El Reglamento dedica todo el Capítulo V a las “Transferencias de datos personales a terceros países u organizaciones internacionales” y las define como el traspaso de datos personales a Responsables, Encargados o Destinatarios de terceros países u Organizaciones internacionales no establecidos en la UE.
Las transferencias suponen un flujo de datos personales desde cualquier territorio de la UE a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la UE más Liechtenstein, Islandia y Noruega):
Alemania, Austria, Bélgica, Bulgaria, Chequia, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Italia, Islandia, Letonia, Liechtenstein, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, Rumanía y Suecia.
Una Organización internacional queda definida en el artículo 4, apartado 26 como un organismo internacional y sus entes subordinados creado mediante un acuerdo entre dos o más países.
El GDPR dispone que solo se podrán realizar transferencias internacionales de datos si el Responsable o Encargado del tratamiento pueden asegurar que el nivel de protección de datos está garantizado mediante:
En cualquier caso, se deberá suscribir el correspondiente contrato con el receptor de datos, sea Destinatario de datos o Encargado del tratamiento, especificando en el mismo las garantías apropiadas de protección de datos en que se basa la transferencia.
Podrán realizarse transferencias internacionales sin requerir ninguna autorización específica cuando la Comisión de la UE haya tomado una decisión de adecuación en relación con el tercer país o un territorio o un sector especificado del mismo, o con una organización internacional.
Una decisión de adecuación es una resolución adoptada por la Comisión que garantiza que la transferencia internacional de datos posee un nivel de protección suficiente. La Comisión podrá derogar, modificar o suspender cualquier decisión de adecuación sin efecto retroactivo.
En la actualidad, los países que tienen una decisión de adecuación son: Andorra, Argentina, Canadá, Guernsey, Isla de Man, Islas Feroe, Israel, Japón, Jersey, Nueva Zelanda, Reino Unido, Suiza y Uruguay.
La Comisión de la UE también puede formalizar acuerdos de adecuación específicos y vinculantes entre la UE y otros terceros países que ofrezcan garantías adecuadas de protección de datos y del ejercicio de los derechos de los interesados. El Escudo de Privacidad (Privacy Shield) entre la UE y EEUU, aprobado por la Comisión el 12 de julio de 2016, es un ejemplo de decisión que posteriormente quedó invalidada por el Tribunal de Justicia de la Unión Europea (TJUE) el 17 de julio de 2020.
Se puede consultar la lista actualizada de países con una decisión de adecuación en: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-internacionales.
En ausencia de una decisión de adecuación, solo se podrán realizar transferencias internacionales a terceros países que ofrezcan garantías adecuadas de protección de datos y que dispongan de recursos legales para ejercer los derechos de los interesados. Dichas garantías deberán ser demostradas mediante:
Garantías aprobadas por la Autoridad de control:
Por interés del interesado
Algunos ejemplos de transferencias internacionales de datos por interés del interesado pueden ser los servicios en la nube (Internet), los seguros de viaje, los tratamientos médicos en países fuera de la UE, etc.
Por interés legítimo e imperioso del Responsable o Encargado del tratamiento
Las transferencias internacionales podrán ser lícitas por un interés legítimo e imperioso del Responsable o Encargado del tratamiento, siempre y cuando se cumplan todas las siguientes condiciones:
Por interés público
Las transferencias internacionales también podrán ser lícitas cuando se realizan por motivos importantes y legítimos de interés público, cuando:
Sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.
Se realice desde un registro público legal que tenga por objeto facilitar información al público en general o a cualquier persona que pueda acreditar un interés legítimo y no implique la consulta de la totalidad de los datos personales o de las categorías de datos.
El Responsable o Encargado del tratamiento tendrán la obligación de llevar y conservar actualizado un Registro de las actividades del tratamiento cuando:
El Registro de actividades deberá contener, entre otra información, la identificación de las transferencias internacionales de datos a terceros países o a organizaciones internacionales con documentación de las garantías adecuadas de protección que se hayan adoptado.
El Responsable del tratamiento deberá informar al interesado de la intención de realizar transferencias internacionales, detallando la existencia o ausencia de una decisión de adecuación con una referencia a las garantías adecuadas y a los medios para obtener copia de ellas o al momento en que se hayan facilitado las mismas.
Cuando exista una comunicación de datos a un Destinatario ubicado fuera de la UE, el Responsable del tratamiento posibilitará y dará curso al ejercicio del derecho de acceso informando al interesado de los Destinatarios o categorías de destinatarios internacionales.
Cuando exista un encargo del tratamiento a una organización ubicada fuera de la UE, el Responsable del tratamiento posibilitará y dará curso al ejercicio del derecho de acceso informando de las garantías adecuadas de protección de datos aplicadas.
Tema anterior: 14. Tratamientos con alto riesgo: La evaluación de impacto Tema siguiente: 16. Elaboración de perfiles