Garantías para las transferencias de datos personales a terceros países u organizaciones internacionales
Última modificación:
Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega)
Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).
Los responsables y encargados del tratamiento podrán realizar transferencias internacionales de datos SIN NECESIDAD DE AUTORIZACIÓN DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS siempre que el tratamiento de datos observe lo dispuesto en el RGPD y en los siguientes supuestos:
Transferencias basadas en una decisión de adecuación
Cuando las entidades receptoras de los datos se encuentren en un país, un territorio o uno o varios sectores específicos de ese país u organización internacional que hayan sido declarados de nivel de protección adecuado por la Comisión Europea. Hasta la fecha los países y territorios están declarados como adecuados:
- Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000
- Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos
- Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003
- Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003
- Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004
- Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008
- Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010
- Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010
- Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011
- Uruguay. Decisión 2012/484/UE, de la Comisión, de 21 de agosto de 2012
- Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012
- Japón. Decisión de 23 de enero de 2019
- Reino Unido. Decisión de 28 de junio de 2021 (versión en inglés)
- República de Corea. Decisión de 17 de diciembre de 2021 (versión en inglés)
- EU- USA Data Privacy Framework Decisión de 10 de julio de 2023 (versión en inglés) (versión en español)
Mediante la aportación de garantías adecuadas
A falta de decisión de adecuación si se ofrecen garantías adecuadas, que podrán ser aportadas a través de:
- Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos
- Normas corporativas vinculantes
- Cláusulas tipo de protección de datos adoptadas por la Comisión:
Con fecha 4 de junio de 2021, la Comisión Europea ha publicado el nuevo conjunto de cláusulas contractuales tipo que, además de sustituir a sus predecesoras, pretenden poder abarcar las transferencias entre responsables, entre responsable y encargado, entre encargados y entre encargado y responsable.
Las nuevas cláusulas se adaptan al RGPD incorporando los principios de responsabilidad proactiva y tratan de adoptar los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II. No obstante, sigue siendo necesario que el exportador de los datos, en su caso ayudado por el importador, analice el impacto que la legislación y/o la práctica vigente en el país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo. Además, adicionalmente, deberán tenerse en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente.
Las cláusulas contractuales de las Decisiones de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE quedan derogadas a partir del 27 de septiembre de 2021. No obstante, los contratos celebrados antes de dicha fecha con arreglo a las anteriores Decisiones serán válidos hasta el 27 de diciembre de 2022, siempre que las operaciones de tratamiento permanezcan inalteradas y las cláusulas contractuales garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas.
Decisión de Ejecución (UE) 2021/914 DE LA COMISIÓN de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo - Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión
- Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas
- Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas.
El Comité Europeo de Protección de Datos los siguientes documentos al respecto:
- Recomendaciones sobre medidas y garantías suplementarias a los instrumentos de transferencias para asegurar un nivel de protección sustancialmente equivalente al proporcionado en la Unión Europea.
- Recomendaciones sobre las garantías esenciales europeas para medidas de vigilancia.
- Directrices relativas a las transferencias internacionales de datos entre autoridades y organismos públicos.
Excepciones para situaciones específicas
A falta de decisión de adecuación y de garantías adecuadas únicamente se podrán realizar si se cumple alguna de las condiciones siguientes:
- La persona interesada haya dado explícitamente su consentimiento, después de haber sido informada de los posibles riesgos
- La transferencia sea necesaria para la ejecución de un contrato entre la persona interesada y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud de la persona interesada
- La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica
- La transferencia sea necesaria por razones importantes de interés público
- La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones
- La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando la persona interesada esté física o jurídicamente incapacitada para dar su consentimiento
- La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta
Si no resultase aplicable ninguna de estas excepciones, solo se podrá llevar a cabo una transferencia si no es repetitiva, afecta solo a un número limitado de personas interesadas, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades de la persona interesada, y el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofrezca garantías apropiadas con respecto a la protección de datos personales.
En este supuesto el responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14 del RGPD, el responsable del tratamiento informará a la persona interesada de la transferencia y de los intereses legítimos imperiosos perseguidos.
El Comité Europeo de Protección de Datos ha elaborado unas Directrices sobre la aplicación de las excepciones.
¿Cuándo se necesita una autorización expresa de la Agencia Española de Protección de Datos?
Cuando el ofrecimiento de garantías adecuadas se realice mediante:
- Cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o subencargado, que no hayan sido adoptadas por la Comisión Europea o por la Agencia Española de Protección de Datos y aprobadas por la Comisión Europea
- Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para las personas interesadas
Autorizaciones para la transferencia internacional de datos aprobadas por la AEPD en el marco del RGPD: TI-00001-2019-Resolución Autorización Comisión Nacional del Mercado de Valores (CNMV) – 14-05-2019
Normas Corporativas Vinculantes (BCR)
Las normas corporativas vinculantes (o BCR -Binding Corporate Rules- por sus siglas en inglés) son “las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”.
Los grupos empresariales son aquellos “constituidos por una empresa que ejerce el control y sus empresas controladas”.
Las normas corporativas vinculantes deberán cumplir los requisitos y contenidos establecidos en el artículo 47 del RGPD.
La autoridad de control competente las aprobará de conformidad con el mecanismo de coherencia establecido en el artículo 63 del RGPD. La autoridad de control competente se determinará con arreglo a criterios como:
- La ubicación de la sede europea del grupo empresarial
- La ubicación de la compañía del grupo empresarial que tenga la responsabilidad en protección de datos
- La ubicación de la compañía del grupo mejor situada (en términos de gestión, carga administrativa) para tramitar la solicitud y obligar al cumplimiento de las normas corporativas vinculantes
- Donde se tomen la mayoría de las decisiones sobre los fines y medios del tratamiento de datos, como las transferencias
- El Estado miembro de la Unión Europea desde el que se realizan la mayoría de las transferencias internacionales
Los grupos empresariales interesados en la elaboración de normas corporativas vinculantes pueden solicitar información en la siguiente dirección de correo electrónico: sgpromocion.autorizaciones@aepd.es.
Normas corporativas vinculantes aprobadas por la AEPD:
GRUPO FUJIKURA AUTOMOTIVE EUROPE
- Resolución de aprobación de las normas corporativas vinculantes de responsable (BCR-C) del grupo FUJIKURA AUTOMOTIVE EUROPE (GRUPO FAE)
- Enlace a las normas corporativas vinculantes (BCR-C) del grupo FAE
GRUPO IBERDROLA
- Resolución de aprobación de las normas corporativas vinculantes de responsable (BCR-C) del grupo IBERDROLA
- Enlace a las normas corporativas vinculantes (BCR-C) del grupo IBERDROLA
GRUPO KUMON
- Resolución de aprobación de las normas corporativas vinculantes de responsable (BCR-C) del grupo KUMON
- Enlace a las normas corporativas vinculantes (BCR-C) del grupo KUMON
GRUPO KUMON
- Resolución de aprobación de las normas corporativas vinculantes de encargado (BCR-P) del grupo KUMON
- Enlace a las normas corporativas vinculantes (BCR-P) del grupo KUMON
AMERICAN EXPRESS
GRUPO COLT
- Resolución de aprobación de las normas corporativas vinculantes de responsable (BCR-C) del grupo COLT
- Enlace a la información relativa a las normas corporativas vinculantes del grupo COLT
GRUPO COLT
- Resolución de aprobación de las normas corporativas vinculantes de encargado (BCR-P) del grupo COLT
- Enlace a la información relativa a las normas corporativas vinculantes del grupo COLT
GRUPO ANTOLIN
- Resolución de aprobación de las normas corporativas vinculantes de responsable (BCR-C) del grupo ANTOLIN
- Enlace a la información relativa a las normas corporativas vinculantes del grupo ANTOLÍN
GRUPO PROSEGUR
- Resolución de aprobación de las normas corporativas vinculantes de responsable (BCR-C) del grupo PROSEGUR
- Enlace a la información relativa a las normas corporativas vinculantes del grupo PROSEGUR
GRUPO TELEFÓNICA
- Resolución de aprobación de las normas corporativas vinculantes de responsable (BCR-R) del grupo TELEFÓNICA
- Enlace a la información relativa a las normas corporativas vinculantes del grupo TELEFÓNICA
GRUPO MAPFRE
- Resolución de aprobación de las normas corporativas vinculantes de responsable (BCR-R) del grupo MAPFRE
- Enlace a la información relativa a las normas corporativas vinculantes del grupo MAPFRE
GRUPO FCC
- Resolución de aprobación de las normas corporativas vinculantes de responsable (BCR-R) del grupo FCC
GRUPO AVATURE
GRUPO AVATURE
Enlaces a los documentos más relevantes para la elaboración de unas BCR
Recomendaciones 1/2022: solicitud, elementos y principios para la elaboración de BCR de responsable
Modelo de solicitud de BCR de encargados
Procedimiento para la aprobación de BCR de responsables y encargados