En el mundo globalizado actual, existen grandes cantidades de transferencias transfronterizas de datos personales, que a veces se conservan en servidores en varios países distintos. ¿Qué normas se aplican, según el RGPD si la organización transfiere datos fuera de la Unión Europea?.
La protección que ofrece el Reglamento general de protección de datos (RGPD) viaja con los datos, lo cual significa que las normas que protegen los datos personales seguirán aplicándose independientemente de dónde vayan a parar los datos.
Esto también se aplica cuando los datos se transfieren a un Estado no perteneciente a la Unión Europea (UE).
El RGPD proporciona varias herramientas para establecer el marco para las transferencias de datos desde la UE a Estados no pertenecientes a la UE:
- A veces, mediante una decisión de la Comisión Europea («decisión de adecuación») se declara que un Estado no perteneciente a la UE ofrece un nivel de protección de datos adecuado, lo cual significa que se pueden transferir datos a otra empresa de ese Estado no perteneciente a la UE sin que el exportador de los datos deba ofrecer más garantías o esté sujeto a condiciones adicionales. En otras palabras, las transferencias a un tercer país «adecuado» se asimilarán a una transmisión de datos dentro de la UE y, mi organización, cumpliendo con el RGPD estará a salvo.
- A falta de una decisión de adecuación, la transferencia puede hacerse mediante el establecimiento de garantías adecuadas y a condición de que las personas cuenten con derechos exigibles y acciones legales efectivas. Tales garantías adecuadas incluyen, entre otras:
- En el caso de los grupos empresariales o la unión de empresas dedicadas a una actividad económica conjunta, que las empresas pueden transferir los datos personales basándose en las denominadas «normas corporativas vinculantes»
- La adhesión a un código de conducta o un mecanismo de certificación junto con compromisos vinculantes y exigibles asumidos por el destinatario en relación con la aplicación de las garantías adecuadas para la protección de los datos transferidos.
- Acuerdos contractuales con el destinatario de los datos personales que utilizan, por ejemplo, las cláusulas contractuales tipo, aprobadas por la Comisión Europea.
- Por último, si se prevé realizar una transferencia de datos personales a un tercer país que no está sujeto a una decisión de adecuación y en ausencia de garantías adecuadas, se puede realizar la transferencia basándose en varias excepciones para situaciones específicas, por ejemplo cuando una persona haya consentido explícitamente a la transferencia propuesta tras haber recibido toda la información necesaria sobre los riesgos relacionados con dicha transferencia.
Pongamos un ejemplo
Siendo una empresa española que quiere ampliar sus servicios a Sudamérica, en particular Argentina, Uruguay y Brasil.
El primer paso sería comprobar si los países están sujetos a una decisión de adecuación. En este caso, tanto Argentina como Uruguay han sido declarados adecuados.
Entonces, podría transferir los datos personales a estos dos Estados no pertenecientes a la UE sin garantías adicionales, mientras que, para las transferencias a Brasil, que no cuenta con una decisión de adecuación, deberá establecer el marco para sus transferencias ofreciendo las garantías adecuadas.
Referencias a tener en cuenta
- Capítulo V (artículos 44-50 RGPD), considerandos 101-116
- Últimos documentos de trabajo sobre transferencias internacionales del Grupo de trabajo del artículo 29
- Documento de trabajo sobre referencias de adecuación (actualización del capítulo I del WP 12), WP 254
- Documento de trabajo que establece una tabla con los elementos y principios a incluir en las normas corporativas vinculantes, WP 256
- Documento de trabajo que establece una tabla con los elementos y principios a incluir en las normas corporativas vinculantes para encargados del tratamiento, WP 257
- Véase también como referencia la Comunicación de la Comisión Europea sobre el intercambio y la protección de datos en un mundo globalizado1 de 10 de enero de 2017