Transferencias internacionales de datos

TRANSFERENCIAS DE DATOS PERSONALES A TERCEROS PAÍSES U ORGANIZACIONES INTERNACIONALES

ÍNDICE

1. INTRODUCCIÓN

2. DISPOSICIONES DEL RGPD RESPECTO A LAS TRANSFERENCIAS INTERNACIONALES

2.1. Habilitación para llevarlas a cabo

2.2. Información del tratamiento al interesado

2.3. Derechos del interesado

2.4. Encargo del tratamiento

2.5. Registro de actividades del tratamiento

2.5.1. Responsable del tratamiento

2.5.2. Encargado del tratamiento

3. TRANSFERENCIAS QUE NO PRECISAN AUTORIZACIÓN DE LA AUTORIDAD DE CONTROL

3.1. Transferencias basadas en una decisión de adecuación

3.1.1. Qué es una decisión de adecuación

3.1.2. Revisión de la decisión de adecuació

3.1.3. Qué debe tener en cuenta en particular la Comisión para evaluar la adecuación al nivel de protección

de datos

3.1.4. Lista de países que cuentan con una decisión de adecuación

3.2. Transferencias basadas en garantías adecuadas

3.2.1. Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos

3.2.2. Normas corporativas vinculantes

3.2.3. Cláusulas contractuales tipo

3.2.4. Códigos de conducta

3.2.5. Mecanismos de certificación

3.2.6. Evaluación de impacto de la transferencia: garantías complementarias

3.3. Transferencias basadas en excepciones para situaciones específicas

3.4. Transferencias sometidas a información previa a la autoridad de control

4. TRANSFERENCIAS QUE PRECISAN AUTORIZACIÓN DE LA AUTORIDAD DE CONTROL

4.1. Autorizaciones otorgadas a partir de la entrada en vigor del RGPD

4.2. Autorizaciones otorgadas con anterioridad a la entrada en vigor del RGPD

5. TRANSFERENCIAS NO AUTORIZADAS POR EL DERECHO DE LA UNIÓN

6. COOPERACIÓN INTERNACIONAL EN EL ÁMBITO DE LA PROTECCIÓN DE DATOS PERSONALES

1. INTRODUCCIÓN

Las transferencias de datos personales a terceros países u organizaciones internacionales (TID) están reguladas en el Capítulo V del RGPD (art. 44 a 50) y en España además en el Título VI de la LOPDGDD (art. 40 a 43). Estas transferencias suponen un flujo de datos personales desde cualquier territorio de la Unión Europea (UE) a destinatarios establecidos en países fuera del Espacio Económico Europeo (EEE), esto es, los países de la UE más Liechtenstein, Islandia y Noruega.

2. DISPOSICIONES DEL RGPD RESPECTO A LAS TRANSFERENCIAS INTERNACIONALES

2.1. Habilitación para llevarlas a cabo

FRECUENCIA	AUTORIZACIÓN	INSTRUMENTO HABILITANTE RGPD
Regulares o repetitivas	Sin autorización	Decisión de adecuación	De la Comisión	Art. 45 RGPD
		Garantías adecuadas	Instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.	Art. 46.2.a) RGPD
			Normas corporativas vinculantes	Art. 46.2.b) y 47 RGPD
			Cláusulas contractuales tipo de protección de datos adoptadas por La Comisión o por una autoridad de control y aprobadas por la Comisión	Art. 46.2.c) y d) RGPD
			Códigos de conducta	Art. 46.2.e) RGPD
			Mecanismos de certificación	Art. 46.2.f) RGPD
	Con autorización	Garantías adecuadas	Cláusulas contractuales no adoptadas ni por la comisión ni por una autoridad de control	Art. 46.3.a) RGPD y 42.1.a) LOPDGDD
			Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos	Art. 46.3.b) RGPD y 42.1.a) LOPDGDD
Ocasionales o no repetitivas	Sin autorización	Excepciones para situaciones específicas	Consentimiento explícito del interesado, informando de los riesgos	Art. 49.1.a) RGPD
			Contrato del responsable con el interesado o con otra persona en interés del interesado	Art. 49.1.b) y c) RGPD
			Interés público	Art. 49.1.d) RGPD
			Formulación, el ejercicio o la defensa de reclamaciones	Art. 49.1.e) RGPD
			Intereses vitales del interesado o de otras personas	Art. 49.1.f) RGPD
			Interés legítimo de cualquier persona en un Registro Público	Art. 49.1.g) RGPD
			Informando a la autoridad de control	Art. 49.1. párrafo 2º RGPD y 43 LOPDGDD

2.2. Información del tratamiento al interesado

Conforme al art. 13 y 14.1.f RGPD en su caso, el responsable del tratamiento debe incluir en la información que facilite al interesado sobre el tratamiento de sus datos la intención de transferir datos personales a un tercer país u organización internacional y:

• Si están basadas en una decisión de adecuación de la comisión: la existencia de la misma (art. 45 RGPD).
• Si están basadas en garantías adecuadas: la ausencia de una decisión de adecuación y referencia a las garantías adecuadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado (art. 46 RGPD).
• Si están basadas en alguna de las excepciones para situaciones específicas:
  • Consentimiento explícito del interesado: la ausencia de una decisión de adecuación y de garantías adecuadas y los posibles riesgos que esto supone (art. 49.1.a RGPD).
  • Contrato, interés público, defensa reclamaciones, intereses vitales, interés legítimo desde un registro público: la ausencia de una decisión de adecuación y de garantías adecuadas (art. 49.1.b,c,d,e,f RGPD) y porqué son necesarias.
  • En las que hay que informar a la autoridad de control: la ausencia de una decisión de adecuación y referencia a las garantías apropiadas y a los medios para obtener una copia de estas o al lugar en que se hayan puesto a disposición (art. 49.1 párrafo 2º RGPD).

2.3. Derechos del interesado

El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no sus datos personales y, en tal caso, derecho de acceso a los mismos y, cuando se transfieran datos personales a un tercer país o a una organización internacional, además, tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia (art. 15.2 RGPD).

2.4. Encargo del tratamiento

La sujeción a las instrucciones del responsable deberá producirse igualmente en el caso de las transferencias internacionales de datos que puedan producirse como consecuencia de la prestación del servicio. Si el encargado del tratamiento está obligado legalmente, por el Derecho de la Unión o de un Estado miembro, a transferir datos a un tercer país deberá informar al responsable antes de llevar a cabo el tratamiento, salvo que tal derecho lo prohíba por razones importantes de interés público (art. 28.3.a RGPD).

2.5. Registro de actividades del tratamiento

2.5.1. Responsable del tratamiento

El responsable del tratamiento deberá incluir en su registro de actividades de tratamiento, entre otra información, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el art. 49.1 párrafo 2º, la documentación de garantías apropiadas (art. 30.1.e RGPD).

2.5.2. Encargado del tratamiento

El encargado del tratamiento deberá incluir en su registro de actividades de tratamiento efectuadas por cuenta de un responsable, entre otra información, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el art. 49.1 párrafo 2º, la documentación de garantías apropiadas (art. 30.2.c RGPD).

3. TRANSFERENCIAS QUE NO PRECISAN AUTORIZACIÓN DE LA AUTORIDAD DE CONTROL

Los responsables y encargados del tratamiento podrán realizar TID sin necesidad de autorización de la autoridad de control siempre que el tratamiento de datos observe lo dispuesto en el RGPD y en los siguientes supuestos:

• Cuando se basen en una decisión de adecuación de la Comisión Europea (art. 45 RGPD)
• Mediante la aportación de garantías adecuadas (art. 46. 1 y 2 RGPD)
• Excepciones para situaciones específicas (art. 49 RGPD)

3.1. Transferencias basadas en una decisión de adecuación (art. 45 RGPD)

Cuando las entidades receptoras de los datos se encuentren en un país, un territorio o uno o varios sectores específicos de ese país u organización internacional que hayan sido declarados a través de una decisión de adecuación de nivel de protección adecuado por la Comisión Europea, las transferencias se podrán basar en esta decisión de adecuación.

