lo tanto, se requiere un análisis jurídico para cada situación específica.

19. El caso descrito en el artículo 48 presupone la existencia de una sentencia de un tribunal o una decisión de una autoridad administrativa de un tercer país que exige a un responsable o encargado del tratamiento en la UE la transferencia o divulgación de datos personales. Además, esta solicitud de una autoridad de un tercer país solo podrá ser reconocida o ejecutable si se basa en un acuerdo internacional, que puede otorgarle el carácter de una obligación legal a la que está sujeto el responsable, cuyo incumplimiento tendría consecuencias jurídicas. Cuando el tratamiento de datos personales se realiza para cumplir una obligación legal, el artículo 6, apartado 1, letra c), proporciona una base jurídica explícita. En consecuencia, el CEPD considera que, para el caso descrito en el artículo 48, cuando exista un acuerdo internacional aplicable, el artículo 6, apartado 1, letra c), junto con el artículo 6, apartado 3, sería la base jurídica adecuada para la transferencia, siempre que se cumplan las condiciones de estas disposiciones. 

20. En los casos en que no exista una obligación legal derivada de un acuerdo internacional para el responsable del tratamiento, se podrá recurrir a otras bases jurídicas en virtud del artículo 6, siempre que se cumplan los requisitos legales establecidos en el capítulo V del RGPD. No obstante, la aplicación de estas otras bases jurídicas debe examinarse cuidadosamente caso por caso. Debido al gran número de situaciones posibles, las afirmaciones generales sobre la aplicabilidad del artículo 6 solo pueden hacerse de forma muy limitada.

21. En principio, el consentimiento conforme al artículo 6(1)(a) podría considerarse como base jurídica para una transferencia a terceros países. Sin embargo, el uso del consentimiento como base jurídica suele ser inadecuado en ciertos ámbitos, especialmente si el tratamiento de los datos está relacionado con el ejercicio de la potencia de laautoridad [9].

22. La aplicación del artículo 6(1)(b) parece estar excluida únicamente por su redacción. Por lo tanto, el CEPD considera que una entidad privada en la UE no puede invocar el artículo 6(1)(b) como base jurídica adecuada para responder a una solicitud de transferencia o divulgación de una autoridad de un tercer país.

23. En situaciones en las que la divulgación basada en un acuerdo internacional no sea obligatoria, pero dicha cooperación esté permitida por el Derecho de la UE o de los Estados miembros, el artículo 6(1)(e) podría utilizarse como base jurídica para el tratamiento de datos personales, ya que puede considerarse necesario para el cumplimiento de la tarea realizada en interés público [10] En tales casos, el tratamiento debe basarse en el Derecho de la Unión o de los Estados miembros, como exige el artículo 6(3) del RGPD.

24. En cuanto al artículo 6(1)(d), el CEPD reconoce que, en circunstancias específicas y establecidas, los intereses vitales del interesado podrían invocarse como base jurídica para una transferencia de datos personales a raíz de una solicitud de un tercer país, siempre que se cumplan [11] las condiciones establecidas en el derecho internacional. En cuanto al interés vital de otras personas, el CEPD recuerda que «el tratamiento de datos personales basado en el interés vital de otra persona física solo debe tener lugar, en principio, cuando dicho tratamiento no pueda fundamentarse manifiestamente en otra base jurídica». [12].

25. Dependiendo del caso, el CEPD asume que podría invocarse el artículo 6(1)(f) para transferencias o divulgaciones a autoridades de terceros países en [13]circunstancias excepcionales . A tal efecto, el CEPD recuerda que cualquier tratamiento basado en los intereses legítimos del responsable del tratamiento o de terceros debe ser necesario y estar equilibrado con los intereses o los derechos y libertades fundamentales del interesado [14] El resultado de la prueba de equilibrio determina si puede invocarse la base jurídica del interés legítimo para el tratamiento.

En principio, cualquier tratamiento basado en el interés legítimo se limitará en cualquier caso a lo que sea demostrablemente necesario para perseguir ese interés específico del responsable o del tercero.

26. A pesar de que, en algunos casos, un responsable del tratamiento puede tener un interés legítimo en cumplir una solicitud de divulgación de datos personales a una autoridad de un tercer país, un empresario privado, actuando como responsable del tratamiento, no puede ampararse en el artículo 6(1)(f) para la recopilación y el almacenamiento de datos personales de forma preventiva con el fin de poder compartir dicha información, previa solicitud, con las autoridades policiales para prevenir, detectar y perseguir delitos, cuando dichas actividades de tratamiento no estén relacionadas con sus propias actividades (económicas y comerciales)[15] Además, el CEPD, en relación con una situación específica, ha considerado previamente que los intereses o los derechos y libertades fundamentales del interesado en esas circunstancias particulares prevalecería sobre el interés del responsable del tratamiento de adherirse a la solicitud de una autoridad encargada de hacer cumplir la ley de un tercer país para evitar sanciones por incumplimiento [16].

