GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

EVALUACIONES

Evaluación del impacto de la transferencia de datos (DTIA)

Si una empresa tiene la intención de transferir datos personales a un tercer país que no tiene un nivel adecuado de protección, primero debe llevar a cabo una evaluación de impacto de la transferencia de datos, también conocida como «DTIA». 

¿Cuándo deben las empresas llevar a cabo una evaluación del impacto de la transferencia de datos (DTIA)?

Una evaluación de impacto sobre la transferencia de datos (DTIA) es una medida de seguridad organizativa que las empresas deben tomar antes de transferir datos personales a un tercer país, a menos que el país tenga un nivel adecuado de protección. Además, también puede ser relevante para las transferencias indirectas de datos, en las que muchos no piensan. Por ejemplo, si una empresa utiliza un servicio en la nube para procesar datos personales, pero el proveedor de servicios en la nube tiene sus operaciones y operaciones fuera de los países de la UE / EEE. Por lo tanto, pueden cubrirse muchos servicios cotidianos que utilizan las empresas, como los proveedores de servicios en terceros países que proporcionan servicios de correo electrónico, herramientas de análisis web o sistemas de CRM. 

Téngase en cuenta que a menudo es necesario preparar una evaluación de impacto de la transferencia de datos, a pesar de que la empresa utiliza las cláusulas contractuales tipo desarrolladas por la Comisión Europea, también conocidas como «SCC».

What breaches of the GDPR can lead to an administrative fine?

Los proveedores serios y las contrataciones públicas a menudo requieren evaluaciones de impacto de transferencia de datos

Es común que las empresas tengan que llevar a cabo y documentar evaluaciones de impacto de la transferencia de datos, ya que a menudo es un requisito para ganar una contratación pública. Además, no es raro que los proveedores serios y las empresas más grandes lo exijan a sus socios y subcontratistas. La realización de evaluaciones de impacto de las transferencias de datos a terceros países también puede aumentar la confianza entre los clientes y los empleados. 

Definición de «tercer país» y «nivel de protección adecuado»

Tercer país

Un país fuera de la UE / EEE se conoce como un tercer país bajo el RGPD. Si una empresa dentro del espacio UE/EEE transfiere datos personales a un tercer país, se aplican normas más estrictas que si se tratara de una transferencia entre dos agentes dentro de la Unión.

What is the definition of anonymised data?

Nivel de protección adecuado

Las empresas pueden transferir datos personales a un tercer país sin tener que adoptar salvaguardias adicionales, si dicho tercer país tiene un nivel adecuado de protección. Tenga en cuenta que esto solo puede ser decidido por la Comisión Europea, de conformidad con el artículo 45 del RGPD. Además, no tiene que ser necesariamente un país para el que se dicte la decisión de adecuación, sino que también puede referirse únicamente a un territorio específico de un tercer país. Para la evaluación, la Comisión Europea está estudiando, entre otras cosas, si existen autoridades de supervisión independientes para cuestiones de protección de datos en ese tercer país. La decisión también se basa en las posibilidades jurídicas de los interesados, si el tercer país respeta los derechos humanos, etc. En el sitio web de la Comisión Europea se publica una lista de los respectivos terceros países con un nivel adecuado de protección.

Finalidad de la realización de una evaluación de impacto sobre las transferencias de datos

La finalidad de la evaluación de impacto es evaluar si el tercer país receptor tiene un nivel suficiente de protección de los datos personales en consonancia con los requisitos de la UE. Por ejemplo, qué oportunidades legales tienen los interesados para ejercer sus derechos, leyes relativas a la vigilancia en la sociedad, seguridad jurídica en el país, etc. 

¿Qué debe incluirse en una evaluación de impacto sobre la transferencia de datos?

Cartografía

En primer lugar, es necesario comenzar por mapear e identificar los tipos de datos personales que se transferirán. Entre otras cosas, el alcance, el propósito, a través de qué sistemas y el país receptor. Tenga en cuenta que es importante hacer un mapeo adecuado de la transferencia de datos planificada y de los actores involucrados.

País receptor

Una evaluación del impacto de la transferencia de datos consiste fundamentalmente en analizar el país receptor. Por ejemplo, si las leyes permiten a las autoridades del país receptor acceder a los datos personales de una manera desproporcionada, qué derechos tienen los interesados en virtud de la legislación de protección de datos del país receptor, si el nivel de protección cumple los requisitos europeos, etc.

Evaluación

Con el fin de minimizar los riesgos asociados con la transferencia de datos personales desde el área de la UE / EEE a un tercer país, la empresa debe tomar las medidas de seguridad técnicas y organizativas adecuadas. Qué medidas precisas dependen caso por caso. Por ejemplo, puede ser apropiado registrar los procesos más estrictamente de lo habitual. Tenga en cuenta que la transferencia no está permitida si las medidas de seguridad no son suficientes.

Riesgo restante

La última parte de la Evaluación de Impacto de Transferencia de Datos se trata de analizar qué riesgo queda, después de todas las medidas de seguridad tomadas por la empresa. A partir de entonces, la empresa puede tomar una decisión sobre si puede o no llevar a cabo la transferencia de datos.

¿Qué consecuencias pueden tener las empresas si no llevan a cabo una evaluación de impacto de la transferencia de datos?

Las consecuencias dependen de cada caso. Sin embargo, puede dar lugar a una multa administrativa, ya que constituye una infracción del RGPD. La cantidad también depende de los detalles de la situación y el tamaño de la empresa. El importe máximo por infracciones graves del RGPD es de 20 millones de euros o el 4% de la facturación total anual mundial (la más alta de las opciones). 

El delegado de protección de datos debe ser consultado al realizar la evaluación de impacto

Al llevar a cabo una evaluación de impacto, la empresa siempre debe consultar a su delegado de protección de datos si la empresa ha designado uno. Así se establece en el artículo 35 del RGPD. El DPO tiene un papel importante dentro de la empresa, incluida la participación en evaluaciones de impacto. Sobre la base de las funciones del delegado de protección de datos en virtud del artículo 39 del RGPD y de las prácticas de supervisión y cumplimiento a raíz de la sentencia Schrems II, la empresa consultará a su delegado de protección de datos también en lo que respecta a las evaluaciones de impacto específicas de la transferencia de datos. 

APRENDE MÁS

Evaluación de riesgos

Las empresas deben realizar una evaluación de riesgos antes de iniciar un nuevo tratamiento de datos personales. Lo mismo se aplica cuando la empresa introduce nuevas tecnologías y nuevos sistemas en los procesos existentes. La evaluación de riesgos consiste en analizar qué riesgos y consecuencias puede conllevar el tratamiento para los interesados. Además, la evaluación de riesgos analizará qué medidas puede adoptar la empresa para minimizar los riesgos hasta un nivel aceptable.

¿Quieres saber más?

Leer más
Scroll al inicio