3.1.1. Qué es una decisión de adecuación

Una decisión de adecuación es una resolución emitida por la Comisión Europea que certifica, tras haber evaluado la adecuación del nivel de protección, que un tercer país, un territorio específico dentro de un tercer país, o una organización internacional garantiza un nivel adecuado de protección de los datos personales adecuado, equiparable al que se ofrece dentro de la UE.

La Comisión, tras haber evaluado la adecuación del nivel de protección, podrá decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan un nivel de protección adecuado. El acto de ejecución:

• Establecerá un mecanismo de revisión periódica, al menos cada cuatro años, que tenga en cuenta todos los acontecimientos relevantes en el tercer país o en la organización internacional.
• Especificará su ámbito de aplicación territorial y sectorial.
• En su caso, determinará la autoridad o autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los Estados miembros.
• Se adoptará con arreglo al procedimiento de examen a que se refiere el art. 93.2 RGPD.

3.1.2. Revisión de la decisión de adecuación

La Comisión supervisará de manera continuada los acontecimientos en países terceros y organizaciones internacionales que puedan afectar a la efectiva aplicación de las decisiones adoptadas. Cuando la información disponible muestre que ya no garantiza un nivel de protección adecuado, la Comisión, mediante actos de ejecución, derogará, modificará o suspenderá, en la medida necesaria y sin efecto retroactivo, la decisión, todo ello sin perjuicio de las transferencias de datos personales basadas en garantías adecuadas o en excepciones para situaciones específicas.

La Comisión entablará consultas con el tercer país u organización internacional con vistas a poner remedio a la situación que dé lugar a la decisión adoptada de derogación, modificación o suspensión.

Las decisiones de adecuación adoptadas en base a la Directiva 95/46/CE siguen en vigor, hasta que sean modificadas, sustituidas o derogadas por una decisión de la Comisión adoptada de conformidad con el RGPD.

3.1.3. Qué debe tener en cuenta en particular la Comisión para evaluar la adecuación al nivel de protección de datos:

• El Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, tanto general como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, incluidas las normas sobre transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país u organización internacional, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos.
• La existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país o a las cuales esté sujeta una organización internacional, con la responsabilidad de garantizar y hacer cumplir las normas en materia de protección de datos, incluidos poderes de ejecución adecuados, de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar con las autoridades de control de la Unión y de los Estados miembros, y
• Los compromisos internacionales asumidos por el tercer país u organización internacional de que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales.

3.1.4. Lista de países que cuentan con una decisión de adecuación

La Comisión tiene publicada en el Diario Oficial de la Unión Europea (DOUE) y en su página web una lista de terceros países, territorios y sectores específicos en un tercer país, y organizaciones internacionales respecto de los cuales haya decidido que se garantiza, o ya no, un nivel de protección adecuado. Accesible desde:

https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

La AEPD también tiene publicados los países y territorios declarados como adecuados, accesibles desde:

https://www.aepd.es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/garantias-transferencias-datos-personales

A día de hoy los países con decisión de adecuación adoptada por la Comisión son:

• Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000
• Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos
• Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003
• Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003
• Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004
• Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008
• Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010
• Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010
• Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011
• Uruguay. Decisión 2012/484/UE, de la Comisión, de 21 de agosto de 2012
• Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012
• Japón. Decisión de 23 de enero de 2019
• Reino Unido. Decisión de 28 de junio de 2021 (versión en inglés)
• República de Corea. Decisión de 17 de diciembre de 2021 (versión en inglés)
• EU- USA Data Privacy Framework Decisión de 10 de julio de 2023 (versión en inglés) (versión en español)

3.2. Transferencias basadas en garantías adecuadas (art. 46 y 47 RGPD)

A falta de decisión de adecuación se podría llevar a cabo una transferencia a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas y si se ofrecen garantías adecuadas, que podrán ser aportadas a través de:

• Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
• Normas corporativas vinculantes.
• Cláusulas contractuales tipo de protección de datos adoptadas por:
  • La Comisión.
  • Una autoridad de control y aprobadas por la Comisión.
• Junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas:
  • Códigos de conducta.
  • Mecanismos de certificación.

