Nos referimos a las transferencias internacionales de datos, cuando se produce un flujo de datos personales desde territorio europeo a destinatarios (importadores) establecidos en países fuera del Espacio Económico Europeo. Para que dicha transferencia sea legal, es necesario que se ofrezcan una serie de garantías y medidas de seguridad que garanticen la integridad de los datos transferidos y la protección de los derechos de los ciudadanos europeos cuyos datos se transfieran.
Hasta 2016, la transferencia de datos personales de los ciudadanos europeos a Estados Unidos no suponía un problema porque se encontraba amparada por el acuerdo Privacy Shield entre la Unión Europea y Estados Unidos. Dicho acuerdo establecía que las empresas afincadas en EEUU adheridas al mismo cumplían con la normativa europea en materia de protección de datos. Sin embargo, tras quedar invalidado el Privacy Shield por el Tribunal de Justicia de la Unión Europea, la situación a este respecto se ha tornado un tanto incierta, y deben tenerse en cuenta las garantías que garanticen que las transferencia internacional es legal. Por tanto, se debe:
- Contar con garantías suficientes que aseguren la integridad de los datos, entre ellas:
- La existencia de un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos
- Normas corporativas vinculantes
- Cláusulas tipo de protección de datos que garanticen la salvaguarda de los datos pudiendo utilizarse como base para la transferencias de datos de la UE a terceros países y que han sido preaprobadas por la Comisión Europea.
- Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a derechos de las personas interesadas.
- Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país, incluidas las relativas a los derechos de las personas interesadas
- Cabe aplicar excepciones, cuando se cumpla alguna de las siguientes condiciones:
- La persona interesada haya dado su consentimiento.
- La transferencia es necesaria para la ejecución de un contrato
- La transferencia es necesaria por razones de interés público
- La transferencia es necesaria para proteger intereses vitales del interesado, cuando la persona esté incapacitada para prestar consentimiento.
- La transferencia es necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
- La transferencia se realiza desde un registro público siempre que se cumplan una serie de condiciones.
Tras diferentes quejas y amenazas de abandonar territorio europeo por parte de grandes empresas afectadas por la regulación de las transferencias internacionales de datos y la inexistencia de un marco similar al de Privacy Shield, la Unión Europea y Estados Unidos están trabajando conjuntamente en la creación de un nuevo acuerdo que permita, la transferencia internacional de datos, con el objetivo de intentar crear un marco de confianza que restituya la transferencia segura de datos al país norteamericano.