Legitimació per a realitzar transferències internacionals de dades


Josep Aragonés Salvat     26/07/2020

Les transferències internacionals de dades personals (TI) estan regulades al Capítol V del GDPR (art. 44 a 50) i al Títol VI de la LOPDGDD (art. 40 a 43).

Les TI suposen un flux de dades personals des de qualsevol territori de la UE a destinataris establerts en països fora de l'Espai Econòmic Europeu (els països de la UE més Liechtenstein, Islàndia i Noruega).

Alemanya Croàcia Finlàndia Islàndia Noruega
Àustria Dinamarca França Letònia Països Baixos
Bèlgica Eslovàquia Grècia Liechtenstein Polònia
Bulgària Eslovènia Hongria Lituània Portugal
Txèquia Espanya Irlanda Luxemburg Romania
Xipre Estònia Itàlia Malta Suècia

El Regne Unit ha de seguir aplicant el dret de la UE fins que l'Acord de retirada de la UE es faci efectiu, previst per al 01/01/2021, de manera que el flux de dades a aquest país no es considerarà TI fins llavors.

LEGITIMACIÓ PER A REALITZAR TI

Els responsables (RT) o encarregats (ET) del tractament poden realitzar TI a països o organitzacions internacionals sempre que, a reserva de les altres disposicions del GDPR, asseguren un nivell adequat de protecció de les persones físiques mitjançant algun dels següents mecanismes:

  1. Decisió d'adequació de la Comissió UE (art. 45 GDPR).
  2. Garanties adequades (art. 46 GDPR).
  3. Excepcions per a situacions específiques (art. 49 GDPR):

3.1. Per interès de l'interessat.

3.2. Per interès legítim i imperiós del RT o ET.

3.3. Per motius importants i legítims d'interès públic.

1. DECISIÓ D'ADEQUACIÓ DE LA COMISSIÓ UE (art. 45 GDPR)

Les decisions d'adequació són declaracions adoptades per la Comissió de la UE que garanteixen un nivell de protecció suficient per realitzar TI i que no requereixen cap autorització específica per a això:

Els països que posseeixen una decisió d'adequació son:

Suïssa Guernsey Illes Fèroe Uruguai
Canadà Illa de Man Andorra Nova Zelanda
Argentina Jersey Israel Japó

Estats Units (Privacy Shield), aquesta decisió ha estat invalidada pel Tribunal de Justícia de la Unió Europea (TJUE) el 17 de juliol de 2020, per la qual cosa no es podrà acollir-hi per fer TI.

  • Es pot consultar la llista actualitzada de països amb una decisió d'adequació a:

https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales

  • Es pot consultar la llista actualitzada d'empreses adherides a Privacy Shield a:

https://www.privacyshield.gov/list.

2. GARANTIES ADEQUADES (art. 46 GDPR)

Només es podrà transmetre dades personals a un tercer país o organització internacional si hagués ofert garanties adequades i amb la condició que els interessats compten amb drets exigibles i accions legals efectives, mitjançant:

  • Clàusules contractuals tipus de protecció de dades adoptades per la Comissió UE. Segueixen sent vàlides:
  • Clàusules contractuals tipus de protecció de dades adoptades per l'Autoritat de control.
  • Possessió d'un certificat, segell o marca de protecció aprovats per l'Autoritat de control.
  • Adhesió a un codi de conducta aprovat per l'Autoritat de control.
  • Adhesió a normes corporatives vinculants d'un grup d'empreses o unió d'empreses.
  • Instruments jurídicament vinculants i exigibles entre les autoritats o organismes públics.
  • Autorització específica de l'Autoritat de control mitjançant:
    • Clàusules contractuals entre el RT/ET i el RT, o entre l'ET i SubET, que no hagin estat adoptades per la Comissió EU.
    • Disposicions que s'incorporin a acords administratius entre les autoritats o organismes públics que incloguin drets efectius i exigibles per als interessats.

3. EXCEPCIONS PER A SITUACIONS ESPECÍFIQUES (ART. 49 GDPR)

A falta de decisió d'adequació i de garanties adequades, únicament es podran realitzar TI si es compleix alguna de les condicions següents.

3.1. PER INTERÈS DE L'INTERESSAT

Quan es compleix alguna de les condicions següents:

  • Amb el consentiment explícit de l'interessat, després d'haver informat fefaentment dels riscos deguts a l'absència de garanties adequades.
  • Quan sigui necessària per a l'execució d'un contracte entre l'interessat i el RT o per a l'execució de mesures precontractuals adoptades a sol·licitud de l'interessat.
  • Quan sigui necessària per a l'execució d'un contracte en interès de la persona interessada, entre el RT i una altra persona física o jurídica.
  • Quan sigui necessària per protegir els interessos vitals de la persona interessada o altres persones, sempre que estigui físicament o jurídicament incapacitada per donar el seu consentiment.

3.2. PER INTERÈS LEGÍTIM I IMPERIÓS DEL RT O ET

Quan al seu torn es compleixin totes les condicions:

  • Es realitzi una avaluació de totes les circumstàncies concurrents i s'hagin implementat les garanties adequades de protecció.
  • L'interès legítim de l'RT no quedi anul·lat pels interessos o drets i llibertats l'interessat.
  • La TI no sigui repetitiva i afecti un nombre limitat d'interessats.
  • S'hagi informat prèviament a l'autoritat de control competent.
  • S'informi als interessats, a més del requerit als art. 13 i 14 GDPR, dels interessos legítims imperiosos perseguits.

3.3 PER MOTIUS IMPORTANTS I LEGÍTIMS D'INTERÈS PÚBLIC

Quan es compleixi alguna de les següents condicions:

  • Sigui necessari per al reconeixement, exercici o defensa d'un dret en un procediment judicial.
  • Es realitzi des d'un registre públic legal que tingui per objecte facilitar informació a el públic en general o a qualsevol persona que pugui acreditar un interès legítim i no impliqui la consulta de la totalitat de les dades personals o de categories de dades.

INFORMACIÓ RELACIONADA

AEPD: Transferències internacionals:

https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales