Manuel Martínez
Como parte de un mercado global interconectado y ampliamente cambiante, es probable que su empresa necesite enviar datos al extranjero para llevar a cabo muchas de sus actividades empresariales diarias. Tras la aplicación del GDPR del Reino Unido, es probable que muchas de estas transferencias se consideren una "transferencia de datos restringida". Aquí tienes toda la información que necesitas para seguir enviando datos al extranjero bajo el nuevo reglamento:
¿La transferencia de datos que está realizando es una transferencia restringida?
Si su empresa está enviando datos a un país receptor que no está cubierto por el GDPR del Reino Unido, pero los datos que está transfiriendo sí lo están, entonces estará realizando una transferencia restringida. Si el receptor es una entidad jurídica distinta de la suya, aunque pertenezcan al mismo grupo empresarial, se tratará de una transferencia restringida.
Sin embargo, si envía datos personales a una persona empleada por su organización pero que se encuentra en otro país, no se consideraría una transferencia de datos restringida, ya que no está enviando datos fuera de su propia empresa.
¿El país al que transfiere datos personales está cubierto por la normativa de adecuación?
Una decisión de adecuación significa que se considera que el país al que está transfiriendo datos tiene el mismo nivel de protección de datos y marco jurídico que el cubierto por el GDPR del Reino Unido. En estos casos, no tendrá que preocuparse de aplicar salvaguardias y podrá transferir datos libremente entre estos territorios. Un reglamento de adecuación simplemente establece este hecho en la ley.
A continuación figura una lista de los países y territorios para los que el Reino Unido dispone actualmente de normas de adecuación:
Decisiones de adecuación plena:
- Países de la UE (Alemania, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, República Checa, Rumanía y Suecia).
- Países de la AELC (Islandia, Noruega, Liechtenstein)
- Andorra,
- Argentina,
- Gibraltar
- Guernsey,
- Isla de Man,
- Israel,
- Jersey,
- Nueva Zelanda,
- Suiza, y
- Uruguay.
Decisiones de adecuación parcial:
- Japón, y
- Canadá
¿Qué ocurre si el país al que transfiero los datos personales no está en esa lista?
Aquí es donde se espera que aplique las "garantías adecuadas" que le permitan transferir datos personales a otro territorio fuera de la lista.
Las salvaguardas disponibles en su arsenal son las siguientes:
1. Instrumentos jurídicos celebrados entre organismos públicos que contengan "garantías adecuadas".
Aunque el GDPR británico no define lo que es un organismo público, suele describir a los organismos gubernamentales que adoptan determinadas medidas de interés público. Una "salvaguardia adecuada" en este sentido permitiría "derechos exigibles" y "recursos efectivos para la persona cuyos datos se transfieren".
Pros
Esto puede ser más fácil de aplicar si el país al que desea transferir datos personales ya cuenta con estos instrumentos legales y aplicables.
Contras
No todos los territorios cuentan con estos acuerdos, por lo que es posible que no se utilicen en el territorio elegido.
2. Normas corporativas vinculantes del Reino Unido (BCR británicas)
Son códigos de conducta internos que se aplican a los grupos multinacionales. En el caso de las grandes empresas, es más habitual adoptar normas corporativas vinculantes (BCR), ya que son adecuadas para las transferencias internacionales entre entidades separadas de una misma organización y, por tanto, se adaptan mejor a los negocios globales.
Pros
Está reconocido en todo el mundo como un alto estándar de cumplimiento y resulta útil para adaptarse a las necesidades cambiantes de su empresa. Es una buena manera de demostrar la responsabilidad y un buen modelo que puede utilizarse para muchos fines.
Contras
Hay un proceso de aprobación exigente y la falta de recursos de los reguladores puede afectar al proceso de aprobación y causar retrasos. También es más técnico que las cláusulas contractuales estándar, por lo que requiere recursos internos suficientes dentro de su organización.
3. Cláusulas Contractuales Tipo (CCT)
Las más comunes para las PYME son las cláusulas contractuales tipo (CCT), que son contratos preaprobados por la UE que permiten a una empresa seguir transfiriendo datos entre el EEE después de que el Reino Unido abandone la Unión Europea.
Pros
Dispone de cláusulas muy estandarizadas sin necesidad de modificaciones importantes. Está preaprobado, puede ser relativamente sencillo de presentar y también es adecuado para transferencias puntuales.
Contras
La redacción normalizada plantea problemas de adaptación de las cláusulas a las transferencias específicas y a la evolución de las necesidades de la empresa. También existe el riesgo de incumplimiento por parte de los importadores de datos y está sujeta a requisitos administrativos adicionales en la mayor parte de la UE.
4. Contrato
Un contrato entre su organización y la entidad receptora que se ha creado específicamente para las transferencias restringidas y que también debe ser autorizado por el ICO.
Pros
Permitirá la transferencia de determinados datos restringidos adaptados a las necesidades de su organización.
Contras
Un contrato requerirá más recursos para garantizar que su redacción sea jurídicamente exigible y que cumpla todos los criterios pertinentes establecidos por el ICO.
