Requisitos de Información

Los responsables del tratamiento están obligados a proporcionar esta información de manera clara, concisa y accesible en el momento de la recopilación de los datos. Entre los datos que deben facilitarse se incluyen:

• Identidad del Responsable: Quién es el responsable del tratamiento de los datos.
• Finalidad del Tratamiento: Para qué se utilizarán los datos recopilados.
• Base Legal: La justificación legal para el tratamiento de los datos.
• Destinatarios: Quiénes recibirán los datos.
• Derechos del Interesado: Información sobre los derechos del interesado, como acceso, rectificación y supresión de datos.
• Transferencias Internacionales: Si los datos se transferirán fuera del Espacio Económico Europeo.

Decisiones Automatizadas

El artículo también subraya la importancia de informar sobre la existencia de decisiones automatizadas, como la elaboración de perfiles, y sus posibles implicaciones para el interesado.

Importancia del Artículo 13

Este artículo es fundamental para garantizar que las personas estén informadas sobre el uso de sus datos personales. Promueve la transparencia en las actividades de los responsables del tratamiento y refuerza el respeto por los derechos fundamentales de los individuos.

Este enfoque no solo cumple con las normativas legales, sino que también fomenta la confianza de los usuarios en las organizaciones que manejan sus datos.

IMPORTANTE

La falta de información al interesado sobre el tratamiento de sus datos personales, conforme a lo dispuesto en el RGPD y LOPDGD, supone una infracción muy grave.

La entrada Transparencia y Derechos en el RGPD se publicó primero en Adaptación RGPD.

Las transferencias de datos personales a terceros países y organizaciones internacionales están reguladas en el RGPD. Existen diferentes mecanismos para poder realizar estas transferencias de datos personales. En este caso, nos vamos a referir a las transferencias internacionales de datos basadas en una decisión de adecuación, y en concreto, la decisión de 10 de julio de 2023“ EU- USA Data Privacy Framework”.

Los países que hasta la fecha han sido declarados con un nivel de protección adecuado por la Comisión Europea son; Suiza; Canadá; Argentina; Guernsey; Isla de Man; Jersey; Islas de Feroe; Andorra; Israel; Uruguay; Nueva Zelanda; Japón; Reino Unido y República de Corea.

Al listado anterior, habría que añadir desde el día 10 de julio de 2023 a los EE. UU. En base a esta decisión de adecuación relativa al Marco de Privacidad de Datos, los datos personales podrán circular de forma segura desde la UE a las empresas estadounidenses que participen en el Marco, sin la necesidad de establecer garantías adicionales de protección de datos.

IMPORTANTE

Para realizar una transferencia internacional de datos además de la decisión de adecuación, se tendrá que conformar un contrato de acceso a datos por cuenta de terceros.

La entrada Transferencias internacionales de datos personales a terceros países: UE-EE.UU. Marco de privacidad de datos se publicó primero en Adaptación RGPD.

Este principio está relacionado con el derecho del interesado a obtener toda la información que sea relevante en relación con sus datos personales.

En los artículos 13 y 14 del RGPD se recogen todos los puntos que el responsable debe facilitar cuando trata datos personales. Además de indicar la identidad y datos de contacto del responsable, en su caso, del delegado de protección de datos, los fines del tratamiento y los destinatarios, el responsable está obligado también a informar de su intención de realizar transferencias internacionales de datos.

En el caso de que las transferencias estén basadas en garantías adecuadas, normas corporativas vinculantes o en los supuestos de las excepciones para situaciones específicas se tiene que dejar indicado lo siguiente:

•  Copia de las garantías adecuadas

Lugar en el que se hayan puesto a disposición, es decir, se ha de incluir en la información, una URL que permita al interesado acceder al documento que contiene dichas garantías.

IMPORTANTE

Se debe de poner a disposición del interesado el documento de las garantías adecuadas para la realización de las transferencias internacionales.

La entrada Informar de las garantías en las transferencias internacionales se publicó primero en Adaptación RGPD.

Son muchas las preguntas que como responsables del tratamiento de los datos nos surgen a raíz de esta sentencia. Por ejemplo, ¿puedo seguir utilizando los servicios en la nube facilitados por proveedores americanos? ¿qué debemos tener en cuenta para que éstas cumplan la normativa europea?

Las transferencias internacionales podrán realizarse bajo la celebración de las Cláusulas contractuales tipo de la Decisión 2010/87, que regulan los contratos de acceso a datos por cuenta de terceros ya que éstas no han sido invalidadas por el TJUE. En cuanto a la utilización de estas Cláusulas, el CEPD está estudiando incorporar medidas adicionales para garantizar un nivel de protección adecuado. Mientras tanto, se deja en manos del responsable (el exportador de datos) la valoración, entre otros requisitos, las medidas de seguridad aportadas por el proveedor de servicios.

