Transferencia internacional de datos a personas o entidades. Trasmisión de datos entre Estados miembros.


  • Materia:
  • Especialidad:
  • Número: 12546
  • Tipo de caso: Consulta
  • Voces: Comunicación o cesión de datos personales, Convenios y tratados internacionales, DATOS DE CARÁCTER PERSONAL, Protección de datos, Tratamiento de datos

SUMARIO

- DOCUMENTOS JURIDICOS DEL CASO

- EL CASO

- PROCEDIMIENTO JUDICIAL

  • Partes
  • Peticiones Realizadas
  • Argumentos
  • Normas y Artículos relacionados
  • Documental aportada
  • Prueba
  • Resolución judicial

- JURISPRUDENCIA

- FORMULARIOS JURIDICOS RELACIONADOS

- BIBLIOTECA

  • Libros
  • Artículos jurídicos

- CASOS RELACIONADOS

Documentos originales firmados por el cliente



Consulta


Supuesto de hecho. Cuestión planteada.
, 00-00-2021

Existen empresas con filial en el extranjero y también con proveedores, clientes o asesores en otros países.

En estos casos, se debe conocer cuando y como se puede realizar la transferencia internacional de datos a personas o entidades fuera de España.

El RGPD mantiene la anterior regulación de la LOPD: es posible remitir datos a terceros países que tengan reconocido un nivel adecuado de protección. Nivel decidido por la Comisión, la cual, publicará en el Diario Oficial de la unión Europea (DOUE), un listado de países donde se garantiza un nivel de protección adecuado.



Solución propuesta.

Indiscutiblemente, se podrán transmitir datos entre Estados Miembro, al pertenecer a la Unión Europea, donde se aplica por igual el RGPD.

También podremos enviar datos a terceros países fuera de la UE, cuando existan garantías adecuadas. ¿Pero qué debemos tener en cuenta? ¿Qué documentos hemos de redactar?

Requisitos:

  • Derechos ejercitables por el usuario.
  • Acciones legales efectivas
  • No requiere autorización en caso de que existan.

1.- Países con garantías adecuadas:

Como hemos visto, se pueden hacer transferencias de datos a terceros países que ofrezcan garantías adecuadas de seguridad.

Garantías adecuadas que no necesitan autorización de la Comisión:

  • Instrumento jurídicamente vinculante y exigible entre organismos públicos.
  • Normas corporativas vinculantes (BCR “Binding Corporate Rules”).
  • Cláusulas tipo de protección de datos adoptadas por la Comisión o por una autoridad de control.
  • Código de conducta o Mecanismos de certificación.

Garantías adecuadas que necesitan autorización:

  • Cláusulas contractuales entre las partes.
  • Disposiciones entre órganos públicos.

En este capítulo, trataremos de especial manera a las normas BCR, estableciendo un modelo de redacción a seguir por las empresas.

No necesitan autorización, pero si ser aprobadas por la autoridad de control.

2.- Binding Corporate Rules (BCR).

Son una serie de normas (como un Código de Conducta) que establecen las empresas multinacionales que regulan la forma y protección en las transferencias de datos personales que realicen a otros estados fuera de la UE que no tengan reconocido un nivel adecuado de seguridad.

Estas normas son obligatorias para todo el grupo empresarial, todos los empleados hasta las más altas escalas.

Son un marco para el cumplimiento de la privacidad corporativa constituido por:

  • Contrato vinculante
  • Procesos y
  • Políticas comerciales
  • Formación y directrices que han sido aprobados por las autoridades de protección de datos de la mayor parte de los estados miembros de la UE.

Gracias a esta aprobación, su empresa, podrá remitir los datos personales de sus clientes, proveedores empleados y clientes europeos a las filiales del grupo que no cuenten con nivel adecuado de protección o autorización de la Comisión.

3.- Redacción y contenido de BCR:

  • Estructura del Grupo y datos de contacto de todos sus miembros.
  • Transferencias, datos, afectados, tratamientos, fines, destino, etcétera.
  • Carácter jurídicamente vinculante.
  • Principios de la protección de datos
  • Derechos y medios para ejercerlos en UE.
  • Aceptación de la responsabilidad por actuación fuera de la Unión Europea.
  • Modo de informar de las BCR a los titulares.
  • Funciones del DPO en relación a las BCR.
  • Medios de reclamación.
  • Mecanismos para garantizar la verificación del cumplimiento.
  • Procedimiento para su modificación y comunicación.
  • Mecanismos de cooperación e información a las autoridades de control.
  • Formación de los empleados.

Control de cada tipo de transferencia

a) Transferencia basada en una decisión de adecuación (art. 45):

  • Comprobar que el país destino tiene consideración de país que garantiza un nivel adecuado de protección, según la Comisión.
  • Verificar que las garantías siguen siendo válidas y vigentes.
  • No es necesaria autorización.

b)  Transferencia mediante garantías adecuadas (art. 46)

 Comprobar que el tercer país u organización internacional hubieran ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

c)  Transferencias no autorizadas por el Derecho de la Unión

Comprobar si la transferencia se realiza en virtud de una sentencia de tercer país.

Analizar, si existe acuerdo internacional para que sea válida.

d) Excepciones.

  • Comprobar que se cumple alguna de las condiciones siguientes:
  • Consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgo
  • La transferencia sea necesaria para la ejecución de un contrato;
  • La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado.
  • La transferencia sea necesaria por razones importantes de interés público;
  • La transferencia sea necesaria para la formulación de reclamaciones;
  • La transferencia sea necesaria para proteger los intereses vitales.
  • La transferencia se realice desde un registro público.
Cantidad de casos completos visualizados en el mes: