Legitimación para realizar transferencias internacionales de datos


Josep Aragonés Salvat     27/07/2020

Las transferencias internacionales de datos personales (TI) están reguladas en el Capítulo V del GDPR (art. 44 a 50) y en el Título VI de la LOPDGDD (art. 40 a 43).

Las TI suponen un flujo de datos personales desde cualquier territorio de la UE a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la UE más Liechtenstein, Islandia y Noruega).

Alemania Croacia Finlandia Islandia Noruega
Austria Dinamarca Francia Letonia Países Bajos
Bélgica Eslovaquia Grecia Liechtenstein Polonia
Bulgaria Eslovenia Hungría Lituania Portugal
Chequia España Irlanda Luxemburgo Rumanía
Chipre Estonia Italia Malta Suecia

El Reino Unido deberá seguir aplicando el derecho de la UE hasta que el Acuerdo de retirada de la UE se haga efectivo, previsto para el 01/01/2021, por lo que el flujo de datos a este país no se considerará TI hasta entonces.

LEGITIMACIÓN PARA REALIZAR TI

Los responsables (RT) o encargados (ET) del tratamiento pueden realizar TI a países u organizaciones internacionales siempre que, a reserva de las demás disposiciones del GDPR, aseguren un nivel adecuado de protección de las personas físicas mediante alguno de los siguientes mecanismos:

  1. Decisión de adecuación de la Comisión UE (art. 45 GDPR).
  2. Garantías adecuadas (art. 46 GDPR).
  3. Excepciones para situaciones específicas (art. 49 GDPR):

3.1. Por interés del interesado.

3.2. Por interés legítimo e imperioso del RT o ET.

3.3. Por motivos importantes y legítimos de interés público.

1. DECISIÓN DE ADECUACIÓN DE LA COMISIÓN UE (art. 45 GDPR)

Las decisiones de adecuación son declaraciones adoptadas por la Comisión de la UE que garantizan un nivel de protección suficiente para realizar TI y que no requieren ninguna autorización específica para ello:

Los países que poseen una decisión de adecuación son:

Suiza Guernsey Islas Feroe Uruguay
Canadá Isla de Man Andorra Nueva Zelanda
Argentina Jersey Israel Japón

Estados Unidos (Privacy Shield), esta decisión ha sido invalidada por el Tribunal de Justicia de la Unión Europea (TJUE) el 17 de julio de 2020, por lo que no se podrá acoger a ella para realizar TI.

  • Se puede consultar la lista actualizada de países con una decisión de adecuación en:

https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales

  • Se puede consultar la lista actualizada de empresas adheridas a Privacy Shield en:

https://www.privacyshield.gov/list.

2. GARANTÍAS ADECUADAS (art. 46 GDPR)

Solo se podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas, mediante:

  • Cláusulas contractuales tipo de protección de datos adoptadas por la Comisión UE. Siguen siendo válidas:
  • Cláusulas contractuales tipo de protección de datos adoptadas por la Autoridad de control.
  • Posesión de un certificado, sello o marca de protección aprobados por la Autoridad de control.
  • Adhesión a un código de conducta aprobado por la Autoridad de control.
  • Adhesión a normas corporativas vinculantes de un grupo de empresas o unión de empresas.
  • Instrumentos jurídicamente vinculantes y exigibles entre las Autoridades u Organismos públicos.
  • Autorización específica de la Autoridad de control mediante:
    • Cláusulas contractuales entre el RT/ET y el RT, o entre el ET y SubET, que no hayan sido adoptadas por la Comisión EU.
    • Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

3. EXCEPCIONES PARA SITUACIONES ESPECÍFICAS (ART. 49 GDPR)

A falta de decisión de adecuación y de garantías adecuadas, únicamente se podrán realizar TI si se cumple alguna de las condiciones siguientes.

3.1. POR INTERÉS DEL INTERESADO

Cuando se cumpla alguna de las siguientes condiciones:

  • Con el consentimiento explícito del interesado, tras haberle informado fehacientemente de los riesgos debidos a la ausencia de garantías adecuadas.
  • Cuando sea necesaria para la ejecución de un contrato entre el interesado y el RT o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
  • Cuando sea necesaria para la ejecución de un contrato en interés del interesado, entre el RT y otra persona física o jurídica.
  • Cuando sea necesaria para proteger los intereses vitales del interesado u otras personas, siempre que esté física o jurídicamente incapacitado para dar su consentimiento.

3.2. POR INTERÉS LEGÍTIMO E IMPERIOSO DEL RT O ET

Cuando a su vez se cumplan todas las siguientes condiciones:

  • Se realice una evaluación de todas las circunstancias concurrentes y se hayan implementado las garantías adecuadas de protección.
  • El interés legítimo del RT no quede anulado por los intereses o derechos y libertades del interesado.
  • La TI no sea repetitiva y afecte a un número limitado de interesados.
  • Se haya informado previamente a la Autoridad de control competente.
  • Se informe a los interesados, además de lo requerido en los art. 13 y 14 GDPR, de los intereses legítimos imperiosos perseguidos.

3.3 POR MOTIVOS IMPORTANTES Y LEGÍTIMOS DE INTERÉS PÚBLICO

Cuando se cumpla alguna de las siguientes condiciones:

  • Sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.
  • Se realice desde un registro público legal que tenga por objeto facilitar información al público en general o a cualquier persona que pueda acreditar un interés legítimo y no implique la consulta de la totalidad de los datos personales o de categorías de datos.

INFORMACIÓN RELACIONADA

AEPD: Transferencias internacionales:

https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales