Modulo I parte 9 del curso Protección de Datos

UNIDAD DIDÁCTICA 1.8.
EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y ACTUALIZACIÓN DE
LOPD. TRANSFERENCIAS INTERNACIONALES DE DATOS.
MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS

UNIDAD DIDÁCTICA 1.8. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y ACTUALIZACIÓN DE LOPD.
TRANSFERENCIAS INTERNACIONALES DE DATOS.
OBJETIVOS ESPECIFICOS
 Identificar las transferencias a terceros países que requieren una autorización
 Conocer las normas corporativas vinculantes
 Adquirir un conocimiento a cerca de las condiciones que determinan las excepciones de las
transferencias internacionales.
 Determinar la utilización de las láusulas contractuales

ESTRUCTURA DIDÁCTICA
Introducción
1.8.1. El sistema de decisiones de adecuación.
1.8.2. Transferencias mediante garantías adecuadas.
1.8.3. Normas Corporativas Vinculantes
1.8.4. Excepciones.
1.8.5. Autorización de la autoridad de control.
1.8.6. Suspensión temporal.
1.8.7. Cláusulas contractuales.

INTRODUCCIÓN
Según el título IV del Proyecto de LOPD*31 es adaptado por el nuevo Reglamento donde indica que
modelos contractuales o normativas corporativas vinculante, pueden ser autorizadas y aprobadas por
las autoridades de protección de datos ,bajo un proceso o procedimiento.
Las transferencias internacionales de datos personales tras la sentencia del Tribunal de Justicia de la UE ,
no fue validada y las revelaciones anteriores de Snowden *22 , tuvieron mayor visibilidad en la esfera
pública.
Aclaraciones:
El Tribunal de Justicia de la Unión Europea,(octubre2015) no valido la Decisión de «Puerto Seguro»
de la Comisión Europea ,al vincular un nivel adecuado de protección de datos con las
organizaciones de EEUU del sistema. (Art.44 a 55 RGPD)

INTRODUCCIÓN
Además esta sentencia hizo vislumbrar a los
responsables de ficheros que las transferencias
internacionales estaban siendo relacionadas con los
motivos de contratación de servicios como “cloud
computing” *23
Para poder trasferir datos a EEUU se aplicó el “Escudo
de la Privacidad”

INTRODUCCIÓN
Para transmitir datos personales a otros países, territorios, organismos y servicios, la Comisión
Europea debe considerar que presentan un nivel adecuado de seguridad y protección , al menos
que presenten circunstancias excepcionales.( Directiva 85/46)
Uno de los cambios establecidos por el RGPD, son los supuestos minimizados de autorizaciones y
notificaciones de transferencias, dentro de los cuales encontramos:
• RT o ET puede exportar los datos.
• RT debe ser sin excepción el exportador de los Estados Miembros, favoreciendo la
subcontratación a determinados Estados miembros en los que el exportador ha de ser siempre
el responsable del tratamiento, favoreciendo a los prestadores de servicio que se encuentran en
terceros países la subcontratación en otros países o en el establecidos respecto a los
prestadores que se encuentran en la UE

INTRODUCCIÓN
Los supuestos minimizados de autorizaciones y notificaciones de transferencias, dentro de los
cuales encontramos:
• AEPD determina las garantías para establecer transferencias internacionales de encargados que
se encuentren en España a suben cargados en terceros países, mediante cláusulas contractuales.
También el RGPD proporciona instrumentos que incluyen y mejoran la protección de los
derechos de los afectados , donde se introducen:
• Pueden ser ampliados por cada país
• Códigos de conducta y métodos de certificación , Normas Corporativas Vinculantes(en grupos
multinacionales, como rango legal Trabajo del Artículo del 28 (GT28)*26

INTRODUCCIÓN
RGPS también permite elaborar normas corporativas vinculantes para realizar transferencias
internacionales de la UE a empresas que realizan conjuntamente una actividad económica, o en
un grupo de empresas con distintas organizaciones.
Se podrán realizar transferencias a terceros países cuando:
• El interesado de un consentimiento explícito,
• Ocasionalmente se originen las transferencias en caso de contrato o reclamación,
• No tiene porqué ser un procedimiento judicial/administrativo
• Se lleve a cabo procedimientos en organismos reguladores

INTRODUCCIÓN
• Transferencia de datos a terceros países sin
nivel adecuado de protección de datos.
Se podrá transferir datos a un país cuyo nivel de
protección no garantiza seguridad, en caso de
tratarse de una necesidad o interés legítimo por
parte del Responsable, si no repercute de manera
negativa aun gran numero de interesados y se
produce de manera ocasional. (Directiva 85/46)

