LAS TRANSFERENCIAS INTERNACIONALES DE DATOS PERSONALES/aEPD

Máster en Protección de Datos por la AEPD y UNED

Contenidos

¿Una casa nunca se puede empezar por el tejado verdad? Así que comencemos por la base con respecto a las transferencias internacionales de datos personales. 

 

No tengo una bola mágica para adivinar en qué fase de tu negocio te encuentras ahora mismo. Puede que estés empezando tu camino en el mundo digital. 

 

O que vengas de una empresa familiar que ahora está en proceso de transformación digital. 

 

Quizá empezaste monetizando tu blog, creaste cursos y ahora mismo tienes una academia, donde das muchísimo valor ayudando a tus alumnos a potenciar y llevar a un siguiente nivel  sus proyectos. 

 

Para todo lo que hagas en el mundo digital, vas a necesitar herramientas y aplicaciones online, que te presten servicios para las diferentes funciones de tu negocio. Te pongo algunos ejemplos: si tienes un hosting, herramientas de email marketing, una aplicación para agendar reuniones, herramientas de comunicaciones con tus clientes, usuarios o suscriptores que están fuera de la Unión Europea (UE) o del espacio económico europeo, se está produciendo un transferencia internacional de datos.

transferencia de datos

Es importante que antes de elegir una nueva herramienta para el desarrollo de tu negocio te preguntes e investigues: te preguntes, investigues y hagas un análisis de riesgo RGPD: 

 

¿Dónde está ubicada la sede de su empresa?

 

¿Sus servidores en qué país se encuentran?

 

¿Existe una transferencia internacional de datos?

 

¿Esta herramienta se encuentra en un país seguro?

 

¿Cumplo con el RGPD cuando utilizo esta herramienta? 

 

Son muchísimas las interrogantes que se te pueden venir a la mente. 

 

Acompáñame hasta el final para que despejes tus dudas sobre las transferencias de datos personales internacionales. 

¿Qué partes intervienen y cuáles son las finalidades de una transferencia internacional de datos personales?

Las transferencias internacionales de datos conlleva la circulación de información personal desde España o cualquier otro país de la UE, a destinatarios o prestadores de servicios en territorios fuera de la Unión Europea y el Espacio Económico Europeo. 

 

Es decir todos los países que conforman la Unión Europea y además Liechtenstein, Islandia y Noruega. 

 

Es importante tener en cuenta cuándo se producen las transferencias internacionales;  tanto si eres responsable de los datos porque es tu web y negocio, como si tienes la condición de encargado de tratamiento, porque prestas tus servicios y para los mismos tratas datos personales de otros.  

 

Debes asegurarte de cumplir con las exigencias de la Comisión Europea y de las autoridades de control competentes para que se den las condiciones que garanticen la protección de los datos personales.

 

Para que lo veas más claro te pongo un ejemplo:

 

Tienes una academia donde enseñas idiomas y estás en España, pero la herramienta donde se registran tus alumnos, que a su vez son tus clientes está en EE. UU.. 

 

Con lo que has visto hasta aquí, hay una transferencia internacional de datos. Pero ahora vamos a ver en qué casos estaríamos transfiriendo los datos con todas las garantías necesarias, de tal forma que tus clientes puedan sentirse tranquilos. 

¿Cuál es el nivel adecuado o seguro de protección de datos internacionales?

El nivel adecuado para realizar transferencias de datos internacionales cumpliendo con lo regulado en el RGPD, se produce cuando el destinatario de los datos se encuentre en un país declarado de nivel adecuado por la Comisión Europea.

¿Qué países se consideran seguros respecto a las transferencias internacionales de datos?

  • Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
  • Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos.
  • Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003. 
  • Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
  • Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
  • Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo de 2008.
  • Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.
  • Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010.
  • Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.
  • Uruguay. Decisión 2012/484/UE, de la Comisión, de 21 de agosto de 2012.
  • Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012. 
  •   Japón. Decisión de 23 de enero de 2019.
  •   Reino Unido. Decisión de 28 de junio de 2021.
ley europea de protección de datos

¿Cuáles son las garantías adecuadas en cuanto a transferencias internacionales de datos RGPD?

Para hacer una transferencia internacional de datos cumpliendo los requisitos del RGPD, se deben tener garantías de adecuación, cuando se transfieran datos a un país no seguro. 

 

¿Qué garantías serían? 

 

La Agencia Española de Protección de Datos (AEPD) explica los casos en que se puede hacer una transferencia internacional de datos personales cuando no se presente la condición de país o región segura entre los que se encuentra: 

 

  •  Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos. Este supuesto no te afecta, ya que es para instituciones públicas. 

 

  • Que existan normas corporativas vinculantes también conocidas como BCR, tampoco estaría vinculado a ti. “Se trata de las políticas de protección de datos asumidas por un responsable o encargado del tratamiento establecido en un Estado miembro para realizar transferencias internacionales de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.”  La AEPD debe aprobar estas normas

 

  • Las “Cláusulas contractuales tipo” adoptadas por la Comisión. Estas cláusulas seguramente son de las que más has oído hablar anteriormente,  por lo que voy a profundizar en ellas para que despejes todas tus dudas. 

¿Por qué ahora se habla tanto de las Cláusulas Contractuales tipo (CCS) o (SCC) en las transferencias de datos personales internacionales?

Las Cláusulas contractuales tipo CCS o SCC conocidas por sus siglas en inglés y en español, son una de las garantías principales para las transferencias internacionales de datos a EE. UU.. 

¿Cómo se han convertido las CCS o SSC en la principal garantía para hacer transferencias de datos internacionales si utilizas herramientas que están en EE. UU.?

Haremos un recorrido cronológico rápido para situarnos en el 2021. 

 

Con la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) el 25 de mayo de 2018, para hacer transferencias de datos internacionales y cumplir con las exigencias de privacidad y protección de datos, las empresas con sedes en EE. UU. debían estar dentro del Escudo de Privacidad, conocido como Privacy Shield

 

En julio de 2020 este Escudo de Privacidad quedó invalidado por una Sentencia del Tribunal de Justicia de la Unión Europea. Caso Schrems II.

 

Con fecha 4 de junio de 2021, la Comisión Europea ha publicado el nuevo conjunto de cláusulas contractuales tipo que, además de sustituir a sus predecesoras, pretenden poder enmarcar un abanico de transferencias ya sea entre responsable y responsable, entre responsable y encargado, entre encargados o entre encargado y responsable.

 

Para resumirlo de una manera sencilla, estas nuevas cláusulas de protección de datos permitirán a las pymes a que los datos fluyan, siempre que la protección fluya con ellos y, con la nueva aprobación, se ofrece una solución necesaria en un mundo digital interconectado, donde la transferencia de datos se realiza con uno o dos “clics”.

 

Las nuevas CCT sustituyen a los modelos vigentes de 2001 y 2010 e integran el principio de responsabilidad proactiva, que significa que las partes deben demostrar el cumplimiento de la normativa, e imponen al importador, en ocasiones, la obligación de documentar las actividades de tratamiento de datos que realiza por cuenta del exportador.

Análisis de Idoneidad

¿Son las CCT el único requisito que deben cumplir las empresas para transferir datos a Estados Unidos u otros países «no adecuados»? No.

 

Las cláusulas tipo son solo una parte del procedimiento legal necesario.

 

La otra, que también resulta imprescindible es el análisis de idoneidad del país o las circunstancias en las que se produce el envío, para asegurarse de que se producen con los estándares de seguridad que exige la normativa europea.

 

protección de datos

Tras la publicación de estos nuevos modelos, las antiguas CCT tendrán aún un plazo de vigencia de tres meses.

 

A partir de ese momento, se abre un periodo de 15 meses para que exportadores e importadores suscriban las nuevas versiones contractuales actualizadas.

Finalmente, debes saber que son dos los grandes tipos de empresas que deben prestar especial atención a este cambio.

 

En primer lugar, las tecnológicas que presten servicios a empresas o ciudadanos europeos, pero que tengan sus sedes fuera de la UE y por tanto remitan allí sus datos.

Y, en segundo término, compañías europeas de fuerte componente tecnológico, pero que tienen servicios descentralizados y tienen copias espejo en países como Estados Unidos, India o Rusia.

