Con la creciente globalización y el uso de servicios en la nube, las transferencias internacionales de datos personales se han convertido en una práctica habitual para muchas empresas. Sin embargo, esta actividad implica responsabilidades legales significativas para garantizar la protección de la información de las personas.
¿Qué se entiende por transferencia internarcional de datos?
Se trata de transferencia internacional cuando los datos personales se envían o se pueden acceder a ellos desde un país de fuera de al EEE. Por ejemplo, utilizar una plataforma de email con servidores en Estados Unidos, contratar un proveedor de CRM ubicado en Asia, subir los archivos a la nube ubicada en Argentina o permitir el acceso remoto a las personas trabajadoras cuando estén en un país extracomunitario.
Según la normativa europea de protección de datos, como el Reglamento General de Protección de Datos (RGPD), cualquier transferencia de datos personales fuera del Espacio Económico Europeo solo puede realizarse si el país de destino ofrece un nivel de protección adecuado o mediante medidas adicionales que aseguren la privacidad de los datos.
Requisitos para poder realizar la transferencia
Que hay que tener en cuenta para poder realizar la transferencia de datos:
En primer lugar, hay que mirar si ese país cumple con los niveles de protección similares al europeo.
Si en ese país no existen niveles de garantía, hay que mirar la adecuación del responsable o encargado del tratamiento. Tiene que establecer cláusulas contractuales tipo, normas corporativas vinculantes o códigos de conducta o mecanismos de certificación. Es importante firmar estos documentos con los proveedores para proteger los datos.
Y solo de forma residual se puede requerir al consentimiento explícito de la persona interesada, ejecución de un contrato, etc.
Medidas que las empresas deben adoptar
Entre las medidas que las empresas o personas autónomas deben adoptar se incluyen:
- Uso de cláusulas contractuales estándar aprobadas por la Comisión Europea para garantizar la seguridad de los datos.
- Evaluación del riesgo del país receptor, considerando la legislación local sobre acceso gubernamental a la información.
- Implementación de medidas técnicas y organizativas que protejan la confidencialidad, integridad y disponibilidad de los datos durante su transferencia.
- Documentación y registro de todas las transferencias para poder demostrar el cumplimiento ante las autoridades de protección de datos.
Consecuencias de no cumplir con la normativa
Para evitar sanciones, hay que informar a las personas interesadas de que sus datos personales van a ser transferidos, para llevar a cabo la transferencia hay que tener una base legal, hay que comprobar la situación jurídica de a quien se le van a transferir los datos, recabar el consentimiento de forma correcta, y tomar cuantas medidas se consideren necesarias para transmitir transparencia y seguridad.
La falta de cumplimiento puede acarrear sanciones económicas significativas, además de afectar la reputación de la empresa ante clientes y socios. Por ello, cada vez es más importante llevar a cabo auditorías periódicas y formación interna para garantizar que la transferencia de datos internacionales se realice con plena seguridad jurídica.
| Para más información… |