Saltar al contenido
Portada » ¿Cómo compartir datos internacionales correctamente?

¿Cómo compartir datos internacionales correctamente?

Transferir datos de un país a otro de forma legal

La explotación de los datos personales que las empresas hacen de sus clientes o potenciales clientes es una labor más en cada compañía.

En concreto, la explotación adecuada de los datos tiene gran sentido en las labores de marketing de la compañía.

Ya no basta con vender, elaborar un plan de marketing o establecer alianzas estratégicas. 

La captación y el análisis del dato permite a las empresas analizar el perfil psicológico de su cliente, sus gustos, costumbres, estudiar sus comportamientos... y prevenir sus conductas futuras.

Esta información tiene un valor altísimo para las empresas: es petróleo. 

¿Cómo afecta el Reglamento General de Protección de Datos a las empresas?
Ver: ¿Cómo afecta el Reglamento General de Protección de Datos a las empresas?

El dato: el petróleo del siglo XXI

Existe un hambre innegable de muchas empresas por los datos de sus clientes y potenciales clientes.

Aún así, los Gobiernos de algunos países, los organismos reguladores e incluso organizaciones internacionales tienen como objetivo que el tratamiento de estos datos por parte de su responsable (Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento) se haga de una manera transparente y que no perjudique gravemente los intereses de sus ciudadanos. 

En Europa la principal abanderada de esta lucha es la UE.

Entre otros asuntos, la Unión está poniendo su foco de atención en las conocidas como Cross-border data transfers (Transferencias transfronterizas de datos). 

Tanto si eres empresario como si eres autónomo en España, debes tener en cuenta la siguiente legislación sobre protección de datos: 

En RRYP Global somos conscientes de que no es sencillo cumplir estas obligaciones en todos los mercados internacionales donde opera una empresa.

Por ello, queremos acompañarte y asesorarte para que tu negocio cumpla con la legislación pertinente. 

¿Cómo afecta la protección de datos y sus transferencias transnacionales a los ecommerces?

Las transacciones en línea que hacemos a lo largo de un día en ocasiones superan a las que hacemos de forma presencial.

Cuando las llevamos a cabo estamos proporcionando a la empresa vendedora mucha información personal nuestra, como nuestros datos bancarios, lugar de residencia…

Estos ecommerces son empresas asique también están obligados a cumplir la normativa europea sobre protección de datos y sobre la transferencia transnacional de los mismos.

Por tanto, deben cumplir las obligaciones propias si los datos se comparten con un país ajeno al EEE.

Frecuentemente utilizan estos datos para ofrecer al cliente productos que podrían interesarle según sus búsquedas y compras.

Por este motivo para los comercios electrónicos es tan importante gestionar el dato de la manera más rentable posible. 

¿Qué son las transferencias transfronterizas de datos?

Son un flujo de datos personales de personas físicas que viaja desde un país del EEE (Espacio Económico Europeo, cuyos miembros son la UE, Islandia, Liechtenstein y Noruega) a otro Estado fuera de este Espacio. 

Por tanto, una transferencia transnacional de datos puede darse en tres situaciones:
– 1) Un responsable del tratamiento está establecido en el EEE y el otro responsable está establecido fuera del Espacio o forma parte de una organización internacional. 
– 2) Un responsable del tratamiento está establecido en el EEE y el encargado del tratamiento está fuera del mismo. 
– 3) Un encargado del tratamiento está establecido en el EEE y el otro encargado está establecido fuera del mismo. 

En los tres casos los datos viajan fuera del EEE, pero difieren en la persona que interviene, y en las funciones que tiene cada una.

El responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento.

Por otro lado, el encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable del tratamiento

¿Cómo transferir datos de forma correcta fuera del EEE?

El RGPD establece restricciones para la transferencia de datos personales fuera del Espacio Económico Europeo (EEE), con el objetivo de garantizar que el nivel de protección otorgado a las personas siga siendo equivalente al que proporciona esta normativa.

Las transferencias de datos personales a países fuera del EEE u organizaciones internacionales solo pueden realizarse cumpliendo las condiciones establecidas en el capítulo V del RGPD.

Además de estas condiciones específicas, cualquier transferencia debe cumplir con el resto de las disposiciones generales del RGPD.

Esto implica, por ejemplo, respetar los principios fundamentales del tratamiento de datos, garantizar una base legal adecuada, aplicar las medidas de seguridad pertinentes y asegurarse de que solo se transfieran los datos estrictamente necesarios (principio de minimización). Si el destinatario de los datos personales actúa como encargado del tratamiento, es obligatorio firmar un contrato, al igual que se haría con un encargado dentro del EEE.

El RGPD contempla dos vías principales para transferir datos personales a países fuera del EEE o a organizaciones internacionales.

Una es mediante una decisión de adecuación, en la que la Comisión Europea reconoce que el país destinatario ofrece un nivel de protección adecuado.