El CEPD insta a utilizar mecanismos de excepción del art. 49RGPD, por ejemplo, el consentimiento del interesado. Este debe ser explícito, específico para esa transferencia e informado de los riesgos de la falta de protección adecuada.

IMPORTANTE

En el apartado de Transferencias internacionales de la AEPD se puede encontrar toda la información relativa a la supresión del Privacy-Shield.

La entrada ¿Cuáles son las consecuencias de la cancelación del Privacy-Shield? se publicó primero en Adaptación RGPD.

El responsable que pretenda transferir datos personales basándose en intereses legítimos imperiosos, deberá tener en cuenta si puede aplicar las decisiones de adecuación aprobadas por la Comisión, las garantías adecuadas, como, por ejemplo, la utilización de normas corporativas vinculantes, o bien, que se encuentren dentro de los supuestos de excepciones para situaciones específicas. Sino fuera así, entonces, tendrá que informar previamente a la autoridad de control.

Además, la transferencia no ha de ser repetitiva, debe afectar solamente a un número limitado de interesados y debe evaluar todas las circunstancias concurrentes en la transferencia de datos. El responsable en virtud de su proactividad está obligado a ofrecer todas las garantías apropiadas con respecto a la protección de datos.

IMPORTANTE

Los responsables informarán previamente a los afectados de la transferencia y de sus intereses legítimos imperiosos.

La entrada Transferencias a terceros países y autoridad de control se publicó primero en Adaptación RGPD.

1º Instrumentos jurídicamente vinculantes y exigibles entre las autoridades y organismos públicos.

2º Normas corporativas vinculantes.

3º Cláusulas tipo de protección de datos adoptadas por la Comisión.

4º Cláusulas tipo de protección de datos adoptadas por la autoridad de control.

5º Códigos de conducta aprobado por la autoridad de control competente.

6ºMecanismos de certificación.

En todos los supuestos anteriores, no será necesaria la autorización de las autoridades de control. Si tuviéramos que realizar, por ejemplo, una transferencia internacional a un encargado del tratamiento establecido en EEUU, podríamos utilizar las cláusulas contractuales tipo adoptadas por la Comisión, que se pueden descargar de la página web de la AEPD en su apartado de transferencias internacionales.

https://www.aepd.es/reglamento/cumplimiento/transferencias-internacionales.html

IMPORTANTE

La transferencia internacional de datos a un tercer país sin garantías adecuadas se considera una infracción muy grave

La entrada Garantías adecuadas para las transferencias internacionales se publicó primero en Adaptación RGPD.

IMPORTANTE
Es una infracción considerada muy grave las transferencias internacionales en las que no concurren las garantías, requisitos o excepciones del RGPD.

La entrada Tranferencias internacionales de datos en la RGPD se publicó primero en Adaptación RGPD.

Tal y como se recoge en uno de los considerandos del RGPD, las transferencias de datos a terceros países u organizaciones internacionales solamente pueden realizarse cumpliendo con todo lo dispuesto en el Reglamento, especialmente con lo regulado en el Capítulo de transferencias internacionales.

En cada caso concreto habrá que aplicar un procedimiento adecuado para que las transferencias internacionales sean válidas, así, por ejemplo, si enviamos datos a países reconocidos por la Comisión con un nivel de protección adecuado en base a una decisión de adecuación, esta no requerirá ninguna autorización especifica de las Agencias de protección de datos. En posteriores boletines analizaremos los diferentes medios y procedimientos.

IMPORTANTE

Es una infracción considerada muy grave las transferencias internacionales en las que no concurren las garantías, requisitos o excepciones del RGPD.

La entrada Principios generales de las transferencias internacionales se publicó primero en Adaptación RGPD.

Excepciones previstas en el art.49 RGPD

1ºCon el consentimiento del interesado, una vez que ha sido informado de los posibles riesgos.

2º Necesitamos hacer la transferencia para la ejecución de un contrato entre el interesado y el responsable.

3º Es necesaria para la ejecución de un contrato entre el responsable y otra persona física o jurídica, en interés del interesado.

4º Cuando existan razones importantes de interés público.

5ºEs requerida para la formulación, ejercicio o defensa de reclamaciones.

6º Se precisa para proteger intereses vitales del interesado, cuando esté física o jurídicamente incapacitado.

7º Cuando se realice desde un registro público y esté abierto a la consulta del público en general, atendiendo al Derecho de la Unión o Estados miembros.

IMPORTANTE

Además de ofrecer garantías apropiadas en protección de datos, tendremos que informar a la autoridad de control, cuando no se pueda aplicar ninguna de las excepciones

La entrada Regulación de transferencias de datos a terceros países (III) se publicó primero en Adaptación RGPD.