¡Pide presupuesto en 2 min! ✓
LOPDGDD & RGPD

Las transferencias internacionales de datos personales y el RGPD

8 Mins read

¿Realizas transferencias internacionales de datos personales en el desarrollo de tu actividad profesional?

Con total seguridad responderemos que no a esta pregunta, dado que los datos de carácter personal que manejamos no salen de nuestro ordenador. Como mucho, van a la gestoría o asesoría para que realice las nóminas de nuestros trabajadores, o nos lleve la contabilidad, pero siempre y por norma general, dentro del territorio europeo.

Ahora bien, hazte esta otra pregunta, ¿Realizas copias de seguridad en Google Drive o en Dropbox?

Si la respuesta es sí, debes tener claro que sí estaríamos ante una transferencia internacional de datos, y por ello, debes poner especial atención en  las cuestiones explicadas en este artículo.

Normativa aplicable a las transferencias internacionales

  • A nivel europeo, el RGPD
  • A nivel nacional:
  • BCR(BindingCorporate Rules) o normas vinculantes
  • Escudo de Privacidad entre la Unión Europea y Estados Unidos, conocido como Privacy Shield

¿Qué son las transferencias internacionales de datos?

La  transferencia internacional de datos consiste en la transmisión de datos de carácter personal fuera del Espacio Económico Europeo.

¿Qué sujetos participan?

Hay dos tipos de sujetos, los exportadores y los importadores de datos.

Son exportadores las personas que se encuentren en territorio europeo y realicen la transferencia internacional.

Por norma general, serán exportadores el responsable y el encargado del tratamiento.

Son importadores los destinatarios de los datos que se encuentren en un tercer país, fuera del Espacio Económico Europeo.

Podrían ser importadores de datos, los terceros ajenos, los encargados de tratamiento, los subencargados-en caso de haberlos- y también los responsables del tratamiento.

¿Por qué se realizan?

Los motivos pueden ser:

  • Comunicación de datos personales a un tercero
  • Que el tratamiento de datos se haga por cuenta del responsable
  • Que la sociedad matriz de un mismo grupo empresarial se sitúe fuera del territorio europeo y se requiera la transferencia de datos para las relaciones comerciales o para la gestión del área de Recursos Humanos
  • El acceso remoto a datos de trabajadores y clientes por una empresa que esté fuera de la UE
  • La realización de copias de seguridad en la nube, a través de plataformas como Google Drive o Dropbox

¿Necesito adaptarme a la LOPDGDD?

Cambios que se han introducido con el RGPD

Notificación de transferencia internacional de datos a la AEPD

Este requisito ya se recogía en la antigua LOPD.

El único cambio que se ha producido en el RGPD, es que ya no es necesario notificar a la AEPD las transferencias.

Órganos que determinan con que países se pueden realizar transferencias internacionales

Con la antigua normativa, los sujetos que tenían capacidad para determinar qué decisiones se consideraban adecuadas eran: la Comisión de la UE y el Director de la AEPD.

El RGPD, solamente otorga esa facultad a la Comisión de la UE.

Autorización por parte de la AEPD

Según la LOPDGDD, cuando se realicen transferencias que no garanticen una protección similar a la que se determina en la propia ley española,se necesita la autorización previa de la AEPD (autoridad de control).

Esta autorización solamente se otorgará cuando se hubiesen verificado las garantías adecuadas, y no será necesaria cuando:

  • Haya convenios o tratados donde España sea parte
  • Se haga en base al auxilio judicial internacional
  • Sea necesaria para la prevención o diagnóstico médico, asistencia sanitaria o gestión de servicios sanitarios
  • Sean transferencias dinerarias
  • Se haya obtenido el consentimiento expreso del titular de los datos
  • Se requiera para ejecutar un contrato
  • Sea exigida para salvaguardar un interés público
  • Si es necesaria para que se reconozca, ejerza o defienda un derecho en un proceso judicial
  • Se realice a petición de una persona con interés legítimo, desde un Registro Público, y con la misma finalidad
  • El país importador sea un Estado miembro de la UE o un Estado que garantice un nivel de protección adecuado

El RGPD coincide, en la exclusión de la autorización, en los mismos supuestos.

¿Cómo solicito autorización de la AEPD para realizar transferencias internacionales?

El sujeto que pretenda realizar la transferencia – el exportador- deberá dirigir la petición a la autoridad de control, en España, la AEPD. Este procedimiento se llevará a cabo a través de la LPACAP (Ley 3972015).

El plazo máximo con el que cuenta la AEPD para dictar y notificar la resolución, otorgando o denegando la autorización, es de 3 meses desde que se realiza la solicitud ante la agencia. Si transcurrido ese plazo no hay una resolución expresa, se entiende autorizada la transferencia internacional.

Las autorizaciones que se hubieran otorgado de forma previa al RGPD, son plenamente válidas.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




¿Cuándo se pueden realizar las transferencias internacionales de datos?

Las transferencias internacionales de datos personales, se realizan por tres motivos o circunstancias.

Países designados por la UE como seguros

Cuando los destinatarios de los datos personales estén en un territorio que la UE haya considerado con un nivel de protección adecuado.

Estos territorios son: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Isla Feroe, Andorra, Israel, Nueva Zelanda y EEUU (a través del acuerdo de Escudo de Privacidad)

Países que no hayan sido catalogados por la UE como seguros, pero que cuenten con unas medidas de seguridad razonables

Estos países no están en la lista anteriormente citada, pero cuentan con un nivel de protección similar y por ello, las transferencias internacionales se pueden realizar.

En cualquier caso, se debe garantizar que:

  • Se cuente con cláusulas tipo adoptadas por la Comisión o adoptadas por la AEPD y aprobadas por la Comisión Europea
  • Se pueda aportar la documentación necesaria que garantice que el responsable/encargado del tratamiento situado en el país objeto de la transferencia, cumple con las garantías adecuadas

Normas corporativas vinculantes o BCR

Las BCR o normas corporativas vinculantes, son las políticas que asume el responsable/encargado del tratamiento para poder realizar transferencias internacionales de los datos a países terceros.

La empresa redacta unas directrices siguiendo la normativa existente y las entrega en la autoridad de control para que las revise y apruebe.

Consiste en establecer unas políticas determinadas -que deben seguir las empresas que formen el grupo empresarial- para llevar a cabo las transferencias internacionales.

Suelen realizarse dentro de un mismo grupo empresarial o en un conjunto de empresas que se dedican a una actividad económica conjunta.

¿En qué casos deben ser aprobadas por la autoridad competente?

Estas normas deben ser aprobadas por la autoridad competente, en el caso de España, por la AEPD, cuando:

  • Vinculen jurídicamente a todos los miembros del grupo empresarial, así como a sus empleados
  • Otorguen a los interesados derechos exigibles en relación al tratamiento de sus datos personales

¿Qué contenido mínimo tienen que tener estas normas vinculantes?

Las normas corporativas vinculantes deben incluir:

  • Estructura y datos de contacto del grupo empresarial y de sus miembros
  • Categorías de datos, tipo de tratamiento, fines, interesados, países que recibirán la transferencia
  • Principios generales de protección de datos. Limitación de la finalidad, minimización de datos, tiempo de conservación, calidad de datos
  • El carácter jurídico, a nivel interno y externo
  • Ejercicio de los derechos ARCO de los interesados
  • Deber de información de los datos del responsable/encargado de tratamiento
  • Funciones del DPO
  • Procedimientos de reclamaciones
  • Mecanismos necesarios para comunicar a la AEPD las modificaciones, así como mecanismos de cooperación para garantizar el cumplimiento por los miembros del grupo empresarial

Situaciones determinadas

Hay excepciones para aquellos territorios que no han sido considerados como o seguros por la UE, y que tampoco tienen unas garantías similares a las de dichos países. Estas excepciones, son las siguientes:

  • Consentimiento expreso del interesado (titular de los datos)
  • Ejecución de un contrato entre el interesado y el responsable del tratamiento
  • Celebración o ejecución de un contrato en beneficio del interesado
  • Razones de interés público
  • El ejercicio o defensa de reclamaciones
  • Proteger los intereses vitales del interesado o de otras personas

Transferencia internacional de datos

Se entiende por transferencia internacional de datos como cualquier transmisión de datos de carácter personal que se envían fuera del territorio español.

Los requisitos para la transferencia internacional de datos se establecen en el Título VI de la LOPDGDD. Se establece que no se podrán transferir datos  a países que no proporcionen un nivel de datos equivalente al establecido en la LOPD.

Los requisitos generales para  poder llevar a cabo una transferencia de datos internacional son:

  • Cumplir con el deber de información y las obligaciones establecidas por la ley para la cesión de datos.
  • Notificar la transferencia internacional de datos a la Agencia Española de Protección de datos indicando el país de destino y el supuesto al que se acoge de las excepciones que se establecen en esta ley.
  • Una vez notificada la transferencia se podrá solicitar al Responsable del fichero que aporte la documentación necesaria para autorizar dicha transferencia para cumplir con el deber de información, consentimiento de los interesados, existencia de cláusulas contractuales para la cesión y acceso por cuenta de terceros.

Preguntas frecuentes de nuestros clientes

¿Por qué se puede considerar que el almacenamiento de datos en plataformas como Google Drive o Dropbox implica una transferencia internacional de datos personales?

La problemática principal con el cloud computing radica en que la sede de estas plataformas se encuentra, por norma general, fuera del Espacio Económico Europeo y por tanto escapan del abrigo del RGPD.

¿Qué es el Safe Harbor o Puerto Seguro?

Hasta el año 2015 estuvo en vigor el acuerdo de Puerto Seguro donde se regulaba la relación que tenía Estados Unidos con Europa en cuanto a privacidad y protección de datos.

Este acuerdo fue analizado por el TJUE (Tribunal de Justicia de la UE) a raíz del Caso Facebook, donde se resquebrajaron los principios y garantías de Puerto Seguro al probarse que en Estados Unidos prevalecía el interés público y la seguridad nacional ante la protección de datos.

Las empresas no podían asegurar que la protección de datos prevaleciese sobre cualquier otra materia.

Esto conllevaba que las autoridades estadounidenses pudiesen acceder -sin limitaciones- a las comunicaciones electrónicas o cualquier tratamiento realizado y transferido entre Estado Unidos y Europa, quedando los datos al descubierto y sin ninguna medida de seguridad.

¿Qué es el Privacy Shield o Escudo de Privacidad?

Invalidado el Safe Harbor, se requería que se dictase otro acuerdo para que las transferencias internacionales de datos fuesen terreno seguro.

Por ello surgió el Privacy Shield o Escudo de Privacidad, en el cual se regulan las relaciones entre EEUU y Europa en materia de transferencia de datos, dotándolas de las medidas necesarias para que cumpliesen con los requisitos necesarios en cuanto a protección de datos.

Podemos comprobar qué empresas se adhirieron al Escudo de Privacidad pinchando en el siguiente enlace.

El Parlamento Europeo – en el mes de julio- determinó que este acuerdo no cumplía con el RGPD, y por ello se debían realizar una serie de modificaciones.

¿Es seguro realizar transferencias internacionales de datos actualmente?

. Siempre que sea a los países considerados “seguros” por la Comisión Europea, o cuando se realice al resto de países, siempre y cuando estos garanticen las medidas de seguridad oportunas.

Problemas con las páginas web de Estados Unidos

Desde el pasado 25 de mayo –día de aplicación efectiva del RGPD- los problemas en materia de protección de datos entre la Unión Europea y los Estados Unidos quedaron reflejados, al no permitir –EEUU- el acceso a determinadas páginas por los ciudadanos que lo intentaron desde servidores europeos.

Dicha limitación sigue existiendo en la actualidad.

Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Related posts
InternetLOPDGDD & RGPD

Proctoring o cómo supervisar exámenes online

16 Mins read
Los métodos docentes están cambiando a pasos agigantados en los últimos años. La aparición de la enseñanza virtual permite que podamos adquirir…
EmpresaLOPDGDD & RGPD

Empresas de recobro y protección de datos. Conoce tus derechos

7 Mins read
¿Cuáles son los motivos por los que una empresa puede incluirnos en un ficheros de morosos? ¿Debe comunicarnos esa inclusión o pueden…
LOPDGDD & RGPD

¿Cómo tratar los datos personales de una persona fallecida?

10 Mins read
La protección y gestión de datos personales de personas fallecidas es un debate abierto en el mundo de la protección de datos….

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.