guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Nivel adecuado de protección de datos

Nivel adecuado de protección de datos

El nivel adecuado de un tercer país u organización internacional en materia de protección de datos es uno de los supuestos de garantías adecuadas, o suficientes, para poder llevar a cabo una transferencia internacional de datos desde la Unión Europea. Se requiere un nivel de protección de datos sustancialmente equivalente al que proporciona la normativa europea.

Proteccion de Datos Personales
Protección de datos

¿Qué es el nivel adecuado?

El nivel adecuado de protección de datos es un concepto que ni estaba definido en la derogada Directiva 95/46/CE, ni lo está en el Reglamento (UE) 2016/679 o en la LOPDGDD. No obstante, a diferencia de la Directiva, que se limitaba a hacer referencia al nivel adecuado, el Reglamento sí indica expresamente cuáles son los factores a tener en consideración para evaluar si un tercer país tiene un nivel adecuado o no.

El nivel adecuado, en lo fundamental, es uno de los supuestos de garantías adecuadas, o suficientes, para poder llevar a cabo una transferencia internacional de datos desde la Unión Europea. Es así que, cuando un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional tiene reconocido el nivel adecuado, se podrá llevar a cabo una transferencia de datos desde la Unión Europea, sin perjuicio de los demás requisitos que tengan que cumplirse, como norma general, conforme al Reglamento (UE) 2016/679. En caso de que se garantice un nivel adecuado, lo que requiere una decisión de adecuación de la Comisión Europea, no será ninguna autorización específica, es decir, no hará falta una autorización de la autoridad competente de protección de datos personales. Y esto sin perjuicio de que puedan darse otras garantías para la transferencia internacional de datos.

Sobre el concepto de nivel adecuado, considerando la sentencia del Tribunal de Justicia de la Unión Europea (TJUE), de 6 de octubre de 2015, en el asunto C-362/14, caso Schrems, hay que atender a que "es el ordenamiento jurídico del tercer país al que se refiere la decisión de la Comisión el que debe garantizar un nivel de protección adecuado. Aunque los medios de los que se sirva ese tercer país para garantizar ese nivel de protección pueden ser diferentes de los aplicados en la Unión para garantizar el cumplimiento de las exigencias derivadas de esa Directiva entendida a la luz de la Carta, deben ser eficaces en la práctica para garantizar una protección sustancialmente equivalente a la garantizada en la Unión" (apartado 74).

Lo que queda claro es que el nivel adecuado, exigido a un tercer país u organización internacional, en los términos previstos en el Reglamento (UE) 2016/679, significa, como ha expresado el TJUE en la sentencia ya citada, que lo que se "exige que ese tercer país garantice efectivamente, por su legislación interna o sus compromisos internacionales, un nivel de protección de las libertades y derechos fundamentales sustancialmente equivalente al garantizado en la Unión por laDirectiva 95/46, entendida a la luz de la Carta" (apartado 73).

¿Qué factores hay que considerar para evaluar el nivel adecuado?

En relación con esta cuestión, la sentencia del TJUE ya citada indica que "al valorar el nivel de protección ofrecido por un tercer país la Comisión está obligada a apreciar el contenido de las reglas aplicables en ese país, derivadas de la legislación interna o de los compromisos internacionales de éste, así como la práctica seguida para asegurar el cumplimiento de esas reglas, debiendo atender esa institución a todas las circunstancias relacionadas con una transferencia de datos personales a un tercer país" (apartado 75).

Es decir, lo fundamental es que no se requiere el mismo (idéntico) nivel adecuado de protección de datos, sino un nivel "equivalente", en los términos que explica la sentencia del TJUE, ya citada, y que se encuentran también en el considerando 105 del Reglamento (UE) 2016/679, que indica "Aparte de los compromisos internacionales adquiridos por el tercer país u organización internacional, la Comisión debe tener en cuenta las obligaciones resultantes de la participación del tercer país u organización internacional en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales, y el cumplimiento de esas obligaciones. En particular, debe tenerse en cuenta la adhesión del país al Convenio del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y su Protocolo adicional. La Comisión debe consultar al Comité al evaluar el nivel de protección existente en terceros países u organizaciones internacionales.".

En este sentido, es relevante considerar que el Comité Europeo de Protección de Datos, ya que hizo como suyos los documentos publicados por el Grupo de Trabajo del Artículo 29, publicó el Documento de trabajo sobre la adecuación referencial (Working document on Adequacy Refeferential), WP 254 rev.01, adoptado el 6 de febrero de 2018, ha indicado que lo que se requiere es un contenido básico y mecanismos procedimentales y de cumplimiento, tales como una autoridad independiente de protección de datos, en materia de protección de datos. Además, es necesario que el tercer país u organización internacional proporcione garantías esenciales por lo que se refiere a la posibilidad de acceso a los datos personales por las autoridades de cumplimiento y de seguridad nacional, ya que es necesario que se garantice que no se produce una vulneración del derecho fundamental a la protección de datos.

¿Quién decide sobre el nivel adecuado?

Es la Comisión Europea la que decide sobre el nivel adecuado de un "tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado" (apartado 1 del artículo 45 del Reglamento (UE) 2016/679). Y lo hace a través de una decisión de adecuación, que desde el punto de vista del ordenamiento jurídico europeo, es una decisión unilateral de ejecución por la que se constata dicho nivel de adecuación.

En concreto, la Comisión Europea, conforme a lo indicado en el apartado 2 del artículo 45 del Reglamento (UE) 2016/679, considerará los siguientes elementos concretos al evaluar si el tercer país u organización internacional proporciona un nivel adecuado: "a) el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos; b) la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los Estados miembros, y c) los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales."

Por último, la Comisión Europea, en virtud de lo previsto en el apartado 4 del artículo 45 del Reglamento (UE) 2016/679, tendrá que supervisar cualesquiera "acontecimientos en países terceros y organizaciones internacionales que puedan afectar a la efectiva aplicación de las decisiones adoptadas", con la finalidad de asegurarse que pueden mantenerse en los términos en que fueron adoptadas o, si por el contrario, es necesario modificarlas.

¿Qué países tienen un nivel adecuado?

A lo largo de los años la Comisión Europea ha emitido diversas decisiones de adecuación relativas a terceros países. La lista actual de terceros países con nivel adecuado, en orden alfabético, es la siguiente:

Estas decisiones fueron modificadas por la Decisión de Ejecución (UE) 2016/2295 de la Comisión, de 16 de diciembre de 2016, por la que se modifican las Decisiones 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE, 2011/61/UE, y las Decisiones de Ejecución 2012/484/UE y 2013/65/UE, relativas a la protección adecuada de los datos personales por determinados países, en aplicación del artículo 25, apartado 6, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo. Con esta decisión se llevó a cabo la revisión de las citadas con la finalidad de garantizar el derecho fundamental a la protección de datos personales.

Además, dada sus especialidades, ya que se trata de adecuaciones parciales bien sea por el ámbito de aplicación de la ley correspondiente o por el mecanismo de que se trata, es necesario atender también a:

Recuerde que...

  • El nivel de protección de datos en un tercer país u organización internacional, se refiere a una protección equivalente a la que proporciona la UE del derecho a la protección de datos.
  • El reconocimiento del nivel adecuado a un tercer país u organización internacional corresponde a la Comisión Europea, que lo hará a través de una decisión de adecuación.
  • En lo fundamental, se requiere que un tercer país u organización internacional cumpla con principios y garantías esenciales en materia de protección de datos y tenga una autoridad independiente de protección de datos.
Subir