GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

SEGURIDAD DE LA INFORMACIÓN

Transferencias de datos personales a un tercer país

En algunos casos, se puede permitir la transferencia de datos personales a un tercer país, mientras que en otros casos está prohibido. 

¿Qué es un tercer país?

Las empresas que deseen transferir datos personales a un tercero deben asegurarse de que la transferencia sea legal antes de que tenga lugar. La definición de tercer país es un país fuera de la zona UE/EEE. 

Ejemplos de transferencias de datos personales a terceros países:

What breaches of the GDPR can lead to an administrative fine?

Correo electrónico

Cuando una persona en una empresa envía un documento a una persona en un país fuera de la UE / EEE que contiene datos personales, como el nombre y el número de teléfono.

Servicio en la nube

Cuando una empresa que es el controlador de datos almacena sus archivos de copia de seguridad de datos personales en un servicio en la nube en línea, cuya empresa se encuentra fuera del área de la UE / EEE.

Situaciones y excepciones específicas

Si la Comisión Europea no ha decidido sobre un nivel adecuado de protección o sobre garantías adecuadas (como normas corporativas vinculantes), una empresa solo podrá transferir datos personales a ese tercer país si no se cumple una de las condiciones del artículo 45 del RGPD. Por lo tanto, es necesario que existan excepciones aplicables en situaciones específicas para que la transferencia de datos personales a un tercer país sea lícita. Un ejemplo de excepción que hace que dicha transferencia sea válida es si el interesado ha dado su consentimiento explícito a la transferencia. También la empresa debe haber cumplido con el requisito de información sobre los riesgos asociados con la transferencia. 

Transferencia de datos personales a los Estados Unidos

El Escudo de la privacidad UE-EE.UU. fue un acuerdo alcanzado en 2016 entre la UE y los EE.UU. sobre la protección de los datos personales transferidos entre la UE y los EE.UU. En 2020, el TJUE anuló el «Escudo de la privacidad UE-EE. UU.» mediante la denominada sentencia Schrems II. Esto significaba que el Acuerdo sobre el Escudo de la Privacidad no proporcionaba una protección adecuada en virtud del RGPD para las transferencias de datos personales a terceros países. Como resultado, ya no se le permitió apoyar la transferencia en el Escudo de la privacidad UE-EE. A raíz de la sentencia Schrems II, la UE y los Estados Unidos comenzaron a establecer un nuevo acuerdo, sin las deficiencias detectadas en la sentencia. 

A continuación, la Comisión Europea adoptó una nueva decisión de adecuación para los Estados Unidos en 2023. Sin embargo, la parte receptora debe estar sujeta al nuevo Marco de Privacidad de Datos (DPF) UE-EE. UU. En otras palabras, la decisión significa que está permitido transferir datos personales a los Estados Unidos sin tomar ninguna garantía adicional, si el destinatario de los datos personales está cubierto por el DPF. 

Aunque el destinatario en los Estados Unidos no está cubierto por el DPF, la transferencia de datos personales aún puede estar permitida. Sin embargo, la empresa que transfiere los datos personales debe tomar las medidas de seguridad adecuadas en tales casos. 

Nivel de protección adecuado

La Comisión Europea puede decidir que un país tiene un nivel adecuado de protección. Además, tal decisión puede aplicarse a un territorio determinado. Por ejemplo, un estado o región en un país, en lugar de todo el país. En este caso, las empresas que procesan datos personales cubiertos por el RGPD pueden transferir datos personales allí, sin ningún permiso específico o la adopción de garantías adicionales. Ejemplos de salvaguardias adicionales que deben adoptarse cuando se transfiere a un tercer país que no tiene un nivel adecuado de protección son las cláusulas contractuales tipo de la UE o el establecimiento de normas corporativas vinculantes. 

Aquí puede ver la lista de países con un nivel adecuado de protección según lo decidido por la Comisión Europea. 

Salvaguardias adicionales

Si un tercer país no tiene un nivel adecuado de protección según la Comisión Europea, la empresa que desea transferir los datos personales allí debe tomar salvaguardias adicionales. Se puede hacer de diferentes maneras. Por ejemplo, mediante el establecimiento de normas corporativas vinculantes (BCR). Otra salvaguardia adicional consiste en incluir cláusulas contractuales tipo de la Comisión Europea en su contrato con el beneficiario en el tercer país. Otro ejemplo de una salvaguardia adicional es que la empresa puede adherirse a un código de conducta aprobado. A continuación puede leer un breve resumen de estas salvaguardias adicionales.

Normas corporativas vinculantes (BCR)

Un grupo multinacional de empresas, o varias empresas en diferentes países que realicen conjuntamente una actividad económica, podrá establecer normas corporativas vinculantes para regular su transferencia de datos personales a empresas dentro de su grupo que estén ubicadas en un tercer país. 

Las normas corporativas vinculantes (RCB) son un ejemplo de salvaguardia adecuada con arreglo al artículo 46, apartado 2, letra b), del RGPD. Además, están regulados en el artículo 47 del RGPD. 

Las BCR deben ser aprobadas por la autoridad responsable de la protección de datos, con el fin de ser utilizadas como una salvaguardia adicional adecuada. Además, todas las demás autoridades de protección de datos de la UE/EEE, así como el Comité Europeo de Protección de Datos, podrán emitir un dictamen antes de la autorización. 

Cláusulas contractuales estándar (SCC)

La Comisión Europea ha elaborado y aprobado cláusulas contractuales tipo. Las empresas pueden utilizarlos cuando transfieren datos personales a un tercer país (es decir, un país fuera de la UE/EEE que no tiene un nivel adecuado de protección). 

Tenga en cuenta que la Comisión Europea puede actualizar las cláusulas contractuales tipo. Esto significa que las empresas que los utilizan también necesitan actualizar los correspondientes en sus contratos celebrados. 

En resumen, el CCT regula la transferencia de datos personales cubiertos por el RGPD a un tercer país. El objetivo del acuerdo es cumplir los requisitos del RGPD relativos a las «medidas de protección» para los traslados de terceros países (de conformidad con el artículo 46 del RGPD).

Sensitive personal data according to GDPR
Selección de las cláusulas correctas al utilizar el SCC

Las cláusulas contractuales tipo contienen disposiciones que se aplican a diferentes tipos de situaciones. La estructura se divide en diferentes «módulos». El CCT consta de disposiciones vinculadas a cuatro módulos. Por ejemplo, para la transferencia de datos personales de un responsable del tratamiento dentro de la UE a otro en un tercer país. Alternativamente, un transformador en un tercer país. Es importante utilizar las cláusulas de la SCC que se adapten a la situación específica.

Códigos de conducta o mecanismos de certificación

Un código de conducta es una instrucción específica dentro de una industria en particular sobre cómo la empresa debe cumplir con RGPD. Entre otras cosas, contienen instrucciones prácticas. Es común que las organizaciones que representan a una industria específica creen un código de conducta al que las empresas puedan adherirse. Una ventaja es que puede ayudar a construir una mejor confianza con los clientes. 

APRENDE MÁS SOBRE RGPD

Request a prior consultation with the national data protection authority

En algunos casos, una empresa debe solicitar una consulta previa con la autoridad nacional de protección de datos antes de iniciar el tratamiento. Esto se aplica cuando el riesgo para los derechos y libertades de los interesados sigue siendo elevado después de que la empresa haya llevado a cabo una evaluación de impacto. Tenga en cuenta que la empresa debe realizar una evaluación de impacto antes de solicitar la consulta previa.

¿Quieres saber más?

Leer más
Scroll al inicio