¿Existen excepciones para situaciones específicas en cuanto a transferencias internacionales de datos RGPD?

En los casos en que no exista una decisión de adecuación y  tampoco se den ninguna garantía que posibilite hacer una transferencia internacional de datos segura. Se podrían realizar las transferencias si se cumplen alguno de estos requisitos: 

 

  •  La persona interesada haya dado explícitamente su consentimiento
  • Que la transferencia sea necesaria para la ejecución de un contrato entre la persona interesada y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud de la persona interesada.
  • Otra condición podría ser que la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés de la  persona interesada, entre la  persona responsable del tratamiento y otra persona física o jurídica.
  • La transferencia es necesaria por razones importantes de interés público.   
  • Que la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones
  • El último requisito que se podría dar es que la transferencia sea necesaria para proteger los intereses vitales de la persona interesada o de otras personas, cuando la  persona interesada esté física o jurídicamente incapacitada para dar su consentimiento.

Tienes todos los elementos para asegurarte de hacer transferencias de datos personales internacionales seguras. Te recomiendo que en los casos que utilices una herramienta fuera del Espacio Económico Europeo, y no sea un país seguro, o no tengas garantías para hacer esta transferencia de datos. Pongas en una balanza si merece la pena exponer los datos de tus clientes o suscriptores. Protegiendo sus datos, también te estás protegiendo a ti y tu negocio. 

¿Cuándo es necesario la autorización de la AEPD para realizar una transferencia internacional de datos?

Según el AEPD y el artículo 46 apartado 3 del RGPD es necesaria la autorización para realizar una transferencia de datos internacional cuando las garantías adecuadas para realizar la transferencia internacional se basen en:

 

  • Cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional. 
  • Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados. 

Asimismo, en el primer caso deberá someterse también al mecanismo de coherencia del artículo 63 del RGPD (artículo 46 apartado 4 del RGPD).

red de internet

Además, la Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) establece en su artículo 42 los casos en los que se necesitará una autorización previa de las autoridades de protección de datos como la AEPD para poder llevar a cabo transferencias internacionales de datos personales: 

  • Las transferencias internacionales de datos a países u organizaciones internacionales que no cuenten con decisión de adecuación aprobada por la Comisión o que no se amparen en alguna de las garantías previstas en el artículo anterior y en el artículo 46.2 del Reglamento (UE) 2016/679, requerirán una previa autorización de la Agencia Española de Protección de Datos o, en su caso, autoridades autonómicas de protección de datos, que podrá otorgarse en los siguientes supuestos:
  • Cuando la transferencia pretenda fundamentarse en la aportación de garantías adecuadas con fundamento en cláusulas contractuales que no correspondan a las cláusulas tipo previstas en el artículo 46.2, letras c) y d), del Reglamento (UE) 2016/679.
  • Cuando la transferencia se lleve a cabo por alguno de los responsables o encargados a los que se refiere el artículo 77.1 de esta ley orgánica y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.

LEGAL BOX, la herramienta que te ayudará en la transferencia de datos legales

Con Legal Box podrás estar tranquilo y hacer un tratamiento de datos personales de tus clientes con la máxima seguridad y legalidad. 

 

No lo olvides y contrata ya la mejor herramienta legal de 2022. 

 

Si tienes alguna duda sobre las transferencias de datos internacionales no dudes en dejar un comentario y te responderemos encantados. 

Si quieres descargarte la guía (GRATIS), sólo tienes que rellenar este formulario

Responsable: Ocean Legaltech, S.L.(Legal Box Plus)
Finalidad: Gestionar y enviar información de boletines y promociones a través de correo electrónico.
Legitimación: Consentimiento del interesado.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus.
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


Responsable: Ocean Legaltech, S.L.(Legal Box Plus)
Finalidad: Moderar y responder comentarios de usuarios.
Legitimación: Consentimiento del interesado.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus.
Información adicional: Puedes consultar la información adicional y detallada obre Protección de Datos aquí: política de privacidad.

Carrito de compra

 

Ayuda

CLASSIC

BASIC

BUSINESS

Cuenta

 

 

 

 

Dominios incluidos

Incluye licencia para web. Se incluyen las políticas y leyendas legales para los consentimientos.

1

1

Venta online

Incluye licencia para módulo de venta online por tipo de ecommerce. Se modifican las políticas y se generan las condiciones de contratación con política de devolución y entrega.

1

Usuarios

Licencia por usuario. Genera acuerdos de confidencialidad y manuales de seguridad. Se considera usuario a toda persona dentro de la organización, tanto asalariado como freelance, que trata datos de carácter personal.

3

10

25

Web

Ayuda

CLASSIC

BASIC

BUSINESS

Política de Privacidad

Generación personalizada de la política de privacidad de la web

ok

ok

Aviso Legal

Generación personalizada del aviso legal de la web

ok

ok

Política de Cookies

Generación personalizada de la política de cookies de la web

ok

ok

Actualizaciones de las políticas

Nuestro equipo jurídico monitorea constantemente las legislaciones en privacidad y realiza actualizaciones para mantener las políticas.

ok

ok

Políticas dinámicas

La herramienta genera URLs dinámicas por cada política de privacidad, permitiendo que los textos legales estén siempre actualizados.

ok

ok

Políticas HTML

Puedes incrustar políticas estáticas en tu web usando HTML

ok

ok

Leyendas legales

Para la primera capa informativa según el tipo de sistema de captación.

ok

ok

Banner Cookies

Texto a incorporar en los pop ups e cookies

ok

ok

Guía Webmaster

Guía completa para el desarrollador web sobre los mecanismos y elementos informativos a incorporar en una web.

ok

ok

Quitar logotipo de Legal Box

Elimina la marca Legal Box Plus de tus políticas

ok

RGPD

Ayuda

CLASSIC

BASIC

BUSINESS

Política PD

Documento sobre el protocolo de los principales elementos para cumplir con el RGPD

ok

Acuerdos confidencialidad

Contratos de confidencialidad con empleados, socios y colaboradores

3

5

10

Acuerdos con terceros

Contratos de encargado de tratamiento con prestadores de productos/servicios que tratan datos de carácter personal del responsable

3

5

10

Acuerdo de cesión

Contrato de cesión de datos de carácter personal dependiendo del tratamiento de datos.

3

5

10

Consentimiento de cesión

Documento de consentimiento de los afectados para la cesión de datos.

3

5

10

Otros acuerdos

Como es el caso del acuerdo de autorización de recuperación de datos por tercero.

3

5

10

Registro de tratamientos

Documento corporativo sobre todos los tratamientos de datos que realiza el responsable.

ok

Manuales Usuarios

Manuales de seguridad para usuarios por perfiles.

3

5

10

Cláusulas informativas

Generación de las cláusulas informativas de documentos a usuarios, de empleados, de formularios físicos, etc.

3

5

10

Análisis de riesgos

Gestión, auditoría y seguimiento de los riesgos inherentes al tratamiento de datos.

Protocolos

Diversas guías para actuar con procedimientos claros y concisos. Protocolo de ejercicio de derechos, protocolo de brechas de seguridad, de conservación de los datos, etc.

1

ok

ok

Avisos

Diversos tipos de avisos sobre protección de datos como el aviso de videovigilancia

1

ok

ok

Cláusula servicios

Cláusula a incorporar en los contratos de servicios

ok

Gestión

Ayuda

CLASSIC

BASIC

BUSINESS

Peticiones

Gestión de derechos. Peticiones por cada derecho.

