Garantías para las transferencias de datos personales a terceros países u organizaciones internacionales

Última revisión

Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega)

Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).

Los responsables y encargados del tratamiento podrán realizar transferencias internacionales de datos SIN NECESIDAD DE AUTORIZACIÓN DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS siempre que el tratamiento de datos observe lo dispuesto en el RGPD y en los siguientes supuestos:

 

Transferencias basadas en una decisión de adecuación

Cuando las entidades receptoras de los datos se encuentren en un país, un territorio o uno o varios sectores específicos de ese país u organización internacional que hayan sido declarados de nivel de protección adecuado por la Comisión Europea. Hasta la fecha los países y territorios están declarados como adecuados:

El Tribunal de Justicia de la Unión Europea (TJUE) invalidó la Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, conocida como el Escudo de Privacidad para las transferencias de datos a los estados Unidos. El Comité Europeo de Protección de Datos publicó las siguientes preguntas más frecuentes en relación con la sentencia del TJUE.

 

Mediante la aportación de garantías adecuadas

A falta de decisión de adecuación si se ofrecen garantías adecuadas, que podrán ser aportadas a través de:

  1. Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos
  2. Normas corporativas vinculantes
  3. Cláusulas tipo de protección de datos adoptadas por la Comisión:
    Con fecha 4 de junio de 2021, la Comisión Europea ha publicado el nuevo conjunto de cláusulas contractuales tipo que, además de sustituir a sus predecesoras, pretenden poder abarcar las transferencias entre responsables, entre responsable y encargado, entre encargados y entre encargado y responsable.
    Las nuevas cláusulas se adaptan al RGPD incorporando los principios de responsabilidad proactiva y tratan de adoptar los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II. No obstante, sigue siendo necesario que el exportador de los datos, en su caso ayudado por el importador, analice el impacto que la legislación y/o la práctica vigente en el país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo. Además, adicionalmente, deberán tenerse en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente.
    Las cláusulas contractuales de las Decisiones de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE quedan derogadas a partir del 27 de septiembre de 2021. No obstante, los contratos celebrados antes de dicha fecha con arreglo a las anteriores Decisiones serán válidos hasta el 27 de septiembre de 2022, siempre que las operaciones de tratamiento permanezcan inalteradas y las cláusulas contractuales garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas.
    Los contratos que utilicen las cláusulas contractuales de 2001/497/CE, 2004/915/CE o la Decisión 2010/87/UE tendrán un período de 15 meses para su adaptación a las nuevas cláusulas.
    Decisión de Ejecución (UE) 2021/914 DE LA COMISIÓN de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo
  4. Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión
  5. Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas
  6. Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas.

El Comité Europeo de Protección de Datos los siguientes documentos al respecto:

 

Excepciones para situaciones específicas

A falta de decisión de adecuación y de garantías adecuadas únicamente se podrán realizar si se cumple alguna de las condiciones siguientes:

  1. La persona interesada haya dado explícitamente su consentimiento, después de haber sido informada de los posibles riesgos
  2. La transferencia sea necesaria para la ejecución de un contrato entre la persona interesada y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud de la persona interesada
  3. La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica
  4. La transferencia sea necesaria por razones importantes de interés público
  5. La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones
  6. La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando la persona interesada esté física o jurídicamente incapacitada para dar su consentimiento
  7. La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta

Si no resultase aplicable ninguna de estas excepciones, solo se podrá llevar a cabo una transferencia si no es repetitiva, afecta solo a un número limitado de personas interesadas, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades de la persona interesada, y el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofrezca garantías apropiadas con respecto a la protección de datos personales.

En este supuesto el responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14 del RGPD, el responsable del tratamiento informará a la persona interesada de la transferencia y de los intereses legítimos imperiosos perseguidos.

El Comité Europeo de Protección de Datos ha elaborado unas Directrices sobre la aplicación de las excepciones.

 

¿Cuándo se necesita una autorización expresa de la Agencia Española de Protección de Datos?

Cuando el ofrecimiento de garantías adecuadas se realice mediante:

  1. Cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o subencargado, que no hayan sido adoptadas por la Comisión Europea o por la Agencia Española de Protección de Datos y aprobadas por la Comisión Europea
  2. Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para las personas interesadas

Las autorizaciones otorgadas por la Agencia Española de Protección de Datos previamente a la aplicación del RGPD seguirán siendo válidas como máximo hasta el 22 de septiembre de 2022.

Autorizaciones para la transferencia internacional de datos aprobadas por la AEPD en el marco del RGPD: TI-00001-2019-Resolución Autorización Comisión Nacional del Mercado de Valores (CNMV) – 14-05-2019

 

Normas Corporativas Vinculantes (BCR)

Las normas corporativas vinculantes (o BCR -Binding Corporate Rules- por sus siglas en inglés) son “las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”.

Los grupos empresariales son aquellos “constituidos por una empresa que ejerce el control y sus empresas controladas”.

Las normas corporativas vinculantes deberán cumplir los requisitos y contenidos establecidos en el artículo 47 del RGPD.

La autoridad de control competente las aprobará de conformidad con el mecanismo de coherencia establecido en el artículo 63 del RGPD. La autoridad de control competente se determinará con arreglo a criterios como:

  • La ubicación de la sede europea del grupo empresarial
  • La ubicación de la compañía del grupo empresarial que tenga la responsabilidad en protección de datos
  • La ubicación de la compañía del grupo mejor situada (en términos de gestión, carga administrativa) para tramitar la solicitud y obligar al cumplimiento de las normas corporativas vinculantes
  • Donde se tomen la mayoría de las decisiones sobre los fines y medios del tratamiento de datos, como las transferencias
  • El Estado miembro de la Unión Europea desde el que se realizan la mayoría de las transferencias internacionales

Los grupos empresariales interesados en la elaboración de normas corporativas vinculantes pueden solicitar información en la siguiente dirección de correo electrónico: sgpromocion.autorizaciones@aepd.es.

 

Normas corporativas vinculantes aprobadas por la AEPD:

TI-00001-2020-Resolución de Autorización GRUPO FUJIKURA AUTOMOTIVE EUROPE 11-03-20

TI-00002-2020-Resolución de Autorización GRUPO IBERDROLA 15-12-20

TI-00001-2021-Resolución de Aprobación BCR-RESPONSABLE GRUPO KUMON 26-02-21

TI-00002-2021-Resolución de Aprobación BCR-ENCARGADO GRUPO KUMON 26-02-21

TI-00003-2021-Resolución de Aprobación BCR-RESPONSABLE GRUPO COLT 16-08-21

TI-00004-2021-Resolución de Aprobación BCR-ENCARGADO GRUPO COLT 16-08-21

Enlaces a los documentos más relevantes para la elaboración de unas BCR

Modelo de solicitud de BCR de responsables

Modelo de solicitud de BCR de encargados

Procedimiento para la aprobación de BCR de responsables y encargados

Elementos y principios BCR de responsables

Elementos y principios BCR de encargados