• Ir a navegación principal
  • Ir al contenido principal
  • Ir al pie de página

LEGAL VERITAS ®

PROTECCION DE DATOS

  • Protección de Datos
  • Servicios
    • Adaptación de normativas
    • Delegado de Protección de Datos
    • LOPD
    • RGPD
      • Análisis y borrado de metadatos web
      • Análisis de Riesgo
    • Hacking Ético
  • Sedes
    • Barcelona
    • Coruña
    • Madrid
    • Sevilla
    • Valencia
    • Zaragoza
    • Oviedo
    • Avilés
    • Vigo
    • León
    • Mallorca
    • Málaga
    • Badajoz
    • Las Palmas
  • Contacto
  • Blog
  • Partners

Transferencias internacionales de datos RGPD UE

General · 29/07/2021

Las transferencias internacionales de datos ocurren cuando los responsables o encargados del tratamiento de datos dentro del Espacio Económico Europeo (Estados de la UE, además Noruega, Islandia y Liechtenstein) envían datos personales a terceros países u organizaciones internacionales fuera de dicho ámbito. Esto sucede normalmente cuando una empresa con sede en la UE o en la EEE requiere por razones operativas, administrativas o de otra índole, enviar datos personales de sus clientes o relacionados a una sucursal o filial en una nación no perteneciente a dichos organismos.

Pero, de acuerdo con el Reglamento General de Protección de Datos de la UE, para realizar esta transmisión de información es indispensable cumplir ciertas medidas. Tales pasos garantizan el respeto a los derechos de los usuarios respecto a la gestión de sus datos según el tipo de consentimiento de uso que haya dado al responsable del tratamiento. Veamos cuáles son estas condiciones.

Nivel adecuado de garantías, norma básica para transferencias internacionales de datos

¿Qué es lo más básico que debes considerar como responsable o encargado del tratamiento de datos para hacer transferencias internacionales de datos? Simplemente, asegurarte que los países a los que envíes la información posean un nivel de garantías adecuado en cuanto a la protección de datos personales. El artículo 45 del RGPD es claro al señalar que las transferencias de datos a un tercer país pueden realizarse siempre y cuando la Comisión Europea haya decidido que dicha nación o la organización internacional involucrada garantizan el nivel de protección adecuado.

Para evaluar esta adecuación, la CE tendrá en cuenta una serie de condiciones relacionadas con el Estado de Derecho, la legislación en general y la específica relacionada con la protección de datos y el nivel de acceso a los mismos por parte de las autoridades y todas las medidas aplicadas al tratamiento y transmisión de datos en el país de destino. Al respecto, es conveniente consultar el texto completo del punto 2 del mencionado artículo 45.

En este sentido, la Comisión Europea ha declarado hasta el presente una serie de países y territorios con condiciones apropiadas para la seguridad de la información. Entre ellos están: Suiza, Canadá, Argentina, Andorra, Israel, Nueva Zelanda y Uruguay.

¿Cómo hacer transferencias internacionales de datos a EE.UU.?

Las cosas se complican cuando se trata de transferencias internacionales de datos a Estados Unidos. Esto se debe a que el Tribunal de Justicia de la UE  (TJUE) invalidó el tratado de Escudo de Privacidad (Privacy Shield). Dicha instancia judicial tomó la medida a raíz de la sentencia sobre el caso Schrems. El argumento para esta decisión fue: que los requisitos del Derecho nacional estadounidense, y en particular algunos programas que permiten a las autoridades públicas de los Estados Unidos acceder a los datos personales transferidos desde la UE a los EE.UU. con fines de seguridad nacional, imponen limitaciones a la protección de los datos personales que no están circunscritos de un manera que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión.

En caso de necesitar transferir datos personales a Estados Unidos o a otras naciones sin declaración de adecuación de la CE, es imprescindible cumplir con lo expresado en el artículo 46 del RGPD. Allí se establece que al no existir una decisión de la CE en relación con el país de destino podría realizarse la operación sin mediar autorización de la autoridad de control, si se incluyen:

  • Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
  • Normas corporativas vinculantes (NCV, ver artículo 47).
  • Cláusulas contractuales tipo (CCT) de protección de datos adoptadas por la Comisión por una autoridad de control y aprobadas por la Comisión.
  • Códigos de conducta, acompañados por compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de implementar las garantías apropiadas. Incluyendo aquellas que correspondan a los derechos de las personas interesadas.
  • Mecanismos de certificación, con las mismas condiciones estipuladas en el punto anterior.

Nuevas cláusulas contractuales tipo (CCT)

El 4 de junio de 2021, la Comisión Europea publicó un conjunto actualizado de cláusulas contractuales tipo. En concreto, la nueva clasificación establece cuatro tipos de transferencia de datos:

  • Entre responsable y responsable.
  • De responsable a encargado.
  • Encargado a encargado.
  • De encargado a responsable.

A cada tipo o módulo, se imponen condiciones adecuadas a su caso. Por ejemplo, en la categoría de responsable a responsable (cláusula 8) están previstos requisitos sobre limitación de la finalidad, transparencia, exactitud y minimización de datos. Igualmente, se establecen exigencias en cuanto a limitación del plazo de conservación, seguridad del tratamiento, datos sensibles, etc.

Las nuevas CCT entrarán en vigencia el 27 de septiembre de 2021. A partir de ese día, quedarán derogadas las cláusulas descritas en las Decisiones de la CE 2001/497/CE, 2004/915/CE y 2010/87/UE. Aun así, todo contrato celebrado antes de la fecha indicada será válido hasta el 22 de septiembre de 2022.

Cabe destacar que estas nuevas cláusulas se ajustan al RGPD mediante los principios de “accountability”. Las mismas buscan adaptarse a los criterios expresados por el TJUE en su fallo sobre el caso Schrems. Además, también es aconsejable que los responsables y encargados del tratamiento de datos, valoren si la legislación sobre tratamiento de datos del país receptor ofrece las mismas condiciones de protección del marco europeo. Dicha evaluación objetiva debe hacerse tanto en la nación de origen como en la de destino. De igual manera, es fundamental acatar las directrices del Comité Europeo de Protección de Datos, en relación a las medidas suplementarias que se llevan a cabo para asegurar un estándar de protección equivalente.

Transferencias internacionales de datos sin garantías ni decisión de adecuación

En caso de no contar con una decisión de adecuación o de garantías apropiadas, el artículo 49 del RGPD establece una serie de excepciones para validar las transferencias internacionales de datos personales:

  • Si el interesado da su consentimiento explícito a la transferencia de datos planteada, tras informarle debidamente de los eventuales riesgos de tales operaciones por la falta de una decisión de adecuación y/o de garantías adecuadas.
  • También cuando la transferencia de datos sea necesaria para ejecutar un contrato entre el usuario y el responsable del tratamiento. Al igual que para la ejecución de medidas precontractuales aplicadas a solicitud del interesado.
  • Asimismo, cuando la transferencia sea indispensable para la celebrar o ejecutar un contrato de interés para el usuario, entre el responsable del tratamiento y una tercera persona física o jurídica.
  • Si el envío de datos es vital por razones de interés público.
  • En la misma línea, la transferencia de datos puede realizarse con el objetivo de la formulación, el ejercicio o la defensa de reclamaciones.
  • Por igual, es procedente la transferencia si permite proteger los intereses vitales del usuario o de otros individuos, si se trata de personas física o jurídicamente incapacitadas para dar su consentimiento.
  • Puede efectuarse la transferencia desde un registro público que, en conformidad con el Derecho de la Unión o de los Estados miembros, tenga como propósito facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que acredite un interés legítimo.

Conviene leer en su totalidad esta disposición para conocer más a fondo los detalles de estas excepciones.

¿Cuándo se requiere una autorización de la Agencia Española de Protección de Datos?

La autorización expresa de la Agencia Española de Protección de Datos es obligatoria cuando las garantías adecuadas estén basadas en:

  • Cláusulas contractuales tipo entre el responsable o el encargado y el responsable, y el encargado y subencargado, que no sean adoptadas por la Comisión Europea.
  • Cláusulas contractuales tipo incorporadas en acuerdos administrativos entre autoridades u organismos públicos que involucren derechos efectivos y exigibles para los interesados.

¿Aplica lo mismo para transferir datos entre la UE y Reino Unido?

Tras su retiro formal de la Unión Europea, como consecuencia del Brexit, el Reino Unido es considerado ahora un “tercer país” a efectos del RGPD. Esta afirmación deriva del comunicado publicado por el Comité Europeo de Protección de Datos (CEPD) el 15 de diciembre de 2020. En resumen, la declaración especifica que Gran Bretaña dejará de aplicar el RGPD para asumir una legislación propia.

Sin embargo, el CEPD aclara que el Reino Unido ha tomado elementos del Reglamento europeo para su regulación nacional. Por esta razón, ambos instrumentos podrían tener coincidencias. Aun así, la CE no ha declarado al territorio británico como zona con condiciones apropiadas para la seguridad de datos.

