El proceso soberanista está teniendo consecuencias importantes en el mundo empresarial, El Banco de Sabadell ayer cambió su sede social. Hoy son otras muchas empresas las que se plantean hacer este cambio a otras plazas del situadas en otras partes del Estados español. Pero, es suficiente con cambiar la sede, ¿qué sucede con los datos personales que están en los servidores de estas empresas situados en Cataluña?

Estas y otras preguntas trasladamos a nuestra experta, Ruth Benito, titular de Bussola Abogados y experta en protección de datos.

¿Pueden las empresas que han cambiado su sede mantener los servidores con los datos personales de los clientes en Cataluña?

Suponiendo, que es mucho suponer (teniendo en cuenta que puede mantenerse la nulidad de una supuesta declaración unilateral de independencia, esa famosa DUI), que se diera de forma efectiva la independencia de Cataluña, ésta quedaría no sólo fuera del Estado español, sino y consecuentemente, fuera de la Unión Europea. 

Es muy importante tener claro que esto no sólo afectaría a las empresas que mantuvieran su sede en un estado catalán independiente, sino a cualquier empresa que se valiera de servidores en territorio catalán, o trataran desde Cataluña datos obtenidos en territorio UE, o transfiriera datos personales a empresas allí radicadas, bien porque cede esos datos a empresas del mismo grupo, o a terceras empresas o porque cuenta con proveedores catalanes que acceden a los datos personales de los que son responsables.

En estos casos, se estaría realizando lo que se conoce como transferencias internacionales de datos que no estarían, en principio, amparadas por el marco legal vigente.

La normativa vigente, en esencia, sólo permite aquellas transferencias internacionales de datos que garanticen que allí donde se encuentran o tratan los datos fuera de UE, las personas a quienes pertenecen tales datos van a ser respetados y ver garantizados sus derechos en relación con el tratamiento de sus datos de manera igual o equivalente a cómo sucede en la Unión Europea. Ello se arbitra bajo un régimen en el que sólo se contempla como válidas aquellas transferencias internacionales que se efectúen:

1. A un destino que haya sido declarado por la Comisión Europea con nivel de protección equivalente al europeo.
2. Por aplicación de alguna de las excepciones contempladas en el art. art. 34 de la actual LOPD.
3. Bajo la autorización previa de la Directora de la Agencia Española de Protección de Datos (art. 33 de la LOPD y 66 de su Reglamento de desarrollo).

Si los datos se mantienen en Cataluña, ¿podría haber sanciones de la Agencia Española de Protección de Datos a estas empresas?

Sí, podría llegar a haber sanciones pues, como digo, se estarían produciendo movimientos internacionales de datos que serían ilícitos. La normativa actualmente aplicable contempla estos supuestos como infracción muy grave que puede llegar a ser sancionada hasta con 600.000 €. Ahora bien, el Reglamento Europeo de Protección de Datos, que será de aplicación directa a partir del 25 de mayo de 2018, y no prevé grandes diferencias respecto al régimen actual en lo que a las transferencias internacionales se refiere, incrementa en gran medida la cuantía de las sanciones, que, para estos casos, pueden alcanzar los 20 millones de euros o al equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior, debiendo optarse entre ambas opciones por la de mayor cuantía.

PUBLICIDAD

¿Podría una hipotética república independiente catalana hacer algo para las empresas que se ven en esa situación no sean sancionadas?

Yo entiendo que esto pasaría, primordialmente, por dotarse de un ordenamiento jurídico propio, dentro del cual se contemple una normativa general de protección de datos que garantice, del mismo modo que hace la normativa europea, la protección de los derechos y libertades de las personas que puedan verse afectados por el tratamiento de sus datos. Pero no bastaría con ello. Además, deberían pasar un complejo, y seguramente muy largo, proceso para lograr que la Comisión Europea reconozca a dicha república catalana como un destino seguro para el tratamiento de los datos.

A este respecto, habría que ver si tendría incidencia, y en qué medida, la polémica existente respecto al tratamiento, por las autoridades catalanas, de los datos personales de catalanes en el supuesto censo universal utilizado el pasado día 1 de octubre.

¿Que sucedería con las empresas que mantienen su sede en una Cataluña independiente y mantienen los datos de sus clientes del resto de España en ese territorio?

Mientras no existiera la declaración de la Comisión Europea a la que me refiero en la respuesta anterior (y hay que ser consciente de la complejidad y de la mínima probabilidad, de que eso se produjera a corto plazo), las empresas que operaran en cualquier territorio UE y estén transfiriendo datos personales a sus servidores en territorio catalán, deberían revisar sus tratamientos de datos y ver si para algunos de estos supuestos pueden acogerse a alguna de las excepciones previstas actualmente (que, muy probablemente, para la mayoría de los casos, no serían aplicables) o solicitar y obtener la autorización de la Directora de la AEPD.   

Para esto último, dependiendo del supuesto en que nos encontráramos, estas empresas deberían dotarse, como mínimo, de unos contratos o unas reglas que recojan una serie de condiciones y requisitos con los que quede claro que se va a garantizar una protección equivalente a la exigida por la normativa europea a las personas que puedan verse afectada por estos tratamientos de datos.