El modelo que establece el RGPD para transferencias internacionales de datos sigue el mismo criterio que el que estableció la directiva 95/46 y las legislaciones nacionales de trasposición.
OBLIGACIÓN
Solo se podrán comunicar datos fuera del Espacio Económico Europeo:
- A países, territorios o sectores específicos (y organizaciones internacionales) sobre las que la Comisión haya reconocido que ofrecen un nivel de protección adecuado.
- Cuando se hayan ofrecido garantías adecuadas de protección que recibieran en destino los datos.
- Si se aplica alguna de las excepciones por los que se pueden transferir datos sin garantías de protección por la necesidad vinculada al propio interés del titular de los datos o a sus intereses generales.
IMPORTANTE
Desde la óptica de los responsables o encargados que actualmente realizan transferencias internacionales o que los efectúen en el marco del RGPD:
- Las decisiones adoptadas por la Comisión anteriormente la aplicación del RGPD serán válidas y podrán seguir realizándose las transferencias, mientras no sean sustituidas o derogadas.
- Las clausulas tipo para los contratos establecidos por la Comisión, en los que se establecen las garantías para las transferencias seguirán siendo válidas, en tanto la Comisión no las sustituya o las derogue.
- Las autorizaciones sobre las transferencias internacionales emitidas por las autoridades nacionales, seguirán siendo válidas mientras que las autoridades no las revoquen.
- El exportador deberá ofrecer garantías sobre la protección que los datos van a recibir en destino. Este exportador podrá ser tanto responsable como encargado de tratamiento.
- Hay una ampliación de la lista de posibles instrumentos para ofrecer garantías, incluyendo entre otros Normas Corporativas Vinculantes para responsables y encargados, los códigos de conducta y esquemas de certificación, así como de cláusulas contractuales y modelos que puedan aprobar las autoridades de protección de datos.
- En los casos de Normas Corporativas Vinculantes, cláusulas contractuales estándar, códigos de conducta y esquemas de certificación, la transferencia no requerirá la autorización de la autoridad de supervisión.
- Se añade una excepción al listado establecido en la Directiva 95/46, en la que posibilita a un responsable transferir datos a un país sin un nivel adecuado de protección cuando la transferencia sea necesaria para satisfacer interese legítimos, imperiosos del responsable y la transferencia no es repetitiva afectando a un número limitado de interesados. Hay que tener en cuenta que esto será posible si no prevalecen los derechos, intereses y libertades de los afectados y habrá que comunicarlo a la autoridad de control.