ok

ok

ok

Nombramiento DPD

Gestión del nombramiento del delegado de protección de datos

Registros

De entrada y salida de soportes de tratamiento de datos

ok

ok

ok

Derechos

Gestión de derechos, registros de derechos atendidos

ok

ok

ok

Incidencias

Registro y control de incidencias y brechas de seguridad

ok

Auditorias

Sistema de auditoría de los distintos tratamiento de datos

Marketing

Ayuda

CLASSIC

BASIC

BUSINESS

Acuerdo Imagen

Contrato de cesión de derechos de imagen

ok

Leyenda emails

Cláusula a incorporar en la firma de las cuentas de correo electrónico

ok

ok

Campañas

Cláusula a incorporar en las newsletter y en los boletines electrónicos

ok

ok

Grabaciones

Acuerdo de consentimiento de grabaciones sesiones de retransmisión

ok

ok

Ayuda CLASSIC WEB ECOMMERCE
Cuenta  
Dominios incluidos Incluye licencia para web. Se incluyen las políticas y leyendas legales para los consentimientos. 1 1
Venta online Incluye licencia para módulo de venta online por tipo de ecommerce. Se modifican las políticas y se generan las condiciones de contratación con política de devolución y entrega. 1
Usuarios actividad Licencia por usuario. Genera acuerdos de confidencialidad y manuales de seguridad. Se considera usuario a toda persona dentro de la organización, tanto asalariado como freelance, que trata datos de carácter personal. 3
Web Ayuda CLASSIC WEB ECOMMERCE
Política de Privacidad Generación personalizada de la política de privacidad de la web ok ok
Aviso Legal Generación personalizada del aviso legal de la web ok ok
Política de Cookies Generación personalizada de la política de cookies de la web ok ok
Actualizaciones de las políticas Nuestro equipo jurídico monitorea constantemente las legislaciones en privacidad y realiza actualizaciones para mantener las políticas. ok ok
Políticas dinámicas La herramienta genera URLs dinámicas por cada política de privacidad, permitiendo que los textos legales estén siempre actualizados. ok ok
Políticas HTML Puedes incrustar políticas estáticas en tu web usando HTML ok ok
Leyendas legales Para la primera capa informativa según el tipo de sistema de captación. ok ok
Banner Cookies Texto a incorporar en los pop ups e cookies ok ok
Guía Webmaster Guía completa para el desarrollador web sobre los mecanismos y elementos informativos a incorporar en una web. ok ok
Quitar logotipo de Legal Box Elimina la marca Legal Box Plus de tus políticas ok
RGPD Ayuda CLASSIC WEB ECOMMERCE
Política PD Documento sobre el protocolo de los principales elementos para cumplir con el RGPD ok
Acuerdos confidencialidad Contratos de confidencialidad con empleados, socios y colaboradores 3
Acuerdos con terceros Contratos de encargado de tratamiento con prestadores de productos/servicios que tratan datos de carácter personal del responsable 3
Acuerdo de cesión Contrato de cesión de datos de carácter personal dependiendo del tratamiento de datos. 3
Consentimiento de cesión Documento de consentimiento de los afectados para la cesión de datos. 3
Otros acuerdos Como es el caso del acuerdo de autorización de recuperación de datos por terceros. 3
Registro de tratamientos Documento corporativo sobre todos los tratamientos de datos que realiza el responsable. ok
Manuales Usuarios Manuales de seguridad para usuarios por perfiles. 3
Cláusulas informativas Generación de las cláusulas informativas de documentos a usuarios, de empleados, de formularios físicos, etc. 3
Análisis de riesgos Gestión, auditoría y seguimiento de los riesgos inherentes al tratamiento de datos.
Protocolos Diversas guías para actuar con procedimientos claros y concisos. Protocolo de ejercicio de derechos, protocolo de brechas de seguridad, de conservación de los datos, etc. ok
Avisos Diversos tipos de avisos sobre protección de datos como el aviso de videovigilancia ok
Cláusula servicios Cláusula a incorporar en los contratos de servicios ok
Gestión Ayuda CLASSIC WEB ECOMMERCE
Peticiones Gestión de derechos. Peticiones por cada derecho. ok
Nombramiento DPD Gestión del nombramiento del delegado de protección de datos
Registros De entrada y salida de soportes de tratamiento de datos ok
Derechos Gestión de derechos, registros de derechos atendidos ok
Incidencias Registro y control de incidencias y brechas de seguridad
Auditorias Sistema de auditoría de los distintos tratamiento de datos
Marketing Ayuda CLASSIC WEB ECOMMERCE
Acuerdo Imagen Contrato de cesión de derechos de imagen ok ok
Leyenda emails Cláusula a incorporar en la firma de las cuentas de correo electrónico ok ok
Campañas Cláusula a incorporar en las newsletter y en los boletines electrónicos ok ok
Grabaciones Acuerdo de consentimiento de grabaciones sesiones de retransmisión ok ok