background

Requisitos de transferencia de datos

  • gdprangle-right
  • Requisitos de transferencia de datos

Como resultado de la expansión del comercio y la colaboración internacionales debido a la globalización, una cantidad cada vez mayor de datos personales se está transfiriendo hacia y desde países fuera de la UE y organizaciones internacionales.

Esto ha planteado desafíos y preocupaciones sobre cómo se protegen esos datos durante y después de la transferencia.

Para mantener el nivel de protección de datos asegurado por el GDPR para los residentes de la UE, esta regulación incluye condiciones estrictas para transferir datos personales fuera de la UE o del Espacio Económico Europeo (EEE).

Requisitos de transferencia de datos

En los casos en que los datos personales se transfieran fuera de la UE o del EEE, el GDPR requiere que las organizaciones relevantes (es decir, las organizaciones importadoras y exportadoras de datos) adopten salvaguardias de protección de datos adecuadas que incluyan medidas técnicas y organizativas.

Las transferencias de datos están permitidas si la Comisión Europea (CE) ha tomado una decisión de adecuación sobre el país donde se encuentra el receptor. Eso significa que la CE revisó las leyes y regulaciones del estado no perteneciente a la UE y determinó que proporcionaban un nivel adecuado de protección de datos personales.

En ausencia de una decisión de adecuación, las transferencias de datos están permitidas a estados no pertenecientes a la UE en los siguientes casos:

  • La transferencia está cubierta por las salvaguardias adecuadas enumeradas en el Artículo 46 del GDPR
  • Se ha informado al sujeto de los datos de los posibles riesgos y se tiene su consentimiento explícito
  • La transferencia de datos es necesaria para cumplir con obligaciones contractuales con el sujeto de los datos
  • La transferencia de datos es de interés público o protegerá los intereses vitales de una persona
  • La transferencia de datos es necesaria para establecer o defender un reclamo legal
  • La transferencia se realiza desde un registro público
  • Es una transferencia única que está en su interés legítimo

Ejemplo

Si los datos protegidos por el GDPR se transfieren a países fuera de la UE y/o se almacenan allí, las reglas que protegen esos datos continúan aplicándose. Esta es una de las razones por las que esta legislación puede impactar a empresas de todo el mundo, a pesar de que su alcance esté limitado a los datos personales de los residentes de la UE.

Echemos un vistazo a un ejemplo de una empresa que debe cumplir con los requisitos de transferencia de datos del GDPR a continuación. Esto se basa en un ejemplo publicado por la CE.

Una empresa con sede en Francia está planeando expandir sus servicios a Argentina, Uruguay y Brasil. Tanto Argentina como Uruguay han sido declarados adecuados por la CE. Brasil no ha sido objeto de una decisión de adecuación. ¿Cómo puede la empresa francesa transferir a las tres empresas cumpliendo con los requisitos de transferencia de datos del GDPR?

La empresa francesa podría transferir datos personales a Argentina y Uruguay sin salvaguardias adicionales porque han sido declarados adecuados. Sin embargo, para transferir datos a Brasil, la empresa tendría que proporcionar las salvaguardias adecuadas, como reglas corporativas vinculantes o acuerdos que contengan cláusulas contractuales que aseguren que se implementan salvaguardias organizativas y técnicas.

Preguntas frecuentes

¿Qué constituye una transferencia de datos bajo el GDPR?

Según el RGPD, un procesamiento de datos personales constituye una transferencia de datos a un tercer país (es decir, un país fuera del EEE) o una organización internacional si cumple con los siguientes tres criterios:

  • El controlador o procesador de datos (o "exportador de datos") está sujeto al RGPD para el procesamiento dado.
  • El "exportador de datos" transmite o de otro modo pone los datos personales a disposición de un “importador de datos”.
  • El “importador” está en un tercer país fuera del EEE, o es una organización internacional.

¿Qué significa la decisión de adecuación?

Una decisión de adecuación significa que un tercer país ha sido declarado por la Comisión Europea como que ofrece un nivel de protección de datos personales equivalente al de la UE, por lo que un exportador de datos puede transferir datos a una empresa en ese país sin necesidad de adoptar medidas adicionales de protección de datos o estar sujeto a condiciones adicionales.

¿Puede transferir datos fuera de la UE según el RGPD?

Sí, pero solo si la CE ha tomado una decisión de adecuación sobre el país en el que se encuentra el receptor o si coincide con uno de los siguientes casos:

  • La transferencia está cubierta por las garantías adecuadas enumeradas en el Artículo 46 del RGPD
  • Ha informado al titular de los datos de los posibles riesgos y tiene su consentimiento explícito
  • La transferencia de datos es necesaria para cumplir con obligaciones contractuales con el titular de los datos
  • La transferencia de datos es de interés público o protegerá los intereses vitales de una persona
  • La transferencia de datos es necesaria para establecer o defender una reclamación legal
  • La transferencia se realiza desde un registro público
  • Es una transferencia única que está en su interés legítimo
angle-rightRequisitos para Responsables del Tratamiento y Encargados del Tratamiento de Datos
Loading...