El modelo de transferencias internacionales diseñado por el RGPD sigue los mismos criterios que el establecido por la Directiva 95/46 y por las legislaciones nacionales de trasposición.

El reglamento prohíbe la transferencia de datos personales fuera de la UE a un país tercero que no tenga una protección de datos adecuada.

La Comisión Europea tiene el poder de aprobar países concretos como que proporcionan un nivel adecuado de protección de datos, teniendo en consideración las leyes de protección de datos en vigor en ese país y sus compromisos internacionales. En la actualidad esta lista es Andorra, Argentina, Canadá, Islas Faroe, Guernsey, Israel, Isla de Man, Jersey, Nueva Zelanda, Suiza y Uruguay.

Para las transferencias de datos a cualquier país que no esté en la lista, debe haber un contrato legal que estipule que el destinatario que no es de la UE acepta las garantías de protección de los datos exigidas.

El Reglamento reconoce explícitamente y fomenta el uso de normas corporativas vinculantes como mecanismo de transferencia de datos válido en los grupos de empresas. Los códigos de conducta aprobados también pueden utilizarse para las transferencias de datos.

Obligaciones.

  • Los datos solo podrán ser comunicados fuera del Espacio Económico Europeo:
    • A países, territorios o sectores específicos (el RGPD incluye también organizaciones internacionales) sobre los que la Comisión haya adoptado una decisión reconociendo que ofrecen un nivel de protección adecuado.
    • Cuando se hayan ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino.
    • Cuando se aplique alguna de las excepciones que permiten transferir los datos sin garantías de protección adecuada por razones de necesidad vinculadas al propio interés del titular de los datos o a intereses generales.

A tener en cuenta.

Desde el punto de vista de los responsables y encargados que actualmente realizan transferencias internacionales o que las efectuarán en el marco del RGPD:

  • Las decisiones de adecuación que la Comisión ha adoptado con anterioridad a la aplicación del RGPD seguirán siendo válidas, y por tanto, podrán seguir realizándose transferencias basadas en ellas, en tanto la Comisión no las sustituya o derogue.
  • Las decisiones de la Comisión estableciendo cláusulas tipo para los contratos en los que se establecen garantías para las transferencias internacionales seguirán siendo válidas hasta que la Comisión las sustituya o derogue.
  • Las autorizaciones de transferencias que las autoridades nacionales de protección de datos hayan otorgado sobre la base de garantías contractuales seguirán siendo válidas en tanto las autoridades no las revoquen.
  • Las garantías sobre la protección que recibirán los datos en destino las debe ofrecer el exportador, que podrá ser tanto un responsable como un encargado de tratamiento.
  • Se amplía la lista de posibles instrumentos para ofrecer garantías, incluyéndose expresamente, entre otros, las Normas Corporativas Vinculantes para responsables y encargados, los códigos de conducta y esquemas de certificación, así como los cláusulas contractuales modelo que puedan aprobar las autoridades de protección de datos.
  • En los casos de Normas Corporativas Vinculantes, cláusulas contractuales estándar, códigos de conducta y esquemas de certificación, la transferencia no requerirá la autorización de las autoridades de supervisión.
  • Se añade una excepción al listado que en su momento estableció la Directiva 95/46: Se trata de la posibilidad de que el responsable pueda transferir datos a un país sin nivel adecuado de protección cuando esa transferencia sea necesaria para satisfacer intereses legítimos imperiosos del responsable y la transferencia no es repetitiva y afecta sólo a un número limitado de interesados.

En todo caso, la transferencia solo será posible si no prevalecen los derechos, libertades e intereses de los afectados y deberá comunicarse a la autoridad de protección de datos.