3.2.1. Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos

Las transferencias también pueden realizarlas autoridades o entidades públicas con entidades o autoridades públicas de terceros países o con organizaciones internacionales con competencias o funciones correspondientes, igualmente sobre la base de disposiciones incorporadas a acuerdos administrativos, como un memorando de entendimiento, que reconozcan derechos exigibles y efectivos a los interesados.

El acuerdo debe tener carácter jurídico y ser obligatorio para las partes que lo suscriben, además de ser vinculante, el acuerdo debe ser aplicable ante las instancias jurídicas competentes. Esto significa que debe establecer claramente los derechos y obligaciones de las partes y las vías legales para hacerlos cumplir en caso de incumplimiento.

3.2.2. Normas corporativas vinculantes

Las Normas Corporativas Vinculantes (NCV) (en inglés Binding Corporate Rules - BCR) son políticas de protección de datos personales, que incorporan los principios, derechos y garantías del RGPD, asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para llevar a cabo transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta y con el fin de ofrecer garantías adecuadas para las transferencias.

Por tanto son un mecanismo establecido por el RGPD para permitir la transferencia dentro de un grupo empresarial o de empresas vinculadas dedicadas a una actividad económica conjunta que operan en diferentes países fuera del Espacio Económico Europeo (EEE), garantizando un nivel adecuado de protección de los datos personales.

Una autoridad de control competente puede aprobar NCV siempre que estas:

• sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidas sus personas trabajadoras;
• confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales, y
• cumplan los requisitos establecidos en el art. 47.2 RGPD.

La Comisión podrá especificar el formato y los procedimientos para el intercambio de información entre los responsables, los encargados y las autoridades de control en relación con las NCV.

3.2.3. Cláusulas contractuales tipo

Son un modelo contractual estándar, dentro de las utilizadas como garantías adecuadas para las transferencias internacionales de datos entre exportadores (dentro del EEE) e importadores de datos (fuera del EEE), las hay:

• Adoptadas por la Comisión: la Comisión Europea publicó la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el RGPD, con la que además de sustituir a sus predecesoras, abarcan las transferencias entre responsables, entre responsable y encargado, entre encargados y entre encargado y responsable. Se adaptan al RGPD incorporando los principios de responsabilidad proactiva y tratan de adoptar los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II.
• Adoptadas por una autoridad de control: una autoridad de control también puede adoptar cláusulas contractuales tipo para la realización de transferencias, que deben someterse previamente al dictamen del CEPD.

3.2.4. Códigos de conducta

Son mecanismos de cumplimiento voluntario en los que se establecen reglas específicas para categorías de responsables o encargados del tratamiento con la finalidad de contribuir a la correcta aplicación del RGPD y la LOPDPGDD, constituyen una muestra de lo que se denomina autorregulación, es decir, la capacidad de las entidades, instituciones y organizaciones para regularse a sí mismas. Y entre otras cuestiones puede utilizarse como garantía adecuada para realizar transferencias internacionales de datos, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas.

3.2.5. Mecanismos de certificación

Son mecanismos, sellos o marcas voluntarios, disponibles a través de un proceso transparente, cuyo objetivo es acreditar el cumplimiento de lo establecido en el RGPD en los tratamientos de datos personales llevados a cabo por parte de los responsables y los encargados del tratamiento. Y entre otras cuestiones puede utilizarse, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas, como garantía adecuada para realizar transferencias internacionales de datos, teniendo en cuenta las características y necesidades específicas de los distintos sectores y de las pymes y micropymes.

3.2.6. Evaluación de impacto de la transferencia: garantías complementarias

A pesar de las garantías adecuadas enumeradas en los apartados anteriores, sigue siendo necesario que el exportador de los datos, en su caso ayudado por el importador, analice el impacto que la legislación y/o la práctica vigente en el país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo, llevando a cabo una evaluación de impacto de la transferencia (EIT) (en inglés Transfer Impact Assessment- TIA) que pueda determinar la necesidad o no de medidas o garantías complementarias.

Deberán tenerse en cuenta las recomendaciones 1/2020 del Comité Europeo de Protección de Datos sobre las medidas complementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente.

Para aplicar el principio de responsabilidad proactiva (art. 5.2 RGPD) a las transferencias el Comité Europeo de Protección de Datos (CEPD/EDPB) en las recomendaciones 01/2020 propone una hoja de ruta para realizar la EIT y averiguar si el exportador de datos necesita establecer medidas complementarias para poder transferir legalmente los datos fuera del EEE.

La hoja de ruta propuesta por el CEPD incluiría:

• Primer paso: conocer las transferencias que se están llevando a cabo, incluso su trazabilidad.
• Segundo paso: identificar a través de que instrumento habilitante de los propuestos en el capítulo V del RGPD podemos llevarla a cabo, esto es cuando:
  • • Están basadas en una decisión de adecuación de la Comisión.
    • Se dan alguna de las excepciones contempladas en el artículo 49, es decir consentimiento del interesado (explícito, específico para la transferencia, e informado, en particular de los posibles riesgos), relación contractual (ocasional y necesaria para el contrato), interés público (reconocido en la legislación de la UE o sus estados miembros), o interés vital.
    • A falta de una de las excepciones del artículo 49 y a falta de una decisión de adecuación, están basadas en garantías adecuadas: cláusulas contractuales tipo, normas corporativas vinculantes, códigos de conducta, mecanismos de certificación.
• Tercer paso: evaluar si las garantías adecuadas son eficaces, cuando proceda en colaboración con el importador, entre otras cuestiones comprobar si hay algo en la legislación del tercer país que pueda afectar a la eficacia de las salvaguardas apropiadas del instrumento de transferencia del artículo 46 en el que se basa.
• Cuarto paso: si en el anterior paso se determina que la garantía adecuada (art. 46) en que queremos basar la transferencia no es eficaz, se tendrá que considerar, cuando proceda en colaboración con el importador, si existen medidas complementarias que, sumadas a las salvaguardas contenidas en la garantía adecuada, puedan garantizar que los datos transferidos tengan en el tercer país un nivel de protección esencialmente equivalente al garantizado dentro de la UE.

En las listas no exhaustivas descritas en el Anexo 2 de las recomendaciones 1/2020 EDPB se pueden encontrar algunos ejemplos de medidas técnicas, contractuales y organizativas que podrían considerarse.

Si no se encuentran o aplican medidas complementarias eficaces que garanticen que los datos personales transferidos gocen de un nivel de protección esencialmente equivalente, no se debe empezar a transferir datos personales al tercer país de que se trate sobre la base del instrumento de transferencia elegido. Si ya se está realizando transferencias, se deben suspender.

La autoridad de control competente está facultada para suspender o poner fin a las transferencias de datos personales al tercer país si no se garantiza la protección de los datos transferidos que exige la legislación de la UE, en particular los artículos 45 y 46 RGPD.

• Quinto paso: el posible procedimiento a seguir en caso de que se hayan identificado medidas complementarias eficaces que se vayan a poner en práctica pueden diferir dependiendo de la garantía adecuada del artículo 46 que se esté utilizando o que se prevea utilizar:
  • • Cláusulas tipo de protección de datos: de la Comisión o de una autoridad de control, las medidas complementarias en ningún caso podrán contradecirlas.
    • Normas corporativas vinculantes: el CEPD proporciono más detalles en sus recomendaciones 1/2022, accesible desde:

https://www.edpb.europa.eu/system/files/2024-05/edpb_recommendations_20221_bcr-c_v2_es.pdf

• • • Entre autoridades y organismos públicos del EEE y de fuera de este: el CEPD proporcionó más detalles en sus Directrices 2/2020, accesible desde:

https://www.edpb.europa.eu/system/files/2021-06/edpb_guidelines_202002_art46guidelines_internationaltransferspublicbodies_v2_es.pdf

• • • Códigos de conducta: el CEPD proporciono más detalles en sus Directrices 04/2021, accesible desde:

https://www.edpb.europa.eu/system/files/2022-10/edpb_guidelines_codes_conduct_transfers_after_public_consultation_es.pdf

• • • Mecanismos de certificación y sellos de protección de datos: el CEPD proporciono más detalles en sus Directrices 07/2022, accesible desde:

https://www.edpb.europa.eu/system/files/2023-05/edpb_guidelines_07-2022_on_certification_as_a_tool_for_transfers_v2_es_0.pdf

• Sexto paso: revisión periódica, se debe vigilar, de manera permanente y, cuando proceda, en colaboración con los importadores de datos, la evolución de la situación en el tercer país al que haya transferido datos personales que pueda afectar a la evaluación inicial del nivel de protección y a las decisiones que se puedan haber adoptado en consecuencia sobre las transferencias. La responsabilidad proactiva es una obligación permanente.

Por último, en el anexo 3 de las recomendaciones, el EDPB indica que el importador de datos debe estar en condiciones de proporcionar al exportador las fuentes y la información pertinentes relativas al tercer país en el que está establecido y a las leyes que le son aplicables. También puede el exportador de datos remitirse a varias fuentes de información, como las que se enumeran a continuación de manera no exhaustiva:

• • • La jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) y del Tribunal Europeo de Derechos Humanos (TEDH) a la que se refieren las recomendaciones sobre garantías esenciales europeas.
    • Decisiones de idoneidad en el país de destino si la transferencia se basa en una base jurídica diferente.
    • Resoluciones e informes de organizaciones intergubernamentales, como el Consejo de Europa, otros órganos regionales; y órganos y organismos de las Naciones Unidas (por ejemplo, el Consejo de Derechos Humanos de las Naciones Unidas, el Comité de Derechos Humanos).
    • Jurisprudencia nacional o decisiones adoptadas por autoridades judiciales o administrativas independientes competentes en materia de privacidad de datos y protección de datos de terceros países.
    • Informes de instituciones académicas y organizaciones de la sociedad civil (por ejemplo, ONG y asociaciones comerciales).

3.3. Transferencias basadas en excepciones para situaciones específicas (art. 49 RGPD)

El artículo 49 tiene un carácter excepcional, no debe convertirse en “la regla general”, sino restringirse a las situaciones específicas en él contempladas, de ese modo en ausencia de una decisión de adecuación de conformidad con el art. 45 o en garantías adecuadas de conformidad con el art. 46, una transferencia se podrá realizar de manera excepcional, no como norma general, si se cumple alguna de las condiciones siguientes o situaciones específicas y que la transferencia:

• Se base en el consentimiento explícito del interesado, tras haber sido informado de los posibles riesgos para él de la misma debido a la ausencia de una decisión de adecuación y de garantías adecuadas. Y no sea consecuencia de actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos.
• No sea consecuencia de actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos y sea necesaria para la celebración y/o ejecución de un contrato:
  • Entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
  • Entre el responsable del tratamiento y otra persona física o jurídica, pero en interés del interesado.
• Sea necesaria por razones importantes de interés público establecidas por el Derecho de la Unión o de los Estados miembros que se aplique al responsable. Por ejemplo en caso de intercambios internacionales de datos entre autoridades en el ámbito de la competencia, administraciones fiscales o aduaneras, entre autoridades de supervisión financiera, entre servicios competentes en materia de seguridad social o de sanidad pública, por ejemplo en caso de contactos destinados a localizar enfermedades contagiosas o para reducir y/o eliminar el dopaje en el deporte.
• Sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones, independientemente de tratarse de un procedimiento judicial o un procedimiento administrativo o extrajudicial, incluidos los procedimientos ante organismos reguladores.
• Sea necesaria para proteger los intereses vitales del interesado o de otras personas, incluida la integridad física o la vida, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
• Se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta. En este caso la transferencia no debe afectar a la totalidad de los datos personales o de las categorías de datos incluidos en el registro y, cuando el registro esté destinado a su consulta por personas que tengan un interés legítimo, la transferencia solo debe efectuarse a petición de dichas personas o, si estas van a ser las destinatarias, teniendo plenamente en cuenta los intereses y los derechos fundamentales del interesado.

En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el Derecho de la Unión o de los Estados miembros puede, establecer expresamente límites a la transferencia de categorías específicas de datos a un tercer país u organización internacional. Los Estados miembros notificarán a la Comisión dichas disposiciones.

3.4. Transferencias sometidas a información previa a la autoridad de control (art. 49.1,3 RGPD y 6, 43 LOPDGDD).

Cuando una transferencia que no sea consecuencia de actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos no pueda basarse en una decisión de adecuación de conformidad con el art. 45 o en garantías adecuadas de conformidad con el art. 46, y no sea aplicable ninguna de las excepciones del párrafo primero del artículo 49.1 RGPD, solo se podrá llevar a cabo si se dan todas y cada una de las siguientes condiciones, que:

• No sea repetitiva.
• Afecte solo a un número limitado de interesados.
• Sea necesaria para fines basados en los intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado.
• El responsable del tratamiento:
  • evalúe todas las circunstancias concurrentes en la misma y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales y las documento en sus RAT.
  • Informe previamente:
    • A la autoridad de control de la transferencia.
    • Al interesado además de lo exigido por los arts. 13 y/o 14 RGPD incluyendo la transferencia de los intereses legítimos imperiosos perseguidos.

4. TRANSFERENCIAS QUE PRECISAN AUTORIZACIÓN DE LA AUTORIDAD DE CONTROL

4.1. Autorizaciones otorgadas a partir de la entrada en vigor del RGPD (art. 46.3,4, 5 RGPD y 42 LOPDGDD)

Cuando una transferencia no pueda basarse en una decisión de adecuación de conformidad con el art. 45 o en garantías adecuadas de conformidad con el art. 46, no sea aplicable ninguna de las excepciones para situaciones específicas a que se refiere el párrafo primero del artículo 49.1 del RGPD, ni las transferencias no repetitivas descritas en el párrafo segundo del mismo apartado, requerirá una previa autorización de la Agencia Española de Protección de Datos o, en su caso, autoridades autonómicas de protección de datos, el procedimiento tendrá una duración máxima de seis meses, y podrá otorgarse cuando la transferencia:

• Pretenda basarse en garantías adecuadas ofrecidos a través de cláusulas contractuales que no correspondan con las adoptadas por la Comisión o por una autoridad de control (y aprobadas por la Comisión).
• Se lleve a cabo por alguno de los responsables o encargados a los que se refiere el artículo 77.1 de la LOPDGDD (AAPP) y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.

.

La autorización quedará sometida a la emisión por el CEPD de un dictamen. La remisión del expediente al CEPD implicará la suspensión del procedimiento hasta que el dictamen sea notificado a la Agencia Española de Protección de Datos o, por conducto de la misma, a la autoridad de control competente, en su caso.

4.2. Autorizaciones otorgadas con anterioridad a la entrada en vigor del RGPD (art. 46.5 RGPD)

Las autorizaciones otorgadas por un Estado miembro o una autoridad de control de conformidad con la Directiva 95/46/CE seguirán siendo válidas hasta que hayan sido modificadas, sustituidas o derogadas, en caso necesario, por dicha autoridad de control.

Las decisiones adoptadas por la Comisión en virtud de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas, en caso necesario, por una decisión de la Comisión adoptada de conformidad con el RGPD.

5. TRANSFERENCIAS NO AUTORIZADAS POR EL DERECHO DE LA UNIÓN (art. 48 RGPD)

Cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la Unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del RGPD.

6. COOPERACIÓN INTERNACIONAL EN EL ÁMBITO DE LA PROTECCIÓN DE DATOS PERSONALES (art. 50 RGPD)

En relación con los terceros países y las organizaciones internacionales, la Comisión y las autoridades de control tomarán medidas apropiadas para:

• Crear mecanismos de cooperación internacional que faciliten la aplicación eficaz de la legislación relativa a la protección de datos personales.
• Prestarse mutuamente asistencia a escala internacional en la aplicación de la legislación relativa a la protección de datos personales, en particular mediante la notificación, la remisión de reclamaciones, la asistencia en las investigaciones y el intercambio de información, a reserva de las garantías adecuadas para la protección de los datos personales y otros derechos y libertades fundamentales.
• Asociar a partes interesadas en la materia a los debates y actividades destinados a reforzar la cooperación internacional en la aplicación de la legislación relativa a la protección de datos personales.
• Promover el intercambio y la documentación de la legislación y las prácticas en materia de protección de datos personales, inclusive en materia de conflictos de jurisdicción con terceros países.