Consultores RGPD
Vaya al Contenido

Transferencia internacional de datos en el RGPD (9)

Cumplimiento normativo online
Publicado de AmyPc en RGPD-GDPR · 2 Abril 2017
Tags: transferenciainternacionaldatosrgpd
Transferencia internacional de datos

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del RGPD, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en él, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.

Transferencias basadas en una decisión de adecuación: podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica. La Comisión, tras haber evaluado la adecuación del nivel de protección, podrá decidir, mediante un acto de ejecución, que un tercer país garantiza un nivel de protección adecuado. Este hecho será revisado periódicamente pudiendo, mediante un acto de ejecución, derogar, modificar o suspender, en la medida necesaria y sin efecto retroactivo, la decisión antes otorgada cuando dejen de cumplirse los requisitos exigidos.

Transferencias mediante garantías adecuadas: A falta de decisión de adecuación, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

Las garantías adecuadas podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por:
a) un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;
b) normas corporativas vinculantes;
c) cláusulas tipo de protección de datos adoptadas por la Comisión;
d) cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión
e) un código de conducta aprobado, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados;
f) un mecanismo de certificación aprobado, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.

Siempre que exista autorización de la autoridad de control competente, las garantías adecuadas antes mencionadas podrán igualmente ser aportadas, en particular, mediante:
a) cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional;
b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

Normas corporativas vinculantes: La autoridad de control competente aprobará normas corporativas vinculantes siempre que estas:
a) sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros del grupo empresarial, incluidos sus empleados;
b) confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales;
c) cumplan los requisitos establecidos en el RGPD.

Las normas corporativas vinculantes especificarán, como mínimo, los siguientes elementos:
a) estructura y datos de contacto del grupo empresarial y de cada uno de sus miembros;
b) las transferencias o conjuntos de transferencias de datos, incluidas las categorías de datos personales, el tipo de tratamientos y sus fines, el tipo de interesados afectados y el nombre del tercer o los terceros países en cuestión;
c) su carácter jurídicamente vinculante, tanto a nivel interno como externo;
d) la aplicación de los principios generales en materia de protección de datos, las medidas encaminadas a garantizar la seguridad de los datos y los requisitos con respecto a las transferencias ulteriores a organismos no vinculados por las normas corporativas vinculantes;
e) los derechos de los interesados en relación con el tratamiento y los medios para ejercerlos y el derecho a obtener una reparación, y, cuando proceda, una indemnización por violación de las normas corporativas vinculantes;
f) la aceptación por parte del responsable o del encargado del tratamiento establecidos en el territorio de un Estado miembro de la responsabilidad por cualquier violación de las normas corporativas vinculantes por parte de cualquier miembro no establecido en la Unión; el responsable o el encargado solo será exonerado, total o parcialmente, de dicha responsabilidad si demuestra que el acto que originó los daños y perjuicios no es imputable a dicho miembro;
g) la forma en que se facilita a los interesados la información sobre las normas corporativas vinculantes;
h) las funciones de todos los DPO designados o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial, así como de la supervisión de la formación y de la tramitación de las reclamaciones;
i) los procedimientos de reclamación;
j) los mecanismos establecidos dentro del grupo empresarial para garantizar la verificación del cumplimiento de las normas corporativas vinculantes;
k) los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las normas y para notificar esas modificaciones a la autoridad de control;
l) el mecanismo de cooperación con la autoridad de control para garantizar el cumplimiento por parte de cualquier miembro del grupo empresarial;
m) los mecanismos para informar a la autoridad de control competente de cualquier requisito jurídico de aplicación en un país tercero a un miembro del grupo empresarial, que probablemente tengan un efecto adverso sobre las garantías establecidas en las normas corporativas vinculantes;
n) la formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales.

Acciones a realizar:
• Revisar si se realizan transferencias internacionales de datos y si las decisiones por las que se autorizaron siguen en vigor. En concreto, revisar todas las transferencias realizadas a Estados Unidos y comprobar que la entidad figura en el listado de entidades adheridas a los acuerdos del Escudo de Privacidad (Privacy Shield List).
• Revisar si se realizan otro tipo de transferencias.


Regreso al contenido