Acuerdo internacional de transferencia de datos

¿Qué es el Acuerdo Internacional de Transferencia de Datos (ATID)?

El Acuerdo Internacional de Transferencia de Datos (IDTA) es un documento jurídicamente vinculante que regula la transferencia de datos personales del Reino Unido a otros países, garantizando el cumplimiento del GDPR británico. Tras el Brexit, el IDTA es un mecanismo clave para mantener las normas de protección de datos durante las transferencias transfronterizas a entidades no británicas.

Comprender cuándo utilizar el Acuerdo Internacional de Transferencia de Datos, realizar una Evaluación del Riesgo de Transferencia y mantenerse informado sobre las obligaciones legales es clave para garantizar la seguridad y privacidad de los datos personales a través de las fronteras.

¿Cuándo utilizar el Acuerdo Internacional de Transferencia de Datos?

Deberá utilizar un IDTA cuando transfiera datos personales a un país fuera del Reino Unido que no cuente con una "decisión de adecuación" del gobierno británico. El IDTA ayuda a garantizar que se mantiene el mismo nivel de protección de datos, independientemente de la ubicación del destinatario. En algunos casos, las empresas también pueden considerar la posibilidad de utilizar la IDTA en combinación con las cláusulas contractuales tipo de la UE u otras herramientas contractuales, especialmente si las transferencias incluyen datos tanto de la UE como del Reino Unido.

Componentes clave del Acuerdo Internacional de Transferencia de Datos

El IDTA incluye cláusulas específicas que describen las responsabilidades de ambas partes a la hora de garantizar la seguridad y privacidad de los datos personales. Aborda cuestiones clave como:

• Obligaciones en materia de tratamiento de datos
• Medidas de seguridad
• Derechos de los interesados
• Requisitos de la evaluación del riesgo de transferencia (TRA)

¿Qué es una Evaluación de Riesgos de Transferencia (ERT)?

Antes de utilizar la IDTA, las empresas deben realizar una Evaluación del Riesgo de Transferencia (TRA). Esta evaluación ayuda a las organizaciones a valorar los riesgos que entraña la transferencia de datos a entidades no británicas, garantizando que el nivel de protección es adecuado y conforme a la legislación británica sobre protección de datos. Esto es especialmente importante para las transferencias a países sin decisión de adecuación.

Acuerdo Internacional de Transferencia de Datos frente a otras herramientas de transferencia

El IDTA es una de las diversas herramientas para las transferencias internacionales de datos. Está diseñado específicamente para las transferencias de datos del Reino Unido, mientras que las Cláusulas Contractuales Tipo (CEC) se siguen utilizando para las transferencias de datos de la UE. Las empresas que manejan datos tanto del Reino Unido como de la UE pueden tener que utilizar tanto la IDTA como las SCC dependiendo de la ubicación de la transferencia.

Otras herramientas para las transferencias son:

• Normativa de adecuación: Se utiliza cuando se ha considerado que el país receptor cuenta con una legislación adecuada en materia de protección de datos.
• Normas Corporativas Vinculantes (BCR): Políticas internas para organizaciones multinacionales.

Consejos prácticos para las empresas

• Automatice sus transferencias de datos: Utilice la tecnología para agilizar la gestión de las transferencias de datos, garantizando que los IDTA se aplican correctamente y se actualizan con regularidad.
• Supervisar el cumplimiento: Revise y actualice periódicamente los acuerdos de transferencia para reflejar cualquier cambio en las actividades de tratamiento de datos o en las obligaciones legales.
• Busque asesoramiento jurídico: Para las empresas que transfieren cantidades importantes de datos, consultar con expertos jurídicos puede garantizar que las transferencias de datos cumplen toda la normativa aplicable.

¿Cuál es un ejemplo de transferencia internacional de datos?

He aquí un ejemplo de transferencia internacional de datos que puede estar cubierta por un IDTA:

• NewsBook, un medio de comunicación británico, quiere utilizar programas de análisis para saber cómo utiliza su aplicación la gente.
• NewsBook decide contratar a DataBraz, un proveedor de análisis con sede en Brasil.
• NewsBook enviará a DataBraz datos sobre sus usuarios para su análisis en Brasil.

En este escenario, tenemos un exportador, NewsBook (cubierto por el GDPR del Reino Unido), y un importador, DataBraz (no cubierto por el GDPR del Reino Unido).

El siguiente ejemplo no es una transferencia internacional de datos:

• El Director General de NewsBook viaja a Brasil.
• Accede a datos personales de empleados y clientes de NewsBook mientras está en Brasil.

Aunque se está accediendo a los datos personales en Brasil, aquí sólo hay una parte : NewsBook.

Una transferencia internacional de datos requiere dos entidades jurídicamente distintas: Un exportador con sede en el Reino Unido y un importador fuera del Reino Unido, y que el importador ponga los datos personales a disposición del exportador.

Principales conclusiones

En este artículo, le hemos ayudado a entender lo siguiente sobre el Acuerdo Internacional de Transferencia de Datos (IDTA):

• El Acuerdo Internacional de Transferencia de Datos es un documento jurídicamente vinculante que garantiza el cumplimiento del GDPR del Reino Unido cuando se transfieren datos personales del Reino Unido a países no adecuados.
• Se exige para las transferencias a países sin decisión de adecuación del Reino Unido y puede utilizarse junto con las cláusulas contractuales tipo de la UE para las transferencias que impliquen datos tanto del Reino Unido como de la UE.
• Entre sus principales componentes figuran las obligaciones en materia de tratamiento de datos, las medidas de seguridad, los derechos de los interesados y una Evaluación del Riesgo de Transferencia (ETR) obligatoria.
• La IDTA complementa otras herramientas como las normas de adecuación y las Normas Corporativas Vinculantes (BCR) para las transferencias transfronterizas de datos.

La IDTA garantiza la protección de datos durante las transferencias internacionales y es crucial para las empresas que gestionan datos personales del Reino Unido. Para saber cómo Privasee puede ayudarle con el cumplimiento de la transferencia de datos, reserve una demostración hoy mismo. 

‍

Acuerdo internacional de transferencia de datos - Preguntas frecuentes

¿Es la IDTA lo mismo que los SCC?

‍No, la IDTA es específica para las transferencias de datos del Reino Unido, mientras que las SCC se utilizan para las transferencias de datos de la UE. Las empresas que transfieren datos entre ambas regiones pueden necesitar utilizar ambas.

¿Cuándo necesito una Evaluación de Riesgos de Transferencia (ERT)?

Se requiere unaTRA antes de transferir datos a una entidad no británica que utilice el IDTA. En ella se evalúan los riesgos para la protección de datos en el país receptor.

¿Pueden las pequeñas empresas utilizar el IDTA?

‍Sí, el IDTA es aplicable a empresas de todos los tamaños que necesitan transferir datos personales a nivel internacional sin dejar de cumplir el GDPR del Reino Unido.

¿Qué son las normas de adecuación?

‍Lasnormas de adecuación son decisiones del gobierno británico que establecen que la legislación de protección de datos de un tercer país ofrece una protección equivalente, lo que facilita la transferencia de datos.