En resumen: La transferencia de datos personales fuera de Marruecos está estrictamente regulada por los artículos 43 y 44 de la Ley 09-08. Toda empresa que desee transferir datos a un país sin nivel adecuado de protección debe obtener autorización previa de la CNDP. El incumplimiento puede acarrear penas de hasta 1 año de prisión y 200 000 MAD de multa.
Los expertos contables de Upsilon Consulting asisten a las empresas internacionales y filiales de grupos extranjeros en el cumplimiento normativo de sus transferencias transfronterizas de datos.
¿Por qué la transferencia internacional de datos es un tema crítico?
Con la globalización de los intercambios económicos, las empresas marroquíes y las filiales de grupos internacionales transfieren datos personales a través de las fronteras de forma cotidiana: nómina centralizada, CRM compartido, alojamiento cloud en el extranjero, subcontratación de servicios informáticos. Estos flujos de datos están sujetos a un marco jurídico estricto en Marruecos.
La Ley 09-08 relativa a la protección de las personas físicas respecto al tratamiento de datos de carácter personal dedica sus artículos 43 y 44 a la transferencia internacional de datos. El objetivo es garantizar que los datos personales de los residentes marroquíes gocen de un nivel de protección equivalente, independientemente del país de destino.
El principio: prohibición salvo protección adecuada
El artículo 43 de la Ley 09-08 establece un principio claro: los datos personales solo pueden transferirse a un Estado extranjero si dicho Estado garantiza un nivel de protección suficiente de la vida privada, las libertades y los derechos fundamentales de las personas respecto al tratamiento de esos datos.
El carácter suficiente del nivel de protección es evaluado por la CNDP teniendo en cuenta:
- La naturaleza de los datos transferidos
- La finalidad del tratamiento previsto
- La duración del tratamiento
- El país de destino final
- Las normas jurídicas y de seguridad vigentes en el país destinatario
- Las normas profesionales y las medidas de seguridad aplicadas
La CNDP publica y actualiza la lista de países que ofrecen un nivel de protección adecuado. Los países de la Unión Europea generalmente se consideran con nivel suficiente, dada la existencia del RGPD.
Las excepciones: cuándo se permite la transferencia sin protección adecuada
El artículo 44 prevé derogaciones que permiten la transferencia incluso hacia un país que no ofrece un nivel de protección suficiente, cuando:
- La persona afectada ha dado su consentimiento expreso a la transferencia prevista
- La transferencia es necesaria para la ejecución de un contrato entre la persona afectada y el responsable del tratamiento
- La transferencia es necesaria para salvaguardar el interés público
- La transferencia es necesaria para la constatación, ejercicio o defensa de un derecho en justicia
- La transferencia es necesaria para proteger la vida de la persona afectada
- La transferencia se realiza a partir de un registro público
Fuera de estas excepciones, el responsable del tratamiento debe obtener una autorización previa de la CNDP.
El procedimiento de autorización de la CNDP
Para obtener la autorización de la CNDP para una transferencia internacional, la empresa debe:
1. Presentar una solicitud de autorización
La solicitud debe dirigirse a la CNDP e incluir:
- Identificación completa del responsable del tratamiento en Marruecos
- Identificación del destinatario de los datos en el país extranjero
- La naturaleza de los datos transferidos
- La finalidad de la transferencia
- El país de destino
- Las medidas de seguridad implementadas
2. Presentar garantías suficientes
El responsable del tratamiento debe demostrar que existen garantías suficientes para proteger los datos. Estas garantías pueden adoptar varias formas:
- Cláusulas contractuales tipo (CCT): contratos estandarizados entre el exportador y el importador de datos, que imponen obligaciones de protección. La CNDP ha publicado modelos de cláusulas inspirados en estándares internacionales.
- Normas corporativas vinculantes (BCR — Binding Corporate Rules): políticas internas adoptadas por un grupo multinacional para regular las transferencias intragrupo. Estas normas deben ser aprobadas por la CNDP.
- Códigos de conducta sectoriales: adoptados por asociaciones profesionales y validados por la CNDP.
3. Esperar la decisión de la CNDP
La CNDP dispone de un plazo para examinar la solicitud. En ausencia de respuesta dentro del plazo legal, el silencio equivale a denegación. Por tanto, es esencial constituir un expediente completo y anticipar los plazos.
Implicaciones prácticas para las empresas
Filiales de grupos internacionales
Las filiales marroquíes de grupos extranjeros están particularmente afectadas. La transferencia de datos de RRHH a la matriz (nómina, evaluaciones, expedientes disciplinarios), el intercambio de bases de clientes con otras entidades del grupo o el uso de sistemas ERP centralizados constituyen transferencias sujetas a autorización.
Recomendación: implementar BCR que cubran todos los flujos intragrupo y hacerlas validar por la CNDP.
Servicios en la nube (AWS, Azure, Google Cloud)
El uso de servicios cloud cuyos servidores están ubicados en el extranjero constituye una transferencia internacional de datos según la Ley 09-08. Incluso si el proveedor cloud es contratado a través de una entidad local, los datos transitan físicamente fuera del territorio marroquí.
Recomendación: priorizar las regiones de datacenter que ofrecen un nivel de protección adecuado, incluir cláusulas contractuales tipo en los contratos con el proveedor cloud y declarar la transferencia a la CNDP.
Subcontratación en el extranjero (outsourcing)
La externalización de servicios (contabilidad, centros de llamadas, desarrollo informático) a proveedores extranjeros implica frecuentemente una transferencia de datos personales. El responsable del tratamiento marroquí sigue siendo plenamente responsable de la protección de los datos confiados al subcontratista.
Recomendación: incluir cláusulas de protección de datos en todo contrato de subcontratación internacional y verificar las medidas de seguridad del proveedor.
Sanciones por transferencia ilícita
Los artículos 60 y 61 de la Ley 09-08 prevén sanciones severas en caso de transferencia internacional no autorizada:
| Infracción | Sanción penal | Multa |
|---|---|---|
| Transferencia a un país sin protección adecuada sin autorización | 3 meses a 1 año de prisión | 20 000 a 200 000 MAD |
| Obstrucción al control de la CNDP | 3 meses a 6 meses de prisión | 10 000 a 50 000 MAD |
Estas sanciones se aplican al responsable del tratamiento, es decir, al dirigente de la empresa o a la persona jurídica misma. En caso de reincidencia, las penas pueden duplicarse.
Cómo le asiste Upsilon Consulting
Los expertos contables y asesores jurídicos de Upsilon Consulting le ayudan con:
- La auditoría de sus flujos de datos transfronterizos para identificar las transferencias sujetas a autorización
- La redacción de cláusulas contractuales tipo adaptadas a sus relaciones comerciales
- La constitución y presentación del expediente de autorización ante la CNDP
- La implementación de Binding Corporate Rules para grupos multinacionales
- La formación de sus equipos en buenas prácticas de transferencia de datos
LEA TAMBIÉN
