Transferencias internacionales de datos en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 de 5 de diciembre (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 11/02/2019

Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (es decir, fuera de los países de la Unión Europea, más Liechtenstein, Islandia y Noruega).

El RGPD estable en el artículo 44 el principio general de las transferencias indicando que "Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado."

En el resto de artículos del RGPD se indican los supuestos en los que los responsables y encargados del tratamiento podrán realizar transferencias internacionales de datos sin necesidad de una autorización de la Agencia Española de Protección de Datos. En concreto debe darse alguno de los siguientes supuestos:

1. Los destinatarios de los datos se encuentren en un País, un territorio o uno o varios sectores específicos de ese país u organización internacional que haya sido declarado de nivel de protección adecuado por la Comisión Europea (artículo 45). Esta transferencia no requerirá ninguna autorización específica. En el mismo artículo se indican los elementos que la Comisión tendrá en cuenta para evaluar la adecuación del nivel de proteción. Además se establece un mecanismo de revisión periódica al menos cada 4 años, y si se considera que ya no se garantiza un nivel adecuado, se podrá derogar, modificar o suspender en la medida necesaria y sin efecto retroactivo. Hasta la fecha los países y territorios que están declarados como adecuados son los siguientes:

  • Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000
  • Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos
  • Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003
  • Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003
  • Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004
  • Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008
  • Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010
  • Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010
  • Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011 
  • Uruguay. Decisión 2012/484/UE, de la Comisión de 21 de agosto de 2012.
  • Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012
  • Estados Unidos. Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016.  En la página web del Escudo de Privacidad (Privacy Shield) se encuentra una relación actualizada de las entidades certificadas.

 

2. A falta de decisión de adecuación, con las siguientes garantías, sin que se requiera ninguna autorización expresa de autoridad de control (artículo 46):

a) Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos

b) Normas corporativas vinculantes o BCR (véase el tema correspondiente)

c) Cláusulas tipo de protección de datos adoptadas por la Comisión que siguen siendo válidas

d) Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión

e) Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados

f) Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

 

Siempre que exista una autorización  de la Agencia Española de Protección de Datos, las garantías adecuadas se podrán aportar mediante:

  • cláusulas contractuales entre el responsable o el encargado y el responsable, y el encargado y subencargado,  que no hayan sido adoptadas por la Comisión Europea, o
  • disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

Las autorizaciones otorgadas previamente a la aplicación del RGPD seguirán siendo válidas, hasta que hayan sido modificadas, sustituidas o derogadas en caso necesario por la autoridad de control

 

3. A falta de decisión de adecuación y de garantías, únicamente se podrán realizar si se cumplen algunas de las siguientes condiciones (artículo 49):

  1. El interesado haya dado explícitamente su consentimiento, tras haber sido informado de los posibles riesgos para él debido a la ausencia de decisión de adecuación y de garantías,
  2. La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado
  3. La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica
  4. La transferencia sea necesaria por razones importantes de interés público reconocido por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.
  5. La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones
  6. La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento
  7. La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta. No abarcará la totalidad de los datos personales ni categorías enteras de datos personales contenidos en el registro. Si la finalidad del registro es la consulta por parte de personas que tengan un interés legítimo, la transferencia solo se efectuará a solicitud de dichas personas o si estas han de ser las destinatarias.

Cuando tampoco sea aplicable ninguna de estas excepciones, solo se podrá llevar a cabo una transferencia si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofrezca garantías apropiadas con respecto a la protección de datos personales. En este supuesto el responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14 del RGPD, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos.

Las letras a), b) y c), así como el párrafo anterior, no serán aplicables a las actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos.

En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el Derecho de la Unión o de los Estados miembros podrá, por razones importantes de interés público, establecer expresamente límites a la transferencia de categorías específicas de datos a un tercer país u organización internacional. Los Estados miembros notificarán a la Comisión dichas disposiciones.

 

Téngase en cuenta que el artículo 48 del RGPD indica expresamente que "cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales, únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la Unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo".

El artículo 50 del RGPD trata sobre la cooperación internacional en el ámbito de la protección de datos y la toma de medidas apropiadas por parte de la Comisión y los terceros países y organizaciones internacionales, creando mecanismos de cooperación, promoviendo el intercambio, prestandose mutuamiento asistencia, etc. 

 

Por su parte la LOPDGDD se encargada de la regulación de las transferencias internacionales en el Título VI de la norma (artículos 40 a 43), e indica que las transferencias internacionales se regirán por lo dispuesto en el RGPD, en la propia LO y en sus normas de desarrollo y circulares de la AEPD y autoridad autonómicas de protección de datos.

Se habilita igualmente a la AEPD y a las autoridades autonómicas a la adopción de cláusulas contractuales tipo, sometidas previamente al dictamente del Comité Europeo, y a la aprobación de normas corporativas vinculantes (BCR) cuyo procedimiento se iniciará a instancia de entidad situada en España y con una duración máxima de 9 meses.

Igualmente en el artículo 42 se regulan los supuestos en los que, a falta de decisiones de adecuación o garantías, se necesitará una previa autorización de la AEPD, cuyo procedimiento tendrá una duración máxima de 6 meses:

- Cuando la transferencia pretenda fundamentarse en la aportación de garantías adecuadas con fundamento en cláusulas contractuales que no correspondan a las cláusulas tipo

- Cuando la transferencia se lleve a cabo por alguno de los responsables o encargados a los que se refiere el artículo 77.1 de esta ley orgánica y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.

La autorización quedará sometida a la emisión por el Comité Europeo de Protección de Datos del dictamen al que se refieren los artículos 64.1.e), 64.1.f) y 65.1.c) del RGPD.

Finalmente, el artículo 43 de la LOPDGDD, exige que los responsables del tratamiento informen a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, de cualquier transferencia internacional de datos que pretendan llevar a cabo sobre la base de su necesidad para fines relacionados con intereses legítimos imperiosos perseguidos por aquéllos y la concurrencia del resto de los requisitos previstos en el último párrafo del artículo 49.1 del RGPD. Asimismo, informarán a los afectados de la transferencia y de los intereses legítimos imperiosos perseguidos. Esta información deberá facilitarse con carácter previo a la realización de la transferencia. Lo dispuesto en este artículo no será de aplicación a las actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos.

 

 

 

 

No hay versiones para este comentario

Datos personales
Encargado del tratamiento
Protección de datos
Responsable del tratamiento
Transferencia de datos personales
Autoridad de control de datos
Cláusula contractual
Interés legitimo
Persona física
Cláusulas tipo de protección de datos
Normas corporativas vinculantes
Retroactividad
Normas corporativas vinculantes
Interés publico
Organismos públicos
Código de conducta
Mecanismo de certificación
Poderes públicos
Postulación de las partes
Acuerdos internacionales
Comité europeo de protección de datos
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados