Viernes, 07 Septiembre 2018

Transferencias internacionales de datos a terceros países u Organizaciones Internacionales

VolverEl nuevo Reglamento General de Protección de Datos (en adelante RGPD) regula en el capítulo V, en los arts. 44-50, ambos inclusive, las transferencias de datos personales a terceros países u organizaciones internacionales.

El cambio más notorio introducido por el RGPD es la eliminación de la regla general de la necesidad de la obtención de las autorizaciones del Director de la Agencia Española de Protección de Datos (AEPD) para la transferencia internacional, salvo en algunos casos excepcionales. Esta autorización previa a la transmisión internacional de datos era obligatoria con la antigua normativa, a excepción de:

1) cuando el Estado en el que se encontrase el importador ofreciese un nivel adecuado de protección;

2) cuando la transmisión de los datos resultara de la aplicación de tratados o convenios en los que fuese parte España;

3) cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional;

4) cuando sea necesaria para la prevención o el diagnóstico médicos, la gestión de servicios sanitarios.

5) cuando se refiera a transferencias dinerarias conforme a su legislación específica;

6) cuando el afectado haya dado su consentimiento inequívoco;

7) cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero;

8) cuando la transferencia sea necesaria para la celebración de un contrato celebrado o por celebrar en interés del afectado, por el responsable del fichero y un tercero;

9) cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público.

10) cuando sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; o,

11) cuando la transferencia se efectuase a petición de persona con interés legítimo, desde un Registro Público y fuese acorde con su finalidad.

La autorización del Director de la Agencia Española de Protección de Datos era concedida si se daban las garantías adecuadas por parte del receptor de los datos (contrato acorde a las cláusulas tipo de las decisiones de la Comisión Europea y Normas Corporativas Vinculantes o BCR en inglés).

En la actualidad, si se dan las garantías que contempla el RGPD (cuyo catálogo además se ha ampliado de forma notoria respecto de la regulación anterior), ya no es precisa la autorización de la AEPD.

Otra novedad es que, de acuerdo con el RGPD, el exportador de los datos podrá ser, no solo el responsable del tratamiento, sino también el encargado del mismo.

Por tanto, el panorama actual es como sigue:

1) Transferencias basadas en una decisión de adecuación a terceros países u organizaciones internacionales cuando la Comisión haya decidido que garantizan un nivel de protección adecuado. En la misma línea del régimen anterior, no requieren de autorización.

Hasta la fecha, los Estados que, según la Comisión, garantizan un nivel de adecuación son: Andorra, Argentina, Canadá, Estados Unidos (a aquéllas entidades certificadas en el marco del Escudo de Privacidad, “Privacy Shield”), Guernesey, Isla de Man, Islas Feroe, Jersey, Nueva Zelanda, Suiza e Israel.

2) A falta de una decisión de las previstas en el apartado anterior, podrán efectuarse transferencias internacionales de datos cuando se ofrezcan garantías adecuadas, sin que sea precisa la autorización de la autoridad de control. Se consideran garantías adecuadas (artículo 46 del RGPD), (i) las constituidas por un instrumento jurídicamente vinculante y exigible entre las autoridades; (ii) normas corporativas vinculantes (conocidas por sus siglas en inglés como BCR); (iii) cláusulas tipo de protección de datos adoptadas por la Comisión; (iv) cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión; (v) un código de conducta; o (vi) por un mecanismo de certificación junto con compromisos vinculantes y exigibles del responsable o encargado del tratamiento en el tercer país de aplicar las garantías.

3) A falta de las decisiones de adecuación y de las garantías adecuadas para la transferencia de datos, cabe la posibilidad de realizar la transferencia internacional a un tercer país u organización internacional (sin la autorización de la AEPD) si: (i) el interesado ha dado explícitamente su consentimiento a la transferencia propuesta; (ii) que la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento para la ejecución de medidas precontractuales; (iii) que la transferencia sea necesaria para la ejecución o celebración del contrato entre el responsable del tratamiento y otra persona física o jurídica en interés del interesado; (iv) la transferencia sea necesaria por razones importantes de interés público; (v) la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones; (vi) sea necesaria para proteger los intereses vitales del interesado o de otras personas cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento, y; (vii) la transferencia se realice desde un Registro Público abierto a la consulta al pública, según el derecho de la Unión o de los Estados Miembro. Todas ellas recogidas en el artículo 49 del RGPD.

Como anticipábamos, y se ha visto en el esquema anterior, el principal cambio introducido por el RGPD es la supresión de las autorizaciones por parte del organismo de control, haciendo más cómodo y sencillo el proceso de la transferencia internacional de datos. De hecho, las autorizaciones quedan reducidas a supuestos residuales previstos en el artículo 46.3 del RGPD a saber: (i) cláusulas contractuales (no tipo) entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, y; (ii) disposiciones incorporadas en acuerdos administrativos entre autoridades u organismos públicos.

Desde el Departamento Mercantil de Belzuz Abogados, S.L.P., como abogados especialistas en Protección de Datos, estamos en disposición de asesorar y ser de ayuda en cuanto al encauzamiento de las transferencias internacionales de datos que sea preciso realizar y para llevar a cabo la confección de contratos y demás garantías adecuadas, así como la solicitud de autorizaciones ante la AEPD en caso necesario.

Departamento Derecho mercantil y societario | Madrid (España)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Asociaciones

  • 1_insuralex
  • 3_chambers_global_2022
  • 4_cle
  • 5_chp
  • 6_aeafa