Cuando existen grupos de empresas, es habitual el traspaso de información entre las mismas, tales como datos de los empleados, clientes, proveedores… Y es en estos traspasos de información cuando tenemos que tener en cuenta que, de acuerdo a la Ley de Protección de Datos, hay que cumplir con todas las garantías.
En este caso nos centraremos en las transferencias internacionales de datos, que constituyen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).
En relación con este asunto, el RGPD contempla la posibilidad de que se pueda realizar una transferencia internacional de datos a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. En tal caso, la transferencia no requerirá de ninguna autorización previa. Dichos países son:
- Suiza
- Canadá
- Argentina
- Guernse
- Isla de Man
- Jersey
- Islas Feroe
- Andorra
- Israel
- Uruguay
- Nueva Zelanda
- Japón
- Reino Unido
- República de Corea
- EE.UU.
En segundo lugar y a falta de la citada decisión, el responsable o encargado del tratamiento puede transferir los datos a un tercer país u organización internacional si se han establecido las garantías adecuadas y los afectados cuenten con derechos exigibles y acciones legales efectivas. Estas garantías adecuadas podrán ser aportadas, sin necesidad de autorización de la autoridad de control por:
- un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;
- normas corporativas vinculantes,
- cláusulas tipo de protección de datos adoptadas por la Comisión,
- cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión,
- un código de conducta aprobado, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o
- un mecanismo de certificación aprobado, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.
En tercer lugar, y en ausencia de decisión adecuada o de garantías adecuadas, también se podrán transferir datos, si la transferencia cumple alguna de las siguientes condiciones:
- el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas;
- la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;
- la transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;
- la transferencia sea necesaria por razones importantes de interés público;
- la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones;
- la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento;
- la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.
Por otra parte, cuando una transferencia no pueda basarse en las disposiciones anteriores, incluidas las disposiciones sobre normas corporativas vinculantes, y no sea aplicable ninguna de las excepciones para situaciones específicas indicadas anteriormente, solo se podrá llevar a cabo si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evaluó todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales. El responsable del tratamiento informará a la autoridad de control de la transferencia. Además de la información a que hacen referencia los artículos 13 y 14 del RGPD, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos.
De esta forma conseguiremos que nuestros datos viajen seguros y con todas las garantías necesarias de acuerdo a la legislación vigente.