Ir al contenido principal

What rules apply if my organisation transfers data outside the EU?

Respuesta

En el mundo globalizado actual, existen grandes cantidades de transferencias transfronterizas de datos personales, que a veces se conservan en servidores en varios países distintos. La protección que ofrece el Reglamento general de protección de datos (RGPD) viaja con los datos, lo cual significa que las normas que protegen los datos personales seguirán aplicándose independientemente de dónde vayan a parar los datos. Esto también se aplica cuando los datos se transfieren a un Estado no perteneciente a la Unión Europea (UE).

El RGPD proporciona varias herramientas para establecer el marco para las transferencias de datos desde la UE a Estados no pertenecientes a la UE:

  • A veces, mediante una decisión de la Comisión Europea («decisión de adecuación») se declara que un Estado no perteneciente a la UE ofrece un nivel de protección de datos adecuado, lo cual significa que se pueden transferir datos a otra empresa de ese Estado no perteneciente a la UE sin que el exportador de los datos deba ofrecer más garantías o esté sujeto a condiciones adicionales. En otras palabras, las transferencias a un tercer país «adecuado» se asimilarán a una transmisión de datos dentro de la UE.
  • A falta de una decisión de adecuación, la transferencia puede hacerse mediante el establecimiento de garantías adecuadas y a condición de que las personas cuenten con derechos exigibles y acciones legales efectivas. Tales garantías adecuadas incluyen, entre otras:
    • en el caso de los grupos empresariales o la unión de empresas dedicadas a una actividad económica conjunta, que las empresas pueden transferir los datos personales basándose en las denominadas «normas corporativas vinculantes»,
    • acuerdos contractuales con el destinatario de los datos personales que utilizan, por ejemplo, las cláusulas contractuales tipo aprobadas por la Comisión Europea,
    • la adhesión a un código de conducta o un mecanismo de certificación junto con compromisos vinculantes y exigibles asumidos por el destinatario en relación con la aplicación de las garantías adecuadas para la protección de los datos transferidos.
  • Por último, si se prevé realizar una transferencia de datos personales a un tercer país que no está sujeto a una decisión de adecuación y en ausencia de garantías adecuadas, se puede realizar la transferencia basándose en varias excepciones para situaciones específicas, por ejemplo cuando una persona haya consentido explícitamente a la transferencia propuesta tras haber recibido toda la información necesaria sobre los riesgos relacionados con dicha transferencia.

Ejemplo

Usted es una empresa francesa que quiere ampliar sus servicios a Sudamérica, en particular Argentina, Uruguay y Brasil. El primer paso sería comprobar si los países están sujetos a una decisión de adecuación. En este caso, tanto Argentina como Uruguay han sido declarados adecuados. Usted podría transferir los datos personales a estos dos Estados no pertenecientes a la UE sin garantías adicionales, mientras que, para las transferencias a Brasil, que no cuenta con una decisión de adecuación, deberá establecer el marco para sus transferencias ofreciendo las garantías adecuadas.

Referencias

[1] COM(2017)7 final

Example

You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.