En la era digital actual, las empresas y organizaciones alrededor del mundo están constantemente transfiriendo información a través de las fronteras internacionales. Sin embargo, estas transferencias internacionales de datos no son sin riesgo. Las regulaciones y las leyes en diferentes países pueden variar, lo que puede resultar en preocupaciones de privacidad y seguridad. En el post de hoy os vamos a acercar un poco a lo que se conoce en el ámbito de protección de datos como transferencias internacionales.
Las transferencias internacionales de datos se refieren al proceso de mover información personal o de la empresa de un país a otro. Los datos pueden ser transmitidos por correo electrónico, mensajes instantáneos, redes sociales y otras formas de comunicación electrónica. Los datos pueden incluir información personal, como nombres, direcciones, números de identificación, así como datos financieros y de negocios.
En la Unión Europea (UE), El Reglamento General de Protección de Datos (GDPR) establece normas estrictas para la transferencia de datos fuera del área de la UE. La GDPR establece que las transferencias sólo pueden llevarse a cabo si el país de destino garantiza un nivel adecuado de protección de datos. Si el país de destino no cumple con estos requisitos, la transferencia solo se puede llevar a cabo si se implementan salvaguardas adecuadas, como cláusulas contractuales o acuerdos de privacidad. Una de las formas por las que una empresa puede enviar datos personales fuera del Espacio Económico Europeo es mediante una decisión de adecuación, que es un procedimiento que se realiza frente a la Comisión Europea. Actualmente algunos de los países con los que existe dicha decisión de adecuación son: Suiza, Canadá, Argentina, Andorra, Uruguay, etc.
Si tienes más curiosidad por saber todos los países puedes consultar la web de la AEPD
(Agencia Española de Protección de Datos).
¿Qué ocurre si no cumplimos ninguna de esas condiciones?¿Hay otras fórmulas para enviar datos personales fuera del EEE?
Sí, el RGPD establece que A falta de decisión de adecuación si se ofrecen garantías adecuadas, que podrán ser aportadas a través de:
1. Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos
2. Normas corporativas vinculantes
3. Cláusulas tipo de protección de datos adoptadas por la Comisión:
Con fecha 4 de junio de 2021, la Comisión Europea ha publicado el nuevo conjunto de cláusulas contractuales tipo que, además de sustituir a sus predecesoras, pretenden poder abarcar las transferencias entre responsables, entre responsable y encargado, entre encargados y entre encargado y responsable.
Las nuevas cláusulas se adaptan al RGPD incorporando los principios de responsabilidad proactiva y tratan de adoptar los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II. No obstante, sigue siendo necesario que el exportador de los datos, en su caso ayudado por el importador, analice el impacto que la legislación y/o la práctica vigente en el país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo. Además, adicionalmente, deberán tenerse en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente.
Las cláusulas contractuales de las Decisiones de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE quedan derogadas a partir del 27 de septiembre de 2021. No obstante, los contratos celebrados antes de dicha
fecha con arreglo a las anteriores Decisiones serán válidos hasta el 27 de diciembre de 2022, siempre que las operaciones de tratamiento permanezcan inalteradas y las cláusulas contractuales garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas. Decisión de Ejecución (UE) 2021/914 DE LA COMISIÓN de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
4. Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
5. Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas
interesadas.
6. Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas
interesadas.
En los Estados Unidos, la Ley de Privacidad de Datos del Consumidor de California (CCPA) y la Ley de Privacidad del Consumidor de California para la Internet de las Cosas (IoT) también establecen requisitos para la transferencia de datos. Las empresas que transfieren datos a otros países deben cumplir con los requisitos de estas leyes, así como
con otras leyes nacionales y estatales aplicables.
Las empresas también deben considerar el riesgo de la transferencia de datos. La información que se transfiere a través de la red puede ser interceptada por terceros malintencionados. Además, la transferencia de datos puede aumentar el riesgo de infracciones en materia de protección de datos y ciberseguridad. Las empresas deben tomar medidas técnicas y organizativas para proteger los datos durante la transferencia, como el cifrado de los datos, anonimización de los mismos y la verificación de la seguridad de los proveedores de servicios de terceros mediante la realización de una due diligence.
En resumen, las transferencias internacionales de datos pueden ser complejas y estar sujetas a diferentes regulaciones y leyes. Las empresas y organizaciones deben tomar precauciones para proteger la información durante la transferencia y garantizar que cumplan con los requisitos legales aplicables. Al trabajar con socios y proveedores, es importante comprender las regulaciones aplicables y tomar medidas adecuadas para proteger la información que se transfiere.
