Las transferencias internacionales de datos están sujetas a regulación desde que entró en vigor el RGPD en el año 2018.
Le presentamos la normativa que tanto empresas como autónomos tienen que cumplir para los casos en los que se vayan a realizar una transferencia internacional de datos personales de terceros bajo la normativa del RGPD.
Se entiende por transferencia internacional de datos a la transmisión de datos personales siempre que estos tengan como destino países que estén fuera del marco de la Unión Europea, que es donde tiene aplicación el RGPD, aprobado por el Parlamento Europeo.
En la Ley, se recogen dos conceptos, que pueden estar sujetos a confusión, aunque son distintos entre ellos:
- La transferencia internacional de datos personales. Qué es la que vamos a tratar en este artículo.
- La transferencia realizada de forma transfronteriza. Qué aunque traspase las fronteras de un determinado país, no se considera internacional siempre y cuando su destino sea un Estado miembro del Espacio Económico Europeo.
Tras esta introducción, entramos de lleno a analizar en qué consisten estas transferencias internacionales, como se llevan a cabo, cuáles son las motivaciones posibles y los participantes en el proceso.
Las transferencias de datos internacionales según el RGPD
En su artículo 44, el RGPD recoge que para que sea posible la realización de una transferencia internacional de los datos personales de un usuario, es necesario cumplir con lo dispuesto dentro del capítulo V de este mismo reglamento.
Por tanto, para poder llevarlo a cabo, el responsable del tratamiento de los datos tendrá la obligación de asegurarse de que se cumplen las siguientes condiciones:
- Que se trate de un país, que aunque sea externo a la Unión Europea, tenga aprobada por ésta, la condición de ser un lugar en el que se respeten las garantías con respecto a la protección de datos.
- Que se realicen las condiciones contractuales y de conducta adecuadas según la elaboración propia de la Comisión Europea.
- En el caso de traspaso de datos de forma internacional entre compañías de un mismo grupo. Estas deberán atender a las normas vinculantes y necesitarán la autorización previa de la autoridad competente en materia de control.
Cumplidos los requisitos comentados, es posible que se realice la transferencia de datos de manera internacional sin que sea necesaria una autorización previa de la Agencia Española de Protección de Datos.
Excepciones específicas
Cuando un caso en particular, quede fuera de las especificaciones anteriores, es posible acogerse a una serie de excepciones:
- En los casos en los que el interesado haya autorizado de forma expresa la transferencia.
- En los supuestos en los que esta transferencia de datos internacional sea necesaria para que se pueda producir la celebración de un contrato. Siempre que este haya sido acordado previamente entre el interesado y el responsable del tratamiento de los datos.
- Cuando se trate de una transferencia necesaria cuya motivación sea alguna razón en la que premia el interés público.
- Cuando se esté realizando de forma activa la defensa de los derechos del usuario en forma de formulario de reclamación.
- En los casos en los que la transferencia internacional de los datos sea realizada a través de un registro público.
Motivación y participantes en el proceso
Cuando hablamos de motivación en el campo legislativo, este término se refiere a las razones por las que se realiza una determinada acción. En este caso, existen diferentes motivos por los que una determinada organización o empresa puede requerir transferir datos personales de manera internacional. Los más comunes serían los siguientes:
- Por la necesidad de comunicar unos determinados datos personales a una empresa que se encuentre fuera de la UE.
- Cuando la sede principal de una empresa no esté situada dentro del Espacio Económico Europeo. Por tanto, esta transferencia sea necesaria y habitual en el proceso de tratamiento de los datos personales.
- En los casos de trabajo remoto de trabajadores que tengan fijada su residencia fuera de los límites fronterizos que marca la regulación.
- Cuando se realicen copias de seguridad que estén almacenadas en la nube o de manera descentralizada, (por lo que no tienen una sede física concreta).
En este proceso analizado para la transferencia de datos de terceros de forma internacional, participan principalmente dos actores.
Por una parte estarían los exportadores de estos datos, que pueden ser profesionales o empresas. Por otro, estarían los importadores, que también son personas físicas o jurídicas.
Si quieres saber más sobre como funciona este proceso y como incorporarlo a tu empresa, no dudes en contactar con nosotros a través de nuestro formulario de contacto.
