Transferencias internacionales, BCR y Códigos de conducta en materia de protección de datos en el RGPD y en la LOPDGDD
- Estado: Redacción actual VIGENTE
- Orden: Administrativo
- Fecha última revisión: 20/07/2021
Para el estudio de estas figuras debemos acudir al capítulo V del RGPD que regula las transferencias de datos personales, a los artículos 40 y 41 del RGPD y al art. 38 de la LOPDGDD para conocer la normativa sobre los códigos de conducta y al artículo 47 del RGPD para conocer las normas corporativas vinculantes (BCR).
Un elemento esencial en el tratamiento de datos es el alcance territorial de estas operaciones. Es importante su valoración puesto que no debe admitirse cualquier tipo de cesión o transferencia internacional, por el perjuicio que ello podría generar en los interesados ya que no todas las entidades, organizaciones o países ofrecen el mismo nivel de garantía del cumplimiento de la legislación.
Los considerandos (108), (110) y (111) del RGPD disponen respecto a la transferencia de datos que:
(108) «(...) Las transferencias también pueden realizarlas autoridades o entidades públicas con entidades o autoridades públicas de terceros países o con organizaciones internacionales con competencias o funciones correspondientes, igualmente sobre la base de disposiciones incorporadas a acuerdos administrativos, como un memorando de entendimiento, que reconozcan derechos exigibles y efectivos a los interesados».
(110) «Todo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta debe tener la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Unión a organizaciones dentro del mismo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta, siempre que tales normas corporativas incorporen todos los principios esenciales y derechos aplicables con el fin de ofrecer garantías adecuadas para las transferencias o categorías de transferencias de datos de carácter personal».
(111) «Se debe establecer la posibilidad de realizar transferencias en determinadas circunstancias, de mediar el consentimiento explícito del interesado, si la transferencia es ocasional y necesaria en relación con un contrato o una reclamación, independientemente de tratarse de un procedimiento judicial o un procedimiento administrativo o extrajudicial, incluidos los procedimientos ante organismos reguladores. También se debe establecer la posibilidad de realizar transferencias cuando así lo requieran razones importantes de interés público establecidas por el Derecho de la Unión o de los Estados miembros, o cuando la transferencia se haga a partir de un registro establecido por ley y se destine a consulta por el público o por personas que tengan un interés legítimo. En este último caso la transferencia no debe afectar a la totalidad de los datos personales o de las categorías de datos incluidos en el registro y, cuando el registro esté destinado a su consulta por personas que tengan un interés legítimo, la transferencia solo debe efectuarse a petición de dichas personas o, si estas van a ser las destinatarias, teniendo plenamente en cuenta los intereses y los derechos fundamentales del interesado».
Como predispone el artículo 44 del RGPD,solo se podrán realizar transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional cuando el responsable y el encargado cumplan las condiciones que el RGPD recoge a tal efecto en su capítulo V, siempre con el fin de asegurar la protección de las personas físicas.
Con carácter previo, hemos de hacer referencia a las Garantías para las transferencias de datos personales a terceros países u organizaciones internacionales aportadas en la página web de la AEPD, que reconoce que las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo. Los responsables y encargados del tratamiento podrán realizar transferencias internacionales de datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD y se den los siguientes supuestos:
- El destinatario se encuentre en un país o territorio declarado de nivel adecuado por la Comisión Europea (decisión de adecuación).
- Se aporten garantías adecuadas tales como:
- Instrumentos jurídicamente vinculantes y exigibles entre las autoridades u organismos públicos.
- Normas corporativas vinculantes.
- Clausulas tipo adoptadas por la Comisión.
- Códigos de conducta.
- Mecanismos de certificación.
- Se cumple alguna de las siguientes condiciones:
- Consentimiento explícito del interesado.
- Necesidad de la transferencia para la ejecución de un contrato o para su celebración.
