¿Qué es una transferencia internacional de datos?

¿Qué es una transferencia internacional de datos?
febrero 27, 2023| Protección de datos

¿Qué es una transferencia internacional de datos?

Una transferencia internacional de datos se produce cuando los datos personales que son tratados por un responsable o un encargado del tratamiento en el Espacio Económico Europeo (estados miembros de la Unión Europea, Islandia, Liechtenstein y Noruega) son enviados a un destinatario situado en un tercer país u a una organización internacional, fuera del citado territorio.

Un supuesto muy común de transferencia internacional de datos es la comunicación de datos personales entre empresas europeas y empresas establecidas en Estados Unidos o Reino Unido.

Para realizar transferencias internacionales de datos debemos cumplir con las disposiciones del Reglamento General de Protección de Datos (RGPD), la Ley Orgánica de Protección de Datos y garantía de derechos digitales (LOPDGDD) y las circulares de la Agencia Española de Protección de Datos (AEPD).

Las tipologías de transferencias internacionales de datos son muy diversas. Pueden ser desde la prestación de un servicio concreto o un outsourcing, pero también se considerarán como transferencia internacional el acceso remoto o el almacenamiento en la nube.

protección transferencia internacional de datos

¿Qué deben cumplir las empresas para realizar una transferencia internacional de datos?

El Comité Europeo de Protección de Datos establece unas directrices para cumplir con la normativa que afecta a las transferencias internacionales de datos. Para ello indica que las empresas deberán:

  • Identificar las transferencias internacionales de datos. Éstas deberán estar incluidas en el Registro de Actividades de Tratamiento. Se debe tener en consideración las posibles transferencias ulteriores que realicen los encargados de tratamiento a un subencargado establecido fuera del Espacio Económico Europeo (EEE).
  • Determinar los instrumentos de transferencia internacional de datos del capítulo V del RGPD en los que se basa el flujo de datos a terceros estados para cumplir con la normativa de protección de datos.
  • Evaluar si el instrumento de transferencia internacional de datos es eficaz. En el caso de que el resultado de la evaluación sea negativo, deberán aplicarse medidas complementarias.

 

¿Cuáles son las condiciones del RGPD para las transferencias internacionales de datos?

El Capítulo V del Reglamento General de Protección de Datos indica que las transferencias internacionales de datos se pueden realizar cuando se basen en los siguientes supuestos:

  • Decisiones de adecuación
  • Normas corporativas vinculantes
  • Cláusulas contractuales tipo
  • Códigos de conducta
  • Mecanismos de certificación

 ¿Qué es una decisión de adecuación?

La Comisión Europea puede declarar que un determinado estado cumple con un nivel de protección de datos adecuado a los requisitos de la normativa Europea. En base a la decisión de adecuación se pueden realizar transferencias internacionales de datos con las empresas localizadas en ese estado. Hasta 2023 se han adoptado las siguientes decisiones de adecuación:

¿Qué son las normas corporativas vinculantes?

Los grupos empresariales establecidos en un estado miembro pueden adoptar políticas de protección de datos jurídicamente vinculantes. Estas normas corporativas vinculantes (BCR) garantizan un nivel de protección de datos adecuado para la realización de transferencias internacionales de datos y deben ser aprobadas por la autoridad del control.

¿Qué son las cláusulas contractuales tipo?

Las cláusulas contractuales tipo (SCC) son cláusulas estandarizadas aprobadas por la Comisión Europea. Incluyendo estas cláusulas en un contrato entre el importador y el exportador se logra regularizar las transferencias internacionales de datos. En estos contratos se permiten incluir cláusulas adicionales sobre el tratamiento de datos personales entre las partes que no contradigan las cláusulas contractuales tipo.

 ¿Qué son los códigos de conducta?

El código de conducta es un instrumento de autorregulación en el que se establecen las pautas que deben regir el tratamiento de datos personales entre las entidades adheridas. Son de cumplimiento voluntario y requieren su aprobación por la autoridad de control, en España la Agencia Española de Protección de Datos. Mediante su elaboración se puede garantizar el cumplimiento de la normativa de protección de datos y aportan garantías adecuadas para las transferencias internacionales de datos.

 ¿Qué son los mecanismos de certificación?

Los mecanismos de certificación, así como los sellos y marcas de protección de datos sirven para demostrar el cumplimiento de la normativa, incluyendo las garantías necesarias para las transferencias internacionales de datos. Estas certificaciones son voluntarias y están disponibles mediante un proceso transparente ofrecido por organismos de certificación por un periodo máximo de 3 años.

cumplimiento transferencias internacionales

Excepciones en el cumplimiento de las transferencias internacionales de datos

En el caso de que no se hayan podido aportar las garantías adecuadas y la transferencia internacional de datos no se encuentre amparada en una decisión de adecuación, el RGPD permite que se realicen en los siguientes casos:

  • La persona interesada haya dado explícitamente su consentimiento, después de haber sido informada de los posibles riesgos.
  • La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
  • La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica.
  • La transferencia sea necesaria por razones importantes de interés público.
  • La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
  • La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
  • La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Autorización AEPD para realizar transferencias internacionales de datos

En los siguientes supuestos se podrá realizar transferencias internacionales de datos previa autorización de la Agencia Española de Protección de Datos:

  • Mediante la adopción de cláusulas contractuales que no hayan sido adoptadas por la Comisión Europea o por la Agencia Española de Protección de Datos y aprobadas por la Comisión Europea.
  • Disposiciones que se incorporen en acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados.

 

Suscribete a nuestra Newsletter