Transferencias internacionales de datos personales

AutorAlberto Palomar (Magistrado de lo contencioso-administrativo) y Javier Fuertes (Magistrado)

Son transferencias internacionales de datos personales las efectuadas por responsables o encargados del tratamiento de datos (sometidos al Reglamento 2016/679/UE, de 27 de abril ) a terceros países (estados no miembros de la Unión Europea) y organizaciones internacionales.

Existen una serie de requisitos que se han de cumplir para la transferencia a un tercer país u organización internacional de datos personales objeto de tratamiento.

Contenido
  • 1 Concepto y regla general de las transferencias internacionales de datos personales
  • 2 Supuestos de transferencias internacionales de datos personales
    • 2.1 Transferencias basadas en una decisión de adecuación
    • 2.2 Transferencias mediante garantías adecuadas
    • 2.3 Normas corporativas vinculantes
    • 2.4 Transferencias o comunicaciones no autorizadas por el Derecho de la Unión
    • 2.5 Excepciones para situaciones específicas
  • 3 Ver también
  • 4 Recursos adicionales
    • 4.1 En doctrina
    • 4.2 En dosieres legislativos
  • 5 Legislación básica
  • 6 Legislación citada
  • 7 Jurisprudencia citada
Concepto y regla general de las transferencias internacionales de datos personales

Son transferencias internacionales de datos las efectuadas por responsables o encargados del tratamiento de datos (sometidos al Reglamento 2016/679/UE, de 27 de abril ) a terceros países (estados no miembros de la Unión Europea) y organizaciones internacionales.

El art. 4.26 del Reglamento 2016/679/UE, de 27 de abril define “organización internacional” de la siguiente manera:

Una organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.

El art. 44 del Reglamento 2016/679/UE, de 27 de abril establece, con el fin de asegurar que el nivel de protección de las personas físicas garantizado por el Reglamento no se vea menoscabado:

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas para ello.
Supuestos de transferencias internacionales de datos personales Transferencias basadas en una decisión de adecuación

Podrá realizarse una transferencia internacional de datos personales cuando la Comisión haya decidido (“decisión de adecuación”) que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado.

Es verdad que el término «adecuado» que figura en el art. 25, apartado 6 , de la Directiva 95/46 (derogada por el Reglamento 2016/679/UE, de 27 de abril ) significa que no cabe exigir que un tercer país garantice un nivel de protección idéntico al garantizado en el ordenamiento jurídico de la Unión. Sin embargo, como ha manifestado el Abogado General en el punto 141 de sus conclusiones, debe entenderse la expresión «nivel de protección adecuado» en el sentido de que exige que ese tercer país garantice efectivamente, por su legislación interna o sus compromisos internacionales, un nivel de protección de las libertades y derechos fundamentales sustancialmente equivalente al garantizado en la Unión por la Directiva 95/46 (derogada por el Reglamento 2016/679/UE, de 27 de abril ), entendida a la luz de la Carta. En efecto, a falta de esa exigencia el objetivo mencionado en el anterior apartado de la presente sentencia se frustraría. Además, el elevado nivel de protección garantizado por la Directiva 95/46 (derogada por el Reglamento 2016/679/UE, de 27 de abril ) entendida a la luz de la Carta se podría eludir fácilmente con transferencias de datos personales desde la Unión a terceros países para su tratamiento en éstos (Sentencia del TJUE de 6 de octubre de 2015, asunto C-362/14, Considerando 73 [j 1]).

Este tipo de transferencia internacional de datos personales no requerirá ninguna autorización específica ( art. 45.1 del Reglamento 2016/679/UE, de 27 de abril ). El art. 45.4 dispone:

La Comisión supervisará de manera continuada los acontecimientos en países terceros y organizaciones internacionales que puedan afectar a la efectiva aplicación de las decisiones adoptadas con arreglo al apartado 3 del presente art. y de las decisiones adoptadas sobre la base del art. 25, apartado 6 , de la Directiva 95/46/CE (derogada por el Reglamento 2016/679/UE, de 27 de abril ).

La Comisión publicará en el Diario Oficial de la Unión Europea y en su página web una lista de terceros países, territorios y sectores específicos en un tercer país, y organizaciones internacionales respecto de los cuales haya decidido que se garantiza, o ya no, un nivel de protección adecuado ( art. 45.8 del Reglamento 2016/679/UE, de 27 de abril ).

Transferencias mediante garantías adecuadas

En el caso de que no exista decisión de adecuación, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas( art. 46.1 del Reglamento 2016/679/UE, de 27 de abril ).

La transferencia internacional de datos personales puede requerir, en su caso, autorización expresa de la autoridad de control.

Supuestos que no requieren de autorización

No requieren ninguna autorización expresa de una autoridad de control cuando el responsable o encargado aporten las garantías adecuadas por ( art. 46.2 del Reglamento 2016/679/UE, de 27 de abril ):

a) un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;

b) normas corporativas vinculantes de conformidad con el art. 47 ;

c) cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el art. 93, apartado 2 ;

d) cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el art. 93, apartado 2 ;

e) un código de conducta aprobado con arreglo al art. 40 , junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o

f) un mecanismo de certificación aprobado con arreglo al art. 42 , junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.

Supuestos que requieren de autorización

Siempre que exista autorización de la autoridad de control competente, las garantías...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR