El modelo que establece el RGPD para transferencias internacionales de datos sigue el mismo criterio que el que estableció la directiva 95/46  y las legislaciones nacionales de trasposición.

OBLIGACIÓN

Solo se podrán comunicar datos fuera del Espacio Económico Europeo:

  • A países, territorios o sectores específicos (y organizaciones internacionales) sobre las que la Comisión haya reconocido que ofrecen un nivel de protección adecuado.
  • Cuando se hayan ofrecido garantías adecuadas de protección que recibieran en destino los datos.
  • Si se aplica alguna de las excepciones por los que se pueden transferir datos sin garantías de protección por la necesidad vinculada al propio interés del titular de los datos o a sus intereses generales.

IMPORTANTE

Desde la óptica de los responsables o encargados que actualmente realizan transferencias internacionales o que los efectúen en el marco del RGPD:

  • Las decisiones adoptadas por la Comisión anteriormente  la aplicación del RGPD serán válidas y podrán seguir realizándose las transferencias, mientras no sean sustituidas o derogadas.
  • Las clausulas tipo para los contratos establecidos por la Comisión, en los que se establecen las garantías para las transferencias seguirán siendo válidas, en tanto la Comisión no las sustituya o las derogue.
  • Las autorizaciones sobre las transferencias internacionales emitidas por las autoridades nacionales, seguirán siendo válidas mientras que las autoridades no las revoquen.
  • El exportador deberá ofrecer garantías sobre la protección que los datos van a recibir en destino. Este exportador podrá ser tanto responsable como encargado de tratamiento.
  • Hay una ampliación de la lista de posibles instrumentos para ofrecer garantías, incluyendo entre otros Normas Corporativas Vinculantes para responsables y encargados, los códigos de conducta y esquemas de certificación, así como de cláusulas contractuales y modelos que puedan aprobar las autoridades de protección de datos.
  • En los casos de Normas Corporativas Vinculantes, cláusulas contractuales estándar, códigos de conducta y esquemas de certificación, la transferencia no requerirá la autorización de la autoridad de supervisión.
  • Se añade una excepción al listado establecido en la Directiva 95/46, en la que posibilita a un responsable transferir datos a un país sin un nivel adecuado de protección cuando la transferencia sea necesaria para satisfacer interese legítimos, imperiosos del responsable y la transferencia no es repetitiva afectando a un número limitado de interesados. Hay que tener en cuenta que esto será posible si no prevalecen los derechos, intereses y libertades de los afectados y habrá que comunicarlo a la autoridad de control.