GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

SEGURIDAD DE LA INFORMACIÓN

Salvaguardias adicionales

En algunos casos, las empresas deben adoptar salvaguardias adicionales para las transferencias de datos personales a terceros países. Un tercer país es un país fuera de la zona UE/EEE. La Comisión Europea podrá decidir que un tercer país garantice un nivel adecuado de protección. 

Garantías adicionales para las transferencias de datos personales a terceros países

Si una empresa desea transferir datos personales a un tercer país, pero la Comisión Europea no ha decidido que el país tenga un nivel adecuado de protección, o si la transferencia cumple los requisitos para situaciones específicas y transferencias ocasionales, la empresa debe adoptar salvaguardias adicionales para las transferencias de datos personales a terceros países.

Los países fuera de la UE / EEE no garantizan las obligaciones y derechos correspondientes como lo hace RGPD dentro de la UE cuando las empresas procesan datos personales. Por lo tanto, las normas son más estrictas cuando se transfieren datos personales de la UE a un tercer país. 

Tenga en cuenta que los interesados deben tener la posibilidad de que el caso sea revisado por los tribunales.

Aquí puede leer las recomendaciones del Comité Europeo de Protección de Datos (CEPD) sobre cuándo pueden ser necesarias salvaguardias adicionales para las transferencias de datos personales a terceros países. También describen más sobre lo que pueden ser tales medidas.

What breaches of the GDPR can lead to an administrative fine?

Otros dos actos de la UE

  • Ley de IA de la UE
  • Ley de Datos de la UE

Sentencia Schrems II y transferencias de datos personales a terceros países

El Tribunal de Justicia de la Unión Europea (TJUE) declaró en la sentencia Schrems II que el acuerdo sobre la protección de la privacidad no proporcionaba una protección adecuada de los datos personales al transferir datos personales de la UE a los Estados Unidos. El acuerdo se celebró entre la UE y los Estados Unidos y, a través de la anulación por parte del TJUE, ya no fue posible transferir datos personales a los Estados Unidos en el marco del Escudo de la privacidad. Posteriormente, la UE y los EE.UU. comenzaron elaborando un nuevo acuerdo en el que cubrían las deficiencias señaladas por el TJUE. En 2023, la Comisión Europea adoptó una nueva decisión sobre las transferencias a los Estados Unidos y estableció un nuevo acuerdo, el Marco de Privacidad de Datos UE-EE. UU. Si la parte receptora es parte en las nuevas regulaciones del DPF, las transferencias allí están permitidas sin que la empresa en la UE / EEE necesite tomar salvaguardias adicionales. 

Ejemplos de salvaguardias adicionales para las transferencias de datos personales a terceros países

A continuación puede leer algunos ejemplos de salvaguardias adicionales para las transferencias de datos personales a terceros países que las empresas pueden tomar.

Reglas corporativas vinculantes (BCR)

Con el fin de utilizar normas corporativas vinculantes para las transferencias de datos personales a terceros países, deben ser aprobadas. Es una autoridad de protección de datos dentro del área de la UE / EEE que debe aprobar las normas corporativas vinculantes. 

Por ejemplo, las normas corporativas vinculantes pueden ser útiles si una empresa multinacional transfiere datos personales a terceros países dentro de su propio grupo de empresas. Un requisito previo para los BCR es que el grupo de empresas cuente con un programa adecuado de formación de los empleados que incluya los BCR. 

Cláusulas contractuales tipo

Las cláusulas contractuales tipo son una alternativa a las normas corporativas vinculantes, que las empresas pueden utilizar como salvaguardias adicionales para las transferencias de datos personales a terceros países. Es la Comisión Europea la que decide sobre las cláusulas contractuales tipo que las empresas pueden utilizar. 

Recuerde utilizar las cláusulas correctas cuando utilice el SCC, ya que consta de cuatro módulos diferentes con disposiciones asociadas. Por ejemplo, existe un módulo específico aplicable cuando el cedente de datos personales es un responsable del tratamiento dentro de la UE y el destinatario es un encargado del tratamiento en un tercer país.

Código de conducta

Una empresa, independientemente de si es un controlador de datos o un procesador de datos, puede adherirse a un código de conducta aprobado. Esta es una salvaguardia adicional para las transferencias de datos personales a terceros países que las propias industrias crean. A menudo son las organizaciones que representan a una industria específica las que las crean.  

El Comité Europeo de Protección de Datos (CEPD) ha publicado directrices sobre códigos de conducta como base para las transferencias de datos personales a terceros países. Describen, entre otras cosas, lo que debe lograr un código de conducta para ser aprobado como salvaguardia adicional y cómo las empresas pueden solicitar dicha aprobación. 

TRANSFERENCIAS A UN TERCER PAÍS

La Comisión Europea podrá decidir un nivel adecuado de protección

Si un tercer país tiene un nivel adecuado de protección, está permitido transferir datos personales allí sin adoptar salvaguardias adicionales, como el uso de cláusulas contractuales tipo. Sin embargo, no es una empresa la que toma tal decisión. Solo la Comisión Europea decide si un tercer país garantiza un nivel adecuado de protección. Tenga en cuenta que también pueden revocar la decisión si hay un cambio. La Comisión Europea comprueba, entre otras cosas, si el tercer país respeta los derechos humanos, dispone de autoridades de control independientes y si sus órganos jurisdiccionales cumplen determinados requisitos.

¿Quieres saber más?

Leer más
Scroll al inicio