- Necesidad de la transferencia por razones de interés público.
- Necesidad de la transferencia para la formulación, el ejercicio o la defensa de reclamaciones.
- Necesidad de la transferencia para proteger los intereses vitales de otras personas, cuando no puedan dar su consentimiento por razones físicas o jurídicas.
- Realización de la transferencia desde un registro público cuyo objeto sea facilitar información al público, siempre que se cumplan las condiciones establecidas por el derecho de la Unión o de los Estados miembros para la consulta.
- La transferencia no es repetitiva, afecta a un número limitado de interesados, es necesaria a los intereses legítimos del responsable de tratamiento —siempre que no prevalezcan sobre los intereses y derechos de la persona interesada— y que este, evaluando la transferencia de datos, ofrezca las garantías adecuadas con respecto a la protección de datos personales.
- Se haya autorizado de forma expresa por la Agencia Española de Protección de Datos, cuando las garantías adecuadas se aporten mediante:
- Cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o subencargado, que no hayan sido adoptadas por la Comisión Europea.
- Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.
Pueden adoptarse por la AEPD medidas provisionales y de garantía de derechos, como por ejemplo, el bloqueo de datos y la cesación de tratamiento e inmovilización (en defecto de cumplimiento de la primera), al amparo del artículo 69 de la LOPDGDD, para los casos en que estas transferencias comporten menoscabo grave del derecho a protección de datos personales.
Las normas corporativas vinculantes (o más conocidas por sus siglas en inglés BCR —Binding Corporate Rules—) se definen en el artículo 4, apartado 20) del RGPD, que establece que son «las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta». Estas normas corporativas deberán cumplir los requisitos y contenidos recogidos en el artículo 47 del RGPD, tal y como se analizará.
Por otro lado, los códigos de conducta constituyen una muestra de lo que se denomina como autorregulación, como describe la AEPD, la «capacidad de las entidades, instituciones y organizaciones para regularse a sí mismas a partir de la normativa establecida. Son mecanismos de cumplimiento voluntario en los que se establecen reglas específicas de protección de datos para categorías de responsables o encargados del tratamiento». Los artículos 40 y 41 del RGPD son los encargados de regular este concepto, así como el artículo 38 de la LOPDGDD. Estos códigos se podrán elaborar por las asociaciones y otros organismos representativos de categorías de responsables y encargados, para los que serán vinculantes una vez se adhieran a ellos.
En cuanto a la LOPDGDD, el título VI se rotula bajo la rúbrica «Transferencias internacionales de datos», procediendo a la adaptación de lo previsto en el RGPD, y se refiere a las especialidades relacionadas con los procedimientos a través de los cuales las autoridades de protección de datos pueden aprobar modelos contractuales o normas corporativas vinculantes, y supuestos de autorización o información previa de una determinada transferencia, de las autoridades de protección de datos competentes.
A TENER EN CUENTA. La infracción de los artículos 44 a 49 del RGPD, reguladores de las transferencias de datos personales a terceros países u organizaciones internacionales, será tipificada como infracción muy grave y sancionada con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior. Así lo contemplan el artículo 83, apartado 5, del RGPD y el artículo 72 de la LOPDGDD.
No hay versiones para este comentario
- Generalidades
- Procedimiento Administrativo
- Revisión de actos en vía administrativa
- Revisión judicial del acto administrativo: Derecho Procesal Contencioso-Administrativo
- Contratos del Sector Público
- Bienes de las administraciones públicas
- Expropiación forzosa
- Ordenación del territorio, Urbanismo y Vivienda
- Derecho ambiental
- Derecho local
- Derecho de extranjería
- Tráfico, seguridad vial y transportes
- Protección de datos
- Objeto y ámbito de aplicación
- Sistema de proactividad
- Deber de Información a los afectados
- Glosario de definiciones
- Principios generales relativos al tratamiento
- Bases jurídicas de legitimación de los tratamientos
- Categorías de datos
- Derechos de los interesados y limitaciones
- Aspectos comunes del responsable y el encargado de tratamiento de datos
- Registro de Actividades de Tratamiento. Identificación y estructura
- Análisis de riesgos
- Evaluación del impacto
- Delegado de protección de datos
- Medidas de Seguridad
- Violación de seguridad (quiebra de seguridad)
- Transferencias internacionales, BCR y Códigos de conducta ESTOY AQUÍ
- Autoridades de Protección de Datos
- Procedimientos en caso de vulneración de la normativa
- Régimen sancionador
- Garantía de los derechos digitales
- Protección de datos para abogados y procuradores
- Protección de datos para comunidades de propietarios
- Protección de datos en redes sociales
- Constitución Española
- Estudio de la responsabilidad de las Administraciones Públicas
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. VIGENTE
Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado
- D.F. 16ª. Entrada en vigor.
- D.F. 15ª. Desarrollo normativo.
- D.F. 14ª. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.
- D.F. 13ª. Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.
- D.F. 12ª. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
-
Sentencia Supranacional TJUE, 07-09-2020
Orden: Supranacional Fecha: 07/09/2020 Tribunal: Tribunal De Justicia De La Union Europea
-
Sentencia Supranacional Nº C-311/18, TJUE, 16-07-2020
Orden: Supranacional Fecha: 16/07/2020 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-311/18
-
Sentencia Supranacional TJUE, 16-07-2018
Orden: Supranacional Fecha: 16/07/2018 Tribunal: Tribunal De Justicia De La Union Europea
-
Sentencia ADMINISTRATIVO AN, Sala de lo Contencioso, Sec. 1, Rec 302/2017, 30-11-2018
Orden: Administrativo Fecha: 30/11/2018 Tribunal: Audiencia Nacional Ponente: Menéndez, Fernando De Mateo Num. Recurso: 302/2017
-
Sentencia Supranacional Nº C-507/17, TJUE, 24-09-2019
Orden: Supranacional Fecha: 24/09/2019 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-507/17
-
Transferencias internacionales de datos en el RGPD y en la LOPDGDD
Orden: Administrativo Fecha última revisión: 20/07/2021
Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (es decir, fuera de los países de la Unión Europea, así como...
-
BCR o normas corporativas vinculantes en materia de protección de datos
Orden: Administrativo Fecha última revisión: 20/07/2021
Las normas corporativas vinculantes, o BCR, se encuentran reguladas en el artículo 47 del RGPD.Normas corporativas vinculantes (BCR)Artículo 4, apartado 20), del RGPD«(...) "normas corporativas vinculantes": las políticas de protección de dat...
-
La obligación de informar al cliente sobre la protección de datos y los derechos de los clientes
Orden: Administrativo Fecha última revisión: 11/02/2022
«En todo caso, se pondrá especial atención en efectuar las correspondientes advertencias al cliente en lo que respecta a la normativa sobre prevención del blanqueo de capitales y la obligación de suministrar datos, en determinadas circunstancia...
-
Clases de operaciones sobre protección de datos realizadas por abogados y procuradores
Orden: Administrativo Fecha última revisión: 11/02/2022
Son tratamientos de:Datos relativos al funcionamiento del despacho: contabilidad, videovigilancia en las instalaciones, el personal que desempeñe labores en el despacho...Datos de clientes (también los de turno de oficio), incluyendo aquí también...
-
Códigos de conducta en materia de protección de datos en el RGPD y en la LOPDGDD
Orden: Administrativo Fecha última revisión: 20/07/2021
Los Códigos de conducta están regulados en los artículos 40 y 41 del RGPD y en el artículo 38 de la LOPDGDD.Los códigos de conducta: la autorregulación en el tratamiento de datosSobre los códigos de conducta, la AEPD entiende que se trata de u...
