El intercambio de datos personales entre países es ya una práctica normalizada y cada vez más común dentro de una sociedad globalizada e hiperconectada. Para
garantizar la seguridad y la protección de este tipo de transferencias, el
Reglamento General de Protección de Datos establece criterios que se aplicarán de manera transfronteriza, independientemente del país al que se realicen los envíos.
Los diferentes mecanismos que establece el marco normativo para su regulación son:
1) Decisiones de Adecuación de la Comisión Europea que especifican el nivel apropiado de protección de datos de Estados no perteneciente a la Unión Europea. Esto significa que se podrán transferir datos a otras empresas de dicho Estado con las mismas garantías con las que se haría dentro de la eurozona.
2) Establecimiento de garantías, a falta de una Decisión de Adecuación, para asegurar que los derechos se protegen correctamente a través de:
- Normas jurídicas y corporativas vinculantes.
- Cláusulas tipo de protección de datos.
- Códigos de conducta.
- Mecanismos de certificación.
3) En ausencia de las dos anteriores; es decir, cuando no haya ni Dediciones de Adecuación ni otro tipo de garantías, se podrán realizar transferencias de datos cuando:
- Una persona haya otorgado su consentimiento expreso a la transferencia internacional, tras haber sido informado de los riesgos que conlleva.
- Sea necesaria para la ejecución de un contrato que beneficie al usuario que presta su consentimiento.
- Por razones de interés público, cuando dicha transferencia se realice desde un registro público.
- Cuando sea necesaria para la defensa en un proceso de reclamación que beneficie al propio usuario.
Por lo tanto, ¿cuándo podrán realizarse transferencias de datos internacionales con garantías legales?
- Si la Comisión Europea especifica que la organización internacional, el país o determinados territorios de un Estado disponen de un nivel de protección adecuado. Esta valoración se realizará a partir de:
- Un examen de la normativa del país, especialmente en lo referente a la protección de datos, para conocer qué acciones judiciales se aplican como garantía.
- La existencia de autoridades de control que aseguren el cumplimiento de la normativa y puedan coordinarse con otros países en el caso de incidencias que afecten a varios Estados.
- Los compromisos internacionales asumidos por la organización o el país, especialmente si afectan a la protección de derechos personales.
- Una vez calificado el nivel de protección de un país como adecuado, declarado por la Comisión Europea a través de un “Acto de Ejecución”, se establecerán revisiones periódicas cada cuatro años. Además se realizará una supervisión continua que permita actuar con rapidez si se detecta cualquier incidencia.
Países con nivel adecuado de Protección de Datos
Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos.
Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003.
Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.
Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010.
Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.
Uruguay. Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012.
Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012.
Estados Unidos (entidades certificadas en el marco del Escudo de privacidad UE-EE.UU). Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016.