transferencia de informacion fuera del eee

Transferencia de información fuera del EEE Garantías y normativas del RGPD UE

.

Los datos personales que provienen del territorio español son transmitidos a países ubicados fuera del Espacio Económico Europeo, que incluye a las naciones europeas de la Unión Europea, Liechtenstein, Islandia y Noruega.

Con la provisión de suficientes respaldos

Finalización del plazo para adaptar contratos con garantías de transferencia de datos

La Agencia Española de Protección de Datos (AEPD) comunica que ha finalizado el período establecido para la adaptación de los contratos que utilizan las cláusulas contractuales tipo de la Comisión Europea, en el marco de las transferencias internacionales de datos.



Esta adaptación se ha llevado a cabo con el objetivo de garantizar el cumplimiento de las normativas en materia de protección de datos y seguir las recomendaciones del Comité Europeo de Protección de Datos.



¿Qué son las cláusulas contractuales tipo de la Comisión Europea?

Las cláusulas contractuales tipo son un conjunto de cláusulas predeterminadas elaboradas por la Comisión Europea para facilitar la transferencia internacional de datos personales. Estas cláusulas aseguran que se cumple el principio de que la transferencia de datos personales solo puede realizarse a países que tengan un nivel adecuado de protección de datos, o mediante garantías adecuadas.



¿Cuál es la importancia de adaptar los contratos?

La AEPD recuerda que es esencial adaptar los contratos que utilizan las cláusulas contractuales tipo de la Comisión Europea, ya que de lo contrario, se estaría incumpliendo la legislación de protección de datos y podrían derivarse sanciones.



Además, esta adaptación también es importante para proteger los derechos de los usuarios y garantizar la seguridad y confidencialidad de sus datos personales durante su transferencia internacional.



Plazo cumplido, ¿qué hacer ahora?

En caso de que aún no hayas adaptado tus contratos, la AEPD recomienda hacerlo de manera inmediata para garantizar el cumplimiento de la normativa vigente en materia de protección de datos. También se aconseja mantenerse informado sobre cualquier cambio o actualización en las cláusulas contractuales tipo de la Comisión Europea.



Protección de datos, responsabilidad de todos

La adaptación de los contratos con garantías de transferencia de datos es una responsabilidad compartida entre todas las organizaciones que realicen transferencias internacionales de datos. Por lo tanto, es esencial cumplir con las normativas y velar por la protección de los datos personales en todo momento.

Normas Corporativas Vinculantes BCR

Las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en un Estado miembro se conocen como normas corporativas vinculantes (o BCR (Binding Corporate Rules) por sus siglas en inglés). Su objetivo es garantizar la protección de datos personales en las transferencias a países terceros dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

Para su aprobación, la autoridad de control competente seguirá el mecanismo de coherencia establecido en el artículo 63 del RGPD. Esta autoridad se determinará tomando en cuenta criterios tales como:

  • Territorio del Estado miembro
  • Naturaleza y alcance de las actividades del responsable o encargado del tratamiento
  • Nivel de protección de datos en el país tercero al que se transfieren los datos
  • Obligaciones contractuales y contractuales en las que se basan las transferencias de datos
  • Existencia y alcance de derechos de los interesados

Una vez aprobadas, se considerarán válidas y vinculantes en todos los países miembros de la Unión Europea en los que se realicen transferencias de datos personales, siempre que se cumplan las condiciones de las BCR.

Necesitas ayuda con las transferencias de datos internacionales Pregúntanos sin dudarlo

En Legal Veritas somos expertos en la protección de datos y en la transferencia internacional de los mismos. Podemos asesorarte y brindarte apoyo en tu empresa para cumplir con el RGPD europeo, así como con las leyes nacionales como la LOPD y la LSSICE. Contamos con profesionales capacitados y soluciones tecnológicas avanzadas. ¡Contáctanos y descubre todos nuestros servicios para adaptar tus canales web a estos reglamentos!

Destinos con una Sólida Protección en Materia de Seguridad

Transferencias internacionales de datos personales con destino fuera del Espacio Económico Europeo (EEE), en países con “nivel de protección de datos adecuado” suponen una excepción al régimen general de autorización prevista en el artículo 34 de la LOPD, que regula dichas transferencias.

En el caso de que una transferencia de datos se realice entre el cedente y el cesionario de forma legítima y en el marco de sus funciones, y tenga como destino una jurisdicción fuera del EEE pero con nivel adecuado de protección, se deberá cumplir con el régimen general de comunicaciones/cesiones de datos personales.

Se considera que proporcionan un nivel de protección adecuado, equiparable al establecido por la LOPD, todos los países que forman parte del Espacio Económico Europeo (Unión Europea, Islandia, Liechtenstein y Noruega) y aquellos otros países que la Comisión Europea ha declarado como aptos.

Medidas necesarias para regularizar las transacciones de datos a nivel internacional

Cumplimiento de normativas de protección de datos en transferencias internacionales

Es crucial que todos los involucrados en las transferencias internacionales de datos personales cumplan con las normativas de protección de datos de la misma manera que si el tratamiento de datos se llevara a cabo dentro del Espacio Económico Europeo. Además, es imprescindible obtener la autorización del director de la AEPD.

Para obtener la autorización de la AEPD, es necesario demostrar que se cuentan con las garantías adecuadas para respetar la privacidad de los sujetos afectados, así como sus derechos y libertades fundamentales y el ejercicio de sus respectivos derechos.

Processo de tramitación de transacciones globales de información

La forma principal de garantizar la legalidad en las transferencias internacionales de datos es obtener una autorización específica y previa del director de la Agencia Española de Protección de Datos (AEPD). Esta autorización debe cumplir rigurosamente con todos los requisitos necesarios para regular la transferencia, tales como la firma de contratos y la verificación del cumplimiento por parte del receptor.

Para ello, según lo estipulado en el artículo 5.1.j), se considera exportador de datos a la persona física o jurídica, pública o privada, u órgano administrativo de territorio español que realiza la transferencia de datos personales a un país tercero.

De igual manera, según lo establecido en el artículo 5.1.ñ), se considera importador de datos a la persona física o jurídica, pública o privada, u órgano administrativo que recibe los datos en una transferencia internacional hacia un país tercero, ya sea como responsable, encargado o tercero en el tratamiento de dichos datos.

Medidas imprescindibles que las empresas deben tomar para su adaptación operativa

Para empresas con contratos basados en el Escudo de Privacidad UE-EE.UU., se requiere adoptar un mecanismo alternativo. Identifica los proveedores y receptores de datos ubicados fuera del EEE que dependían del Escudo de Privacidad y exígeles que adopten dichos mecanismos alternativos.

Haz un inventario y identifica los casos en los que tu empresa y tus proveedores sean exportadores o importadores de datos personales de la UE que requieran mecanismos alternativos de transferencia de datos. Evalúa la posible exposición a interceptaciones gubernamentales, la sensibilidad de los datos y la dependencia de terceros, y determina posibles alternativas de reparación o mitigación.

Diseña una estrategia de transferencia transfronteriza de datos que proteja de forma segura y ética los datos personales de la UE. Identifica los datos que se transfieren y el riesgo de interceptación por parte de gobiernos de terceros países. Adopta protocolos de minimización y cifrado de datos para las transferencias de datos personales fuera del EEE, en proporción a los riesgos potenciales identificados en las evaluaciones de impacto de la transferencia realizadas.

Excepciones para situaciones específicas

Si alguna de las excepciones mencionadas no se aplicara, se podrá realizar una transferencia de datos solo si no es repetitiva, afecta a un número limitado de personas interesadas y es necesaria para fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento, siempre y cuando no prevalezcan los intereses o derechos y libertades de la persona interesada. En este caso, el responsable del tratamiento deberá evaluar todas las circunstancias de la transferencia de datos y, en base a esa evaluación, ofrecer garantías apropiadas para la protección de datos personales. Además, deberá informar a la autoridad de control sobre dicha transferencia. Además de lo establecido en los artículos 13 y 14 del RGPD, el responsable del tratamiento deberá informar a la persona interesada sobre la transferencia y los intereses legítimos imperiosos perseguidos.

Otra autorización para la transferencia internacional de datos aprobada por la AEPD en el marco del RGPD es la TI-00001-2019-Resolución Autorización Comisión Nacional del Mercado de Valores (CNMV), con fecha del 14-05-2019.

Artículos relacionados