Transferencias Internacionales de Datos y Privacy Shield

29acuerdo-ue-eeuu

Cuando hablamos de transferencia internacional de datos nos referimos al tratamiento de datos de carácter personal que supone una transmisión de los datos a paises fuera del Espacio Económico Europeo.

Las transferencias internacionales de datos vienen reguladas en el artículo 33 y 34 de la Ley Orgánica de Protección de Datos de carácter Personal, en el Título IV del Reglamento que la desarrolla y en el Capítulo V del Nuevo Reglamento Europeo de Protección de Datos de Carácter Personal.

Para poder entender un poco mejor este término, vamos a ver las dos figuras que intervienen cuando se da lugar la transferencia internacional de datos:

  1. Exportador de datos.- Entidad pública o privada situada en la Unión Europea que realiza una transferencia de datos de carácter personal a un país fuera de la misma.
  2. Importador de datos.- Entidad pública o privada que recibe estos datos de carácter personal, ya sea responsable del tratamiento, encargado del tratamiento o tercero.

El artículo 45  del Reglamento Europeo de Protección de Datos, nos indica en su apartado primero que “podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cualdo la comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica”.

El artículo 46 del Reglamento Europeo de Protección de Datos, habla de las transferencias mediante garantías adecuadas. Sólo se podrán realizar transferencias internacionales de datos si el responsable o encargado del tratamiento pueden asegurar que el nivel de protección de los datos de carácter personal está garantizado.

No obstante, el encargado del tratamiento deberá formalizar un contrato con el receptor de los datos en el cual deberá constar la finalidad y las garantías de protección de la información de carácter personal transmitida.

El artículo 47 del Reglamento Europeo de Protección de Datos trata sobre las normas corporativas vinculantes. La autoridad de control competente, aprobará normas corporativas vinculantes de conformidad con el mecanismo de coherencia siempre que se cumplan una serie de condiciones.

El artículo 48 del Reglamento Europeo de Protección de Datos regula las transferencias o comunicaciones no autorizadas por el Derecho de la Unión.

El artículo 49 del Reglamento Europeo de Protección de datos indica las excepciones para situaciones específicas.

Para realizar transferencias internacionales de datos, será necesaria la Autorización previa de la Directora de la Agencia Española de Protección de Datos, salvo que se ampare en alguno de los supuestos de excepción previstos en los apartados a) a j) del artículo 34 de la LOPD o cuando el Estado en el que se encuentre el importador ofrezca un nivel adecuado de protección, supuestos en los que en todo caso se deberán notificar las transferencias internacionales de datos al Registro General de Protección de Datos para su inscripción a través de sistema NOTA de notificación de ficheros.

De acuerdo con el artículo 44.4 d) de la Ley Orgánica de Protección de Datos de Carácter personal ” constituye infracción muy grave la transferencia Internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin la autorización del Director de la Agencia Española de Protección de Datos, salvo en los supuestos a los que conforme esta ley y sus diposiciones de desarrollo, dicha autorizacion no resulta necesaria”.

Constituye infracción muy grave la transferencia Internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin la autorización del Director de la Agencia Española de Protección de Datos

Los países que han sido declarados con nivel adecuado de protección son los siguientes:

Suiza, Canadá, Argentino, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda, Estados Unidos (aplicable a las entidades certificadas en el Escudo de Privacidad, Privacy Shield).

Para regular el tráfico de datos entre la Unión Europea y Estados Unidos, el 12 de Julio de 2016 se aprobó por la Comisión Europea el Privacy Shield, o escudo de privacidad.

El Privacy Shield deroga al Safe Harbor

Los flujos de datos de caracer personal entre EEUU y la Unión europea son muy importantes, tanto para la economía como para la sociedad. El Privacy Shield pretende proteger los derechos de los ciudadanos europeos aumentando las exigencias a las entidades y organizaciones que manejan datos de carácter personal.

En el siguiente enlace se puede acceder al listado de las empresas acreditadas en el Privacy Shield:    https://www.privacyshield.gov/list

Como habéis podido observar, realizar correctamente las transferencias internacionales de datos desde nuestras organizaciones a terceros países, conlleva asesorarse primero sobre si el país en cuestión cumple con el nivel de protección adecuado y si es necesario realizar algún trámite antes de llevarlas a cabo.

Como hemos visto anteriormente, el flujo de datos entre la Unión Europea y terceros países es imprescindible para la economía y la sociedad, pero siempre salvaguardando la protección de los datos de carácter personal y cumpliendo correctamente con la normativa para evitar importantes sanciones.

En el caso de que por vuestra actividad tengáis que realizar transferencias internacionales de datos, estaremos encantados de poder resolveros cualquier cuestión al respecto.

0 comments on “Transferencias Internacionales de Datos y Privacy ShieldAdd yours →

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *