Contacte
D’acord amb l’RGPD, les dades només es poden comunicar fora de l'Espai Econòmic Europeu en els casos següents:
- A països, territoris o sectors específics (l’RGPD també hi inclou organitzacions internacionals) sobre els quals la Comissió Europea ha adoptat una decisió que reconeix que ofereixen un nivell de protecció adequat.
- Quan s'han ofert garanties adequades sobre la protecció que les dades rebran a la seva destinació, mitjançant:
- Un instrument vinculant i exigible entre autoritats o organismes públics.
- Normes corporatives vinculants (BCR).
- Clàusules tipus de protecció de dades adoptades per la Comissió Europea o per l’Autoritat Catalana de Protecció de Dades.
- Amb autorització de l’Autoritat Catalana de Protecció de Dades, sobre la base de:
- Clàusules contractuals.
- Disposicions que s’incorporin en acords vinculants entre organismes públics que incloguin drets exigibles.
- Un codi de conducta que incorpori compromisos vinculants i exigibles.
- Un mecanisme de certificació que incorpori compromisos vinculants i exigibles.
- Quan hi concorre alguna de les excepcions previstes a l’article 49 de l’RGPD que permeten transferir les dades sense garanties de protecció adequada, per raons de necessitat vinculades a l’interès del titular de les dades o a interessos generals.
L’RGPD disposa que cada estat membre ha d’establir que la supervisió de l’aplicació de l’RGPD sigui responsabilitat d’una o diverses autoritats independents. Així, preveu expressament la possibilitat que en un estat hi pugui haver diverses autoritats de protecció de dades.
D’acord amb l’RGPD, l’autoritat de control competent en matèria de transferències internacionals respecte de les entitats incloses en l’àmbit d’actuació de l’Autoritat Catalana de Protecció de Dades és aquesta mateixa Autoritat, atès que en els estats on hi ha més d’una autoritat els correspon a cadascuna exercir la totalitat de les funcions establertes a l’article 57, incloses les previstes a la lletra r sobre les transferències internacionals.
La sentència del Tribunal de Justícia de la Unió Europea de 16 de juliol de 2020 ha anul·lat la Decisió UE 2016/1250, de 12 de juliol de 2016, per la qual es va aprovar el Privacy Shield. Per tant, a partir d’aquesta data les transferències internacionals de dades a empreses adherides al Privacy Shield s’ha de basar en algun altre dels instruments previstos a l’RGPD.
Si voleu més detalls sobre els efectes d’aquesta sentència sobre el Privacy Shield, i també sobre els efectes que pot tenir sobre els altres instruments per fer transferències internacionals de dades personals, podeu consultar les Preguntes i respostes freqüents publicades pel Comitè Europeu de Protecció de Dades.