1.8.1. EL SISTEMA DE DECISIONES DE ADECUACIÓN
No se requiere autorización para transferir datos a un país, organismo territorio si la Comisión de la UE
considera que tiene un nivel correcto en materia de protección de datos determinado por la Comisión
(UE)
Los elementos que determinan un nivel de protección adecuado según la Comisión:
Elementos:
• Respeto a los derechos Humanos y libertades, de acuerdo a la normativa vigente , como Estado
de Derecho
• Autoridades de control independientes que controlen el cumplimiento de la normativa
• Compromisos internacionales que cumplen el tercer país

1.8.2. TRANSFERENCIAS MEDIANTE GARANTÍAS ADECUADAS
Art.46 RGPD
Si un tercer país no se encuentra reconocido por la Comisión, pero garantiza un nivel de protección
adecuado, el RT o ET podrá transmitir datos personales.
Para no requerir ninguna autorización por parte de la autoridad de control se requiere:
Requerimientos:
• Un instrumento jurídicamente que relacione las autoridades u organismos públicos;
• Normas corporativas vinculantes de conformidad (Artículo 47);

Art.46 RGPD
Requerimientos:
• Cláusulas tipo de protección de datos llevados a cabo por la Comisión de conformidad , referido
al procedimientos de examen del l artículo 83, apartado 2; que es aprobado por la Comisión y
realizado por la autoridad de control (artículo 83, apartado 2);
• Un código de conducta aprobado atendiendo al artículo 40, junto con compromisos vinculantes
y exigibles del RT o ET en el tercer país de aplicar garantías adecuadas, y derechos de los
interesados, o

Art.46 RGPD
Requerimientos:
• Un mecanismo de certificación aprobado atendiendo al artículo 42, junto con compromisos
vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar
garantías adecuadas, y derechos de los interesados.

Si existe autorización de la autoridad de control las garantías serán aportadas a partir de :
• Cláusulas contractuales entre el responsable o el encargado y responsable; también entre
encargado o destinatarios de los datos en un tercer país.
• Disposiciones que se establezcan en los acuerdos administrativos entre autoridades

1.8.3. NORMAS CORPORATIVAS VINCULANTES
1. Las Normas Corporativas son aprobadas por la Autoridad de Control (Art.47 RGPD) cuando :
“a) sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros
correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica
conjunta, incluidos sus empleados;
b) confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus
datos personales, y
c) cumplan los requisitos establecidos en el apartado 2”

“2. Las normas corporativas vinculantes mencionadas en el apartado 1 especificarán, como mínimo,
los siguientes elementos en las diapositivas posteriores :
a) “la estructura y los datos de contacto del grupo empresarial o de la unión de empresas dedicadas a
una actividad económica conjunta y de cada uno de sus miembros;”
b) “las transferencias o conjuntos de transferencias de datos, incluidas las categorías de datos
personales, el tipo de tratamientos y sus fines, el tipo de interesados afectados y el nombre del
tercer o los terceros países en cuestión;”
c) “su carácter jurídicamente vinculante, tanto a nivel interno como externo”
d) “la aplicación de los principios generales en materia de protección de datos, en particular la
limitación de la finalidad, la minimización de los datos, los periodos de conservación limitados, la
calidad de los datos, la protección de los datos desde el diseño y por defecto, la base del
tratamiento, el tratamiento de categorías especiales de datos personales, las medidas encaminadas
a garantizar la seguridad de los datos y los requisitos con respecto a las transferencias ulteriores a
organismos no vinculados por las normas corporativas vinculantes;”

“e) los derechos de los interesados en relación con el tratamiento y los medios para ejercerlos, en
particular el derecho a no ser objeto de decisiones basadas exclusivamente en un tratamiento
automatizado, incluida la elaboración de perfiles de conformidad con lo dispuesto en el artículo 22, el
derecho a presentar una reclamación ante la autoridad de control competente y ante los tribunales
competentes de los Estados miembros de conformidad con el artículo 78, y el derecho a obtener una
reparación, y, cuando proceda, una indemnización por violación de las normas corporativas vinculantes;

“f) La aceptación por parte del responsable o del encargado del tratamiento establecidos en el territorio
de un Estado miembro de la responsabilidad por cualquier violación de las normas corporativas
vinculantes por parte de cualquier miembro de que se trate no establecido en la Unión; el responsable
o el encargado solo será retirado, total o parcialmente, de dicha responsabilidad si demuestra que el
acto que originó los daños y perjuicios no es imputable a dicho miembro.”

