Los países no comunitarios y la protección de datos

En nuestros anteriores posts hemos hablado sobre que son los datos personales y cómo podemos protegerlos de acuerdo con RGPD. Ahora bien, es importante conocer cómo funciona la transferencia de datos entre países dentro y fuera de la Unión Europea (UE). Aquí te contaremos los países no comunitarios y la protección de datos. A continuación te contaremos cuales son las formas correctas para que puedan fluir datos sin encontrarnos con posibles sanciones de los reguladores europeos. Primero debemos conocer cómo se determina si un país fuera de la EU ofrece un nivel adecuado de protección de datos y quién está facultado para tomar dicha decisión. La Comisión Europea (CE), sobre la base del artículo 45 del Reglamento (UE) 2016/679, es la encargada de decidir que estado cuenta con el nivel adecuado. El resultado de tal decisión es que los datos personales pueden fluir desde los 27 países que integran la EU (y también de Noruega, Liechtenstein e Islandia) hacia ese tercer país sin que sea necesaria ninguna otra salvaguarda. En palabras más simples, las transferencias al país en cuestión se asimilarán a las transmisiones de datos dentro de la UE.

Destinatario declarado de nivel adecuado

A la fecha los Estados declarados con adecuación son los siguientes:
  • Europa: Andorra, Guernsey, Islas Feroe, Isla de Man, Jersey Y Suiza.
  • Latinoamérica: Argentina y Uruguay.
  • América de Norte: Canadá (entidades sujetas a la aplicación de la ley de protección de datos canadiense) y Estados Unidos (entidades certificadas en el marco del Privacy Shield).
  • Asia: Israel y Japón.
  • Oceanía: Nueva Zelandia.
Entonces, hasta aquí es simple ya que los países que poseen una decisión de adecuación por parte de la EU son ‘libres’ de transferir datos. Ahora bien, si el país en cuestión al cual necesitamos transferir los datos personales no posee una decisión de adecuación, deberá cumplir con las garantías establecidas en el RGPD o las Decisiones de la Comisión Europea sobre las cuales se busca asegurar la correcta protección de los datos personales. A falta de decisión de adecuación y de garantías existe una serie de excepciones sobre las cuales se puede basar la transferencia de los datos. Actualmente los países detallados precedentemente son los únicos considerados por la UE que ofrecen una protección adecuada. El pasado 30 de marzo han concluido las conversaciones sobre la adecuación de Corea del Sur y la Comisión Europea procederá a la toma de de decisión para la posterior adecuación. Con respecto al Reino Unido, consideramos pertinente dedicar un artículo al impacto del Brexit en la protección de los datos personales y la transferencia con la EU.

Las garantías

Las garantías para respaldar una correcta transferencia de datos son:
  1. Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos,
  2. Normas corporativas vinculantes también conocidas por su acrónimo en inglés BCR (Binding Corporate Rules),
  3. Cláusulas tipo de protección de datos adoptadas por la CE que siguen siendo válidas,
  4. Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la CE,
  5. Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados,
  6. Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

Las excepciones

Para el caso que no cuente con una decisión de adecuación y tampoco cumpla con las garantías enumeradas precedentemente existen una serie de excepciones sobre las cuales se podrá realizar la transferencia de datos. Las excepciones son:
  1. El interesado haya dado explícitamente su consentimiento,
  2. Sea necesario para la celebración y/o ejecución de un contrato,
  3. Por razones importantes de interés público,
  4. Para la formulación, el ejercicio o la defensa de reclamaciones,
  5. Para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento,
  6. La transferencia sea realizada desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros.
Existen casos en que no se cumplen con las disposiciones ni tampoco con las excepciones establecidas, por lo que se requeriré de una autorización expresa de la autoridad de control, en el caso de España, de la Agencia Española de Protección de Datos (AEPD). En nuestros siguientes artículos haremos hincapié en cada uno de las decisiones y garantías con el objetivo de conocer con mayor profundidad en que casos aplicada cada una de ellas.
Tags:
, , , , , , , , , , , , ,
Share this post on:

Leave a reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información básica sobre protección de datos Ver más

  • Responsable: Haene Consulting.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento:  No se ceden o comunican datos a terceros para prestar este servicio.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.

English
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad
×