Transferencias internacionales

Última revisión

Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega)

Las personas responsables y encargadas del tratamiento podrán realizar transferencias internacionales de datos sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD y se den los siguientes supuestos.

Destinatario declarado de nivel adecuado por la Comisión Europea

LAS PERSONAS DESTINATARIAS DE LOS DATOS SE ENCUENTREN EN UN PAÍS, UN TERRITORIO O UNO O VARIOS SECTORES ESPECÍFICOS DE ESE PAÍS U ORGANIZACIÓN INTERNACIONAL QUE HAYA SIDO DECLARADO DE NIVEL DE PROTECCIÓN ADECUADO POR LA COMISIÓN EUROPEA. HASTA LA FECHA LOS PAÍSES Y TERRITORIOS ESTÁN DECLARADOS COMO ADECUADOS:

 

A falta de decisión de adecuación, con las siguientes garantías

a) Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos

b) Normas corporativas vinculantes

c) Cláusulas tipo de protección de datos adoptadas por la Comisión:

Con fecha 4 de junio de 2021, la Comisión Europea ha publicado el nuevo conjunto de cláusulas contractuales tipo que, además de sustituir a sus predecesoras, pretenden poder enmarcar un abanico de transferencias ya sea entre responsable y responsable, entre responsable y encargado, entre encargados o entre encargado y responsable.

Las nuevas cláusulas se adaptan al RGPD incorporando los principios de «accountability» y tratan de adoptar los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II. No obstante, sigue siendo necesario que el exportador, en su caso ayudado por el importador, analice el impacto que la legislación del país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo. Además, adicionalmente, deberán tenerse  en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente.

Las cláusulas contractuales de las Decisiones de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE quedarán derogadas a partir del 27 de septiembre de 2021. No obstante, los contratos celebrados antes de dicha fecha con arreglo a las anteriores Decisiones serán válidos hasta el 27 de septiembre de 2022, siempre que las operaciones de tratamiento permanezcan inalteradas y las cláusulas contractuales garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas.

Los contratos que utilicen las cláusulas contractuales de 2001/497/CE, 2004/915/CE o la Decisión 2010/87/UE tendrán un período de 15 meses para su adaptación a las nuevas cláusulas.

Decisión de Ejecución (UE) 2021/914 DE LA COMISIÓN de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo

d) Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión

e) Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas

f) Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas.

 

A falta de decisión de adecuación y de garantías

A FALTA DE DECISIÓN DE ADECUACIÓN Y DE GARANTÍAS ADECUADAS ÚNICAMENTE SE PODRÁN REALIZAR SI SE CUMPLE ALGUNA DE LAS CONDICIONES SIGUIENTES:

  • a) La persona interesada haya dado explícitamente su consentimiento
  • b) La transferencia sea necesaria para la ejecución de un contrato entre la personas interesada y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud de la persona interesada
  • c) La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés de la  persona interesada, entre la  persona responsable del tratamiento y otra persona física o jurídica
  • d) La transferencia sea necesaria por razones importantes de interés público
  • e) La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones
  • f) La transferencia sea necesaria para proteger los intereses vitales de la persona interesada o de otras personas, cuando la  persona interesada esté física o jurídicamente incapacitada para dar su consentimiento
  • g) La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Cuando tampoco sea aplicable ninguna de estas excepciones, solo se podrá llevar a cabo una transferencia si no es repetitiva, afecta solo a un número limitado de personas interesadas, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades de la persona interesada, y el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofrezca garantías apropiadas con respecto a la protección de datos personales.

En este supuesto el responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14 del RGPD, el responsable del tratamiento informará a la persona interesada de la transferencia y de los intereses legítimos imperiosos perseguidos.

 

Cuándo se necesita una autorización expresa

SE NECESITARÁ  AUTORIZACIÓN EXPRESA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS CUANDO LAS  GARANTÍAS ADECUADAS SE APORTEN MEDIANTE:

  • a) cláusulas contractuales entre el responsable o el encargado y el responsable, y el encargado y subencargado,  que no hayan sido adoptadas por la Comisión Europea o
  • b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para las personas interesadas.

Las autorizaciones otorgadas por la Agencia Española de Protección de Datos previamente a la aplicación del RGPD seguirán siendo válidas.

Autorizaciones para la transferencia internacional de datos aprobadas por la AEPD en el marco del RGPD:

 

Normas corporativas vinculantes (BCR)

Las normas corporativas vinculantes (o BCR por sus siglas en inglés) son “ las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”.

Los grupos empresariales son aquellos“ constituidos por una empresa que ejerce el control y sus empresas controladas”.

La autoridad de control competente aprobará normas corporativas vinculantes (más conocidas por sus siglas en inglés BCR -Binding Corporate Rules-) de conformidad con el mecanismo de coherencia establecido en el artículo 63 del RGPD.

Los grupos empresariales interesados en la elaboración de normas corporativas vinculantes pueden solicitar información en la siguiente dirección de correo electrónico: rgpd@aepd.es.

Normas corporativas vinculantes (BCR por sus siglas en inglés) aprobadas por la AEPD:

TI-00001-2020-Resolución de Autorización GRUPO FUJIKURA AUTOMOTIVE EUROPE 11-03-20

TI-00002-2020-Resolución de Autorización GRUPO IBERDROLA 15-12-20

TI-00001-2021-Resolución de Aprobación BCR-RESPONSABLE GRUPO KUMON 26-02-21

TI-00002-2021-Resolución de Aprobación BCR-ENCARGADO GRUPO KUMON 26-02-21

 

Enlaces a los documentos más relevantes para la elaboración de unas BCR