Inicio

¿Cómo transferir datos personales fuera del EEE según el RGPD?

Elif Kaya

Legal intern

Antes de realizar una transferencia internacional de datos, las organizaciones deben revisar minuciosamente el RGPD ya que no sólo deben cumplir con lo establecido en el Capítulo 5 sino también con otros requisitos del Reglamento (Artículo 44). Además, para transferir datos personales fuera de la UE, las organizaciones deben seguir el enfoque por etapas del Comité Europeo de Protección de Datos.

De acuerdo con ese enfoque, las organizaciones deben, en primer lugar, comprobar si existe una decisión de adecuación para el tercer país. En ausencia de una decisión de adecuación, deben verificar si existen garantías adecuadas y, a falta de estas últimas, deben verificar si se aplican excepciones para situaciones específicas (en la entrada anterior encontrará una descripción general de este tema). En esta entrada, hablaremos de los tipos de garantías adecuadas del Artículo 46.

Garantías adecuadas

El Artículo 46(2) enumera diversos mecanismos que pueden ser utilizados por las organizaciones:

  • un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos (inciso a);
  • normas corporativas vinculantes (inciso b);
  • cláusulas tipo de protección de datos adoptadas por la Comisión (inciso c);
  • cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión (inciso d);
  • un código de conducta aprobado y un mecanismo de certificación aprobado (incisos e y f).

Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos

Si existe un contrato u otro instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos, entonces es posible realizar la transferencia de datos entre las dos entidades. Esto sólo se aplica a las entidades públicas con facultades para celebrar acuerdos jurídicamente vinculantes.

Normas Corporativas Vinculantes

Las Normas Corporativas Vinculantes (NCV) son útiles para empresas multinacionales ya que permiten la transferencia internacional de datos personales entre empresas que forman parte del mismo grupo. Las NCV son estándares adoptados por las organizaciones multinacionales para su cumplimiento interno que deben, además, cumplir con el RGPD y reflejar la cultura de protección de datos de las corporaciones.

Las organizaciones que quieran adoptar las NCV deben seguir las pautas del CEPD y elegir una Autoridad de Control de acuerdo al criterio del CEPD. Si la Autoridad de Control está conforme con el borrador de las NCV, gestionará el proceso de autorización y validará las NCV propuestas. Las organizaciones deben tener en cuenta que este proceso es largo y costoso.

Cláusulas tipo de protección de datos adoptadas por la Comisión

La Comisión Europea adoptó una serie de cláusulas contractuales tipo que ofrecen garantías suficientes para las transferencias internacionales de datos a países que no cuentan con una decisión de adecuación. Estas cláusulas ofrecen medidas de seguridad técnicas y organizativas que deben ser aplicadas por los encargados de datos establecidos en un tercer país. Además, sirven como contrato modelo y validan las transferencias internacionales de datos. Por lo tanto, su organización puede implementar estas cláusulas en su esquema de cumplimiento del RGPD.*

Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión

Las Autoridades de Control también pueden adoptar sus propias cláusulas contractuales tipo, que deben ser aprobadas por la Comisión Europea de acuerdo con el procedimiento de examen establecido en el Artículo 93(2). Las organizaciones pueden cumplir con las cláusulas contractuales de su propia autoridad de control (si las hubiere). Además, si cuentan con la autorización de la Autoridad de Control, las organizaciones tienen la posibilidad de adoptar sus propias cláusulas contractuales tipo.

Un código de conducta aprobado y un mecanismo de certificación aprobado

Entre los muchos otros mecanismos de transferencia internacional de datos, tenemos los códigos de conducta y los mecanismos de certificación, que pueden ser aplicados por sectores específicos. Según el considerando 77 del RGPD, los códigos de conducta y las certificaciones son herramientas para demostrar el cumplimiento por parte del responsable o del encargado del tratamiento. Los sindicatos u organizaciones similares que representan a un sector pueden crear un código de conducta que cumpla con el RGPD.

Al suscribir voluntariamente un código de conducta, las organizaciones y las empresas pueden demostrar que las actividades de tratamiento que llevan a cabo cumplen con los principios del RGPD (licitud, lealtad y transparencia). Los códigos deben ser aprobados por la Autoridad del Control ​​del Estado miembro donde se origina la transferencia internacional de datos. Si la actividad de tratamiento comprende a más de un Estado miembro, el CEPD debe emitir una opinión sobre dicho código.

Una de las novedades del RGPD es el mecanismo de certificación, que también puede utilizarse como prueba del cumplimiento. El CEPD ha dado algunas pautas sobre la acreditación de los organismos de certificación en el marco del RGPD y ha explicado la función del organismo nacional de acreditación y de la Autoridad de Control. Las certificaciones son preparadas por organismos de certificación o por Autoridades de Control competentes.**

Conclusión

Como hemos visto, las garantías adecuadas proporcionan una base legítima para las transferencias internacionales en virtud del RGPD. ¿Cuál es la mejor alternativa para su organización? Eso dependerá de sus necesidades específicas. Por ello, lo ideal es contar con asesoramiento legal interno o externo sobre cómo utilizarlas.

Elif Kaya

Elif Kaya

PrivacyPerfect

rgpd gratuita guia

 

Notas:

*Las cláusulas tipo de protección de datos se encuentran aquí:

Responsable de la UE a un responsable no perteneciente a la UE:

Decisión 2001/497/CE

Decisión 2004/915/CE

Responsable de la UE a un encargado no perteneciente a la UE:

Decisión 2010/87/UE

**Para mayor detalle, ver archivo.