GDPR 15. Transferències internacionals de dades


Josep Aragonés Salvat     09/09/2016

El Reglament dedica tot el capítol V a les "Transferències de dades personals a tercers països o organitzacions internacionals" i les defineix com el traspàs de dades personals a Responsables, Encarregats o Destinataris de tercers països o organitzacions internacionals no establerts a la UE.

Les transferències suposen un flux de dades personals des de qualsevol territori de la UE a destinataris establerts en països fora de l'Espai Econòmic Europeu (els països de la UE més Liechtenstein, Islàndia i Noruega):

Alemanya, Àustria, Bèlgica, Bulgària, Txèquia, Xipre, Croàcia, Dinamarca, Eslovàquia, Eslovènia, Espanya, Estònia, Finlàndia, França, Grècia, Hongria, Irlanda, Itàlia, Islàndia, Letònia, Liechtenstein, Lituània, Luxemburg, Malta, Noruega, Països Baixos, Polònia, Portugal, Romania i Suècia.


Una Organització internacional queda definida a l'article 4, apartat 26 com un organisme internacional i els seus ens subordinats creat mitjançant un acord entre dos o més països.

El GDPR disposa que només es podran realitzar transferències internacionals de dades si el Responsable o l'Eencarregat del tractament poden assegurar que el nivell de protecció de dades està garantit mitjançant:

  • Decisió d'adequació presa per la Comissió de la UE.
  • Garanties adequades de protecció de dades.


En qualsevol cas, s'haurà de subscriure el corresponent contracte amb el receptor de dades, sigui Destinatari de dades o Encarregat del tractament, especificant en el mateix les garanties apropiades de protecció de dades en què es basa la transferència.

Decisió d'adequació


Es poden realitzar transferències internacionals sense requerir cap autorització específica quan la Comissió de la UE hagi pres una decisió d'adequació en relació amb el tercer país o un territori o un sector especificat d'aquest, o amb una organització internacional.

Una decisió d'adequació és una resolució adoptada per la Comissió que garanteix que la transferència internacional de dades posseeix un nivell de protecció suficient. La Comissió podrà derogar, modificar o suspendre qualsevol decisió d'adequació sense efecte retroactiu.

En l'actualitat, els països que tenen una decisió d'adequació són: Andorra, Argentina, Canadà, Guernsey, Illa de Man, Illes Fèroe, Israel, Japó, Jersey, Nova Zelanda, Regne Unit, Suïssa i Uruguai.

La Comissió de la UE també pot formalitzar acords d'adequació específics i vinculants entre la UE i altres tercers països que ofereixin garanties adequades de protecció de dades i de l'exercici dels drets dels interessats. L'Escut de Privacitat (Privacy Shield) entre la UE i els EUA, aprovat per la Comissió el 12 de juliol de 2016, és un exemple de decisió que posteriorment va quedar invalidada pel Tribunal de Justícia de la Unió Europea (TJUE) el 17 de juliol de 2020.

Es pot consultar la llista actualitzada de països amb una decisió d'adequació a: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales.

Garanties adequades


En absència d'una decisió d'adequació, només es podran realitzar transferències internacionals a tercers països que ofereixin garanties adequades de protecció de dades i que disposin de recursos legals per exercir els drets dels interessats. Aquestes garanties han de ser demostrades mitjançant:

Garanties aprovades per l'Autoritat de control:

  • Acords jurídicament vinculants i executius entre Autoritats o Organismes públics.
  • Clàusules contractuals tipus de protecció de dades amb el Responsable, Encarregat o Destinatari dels tercers països o organitzacions internacionals
  • Pertinença a un grup d'empreses amb normes corporatives vinculants aprovades per l'Autoritat de control.
  • Adhesió a un codi de conducta aprovat per l'Autoritat de control.
  • Possessió d'un certificat, segell o marca de protecció de dades expedit per un Organisme de certificació acreditat.
  • Autorització específica de l'Autoritat de control obtinguda mitjançant la presentació d'una sol·licitud per a realitzar la transferència internacional (LOPD).


Per interès de l'interessat

  • L'interessat doni explícitament el seu consentiment, després d'haver estat informat fefaentment dels riscos deguts a l'absència de garanties adequades de protecció de dades.
  • Sigui necessari per a l'execució d'un contracte o precontracte entre el Responsable i l'interessat.
  • Sigui necessari per a l'execució d'un contracte per interès de l'interessat, entre el Responsable i una altra persona física o jurídica.
  • Sigui necessari per protegir els interessos vitals de la persona interessada o altres persones, quan estigui físicament o jurídicament incapacitat per donar el seu consentiment.

Alguns exemples de transferències internacionals de dades per interès de l'interessat poden ser els serveis al núvol (Internet), les assegurances de viatge, els tractaments mèdics en països fora de la UE, etc.


Per interès legítim i imperiós del Responsable o Encarregat del tractament

Les transferències internacionals podran ser lícites per un interès legítim i imperiós del Responsable o l'Encarregat del tractament, sempre que es compleixin totes les condicions següents:

  • La transferència no sigui repetitiva i afecti un nombre limitat d'interessats.
  • L'interès legítim del Responsable no quedi anul·lat pels interessos o drets i llibertats de la persona interessada.
  • Es realitzi una avaluació d'impacte i s'hagin posat en pràctica les garanties adequades de protecció.


Per interès públic

Les transferències internacionals també poden ser lícites quan es realitzen per motius importants i legítims d'interès públic, quan:

  • Sigui necessari per al reconeixement, exercici o defensa d'un dret en un procediment judicial.
  • Es realitzi des d'un registre públic legal que tingui per objecte facilitar informació al públic en general o a qualsevol persona que pugui acreditar un interès legítim i no impliqui la consulta de la totalitat de les dades personals o de les categories de dades.

Obligacions en transferències internacionals de dades

  • Registre de les activitats del tractament (article 30, apartat 1.e)

El Responsable o Encarregat del tractament tindran l'obligació de portar i conservar actualitzat un Registre de les activitats del tractament quan:

  • Doni feina a un mínim de 250 persones
  • Pugui suposar un risc per als drets i llibertats de la persona interessada i no tingui un caràcter ocasional
  • Es tracten categories especials de dades
  • Es tracten dades relatives a condemnes i delictes penals


El Registre d'activitats haurà de contenir, entre altra informació, la identificació de les transferències internacionals de dades a tercers països o a organitzacions internacionals amb documentació de les garanties adequades de protecció que s'hagin adoptat.

  • Informació i comunicació als interessats (article 13, apartat 1.f)

El Responsable del tractament ha d'informar l'interessat de la intenció de fer transferències internacionals, detallant l'existència o absència d'una decisió d'adequació amb una referència a les garanties adequades i als mitjans per a obtenir còpia d'elles o al moment en què s'hagin facilitat les mateixes.

  • Exercici dels drets dels interessats (article 15, apartat 2)

Quan hi hagi una comunicació de dades a un Destinatari ubicat fora de la UE, el Responsable del tractament possibilitarà i donarà curs a l'exercici del dret d'accés informant l'interessat dels Destinataris o categories de destinataris internacionals.

Quan hi hagi un encàrrec del tractament a una organització situada fora de la UE, el Responsable del tractament possibilitarà i donarà curs a l'exercici del dret d'accés informant de les garanties adequades de protecció de dades aplicades.

Seguiment del curs Expert en el GDPR


Tema anterior: 14. Tractament amb alt risc: L'avaluació d'impacte Tema següent: 16. Elaboració de perfils



Informació relacionada