¿Cómo actuar cuando existen transferencias internacionales de datos personales?

La normativa en materia de protección de datos personales obliga a prestar especial atención a las transferencias internacionales de datos personales.

El nuevo Reglamento general de protección de datos (RGPD) mantiene los principios de la legislación anterior, pero introduce algunas novedades que analizaremos en este artículo.

El artículo 44 del RGPD establece que sólo se permitirán transferencias internacionales de datos en dos supuestos:

1. transferencias basadas en una decisión de adecuación

El RGPD impone restricciones en la transferencias de datos personales a países fuera de la Unión Europea y organizaciones internacionales, para asegurar que el nivel de protección sea el mismo que el establecido en el nivel europeo.

En este sentido, se permiten las transferencias de datos personales a un tercer país u organización internacional cuando la Comisión Europea haya decidido que éstos garantizan un nivel de protección adecuado.

No todos los terceros países tiene igual consideración, es necesario revisar la normativa de protección de datos del país en cuestión, para saber si existe una protección adecuada de datos personales.

En la Unión Europea, es la Comisión la que hace el examen de adecuación (“adequancy test“) que deberá tener en cuenta los siguientes criterios, de acuerdo con el artículo 45 del RGPD:

  1. conceptos y principios consagrados en la legislación europea en materia de protección de datos: limitación de objetivos, transparencia, proporcionalidad, retención de datos o calidad de datos
  2. derechos de los interesados (acceso, rectificación y oposición)
  3. la existencia de una autoridad de control independiente y con suficientes poderes para hacer cumplir la normativa en esta materia
  4. mecanismos de protección en caso de violación de los derechos de los interesados
  5. restricciones respecto a transferencias sucesivas a terceros países
  6. deben existir salvaguardas específicas para los datos sensibles (o categorías especiales de datos)
  7. especiales condiciones para la mercadotecnia y las decisiones automatizadas y elaboración de perfiles.

Si bien no es necesario que las legislaciones de terceros países imiten la terminología del RGPD o sean una copia exacta del mismo, se requiere que ese tercer país, garantice efectivamente un nivel de protección sustancialmente equivalente al garantizado en la UE.

En cuanto se produce la adecuacióm, el tercer país tiene la misma consideración, a estos efectos, que un Estado miembro y, como consecuencia, las transferencias pueden hacerse sin necesidad de una previa autorización específica, medida de seguridad ni ningún otro requisito adicional.

bocadillo

 

La Comisión publicará en el Diario Oficial de la Unión Europea y en su página web una lista de terceros países, territorios y sectores específicos en un tercer país, y organizaciones internacionales, respecto de los cuales haya decidido que se garantiza, o ya no, un nivel de protección adecuado.

Hasta la fecha, la Comisión Europea ha reconocido a los siguientes países: AndorraArgentinaCanadá (organizaciones comerciales), Islas FeroeGuernseyIsraelIsla de ManJapónJerseyNueva ZelanzaSuizaUruguay y the Estados Unidos de América (limitado al  Privacy Shield).

A día de hoy se mantienen negociaciones con Corea del Sur.

Estas decisiones no cubren la transferencia de datos en el sector judicial y criminal, reguladas en la Directiva (EU) 2016/680).

2. transferencias basadas en garantías adecuadas

El artículo 47 del Reglamento europeo introduce la novedad de poder realizar transferencias internacionales cuando existan garantías adecuadas con el tercer país u organización internacional en cuestión.

A falta de decisión de adecuación, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

Estas garantías pueden revestir diferentes formatos, y pueden ser de dos tipos:

a) garantías adecuadas que no requieren de autorización expresa de la autoridad de control

Se admiten las siguientes opciones:

— un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos

— normas corporativas vinculantes

— cláusulas tipo de protección de datos adoptadas por la Comisión o por una autoridad de control

— un código de conducta con compromisos vinculantes y exigibles del responsable/ encargado del tratamiento en el tercer país de aplicar garantías adecuadas

— un mecanismo de certificación con compromisos vinculantes y exigibles del responsable/ encargado del tratamiento en el tercer país de aplicar garantías adecuadas

b) garantías adecuadas que requieren de autorización expresa de la autoridad de control

Pueden consistir en:

— cláusulas contractuales entre las partes involucradas en el tratamiento de datos personales y su transferencia

— disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos

Más información:

Directrices sobre referencias sobre adecuación en el sentido del Reglamento (UE) 2016/679 – Grupo de trabajo del artículo 29 adoptadas el 28 de noviembre de 2017 revisadas por el Comité europeo de protección de datos.

Comisión Europea > Protección de datos personales >Medidas de adecuación

USA – EU Privacy Shield

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: