Legitimació per a realitzar transferències internacionals de dades
Josep Aragonés Salvat 26/07/2020
Les transferències internacionals de dades personals (TI) estan regulades al Capítol V del GDPR (art. 44 a 50) i al Títol VI de la LOPDGDD (art. 40 a 43).
Les TI suposen un flux de dades personals des de qualsevol territori de la UE a destinataris establerts en països fora de l'Espai Econòmic Europeu (els països de la UE més Liechtenstein, Islàndia i Noruega).
Alemanya |
Croàcia |
Finlàndia |
Islàndia |
Noruega |
Àustria |
Dinamarca |
França |
Letònia |
Països Baixos |
Bèlgica |
Eslovàquia |
Grècia |
Liechtenstein |
Polònia |
Bulgària |
Eslovènia |
Hongria |
Lituània |
Portugal |
Txèquia |
Espanya |
Irlanda |
Luxemburg |
Romania |
Xipre |
Estònia |
Itàlia |
Malta |
Suècia |
El Regne Unit ha de seguir aplicant el dret de la UE fins que l'Acord de retirada de la UE es faci efectiu, previst per al 01/01/2021, de manera que el flux de dades a aquest país no es considerarà TI fins llavors.
LEGITIMACIÓ PER A REALITZAR TI
Els responsables (RT) o encarregats (ET) del tractament poden realitzar TI a països o organitzacions internacionals sempre que, a reserva de les altres disposicions del GDPR, asseguren un nivell adequat de protecció de les persones físiques mitjançant algun dels següents mecanismes:
- Decisió d'adequació de la Comissió UE (art. 45 GDPR).
- Garanties adequades (art. 46 GDPR).
- Excepcions per a situacions específiques (art. 49 GDPR):
3.1. Per interès de l'interessat.
3.2. Per interès legítim i imperiós del RT o ET.
3.3. Per motius importants i legítims d'interès públic.
1. DECISIÓ D'ADEQUACIÓ DE LA COMISSIÓ UE (art. 45 GDPR)
Les decisions d'adequació són declaracions adoptades per la Comissió de la UE que garanteixen un nivell de protecció suficient per realitzar TI i que no requereixen cap autorització específica per a això:
Els països que posseeixen una decisió d'adequació son:
Suïssa |
Guernsey |
Illes Fèroe |
Uruguai |
Canadà |
Illa de Man |
Andorra |
Nova Zelanda |
Argentina |
Jersey |
Israel |
Japó |
Estats Units (Privacy Shield), aquesta decisió ha estat invalidada pel Tribunal de Justícia de la Unió Europea (TJUE) el 17 de juliol de 2020, per la qual cosa no es podrà acollir-hi per fer TI.
- Es pot consultar la llista actualitzada de països amb una decisió d'adequació a:
https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales
- Es pot consultar la llista actualitzada d'empreses adherides a Privacy Shield a:
https://www.privacyshield.gov/list.
2. GARANTIES ADEQUADES (art. 46 GDPR)
Només es podrà transmetre dades personals a un tercer país o organització internacional si hagués ofert garanties adequades i amb la condició que els interessats compten amb drets exigibles i accions legals efectives, mitjançant:
- Clàusules contractuals tipus de protecció de dades adoptades per la Comissió UE. Segueixen sent vàlides:
- Clàusules contractuals tipus de protecció de dades adoptades per l'Autoritat de control.
- Possessió d'un certificat, segell o marca de protecció aprovats per l'Autoritat de control.
- Adhesió a un codi de conducta aprovat per l'Autoritat de control.
- Adhesió a normes corporatives vinculants d'un grup d'empreses o unió d'empreses.
- Instruments jurídicament vinculants i exigibles entre les autoritats o organismes públics.
- Autorització específica de l'Autoritat de control mitjançant:
- Clàusules contractuals entre el RT/ET i el RT, o entre l'ET i SubET, que no hagin estat adoptades per la Comissió EU.
- Disposicions que s'incorporin a acords administratius entre les autoritats o organismes públics que incloguin drets efectius i exigibles per als interessats.
3. EXCEPCIONS PER A SITUACIONS ESPECÍFIQUES (ART. 49 GDPR)
A falta de decisió d'adequació i de garanties adequades, únicament es podran realitzar TI si es compleix alguna de les condicions següents.
3.1. PER INTERÈS DE L'INTERESSAT
Quan es compleix alguna de les condicions següents:
- Amb el consentiment explícit de l'interessat, després d'haver informat fefaentment dels riscos deguts a l'absència de garanties adequades.
- Quan sigui necessària per a l'execució d'un contracte entre l'interessat i el RT o per a l'execució de mesures precontractuals adoptades a sol·licitud de l'interessat.
- Quan sigui necessària per a l'execució d'un contracte en interès de la persona interessada, entre el RT i una altra persona física o jurídica.
- Quan sigui necessària per protegir els interessos vitals de la persona interessada o altres persones, sempre que estigui físicament o jurídicament incapacitada per donar el seu consentiment.
3.2. PER INTERÈS LEGÍTIM I IMPERIÓS DEL RT O ET
Quan al seu torn es compleixin totes les condicions:
- Es realitzi una avaluació de totes les circumstàncies concurrents i s'hagin implementat les garanties adequades de protecció.
- L'interès legítim de l'RT no quedi anul·lat pels interessos o drets i llibertats l'interessat.
- La TI no sigui repetitiva i afecti un nombre limitat d'interessats.
- S'hagi informat prèviament a l'autoritat de control competent.
- S'informi als interessats, a més del requerit als art. 13 i 14 GDPR, dels interessos legítims imperiosos perseguits.
3.3 PER MOTIUS IMPORTANTS I LEGÍTIMS D'INTERÈS PÚBLIC
Quan es compleixi alguna de les següents condicions:
- Sigui necessari per al reconeixement, exercici o defensa d'un dret en un procediment judicial.
- Es realitzi des d'un registre públic legal que tingui per objecte facilitar informació a el públic en general o a qualsevol persona que pugui acreditar un interès legítim i no impliqui la consulta de la totalitat de les dades personals o de categories de dades.
INFORMACIÓ RELACIONADA
AEPD: Transferències internacionals:
https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales