Las transferencias internacionales de datos a Estados que no ofrecen un nivel adecuado de protección podrán realizarse siempre y cuando se cumplan los requisitos previstos en el artículo 70 del Reglamento de Protección de Datos. Para ello, resulta necesario, en primer lugar, obtener autorización expresa del Director de la Agencia Española de Protección de Datos. 

Autorización del Director de la AEPD

Cuando la Comisión Europea o el Director de la AEPD consideren que un Estado no proporciona un nivel adecuado de protección en el ámbito de los datos personales, el responsable del fichero o tratamiento deberá solicitar autorización expresa al Director de la Agencia para realizar la transferencia internacional  de datos.

La autorización, tramitada conforme al procedimiento previsto en los artículos 137 a 140 del Reglamento, será otorgada por esta autoridad cuando la relación entre el exportador y el importador quede fijada mediante contrato escrito. Éste deberá contener los mecanismos adecuados que garanticen el respeto a la vida privada y a los derechos y libertades fundamentales de los afectados, así como el libre ejercicio de los derechos que tengan reconocidos conforme a la presente normativa.

Denegación de autorización 

El Director de la AEPD es el encargado de decidir sobre la concesión de la autorización para la transferencia internacional de datos. Podrá denegar dicha credencial si concurre alguna de las circunstancias siguientes: 

a) Cuando la situación o legislación del país de destino impiden garantizar el íntegro cumplimiento del contrato y el ejercicio por los afectados de los derechos que el contrato garantiza, así como la protección de los derechos fundamentales y libertades públicas. 

b) Cuando la entidad destinataria ha incumplido previamente las garantías establecidas en cláusulas contractuales de este tipo. 

c) Cuando existen indicios racionales de que las garantías ofrecidas por el contrato no están siendo o no serán respetadas por el importador, o de que los mecanismos de aplicación del contrato no son o no serán efectivos. 

d) Cuando la transferencia, o su continuación, en caso de haberse iniciado, puede crear una situación de riesgo de daño efectivo a los afectados. 

La resolución del Director de la Agencia por la que se deniegue la autorización necesaria, deberá ser notificada a la Comisión de las Comunidades Europeas, cuando así se prevea. 

Grupos multinacionales de empresas

Para realizar una transferencia internacional entre empresas pertenecientes a un mismo grupo multinacional, se requiere, además de la correspondiente autorización del Director de la AEPD, que los miembros del grupo hayan adoptado una serie de normas o reglas internas vinculantes y exigibles conforme al ordenamiento jurídico español.

De esta manera, se establecerán las necesarias garantías de respeto a la vida privada y derechos fundamentales del afectado, así como el libre ejercicio de los derechos que la presente normativa reconoce en materia de protección de datos personales.

Dichas normas serán vinculantes para los miembros del grupo y exigibles tanto por los afectados como por la AEPD, organismo encargado de garantizar la efectiva protección de los datos de carácter personal. 

MÁS INFORMACIÓN SOBRE EL NUEVO REGLAMENTO 

Si desea más información sobre el nuevo Reglamento de Protección de Datos, LEGALIA ABOGADOS pone a su disposición los siguientes materiales: