Continuando con esta serie de entradas relativas a la readecuación y reimplantación del Sistema de Protección de Datos de Carácter Personal al nuevo RGPD 2016/679, se sigue en ésta los contenidos según el post Calendario 2017 para la LOPD – Octubre que se corresponde con las Transferencias mediante garantías adecuadas (Artículo 46 del RGPD).
El presente artículo nos pone de manifiesto como regular las transferencias internacionales de datos de carácter personal siempre y cuando exista un efecto de afianzar dicha transferencia conforme a lo dispuesto en el RGPD.
1. En primera medida, y a falta de decisión con arreglo al artículo 45.3, el artículo que estamos tratando nos pone de manifiesto que el responsable o el encargado del tratamiento podrá transferir datos a un tercer país u organización internacional siempre y cuando éstos ofrezcan garantías adecuadas, además, se añade la condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.
2. A raíz de lo anterior -las garantías adecuadas- no tienen por qué tener el carácter de autorización expresa de una autoridad de control (p. ej.: por la Directora de la AEPD) sino que pueden ser contribuidas por:
- Un instrumento jurídicamente vinculante y exigible (norma legal) entre las autoridades u organismos públicos;
- normas corporativas vinculantes de conformidad con el artículo 47 (que sean jurídicamente vinculantes y se apliquen y sean cumplidas por todos los miembros correspondientes del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, incluidos sus empleados).
- Adoptadas por la Comisión, conforme con su procedimiento de examen al que se refiere el artículo 93.2, mediante clausulas tipo de protección de datos.
- Adoptadas por una autoridad de control y aprobadas por la Comisión conforme procedimiento de examen según artículo 93.2, mediante cláusulas tipo de protección de datos.
- Mediante un código de conducta al amparo del artículo 40, junto con compromisos vinculantes y exigibles del responsable o encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados, o
- Cuando el responsable o encargado de tratamiento lo demuestre mediante un mecanismo de certificación (a modo de ejemplo paralelo, control de calidad) aprobado conforme el artículo 42, así mismo, se ha de añadir compromisos vinculantes y exigibles en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.
3. Si existe una autorización –expresa- otorgada por la autoridad de control (AEPD en España), las garantías adecuadas consideradas en el apartado 1 de este artículo, podrán ser así mismo aportadas, particularmente, mediante:
- cláusulas contractuales mutuamente acordadas entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o
- disposiciones que se vayan a incluir en acuerdos administrativos entre autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.
4. La autoridad de control, aplicará el mecanismo de coherencia según se establece en el a artículo 63 siempre que se de casos indicados en el apartado 3 del presente artículo.
5. En este ítem se hace referencia a la directiva 95/46/CE en cuanto a autorizaciones que se hayan expedido por autoridad de control, al amparo de su artículo 26.2. Dichas autorizaciones seguirán vigentes hasta que hayan sido modificadas, sustituidas o derogadas por necesidad por dicha autoridad de control.
Si la comisión adopta decisiones en virtud del artículo 26.4 de la Directiva 95/46/CE, éstas, permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas. En caso necesario justificándose por una decisión de la comisión conforme al apartado 2 del presente artículo.
Fuente-Información: © RGPD 2016/679 / © Noticias Jurídicas
Fuente-Foto: © de su autor / © publicación