Información completa sobre los pros y los contras de cada salvaguardia aquí
Realice una evaluación de impacto antes de efectuar transferencias de datos restringidas
La ICO recomienda realizar una evaluación del impacto de la transferencia, en la que debe asegurarse de que la salvaguarda elegida es adecuada para proteger los datos personales de los interesados y de que es compatible con el marco jurídico del país de destino.
Si al final de la evaluación necesita más salvaguardias porque la que ha elegido le parece inadecuada por sí sola, puede incluir otras medidas.
Cómo puede ayudar Privasee
La plataforma Privasee puede ayudarle a almacenar y mapear los datos de su organización para que sepa exactamente qué datos tiene, durante cuánto tiempo los ha tenido y con quién están relacionados. Esto puede ayudarle a comprender mejor dónde se encuentran sus datos y cualquier alerta roja en su almacenamiento de datos de la que deba ser consciente. También simplifica enormemente las transferencias internacionales de datos: conocer los datos que posee y dónde se encuentran le permitirá identificar los datos que deben transferirse a otro lugar, ya sea dentro del Reino Unido o a nivel internacional. Nuestra plataforma también puede ayudarle a realizar un seguimiento de las salvaguardas que está utilizando para estas transferencias y le ayudará a identificar cuál podría ser la mejor.
¿Hay excepciones?
Si la transferencia restringida de datos no está cubierta por las garantías adecuadas, deberá tener en cuenta las siguientes "excepciones" en virtud del artículo 49 del GDPR del Reino Unido que aún le permitirán realizar una transferencia restringida:
Consentimiento
- Debe ser específico e informado
- Debe proporcionar detalles sobre la transferencia restringida al individuo en cuestión
- No se puede obtener el consentimiento generalizado para todas las transferencias restringidas de datos
- La información que debe darse al individuo incluye:
- La identidad del receptor
- País del destinatario
- Motivo de la transferencia restringida
- El área de datos que se transfieren
- Cómo puede una persona retirar su consentimiento a dichas transferencias restringidas
- Los posibles riesgos de consentir tales transferencias restringidas sin las salvaguardias adecuadas y una decisión de adecuación en vigor.
Contrato
- Debe ser sólo para transferencias restringidas que no se produzcan con regularidad
- Debe ser necesario realizar la transferencia restringida para cumplir los términos del contrato
Interés público
- Debe existir una ley británica que permita una transferencia restringida por razones de interés público.
- Suele adoptar también la forma de un acuerdo internacional
- Puede ser utilizado por organismos públicos y privados.
- Debe utilizarse para transferencias restringidas ocasionales y no para transferencias sistemáticas.
Reclamación legal
- Debe ser para traslados ocasionales que no sean regulares
- Debe ser para un fin necesario que requiere una estrecha relación entre la transferencia y la reclamación legal
- Una reclamación judicial puede interpretarse como todas las reclamaciones judiciales y los procedimientos administrativos o reglamentarios
- No debe acogerse a esta excepción si el siniestro aún no ha surgido y sigue siendo una posibilidad en el futuro
Protección de los intereses vitales
- Aplicable en caso de emergencia médica cuando sea necesario transferir datos entre países para prestar la atención médica correcta.
- No puede utilizarse para realizar investigaciones médicas
- No puede basarse en esto si la persona cuyos datos están en cuestión puede dar su consentimiento
Registros públicos
- El registro se habrá creado con arreglo a la legislación británica y estará abierto al público en general o a cualquier persona que pueda demostrar un interés legítimo.
- Las transferencias restringidas deben cumplir la ley general de divulgación y deben evaluarse en relación con los derechos de protección de datos de las personas cuyos datos se van a transferir
Intereses legítimos puntuales
- Debe ser para traslados ocasionales que no sean regulares
- Transferencia restringida sólo de datos de un número limitado de individuos
- El interés legítimo debe ser "imperioso", lo que supone un umbral más alto. Para más información, consulte el sitio web de la OIC.
- El interés legítimo imperioso debe prevalecer sobre los derechos y libertades de las personas, lo que debe demostrarse cuando se les interrogue.
- Se realiza una evaluación completa del interés legítimo y se identifican los motivos
- El ICO debe ser informado de la transferencia, lo que implicará dar todos los detalles de las medidas adoptadas para garantizar lo anterior.
- La persona a la que pertenezcan los datos de la transferencia restringida debe ser informada y se le debe explicar el interés legítimo.
Para más información sobre las excepciones mencionadas, consulte el sitio web de la OIC.
Esperamos que este artículo le ayude a comprender mejor lo que se espera de su organización cuando realice una transferencia internacional y simplifique algunos de los conceptos señalados por la OIC. Puede encontrar más información en el sitio web del ICO sobre la realización de transferencias internacionales y los detalles completos aquí.
Descargo de responsabilidad
Privasee no considera que este artículo constituya asesoramiento jurídico de ningún tipo.
Fuentes y otros recursos
Más información
.png)
