Las cuatro claves en las transferencias internacionales de datos

Pueden clasificarse en transferencias basadas en una decisión de adecuación y transferencias mediante garantías adecuadas que requieren autorización de la autoridad de control y supervisión

Publicado el 30 Ago 2018

46800_88

En esta nueva era del conocimiento, digitalización y globalización de los mercados, el proceso internacionalización y ampliación de nuevas estrategias y relaciones comerciales va de la mano del aumento de intercambios y transferencias de datos personales que circulan por la red a nivel mundial. Las transferencias internacionales, explican en Aemol Consulting, franquicia de consultoría técnico-legal especializada para empresas, profesionales y autónomos, expertos en RGPD y Compliance “son un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo”.

Los cuatro elementos claves de las transferencias internacionales de datos recogidos en Ley 15/1999 de Protección de Datos de Carácter Personal son: el Espacio Económico Europeo, comprende los estados miembros de la Unión Europea y los integrantes European Free Trade Association (EFTA): Noruega, Islandia, Liechtenstein y Suiza. No se considera transferencia internacional la comunicación realizada con los estados incluidos en el Espacio Económico Europeo. En segundo lugar, la cesión o comunicación de datossupone su revelación a una persona distinta del interesado. No es una cesión y estaría exonerado, el acceder a los datos por parte de un tercero para que el responsable del tratamiento lleve a cabo su labor, salvo esta premisa quien ceda o comunique datos fuera del supuesto anterior será considerado responsable de esos datos. En tercer lugar,el tratamiento de los datosincluye de cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Y cuarto, y último, el responsable del fichero o del tratamiento es aquella persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente decida sobre la finalidad, contenido y uso del tratamiento.

En concreto, el RGPD recoge en su artículo 44 expresamente “sólo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional”. Se clasifican en transferencias basadas en una decisión de adecuación, art. 15 y transferencias mediante garantías adecuadas, art. 16. Las primeras, no requieren de autorización pueden realizarse a un tercer país u organización internacional cuando la Comisión haya decidido que ese territorio u organización internacional garantizan un nivel de protección adecuado. Los países y territorios declarados como adecuados son: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Nueva Zelanda y Estados Unidos (Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU). Las segundas, si requieren autorización de la Autoridad de Control y Supervisión, la transmisión de datos personales con terceros países si los interesados de los que proceden los datos cumplen una serie de derechos exigibles y efectivas acciones legales, asimismo ofrecerán garantías a los terceros a través de instrumentos que le vinculen jurídicamente.

Por otra parte, las transferencias o comunicaciones no autorizadas por el Derecho de la Unión, artículo 48, hacen referencia a cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la Unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo.

En ausencia de una falta de decisión de adecuación y de garantías, para situaciones específicas excepcionales, según el artículo 49, se realizarán siempre y cuando se cuente con consentimiento explicito del interesado, que la transferencia sea necesaria para ejecutar el contrato, por razones importantes de interés público, para la formulación, el ejercicio o la defensa de reclamaciones y que se realice en un registro público que tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo.

La transferencia internacional de datos es el flujo de estos fuera del Espacio Económico Europeo conformado por los 28 estados miembros de la Unión Europea más Noruega, Islandia y Liechtenstein. Los países reconocidos como seguros no necesitan ser notificado a la AEPD. En Aemol Consulting indican la importancia de la cooperación internacional en el ámbito de la protección de los datos personales; por ello, insisten en que es fundamental crear y consolidar mecanismos de aplicación eficaz, asistencia a escala internacional, necesidad de promover el intercambio de documentación entre terceros países en materia de datos personales y realizar realización de debates y actividades destinadas a fortalecer la cooperación internacional

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

T
Redacción TICPymes

Artículos relacionados