TRANSFERENCIAS INTERNACIONALES

Las transferencias internacionales de datos están reguladas en el Capítulo V del RGPD y en el Titulo VI de la LOPDGDD.
Las transferencias internacionales de datos suponen un movimiento de datos personales desde España a países establecidos fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega). Por tanto, no supone una transferencia internacional de datos aquella que se produzca dentro del Espacio Económico Europeo.
Sin embargo, cuando un responsable y/o encargado realice un movimiento de datos fuera de la UE, podrá realizarse dicha transferencia, sin la necesidad de autorización por parte de la AEPD, si se da alguno de
estos escenarios:
1) NIVEL ADECUADO DECLARADO POR LA COMISIÓN
Si la transferencia se realiza a países, territorios, sectores específicos de esos terceros países u organizaciones internacionales sobre los que la Comisión haya adoptado una decisión declarando que ofrecen un nivel de protección adecuado. En tal caso, dicha transferencia no requerirá de ninguna autorización previa (artículo 45 del RGPD).
A día de hoy, los países calificados por la Comisión son los siguientes:
• Suiza
• Canadá
• Argentina
• Guernsey
• Isla de man
• Jersey
• Islas Feroe
• Andorra
• Israel
• Uruguay
• Nueva Zelanda
• EEUU: Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU

(https://www.privacyshield.gov/list).
2) NO DECISIÓN DE ADECUACIÓN, PERO HAY GARANTIAS:
En segundo lugar, y a falta de la citada decisión, el responsable o encargado del tratamiento pueden transferir los datos a un tercer país u organización internacional si se han establecido las garantías adecuadas y los afectados cuenten con derechos exigibles y acciones legales efectivas (art. 46 RGPD).
Estas garantías adecuadas pueden ser aportadas, sin necesidad de autorización de la autoridad de control por:
a) Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;
b) Normas corporativas vinculantes (art. 47 RGPD);
c) Cláusulas tipo de protección de datos adoptadas por la Comisión;
d) Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión;
e) Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado

f) La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento; o

g) La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en
general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.
Si ninguna de estas condiciones tampoco es aplicable, la transferencia internacional se podrá llevar a cabo si:

  • libertades del interesado
  • El responsable haya evaluado las circunstancias concurrentes en la transferencia y ofrece garantías apropiadas
    Si se da esta situación, se deberá informar de la transferencia a la Autoridad de Control (en España la AEPD), y se deberá informar al interesado además del deber de información contenido en los artículos 13 y 14 del RGPD, de la transferencia y los intereses legítimos perseguidos con la misma (art. 49 RGPD).
    AUTORIZACIÓN AEPD
    De conformidad con el 42 LOPDGDD, las transferencias internacionales de datos a países u organizaciones
    internacionales que no cuenten con decisión de adecuación aprobada por la Comisión o que no se amparen en alguna de las garantías previstas en el RGPD (46.2), requerirán una previa autorización de la Agencia Española de Protección de Datos o, en su caso, autoridades autonómicas de protección de datos, que podrá otorgarse en los siguientes supuestos:
    a) Cuando la transferencia se base en la aportación de garantías adecuadas con fundamento en cláusulas contractuales que no correspondan a las cláusulas tipo previstas en el artículo 46.2, letras c) y d), del Reglamento (UE) 2016/679.
  • b) Cuando la transferencia se lleve a cabo por alguno de los responsables o encargados que sean autoridades u organismos públicos, y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos
  • efectivos y exigibles para los afectados.
  • Cuando es necesaria la autorización de la AEPD, el procedimiento de autorización tiene una duración máxima de 6 meses (art. 42 LOPDGDD), y estará sometida a la emisión por el Comité Europeo de
  • Protección de Datos del dictamen al que se refieren los artículos 64.1.e), 64.1.f) y 65.1.c) del RGPD. La remisión del expediente al citado comité implicará la suspensión del procedimiento hasta que el dictamen sea notificado a la AEPD o, por conducto de la misma, a la autoridad de control competente, en su caso.
  • Hay que tener en cuenta que el procedimiento si iniciará a solicitud del exportador que pretenda llevar a cabo la transferencia. Cumplidos todos los trámites exigidos, el/la directora/a de la Agencia resolverá autorizar la Transferencia o no. Si en el plazo de seis meses no se hubiese dictado y notificado la resolución expresa, se entenderá autorizada.