5.1 Cumplimiento del Capítulo V del RGPD

27. Como ya se ha indicado, el artículo 48 debe interpretarse en conjunción con el artículo 44, el principio general para las transferencias que introduce el capítulo. El artículo 44 establece las siguientes condiciones para las transferencias en virtud del RGPD: toda transferencia está sujeta a las demás disposiciones pertinentes del RGPD y debe cumplir las condiciones establecidas en el capítulo V (la prueba de los dos pasos), «para garantizar que no se menoscabe el nivel de protección de las personas físicas garantizado por el Reglamento». Las disposiciones sobre transferencias internacionales están diseñadas para garantizar que se mantenga el alto nivel de protección de los datos personales dentro de la UE cuando se transfieren a terceros países con sistemas jurídicos y normas de protección de datos diferentes.

28.   A tal efecto, el Capítulo V enumera los motivos para las transferencias, comenzando por las decisiones de adecuación de la Comisión Europea de conformidad con el artículo 45. Si no existe una decisión de adecuación, se podrán establecer garantías adecuadas mediante alguno de los instrumentos de transferencia previstos en el artículo 46. En ausencia de una decisión de adecuación o de garantías adecuadas, las excepciones del artículo 49 podrían aplicarse en un número limitado de situaciones específicas.

29.   A diferencia de las demás disposiciones del Capítulo V, el Artículo 48 no constituye un fundamento para la transferencia. La disposición en sí no contiene garantías de protección de datos, pero aclara que las decisiones o sentencias de autoridades de terceros países no pueden reconocerse ni ejecutarse en la UE a menos que un acuerdo internacional lo disponga. Por lo tanto, antes de responder a una solicitud de una autoridad de un tercer país contemplada en el Artículo 48, el responsable o encargado del tratamiento en la UE debe identificar un fundamento aplicable para la transferencia en otra parte del Capítulo V.

30.   Según el artículo 46(2)(a), se pueden establecer garantías adecuadas mediante un instrumento jurídicamente vinculante y exigible entre autoridades u organismos públicos, es decir, un acuerdo internacional en el sentido del artículo 48. Dichos acuerdos son celebrados por los Estados y tradicionalmente permiten la cooperación entre autoridades públicas, pero también pueden prever la cooperación directa entre entidades privadas y autoridades públicas[17]  Si un acuerdo internacional contempla la cooperación entre el responsable o el encargado del tratamiento en la UE y la autoridad del tercer país solicitante, dicho acuerdo puede servir de base para la transferencia si establece las garantías adecuadas de conformidad con el artículo 46(2)(a).

31.  El CEPD ha elaborado una lista de garantías mínimas que deben incluirse en los acuerdos internacionales contemplados en el artículo 46(2)(a). Dichas garantías deben garantizar que los interesados ​​cuyos datos personales se transfieran reciban un nivel de protección esencialmente equivalente al garantizado en la UE/EEE[18]. En consecuencia, los acuerdos internacionales que contemplan transferencias de datos personales deben exigir, entre otras cosas, que ambas partes garanticen los principios fundamentales de protección de datos, es decir, garantizar derechos exigibles y efectivos para los interesados, incluir restricciones a las transferencias ulteriores y al intercambio de datos, incluir garantías adicionales para los datos sensibles y establecer mecanismos independientes de reparación y supervisión[19]. Las garantías adecuadas pueden incluirse directamente en el acuerdo internacional, que prevé la cooperación directa entre el responsable o el encargado del tratamiento y las autoridades del tercer país, o en un instrumento jurídicamente vinculante independiente.  Las garantías adecuadas pueden incluirse directamente en el acuerdo internacional, que prevé la cooperación directa entre el responsable o el encargado del tratamiento y las autoridades del tercer país, o en un instrumento jurídicamente vinculante independiente.

32. El artículo 48 se refiere a un acuerdo internacional «sin perjuicio de otros motivos de transferencia con arreglo al presente Capítulo». En opinión del CEPD, en relación con los requisitos del Capítulo V [20],  esta redacción podría abarcar dos posibles situaciones:

-   En primer lugar, si no existe un acuerdo internacional que prevea la cooperación entre el responsable o el encargado del tratamiento y la autoridad del tercer país, una transferencia a una autoridad del tercer país debe basarse en otra base jurídica según el artículo 6 del RGPD y en otro motivo para la transferencia según el capítulo V.

-    En segundo lugar, si existe un acuerdo internacional que establece la base jurídica del artículo 6, pero no contiene las garantías adecuadas de conformidad con el artículo 46(2)(a) y las Directrices del CEPD 2/2020, el responsable del tratamiento debe identificar otro motivo para la transferencia en el Capítulo V.

33. En ausencia de una decisión de adecuación aplicable[21] En cuanto a las garantías adecuadas, el artículo 49 del RGPD ofrece un número limitado de situaciones específicas en las que pueden realizarse transferencias, por ejemplo, si son necesarias por razones importantes de interés público o para el ejercicio o la defensa de reclamaciones [22]  Sin embargo, como se explicó en directrices previas emitidas por el CEPD, las excepciones del artículo 49 del RGPD deben interpretarse de forma restrictiva y se refieren principalmente a actividades de tratamiento ocasionales y no repetitivas[23].





[1] Las referencias a «UE» y «Estados miembros» realizadas a lo largo de este documento deben entenderse como referencias a «EEE» y a «Estados miembros del EEE», respectivamente.

[2] El artículo 48 se refiere a «transferencias o divulgaciones». Por lo tanto, esta será la terminología utilizada en el texto de estas directrices, si bien el CEPD aclaró en sus Directrices 05/2021 que una divulgación de datos personales se considera una transferencia siempre que se cumplan los tres criterios de las directrices (véase la parte 2.2 de las Directrices 05/2021 del CEPD sobre la interacción entre la aplicación del artículo 3 y las disposiciones sobre transferencias internacionales según el capítulo V del RGPD).

[3] A efectos de aplicación de la ley y seguridad nacional, el intercambio de datos se produce habitualmente entre las autoridades implicadas, por lo que el artículo 48 no es aplicable, ya que este tipo de transferencias no entran en el ámbito de aplicación del RGPD. Por consiguiente, el CEPD reitera su postura, expresada en sus directrices sobre el artículo 49 del RGPD, en el sentido de que: «En situaciones en las que exista un acuerdo internacional, como un tratado de asistencia judicial recíproca (MLAT), las empresas de la UE deberían, por lo general, rechazar las solicitudes directas y remitir a la autoridad del tercer país solicitante a un tratado o acuerdo de asistencia judicial recíproca vigente». Sin embargo, recientemente se ha observado una tendencia a negociar acuerdos internacionales que también contemplan las solicitudes directas de las autoridades policiales de terceros países para el acceso a datos personales tratados por entidades privadas en la UE, por ejemplo, el Segundo Protocolo Adicional del Convenio sobre la Ciberdelincuencia relativo a la cooperación reforzada y la divulgación de pruebas electrónicas (CETS n.º 224).

[4] Por ejemplo, cuando se trata de cooperación con autoridades policiales de un tercer país, también se aplicarían las normas de procedimiento penal del Estado miembro de la entidad que recibe la solicitud.

[5] En lo que respecta a los acuerdos internacionales celebrados por la Unión, véase la sentencia del TJUE en el asunto C-327/91, República Francesa contra Comisión, apartado 27. En relación con el artículo 228 del Tratado CEE, el TJUE señala que dicho artículo utiliza el término «acuerdo» en sentido general para indicar cualquier compromiso celebrado por entidades sujetas al Derecho internacional y que tenga fuerza vinculante, sea cual sea su denominación formal.

[6] Esta redacción refleja las normas de derecho internacional, según las cuales una decisión de un tribunal, tribunal o autoridad administrativa nacional carece de efectos jurídicos en otras jurisdicciones, salvo que un acuerdo internacional aplicable así lo disponga. Por lo tanto, cuando las sentencias o decisiones de un tercer país se dirijan a entidades de la UE, debe existir un acuerdo internacional entre dicho tercer país y la UE o el Estado miembro en cuestión para que dichas sentencias o decisiones sean reconocidas y ejecutables con arreglo al Derecho de la Unión o de los Estados miembros. No obstante, la necesidad de un acuerdo internacional para que una sentencia o decisión de un tercer país sea reconocida y ejecutable debe distinguirse de la cuestión de si los datos personales, incluso en ausencia de dicho acuerdo, pueden transferirse legalmente a un tercer país.

[7] Véase también a tal efecto la Respuesta Conjunta del CEPD y el SEPD al Comité LIBE sobre el impacto de la Ley de la Nube de los Estados Unidos en el marco jurídico europeo de protección de datos personales (anexo), página 3.

[8] Véase la Respuesta Conjunta del CEPD y el SEPD al Comité LIBE sobre el impacto de la Ley de la Nube de EE. UU. en el marco jurídico europeo de protección de datos personales, pág. 3. Véanse las Directrices 2/2018 del CEPD sobre las excepciones al artículo 49 del Reglamento 2016/679, adoptadas el 25 de mayo de 2018.

[9] Véase a tal efecto el artículo 28(3)(a) del RGPD y las Directrices del CEPD 07/2020 sobre los conceptos de responsable y encargado del tratamiento en el RGPD, adoptadas el 7 de julio de 2021.

[10] Véase en este contexto el concepto jurídico del considerando 43, apartado 1, relativo al requisito del consentimiento libremente otorgado. Esto se aplica con mayor razón si el caso se refiere a organismos públicos de terceros países. Véase también la Respuesta Conjunta del CEPD y el SEPD a la Comisión LIBE sobre el impacto de la Ley de la Nube de EE. UU. en el marco jurídico europeo para la protección de datos personales, nota a pie de página 28.

[11] Véase, por ejemplo, el artículo 6 del Segundo Protocolo Adicional del Convenio sobre la Ciberdelincuencia relativo a la cooperación reforzada y la divulgación de pruebas electrónicas (STCE nº 224).

[12] Este podría ser, por ejemplo, el caso de solicitudes de acceso a datos personales relativos a menores secuestrados u otras situaciones en las que la transferencia redunde en interés vital de los propios interesados.

[13] Considerando 46 del RGPD.

[14] Para obtener más información, consulte las Directrices del CEPD 1/2024 sobre el procesamiento de datos personales según el artículo 6(1)(f) del RGPD (versión 1.0) adoptadas el 8 de octubre de 2024.

[15] La evaluación del impacto en los intereses del interesado tendrá en cuenta las posibles consecuencias (potenciales o reales) del tratamiento de datos para este, los principios de proporcionalidad en materia de protección de datos, así como elementos como, por ejemplo, la gravedad de los presuntos delitos que puedan notificarse, el alcance de la solicitud, las normas y garantías procesales aplicables en el tercer país, y las salvaguardias de protección de datos aplicables. Dicha evaluación también prestará especial atención a la naturaleza de los datos personales tratados y a la forma en que se tratan. Además, el RGPD introdujo la necesidad de tener en cuenta las expectativas razonables del interesado. Para más información sobre la necesidad y la prueba de equilibrio, véanse también las Directrices del CEPD 1/2024 sobre el tratamiento de datos personales con base en el artículo 6(1)(f) del RGPD (versión 1.0), adoptadas el 8 de octubre de 2024.

[16] Sentencia del Tribunal de Justicia (Gran Sala) de 4 de julio de 2023, Meta Platforms Inc y otros contra Bundeskartellamt, Asunto C-252/21, apartados 124 y 132.

[17] Véase la posición del CEPD ya expresada en el ámbito de la aplicación de la ley y la seguridad nacional en la Respuesta conjunta del CEPD y el SEPD al Comité LIBE sobre el impacto de la Ley de la Nube de los EE. UU. en el marco jurídico europeo para la protección de datos personales.

[18] El CEPD desconoce la existencia de numerosos acuerdos internacionales de este tipo. Un ejemplo sería el Segundo Protocolo Adicional del Convenio sobre la Ciberdelincuencia, del Consejo de Europa, relativo a la cooperación reforzada y la divulgación de pruebas electrónicas (CETS n.º 224), que, sin embargo, aún no ha entrado en vigor.

[19] Tribunal de Justicia de la Unión Europea, asunto C-311/18, Data Protection Commissioner c. Facebook Ireland y Maximillian Schrems ("Schrems II"), apartado 96.

[20] En caso de duda sobre la existencia de un acuerdo internacional y su naturaleza, las entidades de la UE que reciban una solicitud podrán ponerse en contacto y consultar a sus autoridades nacionales pertinentes (por ejemplo, Ministerio de Justicia, Ministerio de Asuntos Exteriores, autoridades de supervisión sectorial, etc.).

[21] Véase a este respecto la parte 2 de las Directrices 2/2020 sobre los artículos 46 (2) (a) y 46 (3) (b) del Reglamento 2016/679 para las transferencias de datos personales entre autoridades y organismos públicos del EEE y de fuera del EEE, versión 2.0; adoptadas el 15 de diciembre de 2020.

[22] Con respecto al artículo 6 del RGPD, podría haber una tercera situación en la que exista un acuerdo internacional que no proporcione una base jurídica adecuada según los artículos 6(1)(c) o 6(1)(e) del RGPD, por ejemplo, porque las disposiciones pertinentes del acuerdo no son lo suficientemente específicas (por ejemplo, no reflejan los elementos enumerados en Artículo 6(3) del RGPD).

[23] La evaluación de si una decisión de adecuación es aplicable debe realizarse caso por caso, teniendo en cuenta en particular el alcance de la decisión de adecuación.

[24] Véase el artículo 49(1)(d) y (e) del RGPD.

[25] Véanse las Directrices 2/2018 sobre excepciones al artículo 49 en virtud del Reglamento 2016/679, adoptadas el 25 de mayo de 2018.