“f) La aceptación por parte del responsable o del encargado del tratamiento establecidos en el territorio
de un Estado miembro de la responsabilidad por cualquier violación de las normas corporativas
vinculantes por parte de cualquier miembro de que se trate no establecido en la Unión; el responsable
o el encargado solo será retirado, total o parcialmente, de dicha responsabilidad si demuestra que el
acto que originó los daños y perjuicios no es imputable a dicho miembro.”
“g) La forma en que se facilita a los interesados la información sobre las normas corporativas
vinculantes, en particular en lo que respecta a las disposiciones contempladas en las letras d), e) y f) del
presente apartado, además de los artículos 13 y 14. “

“h) Las funciones de todo delegado de protección de datos designado de conformidad con el artículo
37, o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas
corporativas vinculantes dentro del grupo empresarial o de la unión de empresas dedicadas a una
actividad económica conjunta, así como de la supervisión de la formación y de la tramitación de las
reclamaciones. “
“I) Los procedimientos de reclamación. “

“j ) los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a
una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas
corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos
para garantizar acciones correctivas para proteger los derechos del interesado. Los resultados de dicha
verificación deberían comunicarse a la persona o entidad a que se refiere la letra h) y al consejo de
administración de la empresa que controla un grupo empresarial, o de la unión de empresas dedicadas a
una actividad económica conjunta, y ponerse “

“k) los mecanismos establecidos para comunicar y registrar las modificaciones introducidas en las
normas y para notificar esas modificaciones a la autoridad de control;”
“l) el mecanismo de cooperación con la autoridad de control para garantizar el cumplimiento por parte
de cualquier miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad
económica conjunta, en particular poniendo a disposición de la autoridad de control los resultados de
las verificaciones de las medidas contempladas en la letra j);”
“n) la formación en protección de datos pertinente para el personal que tenga acceso permanente o
habitual a datos personales.”

Para solicitar la autorización basada en las Reglas corporativas Vinculantes, se debe:
• Escribir e identificar las empresas exportadoras e importadoras y de los ficheros que deben
encontrarse en la transferencia atendiendo al código inscrito en el en el Registro General de
Protección de Datos.
• Establecer normas corporativas vinculantes.
• Poseer una copia de la autorización formal que haya facilitado la Autoridad principal
• El solicitante debe de tener poderes suficientes
• Actualizar la inscripción de los ficheros (“Colectivos “y “Medidas de Seguridad”
Todos los documentos deben estar traducidos por un interprete jurado al español

1.8.4. EXCEPCIONES
Excepciones (Art. 48. RGPD)
Si no hay una decisión sobre las garantías incluidas en las normas corporativas vinculantes,
transferencias o conjunto de las mismas, a un tercero país se realizará en las siguientes condiciones:
“a) El interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras
haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de
una decisión de adecuación y de garantías adecuadas. “
“b) La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el
responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud
del interesado.

1.8.4. EXCEPCIONES
“c) La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del
interesado, entre el responsable del tratamiento y otra persona física o jurídica. “
“d) La transferencia sea necesaria por razones importantes de interés público.
e) La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
f) La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras
personas, cuando el interesado esté física o jurídicamente incapacitado para dar su
consentimiento. “

1.8.4. EXCEPCIONES
“g) La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o
de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la
consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo,
pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece
el Derecho de la Unión o de los Estados miembros para la consulta.”

1.8.4. EXCEPCIONES
transferencias o conjunto de las mismas, a un tercero país se realizará en las siguientes condiciones
:
Según el apartado g):
“1. Una transferencia efectuada de conformidad con el párrafo primero, letra g), no abarcará la
totalidad de los datos personales ni categorías enteras de datos personales contenidos en el
registro. Si la finalidad del registro es la consulta por parte de personas que tengan un interés
legítimo, la transferencia solo se efectuará a solicitud de dichas personas o si estas han de ser las
destinatarias
“2. “El párrafo primero, letras a), b) y c), y el párrafo segundo no serán aplicables a las actividades
llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos. “

1.8.4. EXCEPCIONES
Según el apartado g):
“ 3. El párrafo primero, letra d), será reconocido por el Derecho de la Unión o de los Estados
miembros que se aplique al responsable del tratamiento. “
“El responsable o el encargado del tratamiento documentarán en el Registro de Actividades del
Tratamiento, la evaluación y las garantías apropiadas. “

1.8.4. EXCEPCIONES
Art. 43 de Ley de la Ley de Protección de Datos de España 3/2018 *31:
«Supuestos sometidos a información previa a la autoridad de protección de datos competente….”
«…… Los responsables del tratamiento deberán informar a la Agencia Española de Protección de
Datos o, en su caso, a las autoridades autonómicas de protección de datos, de cualquier
transferencia internacional de datos que pretendan llevar a cabo sobre la base de su necesidad
para fines relacionados con intereses legítimos imperiosos perseguidos por aquéllos y la
concurrencia del resto de los requisitos previstos en el último párrafo del artículo 48.1 del
Reglamento (UE) 2016/678. Asimismo, informarán a los afectados de la transferencia y de los
intereses legítimos imperiosos perseguidos. Esta información deberá facilitarse con carácter previo
a la realización de la transferencia.»

