Transferencias internacionales y DPO

Transferencias internacionales de datos (arts. 44-49 RGPD)

Cualquier flujo de datos personales desde el Espacio Economico Europeo (EEE) a un tercer pais se considera una transferencia internacional y requiere garantias especificas. Para los despachos de abogados, las situaciones mas frecuentes son:

• Uso de servicios en la nube con servidores fuera del EEE (por ejemplo, proveedores estadounidenses).
• Colaboracion con despachos o corresponsales en terceros paises.
• Envio de documentacion a tribunales, organismos o contrapartes en el extranjero.

Mecanismos para legitimar la transferencia

El RGPD establece un sistema de tres niveles:

1. Decisiones de adecuacion (art. 45) La Comision Europea determina que ciertos paises ofrecen un nivel de proteccion equivalente al europeo. Paises con decision de adecuacion incluyen: Reino Unido, Suiza, Japon, Canada (sector privado), Argentina, Uruguay, Israel, Corea del Sur y, desde julio de 2023, Estados Unidos (bajo el EU-US Data Privacy Framework).

2. Clausulas contractuales tipo (art. 46) Si no hay decision de adecuacion, el mecanismo mas utilizado son las Clausulas Contractuales Tipo (CCT) aprobadas por la Comision Europea. Desde junio de 2021 existe un nuevo set modular de CCT (Decision 2021/914) que sustituye a las versiones anteriores.

3. Excepciones (art. 49) Solo para transferencias puntuales: consentimiento explicito e informado, ejecucion de un contrato, razones de interes publico, defensa de reclamaciones legales.

Schrems II: implicaciones practicas

La sentencia Schrems II (C-311/18, julio 2020) invalido el Privacy Shield UE-EE.UU. y establecio que las CCT requieren una evaluacion previa de la legislacion del pais receptor (Transfer Impact Assessment o TIA).

Para tu despacho esto significa:

• Cada proveedor fuera del EEE requiere un TIA documentado.
• Si el proveedor esta sujeto a legislacion de vigilancia masiva (ej. FISA 702 en EE.UU.), las CCT pueden no ser suficientes sin medidas suplementarias (cifrado end-to-end, pseudonimizacion).

---

El Delegado de Proteccion de Datos (DPO)

Cuando es obligatorio (art. 37 RGPD)

El nombramiento de un DPO es obligatorio cuando:

1. El tratamiento lo realiza una autoridad u organismo publico.
2. Las actividades principales requieren observacion habitual y sistematica de interesados a gran escala.
3. Las actividades principales consisten en tratamiento a gran escala de datos sensibles o relativos a condenas penales.

¿Un despacho de abogados necesita DPO?

• Despachos grandes (50+ abogados) que tratan datos de categorias especiales de forma sistematica: probablemente si.
• Despachos medianos y pequeños: generalmente no es obligatorio, pero la AEPD recomienda designar un referente interno de privacidad.
• Si tu despacho actua como DPO externo para clientes: necesitas formacion acreditada y experiencia demostrable.

Funciones del DPO (art. 39)

Funcion	Descripcion
Informar y asesorar	Al responsable, encargado y empleados sobre obligaciones RGPD
Supervisar	El cumplimiento del RGPD y politicas internas de proteccion de datos
Cooperar	Con la autoridad de control (AEPD) y actuar como punto de contacto
Asesorar sobre EIPD	Cuando se le solicite, especialmente sobre necesidad y metodologia

DPO externo vs interno

Aspecto	DPO interno	DPO externo
Independencia	Puede haber conflictos de interes	Mayor independencia
Coste	Salario fijo + formacion	Fee mensual/anual
Disponibilidad	Dedicacion parcial o total	Segun contrato
Conocimiento del negocio	Profundo	Requiere onboarding
Mejor para	Empresas grandes	PYMES y despachos