Última revisión
datos
1670 - ¿Cuáles son las situaciones específicas en el tratamiento de datos personales con terceros países?
Relacionados:
Vademecum: datos
Fecha última revisión: 08/10/2024
La autoridad de control competente aprobará normas corporativas vinculantes en el tratamiento de datos personales en el territorio de un Estado miembro para transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.
El artículo 49 del RGPD reconoce algunas excepciones en las transferencias de datos con terceros países para situaciones específicas, como el consentimiento del interesado, la celebración de un contrato, y razones de interés público.
Normas corporativas vinculantes
La autoridad de control competente aprobará normas corporativas vinculantes de acuerdo con el mecanismo de coherencia dispuesto en el artículo 63 del RGPD, siempre que las mismas:
- Sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta (incluidos sus empleados).
- Confieran expresamente a los interesados derechos exigibles en relación con el tratamiento de sus datos personales.
- Cumplan los requisitos dispuestos en el apartado 2 del artículo 47 del RGPD.
En relación con las normas corporativas vinculantes (BCR), la Agencia Española de Protección de Datos (AEPD) expone lo siguiente:
«Las normas corporativas vinculantes (o BCR —Binding Corporate Rules— por sus siglas en inglés) son “las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”.
Los grupos empresariales son aquellos “constituidos por una empresa que ejerce el control y sus empresas controladas”.
Las normas corporativas vinculantes deberán cumplir los requisitos y contenidos establecidos en el artículo 47 del RGPD.
La autoridad de control competente las aprobará de conformidad con el mecanismo de coherencia establecido en el artículo 63 del RGPD».
Fuente: web de la AEPD
CUESTIÓN
¿Qué datos precisarán las normas corporativas vinculantes?
Como mínimo, las normas corporativas vinculantes especificarán lo siguiente:
a) Estructura y datos de contacto del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta y de cada uno de sus miembros.
b) Transferencias o conjuntos de transferencias de datos, incluidas:
- Las categorías de datos personales.
- El tipo de tratamientos y sus fines.
- El tipo de interesados afectados.
- El nombre del tercer o los terceros países en cuestión.
c) Carácter jurídicamente vinculante (nivel interno como externo).
d) Aplicación de los principios generales en materia de protección de datos, en particular:
- La limitación de la finalidad.
- La minimización de los datos.
- Los periodos de conservación limitados.
- La calidad de los datos.
- La protección de los datos desde el diseño y por defecto.
- La base del tratamiento.
- El tratamiento de categorías especiales de datos personales.
- Las medidas encaminadas a garantizar la seguridad de los datos.
- Los requisitos con respecto a las transferencias ulteriores a organismos no vinculados por las normas corporativas vinculantes.
e) Los derechos de los interesados en relación con el tratamiento y los medios para ejercerlos, en particular:
- El derecho a no ser objeto de decisiones basadas exclusivamente en un tratamiento automatizado, incluida la elaboración de perfiles (artículo 22 del RGPD).
- El derecho a presentar una reclamación ante la autoridad de control competente y ante los tribunales competentes de los EE. MM. (artículo 79 del RGPD).
- El derecho a obtener una reparación, y, cuando proceda, una indemnización por violación de las normas corporativas vinculantes.
f) Aceptación por parte del responsable o del encargado del tratamiento dispuestos en el territorio de un EM de la responsabilidad por cualquier violación de las normas corporativas vinculantes por parte de cualquier miembro de que se trate no establecido en la Unión (el responsable o el encargado solo será exonerado, total o parcialmente, de dicha responsabilidad si demuestra que el acto que originó los daños y perjuicios no es imputable a dicho miembro).
g) Forma en que se facilita a los interesados la información sobre las normas corporativas vinculantes, en particular en lo que respecta a las disposiciones contempladas en las letras d), e) y f) del apartado segundo del artículo 47 del RGPD, además de los artículos 13 y 14 de la misma norma.
h) Funciones de todo DPD designado de acuerdo con el artículo 37 del RGPD, o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, así como de la supervisión de la formación y de la tramitación de las reclamaciones.
i) Procedimientos de reclamación.
j) Mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes, que incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado. Los resultados de dicha verificación deberían comunicarse a la persona o entidad a que se refiere la letra h) del apartado segundo del artículo 47 del RGPD y al consejo de administración de la empresa que controla un grupo empresarial, o de la unión de empresas dedicadas a una actividad económica conjunta, y ponerse a disposición de la autoridad de control competente que lo solicite.
k) Mecanismos dispuestos para comunicar y registrar las modificaciones introducidas en las normas y para notificar esas modificaciones a la autoridad de control.
l) Mecanismo de cooperación con la autoridad de control para garantizar el cumplimiento por parte de cualquier miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, en particular poniendo a disposición de la autoridad de control los resultados de las verificaciones de las medidas contempladas en la letra j) del apartado segundo de 47 del RGPD.
m) Mecanismos para informar a la autoridad de control competente de cualquier requisito jurídico de aplicación en un país tercero a un miembro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, que probablemente tengan un efecto adverso sobre las garantías establecidas en las normas corporativas vinculantes.
n) Formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales (artículo 47.2 del RGPD).
Excepciones para situaciones específicas en las transferencias de datos con terceros países
El artículo 49 del RGPD reconoce las siguientes excepciones para situaciones específicas y aclara que únicamente se efectuará la transferencia si se cumple alguna de las siguientes condiciones:
- El interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas [artículo 49.1.a) del RGPD]*.
- La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado [artículo 49.1.b) del RGPD]*.
- La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica [artículo 49.1.c) del RGPD]*.
- La transferencia sea necesaria por razones importantes de interés público [artículo 49.1.d) del RGPD].
- La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones [artículo 49.1.e) del RGPD].
- La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento [artículo 49.1.f) del RGPD].
- La transferencia se realice desde un registro público que, con arreglo al derecho de la Unión o de los EE. MM., tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero solo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el derecho de la Unión o de los Estados miembros para la consulta [artículo 49.1.g) del RGPD].
*Estas excepciones no serán aplicables a las actividades realizadas por las autoridades públicas en el ejercicio de sus poderes públicos (artículo 49.3 del RGPD).
No obstante, como indica el referido precepto, si una transferencia no puede basarse en disposiciones de los artículos 45 o 46 de la norma que nos ocupa, y tampoco puede encajarse en ninguna de las excepciones, esta solo se podrá llevar a cabo si:
- No es repetitiva.
- Afecta solo a un número limitado de interesados.
- Es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado.
- El responsable del tratamiento evaluó todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales.
A TENER EN CUENTA. En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el derecho de la Unión o de los EE. MM. podrá, por razones importantes de interés público, establecer de manera expresa límites a la transferencia de categorías específicas de datos a un tercer país u organización internacional, estos notificarán a la Comisión las referidas disposiciones (artículo 49.5 del RGPD).
CUESTIONES
1. En relación con lo anterior, ¿qué deberá realizar el responsable o el encargado del tratamiento?
El responsable del tratamiento informará a:
a) La autoridad de control de la transferencia.
b) El interesado:
- Información a que se refieren los artículos 13 y 14 del RGPD.
- La transferencia y de los intereses legítimos imperiosos perseguidos.
El responsable o el encargado del tratamiento documentarán en los registros del artículo 30 del RGPD la evaluación y las garantías apropiadas referidas en el apartado 1, párrafo segundo, del artículo de referencia (artículo 49.6 del RGPD).
2. ¿Qué artículos de la LOPDGDD regulan las transferencias internacionales de datos?
Las transferencias internacionales de datos se regulan en la LOPDGDD en los siguientes artículos:
- Régimen de transferencias internacionales de datos (artículo 40 de la LOPDGDD).
- Supuestos de adopción por la AEPD (artículo 41 de la LOPDGDD).
- Supuestos sometidos a autorización previa de las autoridades de protección de datos (artículo 42 de la LOPDGDD).
- Supuestos sometidos a información previa a la autoridad de protección de datos competente (artículo 43 de la LOPDGDD).