Les transferts de données libérés mais encadrés

Transferencias de datos liberadas pero reguladas

Extracto del libro de Bruno DUMAY: DESCRIPCIÓN DEL RGPD – Para directivos, departamentos estratégicos y empleados de empresas y organizaciones – Prólogo de Gaëlle MONTEILLER

Por sorprendente que pueda parecer en una economía globalizada donde la noción de fronteras parece incompatible con las transacciones a través de Internet, la UE haya prohibido la transferencia de datos personales para su posterior procesamiento a un tercer país, es decir, situado fuera de la Unión, sin autorización emitida por una autoridad de control.

El RGPD suprime el régimen de autorización previa. Sin embargo, se requieren ciertas condiciones para que la transferencia se lleve a cabo. La Comisión debe haber establecido, mediante decisión, que el destinatario no perteneciente a la UE (país, territorio o sector de un país, organización internacional) garantiza un nivel de protección adecuado (artículo 45-1). 

El 2domi El primer párrafo del artículo 45 enumera los criterios correspondientes a este nivel adecuado de protección, incluyendo el Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación vigente, la existencia efectiva de una autoridad supervisora independiente, los compromisos internacionales, etc. Si el análisis de estos criterios concluye que la medida se ajusta a la normativa europea, la Comisión adopta un acto de ejecución, sujeto a revisión periódica al menos cada cuatro años (artículo 45-3). Se especifica además que la Comisión supervisará constantemente la evolución de la situación en terceros países (artículo 45-4).

Sin embargo, la transferencia es posible, siempre sin autorización previa, a un destino que no haya sido objeto de un acto de ejecución. De hecho, el artículo 46 establece que un responsable o encargado del tratamiento de datos podrá transferir «si ha ofrecido garantías adecuadas y a condición de que los interesados dispongan de derechos exigibles y recursos legales efectivos» (art. 46-1).

Estas garantías adecuadas pueden proporcionarse por diferentes medios, algunos de los cuales ya hemos mencionado:

  •  Un instrumento jurídicamente vinculante y ejecutable entre autoridades u organismos públicos;
  •  Normas corporativas vinculantes (para los grupos de empresas, los términos de estas normas, que deben ser aprobadas por la autoridad supervisora, se especifican en el artículo 47);
  • Cláusulas tipo aprobadas por la Comisión, ya sea directamente o a través de una autoridad supervisora;
  •  Un código de conducta o mecanismo de certificación “acompañado de un compromiso vinculante y exigible asumido por el responsable o el encargado del tratamiento en el tercer país de aplicar garantías apropiadas” (art. 46-2).

Se pueden proporcionar garantías adecuadas para la transferencia, esta vez previa autorización de la autoridad de control, por otros dos medios:

– Un contrato entre el responsable del tratamiento de datos o el subcontratista con sus homólogos en el tercer país;

– “Disposiciones que deben incluirse en los acuerdos administrativos entre autoridades públicas o organismos públicos” (art. 46-3).

Por lo tanto, se prohíbe cualquier transferencia sin un acto de ejecución que garantice un nivel adecuado de protección o garantías específicas. No obstante, se prevén excepciones para las situaciones específicas enumeradas en el artículo 49. Una transferencia es posible, en particular:

– Cuando el interesado haya dado su consentimiento explícito tras haber sido informado de los riesgos que conlleva; 

– En el marco de la ejecución de un contrato entre el interesado y el responsable del tratamiento (o en su interés con otra persona física o jurídica);

– Cuando la transferencia sea de interés público, o esté relacionada con el cumplimiento de derechos legales, o sea necesaria para salvaguardar intereses vitales del interesado.

Estas numerosas disposiciones sobre las posibilidades de transferencia demuestran que los impulsores del RGPD quieren garantizar la protección de los datos personales, sin obstaculizar la actividad de empresas y administraciones. Al eliminar la autorización previa en la gran mayoría de los casos, apuestan por la responsabilidad de los actores, cuyo trabajo debe poder verificarse, de acuerdo con el famoso principio de rendición de cuentas.

Descubra Viqtor®
es_ESES
fr_FRFR en_USEN de_DE_formalDE elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL es_ESES