Mientras tanto, los intercambios de datos con Reino Unido serán transferencias internacionales de datos a una tercera nación. En consecuencia, aplicarán todas las previsiones del RGPD en esta materia.

¿Cuáles son las sanciones por infringir estas disposiciones?

Según el artículo 83.5.c del RGDP, quienes infrinjan lo dispuesto en el capítulo correspondiente a las transferencias internacionales de datos personales a un destinatario en un tercer país (artículos 44 a 49) serán sancionados con multas administrativas. La cantidad de esta penalización será de 20 millones de euros como máximo. Pero si se trata de una empresa, la sanción será equivalente “al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.

¿Alguna duda sobre las transferencias internacionales de datos? ¡Consúltanos!

En Legal Veritas somos consultores líderes en materia de protección de datos y transferencias internacionales de datos. Por tanto, podemos asesorarte y ayudar a tu empresa a cumplir con el RGPD europeo y con  legislaciones nacionales como la LOPD y la LSSICE. Para ello, disponemos de profesionales cualificados así como de soluciones tecnológicas aplicadas. Contáctanos y conoce todos nuestros servicios relacionados con la adaptación de tus canales web a los mencionados reglamentos.

Entradas Relacionadas

  • Pacto Digital para la protección de las personasPacto Digital para la protección de las personas
  • ¿Sabes realmente qué datos recopilan los navegadores?¿Sabes realmente qué datos recopilan los navegadores?
  • Como gestionar tus derechos cuando recibes publicidad no deseadaComo gestionar tus derechos cuando recibes publicidad no deseada
  • Diferencias entre mediador de seguros, agente exclusivo y agente vinculadoDiferencias entre mediador de seguros, agente exclusivo y agente vinculado
  • Nuevo reglamento general de protección de datos, principales dudas y cuestionesNuevo reglamento general de protección de datos, principales dudas y cuestiones
  • Responsabilidad de los administradores de comunidades sobre protección de datosResponsabilidad de los administradores de comunidades sobre protección de datos

Archivado en:General

Publicación anterior: « Privacidad en Redes Sociales, ¿están tus datos personales a salvo?
Publicación siguiente: ¿Sabes realmente qué datos recopilan los navegadores? »

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

ESTAMOS EN CONTACTO 622.639.906

Solicítanos un nuevo presupuesto que se adapte a tus necesidades.

NUEVO PRESUPUESTO

Footer

CONTACTO

CENTRAL: Calle Corrida, 29, 2ºA, 33206 Gijón, Asturias

Email: info@legalveritas.es

Teléfono: 622 63 99 06

MAPA DEL SITIO

  • Protección de Datos
  • Servicios
    • Adaptación de normativas
    • Delegado de Protección de Datos
    • LOPD
    • RGPD
      • Análisis y borrado de metadatos web
      • Análisis de Riesgo
    • Hacking Ético
  • Sedes
    • Barcelona
    • Coruña
    • Madrid
    • Sevilla
    • Valencia
    • Zaragoza
    • Oviedo
    • Avilés
    • Vigo
    • León
    • Mallorca
    • Málaga
    • Badajoz
    • Las Palmas
  • Contacto
  • Blog
  • Partners

PUEDE ENCONTRARNOS EN

  • Barcelona
  • A Coruña
  • Madrid
  • Sevilla
  • Valencia
  • Zaragoza
  • Oviedo
  • Avilés
  • Vigo
  • León
  • Mallorca
  • Málaga
  • Asturias
  • Gijón

RRSS

twitter-legalveritas   Facebook   Instagram

CERTIFICADO CUMPLIMIENTO NORMATIVO

Copyright Legal Veritas © 2022 - Aviso Legal · Política de Cookies · Política de Privacidad · politica-de-privacidad-redes-sociales · Formulario de desistimiento · Términos y Condiciones . panel-de-configuracion-de-cookies · Diseño y desarrollo por Sisnet Consulting

Utilizamos cookies para ofrecerte la mejor experiencia en nuestra web.

Puedes aprender más sobre qué cookies utilizamos o desactivarlas en los ajustes.

imagen legal veritas
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.

Puedes revisar nuestra política de privacidad aquí.

Cookies estrictamente necesarias

Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies. Le mostramos un resumen de las principales:

  • Sesión de usuario
  • Comentarios
  • Seguridad

Dispone de un enlace a nuestra política de cookies completa aquí.

Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.

Cookies de analítica

Esta web utiliza Google Analytics para recopilar información anónima tal como el número de visitantes del sitio, o las páginas más populares.

Dejar esta cookie activa nos permite mejorar nuestra web.

¡Por favor, activa primero las cookies estrictamente necesarias para que podamos guardar tus preferencias!