GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

SEGURIDAD DE LA INFORMACIÓN

Nivel de protección adecuado

Para transferir datos personales a un tercer país desde la UE sin ningún permiso especial o sin necesidad de adoptar salvaguardias adicionales, el tercer país debe tener un nivel adecuado de protección de acuerdo con la Comisión Europea.

Nivel de protección adecuado según la Comisión Europea

Según el RGPD, un tercer país es un país fuera del área de la UE / EEE. Solo la Comisión Europea puede tomar una decisión de este tipo. En otras palabras, una empresa individual no puede considerar que ese tercer país proporcione un nivel adecuado de protección, sino solo la Comisión Europea. Téngase en cuenta que no tiene que ser necesariamente un tercer país completo que tenga un nivel adecuado de protección, pero la decisión al respecto puede aplicarse, por ejemplo, a un determinado territorio dentro de las fronteras del tercer país. 

Fundamento de la decisión de adecuación de la Comisión Europea

La Comisión Europea analiza varios factores a la hora de decidir si un tercer país tiene o no un nivel adecuado de protección. Por ejemplo: 

  • Leyes del tercer país. 
  • Obligaciones internacionales del tercer país. 
  • las posibilidades de los interesados de obtener un recurso judicial; 
  • Cómo responde el tercer país a los derechos humanos. 
  • si el tercer país cuenta con una autoridad de control independiente para las normas de protección de datos; 

La Comisión Europea actualiza continuamente su lista de terceros países que ha considerado que ofrecen un nivel adecuado de protección. 

What breaches of the GDPR can lead to an administrative fine?

Los siete principios del RGPD

  • Legalidad, Equidad y Transparencia
  • Limitación del propósito
  • Minimización de datos
  • Exactitud
  • Limitación de almacenamiento
  • Integridad y Confidencialidad
  • Rendición de cuentas

Auditorías periódicas

El hecho de que la Comisión Europea haya tomado la decisión de que un tercer país tiene un nivel adecuado de protección no significa que siempre sea así. La Comisión Europea debe revisar la decisión periódicamente. La revisión se lleva a cabo al menos una vez cada cuatro años y puede modificarse. 

Transferencia de datos personales de la UE a los EE.UU.

En la sentencia Schrems II de 2020, el TJUE anuló el Escudo de la privacidad y sus decisiones sobre adecuación. En consecuencia, los Estados Unidos no tenían un nivel de protección suficientemente elevado para que se considerara que tenían un nivel de protección adecuado. Una de las razones fue el acceso a los datos personales que tenían las autoridades de los Estados Unidos. Posteriormente, la UE y los EE. UU. iniciaron negociaciones sobre el Marco de Privacidad de Datos UE-EE. UU.

Ahora está permitido transferir datos personales de la UE a los EE. UU., si el destinatario está cubierto por el Marco de Privacidad de Datos UE-EE. UU. decidido por la Comisión Europea en 2023. Sin embargo, puede permitirse incluso en los casos en que el destinatario no esté conectado al DPF, pero en tales casos la empresa debe adoptar las medidas de protección adicionales adecuadas. Por ejemplo, normas corporativas vinculantes. Otra salvaguardia es el uso de cláusulas contractuales tipo. 

Traslados al Reino Unido tras el Brexit

El Reino Unido ha sido un tercer país bajo el RGPD desde 2021, cuando abandonó la UE. Más adelante, en 2021, la Comisión Europea adoptó la decisión de que el Reino Unido tenía un nivel de protección suficientemente elevado, es decir, un nivel de protección adecuado. La decisión permite que los datos personales de la UE se transfieran allí sin garantías adicionales o permiso especial, como si el Reino Unido fuera otro país de la UE. 

MÁS INFORMACIÓN SOBRE LA TRANSFERENCIA DE DATOS PERSONALES A TERCEROS PAÍSES

Transferencia de datos personales a terceros países en situaciones específicas y en el caso de transferencias ocasionales

Puede permitirse la transferencia de datos personales a un tercer país en determinadas situaciones, incluso si dicho tercer país no tiene un nivel adecuado de protección o si la empresa adopta salvaguardias adicionales, como la celebración de cláusulas contractuales tipo de la Comisión de la UE. Por ejemplo, si la empresa recibe el consentimiento explícito del interesado. Tenga en cuenta que la empresa debe informar al interesado de los riesgos que conlleva dicha transferencia a un tercer país si el tercer país carece de un nivel adecuado de protección o no se toman de la empresa las garantías adecuadas. 

¿Quieres saber más?

Leer más
Scroll al inicio