• Imprimir

Transferéncias internacionales de datos personales

El modelo de transferencias internacionales diseñado por el RGPD sigue los mismos criterios que establecen la Directiva 95/46 y las legislaciones nacionales de transposición. Según este modelo, los datos sólo se pueden comunicar fuera del Espacio Económico Europeo en los casos siguientes:

  • En países, territorios o sectores específicos (el RGPD también incluye organizaciones internacionales) sobre los cuales la Comisión Europea ha adoptado una decisión que reconoce que ofrecen un nivel de protección adecuado.
  • Cuando se han ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destinación.
  • Cuando se aplica alguna de las excepciones que permiten transferir los datos sin garantías de protección adecuada, por razones de necesidad vinculadas al interés del titular de los datos o a intereses generales. 

 

Desde el punto de vista de los responsables y de los encargados que actualmente realizan transferencias internacionales o que las realizarán en el marco del RGPD, hay algunas novedades a tener en cuenta:

  • Las decisiones de adecuación que la Comisión ha adoptado antes de la aplicación del RGPD siguen siendo válidas; por lo tanto, mientras la Comisión no las sustituya o las derogue, se pueden seguir realizando transferencias basadas en estas decisiones.
  • Las decisiones de la Comisión que establecen cláusulas tipo para los contratos que disponen garantías para las transferencias internacionales siguen siendo válidas, hasta que la Comisión las sustituya o las derogue.
  • Las autorizaciones de transferencias que las autoridades nacionales de protección de datos han otorgado sobre la base de garantías contractuales siguen siendo válidas, mientras las autoridades no las revoquen.
  • Las garantías sobre la protección que recibirán los datos en su destinación las tiene que ofrecer el exportador, que puede ser tanto un responsable, como un encargado de tratamiento.
  • Se amplía la lista de posibles instrumentos para ofrecer garantías. Se incluyen expresamente, entre otros, las normas corporativas vinculantes para responsables y encargados, los códigos de conducta y los esquemas de certificación, así como las cláusulas contractuales modelo que aprueben las autoridades de protección de datos.
  • En los casos de normas corporativas vinculantes, cláusulas contractuales estándar, códigos de conducta y esquemas de certificación, la transferencia no requiere la autorización de las autoridades de supervisión.
  • Se añade una excepción al listado que estableció la Directiva 95/46. Se trata de la posibilidad de que el responsable transfiera datos a un país sin el nivel adecuado de protección, cuando esta transferencia es necesaria para satisfacer intereses legítimos imperiosos del responsable y la transferencia no es repetitiva y afecta sólo a un número limitado interesados. En cualquier caso, la transferencia solamente es posible si no prevalecen los derechos, las libertades y los intereses de los afectados y, además, es necesario comunicarla a la autoridad de protección de datos.

 

 

Fecha de actualización:  27.12.2016