1.8.5. AUTORIZACIÓN DE LA AUTORIDAD DE CONTROL
El artículo 41 de la Ley Orgánica 3/2018 establece que la autoridad de control debe aprobar las
cláusulas contractuales tipo y normas corporativas vinculantes para autorizar las transferencias
internacionales de datos cuando no se ofrezcan las garantías suficientes para la protección de
dichos datos.
En España la AEPD será la autoridad de control (Art.41 del Proyecto de LOPD *31.). Los supuestos
de transferencias internacionales deberán ser autorizadas por la AEPD Art1, que aparecerán en la
siguiente diapositiva.

Los supuestos de transferencias internacionales deberán ser autorizadas por la AEPD Art1:
Supuestos.
• Cuando la transferencia pretenda basarse en la aportación de cláusulas contractuales que no
correspondan a las cláusulas tipo previstas en el artículo 46.2 (letras c y d ) del RGPD.
• Cuando la transferencia lo realice algunos de los responsables o encargados a los que se
refiere el artículo 77.1 de la Ley Orgáncia 3/2018 *31 y se funde en disposiciones
incorporadas a acuerdos internacionales no normativos con otras autoridades públicos de
terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos
los memorandos de entendimiento.
• La duración del proceso será como máxima de un año.

TRANSFERENCIAAS INTERNACIONALES DE DATOS.
Procedimiento de Autorización de Transferencias Internacionales de datos está establecido por
el Registro General de Protección de Datos ,el cuál tramitara la autorización de transferencias
internacionales. ( Primera sección del capítulo V del título IX del RLOPD.):
“El procedimiento se inicia a solicitud del exportador que pretenda llevar a cabo la
transferencia.”

internacionales .Donde se determinan los siguientes aspectos ( Primera sección del capítulo V del
título IX del RLOPD.):
• “El procedimiento se inicia cuando lo solicite el exportador que pretenda llevar a cabo la
transferencia.”
• Podrá requerir al solicitante para que complete o modifique la documentación presentada en
10 días como plazo, determinado en el artículo 68.1 de la Ley 38/2015 del Procedimiento
Administrativo Común de las Administraciones Públicas. Si tras el plazo no se hubiera recibido
su notificación, se le informará como desestimada la petición, quedando archivada su solicitud”.
“ La información pública será tramitada con carácter potestativo en un plazo de 10 días”

internacionales .Donde se determinan los siguientes aspectos ( Primera sección del capítulo V del
título IX del RLOPD.):
• “Cumplidos los requisitos legalmente exigidos la Directora de la Agencia podrá autorizar la
transferencia internacional de datos, cuya resolución de autorización será trasladada al Registro
General de Protección de Datos, para proceder a su inscripción.”
• “El Registro General de Protección de Datos inscribirá de oficio la autorización de transferencia
internacional. “

1.8.6. SUSPENSIÓN TEMPORAL
La Autoridad de Control autorizará previamente la transferencia de datos , cuya autorización se
deberá de transmitir al Comité Europeo de Protección de Datos. (RGPD 64)
La transferencia no se podrá llevar a cabo hasta que el Comité comunique el dictamen a la
Autoridad de Control. Lo mismo ocurrirá con las normas corporativas vinculantes.
Los acuerdos internacionales realizados por los Estados miembros antes del 24 de mayo de 2016
continuarán vigentes hasta que se modifiquen, revoquen o sustituyan, si cumplen con la
normativa vigente de la UE.

1.8.7. CLÁUSULAS CONTRACTUALES
Las cláusulas contractuales tipo facilitan las transferencia de datos personales a terceros países
por medio de un contrato, que estarán relacionadas únicamente con la protección de datos.
Los interesados del contrato pueden añadir otras cláusulas para su negocio.
• El 5 de febrero de 2010 la Comisión publicó en el BOUE( 5 febrero 2010) publicó la decisión a
cerca de las cláusulas contractuales tipo como medio para transferir datos personales a los ET
que se encuentran en terceros países.( Puede acceder a la página web de AEPS *27 de
conformidad con Directiva 85/46/CE) Y AEPD publicó las cláusulas contractuales de encargados
a subencargados del tratamiento EL 21 de marzo de 2012 ( Pueden acceder a la página web de
AEPD *28de conformidad con la Directiva 85/46/CE).

Modulo I parte 9 del curso Protección de Datos

Recomendados

Recomendados

Más contenido relacionado

Similar a Modulo I parte 9 del curso Protección de Datos

Similar a Modulo I parte 9 del curso Protección de Datos (20)

Más de ANTONIO GARCÍA HERRÁIZ

Más de ANTONIO GARCÍA HERRÁIZ (20)

Último

Último (20)

Modulo I parte 9 del curso Protección de Datos