En su defecto, la transferencia debe sustentarse en garantías adecuadas, como mecanismos legales que aseguren la protección de los derechos de los interesados.

Si no existe una decisión de adecuación ni garantías adecuadas, el RGPD permite ciertas excepciones en situaciones específicas.

Decisión de adecuación

La Comisión Europea puede decidir si un país fuera del Espacio Económico Europeo (EEE) o una organización internacional tiene un nivel de protección de datos similar al de la UE.

Si así lo determina, emite una «decisión de adecuación», lo que facilita la transferencia de datos a ese país sin necesidad de requisitos adicionales.

Para tomar esta decisión, la Comisión analiza varios aspectos, como el respeto a las leyes, la protección de los derechos humanos, si los ciudadanos pueden hacer valer sus derechos, si existe una autoridad de protección de datos independiente y si el país ha firmado acuerdos internacionales en materia de privacidad.

Si un país obtiene una decisión de adecuación, las empresas dentro del EEE pueden enviar datos personales a organizaciones de ese país sin tener que implementar medidas de seguridad adicionales.

Esto significa que la transferencia de datos se manejará de manera similar a como se haría dentro del EEE. Sin embargo, la empresa que transfiere los datos sigue teniendo la responsabilidad de cumplir con las reglas generales del RGPD.

Estas decisiones pueden aplicarse a un país completo o solo a una región específica, y pueden cubrir todas las transferencias de datos o solo algunas en función del tipo de sector o actividad.

Países con decisión de adecuación

Hasta ahora, la Comisión Europea ha adoptado decisiones de adecuación para:

  • Andorra,
  • Argentina,
  • Canadá (organizaciones comerciales),
  • Islas Feroe,
  • Guernsey,
  • Israel,
  • Isla de Man,
  • Japón,
  • Jersey,
  • Nueva Zelanda,
  • República de Corea,
  • Suiza,
  • Reino Unido,
  • Estados Unidos (organizaciones comerciales que participan en el Marco de Privacidad de Datos UE-EE.UU.),
  • Uruguay.

Garantías adecuadas

Si no existe una decisión de adecuación, las organizaciones aún pueden transferir datos personales a otros países si garantizan que la entidad receptora protegerá adecuadamente la información.

Además, las personas deben poder hacer valer sus derechos y contar con mecanismos legales efectivos en caso de problemas.

El artículo 46 del RGPD establece varias opciones que las empresas pueden usar para transferir datos de manera segura fuera del EEE.

Entre las principales herramientas disponibles para organizaciones privadas se incluyen:

  • Cláusulas contractuales tipo (CCT): Acuerdos estándar aprobados por la Comisión Europea que garantizan la protección de los datos.
  • Normas corporativas vinculantes (BCR): Reglas internas aplicadas dentro de grandes empresas o grupos multinacionales para proteger los datos personales.
  • Códigos de conducta: Normas acordadas por un sector específico para cumplir con el RGPD.
  • Mecanismos de certificación: Sistemas de verificación que confirman que una organización cumple con los estándares de protección de datos.
  • Cláusulas contractuales personalizadas: Acuerdos específicos entre empresas que incluyen medidas adecuadas de protección de datos.

Estas herramientas permiten que las transferencias de datos se realicen de manera segura y en cumplimiento con la normativa.

Excepciones

Además de las decisiones de adecuación y las herramientas del artículo 46 del RGPD, existe una tercera opción para transferir datos personales en circunstancias específicas.

En determinadas condiciones, es posible realizar transferencias basadas en una de las excepciones establecidas en el artículo 49 del RGPD.

No pueden usarse como una práctica habitual para justificar transferencias de datos fuera del EEE.

La norma general sigue siendo que los datos solo pueden transferirse si el país receptor garantiza un nivel adecuado de protección o si se han implementado garantías apropiadas.

Según el artículo 49 del RGPD, una transferencia o un conjunto de transferencias pueden realizarse si cumplen con una de las siguientes condiciones:

  • Consentimiento explícito: La persona afectada ha dado su autorización clara e informada para la transferencia.
  • Ejecución de un contrato: La transferencia es necesaria para cumplir un contrato entre la persona y la organización o para tomar medidas previas al contrato a petición de la persona.
  • Interés contractual de un tercero: Se requiere la transferencia para ejecutar un contrato en beneficio de la persona entre el responsable del tratamiento y otra parte.
  • Interés público: Es necesaria por razones importantes de interés público.
  • Reclamaciones legales: La transferencia es esencial para establecer, ejercer o defender reclamaciones legales.
  • Protección de intereses vitales: Es necesaria para proteger la vida o la seguridad de la persona u otras personas, especialmente si la persona no puede dar su consentimiento debido a una incapacidad física o legal.
  • Información pública: La transferencia proviene de un registro público que, según la legislación nacional o de la UE, está destinado a ser consultado por el público en general o por personas con un interés legítimo en acceder a él.

Ejemplo de sanción por incumplimiento

Sin embargo, en el 2021 Amazon fue condenado al pago de 746 millones de euros por la Comisión Nacional de Protección de Datos de Luxemburgo (CNPD) por no respetar la legislación de la UE en materia de protección de datos.

Fueron acusados de utilizar datos de clientes y socios para falsear la competencia y así conseguir de forma injusta mayor ventaja en el mercado.

La empresa recurrió la sanción ante el Tribunal Administrativo de Luxemburgo.

Por tanto, si eres propietario de un comercio electrónico debes cuidar muy bien las prácticas de tu empresa en esta materia.

Conclusión sobre transferir datos de un país a otro de forma legal

Toda empresa o autónomo que desarrolle una actividad profesional o empresarial en la UE debe cumplir la normativa europea de protección de datos.

Si tienes un negocio internacional deberás prestar especial atención a las transferencias transfronterizas de datos personales, pues un incumplimiento de la legislación puede suponer una dura sanción para tu negocio. 

Los comercios online deben poner especial atención en esta normativa por la gran cantidad de datos sensibles que guardan sobre sus clientes

Preguntas frecuentes

¿Quién está obligado a cumplir la legislación española y europea de protección de datos?

Todas las personas físicas o jurídicas, entidades privadas o públicas que en el ejercicio de su actividad profesional o empresarial recaben y traten datos de terceros. 

¿Qué ocurre si una empresa cumple la normativa española pero no la normativa de la UE?

Será sancionada igualmente. El Reglamento General de Protección de Datos tiene en España la misma aplicación que la normativa estatal, asique el incumplimiento de cualquier de las dos será sancionable. 

¿Cuándo se necesita una autorización expresa de la Agencia Española de Protección de Datos?

Cuando las garantías adecuadas se proporcionen a través de:
Cláusulas contractuales entre el responsable o encargado del tratamiento y el responsable, encargado o subencargado, que no hayan sido aprobadas previamente por la Comisión Europea o por la Agencia Española de Protección de Datos y validadas por la Comisión Europea.
Disposiciones en acuerdos administrativos celebrados entre autoridades u organismos públicos, que incluyan derechos efectivos y exigibles para las personas interesadas.

RRYP Global, abogados especialistas en derecho internacional.

Etiquetas:

Iago Lombardia Sanjulian

Soy graduado en el máster en asuntos internacionales de la Universidad Pontificia Comillas (ICADE) y actualmente estoy cursando el máster de acceso a la abogacía en la Universidad de Oviedo. He participado en proyectos de las Clínicas Jurídicas de la Universidad de Luxemburgo, de Oviedo y de la Universidad Pontificia Comillas, y he realizado una beca de seis meses en la Secretaría General del BBVA en el 2022. Mis principales ámbitos profesionales de interés son el derecho internacional privado y el asesoramiento mercantil.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Related Posts

Cómo defender tus derechos si eres una empresa extranjera con un juicio en España

Si eres una empresa extranjera con un juicio en España, es natural que surjan dudas sobre cómo proceder.  En un mundo globalizado, muchas compañías internacionales enfrentan… Read More »Cómo defender tus derechos si eres una empresa extranjera con un juicio en España

¿Puedo demandar a una empresa española desde el extranjero?

¿Puedo demandar a una empresa española desde el extranjero?

Muchas empresas internacionales se encuentran con clientes o socios comerciales en España que incumplen sus obligaciones: impagos de facturas, incumplimientos contractuales, etc. Al surgir estos… Read More »¿Puedo demandar a una empresa española desde el extranjero?

Dos trabajadores con chalecos reflectantes y cascos de seguridad observan una pila de contenedores de carga apilados en un puerto o área industrial al aire libre. Uno de ellos sostiene un walkie-talkie mientras señala hacia los contenedores, aparentemente coordinando actividades logísticas. Los contenedores, de colores rojo, naranja, amarillo y verde, están organizados en filas sobre una amplia plataforma de concreto. El cielo parcialmente nublado y la luz del atardecer sugieren que la jornada está por finalizar. La imagen refleja un entorno típico de logística y transporte de mercancías.

La escalada arancelaria entre Estados Unidos y China en 2025

La escalada arancelaria entre Estados Unidos y China en 2025: claves jurídicas y estratégicas para empresas internacionales Introducción En 2025, las relaciones comerciales entre Estados… Read More »La escalada arancelaria entre Estados Unidos y China en 2025

¿HABLAMOS?

Si buscas información legal personalizada, agenda una videollamada con nosotros, tú eliges el día y la hora en función de tu disponibilidad. También puedes concertar una reunión personal en nuestras oficinas o podemos hablar por teléfono. Llámanos al 957858952 y establecemos la mejor modalidad.

Agendar reunión
Consultar asunto