En este artículo vamos a hablar de una de las materias más complejas y que más responsabilidad puede generar a las empresas e instituciones: La cesión internacional de datos; puesto que una cesión internacional de datos personales a países que no sean Estados miembro de la UE puede suponer una sanción de hasta “veinte millones de euros”.
A tener en cuenta en la transferencia internacional de datos en el RGPD
En ese sentido, es necesario realizar un estudio completo, caso a caso, y dependiendo del país de destino, del cumplimiento Reglamento General Europeo de Protección de datos (RGPD), ya que si los datos personales se transfieren de la Unión a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección del RGPD. Además hay que redactar el clausulado y de los contratos y documentos necesarios para ello.
Por tanto, la transferencia solo podría tener lugar si el responsable o encargado de los datos personales en el país no comunitario cumple con el estándar legal del RGPD. Además, habrá que tener en cuenta las evaluaciones que realice la Comisión Europea para señalar qué países cumplen con el nivel de protección del RGPD y cuáles no, sin perjuicio de Convenios internacionales entre la Unión Europea y terceros países, como el que existen con Estados Unidos; conocido como “Privacy Shield”.
Pero si no existe decisión de la Comisión, tendrá que ser el titular responsable del fichero quien se asegure, bajo su responsabilidad, del grado de cumplimiento de conformidad con el artículo44 RGPD, en este sentido, lo mejor es dejar estas cuestiones a profesionales legales expertos en derecho de la Unión Europea y derecho de las nuevas tecnologías.
Será obligatorio informar de las transferencias internacionales a la AEPD
De hecho, el proyecto LOPD-GDD prevé que los responsables (titulares) del tratamiento informen con carácter obligatorio a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, de cualquier transferencia internacional de datos que pretendan llevar a cabo sobre la base de su necesidad para fines relacionados con intereses legítimos imperiosos perseguidos por aquéllos y la concurrencia del resto de los requisitos previstos en el último párrafo del artículo 49.1 del Reglamento (UE) 2016/679. Asimismo, informarán a los afectados de la transferencia y de los intereses legítimos imperiosos perseguidos; información que deberá facilitarse con carácter previo a la realización de la transferencia.
A la espera de la futura LOPD-GDD y que la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos redacten y ofrezcan cláusulas contractuales tipo para la realización de transferencias internacionales de datos, que se someterán previamente al dictamen del Comité Europeo de Protección de Datos previsto en el artículo 64 del citado reglamento, el despacho de abogados Navas & Cusí es una garantía para las empresas e instituciones en este complejo ámbito del comercio y las comunicaciones internacionales, por su carácter especializado tanto en derecho comunitario e internacional como en derecho de protección de datos y nuevas tecnologías. Puede ponerse en contrato con nosotros enviando el formulario de contacto o llamando al 915 76 11 50
> Leer más en nuestro blog sobre noticias de Derecho de la Unión Europea
> Leer más en nuestro blog sobre noticias de Derecho de las nuevas tecnologías
> Leer más en nuestro blog sobre noticias de Derecho Mercantil y Societario
