Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeos (los países de la Unión Europea más Liechtenstein, Islandia y Noruega configuran los países del Espacio Económico Europeo).
GARANTÍAS para las transferencias de datos personales a terceros países u organizaciones internacionales.
Se podrán realizar transferencias internacionales de datos SIN NECESIDAD DE AUTORIZACIÓN DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS siempre que el tratamiento de datos observe lo dispuesto en el RGPD y en los siguientes supuestos:
- Decisión de adecuación: que hayan sido declarados de nivel de protección adecuado por la Comisión Europea. Hasta la fecha los países son Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Andorra, Islas Feroe, Israel, Uruguay, Nueva Zelanda, Japón, Reino Unido, República de Corea y USA
- Aportación de Garantías adecuadas a través de: Un instrumento jurídico, normas corporativas y clausulas de protección de datos vinculantes. No obstante, sigue siendo necesario que el exportador de los datos, en su caso ayudado por el importador, analice el impacto que la legislación y/o la práctica vigente en el país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo.
- Excepciones para situaciones específicas: si no hay decisiones ni garantías adecuadas, El Comité Europeo de Protección de Datos ha elaborado unas Directrices sobre la aplicación de las excepciones.
Los CÓDIGOS DE CONDUCTA referente a la MOVILIDAD
Imprescindibles para garantizar que la movilidad de los datos tenga las garantías adecuadas a las leyes europeas.
En su elaboración debe acompañarse de una memoria explicativa que indique las características específicas del sector en materia de protección de datos e identificar y afrontar las necesidades que presenta en cuanto a su tratamiento y aportar las soluciones para dichas necesidades y proporcionar las garantías adecuadas en relación con los aspectos que regule para su aprobación, además de incluir los mecanismos que permitan efectuar el control obligatorio de sus disposiciones, conforme establece el artículo 40.4 del RGPD.
Los códigos de conducta podrán recoger:
- los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos;
- la recogida de datos personales;
- la seudoanonimización de datos personales;
- la información proporcionada al público y a los interesados;
- el ejercicio de los derechos de los interesados;
- las medidas y procedimientos para garantizar la seguridad del tratamiento, así como la protección de datos desde el diseño y por defecto;
- la notificación de violaciones de la seguridad de los datos personales a las autoridades locales de control y la comunicación de dichas violaciones a los interesados;
- la transferencia de datos personales a terceros países y organizaciones internacionales, o
- los procedimientos extrajudiciales y otros procedimientos de resolución de conflictos que permitan resolver las controversias entre los responsables del tratamiento y los interesados relativas al tratamiento, sin perjuicio de los derechos de los interesados. Destaca este último aspecto, que permitirá resolver los conflictos que pudieran plantearse y obtener satisfacción de manera ágil.
Además, deben identificar, en aquellos proyectos de código que impliquen actividades de autoridades u organismos privados, o no públicos, el organismo de supervisión que ha de ser, o estar, acreditado por la Agencia Española de Protección de Datos.
Español 
English (UK)