-
Modelo de cláusula de consentimiento con transferencia internacional de datos. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA]Delegado de Protección de datos: [ESPECIFIQUE ...
-
Modelo de cláusula informativa para pacientes con cesión de datos (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA]Delegado de Protección de datos: [ESPECIFIQUE ...
-
Contrato de encargo de tratamiento entre encargado y subencargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTO ENTRE ENCARGADO DE TRATAMIENTO Y SUBENCARGADOEn [LOCALIDAD], a [DIA] de [MES] de [ANIO]De una parte, Don/Doña [NOMBRE] con D.N.I. número [NUMERO], en nombre y representación de la mercantil [NOMBRE_EMPRESA], con...
-
Modelo de consentimiento expreso para la cesión de datos de carácter personal (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA] CONSENTIMIENTO EXPRESO PARA LA CESIÓN DE DATOS DE CA...
-
Contrato de encargo de tratamiento entre responsable y encargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL TRATAMIENTO, Don/Doña [NOMBRE] con D.N.I. número [NUMERO], en nombre y representación de la mercantil [NOMBRE_EMPRESA], con C.I.F. número [NUMERO] y domicilio social en ...
-
ADAPTACIÓN DE UN CLUB O ASOCIACIÓN DEPORTIVA A LA NORMATIVA DE PROTECCIÓN DE DATOS
Fecha última revisión: 04/07/2019
-
Caso práctico: Conflicto entre publicidad registral y protección de datos personales
Fecha última revisión: 26/01/2022
-
Caso práctico: ¿A qué entidades se aplica el Reglamento General de Protección de Datos?
Fecha última revisión: 26/01/2022
-
Caso práctico: ¿Deben los padres de los alumnos solicitar el consentimiento expreso para realizar grabaciones o fotografías durante las actividades organizadas por los colegios?
Fecha última revisión: 05/10/2021
-
Caso práctico: Información al trabajador de la presencia de sistema de localización por GPS en el vehículo de empresa
Fecha última revisión: 13/04/2016
Debemos partir de la base de que un club o asociación deportiva generalmente dispone de datos de carácter personal, tanto datos de socios, como de deportistas, directivos del club e incluso, si es el caso, de datos de empleados.Además, en funció...
PLANTEAMIENTODoña XXX, de profesión abogada, presenta en el Registro Mercantil de su ciudad tres escritos solicitando la expedición de sendas certificaciones relativas a las siguientes sociedades: A (inscripciones 7.ª hasta la última), B (histo...
PLANTEAMIENTOLa aplicación del Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación...
PLANTEAMIENTOLa realización de actividades lúdicas o deportivas organizadas por los centros educativos motiva que en muchas ocasiones los padres y madres de los alumnos realicen grabaciones y fotografías de los menores para «conservar» un gráf...
PLANTEAMIENTOUna empresa que proporciona ha instalado en su flota de vehículos comerciales sistemas de geolocalización por GPS como medio de control de la utilización que el empleado realiza del vehículo, así como del cumplimiento de su jornada...
-
Resolución de 24 de enero de 2013, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la negativa del registrador de la propiedad de Motril n.º 2 a expedir determinadas notas simples informativas.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 24/01/2013
-
Resolución de 28 de abril de 2014, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Burgos n.º 4 por la que se deniega la expedición de una certificación registral.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 28/04/2014
-
Resolución de ICAC, 120/diciembre 2020, 01-12-2020
Órgano: Instituto Contable Y Auditoria De Cuentas Fecha: 01/12/2020 Núm. Resolución: 120/diciembre 2020
-
Resolución de 11 de diciembre de 2017, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad accidental de Madrid n.º 5, por la que se deniega la expedición de la certificación.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 03/01/2018
-
Resolución de 30 de mayo de 2014, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra las notas de calificación extendidas por la registradora de la propiedad de Ledesma por la que se deniega la expedición de notas simples relativas a determinadas fincas registrales.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 30/05/2014