Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega) y suponen un elemento clave e imprescindible para la prestación de servicios.

El objetivo es que cuando los datos personales salen fuera del territorio europeo y del EEE, donde se aplica la normativa sobre protección de datos personales a los responsables o encargados del tratamiento que realizan la transferencia, se sigan dando garantías adecuadas para garantizar el derecho fundamental a la protección de datos personales de las personas físicas cuyos datos personales son objeto de tratamiento.

Los responsables y encargados del tratamiento podrán realizar transferencias internacionales de datos sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD y se den los siguientes supuestos.

Transferencias internacionales basadas en una decisión de adecuación

El artículo 45 del RGPD determina que se podrá realizar una transferencia de datos personales a un tercer país u organización internacional, sin ninguna autorización administrativa previa “cuando la Comisión haya decidido que el tercer país, un territorio o varios sectores específicos de ese tercer país (…) garantizan un nivel de protección adecuado.”.

La Comisión, para evaluar la adecuación del nivel de protección tendrá en cuenta los siguientes elementos:

  • El Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal y el acceso de las autoridades públicas a los datos personales.
  • La existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos.
  • Los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate.

Hasta la fecha, los países y territorio que están declarados como adecuados son: Suiza, Canadá, Argentina, Guernesey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda y Estados Unidos.

Transferencias internacionales mediante garantías adecuadas

El artículo 46 del RGPD prevé que se podrán efectuar transferencias a terceros países u organizaciones que a pesar de no contar con el visto bueno de la Comisión Europea si cumplen unas determinadas garantías tasadas reglamentariamente. Por ello, en estas ocasiones no es necesaria la autorización administrativa de la autoridad de control (en España, la Agencia Española de Protección de Datos.)

Las garantías adecuadas podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por:

  • Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;
  • Normas corporativas vinculantes de conformidad con el artículo 47;
  • Cláusulas tipo de protección de datos adoptadas por la Comisión;
  • Cláusula tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión;
  • Un código de conducta aprobado, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados;
  • Un mecanismo de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

“Binding corporate rules” o normas corporativas vinculantes

Las normas corporativas vinculantes (Binding Corporate Rules o BCR por sus siglas en inglés) son las “políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”.

En este sentido, el artículo 47 RGPD establece que la autoridad de control aprobará normas corporativas de carácter vinculante a las que se podrán unir los grupos de empresas, permitiendo salvaguardar la transferencia de datos.

Los elementos imprescindibles de las futuras normas corporativas vinculantes tendrán tres requisitos esenciales. El primero de ellos es que son jurídicamente vinculantes y deben ser cumplidas por todos los miembros del grupo empresarial o unión de empresas. Además, deben conferir a los interesados derechos exigibles y, por último, deben cumplir unas formalidades tasadas en el artículo 47.2 RGPD.

Letslaw

En Letslaw ayudamos a empresas de todo tipo a cumplir con la normativa en materia de protección de datos personales y en todo lo relacionado con el sector digital.