• Imprimeix

Transferències internacionals de dades personals 

El model de transferències internacionals dissenyat per l’RGPD segueix els mateixos criteris que estableixen la Directiva 95/46 i les legislacions nacionals de transposició. Segons aquest model, les dades només es poden comunicar fora de l'Espai Econòmic Europeu en els casos següents:

  • A països, territoris o sectors específics (l’RGPD també hi inclou organitzacions internacionals) sobre els quals la Comissió Europea ha adoptat una decisió que reconeix que ofereixen un nivell de protecció adequat.
  • Quan s'han ofert garanties adequades sobre la protecció que les dades rebran a la seva destinació.
  • Quan s'aplica alguna de les excepcions que permeten transferir les dades sense garanties de protecció adequada, per raons de necessitat vinculades a l’interès del titular de les dades o a interessos generals.

 

Des del punt de vista dels responsables i dels encarregats que actualment fan transferències internacionals o que les faran en el marc de l’RGPD, hi ha algunes novetats a tenir en compte:

  • Les decisions d'adequació que la Comissió ha adoptat abans de l'aplicació de l’RGPD continuen sent vàlides; per tant, mentre la Comissió no les substitueixi o les derogui es poden continuar fent transferències basades en aquestes decisions.
  • Les decisions de la Comissió que estableixen clàusules tipus per als contractes que disposen garanties per a les transferències internacionals continuen sent vàlides, fins que la Comissió les substitueixi o les derogui.
  • Les autoritzacions de transferències que les autoritats nacionals de protecció de dades han atorgat sobre la base de garanties contractuals continuen sent vàlides, mentre les autoritats no les revoquin.
  • Les garanties sobre la protecció que rebran les dades a la seva destinació les ha d'oferir l'exportador, que pot ser tant un responsable com un encarregat de tractament.
  • S'amplia la llista de possibles instruments per oferir garanties. S’hi inclouen expressament, entre d’altres, les normes corporatives vinculants per a responsables i encarregats, els codis de conducta i els esquemes de certificació, així com les clàusules contractuals model que aprovin les autoritats de protecció de dades.
  • En els casos de normes corporatives vinculants, clàusules contractuals estàndard, codis de conducta i esquemes de certificació, la transferència no requereix l'autorització de les autoritats de supervisió.
  • S'afegeix una excepció al llistat que va establir la Directiva 95/46. Es tracta de la possibilitat que el responsable transfereixi dades a un país sense el nivell adequat de protecció, quan aquesta transferència és necessària per satisfer interessos legítims imperiosos del responsable i la transferència no és repetitiva i afecta només un nombre limitat d'interessats. En qualsevol cas, la transferència solament és possible si no hi prevalen els drets, les llibertats i els interessos dels afectats i, a més, cal comunicar-la a l'autoritat de protecció de dades.