Destinatario declarado de nivel adecuado por la Comisión Europea

LOS DESTINATARIOS DE LOS DATOS SE ENCUENTREN EN UN PAÍS, UN TERRITORIO O UNO O VARIOS SECTORES ESPECÍFICOS DE ESE PAÍS U ORGANIZACIÓN INTERNACIONAL QUE HAYA SIDO DECLARADO DE NIVEL DE PROTECCIÓN ADECUADO POR LA COMISIÓN EUROPEA. HASTA LA FECHA LOS PAÍSES Y TERRITORIOS ESTÁN DECLARADOS COMO ADECUADOS:

  • Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000
  • Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos
  • Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003
  • Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003
  • Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004
  • Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008
  • Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010
  • Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010
  • Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011 
  • Uruguay. Decisión 2012/484/UE, de la Comisión de 21 de agosto de 2012.
  • Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012
  • Estados Unidos. Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016.

En la página web del Escudo de privacidad se accede a la relación de las entidades certificadas.

El Escudo de Privacidad ofrece una serie de derechos y obliga a las empresas a proteger los datos personales de modo acorde con los "Principios de privacidad". Consulte los siguientes materiales:

A falta de decisión de adecuación, con las siguientes garantías

a) Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos

b) Normas corporativas vinculantes

c) Cláusulas tipo de protección de datos adoptadas por la Comisión que siguen siendo válidas

d) Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión

e) Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados

f) Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

A falta de decisión de adecuación y de garantías

A FALTA DE DECISIÓN DE ADECUACIÓN Y DE GARANTÍAS ADECUADAS ÚNICAMENTE SE PODRÁN REALIZAR SI SE CUMPLE ALGUNA DE LAS CONDICIONES SIGUIENTES:

  • a) El interesado haya dado explícitamente su consentimiento
  • b) La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado
  • c) La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica
  • d) La transferencia sea necesaria por razones importantes de interés público
  • e) La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones
  • f) La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento
  • g) La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Cuando tampoco sea aplicable ninguna de estas excepciones, solo se podrá llevar a cabo una transferencia si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofrezca garantías apropiadas con respecto a la protección de datos personales.

En este supuesto el responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14 del RGPD, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos.

Cuándo se necesita una autorización expresa

SE NECESITARÁ  AUTORIZACIÓN EXPRESA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS CUANDO LAS  GARANTÍAS ADECUADAS SE APORTEN MEDIANTE:

  • a) cláusulas contractuales entre el responsable o el encargado y el responsable, y el encargado y subencargado,  que no hayan sido adoptadas por la Comisión Europea o
  • b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

Las autorizaciones otorgadas por la Agencia Española de Protección de Datos previamente a la aplicación del RGPD seguirán siendo válidas.

Normas corporativas vinculantes (BCR)

Las normas corporativas vinculantes (o BCR por sus siglas en inglés) son “ las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”.

Los grupos empresariales son aquellos“ constituidos por una empresa que ejerce el control y sus empresas controladas”.

La autoridad de control competente aprobará normas corporativas vinculantes (más conocidas por sus siglas en inglés BCR -Binding Corporate Rules-) de conformidad con el mecanismo de coherencia establecido en el artículo 63 del RGPD.

Los grupos empresariales interesados en la elaboración de normas corporativas vinculantes pueden solicitar información en la siguiente dirección de correo electrónico: rgpd@agpd.es.

Enlaces a los documentos más relevantes para la elaboración de unas BCR